Despliegue Zero Touch

Nota

El servicio de Despliegue Zero Touch solo es compatible con determinados dispositivos Citrix SD-WAN™:

• SD-WAN 110 Edición Standard
• SD-WAN 210 Edición Standard
• SD-WAN 410 Edición Standard
• SD-WAN 2100 Edición Standard
• SD-WAN 1000 Edición Standard (se requiere reimagen)
• SD-WAN 1000 Edición Enterprise (Edición Premium) (se requiere reimagen)
• SD-WAN 1100 Edición Standard
• SD-WAN 1100 Premium (Edición Enterprise)
• SD-WAN 2000 Edición Standard (se requiere reimagen)
• SD-WAN 2000 Edición Enterprise (Edición Premium) (se requiere reimagen)
• Instancia SD-WAN AWS VPX

El Servicio de Despliegue Zero Touch (ZTD) es un servicio en la nube operado y administrado por Citrix® que permite la detección de nuevos dispositivos en la red Citrix SD-WAN y automatiza el proceso de despliegue para las sucursales. El Servicio en la Nube ZTD es accesible desde cualquier nodo de la red a través de Internet y mediante el protocolo Secure Socket Layer (SSL).

El Servicio en la Nube ZTD se comunica de forma segura con los servicios de red de backend de Citrix que almacenan la identificación de los clientes que han adquirido dispositivos compatibles con Zero Touch (por ejemplo, SD-WAN 410-SE, 2100-SE). Los servicios de backend están implementados para autenticar cualquier solicitud de Despliegue Zero Touch, validando correctamente la asociación entre la Cuenta de Cliente y los Números de Serie de los dispositivos Citrix SD-WAN.

Arquitectura y flujo de trabajo de alto nivel de ZTD

Sitio del centro de datos

Administrador de Citrix SD-WAN – Un usuario con derechos de administración del entorno SD-WAN con las siguientes responsabilidades principales:

• Creación de la configuración utilizando la herramienta de configuración de red de Citrix SD-WAN Center, o importación de la configuración desde el dispositivo SD-WAN del Nodo de Control Maestro (MCN).
• Inicio de sesión en Citrix Cloud™ para iniciar el Servicio de Despliegue Zero Touch para el despliegue de un nuevo nodo de sitio.

Nota

Si tu SD-WAN Center está conectado a Internet a través de un servidor proxy, tienes que configurar los ajustes del servidor proxy en SD-WAN Center. Para obtener más información, consulta Configuración del servidor proxy para el Despliegue Zero Touch.

Administrador de red – Un usuario responsable de la administración de la red empresarial (DHCP, DNS, Internet, firewall, etc.)

• Si es necesario, configura los firewalls para la comunicación saliente a FQDN sdwanzt.citrixnetworkapi.net desde SD-WAN Center.

Sitio remoto

Instalador in situ – Un contacto local o un instalador contratado para actividades in situ con las siguientes responsabilidades principales:

• Desempaqueta físicamente el dispositivo Citrix SD-WAN.
• Reinstala la imagen de los dispositivos no preparados para ZTD.
  • Necesario para: SD-WAN 1000-SE, 2000-SE, 1000-EE, 2000-EE
  • No necesario para: SD-WAN 410-SE, 2100-SE
• Conecta el cable de alimentación al dispositivo.
• Cablea el dispositivo para la conectividad a Internet en la interfaz de administración (por ejemplo, MGMT o 0/1).
• Cablea el dispositivo para la conectividad del enlace WAN en las interfaces de datos (por ejemplo, apA.WAN, apB.WAN, apC.WAN, 0/2, 0/3, 0/5, etc.).

Nota

La disposición de la interfaz es diferente en cada modelo, así que consulta la documentación para identificar los puertos de datos y administración.

Se requieren los siguientes requisitos previos antes de iniciar cualquier servicio de Despliegue Zero Touch:

• SD-WAN en ejecución activa promocionado a Nodo de Control Maestro (MCN).
• SD-WAN Center en ejecución activa con conectividad al MCN a través de una Ruta Virtual.
• Credenciales de inicio de sesión de Citrix Cloud creadas en https://onboarding.cloud.com (consulta las instrucciones a continuación sobre la creación de la cuenta).
• Conectividad de red de administración (SD-WAN Center y dispositivo SD-WAN) a Internet en el puerto 443, directamente o a través de un servidor proxy.
• Conectividad a Internet en el puerto 443 para acceder al portal web de SD-WAN Center para la configuración inicial de ZTD.
• (opcional) Al menos un dispositivo SD-WAN en ejecución activa que opere en una sucursal en Modo Cliente con conectividad de Ruta Virtual válida al MCN para ayudar a validar el establecimiento exitoso de la ruta a través de la red subyacente existente.

