Citrix SD-WAN

适用于 Citrix SD-WAN 设备上的内部部署配置的 Citrix SD-WAN 管弦乐器

适用于本地的 Citrix SD-WAN Orchestrator 是 Citrix SD-WAN Orchestrator 服务的本地软件版本。适用于内部部署的 Citrix SD-WAN Orchestrator 为 Citrix 合作伙伴提供了一个单一窗格管理平台,可以通过适当的基于角色的访问控制来集中管理多个客户。

通过启用 Orchestrator 连接并为本地身份指定 Citrix SD-WAN 管弦乐队,您可以在 Citrix SD-WAN 设备和适用于内部部署的 Citrix SD-WAN Orchestrator 之间建立连接。

注意

  • 如果在 SD-WAN 设备上配置了 SD-WAN 设备上的本地 SD-WAN Orchestrator 配置 功能,则 Cloud Orchestrator 零接触部署将不起作用。
  • 如果在 Citrix SD-WAN Orchestrator 版本 11.3.0 中配置的 SD-WAN 设备上的 Citrix SD-WAN 本地管弦乐器配置降级至 10.2.7 版,则 SD-WAN 设备上本地的 Citrix SD-WAN 管弦乐器将丢失。不支持从 11.3.0 版降级到 10.2.7 版。解决方法是在降级后为本地身份重新配置 Citrix SD-WAN Orchestrator。
  • 将 SD-WAN 设备从 11.3.0 降级到 11.1.1/11.2.0/10.2.7 软件版本后,必须在 Citrix SD-WAN 设备 UI 上再次应用身份设置。如果有与用于本地配置或 SD-WAN 设备连接的 Citrix SD-WAN Orchestrator 相关的任何问题,请禁用 Citrix SD-WAN Orchestrator 进行本地连接,然后再次启用 Citrix SD-WAN Orchestrator 进行本地连接。

要使用 Citrix SD-WAN 11.2.1 版本以后的版本启用 Citrix SD-WAN 管弦乐器进行本地连接,请执行以下操作:

  1. 在设备 UI 中,导航到配置 > 虚拟广域网 > 本地 SD-WAN Orchestrator

  2. 选中 启用本地 SD-WAN Orchestrator 连接 复选框。

    注意:

    从 Citrix SD-WAN 11.2.1 以后的版本开始,将引入 SD-WAN 设备和本地 SD-WAN Orchestrator 证书、本地 SD-WAN Orchestrator 域、身份验证类型高级配置 选项。

    适用于本地部署的 Citrix SD-WAN Orchestrator 高级配置

  3. 输入适用于本地 IP 地址或域的 Citrix SD-WAN Orchestrator 或两者(IP 地址和域)进行配置。

    如果客户只配置域,则必须确保在其本地 DNS 服务器中添加 DNS 记录,并且必须在 SD-WAN 设备上配置 DNS 服务器 IP 地址。要配置,请导航到 配置 > 网络适配器 > IP 地址

    例如,如果适用于内部部署域的 Citrix SD-WAN Orchestrator 配置为 citrix.com。那么您必须在 DNS 服务器中为以下 FQDN 和 Citrix SD-WAN Orchestrator 为本地 IP 地址创建 DNS 记录:

    • download.citrix.com
    • sdwanzt.citrix.com
    • sdwan-home.citrix.com

    在高级配置中:

    例如:如果适用于内部部署的 Citrix SD-WAN Orchestrator 配置为 citrix.com,则下载管理服务域配置为 download.citrix.com,并且统计管理服务域配置为 statistics.citrix.com,则必须创建一个DNS 服务器中以下 FQDN 和相应 IP 地址的 DNS 记录:

    • download.citrix.com
    • sdwanzt.citrix.com
    • statistics.citrix.com

    适用于本地高级配置详细信息的 Citrix SD-WAN Orchestrator

    适用于本地的 Citrix SD-WAN Orchestrator 可能支持在独立服务器实例上运行下载、统计信息等服务,以便为大型网络提供更好的可扩展性。您可以选择 高级配置并配置载管理服务和统计管理 服务。

    选中 “ 高级配置 ” 复选框并提供以下详细信息:

    • 下载管理服务 IP/Domain:提供有助于将 SD-WAN 软件和配置下载方面卸载的 IP 地址/域到独立的服务器实例,以便为大型网络提供更好的可扩展性。

    • 统计管理服务 IP/Domain:提供有助于将 SD-WAN 统计信息的收集和管理从设备转移到独立服务器实例的 IP 地址/域,从而为大型网络提供更好的可扩展性。

  4. 选择 身份验证类型。以下是 SD-WAN 设备和 Citrix SD-WAN Orchestrator 之间支持的用于本地连接的身份验证类型:

    • 无身份验证 — 适用于内部部署的 Citrix SD-WAN Orchestrator 与 SD-WAN 设备之间不进行身份验证,并且无需使用 SD-WAN 设备 或本地 SD-WAN Orchestrator 证书。但是,如果您有一个安全的网络,如 MPLS,则可以使用此选项。

    • 单向身份验证 — 选择 单向身份验证 类型时,必须上传适用于本地的 Citrix SD-WAN Orchestrator 证书。从适用于本地的 Citrix SD-WAN Orchestrator 下载证书,然后单击 上传。SD-WAN 设备使用上传的证书信任适用于本地的 Citrix SD-WAN Orchestrator。

