零接触部署
注意
零接触部署服务仅支持以下精选 Citrix SD-WAN™ 设备:
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 Standard Edition
- SD-WAN 1000 Standard Edition(需要重新映像)
- SD-WAN 1000 Enterprise Edition (Premium Edition)(需要重新映像)
- SD-WAN 1100 Standard Edition
- SD-WAN 1100 Premium (Enterprise) Edition
- SD-WAN 2000 Standard Edition(需要重新映像)
- SD-WAN 2000 Enterprise Edition (Premium Edition)(需要重新映像)
- SD-WAN AWS VPX 实例
零接触部署 (ZTD) 服务是 Citrix® 运营和管理的云服务,可用于发现 Citrix SD-WAN 网络中的新设备,并自动执行分支机构的部署过程。ZTD 云服务可通过 Internet 从网络中的任何节点访问,并使用安全套接字层 (SSL) 协议。
ZTD 云服务与后端 Citrix 网络服务安全通信,存储已购买零接触功能设备(例如 SD-WAN 410-SE、2100-SE)的客户身份。后端服务用于验证任何零接触部署请求,正确验证客户帐户与 Citrix SD-WAN 设备的序列号之间的关联。
ZTD 高级架构和工作流
数据中心站点
Citrix SD-WAN 管理员 – 具有 SD-WAN 环境管理权限的用户,主要职责如下:
- 使用 Citrix SD-WAN Center 网络配置工具创建配置,或从主控制节点 (MCN) SD-WAN 设备导入配置
- Citrix Cloud™ 登录以启动新站点节点的零接触部署服务。
注意
如果您的 SD-WAN Center 通过代理服务器连接到 Internet,则必须在 SD-WAN Center 上配置代理服务器设置。有关详细信息,请参阅零接触部署的代理服务器设置。
网络管理员 – 负责企业网络管理(DHCP、DNS、Internet、防火墙等)的用户
- 如有必要,配置防火墙以允许从 SD-WAN Center 到 FQDN sdwanzt.citrixnetworkapi.net 的出站通信。
远程站点
现场安装人员 – 负责现场活动的本地联系人或受雇安装人员,主要职责如下:
- 物理拆开 Citrix SD-WAN 设备的包装。
-
重新映像非 ZTD 就绪设备。
- 所需设备:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
- 无需设备:SD-WAN 410-SE、2100-SE
- 连接设备的电源线。
- 连接设备的管理接口(例如 MGMT 或 0/1)以实现 Internet 连接。
- 连接设备的数据接口(例如 apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5 等)以实现 WAN 链路连接。
注意
接口布局因型号而异,请查阅文档以识别数据端口和管理端口。
在启动任何零接触部署服务之前,需要满足以下先决条件:
- 正在运行并已提升为主控制节点 (MCN) 的 SD-WAN。
- 正在运行的 SD-WAN Center,通过虚拟路径连接到 MCN。
- 在 https://onboarding.cloud.com 上创建的 Citrix Cloud 登录凭据(请参阅下面的帐户创建说明)。
- 管理网络连接(SD-WAN Center 和 SD-WAN 设备)通过端口 443 直接或通过代理服务器连接到 Internet。
- 通过端口 443 连接到 Internet,以访问 SD-WAN Center Web 门户进行 ZTD 初始设置。
- (可选)至少一个正在运行的 SD-WAN 设备,以客户端模式在分支机构运行,并与 MCN 具有有效的虚拟路径连接,以帮助验证现有底层网络上的路径建立是否成功。
最后一个先决条件并非强制要求,但它允许 SD-WAN 管理员验证底层网络是否允许在零接触部署完成任何新添加站点后建立虚拟路径。这主要验证了适当的防火墙和路由策略是否已到位,以相应地进行 NAT 流量或确认 UDP 端口 4980 能够成功穿透网络以到达 MCN。
零接触部署服务概述