El último requisito previo no es obligatorio, pero permite al Administrador de SD-WAN validar que la red subyacente permite establecer Rutas Virtuales cuando el Despliegue Zero Touch se completa con cualquier sitio recién agregado. Principalmente, esto valida que las políticas de Firewall y Ruta adecuadas están implementadas para realizar NAT al tráfico según corresponda o para confirmar la capacidad de que el puerto UDP 4980 pueda penetrar la red con éxito para llegar al MCN.

Descripción general del Servicio de Despliegue Zero Touch

El Servicio de Despliegue Zero Touch (ZTD) funciona en conjunto con SD-WAN Center para proporcionar un despliegue más sencillo de los dispositivos SD-WAN de sucursal. SD-WAN Center se configura y utiliza como la herramienta de administración central para los dispositivos SD-WAN Edición Standard y Enterprise (Premium). Para utilizar el Servicio de Despliegue Zero Touch (o Servicio en la Nube ZTD), un Administrador debe comenzar desplegando el primer dispositivo SD-WAN en el entorno, luego configurar y desplegar SD-WAN Center como punto central de administración. Cuando SD-WAN Center, versión 9.1 o posterior, se instala con conectividad a Internet pública en el puerto 443, SD-WAN Center inicia automáticamente el Servicio en la Nube e instala los componentes necesarios para desbloquear las funciones de Despliegue Zero Touch y hacer que la opción de Despliegue Zero Touch esté disponible en la GUI de SD-WAN Center. El Despliegue Zero Touch no está disponible por defecto en el software de SD-WAN Center. Esto está diseñado a propósito para asegurar que los componentes preliminares adecuados en la red subyacente estén presentes antes de permitir que un Administrador inicie cualquier actividad in situ que involucre el Despliegue Zero Touch.

Una vez que un entorno SD-WAN funcional está en marcha, el registro en el Servicio de Despliegue Zero Touch se realiza creando un inicio de sesión de cuenta de Citrix Cloud. Con SD-WAN Center capaz de comunicarse con el servicio ZTD, la GUI expone las opciones de Despliegue Zero Touch en la ficha Configuración. Iniciar sesión en el Servicio Zero Touch autentica el ID de Cliente asociado con el entorno SD-WAN particular y registra SD-WAN Center, además de desbloquear la cuenta para una autenticación posterior de los despliegues de dispositivos ZTD.

Utilizando la herramienta de Configuración de Red en SD-WAN Center, el Administrador de SD-WAN deberá utilizar las plantillas o la capacidad de clonar sitios para construir la Configuración de SD-WAN y agregar nuevos sitios. La nueva configuración es utilizada por SD-WAN Center para iniciar el despliegue de ZTD para los sitios recién agregados. Cuando el Administrador de SD-WAN inicia un sitio para el despliegue utilizando el proceso ZTD, tiene la opción de preautenticar el dispositivo que se utilizará para ZTD rellenando previamente el número de serie e iniciando la comunicación por correo electrónico con el instalador in situ para comenzar la actividad in situ.

El Instalador in situ recibe una comunicación por correo electrónico de que el sitio está listo para el Despliegue Zero Touch y puede comenzar el procedimiento de instalación de encender y cablear el dispositivo para la asignación de direcciones IP DHCP y el acceso a Internet en el puerto MGMT. Además, cablear cualquier puerto LAN y WAN. Todo lo demás es iniciado por el Servicio ZTD y el progreso se supervisa utilizando la URL de activación. En caso de que el nodo remoto a instalar sea una instancia en la nube, abrir la URL de activación inicia el flujo de trabajo para instalar automáticamente la instancia en el entorno de nube designado, sin que sea necesaria ninguna acción por parte de un instalador local.

