Implementación sin intervención

Nota

El servicio de implementación sin intervención solo es compatible con determinados dispositivos Citrix SD-WAN™:

• SD-WAN 110 Standard Edition
• SD-WAN 210 Standard Edition
• SD-WAN 410 Standard Edition
• SD-WAN 2100 Standard Edition
• SD-WAN 1000 Standard Edition (se requiere reimagen)
• SD-WAN 1000 Enterprise Edition (Premium Edition) (se requiere reimagen)
• SD-WAN 1100 Standard Edition
• SD-WAN 1100 Premium (Enterprise) Edition
• SD-WAN 2000 Standard Edition (se requiere reimagen)
• SD-WAN 2000 Enterprise Edition (Premium Edition) (se requiere reimagen)
• Instancia SD-WAN AWS VPX

El servicio de implementación sin intervención (ZTD) es un servicio en la nube operado y administrado por Citrix® que permite el descubrimiento de nuevos dispositivos en la red Citrix SD-WAN y automatiza el proceso de implementación para las sucursales. El servicio en la nube ZTD es accesible desde cualquier nodo de la red a través de Internet y mediante el protocolo Secure Socket Layer (SSL).

El servicio en la nube ZTD se comunica de forma segura con los servicios de red de Citrix de backend, almacenando la identificación de los clientes que han adquirido dispositivos compatibles con la implementación sin intervención (por ejemplo, SD-WAN 410-SE, 2100-SE). Los servicios de backend están establecidos para autenticar cualquier solicitud de implementación sin intervención, validando correctamente la asociación entre la cuenta de cliente y los números de serie de los dispositivos Citrix SD-WAN.

Arquitectura y flujo de trabajo de alto nivel de ZTD

Sitio del centro de datos

Administrador de Citrix SD-WAN – Un usuario con derechos de administración del entorno SD-WAN con las siguientes responsabilidades principales:

• Creación de la configuración mediante la herramienta de configuración de red de Citrix SD-WAN Center o importación de la configuración desde el dispositivo SD-WAN del nodo de control maestro (MCN).
• Inicio de sesión en Citrix Cloud™ para iniciar el servicio de implementación sin intervención para la implementación de nuevos nodos de sitio.

Nota

Si tu SD-WAN Center está conectado a Internet a través de un servidor proxy, debes configurar los ajustes del servidor proxy en SD-WAN Center. Para obtener más información, consulta Configuración del servidor proxy para la implementación sin intervención.

Administrador de red – Un usuario responsable de la administración de la red empresarial (DHCP, DNS, Internet, firewall, etc.).

• Si es necesario, configura los firewalls para la comunicación saliente al FQDN sdwanzt.citrixnetworkapi.net desde SD-WAN Center.

Sitio remoto

Instalador in situ – Un contacto local o un instalador contratado para actividades in situ con las siguientes responsabilidades principales:

• Desempaqueta físicamente el dispositivo Citrix SD-WAN.

• Vuelve a crear la imagen de los dispositivos no preparados para ZTD.

  • Necesario para: SD-WAN 1000-SE, 2000-SE, 1000-EE, 2000-EE
  • No necesario para: SD-WAN 410-SE, 2100-SE
• Conecta el dispositivo a la corriente.
• Conecta el dispositivo a Internet en la interfaz de administración (por ejemplo, MGMT o 0/1).
• Conecta el dispositivo para la conectividad de enlace WAN en las interfaces de datos (por ejemplo, apA.WAN, apB.WAN, apC.WAN, 0/2, 0/3, 0/5, etc.).

Nota

La disposición de la interfaz es diferente en cada modelo, así que consulta la documentación para la identificación de los puertos de datos y administración.

Los siguientes requisitos previos son necesarios antes de iniciar cualquier servicio de implementación sin intervención:

• SD-WAN en ejecución activa promovido a Nodo de control maestro (MCN).
• SD-WAN Center en ejecución activa con conectividad al MCN a través de una ruta virtual.
• Credenciales de inicio de sesión de Citrix Cloud creadas en https://onboarding.cloud.com (consulta las instrucciones a continuación sobre la creación de cuentas).
• Conectividad de red de administración (SD-WAN Center y dispositivo SD-WAN) a Internet en el puerto 443, ya sea directamente o a través de un servidor proxy.
• Conectividad a Internet en el puerto 443 para acceder al portal web de SD-WAN Center para la configuración inicial de ZTD.
• (opcional) Al menos un dispositivo SD-WAN en ejecución activa que opere en una sucursal en modo cliente con conectividad de ruta virtual válida al MCN para ayudar a validar el establecimiento exitoso de la ruta a través de la red subyacente existente.

