Citrix SD-WAN

Notas de la versión de Citrix SD-WAN 11.0.3

Introducción

En esta nota de la versión se describen las novedades, los problemas resueltos y los problemas conocidos aplicables a la versión 11.0 del software de Citrix SD-WAN, versión 3, para SD-WAN Standard Edition, dispositivos WANOP, Premium Edition y SD-WAN Center.

Para obtener información sobre las versiones anteriores de la versión, consulte la documentación.Citrix SD-WAN

Nota

  • CVE-2019-19781: una vulnerabilidad en los dispositivos Citrix SD-WAN WANOP (aplicable SOLAMENTE para modelos 4000-WO, 4100-WO, 5000-WO, 5100-WO Platform) que conduce a la ejecución de código arbitrario se corrige en la versión 10.2.6b. Para obtener más información, consulte CVE KB.

  • La versión 11.0.3.1018 contiene correcciones de seguridad y Citrix recomienda que todos los clientes apliquen el parche en Amazon Web Services.

Novedades

Compatibilidad con varios concentradores para Microsoft Virtual WAN

Con la versión 11.0.3, una rama se puede conectar a varios concentradores dentro de un recurso de Azure Virtual WAN. Un recurso WAN virtual de Azure se puede conectar con varios sitios de sucursales locales. Un sitio de sucursal debe estar asociado a recursos de Azure WAN para establecer túneles IPSec.

Cambio de contraseña de SD-WAN Standard Edition (SE) VPX

A partir de la versión 11.0.3, es obligatorio cambiar la contraseña predeterminada de la cuenta de usuario de administrador durante el aprovisionamiento de cualquier dispositivo SD-WAN o implementación de un nuevo dispositivo VPX con SD-WAN SE. Este cambio se aplica mediante la CLI y la interfaz de usuario.

Existe una cuenta de mantenimiento del sistema - CBVWSSH, para el desarrollo y la depuración y no tiene permisos de inicio de sesión externos. Solo se puede acceder a la cuenta a través de la sesión de CLI de un usuario administrativo normal.

Actualización del firmware de SD-WAN 210-LTE

Con la versión 11.0.3, el firmware activo LTE se actualiza como parte del paquete de actualización de un solo paso. Para actualizar, debe actualizar la ventana de programación mediante la página Configuración de administración de cambios o esperar la hora programada predeterminada para actualizar el firmware LTE (diariamente a las 21:20:00).

Problemas resueltos

SDWANHELP-941: Durante la actualización de configuración podríamos perder el restablecimiento del evento de cambio de ruta virtual y podría dar lugar a este error en el que no bajaremos las rutas incluso cuando la ruta virtual correspondiente desaparezca.

SDWANHELP-961: Este problema afecta potencialmente a los dispositivos WANOP SD-WAN 4000 y 5000. Después de que el dispositivo ejecute 10.1.0 a 10.2.5 durante más de un año, existe la posibilidad de que se mantengan demasiados datos en los registros.

SDWANHELP-988: Los usuarios de RADIUS y TACACS+ no pueden generar paquetes de diagnóstico desde la interfaz de usuario de SD-WAN Center. La creación de paquetes de diagnóstico a través de terminal está fallando para todos los usuarios. La opción Configuración > Licencias no está disponible en la interfaz de usuario de SD-WAN Center.

SDWANHELP-1000: Siempre que NetFlow está habilitado con la configuración de alta disponibilidad (HA), se produce un fallo de alta disponibilidad debido a la falta de recursos.

SDWANHELP-1023: los reinicios del servicio SD-WAN pueden producirse cuando los paquetes se enrutan incorrectamente después de la traducción de NAT.

SDWANHELP-1035: Las rutas no se propagan correctamente a sitios remotos a través de MCN y RCN.

SDWANHELP-1042: SD-WAN se bloquea cuando el usuario relanza una aplicación publicada que se desconectó en una sesión HDX existente y la cierra.

SDWANHELP-1049: La máquina virtual WAN virtual (VM) en plataformas basadas en XenServer puede tener un gran desplazamiento de tiempo con el tiempo. En este caso, la hora de la VM WAN virtual muestra inexacta después del reinicio.

