Implementación Zero Touch

Nota

El servicio de implementación Zero Touch solo es compatible con los siguientes dispositivos Citrix SD-WAN™:

• SD-WAN 110 Standard Edition
• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (se requiere volver a crear la imagen)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (se requiere volver a crear la imagen)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition (se requiere volver a crear la imagen)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (se requiere volver a crear la imagen)
• Instancia SD-WAN AWS VPX

El servicio de implementación Zero Touch (ZTD) es un servicio en la nube operado y administrado por Citrix® que permite el descubrimiento de nuevos dispositivos en la red Citrix SD-WAN y automatiza el proceso de implementación para las sucursales. El servicio en la nube ZTD es accesible desde cualquier nodo de la red a través de Internet y mediante el protocolo Secure Socket Layer (SSL).

El servicio en la nube ZTD se comunica de forma segura con los servicios de backend de Citrix Network que almacenan la identificación de los clientes que han comprado dispositivos compatibles con Zero Touch (por ejemplo, SD-WAN 410-SE, 2100-SE). Los servicios de backend están implementados para autenticar cualquier solicitud de implementación Zero Touch, validando correctamente la asociación entre la cuenta del cliente y los números de serie de los dispositivos Citrix SD-WAN.

Arquitectura y flujo de trabajo de alto nivel de ZTD

Sitio del centro de datos

Administrador de Citrix SD-WAN: un usuario con derechos de administración del entorno SD-WAN con las siguientes responsabilidades principales:

• Creación de la configuración mediante la herramienta de configuración de red de Citrix SD-WAN Center o importación de la configuración desde el dispositivo SD-WAN del nodo de control maestro (MCN).
• Inicio de sesión en Citrix Cloud™ para iniciar el servicio de implementación Zero Touch para la implementación de nuevos nodos de sitio.

Nota

Si tu SD-WAN Center está conectado a Internet a través de un servidor proxy, tienes que configurar los ajustes del servidor proxy en el SD-WAN Center. Para obtener más información, consulta Configuración del servidor proxy para la implementación Zero Touch.

Administrador de red: un usuario responsable de la administración de la red empresarial (DHCP, DNS, Internet, firewall, etc.).

• Si es necesario, configura los firewalls para la comunicación saliente a FQDN sdwanzt.citrixnetworkapi.net desde SD-WAN Center.

Sitio remoto

Instalador in situ: un contacto local o un instalador contratado para actividades in situ con las siguientes responsabilidades principales:

• Desempaquetar físicamente el dispositivo Citrix SD-WAN.

• Volver a crear la imagen de los dispositivos no preparados para ZTD.

  • Necesario para: SD-WAN 1000-SE, 2000-SE, 1000-EE, 2000-EE
  • No necesario para: SD-WAN 410-SE, 2100-SE
• Conectar el cable de alimentación al dispositivo.
• Conectar el dispositivo para la conectividad a Internet en la interfaz de administración (por ejemplo, MGMT o 0/1).
• Conectar el dispositivo para la conectividad de enlace WAN en las interfaces de datos (por ejemplo, apA.WAN, apB.WAN, apC.WAN, 0/2, 0/3, 0/5, etc.).

Nota

La disposición de la interfaz es diferente en cada modelo, así que consulta la documentación para identificar los puertos de datos y de administración.

Se requieren los siguientes requisitos previos antes de iniciar cualquier servicio de implementación Zero Touch:

• SD-WAN en ejecución activa promocionado a nodo de control maestro (MCN).
• SD-WAN Center en ejecución activa con conectividad al MCN a través de Virtual Path.
• Credenciales de inicio de sesión de Citrix Cloud creadas en https://onboarding.cloud.com (consulta las instrucciones a continuación sobre la creación de cuentas).
• Conectividad de red de administración (SD-WAN Center y dispositivo SD-WAN) a Internet en el puerto 443, ya sea directamente o a través de un servidor proxy.
• Conectividad a Internet en el puerto 443 para acceder al portal web de SD-WAN Center para la configuración inicial de ZTD.
• (Opcional) Al menos un dispositivo SD-WAN en ejecución activa que opere en una sucursal en modo cliente con conectividad Virtual Path válida al MCN para ayudar a validar el establecimiento correcto de la ruta a través de la red subyacente existente.

