Citrix SD-WAN

用于 SD-WAN 设备的新用户界面

为 SD-WAN 装置引入了新的用户界面 (UI)。新 UI 是使用最新 UI 技术构建的。新的 UI 设计提高了安全性,改进了外观和感觉,更高的性能、安全性和响应性。但新 UI 保留了旧 UI 中每个功能的流程和页面布局。

从 Citrix SD-WAN 11.4 开始,默认情况下,在配置为客户端的所有 Citrix SD-WAN 设备上启用新 UI。

注意

  • 将 Citrix SD-WAN 设备置备为 MCN 可将您重定向到旧版 UI。
  • 具有管理员角色的所有本地用户和远程管理员用户都可以访问新的用户界面。通过 RADIUS 或 TACACS+ 身份验证服务器对远程用户帐户进行身份验证。设 Provisioning SD-WAN 设备时,必须更改默认管理员用户帐户密码。默认密码是 SD-WAN 装置的序列号,必须在登录设备后首次更改。

默认密码

为了向后兼容性,维护旧用户界面,不建议使用。可以使用 URL https: // < ip-address >/cgi-bin/login.cgi 访问旧用户界面。用户 管理员 的用户名和密码在两个(新/旧版)用户界面中保持不变,首次登录过程可以使用任一界面完成。新 UI 的未来版本将支持其他用户。

Citrix SD-WAN 新用户界面

新的用户界面可以使用谷歌浏览器(版本 81)、Mozilla 火狐浏览器、微软边缘(版本 81 +)和旧版微软边缘(44 版以上)浏览器访问。

注意

不支持微软 Internet Explorer、Apple Safari 和其他浏览器。

要访问新的 UI 页面,请执行以下操作:

  1. 打开新的浏览器选项卡并导航到 https: // < management-ip > 以访问 SD-WAN 设备上的新 UI。如果您正在访问 IPv6 地址,请输入 https://<[IPv6 address]>

    示例:https://[fd73:xxxx:yyyy:26::9]

注意:

在启用带内管理的情况下,可以在中提供接口 IP 地址 ** < management-ip > 以访问新 UI。可以在启用用于 IP 服务的多个受信任接口上启用带内管理。您可以使用管理 IP 和带内虚拟 IP 访问 UI。

  1. 提供用户名和密码。单击登录

此时将显示 Citrix SD-WAN 用户界面页面。

新用户界面

成功登录后,您可以看到导航面板位于左侧。此外,如果有任何警告或错误,您可以在仪表板上看到通知横幅。

新的用户界面警告消息

导航

左侧导航边栏可以隐藏或点击汉堡包图标可见。左上角的汉堡包图标提供指向仪表板、 基本/高级 设置、监控和管理相关选项的链接。

汉堡图标

菜单栏

右上角的用户菜单显示已登录用户详细信息。您可以通过单击 “打开旧版 SD-WAN UI” 选项,在新的浏览器选项卡中打开旧版 用户界面。单击任何通知的铃铛图标。

菜单图标

控制板

控制板 页面以磁贴视图的形式显示 SD-WAN 设备的以下基本信息:

  • 站点 — 显示带 管理 IP 地址 和站 点名称的站点信息
  • 号 — 显示 型号/Sub 型号序列号
  • 版本 — 显示 软件 件版本
  • 正常运行时 间-显示 设备正常运行时间Citrix 虚拟 WAN 服务状态和 Orchestrator 连接
  • 高可用性 -显示本地和对等设备 HA 状态以及上次 HA 更新接收时间。
  • 计费链接 — 显示已启用计量的链接的使用情况和账单详细信息。
  • Orchestrator 连接 -显示设备与 Citrix SD-WAN Orchestrator 服务的连接状态。将显示以下状态信息:

    • 联机状态-指示设备与 Citrix SD-WAN Orchestrator 服务之间的连接状态。设备会定期向 Citrix SD-WAN Orchestrator 服务发送心跳信号,以将连接状态标识为好还是坏。
    • 服务状态-指示设备对所有必需的 SD-WAN Orchestrator 服务(如下载、主页、日志记录、统计信息)的 https 可访问性。如果服务状态不好,则意味着连接已建立,但所有或部分服务都无法访问。此时将显示无法访问的服务名称。
    • DNS 状态- 指示 FQDN DNS 解析状态。如果 DNS 状态不正确,则表示其中一个 FQDN 的 DNS 解析失败。将显示未解析的 FQDN 的名称。
    • 本地网关状态-指示默认网关状态。对于带外连接,网关状态是通过 ping 默认网关来确定的。对于带内连接,网关状态是通过 ping 带内以太网接口 IP 地址来确定的。
    • 通过连接-指示设备如何到达 Citrix SD-WAN Orchestrator 服务。通过带外(默认配置)或通过带内(如果配置了带内管理)。
    • 失败原因:连接到 SD-WAN Orchestrator 服务时失败的原因。

新用户界面控制面板

基本设置

SD-WAN 设备 基本设置 包括以下实体配置。新 UI 提供了一个单独的页面,用于分别配置每个实体。

  • 管理和 DNS
  • 接口设置
  • LACP LAG 组
  • 日期和时间
  • 半径服务器
  • TACACS+ 服务器

管理和 DNS

管理和 DNS 页面中,您可以配置管理接口 IP 地址和 DNS 设置。有关详细信息,请参阅 配置管理 IP 地址

管理界面允许列表是有权访问管理界面的 IP 地址或 IP 域的批准列表。空列表允许从所有网络访问管理界面。您可以添加 IP 地址以确保管理 IP 地址只能由受信任的网络访问。

要在允许列表中添加或删除 IPv4 地址,必须仅使用 IPv4 地址访问 SD-WAN 设备管理界面。同样,要在允许列表中添加或删除 IPv6 地址,必须仅使用 IPv6 地址访问 SD-WAN 设备管理界面

新的用户界面管理和 DNS

输入要配置的设备的 IP 地址、子网掩码和网关 IP 地址。在 DNS 设置 部分下,提供主 DNS 服务器和辅助 DNS 服务器详细信息,然后单击 保存

接口设置

口设置 页面显示以太网端口配置数据。关闭的端口在 MAC 地址上显示为红点。

新的用户界面以太网设置

LACP LAG 组

链路聚合组 (LAG) 功能允许您对 SD-WAN 设备上的两个或多个端口进行分组,以便作为单个端口一起工作。这可确保提高可用性、链路冗余性和增强性能。

之前,LAG 中只支持活动备份模式。从 Citrix SD-WAN 11.3 版本开始,支持基于 802.3AD 链路聚合控制协议 (LACP) 协议的协商。LACP 是标准协议,为 LAG 提供了更多功能。

在活动备份模式下,任何时候只有一个端口处于活动状态,其他端口处于备份模式。活动和备份支持依赖于数据平面开发工具包 (DPDK) 软件包来实现 LAG 功能。

使用 LACP,您可以同时通过所有端口发送流量。作为一项好处,您可以获得更多带宽以及链路冗余机制。LACP 实现支持 主动-主动 模式。现在,使用主动备份模式,您还可以从 SD-WAN UI 中选择完整的 LACP 主动-主动模式。

LAG 功能仅在以下 DPDK 支持的平台上可用:

  • Citrix SD-WAN 110 SE
  • Citrix SD-WAN 210 SE
  • Citrix SD-WAN 410 SE
  • Citrix SD-WAN 1100 SE/PE
  • Citrix SD-WAN 2100 SE/PE
  • Citrix SD-WAN 4100 和 5100 SE
  • Citrix SD-WAN 6100 SE

