零接触部署
注意
仅在选择 Citrix SD-WAN 设备时支持零接触部署服务:
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 Standard Edition
- SD-WAN 1000 Standard Edition(需要重新创建映像)
- SD-WAN 1000 Enterprise Edition(Premium Edition)(需要重新创建映像)
- SD-WAN 1100 标准版
- SD-WAN 1100 Premium (Enterprise) Edition
- SD-WAN 2000 Standard Edition(需要重新创建映像)
- SD-WAN 2000 Enterprise Edition(Premium Edition) (需要重新创建映像) - SD-WAN AWS VPX 实例
零接触部署 (ZTD) 服务是一种 Citrix 的受管理云服务,允许在 Citrix SD-WAN 网络中发现新设备,并自动完成分支机构的部署过程。可以从网络中的任何节点或通过安全套接字层 (SSL) 协议访问 ZTD 云服务。
ZTD 云服务可以与后端 Citrix 网络服务进行安全通信,以便为购买了零接触功能的设备(例如 SD-WAN 410-SE、2100-SE)进行身份验证。后端服务已就位,可以对任何零接触部署请求进行身份验证,从而正确验证客户帐户与 Citrix SD-WAN 设备的序列号之间的关联。
ZTD 高级架构和工作流
数据中心网站
Citrix SD-WAN 管理员 – 具有以下主要职责的 SD-WAN 环境的管理权限的用户:
- 使用 Citrix SD-WAN Center 网络配置工具创建配置,或从主控制节点 (MCN) SD-WAN 设备导入配置
- Citrix Cloud 登录为新站点节点部署启动零接触部署服务。
注意
如果您的 SD-WAN Center 通过代理服务器连接到 Internet,则必须在 SD-WAN Center 上配置代理服务器设置。有关详细信息,请参阅 零接触部署的代理服务器设置。
网络管理员–负责企业网络管理(DHCP、DNS、Internet、防火墙等)的用户
- 如有必要,请将防火墙设置为从 SD-WAN Center 向 FQDN sdwanzt.citrixnetworkapi.net出站通信。
远程站点
现场安装程序–本地联系或使用以下主要职责的上门活动安装程序:
- 物理解压 Citrix SD-WAN 设备。
-
重新映像非 ZTD 就绪设备。
- 所需的:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
- 不是必需的:SD-WAN 410-SE、2100-SE
- 电源线的设备。
- 在管理接口上连接设备的 Internet 连接(例如,MGMT 或 0/1)。
- 在数据接口(例如 apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5 等)上连接设备以实现 WAN 链接连接。
注意
每种模式的界面布局各不相同,因此,请参阅文档以了解数据和管理端口的标识。
需要满足以下必备条件,才能启动任何零接触部署服务:
- 主动运行 SD-WAN 提升到主控制节点 (MCN)。
- 主动运行 SD-WAN Center(通过虚拟路径连接到 MCN)。
- 在 https://onboarding.cloud.com 上创建 Citrix Cloud 登录凭据(在创建帐户时引用下面的说明)。
- 在端口443上直接管理或通过代理服务器管理到 Internet网络连接(SD-WAN Center 和 SD-WAN 设备)。
- 在端口443上连接 Internet 以访问 SD-WAN Center Web 门户以进行 ZTD 初始设置。
- (可选)在客户端模式下,至少有一台主动运行在分支机构的 SD-WAN 设备,并且有效的虚拟路径可以连接到 MCN,以帮助验证在现有底层网络中成功建立的路径。
最后一个必备条件并不是必需的,但允许 SD-WAN 管理员验证 underlay 网络是否允许在使用任何新添加的站点完成零接触部署完成时建立虚拟路径。这主要是验证适当的防火墙和路由策略是否已在相应的 NAT 流量中使用,或者确认 UDP 端口4980是否能够成功进入网络以到达 MCN。
零接触部署服务概述
