Citrix SD-WAN

Notas de la versión de Citrix SD-WAN 11.0.3

Introducción

En esta nota de la versión se describen las novedades, los problemas resueltos y los problemas conocidos aplicables a la versión 11.0 del software de Citrix SD-WAN, versión 3, para SD-WAN Standard Edition, dispositivos WANOP, Premium Edition y SD-WAN Center.

Para obtener información acerca de las versiones anteriores, consulte ladocumentación deCitrix SD-WAN.

Nota

  • CVE-2019-19781: una vulnerabilidad en los dispositivos Citrix SD-WAN WANOP (aplicable SOLAMENTE para modelos 4000-WO, 4100-WO, 5000-WO, 5100-WO Platform) que conduce a la ejecución de código arbitrario se corrige en la versión 10.2.6b. Para obtener más información, consulte CVE KB.

  • La versión 11.0.3.1018 contiene correcciones de seguridad y Citrix recomienda que todos los clientes apliquen el parche en Amazon Web Services.

Novedades

Compatibilidad con varios concentradores para Microsoft Virtual WAN

Con la versión 11.0.3, una rama se puede conectar a varios concentradores dentro de un recurso de Azure Virtual WAN. Un recurso WAN virtual de Azure se puede conectar con varios sitios de sucursales locales. Un sitio de sucursal debe estar asociado a recursos de Azure WAN para establecer túneles IPSec.

Cambio de contraseña de SD-WAN Standard Edition (SE) VPX

A partir de la versión 11.0.3, es obligatorio cambiar la contraseña predeterminada de la cuenta de usuario de administrador durante el aprovisionamiento de cualquier dispositivo SD-WAN o implementación de un nuevo dispositivo VPX con SD-WAN SE. Este cambio se aplica mediante la CLI y la interfaz de usuario.

Existe una cuenta de mantenimiento del sistema - CBVWSSH, para el desarrollo y la depuración y no tiene permisos de inicio de sesión externos. Solo se puede acceder a la cuenta a través de la sesión de CLI de un usuario administrativo normal.

Actualización del firmware de SD-WAN 210-LTE

Con la versión 11.0.3, el firmware activo LTE se actualiza como parte del paquete de actualización de un solo paso. Para actualizar, debe actualizar la ventana de programación mediante lapágina Configuración de administración decambios o esperar a la hora programada predeterminada para actualizar el firmware LTE (diariamente a las 21:20:00).

Problemas resueltos

SDWANHELP-941: Durante la actualización de la configuración es posible que no reiniciemos el evento de cambio de ruta virtual y podría dar lugar a este error en el que no bajaremos las rutas incluso cuando la ruta virtual correspondiente desaparezca.

SDWANHELP-961: este problema afecta potencialmente a los dispositivos WANOP SD-WAN 4000 y 5000. Después de que el dispositivo ejecute 10.1.0 a 10.2.5 durante más de un año, existe la posibilidad de que se mantengan demasiados datos en los registros.

SDWANHELP-988: Los usuarios deRADIUSyTACACS+ no pueden generar paquetes de diagnóstico desde la interfaz de usuario de SD-WAN Center. La creación de paquetes de diagnóstico a través de terminal está fallando para todos los usuarios. LaopciónConfiguración > Licencias no está disponible en la interfaz de usuario de SD-WAN Center.

SDWANHELP-1000: Siempre que NetFlow está habilitado con configuración de alta disponibilidad (HA), la solapa HA se produce debido a la falta de recursos.

SDWANHELP-1023: Los reinicios del servicio SD-WAN pueden producirse cuando los paquetes se enrutan incorrectamente después de la traducción NAT.

SDWANHELP-1035: Las rutas no se propagan correctamente a sitios remotos a través de MCN y RCN.

SDWANHELP-1042: SD-WAN se bloquea cuando el usuario vuelve a iniciar una aplicación publicada que se desconectó en una sesión HDX existente y la cierra.

SDWANHELP-1049: la máquina virtual WAN virtual (VM) en plataformas basadas en XenServer puede tener un desplazamiento de tiempo grande con el tiempo. En este caso, la hora de la VM WAN virtual muestra inexacta después del reinicio.

SDWANHELP-1051: Con versiones del servidor de licencias inferiores a la v11.16.3, podrían provocar ataques de denegación de servicio (DOS) que afecten a todos los servidores de licencias heredados inferiores a 11.16.3.

SDWANHELP-1070: La hora no se sincroniza con el reloj de hardware después de cambiarse. Por ejemplo, actualización manual de tiempo o actualización de tiempo NTP.

SDWANHELP-1088: Algunas de las páginas GUI del dispositivo SD-WAN pueden dejar de responder si se reinicia un dispositivo después de habilitar la función de archivo PAC.

SDWANHELP-1095: La puerta de enlace de capa de aplicaciones (ALG) de FTP no puede analizar correctamente las sesiones FTP si se utilizan modos EPSV o EPRT, causando un error en la sesión FTP.

SDWANHELP-1112: El número de sistema autónomo (AS) BGP admite un número de 32 bits.

SDWANHELP-1113: intermitentemente no se puede acceder a la interfaz gráfica de usuario de administración solo en plataformas WANOP después de actualizar a 11.0.2.

SDWANHELP-1116: Durante la actualización de la configuración es posible que no se procese el evento de sincronización debido a la aleta de alta disponibilidad (HA), lo que podría dar lugar al dispositivo en un estado problemático, donde la sincronización de ruta no se produce con otras ramas y se produce una interrupción de la red.

