Citrix SD-WAN

Citrix SD-WAN 10.2.6 — Versionshinweise

Einführung

In diesem Versionshinweis werden neue, behobene Probleme und bekannte Probleme beschrieben, die für die Citrix SD-WAN -Software Version 10.2, Version 6 für die SD-WAN Standard Edition, WANOP, Premium Edition Appliances und SD-WAN Center gelten.

Informationen zu den vorherigen Release-Versionen finden Sie in der Citrix SD-WAN

Hinweis

CVE-2019-19781 - Sicherheitslücke in Citrix SD-WAN WANOP-Appliances (nur anwendbar für 4000-WO, 4100-WO, 5000-WO, 5100-WO Plattform-Modelle), die zur Ausführung beliebigen Codes führen, ist in Version 10.2.6bfestgelegt. Weitere Informationen finden Sie unter CVE KB.

Was ist neu?

IPFIX-Vorlagen

Die IPFIX-Vorlage definiert die Reihenfolge, in der der Datenstrom interpretiert werden soll. Der Collector erhält einen Vorlagendatensatz, gefolgt von den Datensätzen. Die Vorlagen 611, 612 und 613 zum Exportieren von IPFIX-Flussdaten werden in Citrix SD-WAN 10.2.6 eingeführt.

Application Flow Info (IPFIX) Option exportiert Datensätze gemäß den Vorlagen 611 und 612 und Basic Properties (IPFIX) Option exportiert Datensätze gemäß Vorlage 613.

SD-WAN Standard Edition (SE) VPX Kennwortänderung

Ab Version 10.2.6 ist es zwingend erforderlich, das Standardkennwort für das Administratorkonto während der Provisioning einer SD-WAN-Appliance oder beim Bereitstellen eines neuen SD-WAN SE VPX zu ändern. Diese Änderung wird sowohl mit CLI als auch mit der Benutzeroberfläche erzwungen.

Ein Systemwartungskonto - CBVWSSH, existiert für die Entwicklung und das Debuggen und verfügt über keine externen Anmeldeberechtigungen. Auf das Konto kann nur über die CLI-Sitzung eines regulären Administrator-Benutzers zugegriffen werden.

SD-WAN 210-LTE Firmware-Upgrade

Ab Version 10.2.6 wird die aktive LTE-Firmware als Teil des Upgrade-Pakets in einem Schritt aktualisiert. Um ein Upgrade durchzuführen, müssen Sie das Zeitplanfenster über die Seite “Einstellungen für die Änderungsverwaltung” aktualisieren oder auf die geplante Standardzeit warten, um die LTE-Firmware zu aktualisieren (täglich um 21:20:00 Uhr).

Behobene Probleme

SDWANHELP-961: Dieses Problem betrifft möglicherweise SD-WAN 4000 und 5000 WO Appliances. Nachdem die Appliance über ein Jahr lang 10.1.0 bis 10.2.5 ausgeführt hat, besteht die Möglichkeit, dass zu viele Daten in den Protokollen gespeichert werden.

SDWANHELP-1000: Immer wenn NetFlow mit Hochverfügbarkeits-Setup (HA) aktiviert ist, tritt HA-Klappe aufgrund fehlender Ressourcen auf.

SDWANHELP-1035: Routen werden nicht korrekt über MCN und RCN an entfernte Standorte weitergegeben.

SDWANHELP-1046: Die Installation des Platzhalterzertifikats im SD-WAN Center wird aufgrund eines Problems beim Apache-Reload in einer älteren Version von Apache fehlgeschlagen. Das HTTPS-Zertifikat wurde daher nicht installiert.

SDWANHELP-1049: Virtual WAN Virtual Machine (VM) auf XenServer basierten Plattformen kann einen großen Zeitversatz aufweisen. In diesem Fall wird die Zeit auf der virtuellen WAN-VM nach dem Neustart ungenau angezeigt.

