Implementación Zero Touch

Nota

El servicio de implementación Zero Touch solo es compatible con determinados dispositivos Citrix SD-WAN™:

• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (se requiere reimagen)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (se requiere reimagen)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition (se requiere reimagen)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (se requiere reimagen)
• Instancia SD-WAN AWS VPX

El servicio de implementación Zero Touch (ZTD) es un servicio en la nube operado y administrado por Citrix® que permite el descubrimiento de nuevos dispositivos en la red Citrix SD-WAN y automatiza el proceso de implementación para las sucursales. El servicio en la nube ZTD es accesible desde cualquier nodo de la red a través de Internet y mediante el protocolo Secure Socket Layer (SSL).

El servicio en la nube ZTD se comunica de forma segura con los servicios de red de backend de Citrix que almacenan la identificación de los clientes que han comprado dispositivos compatibles con Zero Touch (por ejemplo, SD-WAN 410-SE, 2100-SE). Los servicios de backend están implementados para autenticar cualquier solicitud de implementación Zero Touch, validando correctamente la asociación entre la cuenta del cliente y los números de serie de los dispositivos Citrix SD-WAN.

Arquitectura y flujo de trabajo de alto nivel de ZTD

Sitio del centro de datos

Administrador de Citrix SD-WAN: Un usuario con derechos de administración del entorno SD-WAN con las siguientes responsabilidades principales:

• Creación de la configuración mediante la herramienta de configuración de red de Citrix SD-WAN Center, o importación de la configuración desde el dispositivo SD-WAN del nodo de control maestro (MCN).
• Inicio de sesión en Citrix Cloud™ para iniciar el servicio de implementación Zero Touch para la implementación de nuevos nodos de sitio.

Nota

Si tu SD-WAN Center está conectado a Internet a través de un servidor proxy, debes configurar los ajustes del servidor proxy en el SD-WAN Center. Para obtener más información, consulta Configuración del servidor proxy para la implementación Zero Touch.

Administrador de red: Un usuario responsable de la administración de la red empresarial (DHCP, DNS, Internet, firewall, etc.)

• Si es necesario, configura los firewalls para la comunicación saliente a FQDN sdwanzt.citrixnetworkapi.net desde SD-WAN Center.

Sitio remoto

Instalador in situ: Un contacto local o un instalador contratado para la actividad in situ con las siguientes responsabilidades principales:

• Desempaquetar físicamente el dispositivo Citrix SD-WAN.

• Reimagen de dispositivos no preparados para ZTD.

  • Requerido para: SD-WAN 1000-SE, 2000-SE, 1000-EE, 2000-EE
  • No requerido para: SD-WAN 410-SE, 2100-SE
• Conectar el cable de alimentación al dispositivo.
• Cablear el dispositivo para la conectividad a Internet en la interfaz de administración (por ejemplo, MGMT o 0/1).
• Cablear el dispositivo para la conectividad de enlace WAN en las interfaces de datos (por ejemplo, apA.WAN, apB.WAN, apC.WAN, 0/2, 0/3, 0/5, etc.)

Nota

La disposición de la interfaz es diferente en cada modelo, así que consulta la documentación para identificar los puertos de datos y de administración.

Se requieren los siguientes requisitos previos antes de iniciar cualquier servicio de implementación Zero Touch:

• SD-WAN en ejecución activa promocionado a nodo de control maestro (MCN).
• SD-WAN Center en ejecución activa con conectividad al MCN a través de una ruta virtual.
• Credenciales de inicio de sesión de Citrix Cloud creadas en https://onboarding.cloud.com (consulta las instrucciones a continuación sobre la creación de cuentas).
• Conectividad de red de administración (SD-WAN Center y dispositivo SD-WAN) a Internet en el puerto 443, ya sea directamente o a través de un servidor proxy.
• Conectividad a Internet en el puerto 443 para acceder al portal web de SD-WAN Center para la configuración inicial de ZTD.
• (Opcional) Al menos un dispositivo SD-WAN en ejecución activa que opere en una sucursal en modo cliente con conectividad de ruta virtual válida al MCN para ayudar a validar el establecimiento exitoso de la ruta a través de la red subyacente existente.

