Implementación de Zero Touch
Nota
El servicio Zero Touch Deployment se admite en determinados dispositivos Citrix SD-WAN:
- SD-WAN 110 Standard Edition
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 Standard Edition
- SD-WAN 1000 Standard Edition (se requiere reimagen)
- SD-WAN 1000 Enterprise Edition (Premium Edition) (se requiere reimagen)
- SD-WAN 1100 Standard Edition
- Edición SD-WAN 1100 Premium (Enterprise)
- SD-WAN 2000 Standard Edition (se requiere reimagen)
- SD-WAN 2000 Enterprise Edition (Premium Edition (se requiere reimagen)
- Instancia de AWS VPX de SD-WAN
El servicio Zero Touch Deployment (ZTD) es un servicio en la nube gestionado y gestionado por Citrix que permite descubrir nuevos dispositivos en la red Citrix SD-WAN y automatiza el proceso de implementación de sucursales. El servicio ZTD Cloud Service es accesible desde cualquier nodo de la red a través de Internet y a través del protocolo Secure Socket Layer (SSL).
ZTD Cloud Service se comunica de forma segura con los servicios de back-end de Citrix Network que almacenan la identificación de los clientes que han adquirido dispositivos compatibles con Zero Touch (por ejemplo, SD-WAN 410-SE, 2100-SE).Los servicios de back-end están disponibles para autenticar cualquier solicitud de implementación de Zero Touch, validando correctamente la asociación entre la cuenta del cliente y los números de serie de los dispositivos Citrix SD-WAN.
Arquitectura y flujo de trabajo de ZTD
Sitio del centro de datos
Citrix SD-WAN Administrator: Usuario con derechos de administración del entorno SD-WAN con las siguientes responsabilidades principales:
- Creación de la configuración mediante la herramienta de configuración de red de Citrix SD-WAN Center o importación de la configuración desde el dispositivo SD-WAN de nodo de control maestro (MCN)
- Citrix Cloud Login para iniciar el servicio Zero Touch Deployment Service para la implementación de nuevos nodos de sitio.
Nota
Si su SD-WAN Center está conectado a Internet a través de un servidor proxy, debe configurar la configuración del servidor proxy en SD-WAN Center. Para obtener más información, consulte Configuración del servidor proxy para la implementación de Zero Touch.
Administrador de red: Un usuario responsable de la administración de redes empresariales (DHCP, DNS, Internet, firewall, etc.)
- Si es necesario, configure firewalls para la comunicación saliente con FQDN sdwanzt.citrixnetworkapi.net desde SD-WAN Center.
Sitio remoto
Instalador in situ: Un contacto local o un instalador contratado para actividades in situ con las siguientes responsabilidades principales:
- Desempaquete físicamente el dispositivo Citrix SD-WAN.
-
Reimagen de dispositivos listos para ZTD.
- Necesario para: SD-WAN 1000-SE, 2000-SE, 1000-EE, 2000-EE
- No se requiere para: SD-WAN 410-SE, 2100-SE
- Cable de alimentación del dispositivo.
- Cable el dispositivo para la conectividad a Internet en la interfaz de administración (por ejemplo, MGMT o 0/1).
- Cable del dispositivo para la conectividad de enlace WAN en las interfaces de datos (por ejemplo, apA.WAN, apB.WAN, apC.WAN, 0/2, 0/3, 0/5, etc.).
Nota
El diseño de la interfaz es diferente en cada modelo, así que consulte la documentación para la identificación de datos y puertos de administración.
Se requieren los siguientes requisitos previos antes de iniciar cualquier servicio Zero Touch Deployment:
- Ejecución activa de SD-WAN promovida a Master Control Nodo (MCN).
- Ejecución activa de SD-WAN Center con conectividad al MCN a través de Virtual Path.
- Credenciales de inicio de sesión de Citrix Cloud creadas en https://onboarding.cloud.com (consulta las instrucciones que se indican a continuación sobre la creación de la cuenta).
- Conectividad de red de administración (SD-WAN Center y SD-WAN Appliance) a Internet en el puerto 443, ya sea directamente o a través de un servidor proxy.