SDWANHELP-1070: Die Uhrzeit wird nach der Änderung nicht mit der Hardware-Uhr synchronisiert. Beispiel: manuelle Zeitaktualisierung oder NTP-Zeitaktualisierung.

SDWANHELP-1078: Eliminieren Sie übermäßiges Protokoll-Spam, das dadurch verursacht wird, dass der Mailer-Daemon versucht, sich bei TACACS+ Server anzumelden.

SDWANHELP-1095: FTP Application Layer Gateway (ALG) möglicherweise nicht korrekt analysiert FTP-Sitzungen, wenn EPSV- oder EPRT-Modi verwendet werden, die einen Fehler in der FTP-Sitzung verursachen.

SDWANHELP-1096: Unter seltenen Bedingungen kann ein Neustart des SD-WAN-Dienstes während der Deep Packet Inspection (DPI) auftreten.

SDWANHELP-1106: Der Export und Import von großen Konfigurationsdateien in SD-WAN Center aus MCN schlägt in früheren 10.2.x-Versionen fehl.

SDWANHELP-1112: BGP Autonomes System (AS) Nummer unterstützt eine 32-Bit-Nummer.

SDWANHELP-1113: Nach dem Upgrade auf 11.0.2 kann zeitweise nicht auf die Management-GUI auf nur WANOP-Plattformen zugreifen.

SDWANHELP-1114: Beim Öffnen der Diagramme über die Berichtsseite des SD-WAN Centers navigiert es zur Diagrammseite, zeigt jedoch keine Grafiken an.

SDWANHELP-1116: Während der Konfigurationsupdates verpassen wir möglicherweise die Verarbeitung von Synchronisationsereignissen aufgrund von Hochverfügbarkeitsklappen (HA). Dies könnte dazu führen, dass die Appliance in einen Problemzustand versetzt wird, wo die Routensynchronisierung nicht mit anderen Zweigen erfolgt und zu einem Netzwerkausfall führt.

SDWANHELP-1149: Wenn Sie ein neues HTTPS-Zertifikat hochladen, wird es nicht angewendet und das alte Zertifikat wird wiederhergestellt.

SDWANHELP-1160: Das Citrix SD-WAN Center zeigt doppelte IP-Adressen unter WAN-Links für eine Site im Konfigurations-Editor an. Das Problem tritt auf, wenn die vierte Zahl in zwei WAN-Link-IP-Adressen mit der gleichen Ziffer beginnt und durch die Anzahl der Ziffern wie 4, 45, 486 variiert.

SDWANHELP-1164: Wenn beim Übertragen der Appliance-Einstellungen aus dem SD-WAN Center das Kennwort in den Appliance-Einstellungen ein Dollarsymbol gefolgt von einem Zeichen enthält, schlägt die Übertragung fehl. Beispielsweise schlagen die Passwörter test$1, test$1$d fehl. Aber test1$ wird funktionieren.

SDWANHELP-1169: Der Dienst wird abgebrochen, wenn ein Paket für die Übertragung für einen DVP geplant ist, für den noch nicht entfernt werden soll. Die Software versucht fälschlicherweise, es aus einer leeren Paketliste zu entfernen. Die Software wurde aktualisiert.

SDWANHELP-1176: Aufgrund einiger verwaister Einträge in der Konfigurationsdatenbank löst die GET API für config_editor/virtual_paths einige Ausnahmen zusammen mit der Antwort aus. Der Cascade Delete wurde behoben, um die verwaisten Datenbankeinträge zu vermeiden.

SDWANHELP-1189: Während des Software-Appliance-Upgrades kann der Installationsprozess auf den SD-WAN 210 Standard Edition-Appliances (SE) fehlschlagen. Bei der Fehlererkennung startet die Appliance automatisch neu, um das Problem zu vermeiden, damit das Upgrade fortgesetzt werden kann.

SDWANHELP-1201: Das LTE-Modem kann sporadisch selbst neu starten. Beim Start einer Datensitzung meldet das Modem ständig einen Fehler - der Dienst wird nicht unterstützt. Die Lösung besteht darin, das Modem automatisch zu deaktivieren und wieder zu aktivieren, um den Fehler wiederherzustellen.