El Servicio en la Nube de Despliegue Zero Touch automatiza las siguientes acciones:

• Descarga y actualiza el Agente ZTD si hay nuevas funciones disponibles en el dispositivo de sucursal.
• Autentica el dispositivo de sucursal validando el número de serie.
• Autentica que el Administrador de SD-WAN aceptó el sitio para ZTD utilizando SD-WAN Center.
• Extrae el archivo de configuración específico para el dispositivo objetivo de SD-WAN Center.
• Envía el archivo de configuración específico para el dispositivo objetivo al dispositivo de sucursal.
• Instala el archivo de configuración en el dispositivo de sucursal.
• Envía cualquier componente de software SD-WAN faltante o las actualizaciones requeridas al dispositivo de sucursal.
• Envía un archivo de licencia temporal de 10 Mbps para la confirmación del establecimiento de la Ruta Virtual al dispositivo de sucursal.
• Habilita el Servicio SD-WAN en el dispositivo de sucursal.

Se requieren más pasos por parte del Administrador de SD-WAN para instalar un archivo de licencia permanente en el dispositivo.

Procedimiento del Servicio de Despliegue Zero Touch

El siguiente procedimiento detalla los pasos necesarios para desplegar un nuevo sitio utilizando el Servicio de Despliegue Zero Touch. Ten un MCN en ejecución y un nodo cliente ya funcionando con la comunicación adecuada a SD-WAN Center, así como Rutas Virtuales establecidas que confirmen la conectividad a través de la red subyacente. El Administrador de SD-WAN debe seguir los siguientes pasos para iniciar el despliegue zero touch:

Cómo configurar el Servicio de Despliegue Zero Touch

SD-WAN Center tiene la funcionalidad de aceptar solicitudes de dispositivos recién conectados para unirse a la red SD-WAN Enterprise. La solicitud se reenvía a la interfaz web a través del servicio de despliegue zero touch. Una vez que el dispositivo se conecta al servicio, se descargan los paquetes de configuración y actualización de software.

Flujo de trabajo de configuración:

• Accede a SD-WAN Center > Crear nueva configuración de sitio o importa una configuración existente y guárdala.
• Inicia sesión en Citrix Workspace™ Cloud para habilitar el servicio ZTD. La opción de menú Despliegue Zero Touch ahora se muestra en la interfaz de administración web de SD-WAN Center.
• En SD-WAN Center, navega a Configuración > Despliegue Zero Touch > Desplegar nuevo sitio.
• Selecciona un dispositivo, haz clic en Habilitar y haz clic en Desplegar.
• El instalador recibe el correo electrónico de activación > Introduce el número de serie > Activar > El dispositivo se despliega correctamente.

Para configurar el servicio de Despliegue Zero Touch:

1. Instala SD-WAN Center con las capacidades de Despliegue Zero Touch habilitadas.
   1. Instala SD-WAN Center con una dirección IP asignada por DHCP.
   2. Verifica que SD-WAN Center tenga asignada una dirección IP de administración y una dirección DNS de red adecuadas con conectividad a Internet pública a través de la red de administración.

   3. Actualiza SD-WAN Center a la última versión de software de SD-WAN.

   4. Con la conectividad a Internet adecuada, SD-WAN Center inicia el Servicio en la Nube de Despliegue Zero Touch (ZTD) y descarga e instala automáticamente cualquier actualización de firmware específica para ZTD; si este procedimiento de “llamada a casa” falla, la siguiente opción de Despliegue Zero Touch no estará disponible en la GUI.

      

   5. Lee los Términos y Condiciones y, a continuación, selecciona “Reconozco que he leído y acepto los Términos y Condiciones anteriores.”

   6. Haz clic en el botón “Iniciar sesión en Citrix Workspace Cloud” si ya has creado una cuenta de Citrix Cloud.

   7. Inicia sesión en la cuenta de Citrix Cloud y, al recibir el siguiente mensaje de inicio de sesión exitoso, NO CIERRES ESTA VENTANA, EL PROCESO REQUIERE OTROS ~20 SEGUNDOS PARA QUE LA GUI DE SD-WAN CENTER SE ACTUALICE. La ventana debería cerrarse sola cuando se complete.

      

   8. Para crear una cuenta de inicio de sesión en la nube, sigue el siguiente procedimiento:

      • Abre un navegador web en https://onboarding.cloud.com

      • Haz clic en el enlace “Espera, tengo una cuenta de Citrix.com.”

