技术简报：适用于家庭办公室的软件定义广域网

简介

企业现在可以为家庭办公用户使用 Citrix SD-WAN 解决方案。有了它，SD-WAN 管理员可以快速将可靠、安全的工作场所环境扩展到任何位置。

远程办公的挑战

远程用户通常会遇到影响生产力的常见挑战，其中包括：

• 由于互联网链接质量低，以及消费者级硬件，最终用户体验差
• 由于地理位置分布的远程位置导致连接不可靠
• 无法区分商务和娱乐流量的共享互联网访问

IT 管理员努力应对以下挑战：

• 及时扩展部署并让远程员工入职
• 管理大型部署变得困难，而且成本高昂
• 通过保护用户、数据、应用程序和网络来保护环境

在本技术简报中，我们将讨论 Citrix SD-WAN 解决方案如何应对这些挑战。

Citrix 支持随时随地工作

Citrix 解决方案支持业务连续随着劳动力定义的变化，员工需求的变化。Citrix 提供的解决方案将数字化工作空间扩展到任何网络上的任何设备上的最终用户该业务计划的一个关键组成部分是确保用户保持工作效率，同时保持必要的安全级别，并控制用户对公司资源的访问。Citrix Workspace（包括 Citrix Virtual Apps and Desktops）可实现无缝员工生产它使员工能够灵活地在任何地方工作，同时确保应用程序和信息的安全。有时，由于无法控制的网络状况，无法始终保证最终用户体验。

传统的远程分支办公室是数据中心网络的延伸，通过专用 Intranet 链路（例如 MPLS）进行连接。在远程分支办公室的用例中，私人内联网电路是可靠且安全的。但是，根据分支办公室的位置，确保可用性和为高带宽 WAN 付费变得具有挑战性。两者的问题都可能会损害良好的用户体验。

家庭工作者/远程工作者传统上通过公共互联网链接连接到网络。与传统的 VPN 解决方案一样，一种选择是利用 Citrix Gateway。它为用户提供了跨各种设备对 Citrix Virtual Apps and Desktops 的安全远程访问。在 VPN 用例中，公共互联网链接通常不可靠，质量也很差。质量取决于远程工作者的地理位置以及最后一英里的条件。随着远程工作者以及家庭工作人员被引入员工，确保在有问题的广域网上获得高最终用户体验成为一项挑战。

介绍 SD-WAN 110-LTE-Wi-FI-SE

Citrix SD-WAN 110 平台可满足小型办公室、零售商店和在家办公用户的需求。110 平台以小巧的外形确保业务连续性，通过亚秒级故障切换提供最高的网络恢复能力。它还包括针对具有端到端 QOS 的虚拟、SaaS 和云应用程序的最佳应用体验。

有关更多信息，请参阅SD-WAN 110-LTE-Wi-Fi-SE 概述

SD-WAN 110-lte-Wi-FI-SE 产品规格包括：

• 用于 WAN 或 LAN 的四个 10/100/1000 以太网端口（接口 1/4 作为 R11.1.1 及更高版本提供的数据端口）
• 带双 SIM 卡槽的集成 LTE（单调制解调器允许 SIM 卡用作主动/被动）
• 基于 USB 的 LTE 调制解调器转换器支持（在 R11.1.1 及更高版本中提供）
• 集成 Wi-Fi 接入点功能（在 R11.3.0 及更高版本中提供）

Citrix SD-WAN 是一种书籍端解决方案，可在站点位置之间提供可靠的高带宽连接。它直接解决了 WAN 的潜在局限性，如上一节中的用例所示。

适用于家庭办公室的 Citrix SD-WAN 概述

有关家庭办公广域网用例的担忧可以通过 Citrix SD-WAN 解决方案解决。书末解决方案可以战略性地放置在通常对用户体验影响最大的网络细分市场上。它提供了新的 WAN 覆盖层，旨在提高最终用户体验和性能。

通常，通过引入更多 WAN 传输，您可以从 SD-WAN 解决方案中获得更多好处。其中包括 DLS、宽带互联网或 LTE 链路，以增强任何现有 WAN 传输。使 ISP 多样化可以显著提高网络可靠性。在上述情况下，SD-WAN 设备（物理或虚拟）可以直接放置在现有网络的路径中。随着广域网传输的增加，它可以提高用户体验和生产力。这些好处包括：

• 为具有多个 Internet /LTE 链路的远程位置提供链路带宽聚合（又称链路负载平衡）
• 亚秒级链路封锁和掉电检测，实现永远在线的网络
• 按数据包优先级划分，使双端 QOS 能够跨所有可用路径进行不对称交付
• 通过云服务（例如Citrix Secure Internet Access、Zscaler 或 Palo Alto Prisma）增强安全保护
• 利用高端 SD-WAN 高级版设备解锁集成的安全堆栈或利用第三方防火墙（例如 Palo Alto、Checkpoint）作为虚拟网络功能 (VNF)，与业界领先的安全供应商进行简单集成
• 充当 DHCP 服务器，为 LAN 设备分配或修复 IP 地址
• 支持使用具备备用（最后手段和按需）功能的基于 LTE 的 WAN，进一步提高无线传输中的网络可靠性
• 通过深度数据包检测 (DPI)、QOS 引擎以及集成的防火墙解决方案对业务关键型应用程序进行优先级
• 路由和强制执行安全策略以阻止不需要的应用
• 允许直接互联网突围以实现与受信任的 SaaS 应用程序（例如 Microsoft 365）的低延迟连接