注意

VPX/VPXL 平台上不支持 LAG 功能。

在 Citrix SD-WAN 设备上,最多可以创建 4 个 LAG,其中每个 LAG 中最多分组 4 个端口。

对于 Citrix SD-WAN 210 和 410 设备(最多 3 个 LAG)以及 Citrix SD-WAN 110 设备,最多可以创建 2 个 LAG。

您只能使用 旧版 UISD-WAN Orchestrator 创建 LAG。在新 UI 中,您只能查看创建的 LAG 的详细信息。

要查看 LAG 详细信息,请导航到 基本设置 > LACP LAG 组

您可以查看 LACP LAG 详细信息,例如活动端口和伙伴端口的当前状态、系统和端口优先级详细信息。

滞后

日期和时间

日期和时间 设置页面中,您必须在设备上设置日期和时间。有关详细信息,请参阅 设置日期和时间

新的用户界面日期和时间

半径服务器

您可以将 SD-WAN 设备配置为对一个或多个 RADIUS 服务器的用户访问进行身份验证。

要配置 RADIUS 服务器:

  1. 选中 启用 RADIUS 复选框。

  2. 输入 服务器 IP 地址身份验证端口。最多可以配置三个服务器 IP 地址。

    注意:

    要配置 IPv6 地址,请确保 RADIUS 服务器还配置了 IPv6 地址。

  3. 输入 服务器密钥 并确认。

  4. 输入 时值(以秒为单位)。

  5. 单击保存

您还可以测试 RADIUS 服务器连接。输入 用户名密码。单击 Verify(验证)。

新的用户界面 RADIUS 服务器

TACACS+ 服务器

您可以配置 TACACS+ 服务器进行身份验证。与 RADIUS 身份验证类似,TACACS+ 使用私钥、IP 地址和端口号。默认端口号为 49。

要配置 TACACS+ 服务器,请执行以下操作:

  1. 选中 启用 TACACS+ 复选框。

  2. 输入 服务器 IP 地址身份验证端口。最多可以配置三个服务器 IP 地址。

    注意:

    要配置 IPv6 地址,请确保 TACACS+ 服务器还配置了 IPv6 地址。

  3. 选择 PAPASCII 作为身份验证类型。

    • PAP:使用密码身份验证协议 (PAP) 通过向 TACACS+ 服务器分配强共享密钥来加强用户身份验证。

    • ASCII:使用 ASCII 字符集通过向 TACACS+ 服务器分配强共享密钥来加强用户身份验证。

  4. 输入 服务器密钥 并确认。

  5. 输入 时值(以秒为单位)。

  6. 单击保存

您还可以测试 TACACS+ 服务器连接。输入 用户名密码。单击 Verify(验证)。

新的用户界面 TACACS+ 服务器

高级设置

SD-WAN 设备 高级设置 包括以下实体配置。

  • Citrix 虚拟广域网服务
  • 高可用性
  • 移动宽带
  • 许可
  • 回退配置
  • HTTPS 证书
  • 本地管弦乐器

Citrix 虚拟广域网服务

Citrix 虚拟 WAN 服务 页面允许您启用/禁用 Citrix 虚拟 WAN 服务。有关详细信息,请参阅 配置虚拟 WAN 服务

新的用户界面虚拟 WAN 服务

高可用性

高可用性 页面中,您可以在活动和备用状态之间切换 SD-WAN 高可用性 (HA) 设置。高可用性状态在仪表板中可用(如果配置了高可用性)。有关详细信息,请参阅 高可用性模式

新的用户界面 HA 模式

移动宽带

Citrix SD-WAN 设备(如 Citrix SD-WAN 210 SE LTE 和 110 LTE 无线网络设备)具有内置的 LTE 调制解调器。您还可以在以下 Citrix SD-WAN 装置上连接外部 3G/4G USB 调制解调器。

  • Citrix SD-WAN 210 SE
  • Citrix SD-WAN 210 东南 LTE
  • Citrix SD-WAN 110 SE
  • Citrix SD-WAN 110 LTE 无线网络 SE

CDC 以太网、MBIM 和 NCM 是支持的三种外部 USB 调制解调器类型。

有关使用旧版 GUI 配置 LTE 的详细信息,请参阅以下主题:

对于内置 LTE 调制解调器,请将 SIM 卡插入 Citrix SD-WAN 装置的 SIM 卡插槽中。将天线固定到 Citrix SD-WAN 装置。有关更多信息,请参阅 安装 LTE 天线 并打开设备电源。

注意:

Citrix SD-WAN 110-LTE-WiFi 设备具有两个标准 (2FF) SIM 插槽。要使用微型(3FF)和纳米(4FF)大小的 SIM 卡,请使用 SIM 适配器。将较小的 SIM 卡扣入适配器。您可以从 Citrix 获取适配器作为现场可更换单元 (FRU) 或从 SIM 提供程序获取适配器。仅在 Citrix SD-WAN 110-LTE-WiFi 设备上支持对内部 LTE 调制解调器进行热交换。

外部 LTE 调制解调器的配置:

  • 使用支持的 USB LTE 转换器。支持的加密狗硬件型号是 Verizon USB730L 和 AT&T USB800。
  • 确保将 SIM 卡插入 USB LTE 转换器。CDC 以太网 LTE 转换器预配置了静态 IP 地址,如果未插入 SIM 卡,则会干扰配置并导致连接故障或间歇性连接。
  • 将 CDC 以太网 LTE 转换器插入 SD-WAN 设备之前,请将外部 USB 棒连接到 Windows /Linux 计算机,并确保互联网正常工作,使用正确的 APN 和移动数据漫游配置。确保 USB 加密狗的 连接模式 已从默认值 “ 动” 更改为 “ 自动”。

注意

  • Citrix SD-WAN 设备一次只支持一个 USB LTE 转换器。如果插入了多个 USB 转换器,请拔下所有转换器,然后仅插入一个转换器。
  • Citrix SD-WAN 设备不支持 USB 调制解调器的用户名和密码。确保在安装过程中禁用了调制解调器上的用户名和密码功能。
  • 拔下或重新启动外部 MBM 转换器会影响内部 LTE 调制解调器数据会话。这是预期的行为。
  • 插入外部 LTE 调制解调器时,SD-WAN 设备需要大约 3 分钟才能识别它。

要查看移动宽带状态,请选择调制解调器类型。

新的用户界面移动宽带

以下是一些有用的状态信息:

  • 调制解调器类型:选择调制解调器类型为外部或内部内部调制解调器在 移动宽带 > 状态页面下显示状态 。所有其他部分,例如 SIM 首选项、APN 设置、启用/禁用调制解调器、重启调制解调器和刷新 SIM 卡在 移动宽带 > 操 作页面下提供。
  • 活动 SIM 卡:在任何给定时间,只能有一个 SIM 卡处于活动状态。显示当前处于活动状态的 SIM 卡。
  • 操作模式:显示调制解调器状态。
  • SIM 功能:显示 SIM 卡是否受支持。
  • 型号:显示移动宽带模块名称。

如果选择 部调制解调器,它将显示外部调制解调器的状态。但是,如果未配置外部调制解调器,则会显示警告消息,因为 此设备上未配置选定的调制解调器

CDC 以太网外部调制解调器的设备详细信息。

CDC 以太网外部调制解调器的设备详情

MBIM 和 NCM 外部调制解调器的设备详细信息。调制解调器模式 字段显示外部转换器类型。

MBIM 和 NCM 外部调制解调器的设备详细信息

SIM 详细信息仅针对 MBIM 和 NCM 外部调制解调器显示。

MBIM 和 NCM 外部调制解调器的 SIM 详细信息

移动宽带运营

内部和外部调制解调器支持的操作:

操作 调制解调器 外部调制解调器-CDC 以太网 外部调制解调器-MBIM 和 NCM
SIM 卡首选项 是-适用于支持双 SIM 卡的装置
SIM PIN
APN 设置
网络设置
漫游
管理固件
启用/禁用调制解调器
重启调制解调器
刷新 SIM 卡