El último requisito previo no es un requisito, pero permite al administrador de SD-WAN validar que la red subyacente permite establecer rutas virtuales cuando la implementación sin intervención esté completa con cualquier sitio recién agregado. Principalmente, esto valida que las políticas de firewall y enrutamiento adecuadas están implementadas para traducir el tráfico NAT en consecuencia o confirmar la capacidad de que el puerto UDP 4980 pueda penetrar con éxito la red para llegar al MCN.

Descripción general del servicio de implementación sin intervención

El servicio de implementación sin intervención funciona en conjunto con SD-WAN Center para proporcionar una implementación más sencilla de los dispositivos SD-WAN de sucursal. SD-WAN Center se configura y usa como la herramienta de administración central para los dispositivos SD-WAN Standard y Enterprise (Premium) Edition. Para usar el servicio de implementación sin intervención (o servicio en la nube ZTD), un administrador debe comenzar por implementar el primer dispositivo SD-WAN en el entorno, luego configurar e implementar SD-WAN Center como el punto central de administración. Cuando SD-WAN Center, versión 9.1 o posterior, se instala con conectividad a Internet pública en el puerto 443, SD-WAN Center inicia automáticamente el servicio en la nube e instala los componentes necesarios para desbloquear las funciones de implementación sin intervención y para que la opción de implementación sin intervención esté disponible en la GUI de SD-WAN Center. La implementación sin intervención no está disponible de forma predeterminada en el software de SD-WAN Center. Esto está diseñado a propósito para asegurar que los componentes preliminares adecuados en la red subyacente estén presentes antes de permitir que un administrador inicie cualquier actividad in situ que involucre la implementación sin intervención.

Una vez que un entorno SD-WAN en funcionamiento está activo, el registro en el servicio de implementación sin intervención se logra mediante la creación de un inicio de sesión de cuenta de Citrix Cloud. Con SD-WAN Center capaz de comunicarse con el servicio ZTD, la GUI expone las opciones de implementación sin intervención en la ficha Configuración. Iniciar sesión en el servicio sin intervención autentica el ID de cliente asociado con el entorno SD-WAN particular y registra SD-WAN Center, además de desbloquear la cuenta para una mayor autenticación de las implementaciones de dispositivos ZTD.

Usando la herramienta de configuración de red en SD-WAN Center, el administrador de SD-WAN deberá usar las plantillas o la capacidad de clonación de sitios para crear la configuración de SD-WAN para agregar nuevos sitios. La nueva configuración es utilizada por SD-WAN Center para iniciar la implementación de ZTD para los sitios recién agregados. Cuando el administrador de SD-WAN inicia un sitio para la implementación usando el proceso ZTD, tiene la opción de preautenticar el dispositivo que se utilizará para ZTD rellenando previamente el número de serie e iniciando la comunicación por correo electrónico con el instalador in situ para comenzar la actividad in situ.

El instalador in situ recibe comunicación por correo electrónico de que el sitio está listo para la implementación sin intervención y puede comenzar el procedimiento de instalación de encender y cablear el dispositivo para la asignación de direcciones IP DHCP y el acceso a Internet en el puerto MGMT. Además, el cableado en cualquier puerto LAN y WAN. Todo lo demás es iniciado por el servicio ZTD y el progreso se supervisa utilizando la URL de activación. En caso de que el nodo remoto que se va a instalar sea una instancia en la nube, abrir la URL de activación inicia el flujo de trabajo para instalar automáticamente la instancia en el entorno de nube designado; no se necesita ninguna acción por parte de un instalador local.

El servicio en la nube de implementación sin intervención automatiza las siguientes acciones:

Descarga y actualiza el agente ZTD si hay nuevas funciones disponibles en el dispositivo de sucursal.