      

      

   9. Inicia sesión con una cuenta de Citrix existente.

   10. Una vez que hayas iniciado sesión en la página de Despliegue Zero Touch de SD-WAN Center, es posible que observes que no hay sitios disponibles para el despliegue ZTD debido a las siguientes razones:

       • La configuración activa no se ha seleccionado del menú desplegable Configuración.
       • Todos los sitios de la configuración activa actual ya se han desplegado.
       • La configuración no se creó utilizando SD-WAN Center, sino el Editor de Configuración disponible en el MCN.
       • Los sitios no se crearon en la configuración haciendo referencia a dispositivos compatibles con zero touch (por ejemplo, 410-SE, 2100-SE, Cloud VPX).

2. Actualiza la configuración para agregar un nuevo sitio remoto con un dispositivo SD-WAN compatible con ZTD utilizando la Configuración de Red de SD-WAN Center.

   Si la configuración de SD-WAN no se creó utilizando la Configuración de Red de SD-WAN Center, importa la configuración activa del MCN y comienza a modificar la configuración utilizando SD-WAN Center. Para la capacidad de Despliegue Zero Touch, el Administrador de SD-WAN debe construir la configuración utilizando SD-WAN Center. Se debe utilizar el siguiente procedimiento para agregar un nuevo sitio destinado al despliegue zero touch.

   Diseña el nuevo sitio para el despliegue del dispositivo SD-WAN delineando primero los detalles del nuevo sitio (es decir, Modelo de Dispositivo, uso de Grupos de Interfaz, Direcciones IP Virtuales, Enlaces WAN con ancho de banda y sus respectivas Puertas de Enlace).

   Importante

   Es posible que observes que cualquier nodo de sitio que tenga VPX seleccionado como modelo también aparece en la lista, pero actualmente el soporte ZTD solo está disponible para la instancia AWS VPX. Nota

   • Asegúrate de que estás utilizando un navegador web compatible con Citrix SD-WAN Center.
   • Asegúrate de que el navegador web no bloquea ninguna ventana emergente durante el inicio de sesión en Citrix Workspace.

   

   Este es un ejemplo de despliegue de un sitio de sucursal: el dispositivo SD-WAN se despliega físicamente en la ruta del enlace WAN MPLS existente a través de una red 172.16.30.0/24, y utilizando un enlace de respaldo existente habilitándolo a un estado activo y terminando ese segundo enlace WAN directamente en el dispositivo SD-WAN en una subred diferente 172.16.31.0/24.

   Nota

   Los dispositivos SD-WAN asignan automáticamente una dirección IP predeterminada de 192.168.100.1/16. Con DHCP habilitado por defecto, el Servidor DHCP de la red puede proporcionar al dispositivo una segunda dirección IP en una subred que se superpone a la predeterminada. Esto puede resultar en un problema de enrutamiento en el dispositivo donde el dispositivo puede fallar al conectarse al Servicio en la Nube ZTD. Configura el servidor DHCP para asignar direcciones IP fuera del rango de 192.168.0.0/16.

   Existen varios modos de despliegue diferentes disponibles para la ubicación del producto SD-WAN en una red. En el ejemplo anterior, SD-WAN se está desplegando como una superposición sobre la infraestructura de red existente. Para nuevos sitios, los Administradores de SD-WAN pueden optar por desplegar SD-WAN en modo Borde o Puerta de Enlace, eliminando la necesidad de un enrutador de borde WAN y un firewall, y consolidando las necesidades de red de enrutamiento de borde y firewall en la solución SD-WAN.

   1. Abre la interfaz de administración web de SD-WAN Center y navega a la página Configuración > Configuración de red.

      

   2. Asegúrate de que ya existe una configuración en funcionamiento, o importa la configuración del MCN.

   3. Navega a la ficha Avanzado para crear un sitio.

   4. Abre el mosaico Sitios para mostrar los sitios configurados actualmente.

   5. Crea rápidamente la configuración para el nuevo sitio utilizando la función de clonación de cualquier sitio existente.

      

   6. Rellena todos los campos obligatorios de la topología diseñada para este nuevo sitio de sucursal.

      

   7. Después de clonar un nuevo sitio, navega a la Configuración básica del sitio y verifica que el Modelo de SD-WAN seleccionado sea el correcto y que sea compatible con el servicio zero touch.

