Citrix SD-WAN

Citrix SD-WAN 11.0.3 — Versionshinweise

Einführung

In diesem Versionshinweis werden neue, behobene Probleme und bekannte Probleme beschrieben, die für die Citrix SD-WAN -Softwareversion 11.0, Version 3 für die SD-WAN Standard Edition, WANOP, Premium Edition-Appliances und das SD-WAN Center gelten.

Weitere Informationen zu den vorherigen Versionen finden Sie in der Citrix SD-WAN Dokumentation.

Hinweis:

  • CVE-2019-19781 - Sicherheitsanfälligkeit in Citrix SD-WAN WANOP Appliances (gilt NUR für 4000-WO, 4100-WO, 5000-WO, 5100-WO Plattformmodelle), die zur Ausführung willkürlichen Codes führt, ist in Release 10.2.6b behoben. Weitere Informationen finden Sie unter CVE KB.

  • Die Version 11.0.3.1018 enthält Sicherheitsupdates, und Citrix empfiehlt, dass der Patch von allen Kunden auf Amazon Web Services angewendet wird.

Neue Features

Unterstützung mehrerer Hubs für Microsoft Virtual WAN

Mit Version 11.0.3 kann ein Zweig mit mehreren Hubs innerhalb einer virtuellen Azure WAN-Ressource verbunden werden. Eine virtuelle Azure-WAN-Ressource kann mit mehreren lokalen Zweigstandorten verbunden werden. Ein Zweigstandort muss Azure WAN-Ressourcen zugeordnet werden, um IPSec-Tunnel einzurichten.

SD-WAN Standard Edition (SE) VPX Kennwortänderung

Ab Version 11.0.3 ist es zwingend erforderlich, das Standardkennwort für das Administratorkonto während der Provisioning einer SD-WAN-Appliance oder beim Bereitstellen eines neuen SD-WAN SE VPX zu ändern. Diese Änderung wird sowohl mit CLI als auch mit der Benutzeroberfläche erzwungen.

Ein Systemwartungskonto - CBVWSSH, existiert für die Entwicklung und das Debuggen und verfügt über keine externen Anmeldeberechtigungen. Auf das Konto kann nur über die CLI-Sitzung eines regulären Administrator-Benutzers zugegriffen werden.

SD-WAN 210-LTE Firmware-Upgrade

Mit Version 11.0.3 wird die aktive LTE-Firmware im Rahmen des Einzelschritt-Upgrade-Pakets aktualisiert. Um ein Upgrade durchzuführen, müssen Sie das Zeitplanfenster über dieSeite “Einstellungen für dieÄnderungsverwaltung” aktualisieren oder auf die geplante Standardzeit warten, um die LTE-Firmware zu aktualisieren (täglich um 21:20:00 Uhr).

Behobene Probleme

SDWANHELP-941: Während der Konfigurationsupdates können wir das Zurücksetzen des virtuellen Pfadwechsel-Ereignisses verpassen und zu diesem Fehler führen, bei dem wir die Routen nicht herunterfahren, selbst wenn der entsprechende virtuelle Pfad abfällt.

SDWANHELP-961: Dieses Problem betrifft möglicherweise SD-WAN 4000 und 5000 WANOP Appliances. Nachdem die Appliance über ein Jahr 10.1.0 bis 10.2.5 ausgeführt hat, besteht die Möglichkeit, dass zu viele Daten in den Protokollen gespeichert werden.

SDWANHELP-988: RADIUS- und ** TACACS+-Benutzer können kein Diagnosepaket von der SD-WAN Center-Benutzeroberfläche generieren. Diagnosepaketerstellung über Terminal schlägt für alle Benutzer fehl. Die Option **Konfiguration > Lizenzierung ist auf der Benutzeroberfläche des SD-WAN Centers nicht verfügbar.

SDWANHELP-1000: Wenn NetFlow mit Hochverfügbarkeits-Setup (HA) aktiviert ist, tritt eine HA-Klappe aufgrund fehlender Ressourcen auf.

SDWANHELP-1023: SD-WAN-Dienst Neustarts können auftreten, wenn die Pakete nach der NAT-Übersetzung falsch weitergeleitet werden.

SDWANHELP-1035: Routen werden über MCN und RCN nicht korrekt an entfernte Standorte weitergegeben.

SDWANHELP-1042: SD-WAN stürzt ab, wenn der Benutzer eine veröffentlichte Anwendung neu startet, die in einer bestehenden HDX-Sitzung getrennt wurde und sie schließt.

SDWANHELP-1049: Virtual WAN-Virtual Machine (VM) auf XenServer basierten Plattformen kann im Laufe der Zeit einen großen Zeitversatz aufweisen. In diesem Fall wird die Zeit auf der virtuellen WAN-VM nach dem Neustart ungenau angezeigt.

SDWANHELP-1051: Bei Lizenzserverversionen kleiner als v11.16.3 können sie zu Denial-of-Service (DOS) -Angriffen führen, die sich auf alle Legacy-Lizenzserver unter 11.16.3 auswirken.