零接触部署服务与 SD-WAN Center 协同工作,以简化分支机构 SD-WAN 设备的部署。SD-WAN Center 被配置并用作 SD-WAN Standard 和 Enterprise (Premium) Edition 设备的中央管理工具。要使用零接触部署服务(或 ZTD 云服务),管理员必须首先部署环境中的第一个 SD-WAN 设备,然后配置并部署 SD-WAN Center 作为中央管理点。当安装了 SD-WAN Center 9.1 或更高版本,并连接到公共 Internet 端口 443 时,SD-WAN Center 会自动启动云服务并安装必要的组件,以解锁零接触部署功能,并在 SD-WAN Center 的 GUI 中提供零接触部署选项。零接触部署在 SD-WAN Center 软件中默认不可用。这是有意设计的,旨在确保底层网络上存在适当的初步组件,然后才允许管理员启动任何涉及零接触部署的现场活动。
在 SD-WAN 环境正常运行后,通过创建 Citrix Cloud 帐户登录来完成零接触部署服务的注册。当 SD-WAN Center 能够与 ZTD 服务通信时,GUI 会在“配置”选项卡下显示零接触部署选项。登录零接触服务会验证与特定 SD-WAN 环境关联的客户 ID,并注册 SD-WAN Center,此外还会解锁帐户以进行 ZTD 设备部署的进一步身份验证。
SD-WAN 管理员随后需要使用 SD-WAN Center 中的“网络配置”工具,利用模板或克隆站点功能来构建 SD-WAN 配置以添加新站点。新配置由 SD-WAN Center 用于启动新添加站点的 ZTD 部署。当 SD-WAN 管理员使用 ZTD 流程启动站点部署时,他或她可以选择通过预填充序列号来预先验证用于 ZTD 的设备,并向现场安装人员发起电子邮件通信以开始现场活动。
现场安装人员收到站点已准备好进行零接触部署的电子邮件通信,并可以开始安装过程,即为 DHCP IP 地址分配和 MGMT 端口上的 Internet 访问连接设备电源和布线。此外,还要连接任何 LAN 和 WAN 端口。其他所有操作都由 ZTD 服务启动,并通过激活 URL 监控进度。如果远程要安装的节点是云实例,则打开激活 URL 会启动工作流,以自动在指定的云环境中安装实例,无需本地安装人员执行任何操作。
零接触部署云服务自动执行以下操作:
下载并更新 ZTD 代理(如果分支设备上有新功能可用)。
- 通过验证序列号来验证分支设备。
- 验证 SD-WAN 管理员是否使用 SD-WAN Center 接受了 ZTD 站点。
- 从 SD-WAN Center 拉取针对目标设备的特定配置文件。
- 将针对目标设备的特定配置文件推送到分支设备。
- 在分支设备上安装配置文件。
- 将任何缺失的 SD-WAN 软件组件或所需的更新推送到分支设备。
- 将临时 10 Mbps 许可证文件推送到分支设备,以确认虚拟路径建立。
- 在分支设备上启用 SD-WAN 服务。
SD-WAN 管理员需要执行更多步骤才能在设备上安装永久许可证文件。
零接触部署服务流程
以下过程详细说明了使用零接触部署服务部署新站点所需的步骤。确保 MCN 正在运行,并且一个客户端节点已正常工作,与 SD-WAN Center 正常通信,并且已建立虚拟路径以确认底层网络上的连接。SD-WAN 管理员需要执行以下步骤来启动零接触部署:
如何配置零接触部署服务
SD-WAN Center 具有接受来自新连接设备的请求以加入 SD-WAN 企业网络的功能。该请求通过零接触部署服务转发到 Web 界面。一旦设备连接到服务,就会下载配置和软件升级包。
配置工作流:
- 访问 SD-WAN Center > 创建新站点配置 或导入现有配置并保存。
- 登录 Citrix Workspace™ Cloud 以启用 ZTD 服务。零接触部署菜单选项现在显示在 SD-WAN Center Web 管理界面中。
- 在 SD-WAN Center 中,导航到 配置 > 零接触部署 > 部署新站点。
- 选择一个设备,单击“启用”,然后单击“部署”。
- 安装人员收到激活电子邮件 > 输入序列号 > 激活 > 设备部署成功。
要配置零接触部署服务:
- 安装具有零接触部署功能的 SD-WAN Center。
- 安装 SD-WAN Center,并分配 DHCP IP 地址。
- 验证 SD-WAN Center 是否分配了正确的管理 IP 地址和网络 DNS 地址,并具有通过管理网络连接到公共 Internet 的能力。
-
将 SD-WAN Center 升级到最新的 SD-WAN 软件版本。
-
在具有适当 Internet 连接的情况下,SD-WAN Center 会启动零接触部署 (ZTD) 云服务,并自动下载和安装任何特定于 ZTD 的固件更新,如果此回拨过程失败,则 GUI 中将不提供以下零接触部署选项。
-
