In-Band-Verwaltung
Mit dem Citrix SD-WAN Orchestrator Service können Sie die SD-WAN-Appliance auf zwei Arten verwalten: Out-of-Band-Verwaltung und In-Band-Verwaltung. Mit der Out-of-Band-Verwaltung können Sie eine Verwaltungs-IP mit einem für die Verwaltung reservierten Port erstellen, der nur den Verwaltungsdatenverkehr trägt. Mit der In-Band-Verwaltung können Sie die SD-WAN-Datenports für die Verwaltung verwenden. Es überträgt sowohl Daten- als auch Verwaltungsdatenverkehr, ohne einen zusätzlichen Verwaltungspfad konfigurieren zu müssen.
Durch die In-Band-Verwaltung können virtuelle IP-Adressen mit Verwaltungsdiensten wie Web-UI und SSH verbunden werden. Sie können die In-Band-Verwaltung auf einer vertrauenswürdigen Schnittstelle aktivieren, die für IP-Dienste verwendet werden kann. Sie können auf die Web-UI und SSH über die Management-IP und virtuelle In-Band-IPs zugreifen.
Hinweis
Die In-Band-Verwaltung im Citrix SD-WAN Orchestrator Service wird für Citrix SD-WAN 11.1.1 und höher unterstützt.
Um die In-Band-Verwaltung auf einer virtuellen IP zu aktivieren, navigieren Sie auf Standortebene zu Konfiguration > Standortkonfiguration > Schnittstellen. Wählen Sie die virtuelle IP aus, die als In-Band-Verwaltungsport verwendet werden soll. Sie können die InBand Management IP oder InBand Management IPv6 verwenden, um auf die Web-Benutzeroberfläche und SSH zuzugreifen.
Hinweis
Die In-Band-Verwaltung wird nur auf LAN-Ports unterstützt.
Eine detaillierte Vorgehensweise zur Konfiguration einer virtuellen IP-Adresse finden Sie unter Schnittstellen.
Das In-Band-Management-IP fungiert auch als IP zur Backup-Verwaltung. Sie wird als Verwaltungs-IP-Adresse verwendet, wenn der Verwaltungsport nicht mit einem Standard-Gateway konfiguriert ist. Wählen Sie den DNS-Proxy aus, an den alle DNS-Anforderungen über die In-Band-Verwaltungsebene weitergeleitet werden. Informationen zur Konfiguration des DNS-Proxy finden Sie unter DNS-Proxy.
In Anwendungsfällen, in denen die Appliance-Konnektivität zum Citrix SD-WAN Orchestrator Service zwischen Verwaltungs- und Inband-Ports umschaltet, konfigurieren Sie InBand Management DNS oder InBand Management DNS V6, um eine unterbrechungsfreie Konnektivität des Citrix SD-WAN Orchestrator Service sicherzustellen.
In-Band-Provisioning
Die Notwendigkeit, SD-WAN-Appliances in einfacheren Umgebungen wie zu Hause oder in kleinen Zweigstellen bereitzustellen, ist deutlich gestiegen. Das Konfigurieren separater Verwaltungszugriff für einfachere Bereitstellungen stellt einen zusätzlichen Overhead dar. Die Zero-Touch-Bereitstellung zusammen mit der In-Band-Verwaltungsfunktion ermöglicht die Provisioning und Konfigurationsverwaltung über bestimmte Datenports. Die Zero-Touch-Bereitstellung wird auf den ausgewiesenen Datenports unterstützt und es ist nicht erforderlich, einen separaten Verwaltungsport für die Zero-Touch-Bereitstellung zu verwenden.
Sie können eine Appliance im werksseitigen Auslieferungszustand bereitstellen, die die In-Band-Provisioning unterstützt, indem Sie die Daten oder den Verwaltungsport mit dem Internet verbinden. Die Appliances, die die In-Band-Provisioning unterstützen, verfügen über spezifische Ports für LAN und WAN. Die Appliance im Factory-Reset-Zustand verfügt über eine Standardkonfiguration, die es ermöglicht, eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen. Der LAN-Port fungiert als DHCP-Server und weist dem WAN-Port, der als DHCP-Client fungiert, eine dynamische IP zu. Die WAN-Verbindungen überwachen den Quad 9-DNS-Dienst, um WAN-Konnektivität zu ermitteln.
