In-Band- und Backup-Management
In-Band-Verwaltung
Mit Citrix SD-WAN können Sie die SD-WAN-Appliance auf zwei Arten verwalten: Out-of-Band-Verwaltung und In-Band-Verwaltung. Mit der Out-of-Band-Verwaltung können Sie eine Verwaltungs-IP mit einem für die Verwaltung reservierten Port erstellen, der nur den Verwaltungsdatenverkehr trägt. Mit der In-Band-Verwaltung können Sie die SD-WAN-Datenports für die Verwaltung verwenden. Es überträgt sowohl Daten- als auch Verwaltungsdatenverkehr, ohne einen zusätzlichen Verwaltungspfad konfigurieren zu müssen.
Durch die In-Band-Verwaltung können virtuelle IP-Adressen mit Verwaltungsdiensten wie Web-UI und SSH verbunden werden. Sie können die In-Band-Verwaltung auf mehreren vertrauenswürdigen Schnittstellen aktivieren, die für die Verwendung für IP-Dienste aktiviert sind. Sie können auf die Web-UI und SSH über die Management-IP und virtuelle In-Band-IPs zugreifen.
Ab Version Citrix SD-WAN 11.4.2 ist es zwingend erforderlich, die In-Band-Verwaltung zu konfigurieren, um die Konnektivität zum Citrix SD-WAN Orchestrator Service über einen In-Band-Verwaltungsport herzustellen. Andernfalls verliert die Appliance die Konnektivität zum Citrix SD-WAN Orchestrator Service, wenn der Management-Port nicht verbunden ist und die In-Band-IP-Adresse ebenfalls nicht konfiguriert ist.
Hinweis
- Der Citrix SD-WAN Orchestrator-Dienst lässt die Konfiguration des Diensttyps als Any für Ziel-NAT-Richtlinien nicht zu.
- Vermeiden Sie es, den Dienst zu deaktivieren, wenn die einzige Verwaltungskonnektivität In-Band-HA ist. Sie können sich aus der Appliance ausschließen, wenn Sie den Dienst deaktivieren.
Ab Citrix SD-WAN 11.5 können Sie die In-Band-Verwaltung auf einer virtuellen IP nur über den Citrix SD-WAN Orchestrator Service aktivieren. Weitere Informationen finden Sie unter Inband-Verwaltung.
Ab Citrix SD-WAN 11.3.1 unterstützt die In-Band-Verwaltung High-Availability Appliance-Paare. Die Kommunikation zwischen den primären und sekundären Appliances erfolgt über die virtuellen Schnittstellen mit NAT.
Die folgenden Ports ermöglichen die Kommunikation mit Verwaltungsdiensten auf den HA-Appliances:
- HTTPS
- 443 - Verbindet sich mit der HA aktiv
- 444 - Leitet auf die HA-Primär um
- 445 - Weiterleitungen zur HA-Sekundär
- SSH
- 22 - Verbindet sich mit der HA aktiv
- 23 - Leitet auf HA-Primär um
- 24 - Leitet auf HA-Sekundär um
- SNMP
- 161 - Verbindet sich mit der HA aktiv
- 162 - Leitet auf HA-Primär um
- 163 - Weiterleitungen zur HA-Sekundär
Verwenden Sie Ziel-NAT-Richtlinien, um IP-Adressen zu erstellen, die eine Konnektivität mit In-Band-HA ermöglichen, ohne einen Port eingeben zu müssen.
Beispielsweise werden die folgenden Inband-IP-Adressen für den Zugriff auf die Appliances verwendet:
- Aktive Appliance - 1.0.1.2
- Primäre Appliance - 1.0.1.10
- Sekundäre Appliance - 1.0.1.11
Überwachung der In-Band-Verwaltung
Im vorangegangenen Beispiel haben wir die In-Band-Verwaltung auf 172.170.10.78 virtueller IP aktiviert. Sie können diese IP verwenden, um auf die Webbenutzeroberfläche und SSH zuzugreifen.
Navigieren Sie in der Web-Benutzeroberfläche zu Monitoring > Firewall. Sie können SSH und Web-UI sehen, auf die über die virtuelle IP auf Port 22 bzw. 443 in der Spalte Ziel-IP-Adresse zugegriffen wird.