El último requisito previo no es un requisito, pero permite al administrador de SD-WAN validar que la red subyacente permite establecer rutas virtuales cuando la implementación Zero Touch se completa con cualquier sitio recién agregado. Principalmente, esto valida que las políticas de firewall y de enrutamiento adecuadas estén implementadas para NAT el tráfico en consecuencia o confirmar la capacidad de que el puerto UDP 4980 pueda penetrar con éxito la red para llegar al MCN.

Descripción general del servicio de implementación Zero Touch

El servicio de implementación Zero Touch funciona en conjunto con SD-WAN Center para proporcionar una implementación más sencilla de los dispositivos SD-WAN de las sucursales. SD-WAN Center se configura y utiliza como la herramienta de administración central para los dispositivos SD-WAN Standard y Enterprise (Premium) Edition. Para utilizar el servicio de implementación Zero Touch (o servicio en la nube ZTD), un administrador debe comenzar implementando el primer dispositivo SD-WAN en el entorno, luego configurar e implementar SD-WAN Center como el punto central de administración. Cuando SD-WAN Center, versión 9.1 o posterior, se instala con conectividad a Internet pública en el puerto 443, SD-WAN Center inicia automáticamente el servicio en la nube e instala los componentes necesarios para desbloquear las funciones de implementación Zero Touch y hacer que la opción de implementación Zero Touch esté disponible en la GUI de SD-WAN Center. La implementación Zero Touch no está disponible de forma predeterminada en el software SD-WAN Center. Esto está diseñado a propósito para asegurar que los componentes preliminares adecuados en la red subyacente estén presentes antes de permitir que un administrador inicie cualquier actividad in situ que involucre la implementación Zero Touch.

Después de que un entorno SD-WAN en funcionamiento esté activo, el registro en el servicio de implementación Zero Touch se logra creando un inicio de sesión de cuenta de Citrix Cloud. Con SD-WAN Center capaz de comunicarse con el servicio ZTD, la GUI expone las opciones de implementación Zero Touch en la ficha Configuration. Iniciar sesión en el servicio Zero Touch autentica el ID de cliente asociado con el entorno SD-WAN particular y registra el SD-WAN Center, además de desbloquear la cuenta para una mayor autenticación de las implementaciones de dispositivos ZTD.

Utilizando la herramienta de configuración de red en SD-WAN Center, el administrador de SD-WAN debe utilizar las plantillas o la capacidad de clonar sitios para construir la configuración de SD-WAN para agregar nuevos sitios. La nueva configuración es utilizada por SD-WAN Center para iniciar la implementación de ZTD para los sitios recién agregados. Cuando el administrador de SD-WAN inicia un sitio para su implementación utilizando el proceso ZTD, tiene la opción de preautenticar el dispositivo que se utilizará para ZTD rellenando previamente el número de serie e iniciando la comunicación por correo electrónico con el instalador in situ para comenzar la actividad in situ.

El instalador in situ recibe una comunicación por correo electrónico de que el sitio está listo para la implementación Zero Touch y puede comenzar el procedimiento de instalación de encender y cablear el dispositivo para la asignación de direcciones IP DHCP y el acceso a Internet en el puerto MGMT. También, el cableado en cualquier puerto LAN y WAN. Todo lo demás es iniciado por el servicio ZTD y el progreso se monitorea utilizando la URL de activación. En caso de que el nodo remoto a instalar sea una instancia en la nube, abrir la URL de activación inicia el flujo de trabajo para instalar automáticamente la instancia en el entorno de la nube designado, sin necesidad de ninguna acción por parte de un instalador local.

El servicio en la nube de implementación Zero Touch automatiza las siguientes acciones:

Descarga y actualiza el agente ZTD si hay nuevas funciones disponibles en el dispositivo de sucursal.

• Autentica el dispositivo de sucursal validando el número de serie.
• Autentica que el administrador de SD-WAN aceptó el sitio para ZTD utilizando SD-WAN Center.
• Extrae el archivo de configuración específico para el dispositivo de destino de SD-WAN Center.
• Envía el archivo de configuración específico para el dispositivo de destino al dispositivo de sucursal.
• Instala el archivo de configuración en el dispositivo de sucursal.
• Envía cualquier componente de software SD-WAN faltante o actualizaciones requeridas al dispositivo de sucursal.
• Envía un archivo de licencia temporal de 10 Mbps para la confirmación del establecimiento de la ruta virtual al dispositivo de sucursal.
• Habilita el servicio SD-WAN en el dispositivo de sucursal.

