Citrix SD-WAN

In-Band- und Backup-Management

In-Band-Verwaltung

Mit Citrix SD-WAN können Sie die SD-WAN-Appliance auf zwei Arten verwalten: Out-of-Band-Verwaltung und In-Band-Verwaltung. Mit der Out-of-Band-Verwaltung können Sie eine Verwaltungs-IP mit einem für die Verwaltung reservierten Port erstellen, der nur den Verwaltungsdatenverkehr trägt. Mit der In-Band-Verwaltung können Sie die SD-WAN-Datenports für die Verwaltung verwenden. Es überträgt sowohl Daten- als auch Verwaltungsdatenverkehr, ohne einen zusätzlichen Verwaltungspfad konfigurieren zu müssen.

Durch die In-Band-Verwaltung können virtuelle IP-Adressen mit Verwaltungsdiensten wie Web-UI und SSH verbunden werden. Sie können die In-Band-Verwaltung auf mehreren vertrauenswürdigen Schnittstellen aktivieren, die für die Verwendung für IP-Dienste aktiviert sind. Sie können auf die Web-UI und SSH über die Management-IP und virtuelle In-Band-IPs zugreifen.

Ab Version Citrix SD-WAN 11.4.2 ist es zwingend erforderlich, die In-Band-Verwaltung zu konfigurieren, um die Konnektivität zum Citrix SD-WAN Orchestrator Service über einen In-Band-Verwaltungsport herzustellen. Andernfalls verliert die Appliance die Konnektivität zum Citrix SD-WAN Orchestrator Service, wenn der Management-Port nicht verbunden ist und die In-Band-IP-Adresse ebenfalls nicht konfiguriert ist.

Hinweis

  • Der Citrix SD-WAN Orchestrator-Dienst lässt die Konfiguration des Diensttyps als Any für Ziel-NAT-Richtlinien nicht zu.
  • Vermeiden Sie es, den Dienst zu deaktivieren, wenn die einzige Verwaltungskonnektivität In-Band-HA ist. Sie können sich aus der Appliance ausschließen, wenn Sie den Dienst deaktivieren.

Ab Citrix SD-WAN 11.5 können Sie die In-Band-Verwaltung auf einer virtuellen IP nur über den Citrix SD-WAN Orchestrator Service aktivieren. Weitere Informationen finden Sie unter Inband-Verwaltung.

Ab Citrix SD-WAN 11.3.1 unterstützt die In-Band-Verwaltung High-Availability Appliance-Paare. Die Kommunikation zwischen den primären und sekundären Appliances erfolgt über die virtuellen Schnittstellen mit NAT.

Die folgenden Ports ermöglichen die Kommunikation mit Verwaltungsdiensten auf den HA-Appliances:

  • HTTPS
    • 443 - Verbindet sich mit der HA aktiv
    • 444 - Leitet auf die HA-Primär um
    • 445 - Weiterleitungen zur HA-Sekundär
  • SSH
    • 22 - Verbindet sich mit der HA aktiv
    • 23 - Leitet auf HA-Primär um
    • 24 - Leitet auf HA-Sekundär um
  • SNMP
    • 161 - Verbindet sich mit der HA aktiv
    • 162 - Leitet auf HA-Primär um
    • 163 - Weiterleitungen zur HA-Sekundär

Verwenden Sie Ziel-NAT-Richtlinien, um IP-Adressen zu erstellen, die eine Konnektivität mit In-Band-HA ermöglichen, ohne einen Port eingeben zu müssen.

Beispielsweise werden die folgenden Inband-IP-Adressen für den Zugriff auf die Appliances verwendet:

  • Aktive Appliance - 1.0.1.2
  • Primäre Appliance - 1.0.1.10
  • Sekundäre Appliance - 1.0.1.11

Überwachung der In-Band-Verwaltung

Im vorangegangenen Beispiel haben wir die In-Band-Verwaltung auf 172.170.10.78 virtueller IP aktiviert. Sie können diese IP verwenden, um auf die Webbenutzeroberfläche und SSH zuzugreifen.

