Citrix SD-WAN Orchestrator für On-Premises 14.4

In-Band-Verwaltung

Mit dem Citrix SD-WAN Orchestrator Service können Sie die SD-WAN-Appliance auf zwei Arten verwalten: Out-of-Band-Verwaltung und In-Band-Verwaltung. Mit der Out-of-Band-Verwaltung können Sie eine Verwaltungs-IP mit einem für die Verwaltung reservierten Port erstellen, der nur den Verwaltungsdatenverkehr trägt. Mit der In-Band-Verwaltung können Sie die SD-WAN-Datenports für die Verwaltung verwenden. Es überträgt sowohl Daten- als auch Verwaltungsdatenverkehr, ohne einen zusätzlichen Verwaltungspfad konfigurieren zu müssen.

Durch die In-Band-Verwaltung können virtuelle IP-Adressen mit Verwaltungsdiensten wie Web-UI und SSH verbunden werden. Sie können die In-Band-Verwaltung auf einer vertrauenswürdigen Schnittstelle aktivieren, die für IP-Dienste verwendet werden kann. Sie können auf die Web-UI und SSH über die Management-IP und virtuelle In-Band-IPs zugreifen.

Hinweis

Die In-Band-Verwaltung im Citrix SD-WAN Orchestrator Service wird für Citrix SD-WAN 11.1.1 und höher unterstützt.

Um die In-Band-Verwaltung auf einer virtuellen IP zu aktivieren, navigieren Sie auf Standortebene zu Konfiguration > Standortkonfiguration > Schnittstellen. Wählen Sie die virtuelle IP aus, die als In-Band-Verwaltungsport verwendet werden soll. Sie können die InBand Management IP oder InBand Management IPv6 verwenden, um auf die Web-Benutzeroberfläche und SSH zuzugreifen.

Hinweis

Die In-Band-Verwaltung wird nur auf LAN-Ports unterstützt.

In-Band-Verwaltung

Eine detaillierte Vorgehensweise zur Konfiguration einer virtuellen IP-Adresse finden Sie unter Schnittstellen.

Das In-Band-Management-IP fungiert auch als IP zur Backup-Verwaltung. Sie wird als Verwaltungs-IP-Adresse verwendet, wenn der Verwaltungsport nicht mit einem Standard-Gateway konfiguriert ist. Wählen Sie den DNS-Proxy aus, an den alle DNS-Anforderungen über die In-Band-Verwaltungsebene weitergeleitet werden. Informationen zur Konfiguration des DNS-Proxy finden Sie unter DNS-Proxy.

In Anwendungsfällen, in denen die Appliance-Konnektivität zum Citrix SD-WAN Orchestrator Service zwischen Verwaltungs- und Inband-Ports umschaltet, konfigurieren Sie InBand Management DNS oder InBand Management DNS V6, um eine unterbrechungsfreie Konnektivität des Citrix SD-WAN Orchestrator Service sicherzustellen.

In-Band-Provisioning

Die Notwendigkeit, SD-WAN-Appliances in einfacheren Umgebungen wie zu Hause oder in kleinen Zweigstellen bereitzustellen, ist deutlich gestiegen. Das Konfigurieren separater Verwaltungszugriff für einfachere Bereitstellungen stellt einen zusätzlichen Overhead dar. Die Zero-Touch-Bereitstellung zusammen mit der In-Band-Verwaltungsfunktion ermöglicht die Provisioning und Konfigurationsverwaltung über bestimmte Datenports. Die Zero-Touch-Bereitstellung wird auf den ausgewiesenen Datenports unterstützt und es ist nicht erforderlich, einen separaten Verwaltungsport für die Zero-Touch-Bereitstellung zu verwenden.

Sie können eine Appliance im werksseitigen Auslieferungszustand bereitstellen, die die In-Band-Provisioning unterstützt, indem Sie die Daten oder den Verwaltungsport mit dem Internet verbinden. Die Appliances, die die In-Band-Provisioning unterstützen, verfügen über spezifische Ports für LAN und WAN. Die Appliance im Factory-Reset-Zustand verfügt über eine Standardkonfiguration, die es ermöglicht, eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen. Der LAN-Port fungiert als DHCP-Server und weist dem WAN-Port, der als DHCP-Client fungiert, eine dynamische IP zu. Die WAN-Verbindungen überwachen den Quad 9-DNS-Dienst, um WAN-Konnektivität zu ermitteln.