Se requieren más pasos del administrador de SD-WAN para instalar un archivo de licencia permanente en el dispositivo.

Procedimiento del servicio de implementación Zero Touch

El siguiente procedimiento detalla los pasos necesarios para implementar un nuevo sitio utilizando el servicio de implementación Zero Touch. Ten un MCN en funcionamiento y un nodo cliente ya funcionando con la comunicación adecuada con SD-WAN Center, así como rutas virtuales establecidas que confirmen la conectividad a través de la red subyacente. Los siguientes pasos son requeridos del administrador de SD-WAN para iniciar la implementación de Zero Touch:

Cómo configurar el servicio de implementación Zero Touch

SD-WAN Center tiene la funcionalidad de aceptar solicitudes de dispositivos recién conectados para unirse a la red empresarial SD-WAN. La solicitud se reenvía a la interfaz web a través del servicio de implementación Zero Touch. Una vez que el dispositivo se conecta al servicio, se descargan los paquetes de configuración y actualización de software.

Flujo de trabajo de configuración:

• Accede a SD-WAN Center > Create New site configuration (Crear nueva configuración de sitio) o importa una configuración existente y guárdala.
• Inicia sesión en Citrix Workspace™ Cloud para habilitar el servicio ZTD. La opción de menú Zero Touch Deployment (Implementación Zero Touch) ahora se muestra en la interfaz de administración web de SD-WAN Center.
• En SD-WAN Center, navega a Configuration (Configuración) > Zero Touch Deployment (Implementación Zero Touch) > Deploy New Site (Implementar nuevo sitio).
• Selecciona un dispositivo, haz clic en Enable (Habilitar) y luego en Deploy (Implementar).
• El instalador recibe un correo electrónico de activación > Ingresa el número de serie > Activate (Activar) > El dispositivo se implementa correctamente.

Para configurar el servicio de implementación Zero Touch:

1. Instala SD-WAN Center con las capacidades de implementación Zero Touch habilitadas.
   1. Instala SD-WAN Center con una dirección IP asignada por DHCP.
   2. Verifica que SD-WAN Center tenga asignada una dirección IP de administración adecuada y una dirección DNS de red con conectividad a Internet pública a través de la red de administración.

   3. Actualiza SD-WAN Center a la última versión de software de SD-WAN.

   4. Con la conectividad a Internet adecuada, SD-WAN Center inicia el servicio en la nube de implementación Zero Touch (ZTD) y descarga e instala automáticamente cualquier actualización de firmware específica de ZTD; si este procedimiento de “llamada a casa” falla, la siguiente opción de implementación Zero Touch no estará disponible en la GUI.

      

   5. Lee los Términos y condiciones y, a continuación, selecciona “Reconozco que he leído y acepto los Términos y condiciones anteriores”.

   6. Haz clic en el botón “Iniciar sesión en Citrix Workspace Cloud” si ya se ha creado una cuenta de Citrix Cloud.

   7. Inicia sesión en la cuenta de Citrix Cloud y, al recibir el siguiente mensaje de inicio de sesión exitoso, NO CIERRES ESTA VENTANA, EL PROCESO REQUIERE OTROS ~20 SEGUNDOS PARA QUE LA GUI DE SD-WAN CENTER SE ACTUALICE. La ventana debería cerrarse sola cuando se complete.

      

   8. Para crear una cuenta de inicio de sesión en la nube, sigue el procedimiento:

      • Abre un navegador web en https://onboarding.cloud.com

      • Haz clic en el enlace “Espera, tengo una cuenta de Citrix.com”.

