PoC 指南:适用于家庭办公室的软件定义广域网

概述

本概念验证 (PoC) 指南旨在帮助您使用 Citrix SD-WAN Orchestrator 服务作为管理工具快速部署 Citrix SD-WAN 家庭办公环境。 Citrix SD-WAN 家庭办公室设计决策指南 概述了将 Citrix SD-WAN 集成到家庭办公室的广域网拓扑决策。

查看 ISP + LTE 选项的以下用例,该选项包括 ISP 提供的主要 WAN 链路。它通过 LTE 服务进行了增强,以审查实施注意事项。

ISP + LTE 家庭办公拓扑

在此用例 (ISP+LTE) 中,管理员必须首先验证目标家庭办公网络是否满足以下先决条件:

  • 已启动并运行由当地 ISP 提供的现有互联网连接。
  • ISP 提供了一个托管路由器,为现有的 “家庭网络” 提供服务。 ISP 路由器必须有可用的以太网端口。它还可以充当 DHCP 服务器,将 IP 和 DNS 地址信息分配给通过以太网提出请求的客户端主机。SD-WAN 设备上的接口 1/2 作为 DHCP 客户端启用。
  • 激活的 LTE SIM 卡(由最终用户直接购买,或由管理员或第三方供应商提供)。

在使用户参与任何现场活动之前,确认先决条件是否可用,有助于确保快速简化部署,从而可扩展到数千个终端节点。

选择适当的 SD-WAN 平台来支持家庭办公室所需的设计至关重要。例如,如果设计概述了 LTE 服务用作 WAN 链路,那么选择具有集成 LTE 调制解调器的 SD-WAN 平台(例如 110-LTE-SE、210-LTE-SE)将有助于减少现场组件并降低安装程序的复杂性。

Citrix 110-LTE-SE 和 210-LTE-SE 平台完全支持本文档前面详细介绍的设计选项(单 ISP、双 ISP +LTE、ISP+LTE 待机、双 LTE)。每个 SD-WAN 平台的硬件规格略有不同,因此支持的设计存在一些差异。

例如,当使用 210 标准版平台时,该系统配备了集成旁路硬件,允许在内联模式下部署 SD-WAN。在 SD-WAN 硬件发生故障的情况下,家庭佣工可以与 SD-WAN 连接不到底层,或者通过旁路接口进行家庭网络连接。

Citrix SD-WAN 的所有版本都与 Citrix Secure Internet Access 进行互操作,为家庭工作人员提供对 Web 和 SaaS 应用程序的安全访问。或者,通过选择高级版(210、410 和 1100 平台支持),系统配备了边缘安全功能(例如 IDS/IPS、Web 过滤、恶意软件防护)。这些功能可以帮助保护 “远程工作网络” 的安全,并为选定的互联网流量启用本地突破。

另一种选择是使用带有可用 PoE+ 接口的 1100-SE 平台,以便能够使用以太网供电的设备,例如 VoIP 桌面电话。但是,使用 PoE 注入器可以为需要 PoE 的家庭办公用例使用低端 SD-WAN 设备,例如 110-SE。除了绕过接口外,1100 平台还可以托管第三方 VNF,例如帕洛阿尔托或检查点防火墙。

值得一提的其他一些功能可以帮助缩小对家庭工作者网络设计中选择的正确平台的关注范围,包括 110 平台提供 Wi-Fi Fi-Ready。软件升级到 R11.3.x 后,它可以作为 “远程工作网络” 的无线接入点。(此功能仅适用于 110-LTE-Wi-FI-SE 平台)。110 平台还支持外部 USB LTE 调制解调器(也可用于 210 和 1100 平台)。它可以用来支持双 LTE 用例,或者为 ISP+LTE 用例添加第三个 WAN 选项。

使用 Citrix SD-WAN Orchestrator 服务

SD-WAN 管理员通过 Citrix SD-WAN Orchestrator 服务站点配置文件和模板集中管理和限制受支持的部署用例。限制家庭办公室部署方案可以轻松管理大规模部署,并允许快速修改多个站点以适应未来的变化。 在 Citrix SD-WAN Orchestrator 服务中构建家庭办公站点时,还需要考虑一些其他管理注意事项,例如:

  • 零接触部署使用什么方法来配置远程设备?
  • 置备设备后,设备如何继续与 Citrix SD-WAN Orchestrator 服务通信以进行进一步的配置更新和数据收集?
  • 在不同的故障情况下,我们如何考虑持续连接到云服务?
  • 如果家庭办公部署使用 WAN 交付服务(例如 Citrix Secure Internet Access 或 Citrix Cloud Direct),则必须使用单个路由域。目前不支持将多个路由域与 WAN 交付服务同时使用。

在我们逐步构建配置时,我们将重点介绍其中一些内容。

创建站点简介

要在 Orchestrator 中设置站点配置文件,管理员可以执行以下步骤: (有关更多信息,请参阅 Citrix Orchestrator 配置文件)。

  1. 创建新的站点配置文件(通过选择 所有站点,然后导航到 配置 > 配置文件和模板 > 配置文件
  2. 填写网站详细信息:
    • 网站简介名称: 家庭办公(110_ISP+LTE)
    • 设备型号: 110
    • 设备版本:SE
    • 子模型: LTE-WiFi
    • 站点角色: 分支 站点详细信息
  3. 接下来,配置接口的使用以匹配所需的设计,添加每个必需的接口: ISP + LTE
  • 为 LAN 添加接口 1/1:
    • 部署模式:Edge(网关)
    • 接口类型:局域网
    • 安全:值得信赖
    • 选择接口: 1/1 和 SSID1(此局域网接口定义除了通过 Wi-Fi SSID 连接的设备之外,还用于物理连接终端主机设备的参数)
    • VLAN ID:0
    • 路由域: HomeOffice单路由域(default_RouingDomain)可用于仅连接家庭办公室且未连接到现有 SD-WAN 站点部署的 SD-WAN 部署。但是,在文档前面概述的场景中,要将家庭办公室添加到现有部署中,可以引入一个新的路由域来隔离和限制家庭办公室在数据中心网络中的连接访问。) * 防火墙区域:d efault_lan_zone 接口 LAN
  • 为 WAN 添加接口 1/2:
    • 部署模式:Edge(网关)
    • 接口类型: WAN
    • 安全性: 不可信
    • 选择接口: 1/2
    • DHCP 客户端: 已启用预计此 SD-WAN 接口通过缆线连接到家庭办公室现有的家庭网络,家庭路由器被配置为 DHCP 服务器,并为作为 DHCP 客户端运行的接口 1/2 分配 IP 地址。) * VLAN ID:0 * 路由域:default_routingDomain * 防火墙区域: 不受信任的 Internet_Zone 接口 WAN]
  • 添加适用于 WAN 的接口 LTE-1:
    • 部署模式:Edge(网关)
    • 接口类型: WAN
    • 安全性: 不可信
    • 选择接口: LTE-1
    • VLAN ID:0
    • DHCP 客户端: 已启用
    • 路由域: default_RouingDomain
    • 防火墙区域: 不受信任的互联网 _Zone 接口 LTE
  • 添加接口 1/4-MGMT 用于设备管理目的:
    • 部署模式:Edge(网关)
    • 接口类型:局域网
    • 安全:值得信赖
    • 选择接口: 1/4-MGMT
    • VLAN ID:0
    • 路由域: default_RouingDomain此管理界面的配置是必需的,有两个用途
      1. 在通过零接触部署配置设备后,允许继续连接到云服务。
      2. 作为管理员远程访问设备本地 Web 界面以进行故障排除/监控的方法。

      假设管理员位于数据中心网络中连接到 Default_RoutingDomain 上的 SD-WAN,那么远程 SD-WAN 设备的 Web 界面可以通过在此接口上启用的带内管理功能访问。远程管理员与 Mgmt. 接口的连接是通过虚拟路径完成的。此外,与云服务(如 Citrix SD-WAN Orchestrator 服务)的连接是通过为 default_RoutingDomain 启用的本地互联网突围(互联网服务)来实现的。如果需要的话,可以通过数据中心回传互联网连接,然后在那里进行互联网连接。管理端口 (1/4) 不需要为 Web 界面连接电缆,数据轮询功能即可在任何启用带内管理的接口上运行。) 管理 * 防火墙区域:d efault_lan_zon e 接口管理

满足以下配置要求的接口可用于带内管理:

  • 安全性必须设置为 可信
  • 接口类型必须是 局域网
  • 选定的 IP 未设置为
  • IP 的身份 设置为 true

4. 接下来,创建新的 WAN 链接以匹配所需的设计:

  • 使用接口 1/2 添加 WAN 链接 #1:
    • 访问类型: 公共互联网
    • ISP 名称 (自定义):ISP
    • 互联网类别: 互联网
    • 链接名称:互联网-ISP-1
    • 公共 IP 地址自动学习: 已启用由于分支节点尝试使用其 MCN/RCN 建立路径,MCN/RCN 表示的站点将使用此功能动态获取每个分支站点的公共 IP 地址。使用公共互联网传输时,MCN/RCN 表示的站点只需要静态公共 IP 地址。) * 出口速度: 50 Mbps * 入口速度: 50 Mbps (WAN 链路 #1 上定义的上载和下载速度取决于每个家庭网络的带宽可用性。建议保持在这些带宽限制之下,并允许共享该链路的其他家庭成员使用一些带宽。优先考虑 ISP 路由器上的 SD-WAN 隧道流量 (UDP 4980) 有助于确保 SD-WAN 在遇到链路争用时不会停止使用该链路。如果需要,可以配置不同 WAN 链路速度的多个站点配置文件,以适应家庭办公室本地互联网条件中的一些差异。) * 虚拟接口: VIF-2-WAN-1 * 虚拟路径模式:主 WAN Link 1
  • 使用接口 LTE-1 添加 WAN 链接 #2:
    • 访问类型: 公共互联网
    • ISP 名称(自定义): LTESP
    • 互联网类别: LTE
    • 链接名称:LTE-LTE-SP-2
    • 公共 IP 地址自动学习: 已启用
    • 出口速度: 20 Mbps
    • 入口速度: 20 Mbps (WAN link #2上定义的上载和下载速度取决于 LTE 提供商,但是管理员可以通过硬设置较低的带宽速度来限制使用量。或者可以按预期的速率进行设置并配置自适应带宽检测等功能。) * 虚拟接口: VIF-3-WAN-2 * 虚拟路径模式:主要 * 活动 MTU 检测:禁用 * 启用计量:已禁用 * 待机模式: 最后手段 (已启用_WAN 链路待机有两种操作模式:“最后手段” 或 “按需”。只有当所有非备用链接都不可用或禁用时,最后手段备用链接才会激活。在类似情况下,按需备用链路将变为活动状态,但是当虚拟路径的可用带宽超过配置的按需带宽限制时,也能够激活。在两种待机模式下,链路上仍有未激活的数据使用情况。数据使用量可以通过心跳间隔的频率进行控制。例如,在非活动链路状态下,备用 WAN 链路可能会消耗 150 MB 到 270 MB 的数据,只为探测流量配置了 1 秒检测信号间隔。_) * 活动检测信号间隔:1 * 待机检测信号间隔:1 WAN Link 2

批量创建站点

创建站点配置文件后,它可用于批量创建多个家庭办公站点。要使用 Citrix SD-WAN Orchestrator 服务批处理添加新站点,管理员可以执行以下操作: (有关更多信息,请参阅 Orchestrator 网络配置

  1. 批量添加站点(选择所有站点,然后导航到配置 > 网络配置主页,然后单击批量添加站点按钮)
  2. 批量输入要创建的站点数量,然后单击下一步
  3. 选择要与新站点全局关联的 “站点配置文件”,然后输入唯一属性以标识每个站点(例如 “站点名称”、“站点地址”) 批量创建站点

