Citrix SD-WAN Orchestrator para instalaciones locales 14.4

Conectividad con dispositivos Citrix SD-WAN

Después de configurar los sitios en Citrix SD-WAN Orchestrator for On-premises, establezca la conectividad entre los dispositivos Citrix SD-WAN en los sitios con Citrix SD-WAN Orchestrator for On-premises. Puede establecer la conectividad de una de las siguientes maneras:

  • Autenticación unidireccional: El dispositivo SD-WAN autentica Citrix SD-WAN Orchestrator for On-premises. Al habilitar la autenticación unidireccional, debe descargar el certificado Citrix SD-WAN Orchestrator for On-premises y cargarlo en el dispositivo SD-WAN.

  • Autenticación bidireccional: Las SD-WAN se autentican entre sí mediante los certificados intercambiados. Al habilitar la autenticación bidireccional, debe cargar el certificado del dispositivo SD-WAN en Citrix SD-WAN Orchestrator para locales y también el certificado de Citrix SD-WAN Orchestrator para locales en el dispositivo SD-WAN.

  • Sin autenticación: La conectividad se establece entre los dispositivos Citrix SD-WAN Orchestrator para locales y los dispositivos SD-WAN sin autenticación. No necesita usar el dispositivo SD-WAN ni el certificado Citrix SD-WAN Orchestrator for On-premises. Puede usar Sin autenticación si tiene una red segura, como MPLS.

Nota:

Se recomienda utilizar únicamente la autenticación unidireccional o bidireccional. En el caso de que no haya autenticación, debe elegir el servidor DNS seguro.

Puede configurar la conectividad con cada sitio de forma manual o utilizar la implementación automática sin intervención.

Nota

Citrix SD-WAN 11.3.0 es la versión de software mínima necesaria para que un dispositivo se conecte a Citrix SD-WAN Orchestrator for On-premises.

Implementación sin contacto

La implementación sin intervención es un proceso automatizado para configurar la conectividad entre los dispositivos y Citrix SD-WAN Orchestrator for On-premises. Puede establecer la conectividad automáticamente mediante una configuración de implementación sin intervención fuera de la nube o una implementación sin intervención negociada en la nube.

Implementación sin interacción fuera de la nube

La configuración de implementación sin intervención fuera de la nube le permite configurar Citrix SD-WAN Orchestrator para obtener información local en dispositivos SD-WAN. La API de NITRO que se ejecuta en el back-end gestiona la descarga y la carga de certificados. Descarga el certificado de Citrix SD-WAN Orchestrator for On-premises, inicia sesión en el dispositivo SD-WAN y carga el certificado. También descarga el certificado del dispositivo SD-WAN y lo carga en Citrix SD-WAN Orchestrator for On-premises.

Nota

La implementación sin intervención fuera de la nube es compatible con los dispositivos SD-WAN que se ejecutan con la versión 11.3.0 o posterior.

La implementación sin intervención solo admite la autenticación unidireccionaly la autenticación bidireccional.No se admite ninguna autenticación. Si eltipo de autenticaciónestá habilitado enla página Administración > Autenticación de certificados, se establece la autenticación bidireccional. Si eltipo de autenticación está inhabilitado, se establece la autenticación unidireccional.

Puede agregar sitios manualmente o importar un archivo CSV para agregar varios sitios simultáneamente.

Para configurar los ajustes de implementación sin intervención en la nube, vaya a Administración > Configuración de ZTD > ZTD fuera de la nubey haga clic en + Sitio.

Configuración de implementación sin intervención del sitio

Nota

También puede acceder a la configuración de implementación sin intervención fuera de la nube para cada sitio desde la página principal de configuración de red. Haga clic en el icono de acción del sitio y seleccione ZTD que no sea de nube.

Página de inicio de configuración de red: implementación sin interacción fuera de la nube

Seleccione un sitio de la lista desplegable Nombre del sitio e introduzca la dirección IP de administración del dispositivo Citrix SD-WAN.

Al habilitar la opción Usar interfaz ZTD, se garantiza que la interfaz ZTD se utilice para ZTD que no esté en la nube, si la interfaz ZTD está habilitada en SD-WAN Orchestrator for On-premises.

