Tacto cero
Nota
El servicio Zero Touch Deployment se admite en determinados dispositivos Citrix SD-WAN:
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 Standard Edition
- SD-WAN 1100 Standard Edition
- SD-WAN 1100 Modificación Premium
- SD-WAN 1000 Standard Edition (se requiere reimagen)
- SD-WAN 1000 Enterprise Edition (Premium Edition)
- SD-WAN 2000 Standard Edition
- SD-WAN 2000 Enterprise Edition (Premium Edition)
- SD-WAN 2100 Enterprise Edition (Premium Edition)
- Instancia de AWS VPX de SD-WAN
Cloud Service de implementación sin contacto es un servicio basado en la nube administrado y operado por Citrix que permite descubrir nuevos dispositivos en la red Citrix SD-WAN, centrándose principalmente en optimizar el proceso de implementación de Citrix SD-WAN en sucursales u oficinas de servicios en la nube. El servicio en la nube de implementación sin contacto es accesible públicamente desde cualquier punto de una red a través del acceso público a Internet. Se accede al servicio en la nube de implementación sin intervención a través del protocolo Secure Socket Layer (SSL).
Los servicios en la nube de implementación sin intervención se comunican de forma segura con los servicios de Citrix de back-end que alojan la identificación almacenada de los clientes de Citrix que han adquirido dispositivos compatibles con Zero Touch (por ejemplo, SD-WAN 410-SE, 2100-SE). Los servicios back-end están disponibles para autenticar cualquier solicitud de implementación Zero Touch, validando correctamente la asociación entre la cuenta del cliente y los números de serie de los dispositivos Citrix SD-WAN.
Arquitectura y flujo de trabajo de alto nivel de ZTD:
Sitio del centro de datos:
Citrix SD-WAN Administrator: Usuario con derechos de administración del entorno SD-WAN con las siguientes responsabilidades principales:
-
Creación de configuraciones mediante la herramienta de configuración de red de Citrix SD-WAN Center o importación de configuración desde el dispositivo SD-WAN del nodo de control maestro (MCN)
-
Citrix Cloud Login para iniciar el servicio Zero Touch Deployment Service para la implementación de nuevos nodos de sitio.
Nota
Si su SD-WAN Center está conectado a Internet a través de un servidor proxy, debe configurar la configuración del servidor proxy en SD-WAN Center. Para obtener más información, consulteConfiguración del servidor proxy para la implementación Zero Touch.
Administrador de red: Usuario responsable de la administración de redes empresariales (DHCP, DNS, Internet, firewall, etc.).
- Si es necesario, configure firewalls para la comunicación saliente con FQDN sdwanzt.citrixnetworkapi.net desde SD-WAN Center.
Sitio remoto:
Instalador in situ: Contacto local o instalador contratado para actividades in situ con las siguientes responsabilidades principales:
-
Desempaque físicamente el dispositivo Citrix SD-WAN.
-
Reimagen de dispositivos listos para ZTD.
-
Necesario para: SD-WAN 1000-SE, 2000-SE, 1000-EE, 2000-EE
-
No es necesario para: SD-WAN 410-SE, 2100-SE
-
-
Cable de alimentación del dispositivo.
-
Cable del dispositivo para la conectividad a Internet en la interfaz de administración (por ejemplo, MGMT o 0/1).
-
Cable el dispositivo para la conectividad de vínculos WAN en las interfaces de datos (por ejemplo apA.WAN, apB.WAN, apC.WAN, 0/2, 0/3, 0/5, etc.).
Nota
El diseño de la interfaz es diferente en cada modelo, así que consulte la documentación para identificar los datos y los puertos de administración.
Se requieren los siguientes requisitos previos antes de iniciar cualquier servicio Zero Touch Deployment:
-
Ejecución activa de SD-WAN promovida a Master Control Nodo (MCN).
-
Ejecutar activamente SD-WAN Center con conectividad al MCN a través de Ruta Virtual.
-
Credenciales de inicio de sesión de Citrix Cloud creadas en https://onboarding.cloud.com (consulte las instrucciones que aparecen a continuación sobre la creación de cuentas).