SDWANHELP-1051: Con versiones de servidor de licencias inferiores a v11.16.3, podrían provocar ataques de denegación de servicio (DOS) que afecten a todos los servidores de licencias heredados inferiores a 11.16.3.

SDWANHELP-1070: La hora no se sincroniza con el reloj de hardware después de haber sido cambiado. Por ejemplo, actualización manual de tiempo o actualización de tiempo NTP.

SDWANHELP-1088: Algunas de las páginas GUI del dispositivo SD-WAN podrían dejar de responder si se reinicia un dispositivo después de habilitar la función de archivo PAC.

SDWANHELP-1095: Es posible que la puerta de enlace de capa de aplicaciones (ALG) de FTP no analice correctamente las sesiones FTP si se utilizan los modos EPSV o EPRT causando un error en la sesión FTP.

SDWANHELP-1112: El número del sistema autónomo (AS) BGP admite un número de 32 bits.

SDWANHELP-1113: Intermitentemente no se puede acceder a la GUI de administración en plataformas WANOP solo después de actualizar a 11.0.2.

SDWANHELP-1116: Durante la actualización de configuración, es posible que perdamos el procesamiento de eventos de sincronización debido a la falla de alta disponibilidad (HA), que podría provocar que el dispositivo se encuentre en un estado problemático, donde la sincronización de rutas no ocurre con otras sucursales y ocasiona una interrupción de la red.

SDWANHELP-1123: Al configurar un dominio de enrutamiento con solo una interfaz DHCP, se muestra un error de auditoría.

SDWANHELP-1160: Citrix SD-WAN Center muestra direcciones IP duplicadas en vínculos WAN de un sitio en el Editor de configuración. El problema se produce cuando el cuarto número de dos direcciones IP de enlace WAN comienza con el mismo dígito y varía según el número de dígitos como 4, 45, 486.

SDWANHELP-1164: Al transferir la configuración del dispositivo desde SD-WAN Center, si la contraseña, en la configuración del dispositivo, contiene un símbolo de dólar seguido de algún carácter, la transferencia falla. Por ejemplo, las contraseñas test$1, test$1$d fallarán. Pero test1$ funcionará.

SDWANHELP-1169: El servicio se aborta cuando se programó la transmisión de un paquete para un DVP pendiente de eliminación. El software intenta eliminarlo erróneamente de una lista de paquetes vacía. El software ha sido actualizado.

SDWANHELP-1176: Debido a algunas entradas huérfanas en la base de datos de configuración, la API GET para config_editor/virtual_paths arroja algunas excepciones junto con la respuesta. Se ha corregido la eliminación en cascada para evitar las entradas de la base de datos huérfanas.

SDWANHELP-1189: Durante la actualización del dispositivo de software, el proceso de instalación puede fallar en los dispositivos SD-WAN 210 Standard Edition (SE). En la detección de errores, el dispositivo se reinicia automáticamente para evitar el problema, de modo que la actualización pueda continuar.

SDWANHELP-1201: El módem LTE se puede reiniciar por sí solo esporádicamente. Al iniciar una sesión de datos, el módem sigue informando de un error; el servicio no es compatible. La solución es inhabilitar y volver a habilitar automáticamente el módem para recuperar la falla.

SDWANHELP-1385: La información del número de serie del dispositivo SD-WAN podría perderse y restablecerse a la cadena predeterminada debido a un problema en el firmware del BIOS v1.0b en la plataforma SD-WAN 210.

SDWANHELP-1365: En una configuración de MCN GEO de alta disponibilidad con reenvío WAN a WAN habilitado, un evento inactivo del servicio de Internet podría desencadenar un escenario erróneo en el que las rutas aprendidas de MCN GEO secundario tienen mayor prioridad que el MCN GEO primario.

NSSDW-22847: La casilla de verificación Multi-salto en BGP se mostró marcada en la interfaz de usuario de SD-WAN de forma predeterminada cuando BGP está habilitado. Pero la configuración no se habilitó a menos que el usuario inhabilite y vuelva a activarla.