Nota

  • Ignore la opción Use ZTD Interface si la interfaz ZTD no está habilitada en SD-WAN Orchestrator for On-premises.
  • Active la opción Usar interfaz ZTD cuando el dispositivo SD-WAN pueda acceder a la dirección IP de la interfaz ZTD pero no pueda acceder a la dirección IP de administración.
  • No seleccionar la opción Usar interfaz ZTD después de habilitar la interfaz ZTD no significa que la dirección IP de la interfaz de administración se utilice para la comunicación entre el dispositivo SD-WAN y SD-WAN Orchestrator for On-premises. La opción Use ZTD Interface solo se usa para la configuración inicial del dispositivo con ZTD que no es de nube.

Proporcione el nombre de usuario y la contraseña del dispositivo. Seleccione la casilla de verificación Recién aprovisionados si va a agregar un sitio recientemente aprovisionado en el que no se ha cambiado la contraseña predeterminada. Introduzca la nueva contraseña. La contraseña predeterminada se cambia por la nueva contraseña durante este proceso de implementación sin intervención.

Nota

Para un sitio recién aprovisionado, es obligatorio cambiar la contraseña predeterminada en el momento del primer inicio de sesión.

Agregue un sitio para una implementación sin intervención fuera de la nube

Haga clic en + para seguir agregando más sitios.

También puede importar un archivo CSV para agregar varios sitios simultáneamente. Hay disponible un ejemplo de plantilla descargable en la interfaz de usuario. Descárguelo y proporcione los detalles del sitio.

Descargar archivo CSV de muestra

Ejemplo de plantilla CSV

  • Nombre del dispositivo: E l nombre del sitio configurado durante la configuración del sitio. Para obtener más información, consulte Configuración del sitio.
  • Nombre de usuario del dispositivo: El nombre de usuario configurado en el dispositivo del sitio.
  • Contraseña del dispositivo: La contraseña correspondiente al dispositivo del sitio.
  • ¿Ha caducado la contraseña? Determina si el dispositivo se ha aprovisionado recientemente. Si el valor es True, proporcione la nueva contraseña del dispositivo.
  • Nueva contraseña del dispositivo: L a contraseña de los dispositivos recién aprovisionados. Si el valor Ha caducado la contraseña esTrue, proporcione lanueva contraseña del dispositivo.
  • Es el dispositivo principal: Si se configura la alta disponibilidad (HA), el dispositivo activo debe tener el valor True y el dispositivo en espera debe tener el valor False. Si HA no está configurado, el valor debe ser True.

Haga clic en Importar, selecciona el archivo CSV y haga clic en Cargar

Importar archivo CSV

Cargar archivo CSV

Se muestra el estado de configuración de los sitios. Puede elegir eliminar los sitios de forma individual o Eliminar todos si los sitios no son necesarios para una implementación sin intervención.

Estado de configuración de implementación sin intervención

Implementación sin intervención mediante intermediación en la nube

La implementación sin intervención mediante intermediación en la nube utiliza el servicio Citrix SD-WAN Orchestrator como intermediario entre Citrix SD-WAN Orchestrator for On-premises y los dispositivos Citrix SD-WAN. Citrix SD-WAN Orchestrator for On-premises envía un paquete de configuración de implementación sin intervención en la nube al servicio Citrix SD-WAN Orchestrator. El paquete de configuración de implementación sin intervención en la nube consta de la siguiente información:

  • Información de identidad local
  • Tipo de autenticación
  • Certificado local
  • Detalles del dispositivo (lista de números de serie)

El servicio Citrix SD-WAN Orchestrator almacena la información recibida de Citrix SD-WAN Orchestrator for On-premises. Cuando un dispositivo contacta con el servicio Citrix SD-WAN Orchestrator con su número de serie, la inteligencia adquirida del servicio Citrix SD-WAN Orchestrator determina que el dispositivo debe ser administrado por Citrix SD-WAN Orchestrator for On-premises. El servicio Citrix SD-WAN Orchestrator transfiere los detalles del Citrix SD-WAN Orchestrator for On-premise al dispositivo. El dispositivo Citrix SD-WAN envía su certificado al servicio Orchestrator. El servicio Citrix SD-WAN Orchestrator recibe y almacena el certificado del dispositivo.

Citrix SD-WAN Orchestrator for On-premises obtiene periódicamente el certificado del dispositivo del servicio Citrix SD-WAN Orchestrator. Una vez que se establece una conexión segura entre Citrix SD-WAN Orchestrator for On-premises y el dispositivo, Citrix SD-WAN Orchestrator for On-premises envía la configuración y los archivos relevantes a los dispositivos.