零接触部署服务与 SD-WAN Center 结合使用,以提供更易于部署的分支机构 SD-WAN 设备。SD-WAN Center 已配置为用于 SD-WAN Standard 和 Enterprise (Premium) Edition 设备的中央管理工具。要使用零接触部署服务(或 ZTD 云服务),管理员必须先部署环境中的第一个 SD-WAN 设备,然后将 SD-WAN Center 配置和部署为中央管理点。当 SD-WAN Center(版本9.1 或更高版本)与公共 Internet 连接到端口443时,SD-WAN Center 将自动启动云服务并安装必要的组件以解锁零接触部署功能,并使在 SD-WAN Center 的 GUI 中提供零接触部署选项。默认情况下,在 SD-WAN Center 软件中不提供零接触部署。这是为了在允许管理员启动任何涉及零接触部署的现场活动之前,确保底层网络中存在适当的初始组件。
正在运行的 SD-WAN 环境启动并向零接触部署服务中运行注册后,将通过创建 Citrix Cloud 帐户登录来完成。通过 SD-WAN Center 能够与 ZTD service 通信,GUI 会在 “配置” 选项卡下显示零接触部署选项。登录零接触服务会对与特定 SD-WAN 环境关联的客户 ID 进行身份验证,并注册 SD-WAN Center,以进一步对 ZTD 设备部署进行身份验证。
使用 SD-WAN Center 中的网络配置工具时,SD-WAN 管理员需要利用模板或克隆站点功能来构建 SD-WAN 配置以添加新站点。SD-WAN Center 使用新配置为新添加的站点启动 ZTD 部署。当 SD-WAN 管理员使用 ZTD 进程启动站点以进行部署时,他或她可以选择通过预填充序列号对设备进行预身份验证,从而在现场安装程序启动电子邮件以开始使用现场活动。
现场安装程序会接收电子邮件通信,表明该站点已准备就绪,可以进行零接触部署,并且可以开始执行安装过程,以便在 MGMT 端口上启动并连接设备,以实现 DHCP IP 地址分配以及访问 Internet。此外,还可以通过任何 LAN 和 WAN 端口布线。其他所有内容均由 ZTD Service 发起,并通过使用激活 URL 进行监视。如果要安装的远程节点是云实例,打开激活 URL 时,将开始执行工作流以自动在指定的云环境中安装实例,本地安装程序不需要执行任何操作。
零接触部署云服务可自动执行以下操作:
如果分支设备上提供了新功能,请下载并更新 ZTD 代理。
- 通过验证序列号对分支设备进行身份验证。
- 通过身份验证 SD-WAN 管理员是否已使用 SD-WAN Center 接受了用于 ZTD 的站点。
- 从 SD-WAN Center 拉出目标设备特定的配置文件。
- 将特定于目标设备的配置文件推送到分支设备。
- 在分支设备上安装配置文件。
- 将任何丢失的 SD-WAN 软件组件或所需更新推送到分支设备。
- 推送一个临时 10 Mbps 许可证文件,以确认与分支设备建立的虚拟路径。
- 在分支设备上启用 SD-WAN 服务。
要在设备上安装永久性许可证文件,SD-WAN 管理员需要执行更多步骤。
零接触部署服务程序
以下过程详细介绍了使用零接触部署服务部署新站点所需的步骤。有一个正在运行的 MCN 和一个客户端节点已使用与 SD-WAN Center 的正确通信,以及已建立的虚拟路径来确认跨基础网络的连接。要启动零接触部署,SD-WAN 管理员需要执行以下步骤:
如何配置零接触部署服务
SD-WAN Center 可以接受来自新连接的设备的请求以加入 SD-WAN Enterprise 网络。请求通过零接触部署服务转发到 Web 界面。设备连接到服务后,将下载配置和软件升级软件包。
配置工作流:
- 访问 SD-WAN Center > 创建新站点配置或导入现有配置并保存。
- 登录 Citrix Workspace Cloud 以启用 ZTD 服务。“零接触部署”菜单选项现在显示在 SD-WAN center Web 管理界面中。
- 在 SD-WAN Center 中,导航到配置 > 零接触部署 > 部署新站点。
- 选择一个设备,单击启用,然后单击部署。
- 安装程序接收激活电子邮件 > 输入序列号 > 激活 > 设备已成功部署。
要配置零接触部署服务,请执行以下操作:
- 安装 SD-WAN Center(启用了零接触部署功能)。
- 安装 SD-WAN Center(具有 DHCP 分配的 IP 地址)。
- 验证 SD-WAN Center 是否分配了正确的管理 IP 地址和网络 DNS 地址,并通过管理网络与公用 Internet 建立连接。
-
将 SD-WAN Center 升级到最新的 SD-WAN 软件发行版本。
-
在使用正确的 Internet 连接的情况下,SD-WAN Center 将启动零接触部署 (ZTD) 云服务,并自动下载并安装特定于 ZTD 的任何固件更新,如果此自动通报过程失败,则使用以下零接触部署选项在 GUI 中将不可用。
-