El último requisito previo no es un requisito, pero permite al administrador de SD-WAN validar que la red subyacente permite establecer rutas virtuales cuando la implementación Zero Touch se completa con cualquier sitio recién agregado. Principalmente, esto valida que las políticas de firewall y de enrutamiento adecuadas están en su lugar para NAT el tráfico en consecuencia o para confirmar la capacidad de que el puerto UDP 4980 pueda penetrar con éxito la red para llegar al MCN.

Descripción general del servicio de implementación Zero Touch

El servicio de implementación Zero Touch funciona en conjunto con SD-WAN Center para facilitar la implementación de dispositivos SD-WAN en sucursales. SD-WAN Center se configura y utiliza como herramienta de administración central para los dispositivos SD-WAN Standard y Enterprise (Premium) Edition. Para utilizar el servicio de implementación Zero Touch (o servicio en la nube ZTD), un administrador debe comenzar implementando el primer dispositivo SD-WAN en el entorno, luego configurar e implementar SD-WAN Center como punto central de administración. Cuando SD-WAN Center, versión 9.1 o posterior, se instala con conectividad a Internet pública en el puerto 443, SD-WAN Center inicia automáticamente el servicio en la nube e instala los componentes necesarios para desbloquear las funciones de implementación Zero Touch y hacer que la opción de implementación Zero Touch esté disponible en la GUI de SD-WAN Center. La implementación Zero Touch no está disponible de forma predeterminada en el software SD-WAN Center. Esto está diseñado a propósito para asegurar que los componentes preliminares adecuados en la red subyacente estén presentes antes de permitir que un administrador inicie cualquier actividad in situ que involucre la implementación Zero Touch.

Después de que un entorno SD-WAN en funcionamiento esté activo, el registro en el servicio de implementación Zero Touch se logra creando un inicio de sesión de cuenta de Citrix Cloud. Con SD-WAN Center capaz de comunicarse con el servicio ZTD, la GUI expone las opciones de implementación Zero Touch en la ficha Configuración. El inicio de sesión en el servicio Zero Touch autentica el ID de cliente asociado con el entorno SD-WAN particular y registra el SD-WAN Center, además de desbloquear la cuenta para una mayor autenticación de las implementaciones de dispositivos ZTD.

Utilizando la herramienta de configuración de red en SD-WAN Center, el administrador de SD-WAN deberá utilizar las plantillas o la capacidad de clonar sitios para construir la configuración de SD-WAN para agregar nuevos sitios. La nueva configuración es utilizada por SD-WAN Center para iniciar la implementación de ZTD para los sitios recién agregados. Cuando el administrador de SD-WAN inicia un sitio para la implementación utilizando el proceso ZTD, tiene la opción de preautenticar el dispositivo que se utilizará para ZTD rellenando previamente el número de serie e iniciando la comunicación por correo electrónico con el instalador in situ para comenzar la actividad in situ.

El instalador in situ recibe una comunicación por correo electrónico de que el sitio está listo para la implementación Zero Touch y puede comenzar el procedimiento de instalación de encender y cablear el dispositivo para la asignación de direcciones IP DHCP y el acceso a Internet en el puerto MGMT. Además, el cableado de cualquier puerto LAN y WAN. Todo lo demás es iniciado por el servicio ZTD y el progreso se supervisa utilizando la URL de activación. En el caso de que el nodo remoto a instalar sea una instancia en la nube, la apertura de la URL de activación inicia el flujo de trabajo para instalar automáticamente la instancia en el entorno de nube designado, sin que sea necesaria ninguna acción por parte de un instalador local.

El servicio en la nube de implementación Zero Touch automatiza las siguientes acciones:

Descarga y actualiza el agente ZTD si hay nuevas funciones disponibles en el dispositivo de sucursal.