• Autentica el dispositivo de sucursal validando el número de serie.
• Autentica que el administrador de SD-WAN aceptó el sitio para ZTD usando SD-WAN Center.
• Extrae el archivo de configuración específico para el dispositivo de destino de SD-WAN Center.
• Envía el archivo de configuración específico para el dispositivo de destino al dispositivo de sucursal.
• Instala el archivo de configuración en el dispositivo de sucursal.
• Envía cualquier componente de software SD-WAN faltante o las actualizaciones necesarias al dispositivo de sucursal.
• Envía un archivo de licencia temporal de 10 Mbps para la confirmación del establecimiento de la ruta virtual al dispositivo de sucursal.
• Habilita el servicio SD-WAN en el dispositivo de sucursal.

Se requieren más pasos del administrador de SD-WAN para instalar un archivo de licencia permanente en el dispositivo.

Procedimiento del servicio de implementación sin intervención

El siguiente procedimiento detalla los pasos necesarios para implementar un nuevo sitio usando el servicio de implementación sin intervención. Ten un MCN en ejecución y un nodo cliente ya funcionando con la comunicación adecuada a SD-WAN Center, así como rutas virtuales establecidas que confirmen la conectividad a través de la red subyacente. El administrador de SD-WAN debe seguir los siguientes pasos para iniciar la implementación sin intervención:

Cómo configurar el servicio de implementación sin intervención

SD-WAN Center tiene la funcionalidad de aceptar solicitudes de dispositivos recién conectados para unirse a la red empresarial de SD-WAN. La solicitud se reenvía a la interfaz web a través del servicio de implementación sin intervención. Una vez que el dispositivo se conecta al servicio, se descargan los paquetes de configuración y actualización de software.

Flujo de trabajo de configuración:

• Accede a SD-WAN Center > Crear nueva configuración de sitio o importa una configuración existente y guárdala.
• Inicia sesión en Citrix Workspace™ Cloud para habilitar el servicio ZTD. La opción de menú Implementación sin intervención ahora se muestra en la interfaz de administración web de SD-WAN Center.
• En SD-WAN Center, navega a Configuración > Implementación sin intervención > Implementar nuevo sitio.
• Selecciona un dispositivo, haz clic en Habilitar y, a continuación, haz clic en Implementar.
• El instalador recibe el correo electrónico de activación > Introduce el número de serie > Activar > El dispositivo se implementa correctamente.

Para configurar el servicio de implementación sin intervención:

1. Instala SD-WAN Center con las capacidades de implementación sin intervención habilitadas.
   1. Instala SD-WAN Center con una dirección IP asignada por DHCP.
   2. Verifica que SD-WAN Center tenga asignada una dirección IP de administración y una dirección DNS de red adecuadas con conectividad a Internet pública a través de la red de administración.

   3. Actualiza SD-WAN Center a la última versión de software de SD-WAN.

   4. Con una conectividad a Internet adecuada, SD-WAN Center inicia el servicio en la nube de implementación sin intervención (ZTD) y descarga e instala automáticamente cualquier actualización de firmware específica de ZTD; si este procedimiento de llamada a casa falla, la siguiente opción de implementación sin intervención no estará disponible en la GUI.

      

   5. Lee los Términos y condiciones y, a continuación, selecciona “Reconozco que he leído y acepto los Términos y condiciones anteriores.”

   6. Haz clic en el botón “Iniciar sesión en Citrix Workspace Cloud” si ya se ha creado una cuenta de Citrix Cloud.

   7. Inicia sesión en la cuenta de Citrix Cloud y, al recibir el siguiente mensaje de inicio de sesión correcto, NO CIERRES ESTA VENTANA, EL PROCESO REQUIERE OTROS ~20 SEGUNDOS PARA QUE LA GUI DE SD-WAN CENTER SE ACTUALICE. La ventana debería cerrarse sola cuando se complete.

      

   8. Para crear una cuenta de inicio de sesión en la nube, sigue el siguiente procedimiento:

      • Abre un navegador web en https://onboarding.cloud.com

      • Haz clic en el enlace “Espera, tengo una cuenta de Citrix.com.”

