零接触部署
注意
零接触部署服务仅在部分 Citrix SD-WAN™ 设备上受支持:
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 Standard Edition
- SD-WAN 1000 Standard Edition(需要重新映像)
- SD-WAN 1000 Enterprise Edition (Premium Edition)(需要重新映像)
- SD-WAN 1100 Standard Edition
- SD-WAN 1100 Premium (Enterprise) Edition
- SD-WAN 2000 Standard Edition(需要重新映像)
- SD-WAN 2000 Enterprise Edition (Premium Edition)(需要重新映像)
- SD-WAN AWS VPX 实例
零接触部署 (ZTD) 服务是 Citrix® 运营和管理的云服务,它允许在 Citrix SD-WAN 网络中发现新设备,并自动执行分支机构的部署过程。ZTD 云服务可通过互联网和安全套接字层 (SSL) 协议从网络中的任何节点访问。
ZTD 云服务与后端 Citrix Network 服务安全通信,这些服务存储了购买了支持零接触的设备(例如 SD-WAN 410-SE、2100-SE)的客户的身份信息。后端服务用于验证任何零接触部署请求,正确验证客户帐户与 Citrix SD-WAN 设备的序列号之间的关联。
ZTD 高级架构和工作流程
数据中心站点
Citrix SD-WAN 管理员 – 具有 SD-WAN 环境管理权限的用户,其主要职责如下:
- 使用 Citrix SD-WAN Center 网络配置工具创建配置,或从主控制节点 (MCN) SD-WAN 设备导入配置。
- 登录 Citrix Cloud™ 以启动零接触部署服务,用于新站点节点部署。
注意
如果您的 SD-WAN Center 通过代理服务器连接到互联网,则必须在 SD-WAN Center 上配置代理服务器设置。有关详细信息,请参阅零接触部署的代理服务器设置。
网络管理员 – 负责企业网络管理(DHCP、DNS、互联网、防火墙等)的用户。
- 如有必要,请配置防火墙以允许 SD-WAN Center 出站通信到 FQDN sdwanzt.citrixnetworkapi.net。
远程站点
现场安装人员 – 负责现场活动的本地联系人或受雇安装人员,其主要职责如下:
- 物理拆开 Citrix SD-WAN 设备包装。
-
重新映像非 ZTD 就绪设备。
- 适用于:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
- 不适用于:SD-WAN 410-SE、2100-SE
- 连接设备的电源线。
- 为设备的管理接口(例如 MGMT 或 0/1)连接互联网电缆。
- 为设备的数据接口(例如 apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5 等)连接 WAN 链路电缆。
注意
每个型号的接口布局都不同,因此请参考文档以识别数据端口和管理端口。
在启动任何零接触部署服务之前,需要满足以下先决条件:
- 正在运行的 SD-WAN 已提升为主控制节点 (MCN)。
- 正在运行的 SD-WAN Center,通过虚拟路径连接到 MCN。
- 在 https://onboarding.cloud.com 上创建的 Citrix Cloud 登录凭据(请参阅下面的帐户创建说明)。
- 管理网络连接(SD-WAN Center 和 SD-WAN 设备)到互联网的 443 端口,可以直接连接或通过代理服务器连接。
- 互联网连接到 443 端口,以访问 SD-WAN Center Web 门户进行 ZTD 初始设置。
- (可选)至少一个正在运行的 SD-WAN 设备,以客户端模式在分支机构运行,并具有到 MCN 的有效虚拟路径连接,以帮助验证现有底层网络上的路径建立是否成功。
最后一个先决条件并非强制要求,但它允许 SD-WAN 管理员验证在零接触部署完成并添加任何新站点后,底层网络是否允许建立虚拟路径。这主要验证了是否已配置适当的防火墙和路由策略,以相应地进行 NAT 流量转换,或确认 UDP 端口 4980 能够成功穿透网络以到达 MCN。
零接触部署服务概述