• Autentica el dispositivo de sucursal validando el número de serie.
• Autentica que el administrador de SD-WAN aceptó el sitio para ZTD utilizando SD-WAN Center.
• Extrae el archivo de configuración específico para el dispositivo de destino de SD-WAN Center.
• Envía el archivo de configuración específico para el dispositivo de destino al dispositivo de sucursal.
• Instala el archivo de configuración en el dispositivo de sucursal.
• Envía cualquier componente de software SD-WAN faltante o actualizaciones requeridas al dispositivo de sucursal.
• Envía un archivo de licencia temporal de 10 Mbps para la confirmación del establecimiento de la ruta virtual al dispositivo de sucursal.
• Habilita el servicio SD-WAN en el dispositivo de sucursal.

Se requieren más pasos del administrador de SD-WAN para instalar un archivo de licencia permanente en el dispositivo.

Procedimiento del servicio de implementación Zero Touch

El siguiente procedimiento detalla los pasos necesarios para implementar un nuevo sitio utilizando el servicio de implementación Zero Touch. Ten un MCN en ejecución y un nodo cliente ya funcionando con la comunicación adecuada con SD-WAN Center, así como rutas virtuales establecidas que confirmen la conectividad a través de la red subyacente. El administrador de SD-WAN debe seguir los siguientes pasos para iniciar la implementación Zero Touch:

Cómo configurar el servicio de implementación Zero Touch

SD-WAN Center tiene la funcionalidad de aceptar solicitudes de dispositivos recién conectados para unirse a la red empresarial SD-WAN. La solicitud se reenvía a la interfaz web a través del servicio de implementación Zero Touch. Una vez que el dispositivo se conecta al servicio, se descargan los paquetes de configuración y actualización de software.

Flujo de trabajo de configuración:

• Accede a SD-WAN Center > Crear nueva configuración de sitio o importa una configuración existente y guárdala.
• Inicia sesión en Citrix Workspace™ Cloud para habilitar el servicio ZTD. La opción de menú Implementación Zero Touch ahora se muestra en la interfaz de administración web de SD-WAN Center.
• En SD-WAN Center, navega a Configuración > Implementación Zero Touch > Implementar nuevo sitio.
• Selecciona un dispositivo, haz clic en Habilitar y luego en Implementar.
• El instalador recibe el correo electrónico de activación > Introduce el número de serie > Activar > El dispositivo se implementa correctamente.

Para configurar el servicio de implementación Zero Touch:

1. Instala SD-WAN Center con las capacidades de implementación Zero Touch habilitadas.
   1. Instala SD-WAN Center con una dirección IP asignada por DHCP.
   2. Verifica que SD-WAN Center tenga asignada una dirección IP de administración y una dirección DNS de red adecuadas con conectividad a Internet pública a través de la red de administración.

   3. Actualiza SD-WAN Center a la última versión de software de SD-WAN.

   4. Con una conectividad a Internet adecuada, SD-WAN Center inicia el servicio en la nube de implementación Zero Touch (ZTD) y descarga e instala automáticamente cualquier actualización de firmware específica de ZTD; si este procedimiento de “call home” falla, la siguiente opción de implementación Zero Touch no estará disponible en la GUI.

      

   5. Lee los Términos y condiciones y, a continuación, selecciona “Reconozco que he leído y acepto los Términos y condiciones anteriores”.

   6. Haz clic en el botón “Iniciar sesión en Citrix Workspace Cloud” si ya se ha creado una cuenta de Citrix Cloud.

   7. Inicia sesión en la cuenta de Citrix Cloud y, al recibir el siguiente mensaje de inicio de sesión correcto, NO CIERRES ESTA VENTANA, EL PROCESO REQUIERE OTROS ~20 SEGUNDOS PARA QUE LA GUI DE SD-WAN CENTER SE ACTUALICE. La ventana debería cerrarse sola cuando se complete.

      

   8. Para crear una cuenta de inicio de sesión en la nube, sigue el siguiente procedimiento:

      • Abre un navegador web en https://onboarding.cloud.com

      • Haz clic en el enlace “Espera, tengo una cuenta de Citrix.com”.