Sobald die IP-Adresse abgerufen und eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst hergestellt wurde, werden die Konfigurationspakete heruntergeladen und auf der Appliance installiert. Informationen zur Zero-Touch-Bereitstellung über den Citrix SD-WAN Orchestrator Service finden Sie unter Zero Touch Deployment.

Hinweis

  • Die In-Band-Provisioning gilt für alle Plattformen. Die Standardkonfiguration ist jedoch nur auf Citrix SD-WAN 110- und VPX-Plattformen aktiviert, da die anderen Plattformen mit einer älteren Softwareversion ausgeliefert werden.
  • Für die 0-tägliche Provisioning von SD-WAN-Appliances über die Daten-Ports muss die Softwareversion der Appliance Citrix SD-WAN 11.1.1 oder höher sein.

Die Standardkonfiguration einer Appliance im Zurücksetzungsstatus auf Werkseinstellungen umfasst die folgenden Konfigurationen:

  • DHCP-Server auf LAN-Anschluss
  • DHCP-Client auf WAN-Port
  • QUAD9-Konfiguration für DNS
  • Die Standard-LAN-IP ist 192.168.101.1/24 für Citrix SD-WAN Appliances mit Factory-Image 11.1.1.39.
  • Die Standard-LAN-IP ist 192.168.0.1/24 für Citrix SD-WAN 110 Appliance mit Factory-Image 11.0.4.
  • Grace Lizenz von 35 Tagen.

Nach der Bereitstellung der Appliance wird die Standardkonfiguration deaktiviert und durch die vom Zero-Touch-Bereitstellungsdienst empfangene Konfiguration überschrieben. Wenn eine Appliance-Lizenz oder Grace-Lizenz abläuft, wird die Standardkonfiguration aktiviert, wodurch sichergestellt wird, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt und den lizenzverwalteten Dienst erhält.

Fallback-Konfiguration

Die Fallback-Konfiguration stellt sicher, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt, wenn ein Verbindungsfehler, eine Konfigurations- oder Softwarekdiskrepanz vorliegt. Die Fallbackkonfiguration ist standardmäßig auf den Appliances aktiviert, die über ein Standardkonfigurationsprofil verfügen. Sie können die Fallback-Konfiguration auch gemäß Ihren vorhandenen LAN-Netzwerkeinstellungen bearbeiten.

Die Fallback-Konfiguration behält die Konnektivität zur Appliance über die In-Band-Verwaltungs-IP der Appliance und den Citrix SD-WAN Orchestrator Service in den folgenden Szenarien bei:

  • Wo die t2_App abstürzt
  • Sie versuchen, die Konfiguration zurückzusetzen

In einem Szenario, in dem für eine Appliance die In-Band-Verwaltung konfiguriert ist und Sie die Konfiguration manuell zurücksetzen oder die t2_app aufgrund der Benutzerkonfiguration innerhalb von 120 Sekunden mehr als viermal abstürzt. In einem solchen Framework wird der Dienst deaktiviert und daher verlieren Sie die Konnektivität zum Citrix SD-WAN Orchestrator Service und der Appliance.

Wenn Sie jedoch die Fallback-Konfiguration aktiviert hatten, erhalten Sie die folgenden Funktionen:

  • Grundlegender In-Band-Zugriff auf Verwaltungsfunktionen (Web-UI/SSH/SNMP)
  • Fähigkeit der Appliance, über einen In-Band-Port eine Verbindung zu externen Diensten herzustellen (Citrix SD-WAN Orchestrator Service/ZTD)

In solchen Szenarien wird die Dienst-Appliance mit einer Fallback-Konfiguration mit aktiviertem Dienst zurückgesetzt, anstatt sie zu deaktivieren. Die Konnektivität zum Citrix SD-WAN Orchestrator Service und der Appliance über die In-Band-Verwaltungs-IP bleibt erhalten, solange die Verbindung über eine Internetverbindung verfügt.