-
Conectividad de red de administración (SD-WAN Center y SD-WAN Appliance) a Internet en el puerto 443, ya sea directamente o a través de un servidor proxy.
-
(opcional) Al menos un dispositivo SD-WAN que se ejecuta activamente en una sucursal en modo cliente con conectividad de ruta virtual válida a MCN para ayudar a validar el establecimiento de rutas correctas en la red subyacente existente.
El último requisito previo no es un requisito, pero permite al administrador de SD-WAN validar que la red de calcos subyacentes permite establecer rutas virtuales cuando se completa la implementación Zero Touch con cualquier sitio recién agregado. Principalmente, esto valida que existen las directivas de firewall y ruta adecuadas para el tráfico NAT en consecuencia o para confirmar la capacidad del puerto UDP 4980 para penetrar correctamente en la red para llegar al MCN.
Descripción general del servicio de implementación Zero Touch:
El servicio Zero Touch Deployment Service funciona en conjunto con el SD-WAN Center para facilitar la implementación de los dispositivos SD-WAN de sucursales. SD-WAN Center se configura y utiliza como herramienta de administración central para los dispositivos SD-WAN Standard y Enterprise (Premium) Edition. Para utilizar Zero Touch Deployment Service (o servicio en la nube de implementación sin intervención), un administrador debe comenzar por implementar el primer dispositivo SD-WAN en el entorno y, a continuación, configurar e implementar el SD-WAN Center como punto central de administración. Cuando el SD-WAN Center, versión 9.1 o posterior, se instala con conectividad a Internet pública en el puerto 443, SD-WAN Center inicia automáticamente el servicio en la nube e instala los componentes necesarios para desbloquear las funciones de implementación Zero Touch y hacer que la opción Zero Touch Deployment esté disponible en el GUI de SD-WAN Center. Zero Touch Deployment no está disponible de forma predeterminada en el software SD-WAN Center. Se ha diseñado específicamente para garantizar que los componentes preliminares adecuados de la red subyacente estén presentes antes de permitir que un administrador inicie cualquier actividad in situ que implique la implementación sin intervención.
Después de un entorno SD-WAN en funcionamiento, el registro en Zero Touch Deployment Service se realiza mediante la creación de un inicio de sesión en la cuenta de Citrix Cloud. Con SD-WAN Center capaz de comunicarse con el servicio de implementación sin contacto, la GUI expone las opciones de implementación Zero Touch en la ficha Configuración. Al iniciar sesión en Zero Touch Service, se autentica el ID de cliente asociado con el entorno SD-WAN concreto y se registra SD-WAN Center, además de desbloquear la cuenta para una mayor autenticación de las implementaciones de dispositivos de implementación sin contacto.
Con la herramienta Configuración de red de SD-WAN Center, el administrador de SD-WAN deberá utilizar las plantillas o la capacidad de clonar sitio para crear la configuración de SD-WAN y agregar nuevos sitios. SD-WAN Center utiliza la nueva configuración para iniciar la implementación de la implementación sin contacto para los sitios recién agregados. Cuando el administrador de SD-WAN inicia un sitio para la implementación mediante el proceso de implementación sin intervención, tiene la opción de autenticar previamente el dispositivo que se utilizará para la implementación sin intervención, rellenando previamente el número de serie e iniciando la comunicación por correo electrónico con el instalador in situ para comenzar in situ actividad.
El instalador in situ recibe una comunicación por correo electrónico en la que se indica que el sitio está listo para la implementación de Zero Touch y que puede iniciar el procedimiento de instalación de encendido y cableado del dispositivo para la asignación de direcciones IP DHCP y el acceso a Internet en el puerto MGMT. Además, cableado en cualquier puerto LAN y WAN. Todo lo demás se inicia mediante el servicio de implementación sin intervención y el progreso se supervisa mediante la URL de activación. En caso de que el nodo remoto que se va a instalar sea una instancia en la nube, al abrir la URL de activación se inicia el flujo de trabajo para instalar automáticamente la instancia en el entorno de nube designado, ningún instalador local necesita ninguna acción.
Zero Touch Deployment Cloud Service automatiza las siguientes acciones:
Descargue y actualice el Agente de implementación sin contacto si hay nuevas funciones disponibles en el dispositivo de sucursal.