      

      

   9. Inicia sesión con una cuenta de Citrix existente.

   10. Una vez que hayas iniciado sesión en la página de implementación Zero Touch de SD-WAN Center, es posible que observes que no hay sitios disponibles para la implementación de ZTD debido a las siguientes razones:

       • No se ha seleccionado la configuración activa en el menú desplegable Configuración.
       • Todos los sitios de la configuración activa actual ya se han implementado.
       • La configuración no se creó utilizando SD-WAN Center, sino el editor de configuración disponible en el MCN.
       • Los sitios no se crearon en la configuración haciendo referencia a dispositivos compatibles con Zero Touch (por ejemplo, 410-SE, 2100-SE, Cloud VPX).

2. Actualiza la configuración para agregar un nuevo sitio remoto con un dispositivo SD-WAN compatible con ZTD utilizando la configuración de red de SD-WAN Center.

   Si la configuración de SD-WAN no se creó utilizando la configuración de red de SD-WAN Center, importa la configuración activa del MCN y comienza a modificar la configuración utilizando SD-WAN Center. Para la capacidad de implementación Zero Touch, el administrador de SD-WAN debe crear la configuración utilizando SD-WAN Center. El siguiente procedimiento debe usarse para agregar un nuevo sitio destinado a la implementación Zero Touch.

   Diseña el nuevo sitio para la implementación del dispositivo SD-WAN describiendo primero los detalles del nuevo sitio (es decir, modelo de dispositivo, uso de grupos de interfaz, direcciones IP virtuales, enlaces WAN con ancho de banda y sus respectivas puertas de enlace).

   Importante

   Es posible que observes que cualquier nodo de sitio que tenga VPX seleccionado como modelo también aparece en la lista, pero actualmente el soporte de ZTD solo está disponible para la instancia de AWS VPX. Nota

   • Asegúrate de que estás utilizando un navegador web compatible con Citrix SD-WAN Center.
   • Asegúrate de que el navegador web no bloquea ninguna ventana emergente durante el inicio de sesión en Citrix Workspace.

   

   Este es un ejemplo de implementación de un sitio de sucursal: el dispositivo SD-WAN se implementa físicamente en la ruta del enlace WAN MPLS existente a través de una red 172.16.30.0/24, y utiliza un enlace de respaldo existente habilitándolo a un estado activo y terminando ese segundo enlace WAN directamente en el dispositivo SD-WAN en una subred diferente 172.16.31.0/24.

   Nota

   Los dispositivos SD-WAN asignan automáticamente una dirección IP predeterminada de 192.168.100.1/16. Con DHCP habilitado de forma predeterminada, el servidor DHCP de la red puede proporcionar al dispositivo una segunda dirección IP en una subred que se superpone con la predeterminada. Esto podría provocar un problema de enrutamiento en el dispositivo, donde el dispositivo podría no conectarse al servicio en la nube ZTD. Configura el servidor DHCP para asignar direcciones IP fuera del rango de 192.168.0.0/16.

   Hay varios modos de implementación diferentes disponibles para la ubicación de productos SD-WAN en una red. En el ejemplo anterior, SD-WAN se implementa como una superposición sobre la infraestructura de red existente. Para los nuevos sitios, los administradores de SD-WAN pueden optar por implementar SD-WAN en modo Edge o Gateway, eliminando la necesidad de un enrutador de borde WAN y un firewall, y consolidando las necesidades de red de enrutamiento de borde y firewall en la solución SD-WAN.

   1. Abre la interfaz de administración web de SD-WAN Center y navega a la página Configuración > Configuración de red.

      

   2. Asegúrate de que ya existe una configuración en funcionamiento o importa la configuración del MCN.

   3. Navega a la ficha Avanzado para crear un sitio.

   4. Abre el mosaico Sitios para mostrar los sitios configurados actualmente.

   5. Crea rápidamente la configuración para el nuevo sitio utilizando la función de clonación de cualquier sitio existente.

      

   6. Rellena todos los campos obligatorios de la topología diseñada para este nuevo sitio de sucursal.

      

   7. Después de clonar un nuevo sitio, navega a la sección Configuración básica del sitio y verifica que el modelo de SD-WAN seleccionado sea el correcto y que sea compatible con el servicio Zero Touch.