- Conectividad a Internet en el puerto 443 para acceder al portal web de SD-WAN Center para la configuración inicial de ZTD.
- (opcional) Al menos un dispositivo SD-WAN que se ejecuta activamente en una sucursal en modo cliente con conectividad de ruta virtual válida a MCN para ayudar a validar el establecimiento de rutas correctas en la red subyacente existente.
El último requisito previo no es un requisito, pero permite al administrador de SD-WAN validar que la red de calco subyacente permite que se establezcan rutas virtuales cuando se complete la implementación de Zero Touch con cualquier sitio recién agregado.Principalmente, esto valida que las directivas de firewall y ruta adecuadas estén en vigor para el tráfico NAT en consecuencia o confirmar la capacidad para que el puerto UDP 4980 pueda penetrar correctamente en la red para llegar al MCN.
Descripción general del servicio de implementación de cero toque
El servicio Zero Touch Deployment Service funciona en conjunto con el SD-WAN Center para facilitar la implementación de los dispositivos SD-WAN de sucursales. SD-WAN Center se configura y utiliza como herramienta de administración central para los dispositivos SD-WAN Standard y Enterprise (Premium) Edition.Para utilizar Zero Touch Deployment Service (o ZTD Cloud Service), un administrador debe comenzar por implementar el primer dispositivo SD-WAN en el entorno y, a continuación, configurar e implementar SD-WAN Center como punto central de administración.Cuando el SD-WAN Center, versión 9.1 o posterior, está instalado con conectividad a Internet pública en el puerto 443, SD-WAN Center inicia automáticamente el servicio en la nube e instala los componentes necesarios para desbloquear las funciones de implementación de Zero Touch y hacer que la opción de implementación de Zero Touch esté disponible en la interfaz gráfica de usuario de SD-WAN Center.Zero Touch Deployment no está disponible de forma predeterminada en el software SD-WAN Center.Esto está diseñado a propósito para asegurarse de que los componentes preliminares adecuados de la red de calco subyacente estén presentes antes de permitir que un administrador inicie cualquier actividad in situ que implique la implementación Zero Touch.
Después de un entorno SD-WAN en funcionamiento, el registro en Zero Touch Deployment Service se realiza mediante la creación de un inicio de sesión en la cuenta de Citrix Cloud.Con SD-WAN Center capaz de comunicarse con el servicio ZTD, la GUI expone las opciones de implementación Zero Touch en la ficha Configuración.Al iniciar sesión en el servicio Zero Touch se autentica el ID de cliente asociado al entorno SD-WAN concreto y se registra SD-WAN Center, además de desbloquear la cuenta para una mayor autenticación de las implementaciones de dispositivos ZTD.
Mediante la herramienta de configuración de red en SD-WAN Center, el administrador de SD-WAN necesitará utilizar las plantillas o la capacidad de clonar sitio para crear la configuración de SD-WAN para agregar nuevos sitios.SD-WAN Center utiliza la nueva configuración para iniciar la implementación de ZTD para los sitios recién agregados.Cuando el administrador de SD-WAN inicia un sitio para la implementación mediante el proceso ZTD, tiene la opción de autenticar previamente el dispositivo que se va a utilizar para ZTD rellenando previamente el número de serie e iniciando la comunicación por correo electrónico con el instalador in situ para iniciar la actividad in situ.
El instalador in situ recibe una comunicación por correo electrónico en la que se indica que el sitio está listo para la implementación de Zero Touch y que puede iniciar el procedimiento de instalación de encendido y cableado del dispositivo para la asignación de direcciones IP DHCP y el acceso a Internet en el puerto MGMT.Además, cableado en cualquier puerto LAN y WAN.Todo lo demás es iniciado por el servicio ZTD y el progreso es supervisado por el uso de la URL de activación. En caso de que el nodo remoto que se va a instalar sea una instancia en la nube, al abrir la URL de activación se inicia el flujo de trabajo para instalar automáticamente la instancia en el entorno de nube designado, ningún instalador local necesita ninguna acción.
