产品文档
Citrix SD-WAN Center 11.4
11.3 11.2 11.1 11.0 10.2
查看 PDF

零接触部署

October 1, 2025
投稿者: 
C C

注意

零接触部署服务仅支持部分 Citrix SD-WAN™ 设备:

  • SD-WAN 110 Standard Edition
  • SD-WAN 210 Standard Edition
  • SD-WAN 410 Standard Edition
  • SD-WAN 2100 Standard Edition
  • SD-WAN 1000 Standard Edition(需要重新映像)
  • SD-WAN 1000 Enterprise Edition (Premium Edition)(需要重新映像)
  • SD-WAN 1100 Standard Edition
  • SD-WAN 1100 Premium (Enterprise) Edition
  • SD-WAN 2000 Standard Edition(需要重新映像)
  • SD-WAN 2000 Enterprise Edition (Premium Edition)(需要重新映像)
  • SD-WAN AWS VPX 实例

零接触部署 (ZTD) 服务是 Citrix® 运营和管理的云服务,它允许在 Citrix SD-WAN 网络中发现新设备,并自动执行分支机构的部署过程。ZTD 云服务可通过 Internet 和安全套接字层 (SSL) 协议从网络中的任何节点访问。

ZTD 云服务与后端 Citrix 网络服务安全通信,存储已购买零接触功能设备(例如 SD-WAN 410-SE、2100-SE)的客户身份。后端服务用于验证任何零接触部署请求,正确验证客户帐户与 Citrix SD-WAN 设备的序列号之间的关联。

ZTD 高级体系结构和工作流

数据中心站点

Citrix SD-WAN 管理员 – 具有 SD-WAN 环境管理权限的用户,主要职责如下:

  • 使用 Citrix SD-WAN Center 网络配置工具创建配置,或从主控制节点 (MCN) SD-WAN 设备导入配置。
  • 登录 Citrix Cloud™ 以启动新站点节点部署的零接触部署服务。

注意

如果您的 SD-WAN Center 通过代理服务器连接到 Internet,则必须在 SD-WAN Center 上配置代理服务器设置。有关详细信息,请参阅零接触部署的代理服务器设置

网络管理员 – 负责企业网络管理(DHCP、DNS、Internet、防火墙等)的用户。

  • 如有必要,配置防火墙以允许从 SD-WAN Center 到 FQDN sdwanzt.citrixnetworkapi.net 的出站通信。

远程站点

现场安装人员 – 负责现场活动的本地联系人或雇佣的安装人员,主要职责如下:

  • 物理拆开 Citrix SD-WAN 设备包装。

  • 重新映像非 ZTD 就绪设备。

    • 所需设备:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
    • 不需要设备:SD-WAN 410-SE、2100-SE
  • 连接设备的电源线。
  • 连接设备的管理接口(例如 MGMT 或 0/1)以实现 Internet 连接。
  • 连接设备的数据接口(例如 apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5 等)以实现 WAN 链路连接。

注意

接口布局因型号而异,请参阅文档以识别数据端口和管理端口。

本地化图像

在启动任何零接触部署服务之前,需要满足以下先决条件:

  • 已提升为 Master Control Node (MCN) 的正在运行的 SD-WAN。
  • 正在运行的 SD-WAN Center,通过虚拟路径连接到 MCN。
  • https://onboarding.cloud.com 上创建的 Citrix Cloud 登录凭据(请参阅下面的帐户创建说明)。
  • 管理网络连接(SD-WAN Center 和 SD-WAN 设备)通过端口 443 连接到 Internet,可以直接连接或通过代理服务器连接。
  • 通过端口 443 连接到 Internet,以访问 SD-WAN Center Web 门户进行 ZTD 初始设置。
  • (可选)至少一个正在运行的 SD-WAN 设备,以客户端模式在分支机构运行,并与 MCN 建立有效的虚拟路径连接,以帮助验证现有底层网络上的路径建立是否成功。