零接触部署服务与 SD-WAN Center 协同工作,以简化分支机构 SD-WAN 设备的部署。SD-WAN Center 被配置并用作 SD-WAN Standard 和 Enterprise (Premium) Edition 设备的中央管理工具。要使用零接触部署服务(或 ZTD 云服务),管理员必须首先在环境中部署第一个 SD-WAN 设备,然后配置并部署 SD-WAN Center 作为中央管理点。当安装了 SD-WAN Center 9.1 或更高版本,并连接到公共互联网的 443 端口时,SD-WAN Center 会自动启动云服务并安装必要的组件,以解锁零接触部署功能,并在 SD-WAN Center 的 GUI 中提供零接触部署选项。零接触部署在 SD-WAN Center 软件中默认不可用。这是特意设计的,旨在确保在允许管理员启动任何涉及零接触部署的现场活动之前,底层网络上存在适当的初步组件。
在 SD-WAN 环境正常运行后,通过创建 Citrix Cloud 帐户登录即可完成零接触部署服务的注册。当 SD-WAN Center 能够与 ZTD 服务通信时,GUI 会在“配置”选项卡下显示零接触部署选项。登录零接触服务会验证与特定 SD-WAN 环境关联的客户 ID 并注册 SD-WAN Center,此外还会解锁帐户以进行 ZTD 设备部署的进一步身份验证。
SD-WAN 管理员需要使用 SD-WAN Center 中的网络配置工具,利用模板或克隆站点功能来构建 SD-WAN 配置以添加新站点。SD-WAN Center 使用新配置来启动新添加站点的 ZTD 部署。当 SD-WAN 管理员使用 ZTD 流程启动站点部署时,他或她可以选择通过预填充序列号来预先验证用于 ZTD 的设备,并向现场安装人员发起电子邮件通信以开始现场活动。
现场安装人员收到电子邮件通知,告知站点已准备好进行零接触部署,可以开始安装过程,包括为 DHCP IP 地址分配和 MGMT 端口上的互联网访问对设备进行加电和布线。此外,还要连接所有 LAN 和 WAN 端口。其他所有操作均由 ZTD 服务启动,并通过激活 URL 监控进度。如果待安装的远程节点是云实例,则打开激活 URL 会启动工作流程,自动在指定的云环境中安装该实例,无需本地安装人员执行任何操作。
零接触部署云服务会自动执行以下操作:
- 如果分支设备上提供新功能,则下载并更新 ZTD 代理。
- 通过验证序列号来验证分支设备。
- 验证 SD-WAN 管理员是否已使用 SD-WAN Center 接受该站点进行 ZTD。
- 从 SD-WAN Center 拉取目标设备特定的配置文件。
- 将目标设备特定的配置文件推送到分支设备。
- 在分支设备上安装配置文件。
- 将任何缺失的 SD-WAN 软件组件或所需更新推送到分支设备。
- 将临时 10 Mbps 许可证文件推送到分支设备,以确认虚拟路径建立。
- 在分支设备上启用 SD-WAN 服务。
SD-WAN 管理员还需要执行更多步骤才能在设备上安装永久许可证文件。
零接触部署服务过程
以下过程详细说明了使用零接触部署服务部署新站点所需的步骤。确保 MCN 和一个客户端节点已正常运行,并与 SD-WAN Center 正常通信,同时已建立虚拟路径以确认底层网络的连接。SD-WAN 管理员需要执行以下步骤来启动零接触部署:
如何配置零接触部署服务
SD-WAN Center 具有接受来自新连接设备的请求以加入 SD-WAN Enterprise 网络的功能。该请求通过零接触部署服务转发到 Web 界面。设备连接到服务后,将下载配置和软件升级包。
配置工作流程
- 访问 SD-WAN Center > 创建新站点配置 或导入现有配置并保存。
- 登录 Citrix Workspace™ Cloud 以启用 ZTD 服务。零接触部署 菜单选项现在显示在 SD-WAN Center Web 管理界面中。
- 在 SD-WAN Center 中,导航到 配置 > 零接触部署 > 部署新站点。
- 选择一个设备,单击 启用,然后单击 部署。
- 安装人员收到激活电子邮件 > 输入序列号 > 激活 > 设备部署成功。
要配置零接触部署服务:
- 安装已启用零接触部署功能的 SD-WAN Center。
- 安装具有 DHCP 分配 IP 地址的 SD-WAN Center。
- 验证 SD-WAN Center 是否已分配正确的管理 IP 地址和网络 DNS 地址,并具有通过管理网络连接到公共互联网的功能。
-
将 SD-WAN Center 升级到最新的 SD-WAN 软件发布版本。
-
在具有适当互联网连接的情况下,SD-WAN Center 会启动零接触部署 (ZTD) 云服务,并自动下载和安装任何特定于 ZTD 的固件更新;如果此回拨过程失败,则 GUI 中将不提供零接触部署选项。
-
阅读条款和条件,然后选择“我确认我已阅读并同意上述条款和条件。”