站点配置的基本设置

创建站点并且每个站点都引用所需的站点配置文件后,单击每个创建的站点可进行进一步的配置,允许输入特定于每个站点的唯一属性。

  1. 站点详细信息: 在多区域架构中部署时,此处的站点可以与特定区域相关联;如果在默认单区域部署中部署,则将其保留在默认区域中。 批处理站点详情
  2. 设备详细信息: 此处输入一个唯一的序列号,特别是发送到 Office Site 的设备的序列号。序列号用于在设备呼叫家庭时对其进行身份验证,并在零接触部署过程中检索此特定站点配置。 批处理设备详情
  3. Wi-Fi 详情
    • i. 启用无线网络。 为此家庭办公站点配置所需的无线电和 SSID 设置。 Wi-Fi 详情
  4. 接口
    • i. 编辑接口 1/1 LAN。 每个站点都需要使用 “远程工作网络” 进行唯一定义。选择 LAN 接口,然后输入要为此特定远程站点分配的子网。输入的主 IP 地址用作此远程工作网络的 局域网网关 V IP(例如 172.17.35.1/29)。 批处理接口 * ii. 编辑接口 1/2 WAN。 验证 DHCP 客户端是否启用 WAN 接口,以便从 “现有家庭网络” 自动获取 IP 地址。使用此功能的好处是,您不必具体了解家庭网络的现有子网,但是在现有家庭路由器/调制解调器上有一个可用的 10/100/1000 以太网端口需要依赖于底层,并确保与其连接的任何设备都有 IP 地址、DNS 和互联网连接。 批量广域网 12 * iii. 编辑接口 LTE-1 广域网。 验证是否已为 DHCP 客户端启用 LTE WAN 接口,以便从 LTE 提供商网络自动获取 IP 地址。 批量 LTE * iv. 编辑接口 1/4-MGMT 局域网。 每个站点都需要使用管理 IP 地址进行唯一定义,该地址用于持续连接到云服务和远程管理员通过虚拟路径访问 Web 界面的目的。输入要为此特定远程站点分配的子网。输入的主 IP 地址用作此远程工作网络的 管理 IP (例如 172.17.36.1/32)。 批处理接口 管理从下拉菜单中选择带内管理 IP(例如 172.17.36.1)。有关更多信息,请参阅 带内管理管理 IP
  5. WAN 链接:
    • i. 编辑 WAN 链接 #1,例如互联网-ISP-1,它使用接口 1/2: 在此示例场景中,WAN Link #1 使用 “现有家庭网络”,该网络可以作为与家中的其他用户(被视为非工作人员)共享的资源。在这种情况下,除非为家庭工人使用专用的互联网服务,否则 SD-WAN 无法保证为出口和入口速率配置的速度。在共享线路上,您可以在此 WAN 链路上启用 自适应带宽检测 功能,这是专为提供不同带宽的 WAN 链路而设计的功能。当设备检测到该可用路径上的丢失时,由于流量争用,设备首先以较低的带宽速率使用 WAN 链路,只有当可用带宽 低于配置的最小可接受带宽百分比 时,设备才会将路径标记为坏并尝试避免使用它(即使用状态良好的任何其他可用链接)。如果互联网源未共享并且可以按照配置的速度运行,则无需启用自适应带宽检测。 批量广域网链接 1 批处理 WAN 链接 1 高级 * ii. 使用接口 LTE-1 的编辑 WAN 链接 #2(例如 LTE-ATT-2): WAN Link #2 使用 LTE 网络,该网络在带宽速率上是可变的。在此 WAN 链路上启用 自适应带宽检测 功能,该功能专为提供不同带宽的 WAN 链路而设计。当设备在该可用路径上检测到丢失(这是无线传输的典型情况)时,设备首先以较低的带宽速率使用 WAN 链路,并且只有当可用带宽 低于配置的最小可接受带宽百分比时,设备才会将路径标记为坏并尽量避免使用它(即使用状态良好的任何其他可用链接)。 批处理 WAN 链接 2 批处理 WAN 链接 2 高级
  6. 路由: 一般来说,家庭办公室不需要定义静态路由。如果需要,您可以在此将任何静态定义的子网和品脱配置为 LAN 网关 IP,以便将定义的子网通告给对等 SD-WAN 设备。
  7. 摘要: 可以查看和 保存站点的摘要详细信息。如果未保存站点配置,则如果远离站点的 “基本设置”,则输入将丢失。

高级站点配置

完成基本站点配置后,我们需要确保一些额外的配置项目就位,以便在安装安装并通过零接触部署激活安装后,本地设备能够继续连接。这可以在 “配置” > “交付服务” > “服务和带宽” 下选中所有站点的全局配置完成。可以通过为 WAN 链接类型分配带宽百分比来启用 Internet 服务。通过为 “Internet Link” 类型分配一个百分比(例如 30%),这会自动为配置了该 WAN 链接访问类型的所有站点配置互联网分组。 服务和带宽 此外,当配置了该访问类型(例如 公共 Internet)的站点配置并将相关接口的安全设置设置为 “ 不受信任” 时,系统会自动创建动态 NAT 策略以允许该站点的本地互联网突破。

