Citrix SD-WAN

带内和备份管理

带内管理

Citrix SD-WAN 允许您通过两种方式管理 SD-WAN 设备:带外管理和带内管理。带外管理允许您使用为管理保留的端口创建管理 IP,该端口仅承载管理流量。带内管理允许您使用 SD-WAN 数据端口进行管理。它同时承载数据和管理流量,而无需配置添加管理路径。

带内管理允许虚拟 IP 地址连接到管理服务,如 Web UI 和 SSH。您可以在启用可用于 IP 服务的多个受信任接口上启用带内管理。您可以使用管理 IP 和带内虚拟 IP 访问 Web UI 和 SSH。

要在虚拟 IP 上启用带内管理,请执行以下操作:

  1. 在配置编辑器中,导航到 站点 > 虚拟 IP 地址
  2. 为要启 用带内管理的虚拟 IP 选择带内 Mgmt

    注意:

    确保接口安全类型为 受信任身份 已启用。

    带内管理

  3. 单击 应用

有关配置虚拟 IP 地址的详细过程,请参阅如何配置虚拟 IP

监视带内管理

在前面的示例中,我们已经在 172.170.10.78 虚拟 IP 上启用了带内管理。您可以使用此 IP 访问 Web UI 和 SSH。

在 Web UI 中,导航到 监视 > 防火墙。您可以在 目标 IP 地 址 列中分别看到使用端口 22 和 443 上的虚拟 IP 访问 SSH 和 Web UI。

监视带内管理

带内 Provisioning

在家庭或小型分支机构等较简单的环境中部署 SD-WAN 设备的需求显著增加。为更简单的部署配置单独的管理访问权限是额外的开销。零接触部署 (ZTD) 以及带内管理功能可通过指定的数据端口进行配置和配置管理。ZTD 现在在指定的数据端口上受支持,无需为 ZTD 使用单独的管理端口。Citrix SD-WAN 还允许在数据端口关闭时将管理流量无缝故障切换到管理端口,反之亦然。

处于出厂发货状态的设备(支持带内配置)可通过简单地将数据或管理端口连接到互联网进行 Provisioning。支持带内 Provisioning 的设备具有用于 LAN 和 WAN 的特定端口。处于出厂重置状态的设备具有默认配置,允许与零接触部署服务建立连接。LAN 端口充当 DHCP 服务器,并将动态 IP 分配给充当 DHCP 客户端的 WAN 端口。WAN 链路监视四 9 DNS 服务以确定 WAN 连接性。

注意

带内 Provisioning 仅适用于 SD-WAN 110 SE 和 SD-WAN VPX 平台。

获取 IP 地址并与零接触部署服务建立连接后,将下载配置包并安装在设备上。有关通过 SD-WAN Center 进行零接触部署的信息,请参阅 零接触部署。有关通过 SD-WAN Orchestrator 进行零接触部署的信息,请参阅 零接触部署

注意:对于通过数据端口配置 SD-WAN 设备的 0 天,设备软件版本应为 SD-WAN 11.1.0 或更高版本。

处于出厂重置状态的设备的默认配置包括以下配置:

  • LAN 端口上的 DHCP 服务器
  • WAN 端口上的 DHCP 客户端
  • 适用于 DNS 的 QUAD9 配置
  • 默认局域网 IP 为 192.168.0.1
  • 35 天的宽限许可证。

置备设备后,默认配置将被禁用,并由零接触部署服务接收的配置覆盖。如果设备许可证或宽限许可证过期,则会激活默认配置,以确保设备保持连接到零接触部署服务并接收通过零接触部署管理的许可证。

回退配置

回退配置可确保设备在链路故障、配置不匹配或软件不匹配时保持连接到零接触部署服务。默认情况下,在具有默认配置文件的设备上启用回退配置。您还可以根据现有 LAN 网络设置编辑备用配置。

注意:在初始设备置备之后,请确保为零接触部署服务连接启用了回退配置。

如果已禁用回退配置,则可以通过导航到 “ 配置 ” > “ 虚拟 WAN ” > “启用/ 禁用/清除流 ” > “ 启用/禁用回退配置 ”,然后单击启用来 用。