      

      

   9. Inicia sesión con una cuenta de Citrix existente.

   10. Una vez que hayas iniciado sesión en la página de implementación sin intervención de SD-WAN Center, es posible que observes que no hay sitios disponibles para la implementación de ZTD debido a los siguientes motivos:

       • La configuración activa no se ha seleccionado en el menú desplegable Configuración.
       • Todos los sitios de la configuración activa actual ya se han implementado.
       • La configuración no se creó usando SD-WAN Center, sino el Editor de configuración disponible en el MCN.
       • Los sitios no se crearon en la configuración haciendo referencia a dispositivos compatibles con la implementación sin intervención (por ejemplo, 410-SE, 2100-SE, Cloud VPX).

2. Actualiza la configuración para agregar un nuevo sitio remoto con un dispositivo SD-WAN compatible con ZTD usando la configuración de red de SD-WAN Center.

   Si la configuración de SD-WAN no se creó usando la configuración de red de SD-WAN Center, importa la configuración activa del MCN y comienza a modificar la configuración usando SD-WAN Center. Para la capacidad de implementación sin intervención, el administrador de SD-WAN debe crear la configuración usando SD-WAN Center. El siguiente procedimiento debe usarse para agregar un nuevo sitio destinado a la implementación sin intervención.

   Diseña el nuevo sitio para la implementación del dispositivo SD-WAN describiendo primero los detalles del nuevo sitio (es decir, modelo de dispositivo, uso de grupos de interfaz, direcciones IP virtuales, enlaces WAN con ancho de banda y sus respectivas puertas de enlace).

   Importante

   Es posible que observes que cualquier nodo de sitio que tenga VPX seleccionado como modelo también aparece en la lista, pero actualmente el soporte de ZTD solo está disponible para la instancia de AWS VPX. Nota

   • Asegúrate de que estás usando un navegador web compatible para Citrix SD-WAN Center.
   • Asegúrate de que el navegador web no bloquee ninguna ventana emergente durante el inicio de sesión en Citrix Workspace.

   

   Este es un ejemplo de implementación de un sitio de sucursal; el dispositivo SD-WAN se implementa físicamente en la ruta del enlace WAN MPLS existente a través de una red 172.16.30.0/24, y usando un enlace de respaldo existente habilitándolo a un estado activo y terminando ese segundo enlace WAN directamente en el dispositivo SD-WAN en una subred diferente 172.16.31.0/24.

   Nota

   Los dispositivos SD-WAN asignan automáticamente una dirección IP predeterminada de 192.168.100.1/16. Con DHCP habilitado de forma predeterminada, el servidor DHCP de la red puede proporcionar al dispositivo una segunda dirección IP en una subred que se superpone a la predeterminada. Esto puede resultar en un problema de enrutamiento en el dispositivo donde el dispositivo puede fallar al conectarse al servicio en la nube ZTD. Configura el servidor DHCP para asignar direcciones IP fuera del rango de 192.168.0.0/16.

   Hay varios modos de implementación diferentes disponibles para la ubicación del producto SD-WAN en una red. En el ejemplo anterior, SD-WAN se está implementando como una superposición sobre la infraestructura de red existente. Para los nuevos sitios, los administradores de SD-WAN pueden optar por implementar SD-WAN en modo Edge o Gateway, eliminando la necesidad de un enrutador de borde WAN y un firewall, y consolidando las necesidades de red de enrutamiento de borde y firewall en la solución SD-WAN.

   1. Abre la interfaz de administración web de SD-WAN Center y navega a la página Configuración > Configuración de red.

      

   2. Asegúrate de que ya existe una configuración en funcionamiento o importa la configuración del MCN.

   3. Navega a la ficha Avanzado para crear un sitio.

   4. Abre el mosaico Sitios para mostrar los sitios configurados actualmente.

   5. Crea rápidamente la configuración para el nuevo sitio utilizando la función de clonación de cualquier sitio existente.

      

   6. Rellena todos los campos obligatorios de la topología diseñada para este nuevo sitio de sucursal.

      

   7. Después de clonar un nuevo sitio, navega a la Configuración básica del sitio y verifica que el modelo de SD-WAN seleccionado sea el correcto y que sea compatible con el servicio sin intervención.

