适用于家庭办公室的Citrix SD-WAN POC指南

概述

本概念验证(PoC)指南旨在帮助您使用Citrix SD-WAN协调器服务作为管理工具快速部署Citrix SD-WAN家庭办公环境。Citrix SD-WAN家庭办公室设计决策指南概述了将Citrix SD-WAN集成到家庭办公室的广域网拓扑决策。

查看ISP + LTE选项的以下用例,该选项包括ISP提供的主要WAN链路。它通过LTE服务进行了增强,以审查实施注意事项。

在此用例(ISP + LTE)中,管理员必须首先验证目标家庭办公网络是否满足以下先决条件:

• 已启动并运行由当地ISP提供的现有互联网连接。
• ISP提供了一个托管路由器,为现有的“家庭网络”提供服务。ISP路由器必须有可用的以太网端口。它还可以充当DHCP服务器,将IP和DNS地址信息分配给通过以太网提出请求的客户端主机。SD-WAN设备上的接口1/2作为DHCP客户端启用。
• 激活的LTE SIM卡(由最终用户直接购买,或由管理员或第三方供应商提供)。

在使用户参与任何现场活动之前，确认先决条件是否可用，有助于确保快速简化部署，从而可扩展到数千个终端节点。

选择适当的SD-WAN平台来支持家庭办公室所需的设计至关重要。例如,如果设计概述了LTE服务用作WAN链路,那么选择具有集成LTE调制解调器的SD-WAN平台(例如110 - LTE, 210 - LTE - se)将有助于减少现场组件并降低安装程序的复杂性。

Citrix 110 - LTE - se和210 - LTE - se平台完全支持本文档前面详细介绍的设计选项(单ISP,双ISP + LTE, ISP + LTE待机,双LTE)。每个SD-WAN平台的硬件规格略有不同,因此支持的设计存在一些差异。

例如,当使用210标准版平台时,该系统配备了集成旁路硬件,允许在内联模式下部署SD-WAN。在SD-WAN硬件发生故障的情况下,家庭佣工可以与SD-WAN连接不到底层,或者通过旁路接口进行家庭网络连接。

Citrix SD-WAN的所有版本都与Citrix安全上网进行互操作,为家庭工作人员提供对Web和SaaS应用程序的安全访问。或者,通过选择高级版(210410和1100平台支持),系统配备了边缘安全功能(例如IDS / IPS, Web过滤,恶意软件防护)。这些功能可以帮助保护”远程工作网络”的安全,并为选定的互联网流量启用本地突破。

另一种选择是使用带有可用坡+接口的1100 - se平台,以便能够使用以太网供电的设备,例如VoIP桌面电话。但是,使用坡注入器可以为需要坡的家庭办公用例使用低端SD-WAN设备,例如110 - se。除了绕过接口外,1100平台还可以托管第三方VNF,例如帕洛阿尔托或检查点防火墙。

值得一提的其他一些功能可以帮助缩小对家庭工作者网络设计中选择的正确平台的关注范围,包括110平台提供wi - fi Fi-Ready。软件升级到R11.3。x后,它可以作为“远程工作网络”的无线接入点。（此功能仅适用于 110-LTE-Wi-FI-SE 平台）。110 平台还支持外部 USB LTE 调制解调器（也可用于 210 和 1100 平台）。它可以用来支持双 LTE 用例，或者为 ISP+LTE 用例添加第三个 WAN 选项。

使用Citrix SD-WAN协调器服务

SD-WAN管理员通过Citrix SD-WAN协调器服务站点配置文件和模板集中管理和限制受支持的部署用例。限制家庭办公室部署方案可以轻松管理大规模部署，并允许快速修改多个站点以适应未来的变化。在Citrix SD-WAN协调器服务中构建家庭办公站点时,还需要考虑一些其他管理注意事项,例如:

• 零接触部署使用什么方法来配置远程设备？
• 置备设备后,设备如何继续与Citrix SD-WAN协调器服务通信以进行进一步的配置更新和数据收集吗?
• 在不同的故障情况下，我们如何考虑持续连接到云服务？
• 如果家庭办公部署使用WAN交付服务(例如Citrix安全上网或Citrix云直接),则必须使用单个路由域。目前不支持将多个路由域与WAN交付服务同时使用。

在我们逐步构建配置时，我们将重点介绍其中一些内容。

创建站点简介

要在协调器中设置站点配置文件,管理员可以执行以下步骤:(有关更多信息,请参阅Citrix协调器个人资料）。

1. 创建新的站点配置文件（通过选择所有站点，然后导航到配置 > 配置文件和模板 > 配置文件）
2. 填写网站详细信息：
   • 网站简介名称：家庭办公(110 _isp + LTE)
   • 设备型号：110
   • 设备版本:SE
   • 子模型：LTE-WiFi
   • 站点角色：分支
3. 接下来，配置接口的使用以匹配所需的设计，添加每个必需的接口：

• 为局域网添加接口1/1:
  • 部署模式:边缘(网关)
  • 接口类型：局域网
  • 安全：值得信赖
  • 选择接口：1／1和SSID1(此局域网接口定义除了通过wi - fi SSID连接的设备之外,还用于物理连接终端主机设备的参数)
  • VLAN ID: 0
  • 路由域：HomeOffice（单路由域(default_RouingDomain)可用于仅连接家庭办公室且未连接到现有SD-WAN站点部署的SD-WAN部署。但是，在文档前面概述的场景中，要将家庭办公室添加到现有部署中，可以引入一个新的路由域来隔离和限制家庭办公室在数据中心网络中的连接访问。) * 防火墙区域：Default_LAN_Zone
• 为广域网添加接口1/2:
  • 部署模式:边缘(网关)
  • 接口类型：湾
  • 安全性：不可信
  • 选择接口：1／2
  • DHCP客户端:已启用（预计此SD-WAN接口通过缆线连接到家庭办公室现有的家庭网络,家庭路由器被配置为DHCP服务器,并为作为DHCP客户端运行的接口1/2分配IP地址。) * VLAN ID: 0 *路由域:默认路由域*防火墙区域:不受信任的互联网_Zone］
• 添加适用于广域网的接口LTE-1:
  • 部署模式:边缘(网关)
  • 接口类型：湾
  • 安全性：不可信
  • 选择接口：LTE-1
  • VLAN ID: 0
  • DHCP客户端:已启用
  • 路由域:default_RouingDomain
  • 防火墙区域：不受信任的互联网_Zone
• 添加接口1/4-MGMT用于设备管理目的:
  • 部署模式:边缘(网关)
  • 接口类型：局域网
  • 安全：值得信赖
  • 选择接口：1/4-MGMT
  • VLAN ID: 0
  • 路由域：default_RouingDomain（此管理界面的配置是必需的，有两个用途：
    1. 在通过零接触部署配置设备后，允许继续连接到云服务。
    2. 作为管理员远程访问设备本地Web界面以进行故障排除/监控的方法。

    假设管理员位于数据中心网络中连接到Default_RoutingDomain上的SD-WAN,那么远程SD-WAN设备的Web界面可以通过在此接口上启用的带内管理功能访问。远程管理员与管理。接口的连接是通过虚拟路径完成的。此外,与云服务(如Citrix SD-WAN协调器服务)的连接是通过为default_RoutingDomain启用的本地互联网突围(互联网服务)来实现的。如果需要的话，可以通过数据中心回传互联网连接，然后在那里进行互联网连接。管理端口 (1/4) 不需要为 Web 界面连接电缆，数据轮询功能即可在任何启用带内管理的接口上运行。）* 防火墙区域：Default_LAN_Zone

