Citrix SD-WAN

Notas de la versión

En esta nota de la versión se describen las novedades, los problemas solucionados y los problemas conocidos aplicables a la versión 11.1.0 del software Citrix SD-WAN Standard Edition, WANOP, Premium Edition y SD-WAN Center.

Para obtener información sobre las versiones anteriores de la versión, consulte la documentación.Citrix SD-WAN

Novedades

Mejoras centradas en las aplicaciones

  • Mejoras de Zero Touch: Citrix SD-WAN ahora admite el aprovisionamiento Zero Touch en determinados puertos de datos designados en las plataformas SD-WAN 110 Standard Edition (SE) y SD-WAN VPX. ZTD Zero Touch Deployment (ZTD) ahora se admite en los puertos de datos designados y no es necesario utilizar un puerto de administración independiente para ZTD.

    [NSSDW-20641]

  • Configuración predeterminada y alternativa: Las plataformas Citrix SD-WAN 110 SE, 210 SE, 410 SE, 1100 SE/PE, VPX y VPX-L se suministran con una configuración predeterminada para proporcionar una configuración básica en banda después de un restablecimiento de la configuración. El usuario puede modificar la configuración predeterminada y, si está habilitada, se utiliza como configuración de reserva en caso de fallo crítico.

    [NSSDW-20641]

  • Mejora de la administración en banda: Citrix SD-WAN ahora admite la conectividad SNMP y SD-WAN Center a través de interfaces de administración en banda. Esto significa que ya no se requiere conectividad separada a través del puerto de administración designado para conectar dispositivos SD-WAN a Citrix SD-WAN Orchestrator o SD-WAN Center. La generación de informes IP de administración para la conectividad SD-WAN Center requiere que se configure una dirección IP virtual en banda como la red de administración de backup.

    [NSSDW-24533]

  • Servicio de balizas de Microsoft Office 365: Citrix SD-WAN admite la capacidad de sondeo de balizas de Microsoft Office 365 para ayudar a determinar el mejor vínculo que se debe usar para Office 365. Los sondeos determinan la latencia (tiempo de viaje de ida y vuelta) que implica llegar a los puntos finales de Office 365 a través de cada vínculo WAN, lo que permite a los administradores de red identificar el mejor enlace que se utilizará para el tráfico de O365. La capacidad de sondeo de baliza de Office 365 solo se configura a través de Citrix SD-WAN Orchestrator.

    [NSSDW-14231]

  • Compatibilidad con IPv6:

    Citrix SD-WAN proporciona las siguientes capacidades IPv6:

    • Infraestructura de configuración para enlaces WAN IPv6.
    • Establecimiento de Túneles de Ruta Virtual a través de redes IPv6.

    A partir de la versión 11.1.0, dos subsecciones están disponibles en Dirección IP virtual: direcciones IPv4 e IPv6. Las direcciones IPv6 se utilizan para admitir interfaces que no son de confianza. Las interfaces que no son de confianza se pueden utilizar para el túnel del tráfico IPv4 enrutable a través de rutas virtuales IPv4 o IPv6.

    [NSSDW-1913, NSSDW-1929, NSSDW-1936]

  • Reconexión de sesión ICA: Citrix SD-WAN admite reconexiones de sesión ICA con el canal virtual HDX Insight NSAP. Si pierde la conexión, la conexión se vuelve a conectar sin volver a introducir las credenciales de inicio de sesión. El valor predeterminado es 180 segundos. Se puede configurar a través de la directiva de VDA.

    [NSSDW-15457]

Mejoras de redirección

  • Servicio de dominio entre enrutamiento estático: Citrix SD-WAN ahora proporciona un servicio de dominio entre enrutamiento estático, lo que permite el enrutamiento entre dominios de enrutamiento dentro de un sitio o entre sitios diferentes. Esto elimina la necesidad de un enrutador perimetral externo para manejar el enrutamiento entre dos dominios de redirección. El servicio de interredirección se puede utilizar para configurar rutas, directivas de firewall y reglas NAT.

    [NSSDW-1966]

  • Compatibilidad con túneles GRE en el servicio de intranet: Citrix SD-WAN permite configurar túneles GRE en modo activo/pasivo a través de enlaces WAN individuales o múltiples. Se debe crear un servicio de intranet para cada túnel GRE.