In-Band-Provisioning
Die Notwendigkeit, SD-WAN-Appliances in einfacheren Umgebungen wie zu Hause oder in kleinen Zweigstellen bereitzustellen, ist deutlich gestiegen. Das Konfigurieren separater Verwaltungszugriff für einfachere Bereitstellungen stellt einen zusätzlichen Overhead dar. Die Zero-Touch-Bereitstellung zusammen mit der In-Band-Verwaltungsfunktion ermöglicht die Provisioning und Konfigurationsverwaltung über bestimmte Datenports. Die Zero-Touch-Bereitstellung wird jetzt auf den ausgewiesenen Datenports unterstützt und es ist nicht erforderlich, einen separaten Verwaltungsport für die Zero-Touch-Bereitstellung zu verwenden. Citrix SD-WAN ermöglicht außerdem das nahtlose Failover des Verwaltungsdatenverkehrs zum Verwaltungsport, wenn der Datenport ausfällt und umgekehrt.
Eine Appliance im werkseitig ausgelieferten Zustand, die In-Band-Provisioning unterstützt, kann durch einfaches Verbinden der Daten oder des Verwaltungsports mit dem Internet bereitgestellt werden. Die Appliances, die die In-Band-Provisioning unterstützen, verfügen über spezifische Ports für LAN und WAN. Die Appliance im Zurücksetzungszustand auf Werkseinstellungen verfügt über eine Standardkonfiguration, die es ermöglicht, eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst herzustellen. Der LAN-Port fungiert als DHCP-Server und weist dem WAN-Port, der als DHCP-Client fungiert, eine dynamische IP zu. Die WAN-Verbindungen überwachen den Quad 9-DNS-Dienst, um WAN-Konnektivität zu ermitteln.
Hinweis
Die In-Band-Provisioning gilt nur für SD-WAN 110 SE- und SD-WAN VPX-Plattformen.
Sobald die IP-Adresse abgerufen und eine Verbindung mit dem Zero-Touch-Bereitstellungsdienst hergestellt wurde, werden die Konfigurationspakete heruntergeladen und auf der Appliance installiert.
Hinweis: Für die Day-0-Bereitstellung von SD-WAN-Appliances über die Daten-Ports muss die Appliance-Softwareversion SD-WAN 11.1.0 oder höher sein.
Die Standardkonfiguration einer Appliance im Zurücksetzungsstatus auf Werkseinstellungen umfasst die folgenden Konfigurationen:
- DHCP-Server auf LAN-Anschluss
- DHCP-Client auf WAN-Port
- QUAD9-Konfiguration für DNS
- Standard-LAN-IP ist 192.168.0.1
- Grace Lizenz von 35 Tagen.
Sobald die Appliance bereitgestellt wurde, wird die Standardkonfiguration deaktiviert und durch die Konfiguration überschrieben, die vom Zero-Touch-Bereitstellungsdienst empfangen wurde. Wenn eine Appliance-Lizenz oder eine Kulanzlizenz abläuft, wird die Standardkonfiguration aktiviert, um sicherzustellen, dass die Appliance weiterhin mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt und Lizenzen erhält, die über eine Zero-Touch-Bereitstellung verwaltet werden.
Default-/Fallback-Konfiguration
Die Fallbackkonfiguration stellt sicher, dass die Appliance mit dem Zero-Touch-Bereitstellungsdienst verbunden bleibt, wenn Verbindungsfehler, Konfigurationskonflikt oder Softwarevereinstimmung vorliegen. Die Fallbackkonfiguration ist standardmäßig auf den Appliances aktiviert, die über ein Standardkonfigurationsprofil verfügen. Sie können die Fallback-Konfiguration auch gemäß Ihren vorhandenen LAN-Netzwerkeinstellungen bearbeiten.
Hinweis: Stellen Sie nach der anfänglichen Appliance-Bereitstellung sicher, dass die Fallback-Konfiguration für die Zero-Touch-Bereitstellungsdienstkonnektivität aktiviert ist.