La configuración de implementación sin intervención mediante intermediación en la nube solo está disponible para los clientes con una configuración administrada por el cliente. La configuración administrada por el proveedor no admite la configuración de implementación sin intervención mediante intermediación en la nube.

Requisitos previos

  • Los dispositivos necesitan acceso a los siguientes nombres de dominio para establecer la conexión con el servicio Citrix SD-WAN Orchestrator:
    • sdwanzt.citrixnetworkapi.net
    • descargar.citrixnetworkapi.net
    • trust.citrixnetworkapi.net
    • sdwan-home.citrixnetworkapi.net
  • Asegúrese de que Citrix SD-WAN Orchestrator for On-premises siempre tenga conectividad con el servicio Citrix SD-WAN Orchestrator con los dispositivos SD-WAN integrados.
  • Asegúrese de que el dispositivo Citrix SD-WAN tenga conectividad con el servicio SD-WAN Orchestrator durante el proceso de incorporación inicial y si el restablecimiento de fábrica se realiza en el dispositivo SD-WAN.

Para configurar los ajustes de implementación sin intervención de Cloud Broker:

  1. En Citrix SD-WAN Orchestrator for On-premises, cree y defina sitios mediante el flujo de trabajo guiado. Para obtener más información, consulte Configuración del sitio.

  2. Verifique y compile la configuración mediante el rastreador de implementación. Para obtener más información, consulte la sección Deployment Tracker en el tema Configuración de red.

  3. Vaya a Administración > Configuración de ZTD > Cloud Brokered ZTD y haga clic en + Sitio.

    Implementación sin intervención en la nube

  4. En la lista desplegable, seleccione un nombre de sitio y haga clic en Agregar. Los sitios se enumeran en función de su configuración. Puede seleccionar uno o varios sitios.

    Agregue sitios en la nube con una implementación sin intervención

  5. La configuración de implementación sin intervención en la nube se crea y se envía al servicio Citrix SD-WAN Orchestrator.

    Estado de configuración de implementación sin intervención en la nube

  6. Conecte y encienda los dispositivos SD-WAN en el centro de datos y las sucursales.

  7. Los dispositivos se ponen en contacto con el servicio Citrix SD-WAN Orchestrator con su número de serie.

  8. El servicio Citrix SD-WAN Orchestrator actúa como intermediario entre Citrix SD-WAN Orchestrator for On-premises y los dispositivos. Permite el intercambio de certificados y el dispositivo Citrix SD-WAN establece una conexión segura con Citrix SD-WAN Orchestrator for On-premises. Una vez que la implementación sin interacción se haya realizado correctamente, el sitio configurado se conectará y se mostrará en la columna Conectividad de Orchestrator, en Configuración > Inicio de configuración de red.

  9. Active y organice la configuración para enviar la configuración y el software a los dispositivos.

  10. Una vez que se aplica la configuración o el software, se establecen las rutas virtuales y la columna Disponibilidad, en Configuración > Inicio de configuración de red, se actualiza con el estado de la ruta virtual correspondiente.

NOTA

Citrix SD-WAN Orchestrator for On-premises tarda unos 30 minutos en obtener el certificado del dispositivo e incorporarlos por completo. Para obtener los certificados del dispositivo inmediatamente (sin esperar 30 minutos), haga clic en Extraer certificados del dispositivo.

Si es necesario, puede elegir hacer clic en Eliminar la configuración de ZTD de Cloud Brokered. Elimina la información relacionada con todos los sitios. Si necesita eliminar la información de un sitio en particular, haga clic en el icono de eliminación correspondiente a ese sitio.

Eliminar la configuración en la implementación sin intervención en la nube

Limitaciones

  • Los dispositivos SD-WAN no pueden conectarse a varias instancias de Citrix SD-WAN Orchestrator for On-premises que compartan credenciales de inicio de sesión en la nube. Por ejemplo, un dispositivo SD-WAN permanece conectado a Citrix SD-WAN Orchestrator for On-premises configurado por primera vez. Los detalles de Citrix SD-WAN Orchestrator for On-premises que se configuran a continuación no se envían al dispositivo SD-WAN.

  • Los dispositivos SD-WAN conectados a través de LTE no pueden establecer una conexión con Citrix SD-WAN Orchestrator para dispositivos locales alojados en una red privada.