NSSDW-25032: El discriminador de salida múltiple (MED) no se anunció al vecino cuando una directiva BGP se configura con métricas MED y enlazada a un vecino. Este problema era el prefijo de red incorrecto (32) establecido por el compilador.

NSSDW-25067: Se muestra un mensaje de advertencia o un mensaje ocupado cuando el módem LTE está deshabilitado y vuelve a activarlo antes de que el modo de funcionamiento haya cambiado a Baja potencia. La solución es advertir al usuario y mostrar el modo de funcionamiento actual antes de realizar la operación de activación/desactivación.

NSSDW-25135: A veces, durante la implementación de Zscaler, se usaron configuraciones incorrectas para crear la asignación. El problema se produce debido a entradas duplicadas erróneas en la base de datos. La corrección garantiza que no hay entradas duplicadas en la base de datos.

NSSDW-25147: Cuando la característica PPPoE se configura en dispositivos SD-WAN, el demonio de protocolo punto a punto (PPPD) se ejecuta para establecer las sesiones PPPoE. Esta configuración es vulnerable a CVE-2020-8597, una vulnerabilidad de desbordamiento de búfer. Este problema se corrige a partir de la versión 11.1.0.

NSSDW-25440: Es posible que se observen pérdidas significativas de paquetes o retrasos de red en Azure en instancias con aceleración de red habilitada.

NSSDW-28971: Una vez que inicie sesión en los dispositivos SD-WAN y las máquinas virtuales, puede obtener acceso al shell raíz con la imagen basada en 11.x utilizando una contraseña codificada. Las plataformas SD-WAN afectadas son 110 y VPX aprovisionadas con imágenes 11.x. Este es un problema relacionado con CLI y no se aplica a la GUI.

Problemas conocidos

NSSDW-23264: La obtención de una licencia remota falla si la compilación de SD-WAN Center está en 11.x, mientras que la compilación del dispositivo está en 10.x.

Solución alternativa: Downgrade SD-WAN Center se construye con la misma versión 10.x con la que está configurado el dispositivo SD-WAN.

NSSDW-23132: Después de actualizar a 11.x, el tiempo real de interrupción del tráfico podría tener un valor muy grande en segundos.

Solución alternativa: La administración de cambios subsecuente muestra el valor correcto, esto es solo un problema de visualización.

NSSDW-23134: Una inserción de software consistente podría ocurrir al intentar agregar un sitio a la red cuando la red se acaba de actualizar a 11.x.

Solución alternativa: Realice una vez más la administración de cambios.

NSSDW-23485: Cloud Direct no permite el funcionamiento si una configuración activa en MCN tiene un carácter de punto en el nombre.

Solución alternativa: Actualice el nombre del archivo de configuración sin incluir DOT.

SDWANHELP-1110: En un caso raro, se puede observar una interrupción en el servicio de rutas de datos en los dispositivos de gama baja (210/410) cuando se crean continuamente rutas virtuales dinámicas de corta duración.

Solución alternativa: Desactive la ruta virtual dinámica (DVP) o ajuste la configuración para evitar DVP de corta duración.

SDWANHELP-1159: Citrix SD-WAN no anuncia las rutas hacia el vecino OSPF. Esto sucede cuando las rutas se cambian en SD-WAN o se produce una solapa de rutas virtuales que hace que las rutas WAN virtuales se vuelvan a sincronizar a través de los sitios. En este caso, si el vínculo al par OSPF tiene pérdida de información, SD-WAN podría entrar en un estado en el que nunca anuncia las rutas SD-WAN al vecino OSPF.

Solución alternativa: Detenga y reinicie el servicio WAN virtual.

NSSDW-27727: Las redes con instancia VPX y VPXL que utilizan el controlador IXGBEVF, que se utilizan para ciertas NIC Intel de 10 GB cuando SR-IOV está habilitado, no deben actualizarse a 11.0.3. Esto podría resultar en una pérdida de conectividad. Se sabe que este problema afecta a las instancias de AWS con SR-IOV habilitado.

Notas de la versión de Citrix SD-WAN 11.0.3