Citrix SD-WAN

带内和备份管理

带内管理

Citrix SD-WAN 允许您通过两种方式管理 SD-WAN 设备:带外管理和带内管理。带外管理允许您使用为管理保留的端口创建管理 IP,该端口仅承载管理流量。带内管理允许您使用 SD-WAN 数据端口进行管理。它同时承载数据和管理流量,而无需配置添加管理路径。

带内管理允许虚拟 IP 地址连接到管理服务,如 Web UI 和 SSH。您可以在启用可用于 IP 服务的多个受信任接口上启用带内管理。您可以使用管理 IP 和带内虚拟 IP 访问 Web UI 和 SSH。

从 Citrix SD-WAN 11.4.2 版本起,必须在 SD-WAN 设备上配置带内管理,才能通过带内管理端口建立与 Citrix SD-WAN Orchestrator 服务的连接。否则,当管理端口未连接且未配置带内 IP 地址时,设备将失去与 Citrix SD-WAN Orchestrator 服务的连接。

注意

  • Citrix SD-WAN Center 不支持通过带内管理连接到高可用性设备。
  • 只能使用 MCN 配置编辑器将 服务类型 配置为 任意 。Citrix SD-WAN Orchestrator 服务不允许将 服务类型 配置为 任何 目标 NAT 策略。
  • 当唯一的管理连接是带内 HA 时,请避免禁用该服务。 如果禁用该服务,可以将自己锁定在设备之外。

要在虚拟 IP 上启用带内管理,请执行以下操作:

  1. 在配置编辑器中,导航到 站点 > 虚拟 IP 地址
  2. 为要启 用带内管 理的虚拟 IP 选择带内管理。

    注意:

    确保接口安全类型为 受信任身份 已启用。

    带内管理

  3. 单击 应用

有关配置虚拟 IP 地址的详细过程,请参阅 如何配置虚拟 IP

从 Citrix SD-WAN 11.3.1 以后的版本开始,带内管理支持高可用性设备对。主设备和辅助设备之间的通信通过使用 NAT 的虚拟接口进行。

以下端口允许与 HA 设备上的管理服务进行通信:

  • HTTPS
    • 443-连接到活跃的 HA
    • 444-重定向到 HA 主
    • 445-重定向到医管局中学
  • SSH
    • 22-连接到 HA 活动
    • 23-重定向到医管局主
    • 24-重定向到医管局二级
  • SNMP
    • 161-连接到活动的 HA
    • 162-重定向到医管局主
    • 163-重定向到医管局辅助

使用目标 NAT 策略创建 IP 地址,允许连接到带内 HA,而无需输入端口。

例如,以下带内 IP 地址用于访问设备:

  • 主动设备-1.0.1.2
  • 主要设备-1.0.1.10
  • 辅助设备-1.0.1.11

创建两个与带内管理虚拟 IP 地址位于同一网络中的新虚拟 IP 地址的虚拟 IP 地址。在此示例中,1.0.1.2/24 是带内管理虚拟 IP 地址,1.0.1.2/24 选择作为备份网络。1.0.1.10 和 1.0.1.11 是创建的新虚拟 IP 地址。1.0.1.10 用于访问主设备,1.0.1.11 用于访问辅助设备。

带内 HA 虚拟 IP

创建目标 NAT 策略。六个 DNAT 策略将服务的基本端口重定向到适当的带内 HA 端口。应用配置后,您可以使用内部 IP 地址直接访问主设备和辅助设备。

带内 HA 目标 NAT 策略

监视带内管理

在前面的示例中,我们已经在 172.170.10.78 虚拟 IP 上启用了带内管理。您可以使用此 IP 访问 Web UI 和 SSH。

在 Web UI 中,导航到 监控 > 防火墙。您可以在 目标 IP 地 址 列中分别看到使用端口 22 和 443 上的虚拟 IP 访问 SSH 和 Web UI。

监视带内管理

注意

以下 SD-WAN 设备不支持带内管理:

  • Citrix SD-WAN 1000 SE /PE
  • Citrix SD-WAN 2000 SE /PE
  • Citrix SD-WAN 4000 SE

带内 Provisioning

在家庭或小型分支机构等较简单的环境中部署 SD-WAN 设备的需求显著增加。为更简单的部署配置单独的管理访问权限是额外的开销。零接触部署以及带内管理功能可通过指定的数据端口实现配置和配置管理。现在,指定的数据端口支持零接触部署,无需使用单独的管理端口进行零接触部署。Citrix SD-WAN 还允许在数据端口关闭时将管理流量无缝故障切换到管理端口,反之亦然。

处于出厂发货状态的设备(支持带内配置)可通过简单地将数据或管理端口连接到互联网进行 Provisioning。支持带内 Provisioning 的设备具有用于 LAN 和 WAN 的特定端口。处于出厂重置状态的设备具有默认配置,允许与零接触部署服务建立连接。LAN 端口充当 DHCP 服务器,并将动态 IP 分配给充当 DHCP 客户端的 WAN 端口。WAN 链路监视四 9 DNS 服务以确定 WAN 连接性。

注意

带内 Provisioning 仅适用于 SD-WAN 110 SE 和 SD-WAN VPX 平台。

获取 IP 地址并与零接触部署服务建立连接后,将下载配置包并安装在设备上。有关通过 SD-WAN Center 进行零接触部署的信息,请参阅 零接触部署。有关通过 SD-WAN Orchestrator 进行零接触部署的信息,请参阅 零接触部署

注意:对于第 0 天通过数据端口置备 SD-WAN 设备,设备软件版本必须为 SD-WAN 11.1.0 或更高版本。

处于出厂重置状态的设备的默认配置包括以下配置:

  • LAN 端口上的 DHCP 服务器
  • WAN 端口上的 DHCP 客户端
  • 适用于 DNS 的 QUAD9 配置
  • 默认局域网 IP 为 192.168.0.1
  • 35 天的宽限许可证。

置备设备后,默认配置将被禁用,并由零接触部署服务接收的配置覆盖。如果设备许可证或宽限许可证过期,则会激活默认配置,以确保设备保持连接到零接触部署服务并接收通过零接触部署管理的许可证。

默认/备用配置

回退配置可确保设备在链路故障、配置不匹配或软件不匹配时保持连接到零接触部署服务。默认情况下,在具有默认配置文件的设备上启用回退配置。您还可以根据现有 LAN 网络设置编辑备用配置。

注意:在初始设备置备之后,请确保为零接触部署服务连接启用了回退配置。

如果已禁用回退配置,则可以通过导航到 “配置” > “装置 ” > “默认/备用配置 ” > 单击 “启用” 来启用它。

启用回退配置

下表提供了在不同平台上用于备用配置的预先指定 WAN 和 LAN 端口的详细信息:

平台 WAN 端口 LAN 端口
110 1/2 1/1
110-LTE 1/2,LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4、1/5、LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

从 Citrix SD-WAN 11.3.1 版本中,WAN 端口设置是可配置的。可以使用 DHCP 客户端将 WAN 端口配置为独立的 WAN 链路,并监视 Quad9 DNS 服务以确定 WAN 连接。在没有 DHCP 的情况下,您可以为 WAN 端口配置 WAN IPS/静态 IP,以便使用带内管理进行初始配置。

注意:

您只能使用静态 IP 配置以太网端口。静态 IP 无法使用 LTE-1 和 LTE-E1 端口进行配置。尽管您可以将 LTE-1 和 LTE-E1 端口添加为 WAN,但配置字段仍然是不可编辑的。

添加 WAN 端口时,它会被添加到 WAN 设置(端口:2) 部分下,默认情况下选中 DHCP 模式 复选框。如果选中 DHCP 模式 复选框,则 IP 地址、网关 IP 地址VLAN ID 文本字段将显示为灰色。如果要配置静态 IP,请清除 DHCP 模式 复选框。