Die folgende Tabelle enthält die Details der vordefinierten WAN- und LAN-Ports für die Fallbackkonfiguration auf verschiedenen Plattformen:
| Plattform | WAN-Ports | LAN-Ports |
|---|---|---|
| 110 | 1/2 | 1/1 |
| 110-LTE | 1/2, LTE-1 | 1/1 |
| 210 | 1/4, 1/5 | 1/3 |
| 210-LTE | 1/4, 1/5, LTE-1 | 1/3 |
| VPX | 2 | 1 |
| 1100 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
Ab Citrix SD-WAN 11.3.1 sind die WAN-Port-Einstellungen konfigurierbar. WAN-Ports können mit dem DHCP-Client als unabhängige WAN-Verbindungen konfiguriert werden und überwachen den Quad9 DNS-Dienst, um die WAN-Konnektivität zu bestimmen. Sie können WAN-IPs/Statische IPs für die WAN-Ports ohne DHCP konfigurieren, um das In-Band-Management für die anfängliche Provisioning zu verwenden.
Hinweis:
Sie können die Ethernet-Ports nur mit den statischen IPs konfigurieren. Die statischen IPs sind nicht mit LTE-1- und LTE-E1-Ports konfigurierbar. Obwohl Sie den LTE-1 und LTE-E1-Port als WAN hinzufügen können, bleiben die Konfigurationsfelder nicht editierbar.
Wenn Sie einen WAN-Port hinzufügen, wird er im Abschnitt WAN-Einstellungen (Port: 2) hinzugefügt, wobei das standardmäßig aktivierte Kontrollkästchen DHCP-Modus aktiviert ist. Wenn das Kontrollkästchen DHCP-Modus aktiviert ist, sind die Textfelder IP-Adresse, Gateway-IP-Adresse und VLAN-ID ausgegraut. Deaktivieren Sie das Kontrollkästchen DHCP-Modus, wenn Sie die statische IP konfigurieren möchten.
Standardmäßig wird das Feld WAN-Tracking-IP-Adresse automatisch mit 9.9.9.9 gefüllt. Sie können die Adresse nach Bedarf ändern.
Hinweis
Wenn Sie das Kontrollkästchen Dynamic DNS Servers aktivieren, müssen Sie mindestens einen WAN-Port mit ausgewähltem DHCP-Modus hinzufügen/konfigurieren.
Konfigurierbare Verwaltung oder Datenport
Durch die In-Band-Verwaltung können die Datenports sowohl Daten- als auch Verwaltungsdatenverkehr übertragen, wodurch ein dedizierter Management-Port überflüssig wird. Dadurch bleibt der Management-Port auf den Low-End-Appliances, die bereits eine geringe Portdichte aufweisen, ungenutzt. Mit Citrix SD-WAN können Sie den Verwaltungsport so konfigurieren, dass er entweder als Datenport oder als Verwaltungsport verwendet wird.
Hinweis
Sie können den Management-Port nur auf den folgenden Plattformen in einen Datenport umwandeln:
- Citrix SD-WAN 110 SE/LTE
- Citrix SD-WAN 210 SE/LTE
Sie können einen Verwaltungsport nur konfigurieren, wenn die In-Band-Verwaltung auf anderen vertrauenswürdigen Schnittstellen der Appliance aktiviert ist.
Backup-Management-Netzwerk
Sie können eine virtuelle IP-Adresse als Backup-Management-Netzwerk konfigurieren. Sie wird als Verwaltungs-IP-Adresse verwendet, wenn der Verwaltungsport nicht mit einem Standard-Gateway konfiguriert ist.
Hinweis
Wenn ein Standort über einen Internetdienst verfügt, der mit einer einzigen Routingdomäne konfiguriert ist, wird standardmäßig eine vertrauenswürdige Schnittstelle mit aktivierter Identität als Backup-Verwaltungsnetzwerk ausgewählt.
Überwachung der Backupverwaltung
Im vorangegangenen Beispiel haben wir 172.170.10.78 virtuelle IP als Backupverwaltungsnetzwerk ausgewählt. Wenn die Management-IP-Adresse nicht mit einem Standard-Gateway konfiguriert ist, können Sie diese IP verwenden, um auf die Webbenutzeroberfläche und SSH zuzugreifen.
Navigieren Sie in der Web-Benutzeroberfläche zu Monitoring > Firewall. Sie können diese virtuelle IP-Adresse als Quell-IP-Adresse für SSH- und Web-UI-Zugriff sehen.
