Citrix SD-WAN

In-Band- und Backup-Management

In-Band-Verwaltung

Mit Citrix SD-WAN können Sie die SD-WAN-Appliance auf zwei Arten verwalten: Out-of-Band-Verwaltung und In-Band-Verwaltung. Mit der Out-of-Band-Verwaltung können Sie eine Verwaltungs-IP mit einem für die Verwaltung reservierten Port erstellen, der nur den Verwaltungsdatenverkehr trägt. Mit der In-Band-Verwaltung können Sie die SD-WAN-Datenports für die Verwaltung verwenden. Es überträgt sowohl Daten- als auch Verwaltungsdatenverkehr, ohne einen zusätzlichen Verwaltungspfad konfigurieren zu müssen.

Durch die In-Band-Verwaltung können virtuelle IP-Adressen mit Verwaltungsdiensten wie Web-UI und SSH verbunden werden. Sie können die In-Band-Verwaltung auf mehreren vertrauenswürdigen Schnittstellen aktivieren, die für die Verwendung für IP-Dienste aktiviert sind. Sie können auf die Web-UI und SSH über die Management-IP und virtuelle In-Band-IPs zugreifen.

Hinweis

  • Citrix SD-WAN Center unterstützt keine Konnektivität mit der High Availability Appliance durch In-Band-Management.
  • Sie können den Diensttyp nur mit dem MCN-Konfigurationseditor als Any konfigurieren. Der Citrix SD-WAN Orchestrator-Dienst lässt die Konfiguration des Diensttyps als Any für Ziel-NAT-Richtlinien nicht zu.
  • Vermeiden Sie es, den Dienst zu deaktivieren, wenn die einzige Verwaltungskonnektivität In-Band-HA ist. Sie können sich aus der Appliance ausschließen, wenn Sie den Dienst deaktivieren.

So aktivieren Sie die In-Band-Verwaltung auf einer virtuellen IP:

  1. Navigieren Sie im Konfigurationseditor zu Sites > Virtuelle IP-Adressen.
  2. Wählen Sie Inband Mgmt für die virtuellen IPs aus, für die Sie das In-Band-Management aktivieren möchten.

    Hinweis:

    Stellen Sie sicher, dass der Sicherheitstyp der Schnittstelle Trusted und Identity aktiviert ist.

    In-Band-Verwaltung

  3. Klicken Sie auf Anwenden

Ausführliche Vorgehensweise zum Konfigurieren virtueller IP-Adressen finden Sie unter How to configure virtual ip.

Ab Citrix SD-WAN 11.3.1 unterstützt die In-Band-Verwaltung High-Availability Appliance-Paare. Die Kommunikation zwischen den primären und sekundären Appliances erfolgt über die virtuellen Schnittstellen mit NAT.

Die folgenden Ports ermöglichen die Kommunikation mit Verwaltungsdiensten auf den HA-Appliances:

  • HTTPS
    • 443 - Verbindet sich mit der HA aktiv
    • 444 - Leitet auf die HA-Primär um
    • 445 - Weiterleitungen zur HA-Sekundär
  • SSH
    • 22 - Verbindet sich mit der HA aktiv
    • 23 - Leitet auf HA-Primär um
    • 24 - Leitet auf HA-Sekundär um
  • SNMP
    • 161 - Verbindet sich mit der HA aktiv
    • 162 - Leitet auf HA-Primär um
    • 163 - Weiterleitungen zur HA-Sekundär

Verwenden Sie Ziel-NAT-Richtlinien, um IP-Adressen zu erstellen, die eine Konnektivität mit In-Band-HA ermöglichen, ohne einen Port eingeben zu müssen.

Beispielsweise werden die folgenden Inband-IP-Adressen für den Zugriff auf die Appliances verwendet:

  • Aktive Appliance - 1.0.1.2
  • Primäre Appliance - 1.0.1.10
  • Sekundäre Appliance - 1.0.1.11

Erstellen Sie zwei neue virtuelle IP-Adressen, die sich im selben Netzwerk wie die der virtuellen IP-Adresse der In-Band-Verwaltung befinden. In diesem Beispiel sind 1.0.1.2/24 die virtuellen IP-Adressen im In-Band-Management und 1.0.1.2/24 wird als Backup-Netzwerk ausgewählt. 1.0.1.10 und 1.0.1.11 sind die neuen virtuellen IP-Adressen, die erstellt werden. 1.0.1.10 wird für den Zugriff auf die primäre Appliance verwendet und 1.0.1.11 wird für den Zugriff auf die sekundäre Appliance verwendet.