阅读条款和条件,然后选择我已确认我已阅读并同意上述条款和条件。
-
如果已创建 Citrix Cloud 帐户,请单击登录 Citrix Workspace Cloud 按钮。
-
登录到 Citrix Cloud 帐户,收到以下成功登录消息后, 请不要关闭此窗口,该过程需要另外 20 秒钟才能刷新 SD-WAN Center GUI。窗口完成后应该自行关闭。**
-
要创建云登录帐户,请执行以下操作:
-
打开 Web 浏览器以https://onboarding.cloud.com
-
单击请稍候,我有一个 Citrix.com 帐户链接。
-
-
使用现有 Citrix 帐户登录。
-
登录到 SD-WAN Center 零接触部署页面后,您可能会注意到 ZTD 部署中不存在任何站点,原因如下:
- 尚未从 配置 下拉菜单中选择活动配置
- 当前活动配置的所有站点都已部署
- 配置不是使用 SD-WAN Center 建立的,而是在 MCN 上可用的配置编辑器
- 站点未在配置中构建引用零个支持触摸的设备(例如 410-SE、2100-SE、Cloud VPX)
-
更新配置,以使用ZTD 功能的 SD 设备(使用 SD-WAN Center 网络配置)添加新远程站点。
如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,则从 MCN 导入活动配置,然后开始使用 SD-WAN Center 修改配置。为实现零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。应使用以下过程添加针对零接触部署的新站点。
通过首先列出新站点的详细信息(即设备型号、接口组使用情况、虚拟 IP 地址、带宽与带宽及其各自的网关),为 SD-WAN 设备部署设计新站点。
重要
您可能会注意到,还列出了已选中 VPX 的任何站点节点,但当前 ZTD 支持仅适用于 AWS VPX 实例。 注意
- 请务必使用 Citrix SD-WAN Center 支持的 Web 浏览器
- 确保 Web 浏览器在 Citrix Workspace 登录过程中不阻止任何弹出窗口
这是分支机构站点的部署示例,SD 设备物理上部署在 172.16.30.0/24 网络中的现有 MPLS WAN 链接的路径中,并通过将现有备份链接启用为 “活动” 状态并将其终止而使用现有备份链接。WAN 链接直接连接到不同子网 172.16.31.0/24 上的 SD-WAN 设备。
注意
SD-WAN 设备 automatably 为默认 IP 地址 192.168.100.1/16 分配一个默认 IP 地址。默认情况下启用 DHCP 时,网络中的 DHCP 服务器可能会在与默认值重叠的子网中为设备提供第二个 IP 地址。这可能会导致设备上的路由问题,设备可能无法连接到 ZTD Cloud 服务。将 DHCP 服务器配置为分配在 192.168.0.0/16 范围内的 IP 地址。
有各种不同的部署模式可用于在网络中放置 SD-WAN 产品。在上面的示例中,将在现有网络基础结构的顶部将 SD-WAN 部署为覆盖。对于新站点,SD-WAN 管理员可以选择在边缘模式和网关模式部署中部署 SD-WAN,无需使用 WAN Edge 路由器和防火墙,也不需要将 Edge 路由和防火墙的网络需求整合到 SD-WAN 解决方案上。
-
打开 SD-WAN Center Web 管理界 面,然后导航到 配置 > 网络配置 页面。
-
确保已准备好正在运行的配置,或从 MCN 导入配置。
-
导航到 高级 选项卡以创建站点。
-
打开 站点 磁贴以显示当前配置的站点。
-
通过使用任何现有站点的克隆功能,快速构建新站点的配置。
-
填充为此新分支站点 设计的拓扑中的所有必填字段
-
克隆新站点后,导航到该站点的基本设置,并验证是否正确选择了要支持零接触服务的 SD-WAN 的型号。
-
可以对站点的 SD-WAN 模型进行更新,但请注意,可能必须重新定义接口组,因为更新后的设备可能具有新的界面布局,之后将使用克隆。
-
在 SD-WAN Center 上保存新配置,并使用导出到更改管理收件箱选项,以使用更改管理推送配置。
-
按照更改管理过程来正确转移新配置,这样会导致现有 SD-WAN 设备知晓要通过零接触部署的新站点,您需要使用“忽略不完整”选项跳过尝试推送在新站点上配置,仍需要通过 ZTD 工作流。
-
导航回 SD-WAN Center 零接触部署页面,在运行新的活动配置的情况下,将有新站点可供部署。
-
在零接触部署页面的部署新站点选项卡下,选择正在运行的网络配置文件
-
选择正在运行的配置文件后,将显示具有零接触支持的未部署 SD 设备的所有分支站点的列表。
-
选择要为零接触服务配置的分支站点,单击启用,然后再进行部署。
