Citrix SD-WAN

In-Band- und Backup-Management

In-Band-Verwaltung

Mit Citrix SD-WAN können Sie die SD-WAN-Appliance auf zwei Arten verwalten: Out-of-Band-Verwaltung und In-Band-Verwaltung. Mit der Out-of-Band-Verwaltung können Sie eine Verwaltungs-IP mit einem für die Verwaltung reservierten Port erstellen, der nur den Verwaltungsdatenverkehr trägt. Mit der In-Band-Verwaltung können Sie die SD-WAN-Datenports für die Verwaltung verwenden. Es überträgt sowohl Daten- als auch Verwaltungsdatenverkehr, ohne einen zusätzlichen Verwaltungspfad konfigurieren zu müssen.

Durch die In-Band-Verwaltung können virtuelle IP-Adressen mit Verwaltungsdiensten wie Web-UI und SSH verbunden werden. Sie können die In-Band-Verwaltung auf mehreren vertrauenswürdigen Schnittstellen aktivieren, die für IP-Dienste aktiviert sind. Sie können auf die Web-UI und SSH über die Management-IP und virtuelle In-Band-IPs zugreifen.

So aktivieren Sie die In-Band-Verwaltung auf einer virtuellen IP:

  1. Navigieren Sie im Konfigurations-Editor zu Sites > Virtuelle IP-Adressen.
  2. Wählen Sie Inband-Verwaltung für die virtuellen IPs, für die Sie die In-Band-Verwaltung aktivieren möchten.

    Hinweis:

    Stellen Sie sicher, dass der Sicherheitstyp der Schnittstelle Trusted und Identity aktiviert ist.

    In-Band-Verwaltung

  3. Klicken Sie auf Anwenden

Ausführliche Vorgehensweise zum Konfigurieren der virtuellen IP-Adresse finden Sie unterSo konfigurieren Sie virtuelle IP.

Überwachung der In-Band-Verwaltung

Im vorangegangenen Beispiel haben wir die In-Band-Verwaltung auf der virtuellen IP 172.170.10.78 aktiviert. Sie können diese IP verwenden, um auf die Web-UI und SSH zuzugreifen.

Navigieren Sie in der Web-Benutzeroberfläche zu Überwachung > Firewall. Sie können SSH und Web-UI sehen, auf die über die virtuelle IP auf Port 22 bzw. 443 in der Spalte Ziel-IP-Adresse zugegriffen wird.

Überwachung der In-Band-Verwaltung

In-Band-Provisioning

Die Notwendigkeit, SD-WAN-Appliances in einfacheren Umgebungen wie zu Hause oder in kleinen Zweigstellen bereitzustellen, ist deutlich gestiegen. Das Konfigurieren separater Verwaltungszugriff für einfachere Bereitstellungen stellt einen zusätzlichen Overhead dar. Die Zero-Touch-Bereitstellung (ZTD) und die In-Band-Verwaltungsfunktion ermöglichen Provisioning und Konfigurationsverwaltung über bestimmte Datenports. ZTD wird nun auf den dafür vorgesehenen Datenports unterstützt und es besteht keine Notwendigkeit, einen separaten Management-Port für ZTD zu verwenden. Citrix SD-WAN ermöglicht außerdem das nahtlose Failover des Verwaltungsdatenverkehrs zum Verwaltungsport, wenn der Datenport ausfällt und umgekehrt.

Eine Appliance im werkseitig ausgelieferten Zustand, die In-Band-Provisioning unterstützt, kann durch einfaches Verbinden der Daten oder des Verwaltungsports mit dem Internet bereitgestellt werden. Die Appliances, die die In-Band-Provisioning unterstützen, verfügen über spezifische Ports für LAN und WAN. Die Appliance im Zurücksetzungszustand auf Werkseinstellungen verfügt über eine Standardkonfiguration, die es ermöglicht, eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen. Der LAN-Port fungiert als DHCP-Server und weist dem WAN-Port, der als DHCP-Client fungiert, eine dynamische IP zu. Die WAN-Verbindungen überwachen den Quad 9-DNS-Dienst, um WAN-Konnektivität zu ermitteln.

Hinweis

Die In-Band-Provisioning gilt nur für SD-WAN 110 SE- und SD-WAN VPX-Plattformen.