Virtuelle IP im Band HA

Erstellen Sie NAT-Ziel-Richtlinien. Die sechs DNAT-Richtlinien leiten die Basisports für Dienste auf den entsprechenden In-Band-HA-Port um. Nach der Anwendung der Konfiguration können Sie direkt mit den internen IP-Adressen auf die primären und sekundären Appliances zugreifen.

NAT-Richtlinien für Inband-HA-Ziele

Überwachung der In-Band-Verwaltung

Im vorangegangenen Beispiel haben wir die In-Band-Verwaltung auf 172.170.10.78 virtueller IP aktiviert. Sie können diese IP verwenden, um auf die Webbenutzeroberfläche und SSH zuzugreifen.

Navigieren Sie in der Web-Benutzeroberfläche zu Monitoring > Firewall. Sie können SSH und Web-UI sehen, auf die über die virtuelle IP auf Port 22 bzw. 443 in der Spalte Ziel-IP-Adresse zugegriffen wird.

Überwachung der In-Band-Verwaltung

In-Band-Provisioning

Die Notwendigkeit, SD-WAN-Appliances in einfacheren Umgebungen wie zu Hause oder in kleinen Zweigstellen bereitzustellen, ist deutlich gestiegen. Das Konfigurieren separater Verwaltungszugriff für einfachere Bereitstellungen stellt einen zusätzlichen Overhead dar. Die Zero-Touch-Bereitstellung zusammen mit der In-Band-Verwaltungsfunktion ermöglicht die Provisioning und Konfigurationsverwaltung über bestimmte Datenports. Die Zero-Touch-Bereitstellung wird jetzt auf den ausgewiesenen Datenports unterstützt und es ist nicht erforderlich, einen separaten Verwaltungsport für die Zero-Touch-Bereitstellung zu verwenden. Citrix SD-WAN ermöglicht außerdem das nahtlose Failover des Verwaltungsdatenverkehrs zum Verwaltungsport, wenn der Datenport ausfällt und umgekehrt.

Eine Appliance im werkseitig ausgelieferten Zustand, die In-Band-Provisioning unterstützt, kann durch einfaches Verbinden der Daten oder des Verwaltungsports mit dem Internet bereitgestellt werden. Die Appliances, die die In-Band-Provisioning unterstützen, verfügen über spezifische Ports für LAN und WAN. Die Appliance im Zurücksetzungszustand auf Werkseinstellungen verfügt über eine Standardkonfiguration, die es ermöglicht, eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen. Der LAN-Port fungiert als DHCP-Server und weist dem WAN-Port, der als DHCP-Client fungiert, eine dynamische IP zu. Die WAN-Verbindungen überwachen den Quad 9-DNS-Dienst, um WAN-Konnektivität zu ermitteln.

Hinweis

Die In-Band-Provisioning gilt nur für SD-WAN 110 SE- und SD-WAN VPX-Plattformen.

Sobald die IP-Adresse abgerufen und eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst hergestellt wurde, werden die Konfigurationspakete heruntergeladen und auf der Appliance installiert. Informationen zur Zero-Touch-Bereitstellung über SD-WAN Center finden Sie unter Zero Touch-Bereitstellung. Informationen zur Zero-Touch-Bereitstellung über SD-WAN Orchestrator finden Sie unter Zero Touch Deployment.

Hinweis: Für die Day-0-Bereitstellung von SD-WAN-Appliances über die Daten-Ports muss die Appliance-Softwareversion SD-WAN 11.1.0 oder höher sein.

Die Standardkonfiguration einer Appliance im Zurücksetzungsstatus auf Werkseinstellungen umfasst die folgenden Konfigurationen:

  • DHCP-Server auf LAN-Anschluss
  • DHCP-Client auf WAN-Port
  • QUAD9-Konfiguration für DNS
  • Standard-LAN-IP ist 192.168.0.1
  • Grace Lizenz von 35 Tagen.

Sobald die Appliance bereitgestellt wurde, wird die Standardkonfiguration deaktiviert und durch die Konfiguration überschrieben, die vom Zero-Touch-Bereitstellungsdienst empfangen wurde. Wenn eine Appliance-Lizenz oder eine Kulanzlizenz abläuft, wird die Standardkonfiguration aktiviert, um sicherzustellen, dass die Appliance weiterhin mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt und Lizenzen erhält, die über eine Zero-Touch-Bereitstellung verwaltet werden.

