零接触
注意
仅在选择 Citrix SD-WAN 设备时支持零接触部署服务:
- SD-WAN 110 标准版
- SD-WAN 210 Standard Edition
- SD-WAN 410 Standard Edition
- SD-WAN 2100 Standard Edition
- SD-WAN 1000 Standard Edition(需要重新创建映像)
- SD-WAN 1000 企业版(高级版)(需要重新映像)
- SD-WAN 1100 标准版
- SD-WAN 1100 Premium (Enterprise) Edition
- SD-WAN 2000 标准版(需要重新映像)
- SD-WAN 2000 企业版(高级版(需要重新映像)
- SD-WAN 2100 Enterprise Edition (Premium Edition)
- SD-WAN AWS VPX 实例
零接触部署云服务是 Citrix 运营和托管的基于云的服务,允许在 Citrix SD-WAN 网络中发现新设备,主要侧重于简化 Citrix SD-WAN 在分支机构或云服务办公室位置的部署过程。零接触部署云服务可通过公共互联网访问从网络中的任何点公开访问。零接触部署云服务可通过安全套接字层 (SSL) 协议进行访问。
零接触部署云服务与后端 Citrix 服务安全地通信,托管已购买零接触功能设备(例如 SD-WAN 410-SE、2100-SE)的 Citrix 客户的存储标识。后端服务已到位以验证任何零接触部署请求,正确验证客户帐户与 Citrix SD-WAN 设备序列号之间的关联。
ZTD 高级架构和工作流程:
数据中心站点:
Citrix SD-WAN 管理员 — 具有 SD-WAN 环境管理权限的用户,主要责任如下:
-
使用 Citrix SD-WAN Center 网络配置工具创建配置,或从主控制节点 (MCN) SD-WAN 设备导入配置
-
Citrix Cloud 登录为新站点节点部署启动零接触部署服务。
注意
如果您的 SD-WAN Center 通过代理服务器连接到 Internet,则必须在 SD-WAN Center 上配置代理服务器设置。有关详细信息,请参阅零接触部署的代理服务器设置。
网络管理员 — 负责企业网络管理(DHCP、DNS、Internet、防火墙等)的用户
- 如有必要,请将防火墙设置为从 SD-WAN Center 向 FQDN sdwanzt.citrixnetworkapi.net出站通信。
远程站点:
现场安装 人员 — 现场活动的本地联系人或雇用的安装人员,主要职责如下:
-
物理解压 Citrix SD-WAN 设备的包装。
-
重新映像非 ZTD 就绪设备。
-
所需的:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE
-
不需要:SD-WAN 410-SE、2100-SE
-
-
电源线的设备。
-
在管理界面(例如 MGMT 或 0/1)上连接设备以便连接互联网。
-
在数据接口(例如 AP.WAN、APB.WAN、APC.WAN、APC.WAN、0/2、0/3、0/5 等)上连接设备的电缆连接。
注意
每种型号的接口布局都有所不同,因此请参考有关识别数据和管理端口的文档。
需要满足以下必备条件,才能启动任何零接触部署服务:
-
主动运行 SD-WAN 提升到主控制节点 (MCN)。
-
主动运行 SD-WAN 中心,通过虚拟路径连接到 MCN。
-
在 https://onboarding.cloud.com 上创建的 Citrix Cloud Login 凭据(请参阅以下有关创建帐户的说明)。
-
在端口443上直接管理或通过代理服务器管理到 Internet网络连接(SD-WAN Center 和 SD-WAN 设备)。
-
(可选)在客户端模式下,至少有一台主动运行在分支机构的 SD-WAN 设备,并且有效的虚拟路径可以连接到 MCN,以帮助验证在现有底层网络中成功建立的路径。
最后一个先决条件不是必需的,但允许 SD-WAN 管理员验证底层网络是否允许在任何新添加的站点完成零接触部署时建立虚拟路径。首先,这可以验证是否已针对 NAT 流量实施了适当的防火墙和路由策略,或者确认 UDP 端口 4980 能够成功穿透网络以到达 MCN。
零接触部署服务概述:
零接触部署服务与 SD-WAN Center 结合使用,以提供更易于部署的分支机构 SD-WAN 设备。SD-WAN 中心配置并用作 SD-WAN 标准和企业(高级)版设备的中央管理工具。要使用零接触部署服务(或零接触部署云服务),管理员必须首先在环境中部署第一台 SD-WAN 设备,然后将 SD-WAN Center 配置并部署为中心管理点。当在端口 443 上安装 SD-WAN Center(9.1 或更高版本)时,可以连接到公共互联网,SD-WAN Center 会自动启动云服务并安装必要的组件来解锁零接触部署功能,并在SD-WAN Center 的 GUI。在 SD-WAN 中心软件中默认情况下,零接触部署不可用。这样做的目的是确保在允许管理员启动任何涉及零接触部署的现场活动之前,底层网络上存在适当的初步组件。
正在运行的 SD-WAN 环境启动并向零接触部署服务中运行注册后,将通过创建 Citrix Cloud 帐户登录来完成。由于 SD-WAN Center 能够与零接触部署服务进行通信,GUI 将在 “ 配置 ” 选项卡下显示零接触部署选项。登录零接触服务会验证与特定 SD-WAN 环境关联的客户 ID,并注册 SD-WAN 中心,此外还可解锁帐户以进一步验证零接触部署设备部署的身份。
然后,使用 SD-WAN Center 中的网络配置工具,SD-WAN 管理员将需要使用模板或克隆站点功能来构建 SD-WAN 配置以添加新站点。SD-WAN 中心使用新配置,为新添加的站点启动零接触部署的部署。当 SD-WAN 管理员使用零接触部署流程启动站点进行部署时,您可以选择通过预填充序列号并发起与现场安装人员的电子邮件通信以在现场开始预先验证用于零接触部署的设备活动。
现场安装程序会接收电子邮件通信,表明该站点已准备就绪,可以进行零接触部署,并且可以开始执行安装过程,以便在 MGMT 端口上启动并连接设备,以实现 DHCP IP 地址分配以及访问 Internet。此外,在任何 LAN 和 WAN 端口中连接布线。其他所有内容均由零接触部署服务启动,并使用激活 URL 监控进度。如果要安装的远程节点是云实例,打开激活 URL 时,将开始执行工作流以自动在指定的云环境中安装实例,本地安装程序不需要执行任何操作。
零接触部署云服务可自动执行以下操作:
如果分支设备上有新功能,请下载并更新零接触部署代理。
-
通过验证序列号对分支设备进行身份验证。
-
验证 SD-WAN 管理员是否使用 SD-WAN 中心接受该站点进行零接触部署。
-
从 SD-WAN Center 拉出目标设备特定的配置文件。
-
将特定于目标设备的配置文件推送到分支设备。
-
在分支设备上安装配置文件。
-
将任何丢失的 SD-WAN 软件组件或所需更新推送到分支设备。
-
推送一个临时 10 Mbps 许可证文件,以确认与分支设备建立的虚拟路径。
-
在分支设备上启用 SD-WAN 服务。
要在设备上安装永久性许可证文件,SD-WAN 管理员需要执行更多步骤。
注意:
在执行已具有与 MCN 中使用的设备软件相同版本的分支配置时,零接触部署过程将不会再次下载设备软件文件。此更改适用于出厂发货的新设备、设备重置为出厂默认值以及以管理方式重置配置。如果重置了配置,请选中 还原后重新启 动复选框以启动零接触部署过程。
零接触部署设备过程
以下过程详细介绍了使用零接触部署服务部署新站点所需的步骤。有一个正在运行的 MCN 和一个客户端节点已经在与 SD-WAN Center 进行正常通信,并建立虚拟路径来确认整个底层网络的连接。要启动零接触部署,SD-WAN 管理员需要执行以下步骤:
如何配置零接触部署服务
SD-WAN Center 可以接受来自新连接的设备的请求以加入 SD-WAN Enterprise 网络。请求通过零接触部署服务转发到 Web 界面。设备连接到服务后,将下载配置和软件升级软件包。
配置工作流程:
-
访问 SD-WAN Center > 创建新站点配置 或导入现有配置并保存。
-
登录到 Citrix Cloud 以启用零接触部署服务。“零接触部署”菜单选项现在显示在 SD-WAN 中心 Web 管理界面中。
-
在 SD-WAN Center 中,导航到 配置 > 零接触部署 > 部署新站点。
-
选择一个设备,单击 启用,然后单击部署。
-
安装程序会收到激活电子邮件 > 输入序列号 > 激 活 > 设备已成功部署。
要配置零接触部署服务,请执行以下操作:
-
使用启用的零接触部署功能安装 SD-WAN Center:
-
使用 DHCP 分配的 IP 地址安装 SD-WAN 中心。
-
验证 SD-WAN Center 是否分配了正确的管理 IP 地址和网络 DNS 地址,并通过管理网络与公用 Internet 建立连接。
-
将 SD-WAN 中心升级到最新的 SD-WAN 软件版本。
-
通过适当的互联网连接,SD-WAN Center 将启动零接触部署云服务,并自动下载并安装特定于零接触部署的任何固件更新,如果此 Call Home 过程失败,则 GUI 中将不可用以下零接触部署选项。
-