Zero Touch Deployment Cloud Service automatiza las siguientes acciones:
Descargue y actualice el Agente ZTD si hay nuevas funciones disponibles en el dispositivo de sucursal.
- Autenticar el dispositivo de sucursal validando el número de serie.
- Autenticar que el Administrador de SD-WAN aceptó el sitio para ZTD mediante SD-WAN Center.
- Extraiga el archivo de configuración específico para el dispositivo de destino del SD-WAN Center.
- Inserte el archivo de configuración específico para el dispositivo de destino en el dispositivo de sucursal.
- Instale el archivo de configuración en el dispositivo de sucursal.
- Inserte los componentes de software SD-WAN que falten o las actualizaciones necesarias en el dispositivo de sucursal.
- Inserte un archivo de licencia temporal de 10 Mbps para confirmar el establecimiento de la ruta virtual en el dispositivo de sucursal.
- Habilite el servicio SD-WAN en el dispositivo de sucursal.
Se requieren más pasos del Administrador de SD-WAN para instalar un archivo de licencia permanente en el dispositivo.
Procedimiento del servicio de implementación de Zero Touch
En el siguiente procedimiento se detallan los pasos necesarios para implementar un nuevo sitio mediante el servicio de implementación Zero Touch.Tener un MCN en ejecución y un nodo cliente ya trabajando con la comunicación adecuada con SD-WAN Center, así como rutas virtuales establecidas que confirmen la conectividad a través de la red subyacente. Se requieren los siguientes pasos del Administrador de SD-WAN para iniciar la implementación de Zero Touch:
Cómo configurar el servicio de implementación Zero Touch
El SD-WAN Center tiene la funcionalidad de aceptar solicitudes de dispositivos recién conectados para unirse a la red SD-WAN Enterprise. La solicitud se reenvía a la interfaz web a través del servicio de implementación de Zero Touch. Una vez que el dispositivo se conecta al servicio, se descargan los paquetes de configuración y actualización de software.
Flujo de trabajo de configuración:
- Acceda a SD-WAN Center > Crear nueva configuración de sitio o Importar configuración existente y guárdela.
- Inicie sesión en Citrix Workspace Cloud para habilitar el servicio ZTD. La opción de menú Deployment Zero Touch ahora se muestra en la interfaz de administración web de SD-WAN Center.
- En SD-WAN Center, vaya a Configuración > Implementación de Zero Touch > Implementar nuevo sitio.
- Seleccione un dispositivo, haga clic en Habilitar y haga clic enImplementar.
- El instalador recibe un correo electrónico de activación > Introduzca el número de serie > Activar > El dispositivo se implementa correctamente.
Para configurar el servicio Zero Touch Deployment:
- Instale SD-WAN Center con capacidades de implementación de Zero Touch habilitadas.
- Instale SD-WAN Center con la dirección IP asignada a DHCP.
- Verifique que SD-WAN Center asigne una dirección IP de administración adecuada y una dirección DNS de red con conectividad a Internet pública a través de la red de administración.
-
Actualice el SD-WAN Center a la versión más reciente del software SD-WAN.
-
Con una conectividad adecuada a Internet, el SD-WAN Center inicia el servicio en la nube Zero Touch Deployment (ZTD) y descarga e instala automáticamente cualquier actualización de firmware específica para ZTD, si este procedimiento de llamada home falla, la siguiente opción Zero Touch Deployment no estará disponible en la GUI.
-
Lea los Términos y Condiciones y, a continuación, seleccione Reconozco que he leído y acepto los Términos y Condiciones anteriores.
-
Haga clic en el botón Iniciar sesión en Citrix Workspace Cloud si ya se ha creado una cuenta de Citrix Cloud.
-
Inicie sesión en la cuenta de Citrix Cloud y, al recibir el siguiente mensaje de inicio de sesión correcto, NO CERRAR ESTA VENTANA, EL PROCESO REQUIERE OTROS 20 SEGUNDOS APROXIMADAMENTE PARA QUE LA GUI DE SD-WAN CENTER SE ACTUALICE. La ventana debe cerrarse sola cuando esté completa.**
-
Para crear una cuenta de Cloud Login siga el siguiente procedimiento:
-
Abra un explorador web y vaya a https://onboarding.cloud.com.