Default-/Fallback-Konfiguration

Die Fallbackkonfiguration stellt sicher, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt, wenn Verbindungsfehler, Konfigurationskonflikt oder Softwarevereinstimmung vorliegen. Die Fallbackkonfiguration ist standardmäßig auf den Appliances aktiviert, die über ein Standardkonfigurationsprofil verfügen. Sie können die Fallback-Konfiguration auch gemäß Ihren vorhandenen LAN-Netzwerkeinstellungen bearbeiten.

Hinweis: Stellen Sie nach der anfänglichen Appliance-Bereitstellung sicher, dass die Fallback-Konfiguration für die Zero-Touch-Bereitstellungsdienstkonnektivität aktiviert ist.

Wenn die Rückfallkonfiguration deaktiviert ist, können Sie sie aktivieren, indem Sie zu Konfiguration > Appliance-Einstellungen > Standard-/Fallback-Konfiguration navigieren > auf Aktivierenklicken.

Fallback-Konfiguration aktivieren

Die folgende Tabelle enthält die Details der vordefinierten WAN- und LAN-Ports für die Fallbackkonfiguration auf verschiedenen Plattformen:

Plattform WAN-Ports LAN-Ports
110 1/2 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

Ab Citrix SD-WAN 11.3.1 sind die WAN-Port-Einstellungen konfigurierbar. WAN-Ports können mit dem DHCP-Client als unabhängige WAN-Verbindungen konfiguriert werden und überwachen den Quad9 DNS-Dienst, um die WAN-Konnektivität zu bestimmen. Sie können WAN-IPs/Statische IPs für die WAN-Ports ohne DHCP konfigurieren, um das In-Band-Management für die anfängliche Provisioning zu verwenden.

Hinweis:

Sie können die Ethernet-Ports nur mit den statischen IPs konfigurieren. Die statischen IPs sind nicht mit LTE-1- und LTE-E1-Ports konfigurierbar. Obwohl Sie den LTE-1 und LTE-E1-Port als WAN hinzufügen können, bleiben die Konfigurationsfelder nicht editierbar.

Wenn Sie einen WAN-Port hinzufügen, wird er im Abschnitt WAN-Einstellungen (Port: 2) hinzugefügt, wobei das standardmäßig aktivierte Kontrollkästchen DHCP-Modus aktiviert ist. Wenn das Kontrollkästchen DHCP-Modus aktiviert ist, sind die Textfelder IP-Adresse, Gateway-IP-Adresse und VLAN-ID ausgegraut. Deaktivieren Sie das Kontrollkästchen DHCP-Modus, wenn Sie die statische IP konfigurieren möchten.

DHCP-Modus

Standardmäßig wird das Feld WAN-Tracking-IP-Adresse automatisch mit 9.9.9.9 gefüllt. Sie können die Adresse nach Bedarf ändern.

Hinweis

Wenn Sie das Kontrollkästchen Dynamic DNS Servers aktivieren, müssen Sie mindestens einen WAN-Port mit ausgewähltem DHCP-Modus hinzufügen/konfigurieren.

So passen Sie die Fallbackkonfiguration gemäß Ihrem LAN-Netzwerk an:

  1. Navigieren Sie zu Konfiguration > Appliance-Einstellungen > Default/Fallback-Konfiguration.
  2. Bearbeiten Sie Werte für die folgenden LAN-Einstellungen gemäß Ihren Netzwerkanforderungen. Dies ist die Mindestkonfiguration, die erforderlich ist, um eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen.

    • VLAN-ID: Die VLAN-ID, in die der LAN-Port gruppiert werden muss.
    • IP-Adresse: Die dem LAN-Port zugewiesene virtuelle IP-Adresse.
    • DHCP aktiviert: Aktiviert den LAN-Port als DHCP-Server. Der DHCP-Server weist den Clients am LAN-Port dynamische IP-Adressen zu.
    • DHCP Start und DHCP End: Der Bereich der IP-Adressen, den DHCP verwendet, um den Clients am LAN-Port dynamisch eine IP zuzuweisen.
    • DNS-Server: Die IP-Adresse des primären DNS-Servers.
    • Alt DNS Server: Die IP-Adresse des sekundären DNS-Servers.
    • Internetzugang: Erlaubt allen LAN-Clients den Internetzugang ohne weitere Filterung.

