PoC指南:SD-WAN for Home office

概述

本概念验证(PoC)指南旨在帮助您使用Citrix SD-WAN Orchestrator服务作为管理工具快速部署Citrix SD-WAN家庭办公环境。的思杰SD-WAN家庭办公设计决策指南概述了将思杰SD-WAN集成到家庭办公室的广域网拓扑决策。

回顾以下ISP + LTE选项的用例，其中包括ISP提供的主WAN链路。它通过LTE服务进行了增强，以审查实现方面的考虑。

在这个用例(ISP+LTE)中，管理员必须首先验证目标家庭办公网络满足以下先决条件:

• 已经启动，并运行由当地ISP提供的现有互联网连接。
• ISP提供了一个托管路由器，服务于现有的“家庭网络”。ISP路由器必须有一个可用的以太网端口。它还充当DHCP服务器，向通过以太网请求的客户端主机分配IP和DNS地址信息。SD-WAN设备的1/2接口已被启用为DHCP Client。
• 已激活的LTE SIM卡(由终端用户直接购买，或由管理员提供，或第三方供应商)。

在让用户参与任何现场活动之前，确认先决条件可用，有助于确保快速精简部署，可以扩展到数千个端点。

选择合适的SD-WAN平台来支持内政部所需的设计是至关重要的。例如，如果设计概述了将LTE服务用作广域网链路，那么选择具有集成LTE调制解调器(例如110-LTE-SE、210-LTE-SE)的SD-WAN平台将有助于减少现场组件，并降低安装程序的复杂性。

本文档前面详细介绍的设计选项(单ISP、双ISP、ISP+LTE、ISP+LTE待机、双LTE)完全支持Citrix 110-LTE-SE和210-LTE-SE平台。每个SD-WAN平台的硬件规格略有不同，因此支持的设计存在一些差异。

例如，当使用210标准版平台时，系统配备了集成的旁路硬件，允许SD-WAN以内联模式部署。在SD-WAN硬件故障的情况下，家庭工作人员可以继续与SD-WAN连接到底层，或通过旁路接口连接到家庭网络。

所有版本的Citrix SD-WAN与Citrix Secure Internet Access互操作，为家庭工作者提供安全访问web和SaaS应用程序。或者选择“高级版”(210 / 410 / 1100平台支持)，则可配置IDS/IPS、网页过滤、恶意软件防护等边缘安全特性。这些功能可以帮助“远程工作网络”的安全，并为选定的互联网流量启用本地中断。

另一种选择是使用带有PoE+接口的1100-SE平台，支持使用以太网供电的设备，如VoIP Desk电话。然而，使用PoE注入器可以使用较低端的SD-WAN设备，如110-SE，用于需要PoE的家庭办公用例。除了旁路接口，1100平台还可以托管第三方VNF，如Palo Alto或Checkpoint防火墙。

值得一提的是，在家庭工作人员网络设计中，还有一些其他功能可以帮助我们缩小关注范围，选择合适的平台，其中包括Wi-Fi-Ready自带的110平台。软件升级到R11.3后。x它可以作为“远程工作网络”的无线接入点。(此功能仅适用于110-LTE-Wi-Fi-SE平台)。110平台还支持外部USB LTE调制解调器(也可用于210和1100平台)。它可以用来支持双LTE用例，或者为ISP+LTE用例添加第三个WAN选项。

使用Citrix SD-WAN Orchestrator服务

SD-WAN管理员通过Citrix SD-WAN Orchestrator服务站点概要文件和模板集中管理和限制其支持的部署用例。限制Home Office部署场景可以方便地管理大规模部署，并允许对多个站点进行快速修改，以适应未来的更改。在Citrix SD-WAN Orchestrator服务中构建Home Office站点时，还需要考虑一些额外的管理方面的考虑，例如:

• 使用什么方法提供远程设备的零触摸部署?
• 在提供设备之后，设备如何继续与Citrix SD-WAN Orchestrator服务通信，以进行进一步的配置更新和数据收集?
• 我们如何解释在不同的故障场景中与云服务的持续连接?
• 如果Home Office部署使用广域网交付服务，例如Citrix Secure Internet Access或Citrix Cloud Direct，则必须使用单个路由域。目前不支持多路由域与广域网传递服务一起使用。

在逐步构建配置时，我们将突出显示其中的一些特性。

创建网站配置文件

要在Orchestrator中设置站点概要文件，管理员可以执行以下步骤:(有关更多信息，请参阅Citrix协调器配置文件)．

1. 创建一个新的站点概要文件(通过选择所有网站，然后导航到配置>配置文件和模板>配置文件）
2. 填充网站细节:
   • 网站配置文件名称:HomeOffice (110 _isp + LTE)
   • 设备模型:110
   • 设备版本:SE
   • 被:LTE-WiFi
   • 网站的作用:分支
3. 接下来，配置接口的使用，以匹配所需的设计，添加每个所需的接口:

• 增加LAN接口1/1:
  • 部署方式:Edge(网关)
  • 接口类型:局域网
  • 安全:信任
  • 选择界面:1／1和SSID1(这个LAN接口定义了除了通过Wi-Fi SSID连接的设备之外的物理连接端主机设备的参数)
  • VLAN ID: 0
  • 路由域:HomeOffice（单个路由域(Default_RoutingDomain)可用于仅连接家庭办公室而不连接到现有SD-WAN站点部署的SD-WAN部署。但是，在文档前面概述的场景中，要将Home Office添加到现有部署中，可以引入一个新的路由域来隔离并限制Home Office在数据中心网络中的连接访问。）
  • 防火墙区域:Default_LAN_Zone
• 为广域网添加接口1/2:
  • 部署方式:Edge(网关)
  • 接口类型:湾
  • 安全:不可信的
  • 选择界面:1／2
  • DHCP客户端:启用（期望该SD-WAN接口连接到Home office现有的家庭网络，其中家庭路由器配置为DHCP Server，并为作为DHCP Client的1/2接口分配IP地址。）
  • VLAN ID: 0
  • 路由域:Default_RoutingDomain
  • 防火墙区域:不可信的Internet_Zone］
• 增加广域网接口LTE-1:
  • 部署方式:Edge(网关)
  • 接口类型:湾
  • 安全:不可信的
  • 选择界面:LTE-1
  • VLAN ID: 0
  • DHCP客户端:启用
  • 路由域:Default_RoutingDomain
  • 防火墙区域:不可信的Internet_Zone
• 添加接口1/4-MGMT用于设备管理:
  • 部署方式:Edge(网关)
  • 接口类型:局域网
  • 安全:信任
  • 选择界面:1/4-MGMT
  • VLAN ID: 0
  • 路由域:Default_RoutingDomain（这个管理接口的配置是必需的，它有两个目的：
    1. 通过零接触部署提供设备后，可继续连接到云服务。
    2. 作为管理员远程访问设备的本地web界面进行故障排除/监控的方法。

    假设管理员在Default_RoutingDomain与SD-WAN连接的数据中心网络中，则可以访问远端SD-WAN设备的web界面，并在该接口上启用带内管理功能。与Mgmt的连通性。接口是通过虚拟路径实现的。此外，到云服务(如Citrix SD-WAN Orchestrator服务)的连接是通过为Default_RoutingDomain启用本地internet断接(internet服务)来完成的。如果需要互联网连接，也可以通过数据中心进行回调，并在那里断开互联网访问。管理端口(1/4)不需要通过电缆连接web界面，数据轮询功能可以在任何带内管理启用的接口上工作。）

  • 防火墙区域:Default_LAN_Zone

满足以下配置要求的接口可用于带内管理:

• 安全性必须设置为受信任的
• 接口类型必须为局域网
• 所选IP未设置为私人
• 身份IP设置为true

4.接下来，创建新的WAN链接以匹配所需的设计:

• 使用接口1/2添加广域网链路#1:
  • 访问类型:公共互联网
  • ISP的名字(自定义):ISP
  • 互联网分类:互联网
  • 链接名称:Internet-ISP-1
  • 公网IP地址自动学习:启用（当分支节点尝试用它们的MCN/RCN建立路径时，MCN/RCN标记的站点使用该特性动态学习每个分支站点发布的公网IP地址。当使用公共Internet传输时，MCN/RCN表示的站点只需要静态公共IP地址。）
  • 出口速度:50Mbps
  • 入口速度:50Mbps (在广域网链路#1上定义的上传和下载速度取决于每个家庭网络的可用带宽。建议保持在这些带宽限制之下，并允许共享该链接的其他家庭成员使用一些带宽。在ISP路由器上对SD-WAN隧道流量(UDP 4980)进行优先级处理，有助于确保SD-WAN在遇到链路争用时不会退出对该链路的使用。如果需要，可以配置几个站点配置文件，在不同的广域网连接速度，以适应内政部本地互联网条件的一些差异。）
  • 虚拟接口:VIF-2-WAN-1
  • 虚拟路径模式:Primary
• 通过接口LTE-1添加广域网链路#2:
  • 访问类型:公共互联网
  • ISP的名字(自定义):LTESP
  • 互联网分类:LTE
  • 链接名称:LTE-LTE-SP-2
  • 公网IP地址自动学习:启用
  • 出口速度:20.Mbps
  • 入口速度:20.Mbps (WAN链路#2上定义的上传和下载速度取决于LTE提供商，但是管理员可以通过硬设置较低的带宽速度来限制使用。或者可以设置预期的速率和配置功能，如自适应带宽检测。）
  • 虚拟接口:VIF-3-WAN-2
  • 虚拟路径模式:Primary
  • Active MTU detect:禁用
  • 使计量:禁用
  • 待机模式:的杀手锏（为Standby启用的广域网链路有两种操作模式:Last-Resort或On-Demand。只有当所有非备用链路不可用或禁用时，最后的备用链路才会激活。按需备用链路在类似情况下会激活，但当虚拟路径的可用带宽大于配置的按需带宽限制时，也可以激活。在两种待机模式下，链路在非活动状态下仍有数据使用。数据使用量可以通过心跳间隔的频率来控制。例如，在链路非激活状态下，备用WAN链路可以消耗150mb ~ 27mb的数据，仅为探针流量配置1秒的心跳间隔。）
  • 主心跳间隔:1
  • 备用心跳间隔:1