-
Haga clic en el enlace para Espere, tengo una cuenta de Citrix.com.
-
-
Inicie sesión con una cuenta de Citrix existente.
-
Una vez iniciada la sesión en la página SD-WAN Center Zero Touch Deployment, puede observar que no hay sitios disponibles para la implementación de ZTD debido a las siguientes razones:
- La configuración activa no se ha seleccionado en el menú desplegable Configuración
- Todos los sitios para la configuración activa actual ya se han implementado
- La configuración no se creó mediante SD-WAN Center, sino el Editor de configuración disponible en el MCN
- Los sitios no se crearon en la configuración que hace referencia a dispositivos con prestaciones Zero Touch (por ejemplo, 410-SE, 2100-SE, Cloud VPX)
-
Actualice la configuración para agregar un nuevo sitio remoto con un dispositivo SD-WAN compatible con ZTD mediante SD-WAN Center Network Configuration.
Si la configuración de SD-WAN no se creó mediante la configuración de red de SD-WAN Center, importe la configuración activa desde el MCN y comience a modificar la configuración mediante SD-WAN Center.Para la capacidad de implementación de Zero Touch, el administrador de SD-WAN debe crear la configuración mediante SD-WAN Center.Se debe utilizar el siguiente procedimiento para agregar un nuevo sitio destinado a la implementación de Zero Touch.
Diseñe el nuevo sitio para la implementación del dispositivo SD-WAN describiendo primero los detalles del nuevo sitio (es decir, el modelo del dispositivo, el uso de grupos de interfaz, las direcciones IP virtuales, los enlaces WAN con ancho de banda y sus puertas de enlace respectivas).
Importante
Puede observar que cualquier nodo de sitio que tenga VPX seleccionado como modelo también aparece en la lista, pero actualmente la compatibilidad con ZTD solo está disponible para la instancia de AWS VPX. Nota
- Asegúrese de que utiliza un explorador web compatible con Citrix SD-WAN Center
- Asegúrese de que el explorador web no bloquee ninguna ventana emergente durante el inicio de sesión de Citrix Workspace
Se trata de un ejemplo de implementación de un sitio de sucursal, el dispositivo SD-WAN se implementa físicamente en la ruta de acceso del enlace WAN MPLS existente a través de una red 172.16.30.0/24 y mediante un vínculo de copia de seguridad existente habilitándolo en un estado activo y finalizando ese segundo enlace WAN directamente en el dispositivo SD-WAN en una subred diferente 172.16.31.0/24.
Nota
Los dispositivos SD-WAN asignan automáticamente una dirección IP predeterminada 192.168.100.1/16.Con DHCP habilitado de forma predeterminada, el servidor DHCP de la red puede proporcionar al dispositivo una segunda dirección IP en una subred que se superponga a la predeterminada.Esto puede provocar un problema de redirección en el dispositivo en el que el dispositivo puede no conectarse a ZTD Cloud Service. Configure el servidor DHCP para asignar direcciones IP fuera del rango 192.168.0.0/16.
Hay varios modos de implementación disponibles para la colocación de productos SD-WAN en una red. En el ejemplo anterior, SD-WAN se está implementando como una superposición sobre la infraestructura de red existente.Para los nuevos sitios, los administradores de SD-WAN pueden optar por implementar la SD-WAN en la implementación del modo Edge o Gateway, eliminando la necesidad de un enrutador perimetral WAN y un firewall, y consolidando las necesidades de red de enrutamiento perimetral y firewall en la solución SD-WAN.
-
Abra la interfaz de administración web de SD-WAN Center y vaya a la página Configuración > Configuración de red.
-
Asegúrese de que ya hay una configuración en funcionamiento o importe la configuración desde el MCN.
-
Acceda a la ficha Avanzadas para crear un sitio.
-
Abra el icono Sitios para mostrar los sitios configurados actualmente.
-
Creó rápidamente la configuración para el nuevo sitio mediante la función de clonación de cualquier sitio existente.