首页 110 LTE 广域网

首页 110 LTE 广域网

如果将接口配置为 “安全” 设置为 “受信任”,则必须从站点的 “配置” > “高级设置” > “NAT” 页面为所需路由域手动创建动态 NAT 策略。 高级 NAT 如果本地设备需要充当家庭工作人员的 LAN 子网的 DHCP 服务器,则可以在 配置 > 高级设置 > DHCP下启用该功能。 高级 DCHP

部署配置

完成站点特定的详细信息后,SD-WAN 管理员可以通过中央管理工具推送配置。部署最新配置有两个用途:1) 现有 SD-WAN 设备(例如 MCN)已准备好允许从新远程设备进行传入虚拟路径连接尝试;2) 本地设备软件包可在零接触部署云服务上提供,以便下载转到通过零接触部署过程呼叫回家的本地设备。

要部署配置,请确保选择了 “ 所有站点 ”,然后导航到 “ 配置” > “网络配置” 主页。选择所需的软件(如果使用 110 平台,则需要 11.1.1.39 或更高版本)。然后单击 部署配置/软件 以暂存配置和软件包。

部署

部署跟踪器要求配置是暂存和激活的。已连接站点的激活完成,这意味着这些 SD-WAN 设备已准备就绪,可以接受来自新站点的虚拟路径连接尝试。未连接的站点在暂存待处理状态下等待,直到现场安装程序执行零接触部署工作流。

阶段

将配置推送到网络后,远程安装程序的下一步是现场活动是使用前面概述的零接触部署方法之一来站立设备(1.通过广域网接口 (Citrix SD-WAN 110-SE) 进行零接触部署,2.通过 LTE 接口进行零接触部署(Citrix SD-WAN 110-LTE-SE))。 随着带内管理的到位,并通过本地突破或通过数据中心回传配置适当的 Internet 连接,在安装程序启动零接触部署过程后几分钟后,激活完全完成。此时,家庭佣工可以将笔记本电脑 /PC 连接到 LAN 网络,然后开始在家工作到管理员指定的资源。

激活

Endpoint Management

对于 SD-WAN 管理员来说,远程管理跨不同地理区域的 SD-WAN 设备对于成功部署家庭办公室至关重要。通过中央管理工具远程访问 SD-WAN 设备对于配置、监控和故障排除非常重要。

带内管理

带内管理功能允许数据接口传输数据和管理流量,而无需配置带外管理接口。利用带内管理功能使零接触部署过程更加简单,无需现场安装程序配置单独的管理访问,甚至根本不需要访问本地 Web 界面。最近从 R11.1.1 开始,SD-WAN 110-SE 和 VPX 平台引入了带内配置。有关更多详细信息,请参阅 Orchestrator 带内管理

回退配置

回退配置是另一项重要功能,可帮助在发生许可证或软件不匹配等故障时保持从 SD-WAN 设备到 Citrix Cloud Services 的连接。默认情况下,在具有默认配置文件且出厂映像为 R11.1.1 或更高版本的装置上启用回退配置。(有关更多详细信息,请参阅 Orchestrator 回退配置

送货服务

可以对交付服务进行全局定义,以限制互联网、内联网、IPSec 或 GRE 隧道的 SD-WAN 连接。例如,这可能包括定义每个远程站点的本地策略,以便通过 Secure Web Gateway 解决方案(例如 Citrix Secure Internet Access)隧道绑定 Internet 流量,这对于家庭办公用例来说可能是一项有用的功能。(有关更多详细信息,请参阅 Orchestrator 交付服务

路由策略

可以全局定义路由策略以启用流量引导。例如,这可能包括直接突破 O365 流量以实现低延迟性能。(有关更多详细信息,请参阅 Orchestrator 路由

防火墙策略

可以在全局范围内定义防火墙策略,以将家庭用户仅限于业务关键型应用。例如,这可能包括配置全局防火墙设置以丢弃所有流量,并进一步配置策略,以严格限制通过虚拟路径服务的特定流量(例如 Citrix Virtual Apps and Desktops)以及通过 Internet 服务的 O365 流量。(有关更多详细信息,请参阅 Orchestrator 安全性

引用

有关更多信息,请参阅:

远程员工生产力

Citrix SD-WAN 家庭办公技术简介

Citrix SD-WAN 家庭办公室设计决策

PoC 指南:适用于家庭办公室的软件定义广域网