阅读“条款和条件”,然后选择“我已阅读并同意上述条款和条件”。
-
如果已创建 Citrix Cloud 帐户,请单击“登录 Citrix Workspace Cloud”按钮。
-
登录 Citrix Cloud 帐户后,收到成功登录消息时,请勿关闭此窗口,该过程需要大约 20 秒才能刷新 SD-WAN Center GUI。 窗口应在完成后自动关闭。
-
要创建云登录帐户,请按照以下步骤操作:
-
在 Web 浏览器中打开 https://onboarding.cloud.com
-
单击“等等,我有一个 Citrix.com 帐户。”链接。
-
-
使用现有 Citrix 帐户登录。
-
登录 SD-WAN Center 零接触部署页面后,您可能会注意到没有站点可用于 ZTD 部署,原因如下:
- 尚未从“配置”下拉菜单中选择活动配置
- 当前活动配置的所有站点都已部署
- 配置不是使用 SD-WAN Center 构建的,而是使用 MCN 上可用的“配置编辑器”构建的
- 配置中未构建引用零接触功能设备(例如 410-SE、2100-SE、Cloud VPX)的站点
-
使用 SD-WAN Center 网络配置更新配置,以添加具有 ZTD 功能 SD-WAN 设备的新远程站点。
如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,请从 MCN 导入活动配置,并开始使用 SD-WAN Center 修改配置。对于零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。应使用以下过程添加目标为零接触部署的新站点。
首先概述新站点的详细信息(即设备型号、接口组使用情况、虚拟 IP 地址、具有带宽的 WAN 链路及其各自的网关),从而设计用于 SD-WAN 设备部署的新站点。
重要
您可能会注意到任何将 VPX 选为型号的站点节点也会列出,但目前 ZTD 支持仅适用于 AWS VPX 实例。 注意
- 确保您正在使用支持 Citrix SD-WAN Center 的 Web 浏览器
- 确保 Web 浏览器在 Citrix Workspace 登录期间未阻止任何弹出窗口
这是一个分支机构站点的部署示例,SD-WAN 设备物理部署在现有 MPLS WAN 链路的路径中,跨越 172.16.30.0/24 网络,并通过将现有备份链路启用为活动状态并将其第二个 WAN 链路直接终止到 SD-WAN 设备上的不同子网 172.16.31.0/24 来使用。
注意
SD-WAN 设备会自动分配默认 IP 地址 192.168.100.1/16。在默认启用 DHCP 的情况下,网络中的 DHCP 服务器可能会为设备提供一个与默认地址重叠的子网中的第二个 IP 地址。这可能会导致设备上出现路由问题,从而导致设备无法连接到 ZTD 云服务。将 DHCP 服务器配置为分配 192.168.0.0/16 范围之外的 IP 地址。
SD-WAN 产品在网络中有多种不同的部署模式。在上述示例中,SD-WAN 作为现有网络基础设施之上的覆盖层进行部署。对于新站点,SD-WAN 管理员可以选择在边缘或网关模式部署中部署 SD-WAN,从而无需 WAN 边缘路由器和防火墙,并将边缘路由和防火墙的网络需求整合到 SD-WAN 解决方案中。
-
打开 SD-WAN Center Web 管理界面,导航到 配置 > 网络配置 页面。
-
确保已存在工作配置,或从 MCN 导入配置。
-
导航到“高级”选项卡以创建站点。
-
打开“站点”磁贴以显示当前配置的站点。
-
通过利用任何现有站点的克隆功能,快速构建新站点的配置。
-
填充为此新分支站点设计的拓扑中的所有必填字段。
-
克隆新站点后,导航到站点的“基本设置”,并验证是否正确选择了支持零接触服务的 SD-WAN 型号。
-
可以更新站点的 SD-WAN 型号,但请注意,由于更新后的设备可能具有与用于克隆的设备不同的接口布局,因此可能需要重新定义接口组。
-
在 SD-WAN Center 上保存新配置,并使用“导出到更改管理收件箱”选项通过更改管理推送配置。
-
按照更改管理过程正确暂存新配置,这使得现有 SD-WAN 设备了解要通过零接触部署的新站点,您需要使用“忽略不完整”选项来跳过尝试将配置推送到仍需要通过 ZTD 工作流的新站点。
-
导航回 SD-WAN Center 零接触部署页面,在新活动配置运行后,新站点可用于部署。
-
在“零接触部署”页面中的“部署新站点”选项卡下,选择正在运行的网络配置文件。
-
选择正在运行的配置文件后,将显示所有支持零接触的未部署 SD-WAN 设备的分支站点列表。
-