    [NSSDW-16112]

Servicios en la nube

  • [Opción del modo de facturación directa]en la nube(/en-us/citrix-sd-wan-center/11-1/cloud-direct-service.html): la opción Cloud Direct Billing Modo se introduce en Citrix SD-WAN Center. Esto permite el uso de licencias de prueba o evaluación de Cloud Direct, que pueden proporcionarlas las ventas de Citrix o los socios autorizados. Los sitios que operan con licencias de evaluación de Cloud Direct deben establecerse en la opción Modo de facturación de demostración. Los sitios que se actualizan a licencias de suscripción completas de Cloud Direct deben establecerse en la opción Modo de facturación de producción.

    [NSSDW-21047]

WAN virtual de Azure

  • Azure Virtual WAN: comunicación Hub-a-Hub: los clientes de Azure Virtual WAN ahora pueden aprovechar la red troncal global de Microsoft para la comunicación entre regiones concentrador (arquitectura de red de tránsito global). Esto permite la comunicación de sucursal a Azure, de rama a rama a través de la red troncal de Azure y de rama a concentrador (en todas las regiones de Azure).

    Puede aprovechar la estructura troncal de Azure para la comunicación entre regiones solo cuando compre el SKU estándar para Azure Virtual WAN. Para obtener más información sobre precios, consulte Precios de la WAN virtual. Con el SKU básico, no puede usar la estructura troncal de Azure para la comunicación entre regiones de centro a centro. Para obtener más información detallada, consulte Arquitectura de red de tránsito global y WAN.

    [NSSDW-14171]

  • Compatibilidad con múltiples vínculos WAN para conectividad WAN virtual de Microsoft: Citrix SD-WAN admite varios vínculos WAN de manera primaria y secundaria para establecer un túnel IPSec hacia Azure Hubs. Esto proporciona redundancia a nivel de enlace en el sitio. Si se produce un error en el vínculo principal, el túnel configurado hacia Azure Hub se restablece mediante el vínculo WAN secundario. En caso de fallo de enlace WAN, el túnel se restablece en milisegundos.

    [NSSDW-22161]

Vínculos IPSec dobles

  • Compatibilidad con dos enlaces WAN para conectividad IPSec: Citrix SD-WAN permite el uso de dos enlaces de Internet/WAN para establecer túneles IPSec para proteger las sucursales contra períodos de interrupción del servicio. Si el túnel primario se desconecta por cualquier motivo, el túnel IPSec se restablece a través del enlace WAN secundario en milisegundos. Esta función es compatible con las puertas de enlace basadas en IPSec estándares, como Microsoft Azure Virtual WAN, Azure VPN Gateway, AWS VPN Gateway, AWS Transit Gateway, Zscaler, Check Point CloudGuard y Palo Alto Prisma, entre otros sujetos a validación.

    [NSSDW-17871]

Implementaciones

  • Citrix SD-WAN SE en OpenStack con CloudInit: Citrix SD-WAN SE ahora puede implementarse en un entorno OpenStack. Para ello, la imagen de Citrix SD-WAN debe admitir la funcionalidad de unidad de configuración. El script CloudInit admite la contextualización para la implementación de SD-WAN en OpenStack con config-drive.

    Para la instancia de SD-WAN en OpenStack, las entradas necesarias son IP de administración, DNS y número de serie. El script CloudInit analiza estas entradas y aprovisiona la instancia con la información dada.

  • Citrix SD-WAN VPX SE en ESXi 6.5: el software Citrix SD-WAN SE VPX ahora está disponible como máquina virtual VMware vSphere que se ejecuta bajo ESXi 6.5.

    [NSSDW-20306]

  • Establecer túneles IPSec en interfaces habilitadas para DHCP mediante IPs dinámicas: Citrix SD-WAN ahora puede establecer túneles IPSec cuando un vínculo WAN finaliza directamente en el dispositivo y se asigna una IP dinámica al vínculo WAN.

    Los túneles IPSec de la intranet deben ser configurables cuando la dirección IP del túnel local no es o no se puede conocer. La etiqueta de una dirección no establecida se cambia a < Auto >cuandoel tipo de túnel es Intranet. Si la IP local se establece como < Auto >,toma la dirección IP incorporada para la interfaz de acceso en ese enlace WAN. La interfaz de acceso al enlace WAN puede obtener IP estáticamente o desde DHCP.