Sobald die IP-Adresse abgerufen und eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst hergestellt wurde, werden die Konfigurationspakete heruntergeladen und auf der Appliance installiert. Informationen zur Zero-Touch-Bereitstellung über den Citrix SD-WAN Orchestrator Service finden Sie unter Zero Touch Deployment.
Hinweis
- Die In-Band-Provisioning gilt für alle Plattformen. Die Standardkonfiguration ist jedoch nur auf Citrix SD-WAN 110- und VPX-Plattformen aktiviert, da die anderen Plattformen mit einer älteren Softwareversion ausgeliefert werden.
- Für die 0-tägliche Provisioning von SD-WAN-Appliances über die Daten-Ports muss die Softwareversion der Appliance Citrix SD-WAN 11.1.1 oder höher sein.
Die Standardkonfiguration einer Appliance im Zurücksetzungsstatus auf Werkseinstellungen umfasst die folgenden Konfigurationen:
- DHCP-Server auf LAN-Anschluss
- DHCP-Client auf WAN-Port
- QUAD9-Konfiguration für DNS
- Die Standard-LAN-IP ist 192.168.101.1/24 für Citrix SD-WAN Appliances mit Factory-Image 11.1.1.39.
- Die Standard-LAN-IP ist 192.168.0.1/24 für Citrix SD-WAN 110 Appliance mit Factory-Image 11.0.4.
- Grace Lizenz von 35 Tagen.
Nach der Bereitstellung der Appliance wird die Standardkonfiguration deaktiviert und durch die vom Zero-Touch-Bereitstellungsdienst empfangene Konfiguration überschrieben. Wenn eine Appliance-Lizenz oder Grace-Lizenz abläuft, wird die Standardkonfiguration aktiviert, wodurch sichergestellt wird, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt und den lizenzverwalteten Dienst erhält.
Fallback-Konfiguration
Die Fallback-Konfiguration stellt sicher, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt, wenn ein Verbindungsfehler, eine Konfigurations- oder Softwarekdiskrepanz vorliegt. Die Fallbackkonfiguration ist standardmäßig auf den Appliances aktiviert, die über ein Standardkonfigurationsprofil verfügen. Sie können die Fallback-Konfiguration auch gemäß Ihren vorhandenen LAN-Netzwerkeinstellungen bearbeiten.
Die Fallback-Konfiguration behält die Konnektivität zur Appliance über die In-Band-Verwaltungs-IP der Appliance und den Citrix SD-WAN Orchestrator Service in den folgenden Szenarien bei:
- Wo die t2_App abstürzt
- Sie versuchen, die Konfiguration zurückzusetzen
In einem Szenario, in dem für eine Appliance die In-Band-Verwaltung konfiguriert ist und Sie die Konfiguration manuell zurücksetzen oder die t2_app aufgrund der Benutzerkonfiguration innerhalb von 120 Sekunden mehr als viermal abstürzt. In einem solchen Framework wird der Dienst deaktiviert und daher verlieren Sie die Konnektivität zum Citrix SD-WAN Orchestrator Service und der Appliance.
Wenn Sie jedoch die Fallback-Konfiguration aktiviert hatten, erhalten Sie die folgenden Funktionen:
- Grundlegender In-Band-Zugriff auf Verwaltungsfunktionen (Web-UI/SSH/SNMP)
- Fähigkeit der Appliance, über einen In-Band-Port eine Verbindung zu externen Diensten herzustellen (Citrix SD-WAN Orchestrator Service/ZTD)
In solchen Szenarien wird die Dienst-Appliance mit einer Fallback-Konfiguration mit aktiviertem Dienst zurückgesetzt, anstatt sie zu deaktivieren. Die Konnektivität zum Citrix SD-WAN Orchestrator Service und der Appliance über die In-Band-Verwaltungs-IP bleibt erhalten, solange die Verbindung über eine Internetverbindung verfügt.
Hinweis
Stellen Sie nach der ersten Appliance-Bereitstellung sicher, dass die Fallback-Konfiguration für die Zero-Touch-Bereitstellungsdienstkonnektivität aktiviert ist.