满足以下配置要求的接口可用于带内管理：

• 安全性必须设置为可信
• 接口类型必须是局域网
• 选定的IP未设置为私有
• 知识产权的身份设置为真

4.接下来,创建新的WAN链接以匹配所需的设计:

• 使用接口1/2添加湾链接# 1:
  • 访问类型：公共互联网
  • ISP名称(自定义):ISP
  • 互联网类别：互联网
  • 链接名称:互联网-ISP-1
  • 公共IP地址自动学习:已启用（由于分支节点尝试使用其m cn / RCN建立路径,m cn / RCN表示的站点将使用此功能动态获取每个分支站点的公共IP地址。使用公共互联网传输时,m cn / RCN表示的站点只需要静态公共IP地址。) * 出口速度：50Mbps *入口速度:50Mbps (WAN链路1号上定义的上传和下载速度取决于每个家庭网络的带宽可用性。建议保持在这些带宽限制之下，并允许共享该链路的其他家庭成员使用一些带宽。优先考虑ISP路由器上的SD-WAN隧道流量(UDP 4980)有助于确保SD-WAN在遇到链路争用时不会停止使用该链路。如果需要,可以配置不同WAN链路速度的多个站点配置文件,以适应家庭办公室本地互联网条件中的一些差异。) * 虚拟接口:VIF-2-WAN-1* 虚拟路径模式:主
• 使用接口LTE-1添加湾链接# 2:
  • 访问类型：公共互联网
  • ISP名称(自定义):LTESP
  • 互联网类别：LTE
  • 链接名称:LTE-LTE-SP-2
  • 公共IP地址自动学习:已启用
  • 出口速度：20.Mbps
  • 入口速度：20.Mbps(广域网链路#2上定义的上传和下载速度取决于LTE提供商,但是管理员可以通过硬设置较低的带宽速度来限制使用的量。或者可以按预期的速率进行设置并配置自适应带宽检测等功能。) * 虚拟接口:VIF-3-WAN-2*虚拟路径模式:主要*活动MTU检测:禁用*启用计量:已禁用*待机模式:最后手段(已启用_WAN链路待机有两种操作模式:“最后手段”或“按需”。只有当所有非备用链接都不可用或禁用时，最后手段备用链接才会激活。在类似情况下，按需备用链路将变为活动状态，但是当虚拟路径的可用带宽超过配置的按需带宽限制时，也能够激活。在两种待机模式下，链路上仍有未激活的数据使用情况。数据使用量可以通过心跳间隔的频率进行控制。例如,在非活动链路状态下,备用WAN链路可能会消耗150 MB到270 MB的数据,只为探测流量配置了1秒检测信号间隔._)*活动心跳间隔:1 *待机心跳间隔:1

批量创建站点

创建站点配置文件后，它可用于批量创建多个家庭办公站点。要使用Citrix SD-WAN协调器服务在批处理中添加新站点,管理员可以执行以下操作:(有关更多信息,请参阅协调器网络配置）

1. 批量添加站点（选择所有站点，然后导航到配置 > 网络配置主页，然后单击批量添加站点按钮）
2. 批量输入要创建的站点数量，然后单击下一步
3. 选择要与新站点全局关联的站点配置文件，然后输入唯一属性以标识每个站点（例如站点名称、站点地址）

