Administración de copias de seguridad y en banda
Administración en banda
Citrix SD-WAN le permite administrar el dispositivo SD-WAN de dos maneras: administración fuera de banda y administración dentro de banda. La administración fuera de banda le permite crear una dirección IP de administración mediante un puerto reservado para la administración, que solo transporta tráfico de administración. La administración en banda le permite utilizar los puertos de datos SD-WAN para la administración. Lleva tanto tráfico de datos como de administración, sin tener que configurar una ruta de administración de adiciones.
La administración en banda permite que las direcciones IP virtuales se conecten a servicios de administración como la interfaz de usuario web y SSH. Puede habilitar la administración en banda en varias interfaces de confianza habilitadas para su uso en servicios IP. Puede acceder a la interfaz de usuario web y SSH mediante la IP de administración y las IP virtuales en banda.
A partir de la versión 11.4.2 de Citrix SD-WAN, es obligatorio configurar la administración en banda en el dispositivo SD-WAN para establecer la conectividad con el servicio Citrix SD-WAN Orchestrator a través de un puerto de administración en banda. De lo contrario, el dispositivo pierde la conectividad con el servicio Citrix SD-WAN Orchestrator cuando el puerto de administración no está conectado y la dirección IP en banda tampoco está configurada.
Nota
- Citrix SD-WAN Center no admite conectividad con el dispositivo de alta disponibilidad a través de la administración en banda.
- Puede configurar el tipo de servicio como Cualquiera solo mediante el Editor de configuración de MCN. El servicio Citrix SD-WAN Orchestrator no permite configurar el tipo de servicio como Cualquiera para las directivas NAT de destino.
- Evite inhabilitar el servicio cuando la única conectividad de administración es alta disponibilidad en banda. Puede bloquearse del dispositivo si inhabilita el servicio.
Para habilitar la administración en banda en una IP virtual:
- En el editor de configuración, vaya a Sitios > Direcciones IP virtuales.
-
Seleccione Administración en banda para las IP virtuales para las que desea habilitar la administración en banda.
Nota:
Asegúrese de que el tipo de seguridad de la interfaz es De confianza y que Identidad esté habilitada.
- Haga clic en Aplicar
Para obtener información detallada sobre el procedimiento de configuración de la dirección IP virtual, consulte Cómo configurar la IP virtual.
A partir de la versión 11.3.1 de Citrix SD-WAN, la administración en banda admite pares de dispositivos de alta disponibilidad. La comunicación entre los dispositivos primarios y secundarios se realiza a través de las interfaces virtuales que utilizan NAT.
Los siguientes puertos permiten la comunicación con los servicios de administración en los dispositivos de alta disponibilidad:
- HTTPS
- 443 - Se conecta a la HA activa
- 444 - Redirige al primario de alta disponibilidad
- 445 - Redirige a la secundaria de HA
- SSH
- 22 - Se conecta a la HA activa
- 23 - Redirige al primario de alta disponibilidad
- 24 - Redirige a la secundaria de alta disponibilidad
- SNMP
- 161 - Se conecta a la HA activa
- 162 - Redirige al primario de HA
- 163 - Redirige a la secundaria de HA
Utilice directivas NAT de destino para crear direcciones IP que permitan la conectividad a HA en banda sin necesidad de introducir un puerto.
Por ejemplo, se utilizan las siguientes direcciones IP en banda para acceder a los dispositivos:
- Dispositivo activo - 1.0.1.2
- Dispositivo primario - 1.0.1.10
- Dispositivo secundario - 1.0.1.11
Cree dos nuevas direcciones IP virtuales que estén en la misma red que la de la dirección IP virtual de administración en banda. En este ejemplo, 1.0.1.2/24 es las direcciones IP virtuales de administración en banda y 1.0.1.2/24 se selecciona como la red de copia de seguridad. 1.0.1.10 y 1.0.1.11 son las nuevas direcciones IP virtuales que se crean. 1.0.1.10 se utiliza para acceder al dispositivo principal y 1.0.1.11 para acceder al dispositivo secundario.
Crear directivas NAT de destino. Las seis directivas DNAT redirigen los puertos base para los servicios al puerto de alta disponibilidad en banda apropiado. Después de aplicar la configuración, puede acceder a los dispositivos primarios y secundarios directamente con las direcciones IP internas.
Supervisión de la administración en banda
En el ejemplo anterior, hemos habilitado la administración en banda en la IP virtual 172.170.10.78. Puede utilizar esta IP para acceder a la interfaz de usuario web y a SSH.
En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver SSH y la interfaz de usuario web a la que se accede mediante la IP virtual en el puerto 22 y 443, respectivamente, en la columna Dirección IP de destino.