-
Autenticar el dispositivo de sucursal validando el número de serie.
-
Autenticar que el Administrador de SD-WAN aceptó el sitio para la implementación sin contacto mediante SD-WAN Center.
-
Extraiga el archivo de configuración específico para el dispositivo de destino del SD-WAN Center.
-
Inserte el archivo de configuración específico del dispositivo de destino en el dispositivo de sucursal.
-
Instale el archivo de configuración en el dispositivo de sucursal.
-
Inserte los componentes de software de SD-WAN que falten o las actualizaciones necesarias en el dispositivo de sucursal.
-
Inserte un archivo de licencia temporal de 10 Mbps para confirmar el establecimiento de la ruta virtual en el dispositivo de sucursal.
-
Habilite el servicio SD-WAN en el dispositivo de sucursal.
Se requieren más pasos del Administrador de SD-WAN para instalar un archivo de licencia permanente en el dispositivo.
Procedimiento de dispositivo de implementación cero táctil
En el siguiente procedimiento se detallan los pasos necesarios para implementar un nuevo sitio mediante el servicio de implementación Zero Touch. Tener un MCN en ejecución y un nodo cliente ya funcionando con una comunicación adecuada con SD-WAN Center y establecieron rutas virtuales que confirmen la conectividad a través de la red subyacente. Se requieren los siguientes pasos del Administrador de SD-WAN para iniciar la implementación de Zero Touch:
Cómo configurar el servicio de implementación Zero Touch
El SD-WAN Center tiene la funcionalidad de aceptar solicitudes de dispositivos recién conectados para unirse a la red SD-WAN Enterprise. La solicitud se reenvía a la interfaz web a través del servicio de implementación sin contacto. Una vez que el dispositivo se conecta al servicio, se descargan los paquetes de configuración y actualización de software.
flujo de trabajo de configuración:
-
Acceda a SD-WAN Center > Crear nueva configuración de sitio o Importe la configuración existente y guárdela.
-
Inicie sesión en Citrix Workspace para habilitar el servicio de implementación sin intervención. La opción de menú Implementación Zero Touch ahora se muestra en la interfaz de administración web de SD-WAN Center.
-
En SD-WAN Center, vaya a Configuración > Implementación sin intervención > Implementar nuevo sitio.
-
Seleccione un dispositivo, haga clic en Habilitary haga clic enImplementar.
-
El instalador recibe el correo electrónico de activación > Introduzca el número de serie > Activar > El dispositivo se ha implementado correctamente.
Para configurar el servicio Zero Touch Deployment:
-
Instale SD-WAN Center con capacidades de implementación cero táctil habilitadas:
-
Instale SD-WAN Center con la dirección IP asignada por DHCP.
-
Verifique que SD-WAN Center asigne una dirección IP de administración adecuada y una dirección DNS de red con conectividad a Internet pública a través de la red de administración.
-
Actualice el SD-WAN Center a la versión más reciente del software de SD-WAN.
-
Con una conectividad a Internet adecuada, el SD-WAN Center inicia el servicio en la nube de implementación sin intervención y descarga e instala automáticamente cualquier actualización de firmware específica para la implementación sin intervención; si este procedimiento de Call Home falla, la siguiente opción de implementación sin contacto no estará disponible en la GUI.
-
Lea los Términos y Condiciones y, a continuación, seleccione Reconozco que he leído y acepto los Términos y Condiciones anteriores.
-
Haga clic en el botón Iniciar sesión en Citrix Workspace Cloud si ya se ha creado una cuenta de Citrix Cloud.
-
Inicie sesión en la cuenta de Citrix Cloud y, tras recibir el siguiente mensaje de inicio de sesión correcto, NO CIERRE ESTA VENTANA, EL PROCESO REQUIERE UNOS 20 SEGUNDOS MÁS PARA QUE SE ACTUALICE LA INTERFAZ GRÁFICA DE USUARIO DE SD-WAN CENTER. La ventana debe cerrarse por sí sola cuando esté completa.