    • 双向身份验证 — 适用于内部部署的 Citrix SD-WAN Orchestrator 和设备证书必须相互交换。对于 双向身份验证,您必须在适用于本地的 Citrix SD-WAN Orchestrator 上重新生成、下载和上传 SD-WAN 设备证书。SD-WAN 设备和适用于本地的 Citrix SD-WAN Orchestrator 使用交换的证书相互信任。

    注意

    建议仅使用单向身份验证或双向身份验证。在无身份验证的情况下,请确保 DNS 是安全的,免受 DNS 攻击。

    如果禁用了适用于本地 身份验证类型 的 Citrix SD-WAN Orchestrator,则设备可以通过 无身份验证、向身份验证或双向身份验证** 模式连接到适用于本地的 Citrix SD-WAN Orchestrator。

    如果启用了适用于本地 身份验证类型 的 Citrix SD-WAN Orchestrator,则设备只能通过 双向身份验证连接到适用于本地的 Citrix SD-WAN Orchestrator。

    从启用状态禁用 Citrix SD-WAN Orchestrator 中的 身份验证类型 时,处于单向身份验证模式的现有设备将进入断开连接状态。客户必须将设备身份验证类型更改为双向身份验证,然后将 SD-WAN 设备证书上传到适用于本地的 Citrix SD-WAN Orchestrator 才能进行连接。

    注意

    • 生成的证书是 X509 自签名证书。
    • 如果证书过期或破坏,客户必须重新生成证书。
    • 证书的有效期为 10 年。
    • 您可以查看证书详细信息,如指纹、开始日期和结束日期
    • 客户必须确保在适用于本地的 Citrix SD-WAN Orchestrator 和 SD-WAN 设备之间重新生成和交换证书,以避免与适用于本地的 Citrix SD-WAN Orchestrator 的设备失去连接。

    适用于本地身份验证的 Citrix SD-WAN Orchestrator 类型

  5. 单击 应用设置

要为本地连接禁用 Citrix SD-WAN Orchestrator,请清除 启用本地 SD-WAN Orchestrator 连接 选项,然后单击 应用设置。要将适用于本地托管网络的 Citrix SD-WAN Orchestrator 转换为云管弦乐队或 MCN 托管网络,您需要为本地连接禁用 Citrix SD-WAN Orchestrator,并且必须执行配置重置。要重置配置,请导航到 配置 > 系统维护 > 配置重置

使用适用于内部部署的 Citrix SD-WAN 管弦乐器部署在软件版本 10.2.7、11.1.1 或 11.2.0 上运行的 Citrix SD-WAN 设备

注意

要使用软件版本 10.2.7、11.1.1 或 11.2.0 部署 Citrix SD-WAN 设备,您需要使用适用于本地版本 11.1 或更高版本的 Citrix SD-WAN Orchestrator。

  1. 对于软件版本为 10.2.7、11.1.1 或 11.2.0 的每台 Citrix SD-WAN 设备,请登录设备 Web 界面并执行以下操作:
    1. 导航到 配置 > 虚拟广域网 > 本地 SD-WAN Orchestrator ,然后选中 启用本地 SD-WAN Orchestrator 连接 复选框。
    2. 输入适用于本地的 Citrix SD-WAN Orchestrator 的 IP 地址。
    3. 单击 应用设置

    设备本地连接

  2. 登录适用于本地用户界面的 Citrix SD-WAN Orchestrator。创建站点并构建配置。在各自的站点配置中输入每台 Citrix SD-WAN 设备的序列号。保存配置。

    设备创建配置

  3. 导航到 管理 > 证书身份验证 ,然后将 身份验证类型 切换开关设为 。单击 是,禁用以批准禁用身份验证类型 弹出窗口。

    禁用验证

    证书身份验证

  4. 配置 > 网络配置主 页中,SD-WAN 设备 云连接 列下显示为联机。这是由于在适用于本地的 Citrix SD-WAN Orchestrator 上禁用了证书身份验证,并且为 Citrix SD-WAN Orchestrator 启用了 SD-WAN Orchestrator 使用适当的 IP 地址进行本地连接的 SD-WAN 设备。等待几分钟,让设备报告为在线状态。

    处于联机状态的设备

  5. 选择已发布的软件版本(11.3.0 或更高版本),然后单击 部署配置/软件。有关选择已发布软件版本的更多详细信息,请参阅 软件停并激活站点。激活后,设备将在联机列中显示 “ **否 ”。**

    处于脱机状态的设备

  6. 导航到 管理 > ZTD 设置 > 非云 ZTD。单击 + 站 点并添加站点。输入每台设备的管理 IP 和登录凭据。单击 + 添加更多站点。单击添加

    零接触部署设置页面

  7. 单击 刷新 以监视配置状态。成功配置站点后,“ 配置状态 ” 列将显示 “ 站点已成功配置”。

    已成功配置站点

  8. 导航到 配置 > 网络配置主 页。成功配置的站点 Orchestrator 连接 列下显示为联机。

    零接触部署后设备在线

  9. 按照相同的过程添加任何其他站点。执行上述步骤不会影响任何现有的站点部署。
适用于 Citrix SD-WAN 设备上的内部部署配置的 Citrix SD-WAN 管弦乐器