SDWANHELP-1241: In einigen Fällen werden Appliance-Informationen auf der Seite Inventar und Status des SD-WAN Centers aufgrund des Absturzes des SD-WAN Center-Dienstes nicht angezeigt.

NSSDW-23795: In einigen Fällen führen die Meldung von NetFlow/IPFIX Collectors (z. B. Solar Winds) zu MYSQL-Fehler= (1064) in SDWAN_firewall.log. Dieses Problem führt zu einem falschen Plotten von Bandbreitennutzungsdiagrammen.

NSSDW-24895: Erhöhen Sie den Citrix SD-WAN Center Software-Upgrade-Puffer, der für das Upgrade auf neuere Versionen erforderlich ist.

NSSDW-24215: Auf Citrix SD-WAN Appliances ist der generische SNMP-Spaziergang nicht funktionsfähig. Der Fix besteht darin, die generische SNMP-Gehanforderung ordnungsgemäß zu verarbeiten und die Antwort bis zum Ende der SNMP-Objekt-ID (OID) bereitzustellen.

NSSDW-24862: Citrix SD-WAN sendet die NetFlow-Daten nicht in regelmäßigen Abständen an die Kollektoren.

NSSDW-25147: Wenn die PPPoE-Funktion in SD-WAN-Appliances konfiguriert ist, wird der Point-to-Point-Protokoll-Daemon (PPPD) zur Einrichtung der PPPoE-Sitzungen ausgeführt. Diese Konfiguration ist anfällig für CVE-2020-8597, einem Pufferüberlauf. Dieses Problem wurde ab Version 11.1.0 behoben.

NSSDW-25265: Die Dashboard-Inventartabelle des Citrix SD-WAN Center zeigt keine Daten an.

NSSDW-25067: Eine Warnmeldung oder eine Besetztnachricht wird angezeigt, wenn das LTE-Modem deaktiviert ist und erneut aktiviert wird, bevor der Betriebsmodus auf Lower Powerumgeschaltet hat. Die Lösung besteht darin, den Benutzer zu warnen und den aktuellen Betriebsmodus anzuzeigen, bevor der Aktivierung/Deaktivierungsvorgang ausgeführt wird.

NSSDW-25135: Manchmal wurden während der Zscaler-Bereitstellung falsche Konfigurationen verwendet, um das Mapping zu erstellen. Das Problem tritt aufgrund fehlerhafter doppelter Einträge in der Datenbank auf. Der Fix stellt sicher, dass keine doppelten Einträge in der Datenbank vorhanden sind.

NSSDW-25440: Bei Instanzen mit aktivierter Netzwerkbeschleunigung können in Azure erhebliche Paketverluste oder Netzwerkverzögerungen beobachtet werden.

Bekannte Probleme

NSSDW-22748: IPFIX-Berichte, die in das CA-Management-Tool exportiert werden, werden gemäß der IPFIX-Spezifikation nicht korrekt verarbeitet. Das Problem gilt nur für das CA Management Tool und wird nicht angezeigt, wenn IPFIX-Berichte in Collectors wie SolarWinds, Splunk exportiert werden.

SDWANHELP-1159: Citrix SD-WAN wirbt nicht für die Routen zum OSPF-Nachbarn an. Dies geschieht, wenn die Routen im SD-WAN geändert werden oder virtuelle Pfade Klappe passiert, was dazu führt, dass virtuelle WAN-Routen über die Standorte neu synchronisiert werden. Wenn in diesem Fall die Verbindung zum OSPF-Peer verlustbehaftet ist, kann SD-WAN einen Zustand eingeben, in dem es niemals die SD-WAN-Routen an OSPF-Nachbarn ankündigt.

Problemumgehung: Stoppen und starten Sie den virtuellen WAN-Dienst neu.

Citrix SD-WAN 10.2.6 — Versionshinweise