站点配置的基本设置

创建站点并且每个站点都引用所需的站点配置文件后，单击每个创建的站点可进行进一步的配置，允许输入特定于每个站点的唯一属性。

1. 站点详细信息： 在多区域架构中部署时，此处的站点可以与特定区域相关联；如果在默认单区域部署中部署，则将其保留在默认区域中。
2. 设备详细信息： 此处输入一个唯一的序列号,特别是发送到办公室网站的设备的序列号。序列号用于在设备呼叫家庭时对其进行身份验证，并在零接触部署过程中检索此特定站点配置。
3. wi - fi详情
   • 我。启用无线网络。为此家庭办公站点配置所需的无线电和名称设置。
4. 接口：
   • 我。编辑接口1/1局域网。每个站点都需要使用“远程工作网络”进行唯一定义。选择局域网接口,然后输入要为此特定远程站点分配的子网。输入的主IP地址用作此远程工作网络的局域网网关VIP(例如172.17.35.1/29)。*二世。编辑接口1/2广域网。验证DHCP客户端是否启用WAN接口,以便从“现有家庭网络”自动获取IP地址。使用此功能的好处是,您不必具体了解家庭网络的现有子网,但是在现有家庭路由器/调制解调器上有一个可用的10/100/1000以太网端口需要依赖于底层,并确保与其连接的任何设备都有IP地址,DNS和互联网连接。*第三。编辑接口LTE-1广域网。验证是否已为DHCP客户端启用LTE WAN接口,以便从LTE提供商网络自动获取IP地址。* iv。编辑接口1/4-MGMT局域网。每个站点都需要使用管理IP地址进行唯一定义,该地址用于持续连接到云服务和远程管理员通过虚拟路径访问Web界面的目的。输入要为此特定远程站点分配的子网。输入的主IP地址用作此远程工作网络的管理IP(例如172.17.36.1/32)。从下拉菜单中选择带内管理IP(例如172.17.36.1)。有关详细信息，请参阅带内管理。
5. WAN链接:
   • 我。编辑WAN链接# 1,例如互联网-ISP-1,它使用接口1/2:在此示例场景中,广域网链接# 1使用“现有家庭网络”,该网络可以作为与家中的其他用户(被视为非工作人员)共享的资源。在这种情况下,除非为家庭工人使用专用的互联网服务,否则SD-WAN无法保证为出口和入口速率配置的速度。在共享线路上,您可以在此WAN链路上启用自适应带宽检测功能,这是专为提供不同带宽的WAN链路而设计的功能。当设备检测到该可用路径上的丢失时,由于流量争用,设备首先以较低的带宽速率使用WAN链路,只有当可用带宽低于配置的最小可接受带宽百分比时，设备才会将路径标记为坏并尝试避免使用它（即使用状态良好的任何其他可用链接）。如果互联网源未共享并且可以按照配置的速度运行，则无需启用自适应带宽检测。*二世。使用接口LTE-1的编辑WAN链接# 2(例如LTE-ATT-2):广域网链接# 2使用LTE网络,该网络在带宽速率上是可变的。在此WAN链路上启用自适应带宽检测功能,该功能专为提供不同带宽的WAN链路而设计。当设备在该可用路径上检测到丢失(这是无线传输的典型情况)时,设备首先以较低的带宽速率使用WAN链路,并且只有当可用带宽低于配置的最小可接受带宽百分比时，设备才会将路径标记为坏并尽量避免使用它（即使用状态良好的任何其他可用链接）。
6. 路由： 一般来说，家庭办公室不需要定义静态路由。如果需要,您可以在此将任何静态定义的子网和品脱配置为LAN网关IP,以便将定义的子网通告给对等SD-WAN设备。
7. 摘要： 可以查看和保存站点的摘要详细信息。如果未保存站点配置,则如果远离站点的“基本设置”,则输入将丢失。

高级站点配置

完成基本站点配置后，我们需要确保一些额外的配置项目就位，以便在安装安装并通过零接触部署激活安装后，本地设备能够继续连接。这可以在“配置”>“交付服务”>“服务和带宽”下选中所有站点的全局配置完成。可以通过为广域网链接类型分配带宽百分比来启用互联网服务。通过为“网络连接”类型分配一个百分比(例如30%),这会自动为配置了该湾链接访问类型的所有站点配置互联网分组。此外，当配置了该访问类型（例如公共互联网)的站点配置并且相关接口的安全设置设置为“不受信任“时,系统会自动创建动态NAT策略以允许本地互联网突破对于该网站。