Sobald die IP-Adresse abgerufen und eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst hergestellt wurde, werden die Konfigurationspakete heruntergeladen und auf der Appliance installiert. Informationen zur Zero-Touch-Bereitstellung über das SD-WAN Center finden Sie unter Zero Touch-Bereitstellung. Weitere Informationen zur Zero-Touch-Bereitstellung über SD-WAN Orchestrator finden Sie unter Zero Touch-Bereitstellung.

Hinweis: Für die Day-0-Bereitstellung von SD-WAN-Appliances über die Daten-Ports sollte die Appliance-Softwareversion SD-WAN 11.1.0 oder höher sein.

Die Standardkonfiguration einer Appliance im Zurücksetzungsstatus auf Werkseinstellungen umfasst die folgenden Konfigurationen:

  • DHCP-Server auf LAN-Anschluss
  • DHCP-Client auf WAN-Port
  • QUAD9-Konfiguration für DNS
  • Standard-LAN-IP ist 192.168.0.1
  • Grace Lizenz von 35 Tagen.

Sobald die Appliance bereitgestellt wurde, wird die Standardkonfiguration deaktiviert und durch die Konfiguration überschrieben, die vom Zero-Touch-Bereitstellungsdienst empfangen wurde. Wenn eine Appliance-Lizenz oder eine Kulanzlizenz abläuft, wird die Standardkonfiguration aktiviert, um sicherzustellen, dass die Appliance weiterhin mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt und Lizenzen erhält, die über eine Zero-Touch-Bereitstellung verwaltet werden.

Fallback-Konfiguration

Die Fallbackkonfiguration stellt sicher, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt, wenn Verbindungsfehler, Konfigurationskonflikt oder Softwarevereinstimmung vorliegen. Die Fallbackkonfiguration ist standardmäßig auf den Appliances aktiviert, die über ein Standardkonfigurationsprofil verfügen. Sie können die Fallback-Konfiguration auch gemäß Ihren vorhandenen LAN-Netzwerkeinstellungen bearbeiten.

Hinweis: Stellen Sie nach der anfänglichen Appliance-Bereitstellung sicher, dass die Fallback-Konfiguration für die Zero-Touch-Bereitstellungsdienstkonnektivität aktiviert ist.

Wenn die Rückfallkonfiguration deaktiviert ist, können Sie sie aktivieren, indem Sie zu Konfiguration > Virtuelles WAN > Enable /Disable/Purge Flows> Fallback-Konfiguration aktivieren/deaktivierennavigieren und aufAktivierenklicken.

Fallback-Konfiguration aktivieren

So passen Sie die Fallbackkonfiguration gemäß Ihrem LAN-Netzwerk an:

  1. Navigieren Sie zu Konfiguration > Appliance-Einstellungen > Fallback-Konfiguration.
  2. Bearbeiten Sie Werte für die folgenden LAN-Einstellungen gemäß Ihren Netzwerkanforderungen. Dies ist die Mindestkonfiguration, die erforderlich ist, um eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen.

    • VLAN-ID: Die VLAN-ID, in die der LAN-Port gruppiert werden muss.
    • IP-Adresse: Die dem LAN-Port zugewiesene virtuelle IP-Adresse.
    • DHCP aktiviert: Aktiviert den LAN-Port als DHCP-Server. Der DHCP-Server weist den Clients am LAN-Port dynamische IP-Adressen zu.
    • DHCP Start und DHCP End: Der Bereich der IP-Adressen, den DHCP verwendet, um den Clients am LAN-Port dynamisch eine IP zuzuweisen.
    • DNS-Server: Die IP-Adresse des primären DNS-Servers.
    • Alt DNS Server: Die IP-Adresse des sekundären DNS-Servers.
    • Internetzugang: Erlaubt allen LAN-Clients den Internetzugang ohne weitere Filterung.

    Die folgende Tabelle enthält die Details der vordefinierten WAN- und LAN-Ports für die Fallbackkonfiguration auf verschiedenen Plattformen:

    Plattform WAN-Ports LAN-Ports
    110 1/2 1/1
    110-LTE 1/2, LTE-1 1/1
    210 1/4, 1/5 1/3
    210-LTE 1/4, 1/5, LTE-1 1/3
    VPX 2 1
    410 1/4, 1/5, 1/6 1/3 (FTB)
    1100 1/4, 1/5, 1/6 1/3 (FTB)

    Fallback-Konfiguration aktivieren

  3. Konfigurieren Sie den Modus für jeden Port. Der Port kann entweder LAN- oder WAN-Port sein oder deaktiviert werden. Die angezeigten Ports hängen vom Appliance-Modell ab. Stellen Sie außerdem den Port-Bypass-Modus auf Fail-to-Blockierung oder Fail-to-Wireein.