      

   8. El modelo de SD-WAN para el sitio se puede actualizar, pero ten en cuenta que los Grupos de Interfaz pueden tener que redefinirse, ya que el dispositivo actualizado puede tener una nueva disposición de interfaz diferente a la utilizada para clonar.

   9. Guarda la nueva configuración en SD-WAN Center y utiliza la opción de exportar a la “Bandeja de entrada de Gestión de Cambios” para enviar la configuración utilizando Gestión de Cambios.

   10. Sigue el procedimiento de Gestión de Cambios para preparar correctamente la nueva configuración, lo que hace que los dispositivos SD-WAN existentes sean conscientes del nuevo sitio a desplegar a través de zero touch; debes utilizar la opción “Ignorar incompleto” para omitir el intento de enviar la configuración al nuevo sitio que aún necesita pasar por el flujo de trabajo ZTD.

3. Vuelve a la página de Despliegue Zero Touch de SD-WAN Center y, con la nueva configuración activa en ejecución, el nuevo sitio estará disponible para el despliegue.

   1. En la página Despliegue Zero Touch, en la ficha Desplegar nuevo sitio, selecciona el archivo de configuración de red en ejecución.

   2. Una vez seleccionado el archivo de configuración en ejecución, se mostrará la lista de todos los sitios de sucursal con dispositivos SD-WAN no desplegados que son compatibles con zero touch.

      

      

   3. Selecciona los sitios de sucursal que deseas configurar para el servicio Zero Touch, haz clic en Habilitar y luego en Desplegar.

      

   4. Aparece una ventana emergente Desplegar nuevo sitio, donde el Administrador puede proporcionar el Número de Serie, la Dirección de la calle del sitio de la sucursal, la dirección de correo electrónico del Instalador y más Notas, si es necesario.

      

   Nota

   El campo de entrada del Número de Serie es opcional y, dependiendo de si se rellena o no, resultará en un cambio en la actividad in situ de la que es responsable el Instalador.

   • Si el campo Número de Serie está rellenado – El instalador no necesita introducir el número de serie en la URL de activación generada con el comando de despliegue del sitio.
   • Si el campo Número de Serie se deja en blanco – El instalador será responsable de introducir el número de serie correcto del dispositivo en la URL de activación generada con el comando de despliegue del sitio.

   1. Después de hacer clic en el botón Desplegar, aparecerá un mensaje que indica que “La configuración del sitio se ha desplegado.”

   2. Esta acción activa SD-WAN Center, que se registró previamente con el Servicio en la Nube ZTD, para compartir la configuración de este sitio en particular y almacenarla temporalmente en el Servicio en la Nube ZTD.

   3. Navega a la ficha Activación pendiente para confirmar que la información del sitio de la sucursal se rellenó correctamente y se puso en un estado de actividad pendiente del instalador.

      

   Nota

   Un despliegue zero touch en estado de Activación pendiente puede elegirse opcionalmente para Eliminar o Modificar, si la información es incorrecta. Si se elimina un Sitio de la página de activación pendiente, vuelve a estar disponible para ser desplegado en la página de la ficha Desplegar nuevo sitio. Una vez que eliges eliminar el sitio de la sucursal de la activación pendiente, el enlace de activación enviado al instalador deja de ser válido.

   Si el Administrador de SD-WAN no rellenó el campo Número de Serie, el campo Estado indica “Esperando al instalador” en lugar de “Conectando.”

4. La siguiente serie de actividades es realizada por el Instalador in situ.

   1. El Instalador verifica el buzón de correo de la dirección de correo electrónico que el Administrador de SD-WAN utilizó al desplegar el sitio.

      

   2. Abre la URL de Activación del despliegue zero touch en una ventana del navegador de Internet.

   3. Si el Administrador de SD-WAN no rellenó previamente el número de serie en el paso de despliegue del sitio, el Instalador sería responsable de localizar el número de serie en el dispositivo físico e introducirlo manualmente en la URL de activación, y luego hacer clic en el botón Activar.

      

   4. Si el Administrador rellenó previamente la información del Número de Serie, la URL de Activación ya habrá avanzado al siguiente paso.