-
此时将显示部署新站点弹出窗口,在此窗口中,管理员可以提供序列号、分支站点街道地址、安装程序电子邮件地址以及其他备忘录(如有必要)。
注意
- “序列号”条目字段为可选字段,如果填充了此字段,则会导致安装程序负责在现场活动中进行更改。
- 如果填充了“序列号”字段,则无需安装程序将序列号输入到使用“部署站点”命令生成的激活 URL 中。
- 如果“序列号”字段为黑色,则安装程序将负责将设备的正确序列号输入到使用“部署站点”命令生成的激活 URL 中。
-
单击部署按钮后,将显示一条消息,指出“站点配置已部署”。
-
此操作将触发 SD-WAN Center(以前在 ZTD 云服务中注册),以将此特定站点的配置临时存储在 ZTD 云服务中。
-
导航到 “挂起的激活” 选项卡,确认已成功填充分支站点信息,并将其设置为待执行的安装程序活动状态。
注意
如果信息不正确,可以选择删除或修改挂起的激活状态的零接触部署。如果从 “挂起的激活” 页面中删除了一个站点,该站点将可以在部署新站点选项卡页面中部署。选择将分支站点从挂起的激活中删除后,发送到安装程序的激活链接将失效。
如果 SD-WAN 管理员未填充序列号字段,则状态字段将指示“正在等待安装程序”而非“正在连接”。
-
-
下一系列活动由现场安装程序执行。
-
安装程序将验证邮箱中是否有 SD-WAN 管理员在部署站点时使用的电子邮件地址。
-
在 Internet 浏览器窗口中打开零接触部署激活 URL。
-
如果 SD-WAN 管理员未在部署站点步骤中预填充序列号,则安装程序将负责找到物理设备上的序列号,并手动将序列号输入到激活 URL 中,然后单击激活按钮。
-
如果管理员预填充序列号信息,激活 URL 将一直准备执行下一个步骤。
-
安装程序的物理位置必须在现场,以执行以下操作:
- 连接所有 WAN 和 LAN 接口,使其与之前步骤中构建的拓扑和配置相匹配。
- 在网络中提供 DHCP IP 地址和通过 DNS 将 FQDN 连接到 IP 地址解析的网络段中的管理接口(MGMT、0/1)电缆。
- 电源线 SD-WAN 设备。
- 打开设备的电源开关。
注意
连接电源线时,大多数设备将自动启动。某些设备可能必须使用设备前面的电源开关打开,而其他设备可能会在设备背面安装电源开关。某些电源开关需要按住电源按钮,直到设备启动。
-
-
下一系列步骤通过零接触部署服务的帮助自动完成,但需要使用以下必备条件。
- 分支设备应启动电源
- DHCP 必须在现有网络中可用,以分配管理和 DNS IP 地址
- 任何 DHCP 分配的 IP 地址都要求连接到 Internet,能够解析 FQDN
- 只要其他先决条件满足以下条件,就可以手动配置 IP 分配。
-
设备从网络 DHCP 服务器获取 IP 地址,在此示例中,拓扑通过出厂默认状态设备的跳过数据接口实现。
-
当设备从 underlay 网络 DHCP 服务器获取 Web 管理和 DNS IP 地址时,该设备将启动零接触部署服务并下载所有与 ZTD 有关的软件更新。
-
成功连接到 ZTD 云服务后,部署过程将自动执行以下操作:
- 下载 SD-WAN Center 之前存储的配置文件
- 将配置应用于本地设备
- 下载并安装临时 10 MB 许可证文件
- 下载并安装任何软件更新(如有需要)
- 激活 SD-WAN 服务
-
进一步确认可以在 SD-WAN Center Web 管理界面中完成,在激活历史记录选项卡中,“零点触摸部署”菜单显示成功激活的设备。
-
虚拟路径可能不会立即以已连接的状态显示,因为 MCN 可能不信任从 ZTD 云服务中向下传递的配置,并在 MCN 控制板中报告 “配置版本不匹配”。
-
该配置将重新传输到新安装的分支机构设备,并且状态将在MCN > 配置 > 虚拟 WAN >更改管理页面上进行监视(此过程可能需要几分钟时间才能完成)。
-
SD-WAN 管理员可以监视面向已建立的远程站点虚拟路径的头端 MCN Web 管理页面。
-
SD-WAN Center 还可用于从配置 > 网络发现 > 清单和状态页面识别现场设备的 DHCP 分配 IP 地址。
-
此时,SD-WAN 网络管理员可以通过使用 SD-WAN 覆盖网络对现场设备进行 Web 管理访问。
-
对远程站点设备进行 Web 管理访问指示已使用临时宽限期 10 Mbps 来安装设备,这样可使虚拟路径服务状态报告为活动状态。
-
可以使用配置>虚拟 WAN>查看配置页面对设备配置进行验证。
-
可以使用配置 > 设备设置 > 许可页面将设备许可证文件更新为永久许可证。
-
上载并安装永久许可证文件后,宽限期许可证警告横幅会消失,并且在安装许可证过程中不会出现与远程站点的连接断开的情况(丢弃零个 ping)。