      

      

   9. Inicia sesión con una cuenta de Citrix existente.

   10. Una vez que hayas iniciado sesión en la página de implementación Zero Touch de SD-WAN Center, es posible que observes que no hay sitios disponibles para la implementación de ZTD debido a las siguientes razones:

       • La configuración activa no se ha seleccionado en el menú desplegable Configuration (Configuración)
       • Todos los sitios para la configuración activa actual ya se han implementado
       • La configuración no se creó utilizando SD-WAN Center, sino el Editor de configuración disponible en el MCN
       • Los sitios no se crearon en la configuración haciendo referencia a dispositivos compatibles con Zero Touch (por ejemplo, 410-SE, 2100-SE, Cloud VPX)

2. Actualiza la configuración para agregar un nuevo sitio remoto con un dispositivo SD-WAN compatible con ZTD utilizando la configuración de red de SD-WAN Center.

   Si la configuración de SD-WAN no se creó utilizando la configuración de red de SD-WAN Center, importa la configuración activa del MCN y comienza a modificar la configuración utilizando SD-WAN Center. Para la capacidad de implementación Zero Touch, el administrador de SD-WAN debe construir la configuración utilizando SD-WAN Center. El siguiente procedimiento debe usarse para agregar un nuevo sitio destinado a la implementación Zero Touch.

   Diseña el nuevo sitio para la implementación del dispositivo SD-WAN describiendo primero los detalles del nuevo sitio (es decir, modelo de dispositivo, uso de grupos de interfaz, direcciones IP virtuales, enlaces WAN con ancho de banda y sus respectivas puertas de enlace).

   Importante

   Es posible que observes que cualquier nodo de sitio que tenga VPX seleccionado como modelo también aparece en la lista, pero actualmente el soporte de ZTD solo está disponible para la instancia de AWS VPX. Nota

   • Asegúrate de que estás utilizando un navegador web compatible con Citrix SD-WAN Center
   • Asegúrate de que el navegador web no esté bloqueando ninguna ventana emergente durante el inicio de sesión en Citrix Workspace

   

   Este es un ejemplo de implementación de un sitio de sucursal, el dispositivo SD-WAN se implementa físicamente en la ruta del enlace WAN MPLS existente a través de una red 172.16.30.0/24, y utilizando un enlace de respaldo existente habilitándolo a un estado activo y terminando ese segundo enlace WAN directamente en el dispositivo SD-WAN en una subred diferente 172.16.31.0/24.

   Nota

   Los dispositivos SD-WAN asignan automáticamente una dirección IP predeterminada de 192.168.100.1/16. Con DHCP habilitado de forma predeterminada, el servidor DHCP de la red podría proporcionar al dispositivo una segunda dirección IP en una subred que se superpone con la predeterminada. Esto podría resultar en un problema de enrutamiento en el dispositivo donde el dispositivo podría fallar al conectarse al servicio en la nube ZTD. Configura el servidor DHCP para asignar direcciones IP fuera del rango de 192.168.0.0/16.

   Hay varios modos de implementación diferentes disponibles para la ubicación del producto SD-WAN en una red. En el ejemplo anterior, SD-WAN se está implementando como una superposición sobre la infraestructura de red existente. Para los sitios nuevos, los administradores de SD-WAN podrían optar por implementar SD-WAN en modo Edge o Gateway, eliminando la necesidad de un enrutador de borde WAN y un firewall, y consolidando las necesidades de red de enrutamiento de borde y firewall en la solución SD-WAN.

   1. Abre la interfaz de administración web de SD-WAN Center y navega a la página Configuration (Configuración) > Network Configuration (Configuración de red).

      

   2. Asegúrate de que ya existe una configuración en funcionamiento o importa la configuración del MCN.

   3. Navega a la ficha Advanced (Avanzado) para crear un sitio.

   4. Abre el mosaico Sites (Sitios) para mostrar los sitios configurados actualmente.

   5. Crea rápidamente la configuración para el nuevo sitio utilizando la función de clonación de cualquier sitio existente.

      

   6. Rellena todos los campos obligatorios de la topología diseñada para esta nueva sucursal.

      

   7. Después de clonar un nuevo sitio, navega a la sección Basic Settings (Configuración básica) del sitio y verifica que el modelo de SD-WAN esté seleccionado correctamente para admitir el servicio Zero Touch.

      

   8. El modelo de SD-WAN para el sitio se puede actualizar, pero ten en cuenta que es posible que los grupos de interfaz deban redefinirse, ya que el dispositivo actualizado podría tener una nueva disposición de interfaz diferente a la utilizada para clonar.