    [NSSDW-17869]

Mejoras de seguridad

  • Mejora de PKI: distribución de certificados: Citrix SD-WAN admite la autenticación de dispositivos para rutas virtuales estáticas y dinámicas mediante la infraestructura de claves públicas (PKI) como característica de seguridad adicional. La habilitación de la función amplía el mecanismo de autenticación de ruta virtual existente mediante la distribución de certificados PKI a través de la ruta de datos, por el dispositivo que inicia el intercambio. La mejora de PKI también admite la administración de listas de revocación de certificados (CRL) para la revocación centralizada de certificados comprometidos.

    [NSSDW-21622]

Mejoras de la interfaz de usuario

  • Nombre del sitio en banner GUI de SD-WAN: El nombre del sitio se muestra en el encabezado GUI de SD-WAN.

    [SDWANHELP-92]

  • Advertencia de acceso multiusuario: cuando un usuario inicia sesión en un dispositivo Citrix SD-WAN, un mensaje de advertencia muestra el nombre de usuario de otros usuarios que han iniciado sesión en el dispositivo.

    [NSSDW-23279]

Plataformas

  • Citrix SD-WAN 110 SE: La plataforma Citrix SD-WAN 110 SE es un nuevo dispositivo de sucursal que se puede implementar en pequeñas y pequeñas sucursales, sitios remotos/tiendas minoristas, hogares y lugares de trabajo temporales. Una única solución de caja en sucursal ayuda a reducir el espacio de hardware y facilita la implementación de sucursales.

    El dispositivo Citrix SD-WAN 110-SE es un dispositivo de formato de escritorio.

    El nuevo dispositivo viene en dos modelos:

    • SD-WAN 110
    • SD-WAN 110-LTE-WiFi

    Nota

    La versión 11.1.0 del modelo SD-WAN 110-LTE-WiFi no admite capacidades Wi-Fi. Esta capacidad se habilitará en una versión futura.

    [NSSDW-2010]

  • Mejoras en el rendimiento de Citrix SD-WAN 6100 SE: el límite de rutas virtuales del dispositivo Citrix SD-WAN 6100 SE aumenta de 550 a 1.000 paths virtuales estáticos.

    [NSSDW-1919]

  • Compatibilidad con licencias Citrix SD-WAN 210 SE y 210 LTE: los dispositivos Citrix SD-WAN 210-SE y 210-LTE ahora admiten una opción de licencia de 300 Mbps.

    [NSSDW-20458]

  • Compatibilidad con PAN-OS 8.1.x para máquinas virtuales alojadas en el dispositivo Citrix SD-WAN 1100: los dispositivos Citrix SD-WAN 1100 ahora admiten PAN-OS 8.1.3, además de la versión 9.0.1 para la serie VM de Palo Alto.

    [NSSDW-23396]

Mejoras del sistema

  • Actualización del servidorde licencias: el servidor de licencias se actualiza a la versión 11.16.3.

    [NSSDW-20534]

  • Formato de registro mejorado: el nuevo formato de registros SD-WAN muestra la hora del día en que se capturaron los registros en lugar del último tiempo de actividad conocido.

    [NSSDW-23297]

Problemas resueltos

SDWANHELP-1206: Un error de código que conduce al reinicio innecesario del demonio SNMP cuando se realiza la actualización de configuración principal. Esto estaba causando una trampa de reinicio del dispositivo falso. El problema solo se aplica a las plataformas SD-WAN 110, SD-WAN 210, SD-WAN 410, SD-WAN 1100 y SD-WAN VPX.

SDWANHELP-1203: Los dispositivos SD-WAN se bloquean varias veces después de actualizar a la versión 11.0.3 desde la versión 10.2.3. El bloqueo ocurre cuando una rama, configurada como un sitio intermedio entre dos sitios remotos, no puede manejar el tráfico más allá del umbral.

La rama intenta formar una ruta virtual dinámica entre los dos sitios, mientras que los sitios remotos están conectados a ella a través de la ruta virtual dinámica en lugar de la ruta virtual estática. La corrección garantiza que la rama no actuará como un sitio intermedio para dos sitios remotos cuando está conectado a cualquiera de ellos a través de una ruta virtual dinámica.