SDWANHELP-1070: Die Zeit wird nicht mit der Hardware-Uhr synchronisiert, nachdem sie geändert wurde. Beispiel: manuelle Zeitaktualisierung oder NTP-Zeitaktualisierung.

SDWANHELP-1088: Einige Seiten der SD-WAN-Appliance-GUI-Seiten reagieren möglicherweise nicht, wenn eine Appliance neu gestartet wird, nachdem die PAC-Dateifunktion aktiviert wurde.

SDWANHELP-1095: Das FTP Application Layer Gateway (ALG) analysiert möglicherweise FTP-Sitzungen nicht korrekt, wenn EPSV- oder EPRT-Modi verwendet werden, was einen Fehler in der FTP-Sitzung verursacht.

SDWANHELP-1112: Die BGP-Nummer des autonomen Systems (AS) unterstützt eine 32-Bit-Zahl.

SDWANHELP-1113: Nach dem Upgrade auf 11.0.2 kann zeitweise nicht auf Management-GUI nur auf WANOP-Plattformen zugegriffen werden.

SDWANHELP-1116: Während des Konfigurationsupdates verpassen wir möglicherweise die Verarbeitung von Synchronisationsereignissen aufgrund einer hohen Verfügbarkeit (HA) -Klappe, was die Appliance in einen Problemzustand führen kann, in dem die Routen-Synchronisierung nicht mit anderen Zweigen stattfindet und zu Netzwerkausfällen führt.

SDWANHELP-1123: Bei der Konfiguration einer Routingdomäne mit nur einer DHCP-Schnittstelle wird ein Überwachungsfehler angezeigt.

SDWANHELP-1160: Das Citrix SD-WAN Center zeigt doppelte IP-Adressen unter WAN-Links für einen Standort im Konfigurationseditor an. Das Problem tritt auf, wenn die vierte Zahl in zwei WAN-Link-IP-Adressen mit der gleichen Ziffer beginnt und durch die Anzahl der Ziffern wie 4, 45, 486 variiert.

SDWANHELP-1164: Wenn das Kennwort in den Appliance-Einstellungen ein Dollarsymbol und ein Zeichen enthält, schlägt die Übertragung fehl, wenn das Kennwort in den Appliance-Einstellungen ein Dollarsymbol gefolgt von einem Zeichen enthält. Beispielsweise schlagen die Passwörter test$1, test$1$d fehl. Aber test1$ wird funktionieren.

SDWANHELP-1169: Der Dienst wird abgebrochen, wenn ein Paket für die Übertragung für einen DVP geplant ist, der entfernt wird. Die Software versucht fälschlicherweise, es aus einer leeren Paketliste zu entfernen. Die Software wurde aktualisiert.

SDWANHELP-1176: Aufgrund einiger verwaiste Einträge in der Konfigurationsdatenbank löst die GET-API für config_editor/virtual_paths einige Ausnahmen zusammen mit der Antwort aus. Das Kaskadierende Löschen wurde behoben, um verwaiste Datenbankeinträge zu vermeiden.

SDWANHELP-1189: Während des Software-Appliance-Upgrades kann der Installationsvorgang auf den SD-WAN 210 Standard Edition (SE) -Appliances fehlschlagen. Bei der Fehlererkennung startet die Appliance automatisch neu, um das Problem zu vermeiden, damit das Upgrade fortgesetzt werden kann.

SDWANHELP-1201: Das LTE-Modem kann sporadisch eigenständig neu gestartet werden. Beim Start einer Datensitzung meldet das Modem weiterhin einen Fehler - der Dienst wird nicht unterstützt. Die Lösung besteht darin, das Modem automatisch zu deaktivieren und wieder zu aktivieren, um den Fehler wiederherzustellen.

SDWANHELP-1385: Aufgrund eines Problems in der BIOS-Firmware v1.0b auf der SD-WAN 210 Plattform könnten die Seriennummer des SD-WAN Gerätes verloren gehen und auf die Standardzeichenfolge zurückgesetzt werden.

SDWANHELP-1365: In einem GEO MCN Setup mit hoher Verfügbarkeit mit aktivierter WAN-zu-WAN-Weiterleitung kann ein ** Internetdienst-Down-Ereignis ein falsches Szenario auslösen, in dem Routen, die von sekundären GEO MCN gelernt wurden, höhere Vorrang haben als das primäre GEO MCN.

NSSDW-22847: Das ** Multi-Hop-Kontrollkästchen in BGP wurde standardmäßig in der SD-WAN-Benutzeroberfläche aktiviert, wenn BGP aktiviert ist. Die Einstellung wurde jedoch nicht aktiviert, es sei denn, der Benutzer deaktiviert und aktiviert sie wieder.

NSSDW-25032: Der Multiple Exit Diskriminator (MED) wurde dem Nachbarn nicht angekündigt, wenn eine BGP-Richtlinie mit MED-Metriken konfiguriert und an einen Nachbarn gebunden ist. Dieses Problem war ein falsches Netzwerkpräfix (32), das vom Compiler festgelegt wurde.