Navigieren Sie in der Web-Benutzeroberfläche zu Monitoring > Firewall. Sie können SSH und Web-UI sehen, auf die über die virtuelle IP auf Port 22 bzw. 443 in der Spalte Ziel-IP-Adresse zugegriffen wird.

Überwachung der In-Band-Verwaltung

In-Band-Provisioning

Die Notwendigkeit, SD-WAN-Appliances in einfacheren Umgebungen wie zu Hause oder in kleinen Zweigstellen bereitzustellen, ist deutlich gestiegen. Das Konfigurieren separater Verwaltungszugriff für einfachere Bereitstellungen stellt einen zusätzlichen Overhead dar. Die Zero-Touch-Bereitstellung zusammen mit der In-Band-Verwaltungsfunktion ermöglicht die Provisioning und Konfigurationsverwaltung über bestimmte Datenports. Die Zero-Touch-Bereitstellung wird jetzt auf den ausgewiesenen Datenports unterstützt und es ist nicht erforderlich, einen separaten Verwaltungsport für die Zero-Touch-Bereitstellung zu verwenden. Citrix SD-WAN ermöglicht außerdem das nahtlose Failover des Verwaltungsdatenverkehrs zum Verwaltungsport, wenn der Datenport ausfällt und umgekehrt.

Eine Appliance im werkseitig ausgelieferten Zustand, die In-Band-Provisioning unterstützt, kann durch einfaches Verbinden der Daten oder des Verwaltungsports mit dem Internet bereitgestellt werden. Die Appliances, die die In-Band-Provisioning unterstützen, verfügen über spezifische Ports für LAN und WAN. Die Appliance im Zurücksetzungszustand auf Werkseinstellungen verfügt über eine Standardkonfiguration, die es ermöglicht, eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen. Der LAN-Port fungiert als DHCP-Server und weist dem WAN-Port, der als DHCP-Client fungiert, eine dynamische IP zu. Die WAN-Verbindungen überwachen den Quad 9-DNS-Dienst, um WAN-Konnektivität zu ermitteln.

Hinweis

Die In-Band-Provisioning gilt nur für SD-WAN 110 SE- und SD-WAN VPX-Plattformen.

Sobald die IP-Adresse abgerufen und eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst hergestellt wurde, werden die Konfigurationspakete heruntergeladen und auf der Appliance installiert.

Hinweis: Für die Day-0-Bereitstellung von SD-WAN-Appliances über die Daten-Ports muss die Appliance-Softwareversion SD-WAN 11.1.0 oder höher sein.

Die Standardkonfiguration einer Appliance im Zurücksetzungsstatus auf Werkseinstellungen umfasst die folgenden Konfigurationen:

  • DHCP-Server auf LAN-Anschluss
  • DHCP-Client auf WAN-Port
  • QUAD9-Konfiguration für DNS
  • Standard-LAN-IP ist 192.168.0.1
  • Grace Lizenz von 35 Tagen.

Sobald die Appliance bereitgestellt wurde, wird die Standardkonfiguration deaktiviert und durch die Konfiguration überschrieben, die vom Zero-Touch-Bereitstellungsdienst empfangen wurde. Wenn eine Appliance-Lizenz oder eine Kulanzlizenz abläuft, wird die Standardkonfiguration aktiviert, um sicherzustellen, dass die Appliance weiterhin mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt und Lizenzen erhält, die über eine Zero-Touch-Bereitstellung verwaltet werden.

Default-/Fallback-Konfiguration

Die Fallbackkonfiguration stellt sicher, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt, wenn Verbindungsfehler, Konfigurationskonflikt oder Softwarevereinstimmung vorliegen. Die Fallbackkonfiguration ist standardmäßig auf den Appliances aktiviert, die über ein Standardkonfigurationsprofil verfügen. Sie können die Fallback-Konfiguration auch gemäß Ihren vorhandenen LAN-Netzwerkeinstellungen bearbeiten.

Hinweis: Stellen Sie nach der anfänglichen Appliance-Bereitstellung sicher, dass die Fallback-Konfiguration für die Zero-Touch-Bereitstellungsdienstkonnektivität aktiviert ist.