阅读条款和条件,然后选择 我确认我已阅读并同意上述条款和条件。
-
如果已创建 Citrix Cloud 帐户,请单击登录 Citrix Workspace 云按钮。
-
登录 Citrix Cloud 帐户,在收到以下成功登录消息后, 请不要关闭此窗口,此过程需要约 20 秒才能刷新 SD-WAN CENTER GUI。窗口完成后必须自行关闭。
-
-
要创建 Cloud Login 帐户,请按照以下步骤操作:打开网络浏览器进入 https://onboarding.cloud.com
-
点击 “ 等待” 的链接,我有一个 Citrix.com 帐户。
-
使用现有 Citrix 帐户登录。
-
登录到 SD-WAN 中心零接触部署页面后,您可能会注意到没有站点可用于零接触部署,原因如下:
-
尚未从 配置 下拉菜单中选择活动配置
-
当前活动配置的所有站点都已部署
-
配置不是使用 SD-WAN Center 建立的,而是在 MCN 上可用的配置编辑器
-
站点未在引用零触摸功能设备的配置中构建(例如 410-SE、21000-SE、云 VPX)
-
-
更新配置,以使用ZTD 功能的 SD 设备(使用 SD-WAN Center 网络配置)添加新远程站点。
如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,则从 MCN 导入活动配置,然后开始使用 SD-WAN Center 修改配置。为实现零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。必须使用以下过程添加针对零接触部署的新站点。
-
通过首先列出新站点的详细信息(即设备型号、接口组使用情况、虚拟 IP 地址、带宽与带宽及其各自的网关),为 SD-WAN 设备部署设计新站点。
重要
您可能会注意到任何已选择 VPX 作为模型的站点节点也会被列出,但当前零接触部署支持仅适用于 AWS VPX 实例。
注意
-
请务必使用 Citrix SD-WAN Center 支持的 Web 浏览器
-
确保在 Citrix Workspace 登录期间 Web 浏览器未阻止任何弹出窗口
这是分支机构站点的示例部署,SD-WAN 设备物理部署在 172.16.30.0/24 网络中的现有 MPLS WAN 链路的路径中,并使用现有备份链路,方法是使其进入活动状态并终止第二个 WAN 链接直接连接到 SD-WAN不同子网上的设备 172.16.31.0/24。
注意
SD-WAN 设备可自动分配默认 IP 地址 192.168.100.1/16。默认启用 DHCP 后,网络中的 DHCP 服务器可能会在与默认值重叠的子网中为设备提供第二个 IP 地址。这可能会导致设备上的路由问题,即设备可能无法连接到零接触部署 Cloud Service。将 DHCP 服务器配置为分配在 192.168.0.0/16 范围内的 IP 地址。
有各种不同的部署模式可用于在网络中放置 SD-WAN 产品。在上面的示例中,将在现有网络基础结构的顶部将 SD-WAN 部署为覆盖。对于新站点,SD-WAN 管理员可能会选择在边缘或网关模式下部署 SD-WAN,从而不需要 WAN Edge 路由器和防火墙,并将边缘路由和防火墙的网络需求整合到 SD-WAN 解决方案中。
-
-
-
打开 SD-WAN Center Web 管理界面,然后导航到 配置 > 网络配置 页面。
-
确保已有工作配置,或者从 MCN 导入配置。
-
导航到 高级 选项卡以创建站点。
-
打开 站点 磁贴以显示当前配置的站点。
-
使用任何现有站点的克隆功能快速构建新站点的配置。
-
填充为此新分支站点设计的拓扑中的所有必填字段
-
克隆新站点后,导航到该站点的 “ 基本设置”,然后验证是否正确选择了支持零接触服务的 SD-WAN 型号。
可以更新站点的 SD-WAN 模型,但请注意,可能需要重新定义接口组,因为更新后的设备的接口布局可能比用于克隆的布局更新。
-
在 SD-WAN Center 上保存新配置,然后使用 “导出到 更改管理收件箱” 选项使用 “更改管理” 推送配置。
-
按照变更管理过程正确暂存新配置,这样可以使现有的 SD-WAN 设备知道要通过零接触部署的新站点,您必须使用 “忽略不完整” 选项来跳过尝试将配置推送到仍然必须通过的新站点的尝试零接触部署工作流程。
-
导航回 SD-WAN Center 零接触部署页面,在运行新的活动配置的情况下,将有新站点可供部署。
-
在零接触部署页面的 “部 署新站点 ” 选项卡下,选择正在运行的网络配置文件
-
选择正在运行的配置文件后,将显示支持零接触的未部署 SD-WAN 设备的所有分支站点的列表。
-
选择要为零接触服务配置的分支站点,单击 启用,然后单击 部署。