      

   8. El modelo de SD-WAN para el sitio se puede actualizar, pero ten en cuenta que los grupos de interfaz pueden tener que redefinirse, ya que el dispositivo actualizado puede tener una nueva disposición de interfaz diferente a la utilizada para clonar.

   9. Guarda la nueva configuración en SD-WAN Center y usa la opción de exportación a la “Bandeja de entrada de administración de cambios” para enviar la configuración usando la administración de cambios.

   10. Sigue el procedimiento de administración de cambios para preparar correctamente la nueva configuración, lo que hace que los dispositivos SD-WAN existentes conozcan el nuevo sitio que se va a implementar sin intervención; debes usar la opción “Ignorar incompleto” para omitir el intento de enviar la configuración al nuevo sitio que aún necesita pasar por el flujo de trabajo de ZTD.

3. Vuelve a la página de implementación sin intervención de SD-WAN Center y, con la nueva configuración activa en ejecución, el nuevo sitio estará disponible para su implementación.

   1. En la página Implementación sin intervención, en la ficha Implementar nuevo sitio, selecciona el archivo de configuración de red en ejecución.

   2. Después de seleccionar el archivo de configuración en ejecución, se mostrará la lista de todos los sitios de sucursal con dispositivos SD-WAN no implementados que son compatibles con la implementación sin intervención.

      

      

   3. Selecciona los sitios de sucursal que quieres configurar para el servicio sin intervención, haz clic en Habilitar y, a continuación, haz clic en Implementar.

      

   4. Aparece una ventana emergente Implementar nuevo sitio, donde el administrador puede proporcionar el número de serie, la dirección de la calle del sitio de la sucursal, la dirección de correo electrónico del instalador y más notas, si es necesario.

      

   Nota

   El campo de entrada del número de serie es opcional y, dependiendo de si se rellena o no, dará lugar a un cambio en la actividad in situ de la que es responsable el instalador.

   • Si el campo Número de serie está rellenado, el instalador no tiene que introducir el número de serie en la URL de activación generada con el comando de implementación del sitio.
   • Si el campo Número de serie se deja en blanco, el instalador será responsable de introducir el número de serie correcto del dispositivo en la URL de activación generada con el comando de implementación del sitio.

   1. Después de hacer clic en el botón Implementar, aparecerá un mensaje que indica que “La configuración del sitio se ha implementado.”

   2. Esta acción activa SD-WAN Center, que se registró previamente con el servicio en la nube ZTD, para compartir la configuración de este sitio en particular para que se almacene temporalmente en el servicio en la nube ZTD.

   3. Navega a la ficha Activación pendiente para confirmar que la información del sitio de la sucursal se rellenó correctamente y se puso en un estado de actividad de instalador pendiente.

      

   Nota

   Una implementación sin intervención en estado de Activación pendiente se puede elegir opcionalmente para Eliminar o Modificar, si la información es incorrecta. Si se elimina un sitio de la página de activación pendiente, estará disponible para implementarse en la página de la ficha Implementar nuevo sitio. Una vez que elijas eliminar el sitio de la sucursal de Activación pendiente, el enlace de activación enviado al instalador dejará de ser válido.

   Si el administrador de SD-WAN no rellenó el campo Número de serie, el campo Estado indica “Esperando al instalador” en lugar de “Conectando.”

4. La siguiente serie de actividades la realiza el instalador in situ.

   1. El instalador verifica el buzón de correo electrónico que el administrador de SD-WAN usó al implementar el sitio.

      

   2. Abre la URL de activación de la implementación sin intervención en una ventana del navegador de Internet.

   3. Si el administrador de SD-WAN no rellenó previamente el número de serie en el paso de implementación del sitio, el instalador sería responsable de localizar el número de serie en el dispositivo físico e introducirlo manualmente en la URL de activación y, a continuación, hacer clic en el botón Activar.

      

   4. Si el administrador rellenó previamente la información del número de serie, la URL de activación ya habrá avanzado al siguiente paso.