Hinweis

Stellen Sie nach der ersten Appliance-Bereitstellung sicher, dass die Fallback-Konfiguration für die Zero-Touch-Bereitstellungsdienstkonnektivität aktiviert ist.

Wenn die Fallback-Konfiguration deaktiviert ist, können Sie sie über den Citrix SD-WAN Orchestrator Service auf Standortebene aktivieren, indem Sie zu Konfiguration > Appliance-Einstellungen > Fallback navigieren und auf Fallback-Konfiguration aktivieren klicken.

Fallback-Konfiguration aktivieren

Um die Fallback-Konfiguration an Ihr LAN-Netzwerk anzupassen, bearbeiten Sie die Werte für die folgenden LAN-Einstellungen entsprechend Ihren Netzwerkanforderungen. Dies ist die Mindestkonfiguration, die erforderlich ist, um eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen.

  • VLAN-ID: Die VLAN-ID, zu der der LAN-Port gruppiert werden muss.
  • IP-Adresse: Die dem LAN-Port zugewiesene virtuelle IP-Adresse.
  • DHCP-Server aktivieren: Aktiviert den LAN-Port als DHCP-Server. Der DHCP-Server weist dem WAN-Port dynamische IP-Adressen zu.
  • DHCP-Start und DHCP-Ende: Der IP-Adressbereich, den DHCP verwendet, um dem WAN-Port dynamisch eine IP zuzuweisen.
  • Dynamischer DNS-Server: Aktiviert den LAN-Port als Domänennamenserver.
  • DNS-Server: Die IP-Adresse des primären DNS-Servers.
  • Alt DNS Server: Die IP-Adresse des sekundären DNS-Servers.
  • Internetzugang: Erlaubt allen LAN-Clients den Internetzugang ohne weitere Filterung.

Fallback-Konfigurationseinstellungen

Konfigurieren Sie den Modus für jeden Port. Der Port kann ein LAN-Port oder ein WAN-Port sein oder deaktiviert werden. Die angezeigten Ports hängen vom Appliance-Modell ab. Stellen Sie außerdem den Port-Bypass-Modus auf Fail-to-Blockierung oder Fail-to-Wireein.

Die folgende Tabelle enthält die Details der vordefinierten WAN- und LAN-Ports für die Fallbackkonfiguration auf verschiedenen Plattformen:

Plattform WAN-Ports LAN-Ports
110 1/2 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

Porteinstellungen

Die WAN-Ports können mithilfe des DHCP-Clients als unabhängige WAN-Links konfiguriert werden und den Quad9-DNS-Dienst überwachen, um die WAN-Konnektivität zu ermitteln. Sie können WAN-IPs/Statische IPs für die WAN-Ports ohne DHCP konfigurieren, um das In-Band-Management für die anfängliche Provisioning zu verwenden.

Hinweis

Sie können die Ethernet-Ports nur mit den statischen IPs konfigurieren. Die statischen IPs sind nicht mit LTE-1- und LTE-E1-Ports konfigurierbar. Obwohl Sie den LTE-1 und LTE-E1-Port als WAN hinzufügen können, bleiben die Konfigurationsfelder nicht editierbar.

Wenn Sie einen WAN-Port hinzufügen, wird dieser im Abschnitt WAN-Einstellungen (Port: 2) hinzugefügt, wobei das Kontrollkästchen DHCP aktivieren standardmäßig aktiviert ist. Wenn das Kontrollkästchen DHCP-Modus aktiviert ist, sind die Textfelder IP-Adresse, Gateway-IP-AdresseundVLAN-IDausgegraut.Deaktivieren Sie das Kontrollkästchen DHCP aktivieren, wenn Sie statische IP konfigurieren möchten.

WAN-Port-Einstellungen

Standardmäßig wird das Feld WAN-Tracking-IP-Adresse automatisch mit 9.9.9.9 gefüllt. Sie können die Adresse nach Bedarf ändern.

Hinweis

Wenn Sie das Kontrollkästchen Dynamische DNS-Server aktivieren, stellen Sie sicher, dass mindestens ein WAN-Port mit ausgewähltem DHCP-Modus hinzugefügt/konfiguriert wird.