DHCP 模式

默认情况下,WAN 跟踪 IP 地址字段将自动填充 9.9.9.9。您可以根据需要更改地址。

注意:

如果选中 动态 DNS 服务器 复选框,请确保添加/配置至少一个已选择 DHCP 模式 的 WAN 端口。

要根据 LAN 网络自定义备用配置,请执行以下操作:

  1. 导航到 配置 > 装置设 置 > 默认/备用配置
  2. 根据您的网络要求编辑以下 LAN 设置的值。这是与零接触部署服务建立连接所需的最低配置。

    • VLAN ID: 局域网端口必须分组到的 VLAN ID。
    • IP 地址:分配给 LAN 端口的虚拟 IP 地址。
    • DHCP 启用:将局域网端口启用为 DHCP 服务器。DHCP 服务器为 LAN 端口上的客户端分配动态 IP 地址。
    • DHCP 开始和 DHCP End:DHCP 用来向 LAN 端口上的客户端动态分配 IP 的 IP 地址范围。
    • DNS 服务器: 主 DNS 服务器的 IP 地址。
    • Alt DNS 服务器:辅助 DNS 服务器的 IP 地址。
    • 互联网访问:允许所有 LAN 客户端访问互联网,无需其他过滤。

    启用回退配置

  3. 为每个端口配置模式。端口可以是 LAN 端口或 WAN 端口,也可以禁用。显示的端口取决于设备型号。此外,将端口旁路模式设置为 “ 故障到阻止 ” 或 “ 故障到线”。

要随时将回退配置重置为默认配置,请单击 重置

注意

以下 SD-WAN 设备不支持回退配置:

  • Citrix SD-WAN 1000 SE /PE
  • Citrix SD-WAN 2000 SE /PE
  • Citrix SD-WAN 4000 SE

可配置的管理或数据端口

带内管理允许数据端口同时传输数据和管理流量,无需使用专用管理端口。这使得管理端口在已经具有较低端口密度的低端设备上未使用。Citrix SD-WAN 允许您将管理端口配置为作为数据端口或管理端口运行。

注意

只能在以下平台上将管理端口转换为数据端口:

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

在配置编辑器上,使用配置中的管理端口。激活配置后,管理端口将转换为数据端口。

注意

只有在设备上其他受信任接口上启用带内管理时,才能配置管理端口。

要配置管理界面,请在配置编辑器中导航到 站点,选择一个站点,然后单击 界面组。MGMT 接口可供配置。有关配置接口组的详细信息,请参阅 如何配置接口组

接口组

要重新配置管理端口以执行管理功能,请删除配置。在不使用管理端口的情况下创建配置并将其激活。

备份管理网络

您可以将虚拟 IP 地址配置为备份管理网络。如果管理端口未使用默认 Gateway 配置,则将用作管理 IP 地址。

注意

如果站点的 Internet 服务配置了单个路由域,则默认情况下会选择启用身份的受信任接口作为备份管理网络。

要选择虚拟 IP 作为备份管理网络,请执行以下操作:

  1. 在配置编辑器中,导航到 站点 > 虚拟 IP 地址

  2. 选择虚拟 IP 地址作为备份管理网络。

    备份管理

  3. 选择带内和备份管理平面 上的所有 DNS 请求都将转发到的 DNS 代理。

    注意

    只有在为虚拟 IP 启用带内管理和备份管理网络时,才能选择 DNS 代理。

  4. 单击应用

有关配置虚拟 IP 地址的详细过程,请参阅 如何配置虚拟 IP 地址

监视备份管理

在前面的示例中,我们选择了 172.170.10.78 虚拟 IP 作为备份管理网络。如果管理 IP 地址未配置默认 Gateway,则可以使用此 IP 访问 Web UI 和 SSH。

在 Web UI 中,导航到 监控 > 防火墙。您可以看到此虚拟 IP 地址作为 SSH 和 Web UI 访问的源 IP 地址。

监视备份管理

带内和备份管理