Wenn die Fallback-Konfiguration deaktiviert ist, können Sie sie über den Citrix SD-WAN Orchestrator Service auf Standortebene aktivieren, indem Sie zu Konfiguration > Appliance-Einstellungen > Fallback navigieren und auf Fallback-Konfiguration aktivieren klicken.
Um die Fallback-Konfiguration an Ihr LAN-Netzwerk anzupassen, bearbeiten Sie die Werte für die folgenden LAN-Einstellungen entsprechend Ihren Netzwerkanforderungen. Dies ist die Mindestkonfiguration, die erforderlich ist, um eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen.
- VLAN-ID: Die VLAN-ID, zu der der LAN-Port gruppiert werden muss.
- IP-Adresse: Die dem LAN-Port zugewiesene virtuelle IP-Adresse.
- DHCP-Server aktivieren: Aktiviert den LAN-Port als DHCP-Server. Der DHCP-Server weist dem WAN-Port dynamische IP-Adressen zu.
- DHCP-Start und DHCP-Ende: Der IP-Adressbereich, den DHCP verwendet, um dem WAN-Port dynamisch eine IP zuzuweisen.
- Dynamischer DNS-Server: Aktiviert den LAN-Port als Domänennamenserver.
- DNS-Server: Die IP-Adresse des primären DNS-Servers.
- Alt DNS Server: Die IP-Adresse des sekundären DNS-Servers.
- Internetzugang: Erlaubt allen LAN-Clients den Internetzugang ohne weitere Filterung.
Konfigurieren Sie den Modus für jeden Port. Der Port kann ein LAN-Port oder ein WAN-Port sein oder deaktiviert werden. Die angezeigten Ports hängen vom Appliance-Modell ab. Stellen Sie außerdem den Port-Bypass-Modus auf Fail-to-Blockierung oder Fail-to-Wireein.
Die folgende Tabelle enthält die Details der vordefinierten WAN- und LAN-Ports für die Fallbackkonfiguration auf verschiedenen Plattformen:
| Plattform | WAN-Ports | LAN-Ports |
|---|---|---|
| 110 | 1/2 | 1/1 |
| 110-LTE | 1/2, LTE-1 | 1/1 |
| 210 | 1/4, 1/5 | 1/3 |
| 210-LTE | 1/4, 1/5, LTE-1 | 1/3 |
| VPX | 2 | 1 |
| 410 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
| 1100 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
Die WAN-Ports können mithilfe des DHCP-Clients als unabhängige WAN-Links konfiguriert werden und den Quad9-DNS-Dienst überwachen, um die WAN-Konnektivität zu ermitteln. Sie können WAN-IPs/Statische IPs für die WAN-Ports ohne DHCP konfigurieren, um das In-Band-Management für die anfängliche Provisioning zu verwenden.
Hinweis
Sie können die Ethernet-Ports nur mit den statischen IPs konfigurieren. Die statischen IPs sind nicht mit LTE-1- und LTE-E1-Ports konfigurierbar. Obwohl Sie den LTE-1 und LTE-E1-Port als WAN hinzufügen können, bleiben die Konfigurationsfelder nicht editierbar.
Wenn Sie einen WAN-Port hinzufügen, wird dieser im Abschnitt WAN-Einstellungen (Port: 2) hinzugefügt, wobei das Kontrollkästchen DHCP aktivieren standardmäßig aktiviert ist. Wenn das Kontrollkästchen DHCP-Modus aktiviert ist, sind die Textfelder IP-Adresse, Gateway-IP-AdresseundVLAN-IDausgegraut.Deaktivieren Sie das Kontrollkästchen DHCP aktivieren, wenn Sie statische IP konfigurieren möchten.
Standardmäßig wird das Feld WAN-Tracking-IP-Adresse automatisch mit 9.9.9.9 gefüllt. Sie können die Adresse nach Bedarf ändern.
Hinweis
Wenn Sie das Kontrollkästchen Dynamische DNS-Server aktivieren, stellen Sie sicher, dass mindestens ein WAN-Port mit ausgewähltem DHCP-Modus hinzugefügt/konfiguriert wird.