Um die Fallback-Konfiguration jederzeit auf die Standardkonfiguration zurückzusetzen, klicken Sie auf Zurücksetzen.

Fallback-Konfiguration aktivieren

Konfigurierbare Verwaltung oder Datenport

Durch die In-Band-Verwaltung können die Datenports sowohl Daten- als auch Verwaltungsdatenverkehr übertragen, wodurch ein dedizierter Management-Port überflüssig wird. Dadurch bleibt der Management-Port auf den Low-End-Appliances, die bereits eine geringe Portdichte aufweisen, ungenutzt. Mit Citrix SD-WAN können Sie den Verwaltungsport so konfigurieren, dass er entweder als Datenport oder als Verwaltungsport verwendet wird.

Hinweis

Sie können den Verwaltungsport nur auf den folgenden Plattformen in Datenport konvertieren.

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Verwenden Sie im Konfigurationseditor den Verwaltungsport in Ihrer Konfiguration. Nachdem die Konfiguration aktiviert wurde, wird der Management-Port in einen Datenport konvertiert.

Hinweis

Sie können einen Verwaltungsport nur konfigurieren, wenn die In-Band-Verwaltung auf anderen vertrauenswürdigen Schnittstellen der Appliance aktiviert ist.

Um eine Verwaltungsschnittstelle zu konfigurieren, navigieren Sie im Konfigurationseditor zu Sites, wählen Sie eine Site aus und klicken auf Interface-Gruppen. Die MGMT-Schnittstelle kann konfiguriert werden. Weitere Informationen zum Konfigurieren von Schnittstellengruppen finden Sie unter Konfigurieren von Schnittstellengruppen.

Schnittstellengruppen

Um den Verwaltungsport neu zu konfigurieren, um Verwaltungsfunktionen auszuführen, entfernen Sie die Konfiguration. Erstellen Sie eine Konfiguration, ohne den Management-Port zu verwenden, und aktivieren Sie sie.

Backup-Management-Netzwerk

Sie können eine virtuelle IP-Adresse als Backup-Management-Netzwerk konfigurieren. Sie wird als Verwaltungs-IP-Adresse verwendet, wenn der Verwaltungsport nicht mit einem Standard-Gateway konfiguriert ist.

Hinweis

Wenn ein Standort Internetdienst mit einer einzelnen Routingdomäne konfiguriert ist, wird standardmäßig eine vertrauenswürdige Schnittstelle mit aktivierter Identität als Sicherungsverwaltungsnetzwerk ausgewählt.

So wählen Sie eine virtuelle IP als Sicherungsverwaltungsnetzwerk aus:

  1. Navigieren Sie im Konfigurations-Editor zu Sites > Virtuelle IP-Adressen.

  2. Wählen Sie eine virtuelle IP-Adresse als Backup-Management-Netzwerk aus.

    Backup-Management

  3. Wählen Sie den DNS-Proxy aus, an den alle DNS-Anfragen über die In-Band- und Backup-Managementebene weitergeleitet werden.

    Hinweis

    Der DNS-Proxy kann nur ausgewählt werden, wenn sowohl die In-Band-Verwaltung als auch das Backup-Management-Netzwerk für eine virtuelle IP aktiviert sind.

  4. Klicken Sie auf Übernehmen.

Ausführliche Vorgehensweisen zur Konfiguration der virtuellen IP-Adresse finden Sie unter So konfigurieren Sie eine virtuelle IP-Adresse

Überwachung der Backup-Verwaltung

Im vorangegangenen Beispiel haben wir 172.170.10.78 virtuelle IP als Backup-Management-Netzwerk ausgewählt. Wenn die Verwaltungs-IP-Adresse nicht mit einem Standard-Gateway konfiguriert ist, können Sie diese IP verwenden, um auf die Web-Benutzeroberfläche und SSH zuzugreifen.

Navigieren Sie in der Web-Benutzeroberfläche zu Überwachung > Firewall. Sie können diese virtuelle IP-Adresse als Quell-IP-Adresse für SSH- und Web-UI-Zugriff sehen.

Überwachung der Backup-Verwaltung

In-Band- und Backup-Management