选择要配置零接触服务的分支站点,单击“启用”,然后单击“部署”。
-
将出现一个“部署新站点”弹出窗口,管理员可以在其中提供序列号、分支站点街道地址、安装人员电子邮件地址以及其他备注(如有必要)。
注意
- 序列号输入字段是可选的,根据是否填充,将导致安装人员负责的现场活动发生变化。
- 如果填充了序列号字段 – 安装人员无需在通过部署站点命令生成的激活 URL 中输入序列号
- 如果序列号字段留空 – 安装人员将负责在通过部署站点命令生成的激活 URL 中输入设备的正确序列号
-
单击“部署”按钮后,将出现一条消息,指示“站点配置已部署。”
-
此操作会触发先前已注册 ZTD 云服务的 SD-WAN Center,以将此特定站点的配置共享到 ZTD 云服务中临时存储。
-
导航到“待激活”选项卡,确认分支站点信息已成功填充并处于待安装人员活动状态。
注意
处于“待激活”状态的零接触部署可以选择“删除”或“修改”(如果信息不正确)。如果从待激活页面中删除了站点,则该站点将在“部署新站点”选项卡页面中变为可部署。一旦您选择从待激活中删除分支站点,发送给安装人员的激活链接将失效。
如果 SD-WAN 管理员未填充序列号字段,则“状态”字段将显示“等待安装人员”而不是“正在连接”。
-
-
下一系列活动由现场安装人员执行。
-
安装人员验证 SD-WAN 管理员在部署站点时使用的电子邮件地址的邮箱。
-
在 Internet 浏览器窗口中打开零接触部署激活 URL。
-
如果 SD-WAN 管理员未在部署站点步骤中预填充序列号,则安装人员将负责在物理设备上找到序列号并手动将序列号输入到激活 URL 中,然后单击“激活”按钮。
-
如果管理员预填充了序列号信息,则激活 URL 将已进入下一步。
-
安装人员必须亲临现场执行以下操作:
- 连接所有 WAN 和 LAN 接口,以匹配早期步骤中构建的拓扑和配置。
- 将管理接口(MGMT,0/1)连接到网络中提供 DHCP IP 地址和 Internet 连接(具有 DNS 和 FQDN 到 IP 地址解析)的网段。
- 连接 SD-WAN 设备的电源线。
- 打开设备的电源开关。
注意
大多数设备在连接电源线后会自动开机。有些设备可能需要使用设备正面的电源开关开机,其他设备可能在设备背面有电源开关。有些电源开关需要按住电源按钮直到设备开机。
-
-
下一系列步骤在零接触部署服务的帮助下自动执行,但需要满足以下先决条件。
- 分支设备应已开机
- 现有网络中必须有 DHCP 可用,以分配管理和 DNS IP 地址
- 任何 DHCP 分配的 IP 地址都需要连接到 Internet,并能够解析 FQDN
- IP 分配可以手动配置,只要满足其他先决条件
-
设备从网络 DHCP 服务器获取 IP 地址,在此示例拓扑中,这是通过出厂默认状态设备的旁路数据接口实现的。
-
当设备从底层网络 DHCP 服务器获取 Web 管理和 DNS IP 地址时,设备会启动零接触部署服务并下载任何与 ZTD 相关的软件更新。
-
成功连接到 ZTD 云服务后,部署过程会自动执行以下操作:
- 下载 SD-WAN Center 之前存储的配置文件
- 将配置应用于本地设备
- 下载并安装临时 10 MB 许可证文件
- 下载并安装任何所需的软件更新
- 激活 SD-WAN 服务
-
可以在 SD-WAN Center Web 管理界面中进一步确认,零接触部署菜单在“激活历史记录”选项卡中显示成功激活的设备。
-
虚拟路径可能不会立即显示为已连接状态,因为 MCN 可能不信任从 ZTD 云服务下发的配置,并在 MCN 仪表板中报告“配置版本不匹配”。
-
配置将重新交付给新安装的分支机构设备,并在 MCN > 配置 > 虚拟 WAN > 更改管理 页面上监控状态(此过程可能需要几分钟才能完成)。
-
SD-WAN 管理员可以监控前端 MCN Web 管理页面,以查看远程站点的已建立虚拟路径。
-
SD-WAN Center 还可以用于从“配置”>“网络发现”>“清单和状态”页面识别现场设备的 DHCP 分配 IP 地址。
-
此时,SD-WAN 网络管理员可以通过 SD-WAN 覆盖网络获得对现场设备的 Web 管理访问权限。
-
对远程站点设备的 Web 管理访问表明设备已安装了 10 Mbps 的临时宽限许可证,这使得虚拟路径服务状态能够报告为活动状态。
-
可以使用“配置”>“虚拟 WAN”>“查看配置”页面验证设备配置。
-
可以使用“配置”>“设备设置”>“许可”页面将设备许可证文件更新为永久许可证。
-
上传并安装永久许可证文件后,宽限许可证警告横幅将消失,并且在许可证安装过程中,与远程站点的连接不会丢失(不会丢弃任何 ping)。