Um die Fallback-Konfiguration jederzeit auf die Standardkonfiguration zurückzusetzen, klicken Sie auf Zurücksetzen.
Hinweis
Es wird empfohlen, die Fallback-Konfiguration auf allen Appliances zu aktivieren, die über den mit dem LAN-Subnetz verbundenen In-Band-/Management-Port mit Orchestrator verbunden sind. Stellen Sie sicher, dass die Standardausfallkonfiguration gemäß den Anforderungen Ihres Netzwerksubnetzes eingerichtet ist.
Port-Failover
Der Citrix SD-WAN Orchestrator Service ermöglicht auch ein nahtloses Failover des Verwaltungsverkehrs an den Management-Port, wenn der Datenport ausfällt und umgekehrt. Wenn eine Appliance sowohl über die Verwaltungs- als auch über die In-Band-Ports eine Verbindung zum Internet herstellen kann, wird der Verwaltungsport für die Zero-Touch-Bereitstellung ausgewählt.
Wenn beim Neustart der Appliance das Internet über den In-Band-Port und nicht über den Management-Port verfügbar ist, wird die Appliance sofort mit dem Citrix SD-WAN Orchestrator Service verbunden.
Sobald die Verbindung hergestellt ist, sendet ein auf der Appliance ausgeführter Dienstagent die Heartbeat-Informationen alle 10 Sekunden an den Citrix SD-WAN Orchestrator Service. Wenn der Citrix SD-WAN Orchestrator Service den Heartbeat 5 Minuten lang nicht empfängt, wird das In-Band-Port-Failover aktiviert. Der Citrix SD-WAN Orchestrator Service meldet die Appliance während dieses Zeitraums als offline.
Wenn beim Neustart der Appliance das Internet sowohl über den Verwaltungs- als auch über den In-Band-Port nicht verfügbar ist und die Internetverbindung wiederhergestellt ist, benötigt der Service-Agent etwa 5 Minuten, um neu zu starten und eine Verbindung herzustellen.
Stellen Sie sicher, dass die Option Route zum Internet von Link beibehalten, auch wenn alle verknüpften Pfade ausgefallen sind, auf Netzwerkebene aktiviert ist: Konfiguration > Bereitstellungsdienste > Internet. Sicherstellen, dass die Konnektivität zum Citrix SD-WAN Orchestrator Service auch dann aufrechterhalten wird, wenn der virtuelle Pfad ausgefallen ist.
Konfigurierbares Management oder Data-Port
Durch die In-Band-Verwaltung können die Datenports sowohl Daten- als auch Verwaltungsdatenverkehr übertragen, wodurch ein dedizierter Management-Port überflüssig wird. Es lässt den Management-Port ungenutzt auf den Low-End-Appliances, die bereits eine geringe Portdichte aufweisen. Mit Citrix SD-WAN können Sie den Verwaltungsport so konfigurieren, dass er entweder als Datenport oder als Verwaltungsport verwendet wird.
Hinweis
Sie können den Verwaltungsport nur auf den folgenden Plattformen in Datenport konvertieren.
- Citrix SD-WAN 110 SE/LTE
- Citrix SD-WAN 210 SE/LTE
Verwenden Sie beim Konfigurieren einer Site den Management-Port in Ihrer Konfiguration. Nachdem die Konfiguration aktiviert wurde, wird der Management-Port in einen Datenport konvertiert.
Hinweis
Sie können einen Verwaltungsport nur konfigurieren, wenn die In-Band-Verwaltung auf anderen vertrauenswürdigen Schnittstellen der Appliance aktiviert ist.
Um eine Verwaltungsschnittstelle zu konfigurieren, navigieren Sie auf Standortebene zu Konfiguration > Standortkonfiguration > Schnittstellen, und wählen Sie die MGMT-Schnittstelle aus. Weitere Informationen zum Konfigurieren von Schnittstellengruppen finden Sie unter Schnittstellen.
Um den Verwaltungsport neu zu konfigurieren, um Verwaltungsfunktionen auszuführen, entfernen Sie die Konfiguration. Erstellen Sie eine Konfiguration, ohne den Management-Port zu verwenden, und aktivieren Sie sie.