      

   5. El instalador debe estar físicamente in situ para realizar las siguientes acciones:

      • Cablea todas las interfaces WAN y LAN para que coincidan con la topología y la configuración creadas en pasos anteriores.
      • Cablea la interfaz de administración (MGMT, 0/1) en el segmento de la red que proporciona dirección IP DHCP y conectividad a Internet con resolución de DNS y FQDN a dirección IP.
      • Conecta el cable de alimentación al dispositivo SD-WAN.
      • Enciende el interruptor de alimentación del dispositivo.

   Nota

   La mayoría de los dispositivos se encenderán automáticamente cuando se conecte el cable de alimentación. Algunos dispositivos pueden tener que encenderse utilizando el interruptor de alimentación en la parte frontal del dispositivo, otros pueden tener el interruptor de alimentación en la parte trasera del dispositivo. Algunos interruptores de alimentación requieren mantener presionado el botón de encendido hasta que la unidad se encienda.

5. La siguiente serie de pasos se automatiza con la ayuda del servicio de Despliegue Zero Touch, pero requiere que estén disponibles los siguientes requisitos previos.

   • El dispositivo de sucursal debe estar encendido.
   • DHCP debe estar disponible en la red existente para asignar la dirección IP de administración y DNS.
   • Cualquier dirección IP asignada por DHCP requiere conectividad a Internet con capacidad para resolver FQDN.
   • La asignación de IP se puede configurar manualmente, siempre que se cumplan los demás requisitos previos.

   1. El dispositivo obtiene una dirección IP del Servidor DHCP de la red; en esta topología de ejemplo, esto se logra a través de las interfaces de datos omitidas de un dispositivo en estado predeterminado de fábrica.

      

   2. A medida que el dispositivo obtiene las direcciones IP de administración web y DNS del Servidor DHCP de la red subyacente, el dispositivo inicia el Servicio de Despliegue Zero Touch y descarga cualquier actualización de software relacionada con ZTD.

   3. Con una conectividad exitosa al Servicio en la Nube ZTD, el proceso de despliegue realiza automáticamente lo siguiente:

      • Descarga el Archivo de Configuración que fue almacenado previamente por SD-WAN Center.
      • Aplica la Configuración al dispositivo local.
      • Descarga e instala un archivo de licencia temporal de 10 MB.
      • Descarga e instala cualquier actualización de software si es necesario.
      • Activa el Servicio SD-WAN.

      

   4. Puedes realizar una confirmación adicional en la interfaz de administración web de SD-WAN Center; el menú Despliegue Zero Touch muestra los dispositivos activados con éxito en la ficha Historial de activación.

      

   5. Es posible que las Rutas Virtuales no se muestren inmediatamente en estado conectado porque el MCN puede no confiar en la configuración entregada por el Servicio en la Nube ZTD y reporta “Discrepancia de versión de configuración” en el Panel de control del MCN.

      

   6. La configuración se vuelve a entregar al dispositivo de sucursal recién instalado y el estado se supervisa en la página MCN > Configuración > WAN virtual > Gestión de cambios (este proceso puede tardar varios minutos en completarse).

      

   7. El Administrador de SD-WAN puede supervisar la página de administración web del MCN principal para las Rutas Virtuales establecidas del sitio remoto.

      

   8. SD-WAN Center también se puede utilizar para identificar la dirección IP asignada por DHCP del dispositivo in situ desde la página Configuración > Detección de red > Inventario y estado.

      

   9. En este punto, el Administrador de red de SD-WAN puede obtener acceso de administración web al dispositivo in situ utilizando la red de superposición de SD-WAN.

      

   10. El acceso de administración web al dispositivo del sitio remoto indica que el dispositivo se ha instalado con una Licencia de Gracia temporal de 10 Mbps, lo que permite que el Estado del Servicio de Ruta Virtual se reporte como activo.

       

   11. La configuración del dispositivo se puede validar utilizando la página Configuración > WAN virtual > Ver configuración.

       

   12. El archivo de licencia del dispositivo se puede actualizar a una licencia permanente utilizando la página Configuración > Configuración del dispositivo > Licencias.

       

   13. Después de cargar e instalar el archivo de licencia permanente, el banner de advertencia de Licencia de Gracia desaparece y durante el proceso de instalación de la licencia no se producirá ninguna pérdida de conectividad con el sitio remoto (no se pierden pings).