      

   5. El instalador debe estar físicamente in situ para realizar las siguientes acciones:

      • Conecta todas las interfaces WAN y LAN para que coincidan con la topología y la configuración creadas en los pasos anteriores.
      • Conecta la interfaz de administración (MGMT, 0/1) en el segmento de la red que proporciona la dirección IP DHCP y la conectividad a Internet con DNS y resolución de FQDN a dirección IP.
      • Conecta el dispositivo SD-WAN a la corriente.
      • Enciende el interruptor de alimentación del dispositivo.

   Nota

   La mayoría de los dispositivos se encenderán automáticamente cuando se conecte el cable de alimentación. Algunos dispositivos pueden tener que encenderse usando el interruptor de alimentación en la parte frontal del dispositivo, otros pueden tener el interruptor de alimentación en la parte posterior del dispositivo. Algunos interruptores de alimentación requieren mantener presionado el botón de encendido hasta que la unidad se encienda.

5. La siguiente serie de pasos se automatiza con la ayuda del servicio de implementación sin intervención, pero requiere que estén disponibles los siguientes requisitos previos.

   • El dispositivo de sucursal debe estar encendido.
   • DHCP debe estar disponible en la red existente para asignar la dirección IP de administración y DNS.
   • Cualquier dirección IP asignada por DHCP requiere conectividad a Internet con capacidad para resolver FQDN.
   • La asignación de IP se puede configurar manualmente, siempre que se cumplan los demás requisitos previos.

   1. El dispositivo obtiene una dirección IP del servidor DHCP de la red; en esta topología de ejemplo, esto se logra a través de las interfaces de datos omitidas de un dispositivo en estado predeterminado de fábrica.

      

   2. A medida que el dispositivo obtiene las direcciones IP de administración web y DNS del servidor DHCP de la red subyacente, el dispositivo inicia el servicio de implementación sin intervención y descarga cualquier actualización de software relacionada con ZTD.

   3. Con una conectividad exitosa al servicio en la nube ZTD, el proceso de implementación realiza automáticamente lo siguiente:

      • Descarga el archivo de configuración que se almacenó anteriormente en SD-WAN Center.
      • Aplica la configuración al dispositivo local.
      • Descarga e instala un archivo de licencia temporal de 10 MB.
      • Descarga e instala cualquier actualización de software si es necesario.
      • Activa el servicio SD-WAN.

      

   4. Se puede realizar una confirmación adicional en la interfaz de administración web de SD-WAN Center; el menú Implementación sin intervención muestra los dispositivos activados correctamente en la ficha Historial de activación.

      

   5. Es posible que las rutas virtuales no se muestren inmediatamente en un estado conectado porque el MCN puede no confiar en la configuración entregada desde el servicio en la nube ZTD y reporta “Discrepancia de versión de configuración” en el panel de control del MCN.

      

   6. La configuración se vuelve a entregar al dispositivo de sucursal recién instalado y el estado se supervisa en la página MCN > Configuración > WAN virtual > Administración de cambios (este proceso puede tardar varios minutos en completarse).

      

   7. El administrador de SD-WAN puede supervisar la página de administración web del MCN principal para las rutas virtuales establecidas del sitio remoto.

      

   8. SD-WAN Center también se puede usar para identificar la dirección IP asignada por DHCP del dispositivo in situ desde la página Configuración > Detección de red > Inventario y estado.

      

   9. En este punto, el administrador de red de SD-WAN puede obtener acceso de administración web al dispositivo in situ utilizando la red superpuesta de SD-WAN.

      

   10. El acceso de administración web al dispositivo del sitio remoto indica que el dispositivo se ha instalado con una licencia temporal de gracia de 10 Mbps, lo que permite que el estado del servicio de ruta virtual se informe como activo.

       

   11. La configuración del dispositivo se puede validar usando la página Configuración > WAN virtual > Ver configuración.

       

   12. El archivo de licencia del dispositivo se puede actualizar a una licencia permanente usando la página Configuración > Configuración del dispositivo > Licencias.

       

   13. Después de cargar e instalar el archivo de licencia permanente, el banner de advertencia de licencia de gracia desaparece y, durante el proceso de instalación de la licencia, no se producirá ninguna pérdida de conectividad con el sitio remoto (no se perderán pings).