-
Rellene todos los campos requeridos de la topología diseñada para este nuevo sitio de sucursal
-
Después de clonar un sitio nuevo, desplácese hasta la Configuración básica del sitio y verifique que el Modelo de SD-WAN esté seleccionado correctamente, lo que soportaría el servicio Zero Touch.
-
El modelo SD-WAN para el sitio se puede actualizar, pero tenga en cuenta que es posible que deba redefinirse los grupos de interfaz, ya que el dispositivo actualizado puede tener un nuevo diseño de interfaz que se utilizó para clonar.
-
Guarde la nueva configuración en SD-WAN Center y use la exportación a la opción Bandeja de entrada de administración de cambios para insertar la configuración mediante Administración de cambios.
-
Siga el procedimiento de administración de cambios para organizar correctamente la nueva configuración, lo que hace que los dispositivos SD-WAN existentes conozcan el nuevo sitio que se va a implementar mediante Zero Touch, debe utilizar la opción Ignorar incompleta para omitir el intento de insertar la configuración en el nuevo sitio que aún necesita ir a través del flujo de trabajo ZTD.
-
Vuelva a la página SD-WAN Center Zero Touch Deployment y, con la nueva configuración activa en ejecución, el nuevo sitio estará disponible para su implementación.
-
En la página Deployment Zero Touch, en la ficha Implementar nuevo sitio, seleccione el archivo de configuración de red en ejecución
-
Después de seleccionar el archivo de configuración en ejecución, se mostrará la lista de todos los sitios de sucursales con dispositivos SD-WAN no implementados que son compatibles con Zero Touch
-
Seleccione los sitios de sucursal que quiere configurar para el servicio Zero Touch, haga clic en Habilitar y, a continuación, en Implementar.
-
Aparece una ventana emergente Implementar nuevo sitio, en la que el administrador puede proporcionar el número de serie, la dirección de calle del sitio de la sucursal, la dirección de correo electrónico del instalador y más notas, si es necesario.
Nota
- El campo de entrada Número de serie es opcional y, dependiendo de si se rellena o no, dará lugar a un cambio en la actividad in situ de la que es responsable el instalador.
- Si se rellena el campo Número de serie: no es necesario que el instalador introduzca el número de serie en la URL de activación generada con el comando deploy site
- Si el campo Número de serie se deja en negro: el instalador será responsable de introducir el número de serie correcto del dispositivo en la URL de activación generada con el comando deploy site
-
Después de hacer clic en el botón Implementar, aparecerá un mensaje que indica que “La configuración del sitio se ha implementado”.
-
Esta acción activa el SD-WAN Center, que se registró previamente con ZTD Cloud Service, para compartir la configuración de este sitio en particular para que sea temporal almacenada en ZTD Cloud Service.
-
Acceda a la ficha Activación pendiente para confirmar que la información del sitio de la sucursal se rellenó correctamente y se puso en un estado de actividad del instalador pendiente.
Nota
Si la información es incorrecta, se puede seleccionar una implementación de Zero Touch en el estado de activación pendiente. Si se elimina un sitio de la página de activación pendiente, estará disponible para su implementación en la página de ficha Implementar nuevo sitio. Una vez que elija eliminar el sitio de la sucursal de Activación pendiente, el enlace de activación enviado al instalador se convierte en inválido.
Si el administrador de SD-WAN no rellenó el campo Número de serie, el campo de estado indica Esperando el instalador en lugar de Conectando.
-
-
La siguiente serie de actividades es realizada por el instalador in situ.
-
El instalador comprueba en el buzón la dirección de correo electrónico que utilizó el Administrador de SD-WAN al implementar el sitio.
-
Abra la URL de activación de implementación de Zero Touch en una ventana del explorador de Internet.
-
Si el administrador de SD-WAN no rellenó previamente el número de serie en el paso del sitio de implementación, el instalador será responsable de localizar el número de serie en el dispositivo físico e introducir el número de serie manualmente en la URL de activación y, a continuación, haga clic en el botón Activar.
-
Si el administrador rellenando previamente la información del número de serie, la URL de activación ya habrá progresado al siguiente paso.