SDWANHELP-1193: Cuando el MCN está en estado de fábrica mientras descarga el paquete LCM sin activar el software/configuración en etapas, el paquete LCM descargado tiene aproximadamente el mismo tamaño que las configuraciones (cientos de KB).

Este problema se produce cuando se realiza la administración de cambios en un MCN estado de fábrica. Intente descargar el paquete LCM inmediatamente después de hacer clic en Prueba (cuando el vínculo de descarga esté disponible), pero antes de hacer clic enActivar en etapas.

SDWANHELP-1187: Los usuarios no pueden cambiar la contraseña de usuario LOM.

La compatibilidad con CLI para configurar IP y contraseña para el puerto LOM se introduce en los siguientes dispositivos, que ejecutan 11.1.0 y versiones más recientes.

  • 6100 SE
  • 5100 SE/PE
  • 4100 SE
  • 2100 SE
  • 2100 PE

Los comandos admitidos son los siguientes:

status # Show status

disable # Disable LOM access

enable dhcp # Enable DHCP address on LOM

enable static <ip> <mask> <gateway> # Enable static IP address on LOM

password # Change LOM password

SDWANHELP-1180: la interfaz de usuario de Citrix SD-WAN MCN no responde cuando se agrega un nuevo sitio y se inserta la configuración. Los registros de eventos MCN tienen un error SQL: ERROR - mysqld registro no disponible durante mucho tiempo.

SDWANHELP-1179: NITRO API para obtener estadísticas de flujos devolvía LAN a WAN como dirección de flujo para todos los flujos independientemente de la dirección correcta. Este problema se observó solo con NITRO API y no en la GUI.

SDWANHELP-1164: Al transferir la configuración del dispositivo desde SD-WAN Center, si la contraseña, en la configuración del dispositivo, contiene un símbolo de dólar seguido de algún carácter, la transferencia falla. Por ejemplo, las contraseñas test$1, test$1$d fallarán. Pero test1$ funcionará.

SDWANHELP-1160: Citrix SD-WAN Center muestra direcciones IP duplicadas en vínculos WAN de un sitio en el Editor de configuración. El problema se produce cuando el cuarto número de dos direcciones IP de enlace WAN comienza con el mismo dígito y varía según el número de dígitos como 4, 45, 486.

SDWANHELP-1122: El nombre de host de una instancia de Citrix SD-WAN WANOP se puede cambiar desde la GUI y el nombre de host cambiado se refleja después del reinicio. En algunas instancias WANOP de Citrix SD-WAN, que sirven como árbitro, el nombre del host no es persistente durante los reinicios.

NSSDW-23485: Cloud Direct no permite realizar ninguna operación si la configuración activa en el MCN tiene un carácter de punto en su nombre. El nombre del archivo de configuración tuvo que actualizarse para no incluir el carácter de punto.

SDWANHELP-1115: Si la unidad de velocidad de cola MPLS está establecida en%, las tarifas permitidas de LAN a WAN y WAN a LAN muestran 0 en grupos de aprovisionamiento y en la pantalla Servicios de aprovisionamiento . Después de la corrección, la sección de Provisioning muestra el valor en kbps después de convertir los valores% internamente.

Si la unidad de velocidad de cola MPLS se establece en%, las tarifas permitidas de LAN a WAN y WAN a LAN muestran 0 en grupos de aprovisionamiento y en la pantalla Servicios de aprovisionamiento.

SDWANHELP-1110: En un escenario raro, puede producirse un bloqueo de ruta de datos cuando se utilizan rutas virtuales dinámicas.

SDWANHELP-1097: A veces, mientras se ejecuta tráfico ICA, el dispositivo se reinicia. El problema puede ocurrir si el VDA de ICA o el cliente envía paquetes ICA con un formato que no es esperado por SD-WAN.

NSSDW-21806: Al configurar el nombre de CA, el nombre de servicio/nombre de servicio/nombre de usuario en mayúsculas, las entradas se convierten en minúsculas, lo que puede causar problemas en el aprendizaje de IP desde el concentrador de acceso (ISP).

SDWANHELP-1016: Cuando se cambia un enlace WAN de MPLSprivado a Intranet/Internetprivada, el editor de configuración muestra errores de auditoría EC159, EC160, EC178 y EC179. Publicar esta corrección, el usuario tiene que navegar alEditor de configuración> Conexiones > Vínculos WAN > Vínculo Ruta virtualy habilitar la opción Usar para utilizar el tipo deIntranet/Internet Privada y evitar más errores de auditoría.