最后一个先决条件并非强制要求,但它允许 SD-WAN 管理员验证底层网络是否允许在零接触部署完成并添加任何新站点时建立虚拟路径。这主要验证了适当的防火墙和路由策略已到位,可以相应地进行 NAT 流量,或确认 UDP 端口 4980 能够成功穿透网络以到达 MCN。

本地化图像

零接触部署服务概述

零接触部署服务与 SD-WAN Center 协同工作,以简化分支机构 SD-WAN 设备的部署。SD-WAN Center 被配置并用作 SD-WAN Standard 和 Enterprise (Premium) Edition 设备的中央管理工具。要使用零接触部署服务(或 ZTD 云服务),管理员必须首先在环境中部署第一个 SD-WAN 设备,然后配置并部署 SD-WAN Center 作为中央管理点。当安装了 9.1 或更高版本的 SD-WAN Center 并通过端口 443 连接到公共 Internet 时,SD-WAN Center 会自动启动云服务并安装必要的组件,以解锁零接触部署功能,并使零接触部署选项在 SD-WAN Center 的 GUI 中可用。零接触部署在 SD-WAN Center 软件中默认不可用。这是有意设计的,旨在确保底层网络上存在适当的初步组件,然后才允许管理员启动任何涉及零接触部署的现场活动。

在 SD-WAN 环境正常运行后,通过创建 Citrix Cloud 帐户登录即可完成零接触部署服务的注册。当 SD-WAN Center 能够与 ZTD 服务通信时,GUI 会在“配置”选项卡下显示零接触部署选项。登录零接触服务会验证与特定 SD-WAN 环境关联的客户 ID 并注册 SD-WAN Center,此外还会解锁帐户以进行 ZTD 设备部署的进一步身份验证。

使用 SD-WAN Center 中的网络配置工具,SD-WAN 管理员将需要利用模板或克隆站点功能来构建 SD-WAN 配置以添加新站点。新配置由 SD-WAN Center 用于启动新添加站点的 ZTD 部署。当 SD-WAN 管理员使用 ZTD 过程启动站点部署时,他或她可以选择通过预填充序列号来预验证用于 ZTD 的设备,并启动电子邮件通信通知现场安装人员开始现场活动。

现场安装人员收到电子邮件通知,告知站点已准备好进行零接触部署,可以开始安装过程,包括为 DHCP IP 地址分配和 MGMT 端口上的 Internet 访问连接设备电源和布线。此外,还要连接任何 LAN 和 WAN 端口。其他所有操作都由 ZTD 服务启动,并通过激活 URL 监控进度。如果远程要安装的节点是云实例,则打开激活 URL 会启动工作流,以自动在指定的云环境中安装实例,无需本地安装人员执行任何操作。

零接触部署云服务自动执行以下操作:

如果分支设备上有新功能可用,则下载并更新 ZTD 代理。

  • 通过验证序列号来验证分支设备。
  • 验证 SD-WAN 管理员是否已使用 SD-WAN Center 接受该站点进行 ZTD。
  • 从 SD-WAN Center 拉取针对目标设备的特定配置文件。
  • 将针对目标设备的特定配置文件推送到分支设备。
  • 在分支设备上安装配置文件。
  • 将任何缺失的 SD-WAN 软件组件或所需的更新推送到分支设备。
  • 推送一个临时 10 Mbps 许可证文件,以确认虚拟路径已建立到分支设备。
  • 在分支设备上启用 SD-WAN 服务。

SD-WAN 管理员需要执行更多步骤才能在设备上安装永久许可证文件。

零接触部署服务过程

以下过程详细说明了使用零接触部署服务部署新站点所需的步骤。确保 MCN 正在运行,并且一个客户端节点已正常工作,与 SD-WAN Center 正常通信,并已建立虚拟路径以确认底层网络上的连接。SD-WAN 管理员需要执行以下步骤来启动零接触部署:

本地化图像

如何配置零接触部署服务

SD-WAN Center 具有接受来自新连接设备的请求以加入 SD-WAN 企业网络的功能。该请求通过零接触部署服务转发到 Web 界面。一旦设备连接到服务,就会下载配置和软件升级包。