   9. Guarda la nueva configuración en SD-WAN Center y utiliza la opción de exportar a la “bandeja de entrada de Change Management” para enviar la configuración mediante Change Management.

   10. Sigue el procedimiento de Change Management para organizar correctamente la nueva configuración, lo que hace que los dispositivos SD-WAN existentes sean conscientes del nuevo sitio que se implementará a través de Zero Touch; debes utilizar la opción “Ignore Incomplete” (Ignorar incompletos) para omitir el intento de enviar la configuración al nuevo sitio que aún debe pasar por el flujo de trabajo de ZTD.

3. Vuelve a la página de implementación Zero Touch de SD-WAN Center y, con la nueva configuración activa en ejecución, el nuevo sitio estará disponible para su implementación.

   1. En la página de implementación Zero Touch, en la ficha Deploy New Site (Implementar nuevo sitio), selecciona el archivo de configuración de red en ejecución.

   2. Una vez seleccionado el archivo de configuración en ejecución, se mostrará la lista de todos los sitios de sucursal con dispositivos SD-WAN no implementados que son compatibles con Zero Touch.

      

      

   3. Selecciona los sitios de sucursal que deseas configurar para el servicio Zero Touch, haz clic en Enable (Habilitar) y luego en Deploy (Implementar).

      

   4. Aparece una ventana emergente de Deploy New Site (Implementar nuevo sitio), donde el administrador puede proporcionar el número de serie, la dirección de la sucursal, la dirección de correo electrónico del instalador y más notas, si es necesario.

      

   Nota

   • El campo de entrada Serial Number (Número de serie) es opcional y, dependiendo de si se rellena o no, da como resultado un cambio en la actividad in situ de la que es responsable el instalador.
   • Si el campo Número de serie está rellenado: el instalador no tiene que introducir el número de serie en la URL de activación generada con el comando de implementación del sitio.
   • Si el campo Número de serie se deja en blanco: el instalador es responsable de introducir el número de serie correcto del dispositivo en la URL de activación generada con el comando de implementación del sitio.

   1. Después de hacer clic en el botón Deploy (Implementar), aparecerá un mensaje que indica que “La configuración del sitio se ha implementado”.

   2. Esta acción activa el SD-WAN Center, que se registró previamente con el servicio en la nube ZTD, para compartir la configuración de este sitio en particular para que se almacene temporalmente en el servicio en la nube ZTD.

   3. Navega a la ficha Pending Activation (Activación pendiente) para confirmar que la información del sitio de la sucursal se rellenó correctamente y se puso en estado de actividad pendiente del instalador.

      

   Nota

   Una implementación Zero Touch en estado de activación pendiente se puede elegir opcionalmente para eliminar o modificar, si la información es incorrecta. Si se elimina un sitio de la página de activación pendiente, estará disponible para implementarse en la página de la ficha Deploy New Site (Implementar nuevo sitio). Una vez que elijas eliminar el sitio de la sucursal de la activación pendiente, el enlace de activación enviado al instalador dejará de ser válido.

   Si el administrador de SD-WAN no rellenó el campo Serial Number (Número de serie), el campo Status (Estado) indica “Waiting for Installer” (Esperando al instalador) en lugar de “Connecting” (Conectando).

4. La siguiente serie de actividades las realiza el instalador in situ.

   1. El instalador verifica el buzón de correo electrónico que el administrador de SD-WAN utilizó al implementar el sitio.

      

   2. Abre la URL de activación de la implementación Zero Touch en una ventana del navegador de Internet.

   3. Si el administrador de SD-WAN no rellenó previamente el número de serie en el paso de implementación del sitio, el instalador sería responsable de localizar el número de serie en el dispositivo físico e introducirlo manualmente en la URL de activación, luego hacer clic en el botón Activate (Activar).

      

   4. Si el administrador rellenó previamente la información del número de serie, la URL de activación ya ha avanzado al siguiente paso.

      

   5. El instalador debe estar físicamente en el sitio para realizar las siguientes acciones:

      • Cablear todas las interfaces WAN y LAN para que coincidan con la topología y la configuración creadas en pasos anteriores.
      • Cablear la interfaz de administración (MGMT, 0/1) en el segmento de la red que proporciona la dirección IP DHCP y la conectividad a Internet con DNS y resolución de FQDN a dirección IP.
      • Conectar el cable de alimentación al dispositivo SD-WAN.
      • Encender el interruptor de alimentación del dispositivo.