-
-
Para crear una cuenta de inicio de sesión en Cloud, siga el procedimiento siguiente: Abra un explorador web en https://onboarding.cloud.com
-
Haga clic en el enlace de Esperar, tengo una cuenta de Citrix.com.
-
Inicie sesión con una cuenta Citrix existente.
-
Una vez iniciado sesión en la página SD-WAN Center Zero Touch Deployment, es posible que observe que no hay sitios disponibles para la implementación sin contacto debido a las siguientes razones:
-
La configuración activa no se ha seleccionado en el menú desplegable Configuración
-
Todos los sitios de la configuración activa actual ya se han implementado
-
La configuración no se creó mediante SD-WAN Center, sino el Editor de configuración disponible en el MCN
-
Los sitios no se crearon en la configuración que hace referencia a dispositivos compatibles con cero contacto (por ejemplo, 410-SE, 2100-SE, Cloud VPX)
-
-
Actualice la configuración para agregar un nuevo sitio remoto con un dispositivo SD-WAN compatible con ZTD mediante SD-WAN Center Network Configuration.
Si la configuración de SD-WAN no se creó mediante la configuración de red de SD-WAN Center, importe la configuración activa desde el MCN y comience a modificar la configuración mediante SD-WAN Center. Para la capacidad de implementación de Zero Touch, el administrador de SD-WAN debe crear la configuración mediante SD-WAN Center. Se debe utilizar el siguiente procedimiento para agregar un nuevo sitio destinado a la implementación sin contacto.
-
Diseñe el nuevo sitio para la implementación del dispositivo SD-WAN describiendo primero los detalles del nuevo sitio (es decir, el modelo del dispositivo, el uso de grupos de interfaz, las direcciones IP virtuales, los enlaces WAN con ancho de banda y sus puertas de enlace respectivas).
Importante
Es posible que observe también en la lista cualquier nodo de sitio que tenga VPX seleccionado como modelo, pero actualmente el soporte de implementación sin contacto solo está disponible para la instancia de AWS VPX.
Nota
-
Asegúrese de utilizar un explorador web compatible con Citrix SD-WAN Center
-
Asegúrese de que el explorador web no bloquea ninguna ventana emergente durante el inicio de sesión de Citrix Workspace
Este es un ejemplo de implementación de un sitio de sucursal, el dispositivo SD-WAN se implementa físicamente en la ruta del enlace WAN MPLS existente a través de una red 172.16.30.0/24 y mediante un enlace de respaldo existente al habilitarlo en un estado activo y terminar ese segundo enlace WAN directamente en la SD-WAN dispositivo en una subred diferente 172.16.31.0/24.
Nota
Los dispositivos SD-WAN asignan automáticamente una dirección IP predeterminada 192.168.100.1/16. Si DHCP está habilitado de forma predeterminada, el servidor DHCP de la red puede proporcionar al dispositivo una segunda dirección IP en una subred que se superponga a la predeterminada. Esto puede provocar un problema de redirección en el dispositivo en el que el dispositivo podría no conectarse al servicio en la nube de implementación sin contacto. Configure el servidor DHCP para asignar direcciones IP fuera del rango 192.168.0.0/16.
Hay varios modos de implementación diferentes disponibles para la colocación de productos SD-WAN en una red. En el ejemplo anterior, SD-WAN se está implementando como una superposición sobre la infraestructura de red existente. Para los nuevos sitios, los administradores de SD-WAN pueden optar por implementar la SD-WAN en modo Edge o Gateway, lo que elimina la necesidad de un enrutador perimetral WAN y un firewall, y consolida las necesidades de red de la redirección perimetral y el firewall en la solución SD-WAN.
-
-
-
Abra la interfaz de administración web de SD-WAN Center y vaya a la página Configuración > Configuración de red.
-
Asegúrese de que ya existe una configuración en funcionamiento o importe la configuración desde el MCN.
-
Vaya a la ficha Avanzado para crear un sitio.
-
Abra el icono Sitios para mostrar los sitios configurados actualmente.
-
Construya rápidamente la configuración del nuevo sitio mediante la función de clonación de cualquier sitio existente.