配置工作流

  • 访问 SD-WAN Center > 创建新站点配置 或导入现有配置并保存。
  • 登录 Citrix Workspace™ Cloud 以启用 ZTD 服务。零接触部署菜单选项现在显示在 SD-WAN Center Web 管理界面中。
  • 在 SD-WAN Center 中,导航到 Configuration(配置)> Zero Touch Deployment(零接触部署)> Deploy New Site(部署新站点)。
  • 选择一个设备,单击 Enable(启用),然后单击 Deploy(部署)。
  • 安装人员收到激活电子邮件 > 输入序列号 > Activate(激活)> 设备部署成功。

要配置零接触部署服务:

  1. 安装具有零接触部署功能的 SD-WAN Center。
    1. 安装分配了 DHCP IP 地址的 SD-WAN Center。
    2. 验证 SD-WAN Center 是否分配了正确的管理 IP 地址和网络 DNS 地址,并可通过管理网络连接到公共 Internet。

    3. 将 SD-WAN Center 升级到最新的 SD-WAN 软件版本。

    4. 在 Internet 连接正常的情况下,SD-WAN Center 会启动零接触部署 (ZTD) 云服务,并自动下载和安装任何特定于 ZTD 的固件更新,如果此“回拨”过程失败,则 GUI 中将不提供以下零接触部署选项。

      本地化图像

    5. 阅读“条款和条件”,然后选择“我已阅读并同意上述条款和条件”。

    6. 如果已创建 Citrix Cloud 帐户,请单击“登录 Citrix Workspace Cloud”按钮。

    7. 登录 Citrix Cloud 帐户,并在收到成功登录消息后,请勿关闭此窗口,该过程需要大约 20 秒才能刷新 SD-WAN Center GUI。 窗口应在完成后自行关闭。

      本地化图像

    8. 要创建云登录帐户,请按照以下步骤操作:

      本地化图像

      本地化图像

    9. 使用现有 Citrix 帐户登录。

    10. 登录 SD-WAN Center 零接触部署页面后,您可能会注意到没有可用于 ZTD 部署的站点,原因如下:

      • 尚未从“配置”下拉菜单中选择活动配置
      • 当前活动配置的所有站点都已部署
      • 配置不是使用 SD-WAN Center 构建的,而是使用 MCN 上可用的配置编辑器构建的
      • 配置中未构建引用零接触功能设备(例如 410-SE、2100-SE、Cloud VPX)的站点

  2. 使用 SD-WAN Center 网络配置更新配置,以添加具有 ZTD 功能的 SD-WAN 设备新远程站点。

    如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,请从 MCN 导入活动配置,并开始使用 SD-WAN Center 修改配置。对于零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。应使用以下过程添加目标为零接触部署的新站点。

    通过首先概述新站点的详细信息(即设备型号、接口组使用情况、虚拟 IP 地址、具有带宽的 WAN 链路及其各自的网关)来设计用于 SD-WAN 设备部署的新站点。

    重要

    您可能会注意到任何选择 VPX 作为型号的站点节点也已列出,但目前 ZTD 支持仅适用于 AWS VPX 实例。 注意

    • 确保您正在使用支持 Citrix SD-WAN Center 的 Web 浏览器
    • 确保 Web 浏览器在 Citrix Workspace 登录期间未阻止任何弹出窗口

    本地化图像

    这是一个分支机构站点的部署示例,SD-WAN 设备物理部署在现有 MPLS WAN 链路的路径中,跨越 172.16.30.0/24 网络,并通过将其启用为活动状态并直接将第二个 WAN 链路终止到 SD-WAN 设备上的不同子网 172.16.31.0/24 来使用现有备份链路。

    注意

    SD-WAN 设备会自动分配默认 IP 地址 192.168.100.1/16。默认情况下启用 DHCP 后,网络中的 DHCP 服务器可能会为设备提供一个与默认 IP 地址重叠的子网中的第二个 IP 地址。这可能会导致设备上出现路由问题,从而导致设备无法连接到 ZTD 云服务。将 DHCP 服务器配置为分配 192.168.0.0/16 范围之外的 IP 地址。