-
如果已创建 Citrix Cloud 帐户,请单击“登录 Citrix Workspace Cloud”按钮。
-
登录 Citrix Cloud 帐户,并在收到以下成功登录消息后,请勿关闭此窗口,该过程需要大约 20 秒才能刷新 SD-WAN Center GUI。 窗口应在完成后自行关闭。
-
要创建云登录帐户,请按照以下步骤操作:
-
打开 Web 浏览器并访问 https://onboarding.cloud.com
-
单击“等等,我有一个 Citrix.com 帐户”链接。
-
-
使用现有 Citrix 帐户登录。
-
登录 SD-WAN Center 零接触部署页面后,您可能会注意到没有可用于 ZTD 部署的站点,原因如下:
- 尚未从“配置”下拉菜单中选择活动配置
- 当前活动配置的所有站点均已部署
- 配置不是使用 SD-WAN Center 构建的,而是使用 MCN 上提供的配置编辑器构建的
- 配置中未构建引用支持零接触的设备(例如 410-SE、2100-SE、Cloud VPX)
-
使用 SD-WAN Center 网络配置更新配置,以添加具有 ZTD 功能的 SD-WAN 设备 的新远程站点。
如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,请从 MCN 导入活动配置,然后使用 SD-WAN Center 开始修改配置。对于零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。应使用以下过程添加目标为零接触部署的新站点。
首先概述新站点的详细信息(即设备型号、接口组使用情况、虚拟 IP 地址、具有带宽的 WAN 链路及其各自的网关),从而设计用于 SD-WAN 设备部署的新站点。
重要
您可能会注意到任何将 VPX 选为型号的站点节点也已列出,但目前 ZTD 支持仅适用于 AWS VPX 实例。 注意
- 确保您正在使用受支持的 Web 浏览器访问 Citrix SD-WAN Center
- 确保 Web 浏览器在 Citrix Workspace 登录期间未阻止任何弹出窗口
这是一个分支机构站点的部署示例,SD-WAN 设备物理部署在现有 MPLS WAN 链路的路径中,跨越 172.16.30.0/24 网络,并通过将其启用为活动状态并将第二个 WAN 链路直接终止到不同子网 172.16.31.0/24 上的 SD-WAN 设备来使用现有备份链路。
注意
SD-WAN 设备会自动分配默认 IP 地址 192.168.100.1/16。默认情况下启用 DHCP 后,网络中的 DHCP 服务器可能会为设备提供一个与默认 IP 地址重叠的子网中的第二个 IP 地址。这可能会导致设备上出现路由问题,从而导致设备无法连接到 ZTD 云服务。请将 DHCP 服务器配置为分配 192.168.0.0/16 范围之外的 IP 地址。
SD-WAN 产品在网络中部署有多种不同的部署模式。在上述示例中,SD-WAN 作为现有网络基础设施之上的覆盖层进行部署。对于新站点,SD-WAN 管理员可以选择以边缘或网关模式部署 SD-WAN,从而消除对 WAN 边缘路由器和防火墙的需求,并将边缘路由和防火墙的网络需求整合到 SD-WAN 解决方案中。
-
打开 SD-WAN Center Web 管理界面,然后导航到 配置 > 网络配置 页面。
-
确保已存在可用的配置,或从 MCN 导入配置。
-
导航到“高级”选项卡以创建站点。
-
打开“站点”磁贴以显示当前配置的站点。
-
通过利用任何现有站点的克隆功能,快速构建新站点的配置。
-
根据为此新分支站点设计的拓扑填充所有必填字段
-
克隆新站点后,导航到站点的“基本设置”,并验证是否正确选择了支持零接触服务的 SD-WAN 型号。
-
可以更新站点的 SD-WAN 型号,但请注意,由于更新后的设备可能具有与用于克隆的设备不同的接口布局,因此可能需要重新定义接口组。
-
在 SD-WAN Center 上保存新配置,并使用导出到“更改管理收件箱”选项通过更改管理推送配置。
-
按照更改管理过程正确暂存新配置,这会使现有 SD-WAN 设备了解要通过零接触部署的新站点,您需要使用“忽略不完整”选项来跳过尝试将配置推送到仍需要通过 ZTD 工作流程的新站点。
-
导航回 SD-WAN Center 零接触部署页面,在新活动配置运行后,新站点即可用于部署。
-
在零接触部署页面中,在“部署新站点”选项卡下,选择正在运行的网络配置文件
-
选择运行中的配置文件后,将显示所有支持零接触的、未部署 SD-WAN 设备的分支站点列表
