Citrix SD-WAN Orchestrator

带内管理

Citrix SD-WAN Orchestrator 服务允许您通过两种方式管理 SD-WAN 设备:带外管理和带内管理。带外管理允许您使用为管理保留的端口创建管理 IP,该端口仅承载管理流量。带内管理允许您使用 SD-WAN 数据端口进行管理。它同时承载数据和管理流量,而无需配置添加管理路径。

带内管理允许虚拟 IP 地址连接到管理服务,如 Web UI 和 SSH。您可以在已启用用于 IP 服务的可信接口上启用带内管理。您可以使用管理 IP 和带内虚拟 IP 访问 Web UI 和 SSH。

注意

Citrix SD-WAN 11.1.1 及更高版本支持 Citrix SD-WAN Orchestrator 服务中的带内管理。

要在虚拟 IP 上启用带内管理,请在站点级别导航到 配置 > 站点配置 > 接口。选择要用作带内管理端口的虚拟 IP。您可以使用 带内管理 IP 或带内管理IPv6 来访问 Web 用户界面和 SSH。

注意

仅局域网端口支持带内管理。

带内管理

有关配置虚拟 IP 地址的详细步骤,请参阅 接口

带内管理 IP 也充当备份管理 IP。如果管理端口未使用默认 Gateway 配置,则将用作管理 IP 地址。选择通过带内管理平面将所有 DNS 请求转发到的 DNS 代理 。有关配置 DNS 代理的信息,请参阅 DNS 代理

对于设备与 Citrix SD-WAN Orchestrator 服务的连接在管理端口和带内端口之间切换的用例,请配置带内 管理 DNS 或带内管理 DNS V6 以确保 Citrix SD-WAN Orchestrator 服务连接不间断。

带内 Provisioning

在家庭或小型分支机构等较简单的环境中部署 SD-WAN 设备的需求显著增加。为更简单的部署配置单独的管理访问权限是额外的开销。零接触部署以及带内管理功能可以通过指定的数据端口进行 Provisioning 和配置管理。指定的数据端口支持零接触部署,无需使用单独的管理端口进行零接触部署。

您可以将设备处于出厂发货状态,通过将数据或管理端口连接到互联网来支持带内 Provisioning 备。支持带内 Provisioning 的设备具有用于 LAN 和 WAN 的特定端口。处于恢复出厂设置状态的设备具有允许与零接触部署服务建立连接的默认配置。LAN 端口充当 DHCP 服务器,并将动态 IP 分配给充当 DHCP 客户端的 WAN 端口。WAN 链路监视四 9 DNS 服务以确定 WAN 连接性。

获取 IP 地址并与零接触部署服务建立连接后,将下载配置包并安装在设备上。有关通过 Citrix SD-WAN Orchestrator 服务进行零接触部署的信息,请参阅 零接触部署

注意

  • 带内 Provisioning 适用于所有平台。但是,默认配置仅在 Citrix SD-WAN 110 和 VPX 平台上启用,因为其他平台随附较旧的软件版本。
  • 对于通过数据端口在 0 天 Provisioning SD-WAN 设备,设备软件版本必须为 Citrix SD-WAN 11.1.1 或更高版本。

处于出厂重置状态的设备的默认配置包括以下配置:

  • LAN 端口上的 DHCP 服务器
  • WAN 端口上的 DHCP 客户端
  • 适用于 DNS 的 QUAD9 配置
  • 对于具有出厂映像 11.1.1.39 的 Citrix SD-WAN 设备,默认局域网 IP 为 192.168.101.1/24。
  • 对于具有出厂映像 11.0.4 的 Citrix SD-WAN 110 设备,默认局域网 IP 为 192.168.0.1/24。
  • 35 天的宽限许可证。

置备设备后,默认配置将被禁用并被从零接触部署服务接收的配置覆盖。如果设备许可证或宽限许可证过期,则会激活默认配置,以确保设备保持与零接触部署服务的连接并接收许可证托管服务。

回退配置

回退配置可确保在发生链路故障、配置不匹配或软件不匹配时设备保持与零接触部署服务的连接。默认情况下,在具有默认配置文件的设备上启用回退配置。您还可以根据现有 LAN 网络设置编辑备用配置。

在以下情况下,备用配置通过设备带内管理 IP 和 Citrix SD-WAN Orchestrator 服务保留与设备的连接:

  • t2_app 在哪里崩溃
  • 你尝试执行配置重置

在这种情况下,设备配置了带内管理,您执行了手动配置重置,或者由于用户配置,t2_app 在 120 秒内崩溃了四次以上。在这样的框架中,该服务被禁用,因此您失去了与 Citrix SD-WAN Orchestrator 服务和设备的连接。

但是,如果您启用了备用配置,则可以获得以下功能:

  • 对管理功能(Web UI/SSH/SNMP)的基本带内访问
  • 设备能够通过带内端口(Citrix SD-WAN Orchestrator 服务/ZTD)连接到外部服务

对于此类情况,不是禁用服务设备,而是使用启用服务的回退配置。只要链接具有互联网连接,通过带内管理 IP 与 Citrix SD-WAN Orchestrator 服务和设备的连接就会保持不变。