    SD-WAN 产品在网络中有多种不同的部署模式。在上述示例中,SD-WAN 作为现有网络基础设施之上的覆盖层进行部署。对于新站点,SD-WAN 管理员可以选择以边缘或网关模式部署 SD-WAN,从而无需 WAN 边缘路由器和防火墙,并将边缘路由和防火墙的网络需求整合到 SD-WAN 解决方案中。

    1. 打开 SD-WAN Center Web 管理界面,导航到 Configuration(配置)> Network Configuration(网络配置)页面。

      本地化图像

    2. 确保已存在可用的配置,或从 MCN 导入配置。

    3. 导航到“高级”选项卡以创建站点。

    4. 打开“站点”磁贴以显示当前配置的站点。

    5. 通过利用任何现有站点的克隆功能,快速构建新站点的配置。

      本地化图像

    6. 根据为新分支站点设计的拓扑填充所有必填字段。

      本地化图像

    7. 克隆新站点后,导航到站点的“基本设置”,并验证是否正确选择了支持零接触服务的 SD-WAN 型号。

      本地化图像

    8. 可以更新站点的 SD-WAN 型号,但请注意,由于更新后的设备可能具有新的接口布局,因此可能需要重新定义接口组。

    9. 在 SD-WAN Center 上保存新配置,并使用导出到“更改管理收件箱”选项,通过更改管理推送配置。

    10. 按照更改管理过程正确暂存新配置,这使得现有 SD-WAN 设备能够识别通过零接触部署的新站点,您需要利用“忽略不完整”选项来跳过尝试将配置推送到仍需要通过 ZTD 工作流的新站点。

  3. 导航回 SD-WAN Center 零接触部署页面,在新活动配置运行后,新站点可用于部署。

    1. 在“零接触部署”页面中,在“部署新站点”选项卡下,选择正在运行的网络配置文件。

    2. 选择正在运行的配置文件后,将显示所有具有未部署的 SD-WAN 设备且支持零接触的分支站点列表。

      本地化图像

      本地化图像

    3. 选择要配置零接触服务的分支站点,单击 Enable(启用),然后单击 Deploy(部署)。

      本地化图像

    4. 将出现一个“部署新站点”弹出窗口,管理员可以在其中提供序列号、分支站点街道地址、安装人员电子邮件地址以及更多备注(如有必要)。

      本地化图像

    注意

    “序列号”输入字段是可选的,根据是否填充,将导致安装人员负责的现场活动发生变化。

    • 如果填充了“序列号”字段 – 安装人员无需将序列号输入到使用部署站点命令生成的激活 URL 中。
    • 如果“序列号”字段留空 – 安装人员将负责将设备的正确序列号输入到使用部署站点命令生成的激活 URL 中。

    1. 单击“部署”按钮后,将出现一条消息,指示“站点配置已部署”。

    2. 此操作会触发 SD-WAN Center(之前已注册到 ZTD 云服务)共享此特定站点的配置,以临时存储在 ZTD 云服务中。

    3. 导航到“待激活”选项卡,确认分支站点信息已成功填充并处于待安装人员活动状态。

      本地化图像

    注意

    处于“待激活”状态的零接触部署可以选择“删除”或“修改”(如果信息不正确)。如果从“待激活”页面中删除了站点,则该站点将可在“部署新站点”选项卡页面中进行部署。一旦您选择从“待激活”中删除分支站点,发送给安装人员的激活链接将失效。

    如果 SD-WAN 管理员未填充“序列号”字段,则“状态”字段将显示“等待安装人员”而不是“正在连接”。

  4. 下一系列活动由现场安装人员执行。

    1. 安装人员验证 SD-WAN 管理员在部署站点时使用的电子邮件地址的邮箱。

      本地化图像

    2. 在 Internet 浏览器窗口中打开零接触部署激活 URL。

    3. 如果 SD-WAN 管理员未在部署站点步骤中预填充序列号,则安装人员将负责在物理设备上找到序列号并手动将其输入到激活 URL 中,然后单击“激活”按钮。

      本地化图像

    4. 如果管理员预填充了序列号信息,则激活 URL 将已进入下一步。

      本地化图像

    5. 安装人员必须亲临现场执行以下操作:

      • 连接所有 WAN 和 LAN 接口,以匹配早期步骤中构建的拓扑和配置。
      • 在提供 DHCP IP 地址和 Internet 连接(具有 DNS 和 FQDN 到 IP 地址解析)的网络段中连接管理接口 (MGMT, 0/1)。
      • 连接 SD-WAN 设备的电源线。
      • 打开设备的电源开关。

    注意

    大多数设备在连接电源线后会自动开机。有些设备可能需要使用设备正面的电源开关开机,另一些设备可能将电源开关设在设备背面。有些电源开关需要按住电源按钮直到设备开机。

  5. 下一系列步骤在零接触部署服务的帮助下自动执行,但需要满足以下先决条件。

    • 分支设备应已通电
    • 现有网络中必须有 DHCP 可用,以分配管理和 DNS IP 地址
    • 任何 DHCP 分配的 IP 地址都需要连接到 Internet,并能够解析 FQDN
    • IP 分配可以手动配置,只要满足其他先决条件

    1. 设备从网络 DHCP 服务器获取 IP 地址,在此示例拓扑中,这是通过出厂默认状态设备的旁路数据接口实现的。

      本地化图像

    2. 当设备从底层网络 DHCP 服务器获取 Web 管理和 DNS IP 地址时,设备会启动零接触部署服务并下载任何与 ZTD 相关的软件更新。

    3. 成功连接到 ZTD 云服务后,部署过程会自动执行以下操作:

      • 下载之前由 SD-WAN Center 存储的配置文件
      • 将配置应用于本地设备
      • 下载并安装临时 10 MB 许可证文件
      • 下载并安装任何软件更新(如果需要)
      • 激活 SD-WAN 服务

      本地化图像

    4. 可以在 SD-WAN Center Web 管理界面中进行进一步确认,“零接触部署”菜单在“激活历史记录”选项卡中显示成功激活的设备。

      本地化图像

    5. 虚拟路径可能不会立即显示为已连接状态,因为 MCN 可能不信任从 ZTD 云服务下发的配置,并在 MCN 仪表板中报告“配置版本不匹配”。

      本地化图像

    6. 配置将重新交付给新安装的分支机构设备,并在 MCN > Configuration(配置)> Virtual WAN(虚拟 WAN)> Change Management(更改管理)页面上监控状态(此过程可能需要几分钟才能完成)。

      本地化图像

    7. SD-WAN 管理员可以监控前端 MCN Web 管理页面,以查看远程站点已建立的虚拟路径。

      本地化图像

    8. SD-WAN Center 还可以用于从 Configuration(配置)> Network Discovery(网络发现)> Inventory and Status(清单和状态)页面识别现场设备分配的 DHCP IP 地址。

      本地化图像

    9. 此时,SD-WAN 网络管理员可以利用 SD-WAN 覆盖网络获得对现场设备的 Web 管理访问权限。

      本地化图像

    10. 对远程站点设备的 Web 管理访问表明设备已安装了 10 Mbps 的临时宽限许可证,这使得虚拟路径服务状态能够报告为活动状态。

      本地化图像

    11. 可以使用 Configuration(配置)> Virtual WAN(虚拟 WAN)> View Configuration(查看配置)页面验证设备配置。

      本地化图像

    12. 可以使用 Configuration(配置)> Appliance Settings(设备设置)> Licensing(许可)页面将设备许可证文件更新为永久许可证。

      本地化图像

    13. 上传并安装永久许可证文件后,宽限许可证警告横幅将消失,并且在许可证安装过程中不会出现与远程站点连接中断的情况(零丢包)。

零接触部署
October 1, 2025
投稿者: 
C C
October 1, 2025
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.