      

   8. El modelo de SD-WAN para el sitio se puede actualizar, pero ten en cuenta que los grupos de interfaz pueden tener que redefinirse, ya que el dispositivo actualizado puede tener una nueva disposición de interfaz diferente a la utilizada para clonar.

   9. Guarda la nueva configuración en SD-WAN Center y utiliza la opción de exportar a la “Bandeja de entrada de administración de cambios” para enviar la configuración mediante la administración de cambios.

   10. Sigue el procedimiento de administración de cambios para organizar correctamente la nueva configuración, lo que hace que los dispositivos SD-WAN existentes conozcan el nuevo sitio que se va a implementar mediante Zero Touch; debes utilizar la opción “Ignorar incompleto” para omitir el intento de enviar la configuración al nuevo sitio que aún debe pasar por el flujo de trabajo de ZTD.

3. Vuelve a la página de implementación Zero Touch de SD-WAN Center y, con la nueva configuración activa en ejecución, el nuevo sitio estará disponible para su implementación.

   1. En la página de implementación Zero Touch, en la ficha Implementar nuevo sitio, selecciona el archivo de configuración de red en ejecución.

   2. Después de seleccionar el archivo de configuración en ejecución, se mostrará la lista de todos los sitios de sucursal con dispositivos SD-WAN no implementados que son compatibles con Zero Touch.

      

      

   3. Selecciona los sitios de sucursal que quieres configurar para el servicio Zero Touch, haz clic en Habilitar y, a continuación, en Implementar.

      

   4. Aparece una ventana emergente Implementar nuevo sitio, donde el administrador puede proporcionar el número de serie, la dirección de la sucursal, la dirección de correo electrónico del instalador y más notas, si es necesario.

      

   Nota

   • El campo de entrada del número de serie es opcional y, dependiendo de si se rellena o no, dará lugar a un cambio en la actividad in situ de la que es responsable el instalador.
   • Si el campo del número de serie está rellenado, el instalador no tiene que introducir el número de serie en la URL de activación generada con el comando de implementación del sitio.
   • Si el campo del número de serie se deja en blanco, el instalador será responsable de introducir el número de serie correcto del dispositivo en la URL de activación generada con el comando de implementación del sitio.

   1. Después de hacer clic en el botón Implementar, aparecerá un mensaje que indica que “La configuración del sitio se ha implementado”.

   2. Esta acción activa SD-WAN Center, que se registró previamente con el servicio en la nube ZTD, para compartir la configuración de este sitio en particular para que se almacene temporalmente en el servicio en la nube ZTD.

   3. Navega a la ficha Activación pendiente para confirmar que la información del sitio de la sucursal se rellenó correctamente y se puso en un estado de actividad de instalador pendiente.

      

   Nota

   Una implementación Zero Touch en estado de activación pendiente se puede eliminar o modificar opcionalmente si la información es incorrecta. Si se elimina un sitio de la página de activación pendiente, estará disponible para implementarse en la página de la ficha Implementar nuevo sitio. Una vez que eliges eliminar el sitio de la sucursal de la activación pendiente, el enlace de activación enviado al instalador deja de ser válido.

   Si el administrador de SD-WAN no rellenó el campo del número de serie, el campo Estado indica “Esperando al instalador” en lugar de “Conectando”.

4. La siguiente serie de actividades las realiza el instalador in situ.

   1. El instalador verifica el buzón de correo electrónico que el administrador de SD-WAN utilizó al implementar el sitio.

      

   2. Abre la URL de activación de la implementación Zero Touch en una ventana del navegador de Internet.

   3. Si el administrador de SD-WAN no rellenó previamente el número de serie en el paso de implementación del sitio, el instalador sería responsable de localizar el número de serie en el dispositivo físico e introducirlo manualmente en la URL de activación, y luego hacer clic en el botón Activar.

      

   4. Si el administrador rellenó previamente la información del número de serie, la URL de activación ya habrá avanzado al siguiente paso.