Nota
La administración en banda no es compatible con los siguientes dispositivos SD-WAN:
- Citrix SD-WAN 1000 SE/PE unidad de red
- Citrix SD-WAN 2000 SE / PE
- Citrix SD-WAN 4000 SE
Aprovisionamiento en banda
La necesidad de implementar dispositivos SD-WAN en entornos más sencillos como el hogar o las sucursales pequeñas ha aumentado significativamente. Configurar un acceso de administración independiente para implementaciones más sencillas es una sobrecarga adicional. La implementación sin táctiles junto con la función de administración en banda permite el aprovisionamiento y la administración de la configuración a través de puertos de datos designados. La implementación sin táctiles ahora se admite en los puertos de datos designados y no es necesario utilizar un puerto de administración independiente para la implementación sin contacto. Citrix SD-WAN también permite conmutar por error el tráfico de administración sin problemas al puerto de administración cuando el puerto de datos se desactiva y viceversa.
Un dispositivo en estado enviado de fábrica, que admite el Provisioning en banda, se puede aprovisionar simplemente conectando el puerto de datos o de administración a Internet. Los dispositivos que admiten el Provisioning en banda tienen puertos específicos para LAN y WAN. El dispositivo en estado de restablecimiento de fábrica tiene una configuración predeterminada que permite establecer una conexión con el servicio de implementación sin contacto. El puerto LAN actúa como servidor DHCP y asigna una IP dinámica al puerto WAN que actúa como cliente DHCP. Los enlaces WAN supervisan el servicio DNS Quad 9 para determinar la conectividad WAN.
Nota
El Provisioning en banda solo se aplica a las plataformas SD-WAN 110 SE y SD-WAN VPX.
Una vez que se obtiene la dirección IP y se establece una conexión con el servicio de implementación sin contacto, los paquetes de configuración se descargan e instalan en el dispositivo. Para obtener información sobre la implementación sin intervención a través de SD-WAN Center, consulte Implementación sin intervención. Para obtener información sobre la implementación sin intervención a través de SD-WAN Orchestrator, consulte Implementación sin intervención.
Nota: Para el aprovisionamiento por día 0 de dispositivos SD-WAN a través de los puertos de datos, la versión del software del dispositivo debe ser SD-WAN 11.1.0 o superior.
La configuración predeterminada de un dispositivo en estado de restablecimiento de fábrica incluye las siguientes configuraciones:
- Servidor DHCP en puerto LAN
- Cliente DHCP en el puerto WAN
- Configuración de QUAD9 para DNS
- La IP predeterminada de LAN es 192.168.0.1
- Licencia Grace de 35 días.
Una vez aprovisionado el dispositivo, la configuración predeterminada se inhabilita y se reemplaza por la configuración recibida del servicio de implementación sin contacto. Si caduca una licencia de dispositivo o una licencia de gracia, se activa la configuración predeterminada para garantizar que el dispositivo permanezca conectado al servicio de implementación sin contacto y reciba licencias administradas mediante la implementación sin intervención.
Configuración predeterminada/reserva
La configuración de reserva garantiza que el dispositivo permanezca conectado al servicio de implementación sin contacto si hay un error de enlace, una discrepancia de configuración o una discrepancia de software. La configuración de reserva está habilitada de forma predeterminada en los dispositivos que tienen un perfil de configuración predeterminado. También puede modificar la configuración de reserva según la configuración de red LAN existente.
Nota: Después del aprovisionamiento inicial del dispositivo, asegúrese de que la configuración de reserva esté habilitada para la conectividad del servicio de implementación sin contacto.
Si la configuración de retroceso está desactivada, puede activarla navegando a Configuración > Configuración del dispositivo** > Configuración**predeterminada/reserva > Haga clic en Habilitar.
La siguiente tabla proporciona los detalles de los puertos WAN y LAN designados previamente para la configuración de reserva en diferentes plataformas:
Platform | Puertos WAN | Puertos LAN |
---|---|---|
110 | 1/2 | 1/1 |
110-LTE | 1/2, LTE-1 | 1/1 |
210 | 1/4, 1/5 | 1/3 |
210-LTE | 1/4, 1/5, LTE-1 | 1/3 |
VPX | 2 | 1 |
410 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
1100 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
Desde la versión 11.3.1 de Citrix SD-WAN, la configuración del puerto WAN se puede configurar. Los puertos WAN se pueden configurar como vínculos WAN independientes mediante el cliente DHCP y supervisar el servicio DNS Quad9 para determinar la conectividad WAN. Puede configurar IP/IP estáticas WAN para los puertos WAN en ausencia de DHCP para utilizar la administración en banda para el aprovisionamiento inicial.
Nota
Solo puede configurar los puertos Ethernet con las IP estáticas. Las IP estáticas no se pueden configurar con los puertos LTE-1 y LTE-E1. Aunque puede agregar los puertos LTE-1 y LTE-E1 como WAN, los campos de configuración permanecen no modificables.
Cuando se agrega un puerto WAN, se agrega en la sección Configuración de WAN (Puerto: 2) con la casilla de verificación Modo DHCP activada de forma predeterminada. Si la casilla de verificación Modo DHCP está activada, los campos de texto Dirección IP, Dirección IP de puerta de enlace y ID de VLAN aparecen atenuados. Desmarque la casilla Modo DHCP, si desea configurar la IP estática.