启用回退配置

要根据 LAN 网络自定义备用配置,请执行以下操作:

  1. 导航到 配置 > 装置设 置 > 回退配置
  2. 根据您的网络要求编辑以下 LAN 设置的值。这是与零接触部署服务建立连接所需的最低配置。

    • VLAN ID: 局域网端口必须分组到的 VLAN ID。
    • IP 地址:分配给 LAN 端口的虚拟 IP 地址。
    • DHCP 启用:将局域网端口启用为 DHCP 服务器。DHCP 服务器为 LAN 端口上的客户端分配动态 IP 地址。
    • DHCP 开始和 DHCP End:DHCP 用来向 LAN 端口上的客户端动态分配 IP 的 IP 地址范围。
    • DNS 服务器: 主 DNS 服务器的 IP 地址。
    • Alt DNS 服务器:辅助 DNS 服务器的 IP 地址。
    • 互联网访问:允许所有 LAN 客户端访问互联网,无需其他过滤。

    下表提供了在不同平台上用于备用配置的预先指定 WAN 和 LAN 端口的详细信息:

    平台 WAN 端口 LAN 端口
    110 1/2 1/1
    110-LTE 1/2,LTE-1 1/1
    210 1/4, 1/5 1/3
    210-LTE 1/4、1/5、LTE-1 1/3
    VPX 2 1
    410 1/4, 1/5, 1/6 1/3 (FTB)
    1100 1/4, 1/5, 1/6 1/3 (FTB)

    启用回退配置

  3. 为每个端口配置模式。端口可以是 LAN 端口或 WAN 端口,也可以禁用。显示的端口取决于设备型号。此外,将端口旁路模式设置为 “ 故障到阻止 ” 或 “ 故障到线”。

要随时将回退配置重置为默认配置,请单击 重置

启用回退配置

可配置的管理或数据端口

带内管理允许数据端口同时传输数据和管理流量,无需使用专用管理端口。这使得管理端口在已经具有较低端口密度的低端设备上未使用。Citrix SD-WAN 允许您将管理端口配置为作为数据端口或管理端口运行。

注意

您只能在以下平台上将管理端口转换为数据端口。

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

在配置编辑器上,使用配置中的管理端口。激活配置后,管理端口将转换为数据端口。

注意

只有在设备上其他受信任接口上启用带内管理时,才能配置管理端口。

要配置管理界面,请在配置编辑器中导航到 站点,选择一个站点,然后单击 界面组。MGMT 接口可供配置。有关配置接口组的更多信息,请参阅 如何配置接口组

接口组

要重新配置管理端口以执行管理功能,请删除配置。在不使用管理端口的情况下创建配置并将其激活。

备份管理网络

您可以将虚拟 IP 地址配置为备份管理网络。如果管理端口未使用默认 Gateway 配置,则将用作管理 IP 地址。

注意

如果站点具有配置了单个路由域的 Internet 服务,则默认情况下会选择启用身份的受信任接口作为备份管理网络。

要选择虚拟 IP 作为备份管理网络,请执行以下操作:

  1. 在配置编辑器中,导航到 站点 > 虚拟 IP 地址

  2. 选择虚拟 IP 地址作为备份管理网络。

    备份管理

  3. 选择带内和备份管理平面 上的所有 DNS 请求都将转发到的 DNS 代理。

    注意

    只有在为虚拟 IP 启用带内管理和备份管理网络时,才能选择 DNS 代理。

  4. 单击应用

有关配置虚拟 IP 地址的详细步骤,请参阅 如何配置虚拟 IP 地址

监视备份管理

在前面的示例中,我们选择了 172.170.10.78 虚拟 IP 作为备份管理网络。如果管理 IP 地址未配置默认 Gateway,则可以使用此 IP 访问 Web UI 和 SSH。

在 Web UI 中,导航到 监视 > 防火墙。您可以看到此虚拟 IP 地址作为 SSH 和 Web UI 访问的源 IP 地址。

监视备份管理

带内和备份管理