-
El instalador debe estar físicamente in situ para realizar las siguientes acciones:
- Cable todas las interfaces WAN y LAN para que coincidan con la topología y la configuración incorporadas en los pasos anteriores.
- Cable de la interfaz de administración (MGMT, 0/1) en el segmento de la red que proporciona la dirección IP DHCP y conectividad a Internet con DNS y FQDN a la resolución de direcciones IP.
- Cable de alimentación del dispositivo SD-WAN.
- Encienda el interruptor de alimentación del dispositivo.
Nota
La mayoría de los dispositivos se encenderán automáticamente cuando el cable de alimentación esté conectado.Es posible que algunos dispositivos tengan que encenderlo con el interruptor de encendido situado en la parte frontal del dispositivo, mientras que otros pueden tener el interruptor de encendido en la parte posterior del dispositivo.Algunos interruptores de encendido requieren mantener pulsado el botón de encendido hasta que la unidad se encienda.
-
-
La siguiente serie de pasos se automatizan con la ayuda del servicio Zero Touch Deployment, pero requiere que estén disponibles los siguientes requisitos previos.
- El dispositivo de sucursal debe estar encendido
- DHCP debe estar disponible en la red existente para asignar la administración y la dirección IP DNS
- Cualquier dirección IP asignada DHCP requiere conectividad a Internet con capacidad para resolver FQDN
- La asignación de IP se puede configurar manualmente, siempre y cuando se cumplan los demás requisitos previos
-
El dispositivo obtiene una dirección IP del servidor DHCP de redes, en este ejemplo topología esto se logra a través de las interfaces de datos omitidas de un dispositivo de estado predeterminado de fábrica.
-
A medida que el dispositivo obtiene la administración web y las direcciones IP DNS del servidor DHCP de red subyacente, el dispositivo inicia el servicio Zero Touch Deployment Service y descarga las actualizaciones de software relacionadas con ZTD.
-
Con una conectividad correcta con ZTD Cloud Service, el proceso de implementación realiza automáticamente lo siguiente:
- Descargue el archivo de configuración almacenado anteriormente por el SD-WAN Center
- Aplicación de la configuración al dispositivo local
- Descargar e instalar un archivo de licencia temporal de 10 MB
- Descargar e instalar cualquier actualización de software si es necesario
- Activar el servicio SD-WAN
-
Se puede realizar una confirmación adicional en la interfaz de administración web de SD-WAN Center; en el menú Implementación táctil se muestran los dispositivos activados correctamente en la ficha Historial de activación.
-
Es posible que las rutas virtuales no se muestren inmediatamente en un estado conectado porque es posible que el MCN no confíe en la configuración transmitida desde ZTD Cloud Service e informe No coincide la versión de configuración en el panel de MCN.
-
La configuración se vuelve a entregar al dispositivo de sucursal recién instalado y el estado se supervisa en la página MCN > Configuración > WAN virtual > Administración de cambios (este proceso puede tardar varios minutos en completarse).
-
El Administrador de SD-WAN puede supervisar la página de administración web de MCN de cabecera para las rutas virtuales establecidas del sitio remoto.
-
SD-WAN Center también se puede utilizar para identificar la dirección IP asignada por DHCP del dispositivo in situ desde la página Configuración > Detección de red > Inventario y estado.
-
En este punto, el Administrador de red SD-WAN puede obtener acceso de administración web al dispositivo in situ mediante la red de superposición SD-WAN.
-
El acceso de administración web al dispositivo de sitio remoto indica que el dispositivo se ha instalado con una licencia Grace temporal a 10 Mbps, lo que permite que el estado del servicio de ruta virtual se informe como activo.
-
La configuración del dispositivo se puede validar mediante la página Configuración > WAN virtual > Ver configuración.
-
El archivo de licencia del dispositivo se puede actualizar a una licencia permanente mediante la página Configuración > Configuración del equipo > Licencias.
-
Después de cargar e instalar el archivo de licencia permanente, el banner de advertencia de licencia Grace desaparece y durante el proceso de instalación de la licencia no se producirá ninguna pérdida de conectividad con el sitio remoto (se eliminan cero pings).