      

   5. El instalador debe estar físicamente in situ para realizar las siguientes acciones:

      • Conectar todas las interfaces WAN y LAN para que coincidan con la topología y la configuración creadas en pasos anteriores.
      • Conectar la interfaz de administración (MGMT, 0/1) en el segmento de la red que proporciona la dirección IP DHCP y la conectividad a Internet con DNS y resolución de FQDN a dirección IP.
      • Conectar el cable de alimentación al dispositivo SD-WAN.
      • Encender el interruptor de alimentación del dispositivo.

   Nota

   La mayoría de los dispositivos se encenderán automáticamente cuando se conecte el cable de alimentación. Algunos dispositivos pueden tener que encenderse utilizando el interruptor de alimentación en la parte frontal del dispositivo, otros pueden tener el interruptor de alimentación en la parte trasera del dispositivo. Algunos interruptores de alimentación requieren mantener pulsado el botón de encendido hasta que la unidad se encienda.

5. La siguiente serie de pasos se automatiza con la ayuda del servicio de implementación Zero Touch, pero requiere que estén disponibles los siguientes requisitos previos.

   • El dispositivo de sucursal debe estar encendido.
   • DHCP debe estar disponible en la red existente para asignar la dirección IP de administración y DNS.
   • Cualquier dirección IP asignada por DHCP requiere conectividad a Internet con capacidad para resolver FQDN.
   • La asignación de IP se puede configurar manualmente, siempre que se cumplan los demás requisitos previos.

   1. El dispositivo obtiene una dirección IP del servidor DHCP de la red; en esta topología de ejemplo, esto se logra a través de las interfaces de datos omitidas de un dispositivo en estado predeterminado de fábrica.

      

   2. A medida que el dispositivo obtiene las direcciones IP de administración web y DNS del servidor DHCP de la red subyacente, el dispositivo inicia el servicio de implementación Zero Touch y descarga las actualizaciones de software relacionadas con ZTD.

   3. Con una conectividad exitosa al servicio en la nube ZTD, el proceso de implementación realiza automáticamente lo siguiente:

      • Descarga el archivo de configuración que se almacenó anteriormente en SD-WAN Center.
      • Aplica la configuración al dispositivo local.
      • Descarga e instala un archivo de licencia temporal de 10 MB.
      • Descarga e instala cualquier actualización de software si es necesario.
      • Activa el servicio SD-WAN.

      

   4. Se puede realizar una confirmación adicional en la interfaz de administración web de SD-WAN Center; el menú de implementación Zero Touch muestra los dispositivos activados correctamente en la ficha Historial de activación.

      

   5. Es posible que las rutas virtuales no se muestren inmediatamente en un estado conectado porque el MCN puede no confiar en la configuración entregada por el servicio en la nube ZTD y reporta “Desajuste de versión de configuración” en el panel de control del MCN.

      

   6. La configuración se vuelve a entregar al dispositivo de sucursal recién instalado y el estado se supervisa en la página MCN > Configuración > WAN virtual > Administración de cambios (este proceso puede tardar varios minutos en completarse).

      

   7. El administrador de SD-WAN puede supervisar la página de administración web del MCN principal para ver las rutas virtuales establecidas del sitio remoto.

      

   8. SD-WAN Center también se puede utilizar para identificar la dirección IP asignada por DHCP del dispositivo in situ desde la página Configuración > Detección de red > Inventario y estado.

      

   9. En este punto, el administrador de red de SD-WAN puede obtener acceso de administración web al dispositivo in situ utilizando la red de superposición de SD-WAN.

      

   10. El acceso de administración web al dispositivo del sitio remoto indica que el dispositivo se ha instalado con una licencia temporal de gracia de 10 Mbps, lo que permite que el estado del servicio de ruta virtual se informe como activo.

       

   11. La configuración del dispositivo se puede validar utilizando la página Configuración > WAN virtual > Ver configuración.

       

   12. El archivo de licencia del dispositivo se puede actualizar a una licencia permanente utilizando la página Configuración > Configuración del dispositivo > Licencias.

       

   13. Después de cargar e instalar el archivo de licencia permanente, el banner de advertencia de licencia de gracia desaparece y durante el proceso de instalación de la licencia no se producirá ninguna pérdida de conectividad con el sitio remoto (no se pierden pings).