注意

初始设备配置完成后,确保启用备用配置以实现零接触部署服务连接。

如果禁用了备用配置,则可以通过站点级别的 Citrix SD-WAN Orchestrator 服务将其启用,方法是导航到 配置 > 设备设置 > 回退 并单击 “ 启用回退 配置”。

启用回退配置

要根据您的局域网自定义备用配置,请根据您的网络要求编辑以下 LAN 设置的值。这是与零接触部署服务建立连接所需的最低配置。

  • VLAN ID:局域网端口必须分组到的 VLAN ID。
  • IP 地址:分配给 LAN 端口的虚拟 IP 地址。
  • 启用 DHCP 服务器:启用局域网端口作为 DHCP 服务器。DHCP 服务器将动态 IP 地址分配给 WAN 端口。
  • DHCP 起始点和 DHCP 结束:DHCP 用来为广域网端口动态分配 IP 的 IP 地址范围。
  • 动态 DNS 服务器:启用 LAN 端口作为域名服务器。
  • DNS 服务器:主 DNS 服务器的 IP 地址。
  • Alt DNS 服务器:辅助 DNS 服务器的 IP 地址。
  • 互联网访问:允许所有 LAN 客户端访问互联网,无需其他过滤。

备用配置设置

为每个端口配置模式。该端口可以是 LAN 端口或 WAN 端口,也可以禁用。显示的端口取决于设备型号。此外,将端口旁路模式设置为 “ 故障到阻止 ” 或 “ 故障到线”。

下表提供了在不同平台上用于备用配置的预先指定 WAN 和 LAN 端口的详细信息:

平台 WAN 端口 LAN 端口
110 1/2 1/1
110-LTE 1/2,LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4、1/5、LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

端口设置

可以使用 DHCP 客户端将 WAN 端口配置为独立的 WAN 链路,并监控 Quad9 DNS 服务以确定 WAN 连接。在没有 DHCP 的情况下,您可以为 WAN 端口配置 WAN IPS/静态 IP,以便使用带内管理进行初始配置。

注意

您只能使用静态 IP 配置以太网端口。静态 IP 无法使用 LTE-1 和 LTE-E1 端口进行配置。尽管您可以将 LTE-1 和 LTE-E1 端口添加为 WAN,但配置字段仍然是不可编辑的。

当您添加 WAN 端口时,它会被添加到 WAN 设置(端口:2) 部分下,默认情况下, 启用 DHCP 复选框处于选中状态。如果选中 DHCP 模式 复选框,则 IP 地址网关 IP 地址VLAN ID 文本字段将显示为灰色。如果要配置静态 IP,请清除 “ 启用 DHCP ” 复选框。

WAN 端口设置

默认情况下, WAN 跟踪 IP 地址 字段自动填充 9.9.9.9。您可以根据需要更改地址。

注意

如果选中 “ 动态 DNS 服务器 ” 复选框,请确保在选中 D HCP 模式 的情况下添加/配置至少一个 WAN 端口。

要随时将回退配置重置为默认配置,请单击 重置

注意

建议在通过连接到 LAN 子网的带内/管理端口连接到 Orchestrator 的所有设备上启用备用配置。确保根据您的网络子网要求设置默认备用配置。

端口切换

Citrix SD-WAN Orchestrator 服务还允许在数据端口关闭时将管理流量无缝故障转移到管理端口,反之亦然。如果设备可以通过管理端口和带内端口连接到互联网,则选择管理端口进行零接触部署。

重新启动设备时,如果可以通过带内端口而不是管理端口访问互联网,则设备将立即连接到 Citrix SD-WAN Orchestrator 服务。

建立连接后,在设备上运行的服务代理每 10 秒钟将心跳信息发送到 Citrix SD-WAN Orchestrator 服务。如果 Citrix SD-WAN Orchestrator 服务在 5 分钟内没有收到心跳信号,则会激活带内端口故障转移。Citrix SD-WAN Orchestrator 服务在此期间将设备报告为脱机。

重新启动设备时,如果管理端口和带内端口都无法使用 Internet,并且重新建立 Internet 连接后,服务代理大约需要 5 分钟的时间重新启动并建立连接。

确保在网络级别 “ 配置 ” > “ 交付服务 ” > “ 互联网” 启用 “即使所有关联路径均处于关闭状态,也保留从链接到互联网的路由” 选项。确保即使虚拟路径出现故障,也能保持与 Citrix SD-WAN Orchestrator 服务的连接。

保留互联网路线

可配置的管理或数据端口

带内管理允许数据端口同时传输数据和管理流量,无需使用专用管理端口。它使管理端口在已经具有较低端端口密度的低端设备上未使用。Citrix SD-WAN 允许您将管理端口配置为作为数据端口或管理端口运行。

注意

您只能在以下平台上将管理端口转换为数据端口。

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

配置站点时,请在配置中使用管理端口。激活配置后,管理端口将转换为数据端口。

注意

只有在设备上其他受信任接口上启用带内管理时,才能配置管理端口。

要配置管理接口,请在站点级别导航到 配置 >站点配置** > **接口 ,然后选择 MGMT 接口。有关配置接口组的更多信息,请参阅 接口

可配置管理端口

要重新配置管理端口以执行管理功能,请删除配置。在不使用管理端口的情况下创建配置并将其激活。

带内管理