SIM 卡首选项

您可以在 Citrix SD-WAN 110-LTE-WiFi 设备上插入双 SIM。在任何给定时间,只有一个 SIM 卡处于活动状态。选择 S IM 首选项

  • 首选 SIM One:如果插入了两张 SIM 卡,启动时 LTE 调制解调器将使用 SIM One(如果有)。LTE 调制解调器启动并运行时,它将使用当时可用的任何 SIM 卡(SIM 1 或 SIM 2),并将继续使用它,直到 SIM 处于活动状态。
  • 首选 SIM 2:如果插入两个 SIM 卡,则在启动时 LTE 调制解调器使用 SIM Two(如果可用)。LTE 调制解调器启动并运行时,它将使用当时可用的任何 SIM 卡(SIM 1 或 SIM 2),并将继续使用它,直到 SIM 处于活动状态。
  • SIM One:无论两个 SIM 卡插槽的 SIM 状态如何,都只使用 SIM One。SIM 卡一始终处于活动状态。
  • SIM Two:无论两个 SIM 卡插槽的 SIM 状态如何,都只使用 SIM 卡二。SIM 卡二始终处于活动状态。

注意:

Citrix SD-WAN 210-SE LTE Wi-Fi 设备不可用 “SIM 首选项” 选项,因为它只有一个 SIM 卡插槽。

新的用户界面 SIM 首选项

SIM PIN

如果您插入了使用 PIN 锁定的 SIM 卡,则 SIM 卡状态为 “已 启用” 和 “未验证 ” 状态。在使用 SIM 卡进行验证之前,您无法使用 SIM 卡。您可以从运营商处获取 SIM PIN。

要执行 SIM PIN 操作,请导航到 高级设置 > 移动宽带 > 操作 > SIM PIN 状态

新的用户界面 SIM PIN 状态

您可以执行以下操作:

  • 验证 SIM PIN 码:单击 验证。输入运营商提供的 SIM 卡 PIN 码,然后单击 验证。状态更改为 已启用 和 已验证

  • 启用 SIM 卡 PIN:您可以为禁用 SIM 卡 PIN 的 SIM 卡启用 SIM 卡密码。Click Enable。输入运营商提供的 SIM PIN,然后单击启用。如果 SIM PIN 状态更改为已启用和未验证,则表示 PIN 未验证,在验证 PIN 之前,您无法执行任何 LTE 相关操作。单击 Verify(验证)。输入运营商提供的 SIM 卡 PIN 码,然后单击 验证

  • 禁用 SIM 卡 PIN:您可以选择禁用已启用并验证 SIM 卡 PIN 的 SIM 卡的 SIM 卡功能。单击禁用。输入 SIM 卡 PIN,然后单击 禁用

  • 修改 SIM 卡 PIN:密码处于 “启用” 和 “已验证” 状态后,您可以选择更改 PIN。单击 Modify(修改)。输入运营商提供的 SIM PIN。输入新的 SIM PIN 并进行确认。单击 Modify(修改)。

  • 解锁 SIM 卡 -如果您忘记了 SIM PIN 码,则可以使用从运营商处获得的 SIM PUK 重置 SIM PIN 码。要取消阻止 SIM 卡,请单击 取消阻止。输入从运营商处获取的 SIM 卡 PIN 和 SIM 卡 PUK,然后单击 解除封锁

    注意:

    在解锁 SIM 卡的同时,SIM 卡会被永久阻止,PUK 尝试 10 次失败。请联系运营商以获取新的 SIM 卡。

APN 设置

  1. 要配置 APN 设置,请导航到 高级设置 > 移动宽带 > 操作 > 然后转到 APN 设置 部分。

    注意

    从运营商处获取 APN 信息。

  2. 选择 SIM 卡,输入运营商提供的 APN、用户名、密码身份验证 。您可以从 PAP、CHAP、PAPCHAP 身份验证协议中进行选择。如果运营商未提供任何身份验证类型,请将其设置为

    注意

    所有这些字段都是可选的。

  3. 单击应用

    新的用户界面 APN 设置

网络设置

您可以在支持内部 LTE 调制解调器的 Citrix SD-WAN 装置上选择移动网络。支持的网络包括 3G、4G 或两者。

新的用户界面 APN 设置

漫游

默认情况下,LTE 设备上启用漫游选项,您可以选择禁用它。

LTE 漫游

管理固件

每个启用 LTE 的装置都有一组可用的固件。您可以从现有的固件列表中选择或上载固件并应用它。如果您不确定要使用哪个固件,请选择 AUTO-SIM 选项。自动 SIM 选项允许 LTE 调制解调器根据插入的 SIM 卡选择最匹配的固件。