这些优势的可用性可能会根据可用的 WAN 传输以及站点的设计而有所不同。SD-WAN 部署的网络管理员在SD-WAN 部署中起着关键作用。网络管理员集中决定什么是关键业务以及家庭办公室用例的连接范围。我们将在Citrix SD-WAN 家庭办公室 POC 指南中详细介绍管理员的角色和职责。我们在Citrix SD-WAN 家庭办公室设计决策中介绍了各种优势，具体取决于本地网络连接选项。

适用于家庭办公室的 Citrix SD-WAN 拓扑

重要的是，内政部的要求是基于本地网络条件。一些家庭办公室可以访问多个互联网提供商（例如 DSL 和宽带）。其他人可能仅限于其所在地区的 LTE 服务（例如 AT＆T 和 Verizon）。大多数情况下，家庭办公室可以灵活选择有线和无线传输选项。网络管理员可以通过站点配置文件和模板集中控制哪些家庭 Office 用例部署受支持。 让我们根据家庭办公室本地网络可用性的一些差异介绍一些不同的用例：

我们将在Citrix SD-WAN 家庭办公室 POC 指南中更详细地介绍网络管理员的角色和职责，此外还将介绍 Citrix SD-WAN 家庭办公室设计决策中取决于本地网络连接选项的各种好处。

适用于家庭办公室的 Citrix SD-WAN 部署

已部署 Citrix SD-WAN 的企业可以使用与添加新分支站点相同的工作流来添加新的家庭办公站点：

1. 定义一个或多个新的站点配置文件以将家庭办公室分组。根据本地网络的可用性，它们可以分为一个用例。例如双 ISP、ISP+LTE。
2. 使用站点配置文件和模板批量克隆新站点。
3. 配置站点特定详细信息。例如，用作新的 “远程工作网络” 的设备序列号、LAN 接口和子网。
4. 定义可用的 WAN 服务。例如，虚拟路径、Internet 或 Secure Internet Access 作为所有站点的全局参数，或限制为一部分站点。
5. 将应用程序 QoS 和防火墙策略配置为所有站点的全局参数，或限制为一部分站点。
6. 最后，将配置更改推送到生产环境中。之后，您可以预置新的家庭办公站点以加入现有的 SD-WAN 部署。

作为一个示例，下图将更详细地介绍其中一个家庭办公用例，该用例使用可用的 “ISP + LTE” 本地网络，并利用 SD-WAN 接口 1/1 来物理连接 LAN 设备和 Wi-Fi 来连接无线设备。

在这种情况下，SD-WAN 配置可以限制为仅处理远程工作人员的流量。SD-WAN 利用 ISP 提供的互联网服务作为主要连接形式，从任何通过 SD-WAN 覆盖层进行物理或无线连接的设备发送流量。同时，当主（共享）互联网存在可靠性问题或需要更多带宽时，它使用 LTE 来提升。现有家庭网络用户（例如家庭或儿童）将正常连接到现有家庭网络，并与 SD-WAN 设备创建的加密 UDP 4980 隧道共享可用带宽。如果 ISP 路由器支持 QOS（也称为流量整形），则建议将 UDP 4980 流量的优先级置于家庭办公流量之上，以获得最佳 SD-WAN 性能。可以创建将 UDP 4980 流量归类为高优先级的新策略。

当网络管理员推送了新配置并且它在现有 SD-WAN 部署上主动运行后，家庭办公室工作流就可以开始了。家庭佣工收到 SD-WAN 设备后，他们就可以通过其中一个安装工作流程运行，使用零接触部署来站立 SD-WAN 设备。根据活动 LTE SIM 卡的可用性，安装程序可以选择使用 WAN 接口而不是 LTE 接口选择零接触部署方法。这两种方法都作为单独的快速入门指南详细介绍。

如果需要限制家庭佣工的责任，管理团队可以预先安装电器。在将设备运送到家庭办公室之前，可以请第三方公司帮助执行安装工作流程。（例如，可能是 ISP 或 LTE 提供商）但是，工作流程非常简单，大多数最终用户可以加载设备。

在通过零接触部署成功激活家庭办公的 SD-WAN 之后，通过可用的广域网和 LTE 接口建立了虚拟路径。虚拟路径连接到现有 SD-WAN 环境中的网络 MCN/RCN。对设备或 SD-WAN 应用程序的本地管理以及安全策略的任何更改都由 SD-WAN 管理员进行远程管理。

引用

有关更多信息，请参阅：

通过广域网接口进行零接触部署（Citrix SD-WAN 110-SE）——Citrix SD-WAN 110-SE 设备通过广域网接口执行零接触部署时的快速入门指南

通过 LTE 接口（Citrix SD-WAN 110-LTE-SE）进行零接触部署——Citrix SD-WAN 110-LTE-SE 设备通过 LTE 接口执行零接触部署时的快速入门指南

Citrix SD-WAN 家庭办公室 POC 指南-了解如何为家庭办公室实施 Citrix SD-WAN 概念验证

Citrix SD-WAN 家庭办公室设计决策-了解为家庭办公室实施 Citrix SD-WAN 需要做出的决策