-
Rellene todos los campos obligatorios de la topología diseñada para esta nueva sucursal
-
Después de clonar un sitio nuevo, navegue hasta la configuración básicadel sitio y verifique que el modelo de SD-WAN esté seleccionado correctamente, lo que admitiría el servicio de contacto cero.
El modelo SD-WAN del sitio se puede actualizar, pero tenga en cuenta que los grupos de interfaces pueden tener que redefinirse, ya que el dispositivo actualizado puede tener un diseño de interfaz nuevo que el que se utilizó para clonar.
-
Guarde la nueva configuración en SD-WAN Center y utilice la opción Exportar a la bandeja de entrada de Change Management para insertar la configuración mediante Change Management.
-
Siga el procedimiento de administración de cambios para preparar correctamente la nueva configuración, lo que hace que los dispositivos SD-WAN existentes conozcan el nuevo sitio que se va a implementar sin tocar, debe usar la opción “Ignorar incompleto” para omitir el intento de enviar la configuración al nuevo sitio que aún debe pasar el flujo de trabajo de implementación sin intervención.
-
Vuelva a la página SD-WAN Center Zero Touch Deployment y, con la nueva configuración activa en ejecución, el nuevo sitio estará disponible para su implementación.
-
En la página Zero Touch Deployment, en la ficha Implementar nuevo sitio, seleccione el archivo de configuración de red en ejecución
-
Después de seleccionar el archivo de configuración en ejecución, se mostrará la lista de todos los sitios de sucursales con dispositivos SD-WAN no implementados que son compatibles con cero toque.
-
Seleccione los sitios de sucursales que desee configurar para el servicio Zero Touch, haga clic en Habilitary, a continuación, haga clic en Implementar.
-
Aparece una ventana emergente Implementar nuevo sitio, en la que el administrador puede proporcionar el número de serie, la dirección de calle del sitio de la sucursal, la dirección de correo electrónico del instalador y más notas, si es necesario.
Nota
El campo de entrada Número de serie es opcional y, dependiendo de si se rellena o no, dará lugar a un cambio en la actividad in situ de la que es responsable el instalador.
>\- Si se rellena el campo Número de serie — No es necesario que el instalador introduzca el número de serie en la URL de activación generada con el comando del sitio de implementación > >\- Si el campo Número de serie se deja en negro — El instalador se encargará de introducir en el número de serie correcto del dispositivo en la URL de activación generada con el comando deploy site
-
Después de hacer clic en el botón Implementar, aparecerá un mensaje indicando que “La configuración del sitio se ha implementado.” Esta acción desencadena SD-WAN Center, que anteriormente se registró con el servicio en la nube de implementación sin contacto, para compartir la configuración de este sitio en particular para que se almacene la temporalidad en el servicio en la nube de implementación sin contacto.
-
Acceda a la ficha Activación pendiente para confirmar que la información del sitio de la sucursal se rellenó correctamente y se puso en un estado de actividad del instalador pendiente.
Nota
Opcionalmente, se puede elegir una implementación de cero toque en el estado Pendiente de activación para Eliminar o Modificar, si la información es incorrecta. Si se elimina un sitio de la página de activación pendiente, estará disponible para su implementación en la página de ficha Implementar nuevo sitio. Una vez que elija eliminar el sitio de la sucursal de Activación pendiente, el enlace de activación enviado al instalador se convierte en inválido.
Si el administrador de SD-WAN no ha rellenado el campo Número de serie, el campo Estado indica “Esperando al instalador” en lugar de “Conexión”. “
-
La siguiente serie de actividades la realiza el instalador in situ.
-
El instalador comprueba el buzón de correo para la dirección de correo electrónico que el administrador de SD-WAN utilizó al implementar el sitio.
-
Abra la URL de activación de implementación sin intervención en una ventana del explorador de Internet.
-
Si el administrador de SD-WAN no rellenó previamente el número de serie en el paso del sitio de implementación, el instalador será responsable de localizar el número de serie en el dispositivo físico e introducir el número de serie manualmente en la URL de activación y, a continuación, haga clic en el botón Activar.
-
Si el administrador rellenando previamente la información del número de serie, la URL de activación ya habrá progresado al siguiente paso.