Die folgende Tabelle enthält die Details der vordefinierten WAN- und LAN-Ports für die Fallbackkonfiguration auf verschiedenen Plattformen:

Plattform WAN-Ports LAN-Ports
110 1/2 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
1100 1/4, 1/5, 1/6 1/3 (FTB)

Ab Citrix SD-WAN 11.3.1 sind die WAN-Port-Einstellungen konfigurierbar. WAN-Ports können mit dem DHCP-Client als unabhängige WAN-Verbindungen konfiguriert werden und überwachen den Quad9 DNS-Dienst, um die WAN-Konnektivität zu bestimmen. Sie können WAN-IPs/Statische IPs für die WAN-Ports ohne DHCP konfigurieren, um das In-Band-Management für die anfängliche Provisioning zu verwenden.

Hinweis:

Sie können die Ethernet-Ports nur mit den statischen IPs konfigurieren. Die statischen IPs sind nicht mit LTE-1- und LTE-E1-Ports konfigurierbar. Obwohl Sie den LTE-1 und LTE-E1-Port als WAN hinzufügen können, bleiben die Konfigurationsfelder nicht editierbar.

Wenn Sie einen WAN-Port hinzufügen, wird er im Abschnitt WAN-Einstellungen (Port: 2) hinzugefügt, wobei das standardmäßig aktivierte Kontrollkästchen DHCP-Modus aktiviert ist. Wenn das Kontrollkästchen DHCP-Modus aktiviert ist, sind die Textfelder IP-Adresse, Gateway-IP-Adresse und VLAN-ID ausgegraut. Deaktivieren Sie das Kontrollkästchen DHCP-Modus, wenn Sie die statische IP konfigurieren möchten.

DHCP-Modus

Standardmäßig wird das Feld WAN-Tracking-IP-Adresse automatisch mit 9.9.9.9 gefüllt. Sie können die Adresse nach Bedarf ändern.

Hinweis

Wenn Sie das Kontrollkästchen Dynamic DNS Servers aktivieren, müssen Sie mindestens einen WAN-Port mit ausgewähltem DHCP-Modus hinzufügen/konfigurieren.

Konfigurierbare Verwaltung oder Datenport

Durch die In-Band-Verwaltung können die Datenports sowohl Daten- als auch Verwaltungsdatenverkehr übertragen, wodurch ein dedizierter Management-Port überflüssig wird. Dadurch bleibt der Management-Port auf den Low-End-Appliances, die bereits eine geringe Portdichte aufweisen, ungenutzt. Mit Citrix SD-WAN können Sie den Verwaltungsport so konfigurieren, dass er entweder als Datenport oder als Verwaltungsport verwendet wird.

Hinweis

Sie können den Management-Port nur auf den folgenden Plattformen in einen Datenport umwandeln:

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Sie können einen Verwaltungsport nur konfigurieren, wenn die In-Band-Verwaltung auf anderen vertrauenswürdigen Schnittstellen der Appliance aktiviert ist.

Backup-Management-Netzwerk

Sie können eine virtuelle IP-Adresse als Backup-Management-Netzwerk konfigurieren. Sie wird als Verwaltungs-IP-Adresse verwendet, wenn der Verwaltungsport nicht mit einem Standard-Gateway konfiguriert ist.

Hinweis

Wenn ein Standort über einen Internetdienst verfügt, der mit einer einzigen Routingdomäne konfiguriert ist, wird standardmäßig eine vertrauenswürdige Schnittstelle mit aktivierter Identität als Backup-Verwaltungsnetzwerk ausgewählt.

Überwachung der Backupverwaltung

Im vorangegangenen Beispiel haben wir 172.170.10.78 virtuelle IP als Backupverwaltungsnetzwerk ausgewählt. Wenn die Management-IP-Adresse nicht mit einem Standard-Gateway konfiguriert ist, können Sie diese IP verwenden, um auf die Webbenutzeroberfläche und SSH zuzugreifen.

Navigieren Sie in der Web-Benutzeroberfläche zu Monitoring > Firewall. Sie können diese virtuelle IP-Adresse als Quell-IP-Adresse für SSH- und Web-UI-Zugriff sehen.

Überwachung der Backupverwaltung

In-Band- und Backup-Management