启用/禁用调制解调器

启用/禁用调制解调器,具体取决于您使用 LTE 功能的意图。默认情况下,LTE 调制解调器处于启用状态。

新用户界面启用禁用调制解调器

重启调制解调器

重新启动调制解调器。重新启动操作最多可能需要 7 分钟才能完成。

新用户界面重启调制解调器

刷新 SIM 卡

如果 LTE-WiFi 调制解调器未正确检测到 SIM 卡,请使用 刷新 SIM 卡选项。

注意

“刷新 SIM 卡” 操作仅适用于活动的 SIM 卡。

新用户界面刷新 SIM

您可以使用 Citrix SD-WAN 中心远程查看和管理网络中的所有 LTE 站点。有关更多信息,请参阅 远程 LTE 站点管理

有关 LTE 配置的更多信息,请参阅 在 110-LTE-WiFi 设备上置 LTE 功能和在 210 SE LTE 设备上配置 LTE功能。

有关配置外部 LTE 调制解调器的信息,请参阅 配置外部 USB LTE 调制解调器

许可

可页面显示许可证详细信息,例如服务器位置、型号、许可证类型等。

新的用户界面许可

注意:

在安装和应用 SD-WAN Center 中的许可证时,请确保您的特定设备支持要启用的 SD-WAN 设备版本,并且可用的软件版本正确。

默认/备用配置

默认/回退配置 ” 页显示存储的备用配置数据。如果禁用了回退配置,则可以通过打开启用 回退配置开关来启用 它。

新用户界面回退

注意

LTE 接口不能配置静态 IP 地址。

有关详细信息,请参阅 默认/回退配置

HTTPS 证书

建立安全连接需要 HTTPS 证书。HTTPS 证书 页面显示已安装的 HTTPS 证书的详细信息。有关更多信息,请参阅 HTTPS 证书

新的用户界面 HTTPS 证书

本地管弦乐器

Citrix 内部部署 SD-WAN Orchestrator 是 Citrix SD-WAN Orchestrator 服务的内部部署软件版本。Citrix On-PREM SD-WAN Orchestrator 为 Citrix 合作伙伴提供了一个单一窗格管理平台,通过适当的基于角色的访问控制集中管理多个客户。

您可以通过启用 Orchestrator 连接并指定内部 PREM SD-WAN 协调器标识,在 Citrix SD-WAN 设备和 Citrix On-PREM SD-WAN 协调器之间建立连接。

注意

  • SD -WAN 设备上的本地 SD-WAN Orchestrator 配置 是 Citrix on-prem SD-WAN Orchestrator 的启用因素。SD-WAN 设备上的 Citrix 本地 SD-WAN Orchestrator 配置目前不可用。它的目标是将来的版本。
  • 如果在 SD-WAN 设 备上配置了 SD-WAN 设备上的本地 SD-WAN Orchestrator 配置 ,则零接触部署将不起作用。

要启用编排器连接:

  1. 在设备 GUI 中,导航到 高级设置 > 本地 Orchestrator > 身份
  2. 选中 启用本地 SD-WAN Orchestrator 连接 复选框。

    新的用户界面内部部署编排器标识

  3. 输入内部部署 SD-WAN Orchestrator IP 地址或域或两者(IP 地址和域)以进行配置。

    如果客户只配置域,则必须确保在其本地 DNS 服务器中添加 DNS 记录,并且必须在 SD-WAN 设备上配置 DNS 服务器 IP 地址。要配置,请导航到 配置 > 网络适配器 > IP 地址

    例如,如果内部 PREM SD-WAN Orchestrator 域配置为 citrix.com。,则必须在 DNS 服务器中为以下 FQDN 和内部部署 SD-WAN 编排器 IP 地址创建 DNS 记录:

    • download.citrix.com
    • sdwanzt.citrix.com
    • sdwan-home.citrix.com

    在高级配置的情况下:

    例如:如果本地 Orchestrator 域配置为 citrix.com,则下载管理服务域将配置为 download.citrix.com,并且统计管理服务域配置为 statistics.citrix.com。然后,您必须在 DNS 服务器中为下面的 FQDN 和相应的 IP 地址创建 DNS 记录:

    • download.citrix.com
    • sdwanzt.citrix.com
    • statistics.citrix.com

    On-Prem Orchestrator 可能支持正在运行的服务,如下载、独立服务器实例上的统计信息,以便为大型网络提供更好的可扩展性。您可以选择 高级配置并配置载管理服务和统计管理 服务。

    选中 “ 高级配置 ” 复选框并提供以下详细信息:

    • 下载管理服务 IP/Domain:提供有助于将 SD-WAN 软件和配置下载方面卸载的 IP 地址/域到独立的服务器实例,以便为大型网络提供更好的可扩展性。

    • 统计管理服务 IP/Domain:提供有助于将 SD-WAN 统计信息的收集和管理从设备转移到独立服务器实例的 IP 地址/域,从而为大型网络提供更好的可扩展性。

  4. 单击应用

    要重新生成、下载和上传 SD-WAN 设备或本地 SD-WAN Orchestrator 证书,请导航到 高级设置 > 本地 Orchestrator > 证书

    如果禁用了本地 Orchestrator 身份验证类型,设备可以通过无身份验证单向身份验证模式或双向身份验证模式连接到本地 Orchestrator。

    如果启用了 Onprem Orchestrator 身份验证类型 ,则设备只能通过 双向身份验证连接到 Onprem Orchestrator。

    在将 on-prem Orchestrator 中的 身份验证类型 从启用状态禁用时,处于单向身份验证模式的现有设备将进入断开连接状态。客户必须将设备身份验证类型更改为双向身份验证,然后将 SD-WAN 设备证书上传到本地 PREM Orchestrator 才能连接。

    注意

    • 生成的证书是 X509 自签名证书。
    • 如果证书过期或破坏,客户必须重新生成证书。
    • 证书的有效期为 10 年。
    • 您可以查看证书详细信息,如指纹、开始日期和结束日期
    • 客户必须确保在 On-PREM Orchestrator 和 SD-WAN 设备之间重新生成并交换证书,以避免设备与 ON-PREM 编排器的连接丢失。
  5. 选择 身份验证类型。以下是 SD-WAN 设备和内部 PREM SD-WAN Orchestrator 连接之间支持的身份验证类型:

    • 无身份验证 — 在本地 SD-WAN Orchestrator 和 SD-WAN 设备之间不进行身份验证,也无需使用 SD-WAN 设备或本地 SD-WAN Orchestrator 证书。但是,如果您有一个安全的网络,如 MPLS,则可以使用此选项。

      新用户界面无身份验证

    • 单向身份验证 — 在选择单向身份验证类型时,必须上传本地 Orchestrator 证书。从本地业务编排器下载本地 PREM 业务流程,然后单击“上载”。SD-WAN 设备使用上传的证书信任本地 PREM 协调器。

      新的 UI 单向身份验证

    • 双向身份验 证 — 必须彼此交换本地 Orchestrator 和设备证书。对于 双向身份验证,您必须在本地 Orchestrator 上重新生成、下载和上传 SD-WAN 设备证书。SD-WAN 设备和 On-PREM Orchestrator 使用交换的证书相互信任。

      新用户界面双向身份验证

注意

建议仅使用单向身份验证或双向身份验证。如果没有身份验证,则必须选择安全 DNS 服务器。

要禁用本地 SD-WAN Orchestrator 连接,请清除 启用本地 SD-WAN Orchestrator 连接 ,然后单击 应用。要将本地 PREM 编排器托管网络转换为云编排器或 MCN 托管网络,您需要禁用内部 PREM SD-WAN Orchestrator 连接,并且必须执行配置重置。要重置配置,请导航到 配置 > 系统维护 > 配置重置