批量创建网站

一旦创建了站点配置文件，就可以使用它批量创建多个Home Office站点。要使用Citrix SD-WAN Orchestrator服务在Batch中添加新站点，管理员可以执行以下操作:(有关更多信息，请参阅协调器网络配置）

1. 批量添加站点(通过选择所有站点，然后导航到配置>网络配置主页，并单击批量添加站点按钮)
2. 输入要批量创建的站点的数量，然后单击下一步
3. 选择“网站配置文件”以全局关联新网站，并输入识别每个网站的唯一属性(例如网站名称、网站地址)

站点配置基本设置

创建站点后，每个站点都引用了所需的站点配置文件，单击每个创建的站点可以进行进一步的配置，允许输入特定于每个站点的独特属性。

1. 网站细节:在这里，站点可以与特定的关联地区如果部署在默认的单区域部署中，则将其保留在默认区域中。
2. 设备详细信息:在这里独特的序列号，具体地说，是输入运送到办公站点的设备的序列号。序列号用于在设备调用home和在零接触部署过程中检索这个特定的站点配置时对设备进行身份验证。
3. wi - fi的细节
   • 我支持wi - fi。为这个Home Office站点配置所需的Radio和SSID设置。
4. 接口：
   • i.编辑“接口1/1局域网”。每个站点都需要使用“远程工作网络”进行唯一定义。选择LAN接口并输入要分配给该特定远程站点的子网。输入的“主IP地址”作为局域网网关贵宾(例如172.17.35.1/29)用于此远程工作网络。
   • 2编辑接口1/2 WAN。检查DHCP Client是否开启了从“现有家庭网络”自动获取IP地址的广域网接口。使用该特性的好处是，您不必特别了解家庭网络的现有子网，但是在现有的家庭路由器/调制解调器上有一个可用的10/100/1000以太网端口，并确保连接到它的任何设备都得到IP地址、DNS和Internet连接，这需要依赖底层。
   • 3编辑接口LTE-1广域网。检查DHCP Client是否开启了LTE WAN接口，以便自动从LTE网络获取IP地址。
   • iv.编辑接口1/4 -MGMT LAN。每个站点都需要用一个管理IP地址唯一地定义，它的目的是让远程管理员通过虚拟路径继续连接到云服务和web界面。输入要分配给该特定远程站点的子网。输入的“主IP地址”作为管理知识产权(例如172.17.36.1/32)用于此远程工作网络。在下拉菜单中选择“带内管理IP地址”(以172.17.36.1为例)。有关更多信息，请参见带内管理．
5. 广域网链接:
   • i.编辑广域网链路#1，例如Internet-ISP-1，它使用接口1/2:在这个示例场景中，广域网链路#1使用“现有家庭网络”，该网络可以与家庭中的其他用户(被视为非工作人员)共享资源。在这种情况下，SD-WAN无法保证为出口和入口速率配置的速度，除非为家庭工作者使用专用的互联网服务。在共享线路中，您可以启用自适应带宽检测特性，这是为提供可变带宽的广域网链路设计的特性。当设备检测到这条可用路径上由于竞争的流量而丢失时，设备会先降低带宽，只有当可用带宽低于配置的带宽时才会使用WAN链路最小可接受带宽百分比设备是否将该路径标记为BAD并试图避免使用它(即使用任何其他状态良好的可用链接)。如果internet源不是共享的，并且可以以配置的速度运行，则不需要启用自适应带宽检测。
   • 2编辑WAN Link #2(例如使用LTE-1接口的LTE- att -2): WAN Link #2使用LTE网络，它的带宽速率是可变的。启用自适应带宽检测特性，它是为提供可变带宽的广域网链路而设计的。当设备检测到该可用路径上的丢失(这是无线传输的典型情况)时，设备首先以降低的带宽速率使用WAN链路，且仅当可用带宽低于配置的带宽时才使用最小可接受带宽百分比设备是否将该路径标记为BAD并试图避免使用它(即使用任何其他状态良好的可用链接)。
6. 路由:一般来说，定义静态路由对于家庭办公室来说是没有必要的。如果需要，您可以在这里配置任何静态定义的子网，并将其分配到LAN Gateway IP，以便将定义的子网发布到对等SD-WAN设备。
7. 摘要:站点的摘要细节可以查看和保存．如果没有保存站点配置，那么在导航离开站点的基本设置时，输入将丢失。