Um die Fallback-Konfiguration jederzeit auf die Standardkonfiguration zurückzusetzen, klicken Sie auf Zurücksetzen.

Hinweis

Es wird empfohlen, die Fallback-Konfiguration auf allen Appliances zu aktivieren, die über den mit dem LAN-Subnetz verbundenen In-Band-/Management-Port mit Orchestrator verbunden sind. Stellen Sie sicher, dass die Standardausfallkonfiguration gemäß den Anforderungen Ihres Netzwerksubnetzes eingerichtet ist.

Port-Failover

Der Citrix SD-WAN Orchestrator Service ermöglicht auch ein nahtloses Failover des Verwaltungsverkehrs an den Management-Port, wenn der Datenport ausfällt und umgekehrt. Wenn eine Appliance sowohl über die Verwaltungs- als auch über die In-Band-Ports eine Verbindung zum Internet herstellen kann, wird der Verwaltungsport für die Zero-Touch-Bereitstellung ausgewählt.

Wenn beim Neustart der Appliance das Internet über den In-Band-Port und nicht über den Management-Port verfügbar ist, wird die Appliance sofort mit dem Citrix SD-WAN Orchestrator Service verbunden.

Sobald die Verbindung hergestellt ist, sendet ein auf der Appliance ausgeführter Dienstagent die Heartbeat-Informationen alle 10 Sekunden an den Citrix SD-WAN Orchestrator Service. Wenn der Citrix SD-WAN Orchestrator Service den Heartbeat 5 Minuten lang nicht empfängt, wird das In-Band-Port-Failover aktiviert. Der Citrix SD-WAN Orchestrator Service meldet die Appliance während dieses Zeitraums als offline.

Wenn beim Neustart der Appliance das Internet sowohl über den Verwaltungs- als auch über den In-Band-Port nicht verfügbar ist und die Internetverbindung wiederhergestellt ist, benötigt der Service-Agent etwa 5 Minuten, um neu zu starten und eine Verbindung herzustellen.

Stellen Sie sicher, dass die Option Route zum Internet von Link beibehalten, auch wenn alle verknüpften Pfade ausgefallen sind, auf Netzwerkebene aktiviert ist: Konfiguration > Bereitstellungsdienste > Internet. Sicherstellen, dass die Konnektivität zum Citrix SD-WAN Orchestrator Service auch dann aufrechterhalten wird, wenn der virtuelle Pfad ausgefallen ist.

Weg zum Internet beibehalten

Konfigurierbares Management oder Data-Port

Durch die In-Band-Verwaltung können die Datenports sowohl Daten- als auch Verwaltungsdatenverkehr übertragen, wodurch ein dedizierter Management-Port überflüssig wird. Es lässt den Management-Port ungenutzt auf den Low-End-Appliances, die bereits eine geringe Portdichte aufweisen. Mit Citrix SD-WAN können Sie den Verwaltungsport so konfigurieren, dass er entweder als Datenport oder als Verwaltungsport verwendet wird.

Hinweis

Sie können den Verwaltungsport nur auf den folgenden Plattformen in Datenport konvertieren.

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Verwenden Sie beim Konfigurieren einer Site den Management-Port in Ihrer Konfiguration. Nachdem die Konfiguration aktiviert wurde, wird der Management-Port in einen Datenport konvertiert.

Hinweis

Sie können einen Verwaltungsport nur konfigurieren, wenn die In-Band-Verwaltung auf anderen vertrauenswürdigen Schnittstellen der Appliance aktiviert ist.

Um eine Verwaltungsschnittstelle zu konfigurieren, navigieren Sie auf Standortebene zu Konfiguration > Standortkonfiguration > Schnittstellen, und wählen Sie die MGMT-Schnittstelle aus. Weitere Informationen zum Konfigurieren von Schnittstellengruppen finden Sie unter Schnittstellen.

Konfigurierbarer Management-Port

Um den Verwaltungsport neu zu konfigurieren, um Verwaltungsfunktionen auszuführen, entfernen Sie die Konfiguration. Erstellen Sie eine Konfiguration, ohne den Management-Port zu verwenden, und aktivieren Sie sie.

In-Band-Verwaltung