   Nota

   La mayoría de los dispositivos se encenderán automáticamente cuando se conecte el cable de alimentación. Algunos dispositivos podrían tener que encenderse utilizando el interruptor de alimentación en la parte frontal del dispositivo, otros podrían tener el interruptor de alimentación en la parte trasera del dispositivo. Algunos interruptores de alimentación requieren mantener presionado el botón de encendido hasta que la unidad se encienda.

5. La siguiente serie de pasos se automatiza con la ayuda del servicio de implementación Zero Touch, pero requiere que los siguientes requisitos previos estén disponibles.

   • El dispositivo de sucursal debe estar encendido
   • DHCP debe estar disponible en la red existente para asignar la dirección IP de administración y DNS
   • Cualquier dirección IP asignada por DHCP requiere conectividad a Internet con capacidad para resolver FQDN
   • La asignación de IP se puede configurar manualmente, siempre que se cumplan los demás requisitos previos

   1. El dispositivo obtiene una dirección IP del servidor DHCP de la red; en esta topología de ejemplo, esto se logra a través de las interfaces de datos omitidas de un dispositivo en estado predeterminado de fábrica.

      

   2. A medida que el dispositivo obtiene las direcciones IP de administración web y DNS del servidor DHCP de la red subyacente, el dispositivo inicia el servicio de implementación Zero Touch y descarga cualquier actualización de software relacionada con ZTD.

   3. Con una conectividad exitosa al servicio en la nube ZTD, el proceso de implementación realiza automáticamente lo siguiente:

      • Descarga el archivo de configuración que se almacenó anteriormente por SD-WAN Center
      • Aplica la configuración al dispositivo local
      • Descarga e instala un archivo de licencia temporal de 10 MB
      • Descarga e instala cualquier actualización de software si es necesario
      • Activa el servicio SD-WAN

      

   4. Se puede realizar una confirmación adicional en la interfaz de administración web de SD-WAN Center; el menú Zero Touch Deployment (Implementación Zero Touch) muestra los dispositivos activados correctamente en la ficha Activation History (Historial de activación).

      

   5. Es posible que las rutas virtuales no se muestren inmediatamente en un estado conectado porque el MCN podría no confiar en la configuración entregada desde el servicio en la nube ZTD y reporta “Configuration version mismatch” (Discrepancia de versión de configuración) en el panel de control del MCN.

      

   6. La configuración se vuelve a entregar al dispositivo de sucursal recién instalado y el estado se monitorea en la página MCN > Configuration (Configuración) > Virtual WAN > Change Management (Administración de cambios) (este proceso puede tardar varios minutos en completarse).

      

   7. El administrador de SD-WAN puede monitorear la página de administración web del MCN principal para ver las rutas virtuales establecidas del sitio remoto.

      

   8. SD-WAN Center también se puede utilizar para identificar la dirección IP asignada por DHCP del dispositivo in situ desde la página Configuration (Configuración) > Network Discovery (Detección de red) > Inventory and Status (Inventario y estado).

      

   9. En este punto, el administrador de red de SD-WAN puede obtener acceso de administración web al dispositivo in situ utilizando la red superpuesta de SD-WAN.

      

   10. El acceso de administración web al dispositivo del sitio remoto indica que el dispositivo se ha instalado con una licencia temporal de gracia de 10 Mbps, lo que permite que el estado del servicio de ruta virtual se informe como activo.

       

   11. La configuración del dispositivo se puede validar utilizando la página Configuration (Configuración) > Virtual WAN > View Configuration (Ver configuración).

       

   12. El archivo de licencia del dispositivo se puede actualizar a una licencia permanente utilizando la página Configuration (Configuración) > Appliance Settings (Configuración del dispositivo) > Licensing (Licencias).

       

   13. Después de cargar e instalar el archivo de licencia permanente, el banner de advertencia de licencia de gracia desaparecerá y durante el proceso de instalación de la licencia no se producirá ninguna pérdida de conectividad con el sitio remoto (no se perderán pings).