如果将接口配置为“安全“设置为“受信任”,则必须从站点的“配置”>“高级设置”>“NAT”页面为所需路由域手动创建动态NAT策略。如果本地设备需要作为家庭工作的局域网子网的DHCP服务器,则可以在配置>高级设置> DHCP下启用该功能。

部署配置

完成站点特定的详细信息后,SD-WAN管理员可以通过中央管理工具推送配置。部署最新配置有两个用途:1)现有SD-WAN设备(例如m cn)已准备好允许从新远程设备进行传入虚拟路径连接尝试;2)本地设备软件包可在零接触部署云服务上提供,以便下载转到通过零接触部署过程呼叫回家的本地设备。

要部署配置,请确保选择了”所有站点”,然后导航到”配置“>”网络配置“主页。选择所需的软件(如果使用110平台,则需要11.1.1.39或更高版本)。然后单击部署配置/软件以暂存配置和软件包。

部署跟踪器要求配置是暂存和激活的。已连接站点的激活完成,这意味着这些SD-WAN设备已准备就绪,可以接受来自新站点的虚拟路径连接尝试。未连接的站点在暂存待处理状态下等待，直到现场安装程序执行零接触部署工作流。

将配置推送到网络后，远程安装程序的下一步是现场活动是使用前面概述的零接触部署方法之一来站立设备（1.通过WAN接口进行零接触部署(Citrix SD-WAN 110 - se)2。通过LTE接口进行零接触部署(Citrix SD-WAN 110 - LTE - se))。随着带内管理的到位,并通过本地突破或通过数据中心回传配置适当的互联网连接,在安装程序启动零接触部署过程后几分钟后,激活完全完成。此时,家庭佣工可以将笔记本电脑/ PC连接到LAN网络,然后开始在家工作到管理员指定的资源。

端点管理

对于SD-WAN管理员来说,远程管理跨不同地理区域的SD-WAN设备对于成功部署家庭办公室至关重要。通过中央管理工具远程访问SD-WAN设备对于配置,监控和故障排除非常重要。

带内管理

带内管理功能允许数据接口传输数据和管理流量，而无需配置带外管理接口。利用带内管理功能使零接触部署过程更加简单,无需现场安装程序配置单独的管理访问,甚至根本不需要访问本地Web界面。最近从R11.1.1开始,SD-WAN 110 - se和VPX平台引入了带内配置。有关详细信息，请参阅管弦乐队带内管理。

回退配置

回退配置是另一项重要功能,可帮助在发生许可证或软件不匹配等故障时保持从SD-WAN设备到Citrix云服务的连接。默认情况下,在具有默认配置文件且出厂映像为R11.1.1或更高版本的装置上启用回退配置。（有关更多详细信息，请参阅管弦乐队后备配置）

送货服务

可以对交付服务进行全局定义,以限制互联网,内联网,IPSec或GRE隧道的SD-WAN连接。例如,这可能包括定义每个远程站点的本地策略,以便通过安全Web门户解决方案(例如Citrix安全上网)隧道绑定互联网流量,这对于家庭办公用例来说可能是一项有用的功能。（有关更多详细信息，请参阅管弦乐派送服务）

路由策略

可以全局定义路由策略以启用流量引导。例如,这可能包括直接突破O365流量以实现低延迟性能。（有关更多详细信息，请参阅管弦乐队路由）

防火墙策略

可以在全局范围内定义防火墙策略，以将家庭用户仅限于业务关键型应用。例如,这可能包括配置全局防火墙设置以丢弃所有流量,并进一步配置策略,以严格限制通过虚拟路径服务的特定流量(例如Citrix虚拟应用程序和桌面)以及通过互联网服务的O365流量。（有关更多详细信息，请参阅管弦乐队安全）

引用

有关更多信息，请参阅：

远程员工生产力

Citrix SD-WAN家庭办公技术简介

Citrix SD-WAN家庭办公室设计决策