升级和降级

  • 将 SD-WAN 装置从 11.1.1/11.2.0/10.2.7 升级到 11.2.1 软件版本之后,您必须同时交换装置证书和本地编排器证书。

  • 将 SD-WAN 设备从 11.2.1 降级到 11.1.1/11.2.0/10.2.7 软件版本后,必须在 Citrix SD-WAN 设备用户界面上再次应用身份设置。如果出现与本地 SD-WAN Orchestrator 配置或 SD-WAN 装置连接相关的问题,请禁用本 SD-WAN Orchestrator 连接,然后再次启用本地 SD-WAN 协调器连接。

必须禁用本 地 SD-WAN Orchestrator 身份验证类型 才能管理运行 10.2.7/11.1.1/11.2.0 软件版本的 SD-WAN 设备。

监视

在监控部分下,您可以查看 地址解析协议 (ARP)、路由、以太网、以太网 MAC 统计信息以及 DHCP 客户端 WAN 链路、SLAAC WAN 链路、DHCP 服务器/中继、防火墙连接、 流量DNS 统计信息。

  • ARP、路由、以太网和以太网 MAC 统计:您可以看到 ARP、路由、以太网和以太网 MAC 的统计信息。使用统计信息,您可以验证任何流量或接口错误。有关详细信息,请参阅 查看统计信息

  • DHCP 客户端 WAN 链接:DHCP 客户端 WAN 链接页面提供了学习 IP 的状态。您可以请求续订 IP,这会刷新租约时间。您还可以选择 发布续订,这将发布新的 IP 地址与新租约。有关更多详细信息,请参阅 监视 DHCP 客户端 WAN 链接

  • SLAAC WAN 链接:SLAAC WAN 链接页面提供了 SLAAC 分配给虚拟接口的 IPv6 地址的详细信息。您还可以选择 “ 发布续订 ” 以允许 SLAAC 向 IPv6 客户端分配新的 IP 地址或具有新租约的相同 IP 地址。

  • DHCP 服务器/中继:您可以将 SD-WAN 设备用作 DHCP 服务器或 DHCP 中继代理。

    • DHCP 服务器功能允许与 SD-WAN 设备的 LAN/WAN 接口位于同一网络中的设备从 SD-WAN 设备获取其 IP 配置。
    • 通过 DHCP 中继功能,您的 SD-WAN 设备可以在 DHCP 客户端与服务器之间转发 DHCP 数据包。

    有关详细信息,请参阅 DHCP 服务器和 DHCP 中继

  • 防火墙连接防火墙连接 页面提供防火墙连接统计信息。您可以查看防火墙策略如何对每个应用程序的流量进行操作。有关详细信息,请参阅查看防火墙统计信息

  • 部分提供了查看虚拟 WAN 流信息的基本说明。有关详细信息,请参阅 查看流程信息

  • DNS 代理统计信息:此页提供有关已配置 DNS 代理的详细信息。单击 刷新 以获取当前数据。有关详细信息,请参阅 域名系统

诊断

诊断 部分提供了测试和调查连接问题的选项。有关详细信息,请参阅 诊断

注意:

对于 Citrix SD-WAN 110 设备,一次只能存在一个诊断程序包。对于 Citrix SD-WAN 210 装置,最多允许五个诊断程序包。

系统维护

使用 “ 系统维护 ” 部分执行维护活动。“ 系统维护 ” 页包含以下选项:

  • 删除文件:您可以删除日志文件、备份文件和存档数据库。从下拉菜单中选择要删除的文件,然后单击删除按钮。
  • 重新启动系统:您可以重新启动虚拟 WAN 服务或重新启动系统。
  • 本地变更管理:本 地更改管理 流程允许您将新的设备包上载到此单独的装置。
  • 配置重置:您可以重置配置。此选项可清除此设备上的用户数据、日志、历史记录和本地配置数据。
  • 恢复出厂设置:使用恢复出厂设置选项将 SD-WAN 设备重置为已发货的版本。

注意

所有这些功能已在现有的 SD-WAN 文档中详细说明。

不受支持的平台

新 UI 不支持以下 SD-WAN 设备:

  • Citrix SD-WAN 1000 SE /PE
  • Citrix SD-WAN 2000 SE /PE
  • Citrix SD-WAN 4000 SE
用于 SD-WAN 设备的新用户界面