NSSDW-25067: Eine Warnmeldung oder eine Ausgelastete Meldung wird angezeigt, wenn das LTE-Modem deaktiviert ist und es erneut aktiviert wurde, bevor der Betriebsmodus auf Niedrigere Stromversorgung umgeschaltet wurde. Die Lösung besteht darin, den Benutzer zu warnen und den aktuellen Betriebsmodus anzuzeigen, bevor der Aktivierung/Deaktivierungsvorgang ausgeführt wird.

NSSDW-25135: Manchmal wurden während der Zscaler-Bereitstellung falsche Konfigurationen verwendet, um die Zuordnung zu erstellen. Das Problem tritt aufgrund fehlerhafter doppelter Einträge in der Datenbank auf. Der Fix stellt sicher, dass keine doppelten Einträge in der Datenbank vorhanden sind.

NSSDW-25147: Wenn die PPPoE-Funktion in SD-WAN-Appliances konfiguriert ist, wird der Point-to-Point-Protokoll-Daemon (PPPD) ausgeführt, um die PPPoE-Sitzungen einzurichten. Diese Konfiguration ist anfällig für CVE-2020-8597, einem Pufferüberlauf. Dieses Problem wurde ab Version 11.1.0 behoben.

NSSDW-25440: Bei Instanzen mit aktivierter Netzwerkbeschleunigung können erhebliche Paketverluste oder Netzwerkverzögerungen in Azure beobachtet werden.

NSSDW-28971: Sobald Sie sich bei den SD-WAN-Appliances und virtuellen Maschinen anmelden, erhalten Sie möglicherweise Root-Shell-Zugriff mit dem 11.x-basierten Image unter Verwendung eines festcodierten Kennworts. Die betroffenen SD-WAN-Plattformen sind 110 und VPXs mit 11.x-Images bereitgestellt. Dies ist ein CLI-bezogenes Problem und gilt nicht für GUI.

Bekannte Probleme

NSSDW-23264: Das Abrufen einer Remotelizenz schlägt fehl, wenn SD-WAN Center-Build auf 11.x ist, während der Appliance-Build auf 10.x ist.

Problemumgehung: Downgrade des SD-WAN Center-Builds auf die gleiche wie 10.x, mit der die SD-WAN-Appliance konfiguriert ist.

NSSDW-23132: Nach dem Upgrade auf 11.x kann die tatsächliche Verkehrsunterbrechungszeit in Sekunden sehr groß sein.

Problemumgehung: Nachfolgende Änderungsverwaltung zeigt den korrekten Wert an. Dies ist nur ein Anzeigeproblem.

NSSDW-23134: Ein konsistenter Software-Push kann passieren, wenn versucht wird, eine Site in das Netzwerk hinzuzufügen, wenn das Netzwerk gerade auf 11.x aktualisiert wurde.

Problemumgehung: Führen Sie die Änderungsverwaltung erneut durch.

NSSDW-23485: Cloud Direct lässt keine Operation zu, wenn eine aktive Konfiguration auf MCN Punktzeichen im Namen hat.

Problemumgehung: Aktualisieren Sie den Namen der Konfigurationsdatei ohne DOT.

SDWANHELP-1110: In einem seltenen Szenario kann eine Unterbrechung im Datenpfad-Service in den Lower-End-Appliances (210/410) beobachtet werden, wenn kurzlebige dynamische virtuelle Pfade kontinuierlich erstellt werden.

Problemumgehung: Deaktivieren Sie den dynamischen virtuellen Pfad (DVP) oder passen Sie die Konfiguration an, um kurzlebige DVPs zu vermeiden.

SDWANHELP-1159: Citrix SD-WAN kündigt die Routen zum OSPF-Nachbarn nicht an. Dies geschieht, wenn die Routen im SD-WAN geändert werden oder virtuelle Pfade Klappe passiert, was dazu führt, dass virtuelle WAN-Routen über die Standorte neu synchronisiert werden. Wenn in diesem Fall die Verbindung zum OSPF-Peer verlustbehaftet ist, kann SD-WAN einen Zustand eingeben, in dem es niemals die SD-WAN-Routen an OSPF-Nachbarn ankündigt.

Problemumgehung: Beenden und starten Sie den virtuellen WAN-Dienst neu.

NSSDW-27727: Netzwerke mit VPX- und VPXL-Instanz, die den IXGBEVF-Treiber verwenden, der für bestimmte Intel 10-GB-NICs verwendet wird, wenn SR-IOV aktiviert ist, dürfen nicht auf 11.0.3 aktualisiert werden. Dies kann zu einem Verlust der Konnektivität führen. Dieses Problem wirkt sich bekanntermaßen auf AWS-Instanzen mit aktiviertem SR-IOV aus.

Citrix SD-WAN 11.0.3 — Versionshinweise