Configuración de la interfaz ZTD

Puede habilitar una interfaz Zero Touch Deployment (ZTD) en SD-WAN Orchestrator for On-premises. La interfaz ZTD, que está protegida mediante la autenticación bidireccional, proporciona una interfaz de comunicación segura para los dispositivos SD-WAN y SD-WAN Orchestrator para entornos locales.

Tras habilitar la interfaz ZTD, los nuevos dispositivos D-WAN implementados a través de ZTD no en la nube y ZTD negociado en la nube utilizan la dirección IP de la interfaz ZTD para comunicarse con SD-WAN Orchestrator for On-premises.

Como requisito previo, asegúrese de que SD-WAN Orchestrator for On-premises Virtual Machine tenga una interfaz adicional, además de la interfaz de administración.

Interfaz ZTD en Citrix Hypervisor

Nota

Para la máquina virtual VMware ESXi, asegúrese de que la máquina virtual se reinicie después de agregar una interfaz adicional para ZTD.

Interfaz ZTD en Citrix Hypervisor

Activación de la interfaz ZTD

En la GUI de SD-WAN Orchestrator for On-premises, vaya a Administración > Configuración de ZTD y seleccione Habilitar la interfaz ZTD para habilitar la interfaz ZTD. Proporcione la dirección IP de la interfaz ZTD, la máscara de subred y la dirección IP de la puerta de enlace.

Seleccione Usar interfaz de administración para sitios existentes para asegurarse de que los dispositivos SD-WAN ya implementados a través de la ZTD ajena a la nube o la ZTD de intermediación en la nube continúen conectándose con SD-WAN Orchestrator para entornos locales mediante la dirección IP de la interfaz de administración.

Advertencia

Si no se selecciona Usar interfaz de administración para sitios existentes, los dispositivos SD-WAN que ya estén implementados a través de la ZTD que no es de nube o la ZTD de Cloud Brokered-ZTD perderán la conexión con SD-WAN Orchestrator for On-premises.

Configuración de la interfaz ZTD

Configuración de ZTD ajeno a la nube mediante la interfaz ZTD

Si se selecciona la opción Usar la interfaz de administración para sitios existentes, los dispositivos que ya están implementados mediante ZTD que no es de nube seguirán utilizando la dirección IP de la interfaz de administración para conectarse con SD-WAN Orchestrator for On-premises. Inicie una ZTD que no sea de nube en los dispositivos para establecer una conexión con SD-WAN Orchestrator for On-premises mediante la dirección IP de la interfaz ZTD.

Nota

Puede inhabilitar la opción Usar la interfaz de administración para sitios existentes después de que todos los dispositivos SD-WAN hayan establecido una conexión con SD-WAN Orchestrator for On-premises a través de la dirección IP de la interfaz ZTD.

Si no se selecciona la opción Usar la interfaz de administración para sitios existentes, los dispositivos SD-WAN que ya se hayan desplegado mediante ZTD que no sea de nube pierden la conexión con SD-WAN Orchestrator for On-premises. Inicie ZTD fuera de la nube en dispositivos SD-WAN para restablecer la conexión con SD-WAN Orchestrator for Onpremises mediante la dirección IP de la interfaz ZTD.

Configuración de Cloud Brokers ZTD mediante la interfaz ZTD

Si se selecciona la opción Usar la interfaz de administración para sitios existentes, los dispositivos que ya están implementados mediante Cloud Brokered ZTD seguirán usando la dirección IP de la interfaz de administración para conectarse con SD-WAN Orchestrator for On-premises. Para establecer una conexión con SD-WAN Orchestrator for On-premises mediante la dirección IP de la interfaz ZTD, realice una de las siguientes acciones:

  • En los dispositivos SD-WAN, actualice la dirección IP y el certificado de SD-WAN Orchestrator for On-premises.

    Nota

    Actualice el certificado solo si los certificados se regeneran manualmente; no es necesario que actualice el certificado si los dispositivos ya los tienen.

  • Realice un restablecimiento de fábrica e inicie Cloud Brokered-ZTD en los dispositivos para establecer una conexión con SD-WAN Orchestrator for On-premises mediante la dirección IP de la interfaz ZTD.

Nota

Puede inhabilitar la opción Usar la interfaz de administración para sitios existentes después de que todos los dispositivos SD-WAN hayan establecido una conexión con SD-WAN Orchestrator for On-premises a través de la dirección IP de la interfaz ZTD.