先进的网站配置

Basic Site配置完成后，我们需要确保一些额外的配置项已经到位，以便在安装完成并通过零接触部署激活安装后，内部设备能够继续连接。这可以在全局配置中完成，并选择所有站点，在配置>交付服务>服务和带宽下完成。通过为WAN链路类型分配带宽百分比，可以启用Internet服务。通过为“Internet Link”类型分配一个百分比(例如30%)，这将为配置了该WAN链接访问类型的任何站点自动配置Internet断接。此外，当站点配置为该访问类型(例如公共互联网)，并将相关接口的Security设置为不可信的时，系统自动创建动态NAT策略，允许站点进行本地internet breakout。

如果接口的“安全”设置为“受信任”，则必须从站点的“动态NAT”策略中手动创建配置>高级设置> NAT页中指定所需的路由域。如果本地设备需要作为家庭工作者的LAN子网的DHCP服务器，那么该特性可以在配置>高级配置> DHCP．

部署配置

完成了站点特定的详细信息后，SD-WAN管理员可以通过中央管理工具推送配置。部署最新配置有两个目的;1)现有SD-WAN设备(例如MCN)已准备好，以允许来自新的远程设备的虚拟路径连接尝试。2)本地设备包在零触摸部署云服务上可用，可传递给通过零触摸部署流程呼叫家的本地设备。

要部署配置，请确保所有网站，然后导航到配置>网络配置首页．选择所需的软件(如果使用110平台，则需要11.1.1.39以上版本)。然后单击部署配置/软件执行配置和软件包。

部署跟踪器要求配置是staging和Activated的。已经连接的站点的激活已经完成，这意味着这些SD-WAN设备已经准备好并能够接受来自新站点的虚拟路径连接尝试。未连接的站点将处于暂挂状态等待，直到现场安装程序执行零接触部署工作流。

将配置推到网络后，下一步是远程安装人员的现场活动，即使用前面概述的零接触部署方法之一(1.安装设备。通过广域网接口零接触部署(Citrix SD-WAN 110-SE)2。通过LTE接口零接触部署(Citrix SD-WAN 110-LTE-SE))．带内管理到位，并通过本地断接或通过数据中心的回程配置了适当的Internet连接，从安装程序启动零接触部署流程开始的几分钟后，激活将完全完成。此时，家庭工作人员可以将他们的笔记本电脑/PC连接到局域网网络，并开始从家庭工作到管理员指定的资源。

端点管理

对于SD-WAN管理员来说，远程管理分散在不同地理区域的SD-WAN设备对于成功部署Home Office至关重要。通过集中管理工具远程访问SD-WAN设备对配置、监控和故障处理非常重要。

带内管理

带内管理功能允许数据接口承载数据和管理流量，而无需配置带外管理接口。利用带内管理功能使Zero Touch Deployment过程更容易，消除了现场安装人员必须配置单独的管理访问的需要，甚至完全消除了访问本地web接口的需要。从R11.1.1开始，SD-WAN 110-SE和VPX平台最近引入了带内配置。更多详情请参阅协调器带内管理．

回滚配置

后备配置是另一个重要特性，它可以在出现许可证或软件不匹配等故障时帮助维护从SD-WAN设备到Citrix Cloud Services的连接。在具有R11.1.1或更高版本的缺省配置文件的设备上，默认启用了回退配置。(详情请参阅协调器回滚配置）

递送服务

可以全局定义Delivery Services，限制SD-WAN对Internet、Intranet、IPsec或GRE隧道的连接。例如，这可以包括定义每个远程站点的本地策略，通过安全Web网关解决方案(例如Citrix安全internet访问)来隧道连接internet的流量，这对于Home Office用例可能是一个有用的特性。(详情请参阅协调器递送服务）

路由策略

可以全局定义路由策略，实现流量引导。例如，这可以包括直接中断O365流量以获得低延迟性能。(详情请参阅协调器路由）

防火墙策略

可以全局定义防火墙策略，以将Home Users限制为仅业务关键应用程序。例如，这可以包括配置全局防火墙设置以删除所有流量，并进一步配置策略来严格限制通过Virtual Path Service的某些流量(例如Citrix Virtual Apps和desktop)和通过Internet Service的O365流量。(详情请参阅协调器安全）

参考文献

更多信息请参考:

远程雇员生产力

思杰SD-WAN家庭办公技术简介

思杰SD-WAN家居办公设计决策