SDWANHELP-959: El dispositivo Citrix SD-WAN se reinicia debido a un bloqueo en la búsqueda de ruta. El problema puede producirse cuando el tráfico entre dos ramas está por debajo del umbral de ruta virtual dinámica, lo que lleva a la caducidad de la ruta virtual dinámica.

NSSDW-19132: En el caso de las sesiones HDX MSI, el estado de conexión se muestra como INVÁLIDO para algunas de las secuencias de IDLE en el informe Sesiones de usuario HDX en la pestaña HDX de informes de SDWAN Center. La solución es mostrar el estado de conexión como INACTIVO para las secuencias inactivas de sesiones MSI.

SDWANHELP-760: En un escenario raro, una posible condición de carrera con motor de actualización de ruta cuando se utiliza el enrutamiento dinámico que conduce a un bloqueo.

SDWANHELP-943: La creación del par de puentes era posible en todas las interfaces y, por lo tanto, auditar la configuración eliminaría el par de puentes en puertos no fallos a cables. Ahora los pares de puentes solo se pueden crear en interfaces que admiten error a cable.

SDWANHELP-738: El servicio Citrix SD-WAN se bloquea periódicamente. El bloqueo ocurre aleatoriamente en algunas cajas SD-WAN 210 LTE. La solución es actualizar el firmware del módem LTE a la última versión de software de SD-WAN o realizar una actualización de software de un solo paso a la versión 10.2.6 o posterior de SD-WAN.

NSSDW-24559: Los valores de tabla de ruta incorrectos se ven en la consulta SNMP para la tabla de rutas. Se modifica el archivo CITRIX-SDWAN-MIB, cargue el nuevo archivo CITRIX-SDWAN-MIB en el administrador SNMP para solucionar este problema.

SDWANHELP-1174: En pocos casos, el informe de ancho de banda del recopilador Netflow/IPFix (por ejemplo, SolarWinds) agrega el uso del ancho de banda a través de varios intervalos de muestra. Este problema da como resultado un trazado incorrecto de los gráficos de uso de ancho de banda. Aunque el ancho de banda total por flujo se informa correctamente.

SDWANHELP-1191: En pocos casos, los colectores NetFlow/IPFix (por ejemplo, SolarWinds) informarán de picos en el uso de ancho de banda debido a un problema de código de caso de esquina.

Problemas conocidos

NSSDW-21808: La información del dispositivo aprovisionado en SD-WAN Center se borra antes de que se complete la operación de desprovisión real en el dispositivo. Si se produjo algún error durante el desaprovisionamiento, el usuario no podrá realizar ninguna operación específica de Palo Alto en el dispositivo desde SD-WAN Center.

  • Solución alternativa: seleccione el sitio que falta y haga clic en Aprovisionar para restaurar la información del dispositivo.

NSSDW-24895: falla la actualización del SD-WAN Center desde la versión 10.2.6 o inferior a la versión 11.1. La carga del paquete falla con el error - Nombre de archivo no válido.

  • Solución alternativa: Para actualizar SD-WAN Center desde la versión 10.2.6 o inferior a la versión 11.1, primero actualice a la versión 11.0.3 y, a continuación, actualice a la versión 11.1.

NSSDW-25313: En Citrix SD-WAN Center, el descubrimiento de MCN falla después de agregar almacenamiento secundario.

  • Solución alternativa: regenere el certificado Citrix SD-WAN Center y cárguelo en el MCN.

NSSDW-27727: Las redes con instancia VPX y VPXL que utilizan el controlador IXGBEVF, utilizadas para ciertas NIC Intel de 10 GB cuando SR-IOV está habilitado, no deben actualizarse a 11.1. Esto podría resultar en una pérdida de conectividad. Se sabe que este problema afecta a las instancias de AWS con SR-IOV habilitado.

SDWANHELP-1547: Después de una actualización de configuración, es posible que los vínculos WAN no estén disponibles para el tráfico de Internet o Intranet.

  • Solución alternativa: Reinicie el dispositivo de puerta de enlace, restablezca el puerto SD-WAN o reinicie el servicio SD-WAN.
Notas de la versión