-
选择要配置零接触服务的分支站点,单击 启用,然后单击 部署。
-
将出现一个“部署新站点”弹出窗口,管理员可以在其中提供序列号、分支站点街道地址、安装人员电子邮件地址以及更多备注(如有必要)。
注意
- “序列号”输入字段是可选的,根据是否填充该字段,安装人员负责的现场活动会有所不同。
- 如果填充了“序列号”字段 – 安装人员无需将序列号输入到使用部署站点命令生成的激活 URL 中
- 如果“序列号”字段留空 – 安装人员负责将设备的正确序列号输入到使用部署站点命令生成的激活 URL 中
-
单击“部署”按钮后,将出现一条消息,指示“站点配置已部署。”
-
此操作会触发 SD-WAN Center(之前已在 ZTD 云服务中注册)共享此特定站点的配置,以临时存储在 ZTD 云服务中。
-
导航到“待激活”选项卡,确认分支站点信息已成功填充并处于待安装人员活动状态。
注意
如果信息不正确,处于“待激活”状态的零接触部署可以选择删除或修改。如果从待激活页面删除站点,则该站点将在“部署新站点”选项卡页面中变为可部署状态。一旦您选择从待激活中删除分支站点,发送给安装人员的激活链接将变为无效。
如果 SD-WAN 管理员未填充“序列号”字段,则状态字段将显示“等待安装人员”而不是“正在连接”。
-
-
下一系列活动由现场安装人员执行。
-
安装人员验证 SD-WAN 管理员在部署站点时使用的电子邮件地址的邮箱。
-
在互联网浏览器窗口中打开零接触部署激活 URL。
-
如果 SD-WAN 管理员未在部署站点步骤中预填充序列号,则安装人员将负责在物理设备上找到序列号并手动将其输入到激活 URL 中,然后单击“激活”按钮。
-
如果管理员预填充了序列号信息,则激活 URL 已进入下一步。
-
安装人员必须在现场执行以下操作:
- 连接所有 WAN 和 LAN 接口,以匹配前面步骤中构建的拓扑和配置。
- 在提供 DHCP IP 地址以及通过 DNS 和 FQDN 到 IP 地址解析连接到互联网的网络段中连接管理接口(MGMT,0/1)。
- 连接 SD-WAN 设备的电源线。
- 打开设备的电源开关。
注意
大多数设备在连接电源线后会自动开机。有些设备可能需要使用设备正面的电源开关开机,而另一些设备可能在设备背面有电源开关。有些电源开关需要按住电源按钮直到设备启动。
-
-
下一系列步骤在零接触部署服务的帮助下自动执行,但需要满足以下先决条件。
- 分支设备应已加电
- 现有网络中必须有 DHCP 可用,以分配管理和 DNS IP 地址
- 任何 DHCP 分配的 IP 地址都需要连接到互联网,并能够解析 FQDN
- 只要满足其他先决条件,IP 分配可以手动配置
-
设备从网络 DHCP 服务器获取 IP 地址,在此示例拓扑中,这是通过出厂默认状态设备的旁路数据接口实现的。
-
当设备从底层网络 DHCP 服务器获取 Web 管理和 DNS IP 地址时,设备会启动零接触部署服务并下载任何与 ZTD 相关的软件更新。
-
成功连接到 ZTD 云服务后,部署过程会自动执行以下操作:
- 下载 SD-WAN Center 之前存储的配置文件
- 将配置应用到本地设备
- 下载并安装临时 10 MB 许可证文件
- 下载并安装任何所需的软件更新
- 激活 SD-WAN 服务
-
可以在 SD-WAN Center Web 管理界面中进行进一步确认,“零接触部署”菜单在“激活历史记录”选项卡中显示成功激活的设备。
-
虚拟路径可能不会立即显示为已连接状态,因为 MCN 可能不信任从 ZTD 云服务下发的配置,并在 MCN 仪表板中报告“配置版本不匹配”。
-
配置会重新交付给新安装的分支机构设备,并在 MCN > 配置 > 虚拟 WAN > 更改管理 页面上监控状态(此过程可能需要几分钟才能完成)。
-
SD-WAN 管理员可以在前端 MCN Web 管理页面上监控远程站点已建立的虚拟路径。
-
SD-WAN Center 还可以用于从“配置”>“网络发现”>“清单和状态”页面识别现场设备的 DHCP 分配 IP 地址。
-
此时,SD-WAN 网络管理员可以利用 SD-WAN 覆盖网络获得对现场设备的 Web 管理访问权限。
-
对远程站点设备的 Web 管理访问表明该设备已安装了 10 Mbps 的临时宽限期许可证,这使得虚拟路径服务状态能够报告为活动状态。
-
可以使用“配置”>“虚拟 WAN”>“查看配置”页面验证设备配置。
-
可以使用“配置”>“设备设置”>“许可”页面将设备许可证文件更新为永久许可证。
-
上传并安装永久许可证文件后,宽限期许可证警告横幅将消失,并且在许可证安装过程中不会丢失与远程站点的连接(不会丢弃任何 ping)。