De forma predeterminada, el campo Dirección IP de seguimiento de WAN se rellena automáticamente con la 9.9.9.9. Puede cambiar la dirección según sea necesario.
Nota
Si está activando la casilla Servidores DNS dinámicos, asegúrese de agregar/configurar al menos un puerto WAN con el modo DHCP seleccionado.
Para personalizar la configuración de reserva según la red LAN:
- Vaya a Configuración > Configuración > Configuración del dispositivo > Configuración predeterminada/reserva.
-
Modifique los valores de la siguiente configuración de LAN según sus requisitos de red. Esta es la configuración mínima necesaria para establecer una conexión con el servicio de implementación sin contacto.
- ID de VLAN: ID de VLAN en el que se debe agrupar el puerto LAN.
- Dirección IP: la dirección IP virtual asignada al puerto LAN.
- DHCP habilitado: habilita el puerto LAN como servidor DHCP. El servidor DHCP asigna direcciones IP dinámicas a los clientes en el puerto LAN.
- Inicio DHCP y fin DHCP: Intervalo de direcciones IP que DHCP utiliza para asignar dinámicamente una IP a los clientes en el puerto LAN.
- Servidor DNS: la dirección IP del servidor DNS principal.
- Servidor DNS Alt: la dirección IP del servidor DNS secundario.
- Acceso a Internet: Permita el acceso a Internet a todos los clientes LAN sin ningún otro filtrado.
- Configure el modo para cada puerto. El puerto puede ser un puerto LAN o un puerto WAN o puede inhabilitarse. Los puertos mostrados dependen del modelo del dispositivo. Además, configure el modo de derivación de puerto en Fail-to-Block o Fail-to-Wire.
Para restablecer la configuración de reserva a la configuración predeterminada en cualquier momento, haga clic en Restablecer.
Nota
La configuración alternativa no es compatible con los siguientes dispositivos SD-WAN:
- Citrix SD-WAN 1000 SE/PE unidad de red
- Citrix SD-WAN 2000 SE / PE
- Citrix SD-WAN 4000 SE
Administración configurable o puerto de datos
La administración en banda permite que los puertos de datos transporten tanto tráfico de datos como de administración, eliminando la necesidad de un puerto de administración dedicado. Esto deja el puerto de administración sin usar en los dispositivos de gama baja, que ya tienen baja densidad de puertos. Citrix SD-WAN permite configurar el puerto de administración para que funcione como puerto de datos o como puerto de administración.
Nota
Puede convertir el puerto de administración en puerto de datos solo en las siguientes plataformas:
- Citrix SD-WAN 110 SE/LTE
- Citrix SD-WAN 210 SE/LTE
En el editor de configuración, utilice el puerto de administración en su configuración. Después de activar la configuración, el puerto de administración se convierte en un puerto de datos.
Nota
Solo puede configurar un puerto de administración cuando la administración en banda está habilitada en otras interfaces de confianza del dispositivo.
Para configurar una interfaz de administración, en el editor de configuración vaya a Sitios, seleccione un sitio y haga clic en Grupos de interfaz. La interfaz MGMT está disponible para ser configurada. Para obtener más información sobre la configuración de grupos de interfaces, consulte Cómo configurar grupos de interfaces.
Para volver a configurar el puerto de administración para realizar la funcionalidad de administración, quite la configuración. Cree una configuración sin utilizar el puerto de administración y actívelo.
Red de administración de backup
Puede configurar una dirección IP virtual como una red de administración de respaldo. Se utiliza como dirección IP de administración si el puerto de administración no está configurado con una Gateway predeterminada.
Nota
Si un sitio tiene un servicio de Internet configurado con un único dominio de redirección, se selecciona una interfaz de confianza con identidad habilitada como red de administración de copias de seguridad de forma predeterminada.
Para seleccionar una IP virtual como red de administración de copias de seguridad:
-
En el editor de configuración, vaya a Sitios > Direcciones IP virtuales.
-
Seleccione una dirección IP virtual como red de administración de copias de seguridad.
-
Seleccione el proxy DNS al que se reenvían todas las solicitudes DNS en el plano de administración de copias de seguridad y en banda.
Nota
El proxy DNS solo se puede seleccionar cuando tanto Administración en banda como Red de administración de copia de seguridad están habilitadas para una IP virtual.
-
Haga clic en Aplicar.
Para obtener información detallada sobre cómo configurar la dirección IP virtual, consulte Cómo configurar la dirección IP virtual
Supervisión de la administración de copias de seguridad
En el ejemplo anterior, hemos seleccionado 172.170.10.78 IP virtual como red de administración de backup. Si la dirección IP de administración no está configurada con una puerta de enlace predeterminada, puede usar esta IP para acceder a la IU web y a SSH.
En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver esta dirección IP virtual como la dirección IP de origen para el acceso SSH y la interfaz de usuario web.