-
El instalador debe estar físicamente in situ para realizar las siguientes acciones:
-
Cable todas las interfaces WAN y LAN para que coincidan con la topología y la configuración incorporadas en los pasos anteriores.
-
Conecte la interfaz de administración (MGMT, 0/1) en el segmento de la red que proporciona la dirección IP DHCP y la conectividad a Internet con DNS y FQDN a la resolución de direcciones IP.
-
Cable de alimentación del dispositivo SD-WAN.
-
Encienda el interruptor de encendido del dispositivo.
Nota
La mayoría de los dispositivos se encenderán automáticamente cuando el cable de alimentación esté conectado. Es posible que algunos dispositivos tengan que encenderse mediante el interruptor de encendido de la parte frontal del dispositivo, mientras que otros pueden tener el interruptor de encendido en la parte posterior del dispositivo. Algunos interruptores de encendido requieren mantener presionado el botón de encendido hasta que la unidad se encienda.
-
-
-
La siguiente serie de pasos se automatizan con la ayuda del servicio Zero Touch Deployment, pero requiere que estén disponibles los siguientes requisitos previos.
-
El dispositivo de sucursal debe estar encendido
-
DHCP debe estar disponible en la red existente para asignar la administración y la dirección IP DNS
-
Cualquier dirección IP asignada DHCP requiere conectividad a Internet con capacidad para resolver FQDN
-
La asignación de IP se puede configurar manualmente, siempre que se cumplan los demás requisitos previos
-
El dispositivo obtiene una dirección IP del servidor DHCP de la red. En esta topología de ejemplo, esto se logra mediante las interfaces de datos omitidas de un dispositivo de estado predeterminado de fábrica.
-
A medida que el dispositivo obtiene la administración web y las direcciones IP DNS del servidor DHCP de red de calco subyacente, el dispositivo inicia el servicio de implementación Zero Touch y descarga cualquier actualización de software relacionada con la implementación sin contacto.
-
Con una conectividad correcta con el servicio en la nube de implementación sin contacto, el proceso de implementación realiza automáticamente lo siguiente:
-
Descargue el archivo de configuración almacenado anteriormente por el Centro de SD-WAN
-
Aplicación de la configuración al dispositivo local
-
Descargar e instalar un archivo de licencia temporal de 10 MB
-
Descargue e instale las actualizaciones de software si es necesario
-
Activar el servicio SD-WAN
-
-
Se puede realizar una confirmación adicional en la interfaz de administración web de SD-WAN Center; en el menú Implementación táctil se muestran los dispositivos activados correctamente en la ficha Historial de activación.
-
Es posible que las rutas virtuales no se muestren inmediatamente en un estado conectado porque es posible que el MCN no confíe en la configuración transmitida desde el Cloud Service de implementación sin intervención e informa de que la versión de configuración no coincide en el panel de control de MCN.
-
La configuración se vuelve a entregar al dispositivo de sucursal recién instalado y el estado se supervisa en la página MCN > Configuración > WAN virtual > Administración de cambios (este proceso puede tardar varios minutos en completarse).
-
El Administrador de SD-WAN puede supervisar la página de administración web de MCN de cabecera para las rutas virtuales establecidas del sitio remoto.
-
SD-WAN Center también se puede utilizar para identificar la dirección IP asignada por DHCP del dispositivo in situ en la página Configuración > Detección de redes > Inventario y estado.
-
En este punto, el administrador de red de SD-WAN puede obtener acceso a la administración web del dispositivo in situ mediante la red superpuesta SD-WAN.
-
El acceso de administración web al dispositivo de sitio remoto indica que el dispositivo se ha instalado con una licencia Grace temporal a 10 Mbps, lo que permite que el estado del servicio de ruta virtual se informe como activo.
-
La configuración del dispositivo se puede validar mediante la página Configuración > WAN virtual > Ver configuración.
-
El archivo de licencia del dispositivo se puede actualizar a una licencia permanente mediante la página Configuración > Configuración del dispositivo > Licencias.
-
-
Después de cargar e instalar el archivo de licencia permanente, el banner de advertencia de licencia de Grace desaparece y durante el proceso de instalación de la licencia no se producirá pérdida de conectividad con el sitio remoto (cero pings se eliminan).