-
此时将显示部署新站点弹出窗口,在此窗口中,管理员可以提供序列号、分支站点街道地址、安装程序电子邮件地址以及其他备忘录(如有必要)。
注意
序列号输入字段是可选的,根据是否填充该字段,会导致安装人员负责的现场活动发生变化。
- 如果填充了序列号字段 — 安装程序不需要在使用部署站点命令生成的激活 URL 中输入序列号
- 如果序列号字段保留为黑色 — 安装程序将负责在将设备的序列号更正到使用部署站点命令生成的激活 URL 中
-
单击部署按钮后,将显示一条消息,指出“站点配置已部署”。此操作将触发 SD-WAN 中心(该中心先前注册到零接触部署云服务)共享此特定站点的配置,以便在零接触部署云服务中存储。
-
导航到 “挂起的激活” 选项卡,确认已成功填充分支站点信息,并将其设置为待执行的安装程序活动状态。
注意
如果信息不正确,则可以选择处于“挂起激活”状态的零接触部署来删除或修改。如果从 “挂起的激活” 页面中删除了一个站点,该站点将可以在部署新站点选项卡页面中部署。选择将分支站点从挂起的激活中删除后,发送到安装程序的激活链接将失效。
如果 SD-WAN 管理员未填充序列号字段,则状态字段指示“等待安装程序”而不是“正在连接”。
-
下一系列活动由现场安装程序执行。
-
安装程序验证 SD-WAN 管理员在部署站点时使用的电子邮件地址的邮箱。
-
在互联网浏览器窗口中打开零接触部署激活 URL(例如
https://sdwanzt.citrixnetworkapi.net)。 -
如果 SD-WAN 管理员未在部署站点步骤中预填充序列号,则安装程序将负责找到物理设备上的序列号,并手动将序列号输入到激活 URL 中,然后单击激活按钮。
-
如果管理员预填充序列号信息,激活 URL 将一直准备执行下一个步骤。
-
安装程序的物理位置必须在现场,以执行以下操作:
-
连接所有 WAN 和 LAN 接口,使其与之前步骤中构建的拓扑和配置相匹配。
-
在网络中提供 DHCP IP 地址和通过 DNS 将 FQDN 连接到 IP 地址解析的网络段中的管理接口(MGMT、0/1)电缆。
-
电源线 SD-WAN 设备。
-
打开设备的电源开关。
注意
连接电源线时,大多数设备将自动启动。某些设备可能必须使用设备前面的电源开关打开电源,其他设备可能在设备背面安装了电源开关。某些电源开关需要按住电源按钮,直到设备通电。
-
-
-
下一系列步骤通过零接触部署服务的帮助自动完成,但需要使用以下必备条件。
-
分支设备必须打开电源
-
DHCP 必须在现有网络中可用,以分配管理和 DNS IP 地址
-
任何 DHCP 分配的 IP 地址都需要连接到互联网并能够解析 FQDN
-
只要满足其他先决条件,就可以手动配置 IP 分配
-
设备从网络 DHCP 服务器获取 IP 地址,在此示例中,拓扑通过出厂默认状态设备的跳过数据接口实现。
-
当设备从底层网络 DHCP 服务器获取 Web 管理和 DNS IP 地址时,设备将启动零接触部署服务并下载任何与零接触部署相关的软件更新。
-
成功连接到零接触部署云服务后,部署过程会自动执行以下操作:
-
下载 SD-WAN 中心之前存储的配置文件
-
将配置应用于本地设备
-
下载并安装临时 10 MB 许可证文件
-
下载并安装任何软件更新(如有需要)
-
激活 SD-WAN 服务
-
-
进一步确认可以在 SD-WAN Center Web 管理界面中完成,在激活历史记录选项卡中,“零点触摸部署”菜单显示成功激活的设备。
-
虚拟路径可能不会立即显示为连接状态,因为 MCN 可能不信任从零接触部署云服务传递的配置,并在 MCN 仪表板中报告“配置版本不匹配”。
-
配置将重新传递到新安装的分支机构设备,并在 MCN > 配置 > 虚拟 WAN > 更改管理 页面上监视状态(此过程可能需要几分钟才能完成)。
-
SD-WAN 管理员可以监视面向已建立的远程站点虚拟路径的头端 MCN Web 管理页面。
-
SD-WAN Center 还可用于从 配置 > 网络发现 >清单和状态页面中识别 DHCP 分配的现 场设备的 IP 地址。
-
此时,SD-WAN 网络管理员可以使用 SD-WAN 覆盖网络获得对现场设备的 Web 管理访问权限。
-
对远程站点设备进行 Web 管理访问指示已使用临时宽限期 10 Mbps 来安装设备,这样可使虚拟路径服务状态报告为活动状态。
-
可以使用配置>虚拟 WAN>查看配置页面对设备配置进行验证。
-
可以使用配置 > 设备设置 > 许可页面将设备许可证文件更新为永久许可证。
-
-
上载并安装永久许可证文件后,Grace 许可证警告横幅消失,并且在许可证安装过程中不会发生与远程站点的连接丢失(丢弃零 ping)。