    Fallback-Konfiguration aktivieren

  3. Konfigurieren Sie den Modus für jeden Port. Der Port kann entweder LAN- oder WAN-Port sein oder deaktiviert werden. Die angezeigten Ports hängen vom Appliance-Modell ab. Stellen Sie außerdem den Port-Bypass-Modus auf Fail-to-Blockierung oder Fail-to-Wireein.

Um die Fallback-Konfiguration jederzeit auf die Standardkonfiguration zurückzusetzen, klicken Sie auf Zurücksetzen.

Konfigurierbare Verwaltung oder Datenport

Durch die In-Band-Verwaltung können die Datenports sowohl Daten- als auch Verwaltungsdatenverkehr übertragen, wodurch ein dedizierter Management-Port überflüssig wird. Dadurch bleibt der Management-Port auf den Low-End-Appliances, die bereits eine geringe Portdichte aufweisen, ungenutzt. Mit Citrix SD-WAN können Sie den Verwaltungsport so konfigurieren, dass er entweder als Datenport oder als Verwaltungsport verwendet wird.

Hinweis

Sie können den Verwaltungsport nur auf den folgenden Plattformen in Datenport konvertieren.

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Verwenden Sie im Konfigurationseditor den Verwaltungsport in Ihrer Konfiguration. Nachdem die Konfiguration aktiviert wurde, wird der Management-Port in einen Datenport konvertiert.

Hinweis

Sie können einen Verwaltungsport nur konfigurieren, wenn die In-Band-Verwaltung auf anderen vertrauenswürdigen Schnittstellen der Appliance aktiviert ist.

Um eine Verwaltungsschnittstelle zu konfigurieren, navigieren Sie im Konfigurationseditor zu Sites, wählen Sie eine Site aus und klicken auf Interface-Gruppen. Die MGMT-Schnittstelle kann konfiguriert werden. Weitere Informationen zum Konfigurieren von Schnittstellengruppen finden Sie unter Konfigurieren von Schnittstellengruppen.

Schnittstellengruppen

Um den Verwaltungsport neu zu konfigurieren, um Verwaltungsfunktionen auszuführen, entfernen Sie die Konfiguration. Erstellen Sie eine Konfiguration, ohne den Management-Port zu verwenden, und aktivieren Sie sie.

Backup-Management-Netzwerk

Sie können eine virtuelle IP-Adresse als Backup-Management-Netzwerk konfigurieren. Sie wird als Verwaltungs-IP-Adresse verwendet, wenn der Verwaltungsport nicht mit einem Standard-Gateway konfiguriert ist.

Hinweis

Wenn ein Standort Internetdienst mit einer einzelnen Routingdomäne konfiguriert ist, wird standardmäßig eine vertrauenswürdige Schnittstelle mit aktivierter Identität als Backupverwaltungsnetzwerk ausgewählt.

So wählen Sie eine virtuelle IP als Backupverwaltungsnetzwerk aus:

  1. Navigieren Sie im Konfigurationseditor zu Sites > Virtuelle IP-Adressen.

  2. Wählen Sie eine virtuelle IP-Adresse als Backupverwaltungsnetzwerk aus.

    Backup-Management

  3. Wählen Sie den DNS-Proxy aus, an den alle DNS-Anfragen über die In-Band- und Backup-Managementebene weitergeleitet werden.

    Hinweis

    Der DNS-Proxy kann nur ausgewählt werden, wenn sowohl die In-Band-Verwaltung als auch das Backupverwaltungsnetzwerk für eine virtuelle IP aktiviert sind.

  4. Klicken Sie auf Apply.

Ausführliche Vorgehensweise zum Konfigurieren einer virtuellen IP-Adresse finden Sie unter So konfigurieren Sie virtuelle IP-Adresse

Überwachung der Backupverwaltung

Im vorangegangenen Beispiel haben wir 172.170.10.78 virtuelle IP als Backupverwaltungsnetzwerk ausgewählt. Wenn die Management-IP-Adresse nicht mit einem Standard-Gateway konfiguriert ist, können Sie diese IP verwenden, um auf die Webbenutzeroberfläche und SSH zuzugreifen.

Navigieren Sie in der Web-Benutzeroberfläche zu Monitoring > Firewall. Sie können diese virtuelle IP-Adresse als Quell-IP-Adresse für SSH- und Web-UI-Zugriff sehen.

Überwachung der Backupverwaltung

In-Band- und Backup-Management