Si no se selecciona la opción Usar la interfaz de administración para sitios existentes, los dispositivos SD-WAN que ya están implementados mediante ZTD negociado en la nube pierden la conexión con SD-WAN Orchestrator for On-premises. Para restablecer la conexión con SD-WAN Orchestrator for On-premises mediante la dirección IP de la interfaz ZTD, realice una de las siguientes acciones:

  • En los dispositivos SD-WAN, actualice la dirección IP y el certificado de SD-WAN Orchestrator for On-premises.

  • Realice un restablecimiento de fábrica e inicie Cloud Brokered-ZTD en los dispositivos para establecer una conexión con SD-WAN Orchestrator for On-premises mediante la dirección IP de la interfaz ZTD.

Configuración de conectividad manual

Al configurar la conectividad manualmente, debe descargar el certificado Citrix SD-WAN Orchestrator for On-premises y cargarlo en cada dispositivo de la red. Implica iniciar sesión en cada dispositivo de forma manual para cargar los certificados.

Para configurar la conectividad manualmente:

  1. Vaya a Administración > Autenticación de certificados y active el tipo de autenticación

    Cuando el tipo de autenticación está habilitado, el dispositivo SD-WAN puede conectarse a Citrix SD-WAN Orchestrator for On-premises solo mediante la autenticación bidireccional. Cuando el tipo de autenticación está inhabilitado, el dispositivo SD-WAN puede conectarse a Citrix SD-WAN Orchestrator for On-premise mediante la autenticación sin autenticación, la autenticación unidireccional o la autenticación bidireccional.

    Nota

    En una configuración administrada por un proveedor, solo los proveedores pueden habilitar el tipo de autenticación y regenerar el certificado Citrix SD-WAN Orchestrator for On-premises.

  2. Haga clic en Regenerar y descargue el certificado Citrix SD-WAN Orchestrator for On-premises.

  3. Elija un dispositivo de la sección Certificado de dispositivo y cargue el certificado correspondiente descargado del dispositivo SD-WAN. Para obtener información detallada sobre la descarga del certificado del dispositivo, consulte Configuración local de Citrix SD-WAN Orchestrator en el dispositivo SD-WAN.

    NOTA

    • Solo se admite el tipo de archivo .pem.
    • Solo los administradores del cliente pueden cargar el certificado del dispositivo.
  4. Inicie sesión en la interfaz de usuario del dispositivo SD-WAN y vaya a Configuración > WAN virtual > SD-WAN Orchestrator local. Cargue el certificado descargado de Citrix SD-WAN Orchestrator for On-premises. Para obtener información detallada, consulte Citrix SD-WAN Orchestrator para la configuración local en un dispositivo SD-WAN.

Autenticación de certificados

Verificar la conectividad

Para comprobar el estado de conectividad del dispositivo, vaya a Configuración > Configuración de red Inicioy compruebe la columna Conectividad a la nube correspondiente a su sitio.

Verificar la conectividad

Nota:

Puede publicar el software deseado para actualizar los dispositivos en Infraestructura > Administración de Orchestrator > Imágenes de software > Dispositivo. Para obtener más información, consulte Publicar software.

Configuración de reserva

La configuración alternativa garantiza que el Citrix SD-WAN Orchestrator para la conectividad local que ha establecido con el dispositivo Citrix SD-WAN se conserve a través de la IP de administración en banda del dispositivo.

Puede habilitar la configuración alternativa en Citrix SD-WAN Orchestrator for On-premises al nivel de sitio. Para ello, vaya a Configuración > Configuración del dispositivo > Fallback y haga clic en Habilitar configuración alternativa.

Habilitar configuración de reserva

Para obtener información detallada sobre la configuración alternativa, consulte Administración dentro de banda.

Nota:

Si utiliza un dispositivo que no sea Citrix SD-WAN 110 SE, asegúrese de ejecutar SD-WAN 11.2 o una versión posterior para habilitar la configuración alternativa predeterminada.

La siguiente tabla proporciona los detalles de los puertos WAN y LAN designados previamente para la configuración de reserva en diferentes plataformas:

Plataforma Puertos WAN Puertos LAN
110 1/2 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

Configuración del puerto

Conectividad con dispositivos Citrix SD-WAN