SDWANHELP-1123: Al configurar un dominio de redirección con solo una interfaz DHCP, se muestra un error de auditoría.

SDWANHELP-1160: Citrix SD-WAN Center muestra direcciones IP duplicadas en vínculos WAN para un sitio en el Editor de configuración. El problema se produce cuando el cuarto número de dos direcciones IP de enlace WAN comienza con el mismo dígito y varía según el número de dígitos como 4, 45, 486.

SDWANHELP-1164: Al transferir la configuración del dispositivo desde el Centro SD-WAN, si la contraseña, en la configuración del dispositivo, contiene un símbolo de dólar seguido de algún carácter, la transferencia falla. Por ejemplo, las contraseñas test$1, test$1$d fallarán. Pero test1$ funcionará.

SDWANHELP-1169: El servicio se anula cuando se ha programado la transmisión de un paquete para un DVP pendiente de eliminación. El software intenta eliminarlo erróneamente de una lista de paquetes vacía. El software ha sido actualizado.

SDWANHELP-1176: Debido a algunas entradas huérfanas en la base de datos de configuración, la API GET para config_editor/virtual_paths arroja algunas excepciones junto con la respuesta. Se ha corregido la eliminación en cascada para evitar las entradas de la base de datos huérfanas.

SDWANHELP-1189: Durante la actualización del dispositivo de software, el proceso de instalación puede fallar en los dispositivos SD-WAN 210 Standard Edition (SE). En la detección de errores, el dispositivo se reinicia automáticamente para evitar el problema, de modo que la actualización pueda continuar.

SDWANHELP-1201: El módem LTE puede reiniciarse por sí solo esporádicamente. Al inicio de una sesión de datos, el módem sigue informando de un error; el servicio no es compatible. La solución es inhabilitar y volver a habilitar automáticamente el módem para recuperar la falla.

SDWANHELP-1385: Es posible que se pierda la información del número de serie del dispositivo SD-WAN y se restablezca a la cadena predeterminada debido a un problema en el firmware del BIOS v1.0b en la plataforma SD-WAN 210.

SDWANHELP-1365: En una configuración de MCN GEO de alta disponibilidad con el reenvío Wan-to-WAN habilitado, unevento inactivo de servicio deInternet podría desencadenar un caso erróneo en el que las rutas aprendidas de GEO MCN secundario tengan mayor prioridad que el MCN GEO principal.

NSSDW-22847: La casilla deverificaciónMulti-hop en BGP se mostró marcada en la interfaz de usuario de SD-WAN de forma predeterminada cuando BGP está habilitado. Pero la configuración no se habilitó a menos que el usuario inhabilite y vuelva a activarla.

NSSDW-25032: El discriminador de salida múltiple (MED) no se anunciaba al vecino cuando una directiva BGP se configura con métricas MED y se vincula a un vecino. Este problema era el prefijo de red incorrecto (32) establecido por el compilador.

NSSDW-25067: Se muestra un mensaje de advertencia o un mensaje de ocupado cuando el módem LTE está inhabilitado y vuelve a habilitarlo antes de que el modo de funcionamiento haya cambiado a Bajo consumo. La solución es advertir al usuario y mostrar el modo de funcionamiento actual antes de realizar la operación de activación/desactivación.

NSSDW-25135: A veces, durante la implementación de Zscaler, se usaron configuraciones incorrectas para crear la asignación. El problema se produce debido a entradas duplicadas erróneas en la base de datos. La corrección garantiza que no hay entradas duplicadas en la base de datos.

NSSDW-25147: Cuando la función PPPoE está configurada en dispositivos SD-WAN, el demonio de protocolo punto a punto (PPPD) se ejecuta para establecer las sesiones PPPoE. Esta configuración es vulnerable a CVE-2020-8597, una vulnerabilidad de desbordamiento de búfer. Este problema se corrige a partir de la versión 11.1.0.

NSSDW-25440: se pueden observar pérdidas significativas de paquetes o retrasos de red en Azure en instancias con aceleración de red habilitada.

NSSDW-28971: Una vez que inicie sesión en los dispositivos SD-WAN y las máquinas virtuales, puede obtener acceso al shell raíz con la imagen basada en 11.x mediante una contraseña codificada. Las plataformas SD-WAN afectadas son 110 y VPX aprovisionadas con imágenes 11.x. Este es un problema relacionado con CLI y no se aplica a la GUI.

Problemas conocidos

NSSDW-23264: la obtención de una licencia remota falla si la compilación de SD-WAN Center está en 11.x, mientras que la compilación del dispositivo está en 10.x.

Solución alternativa: La reversión de SD-WAN Center se crea a la misma versión 10.x con la que está configurado el dispositivo SD-WAN.

NSSDW-23132: Después de actualizar a 11.x, el tiempo real de interrupción del tráfico puede ser muy grande en segundos.

Solución alternativa: Administración de cambios posteriores muestra el valor correcto, esto es solo un problema de visualización.

NSSDW-23134: Puede producirse una inserción de software consistente al intentar agregar un sitio a la red cuando la red se actualizó a 11.x.

Solución alternativa: vuelva a realizar la administración de cambios.

NSSDW-23485: Cloud Direct no permite el funcionamiento si una configuración activa en MCN tiene un carácter de punto en el nombre.

Solución alternativa: Actualice el nombre del archivo de configuración sin incluir DOT.

SDWANHELP-1110: En un caso raro, se puede observar una interrupción en el servicio de ruta de datos en los dispositivos de extremo inferior (210/410) cuando se crean continuamente rutas virtuales dinámicas de corta duración.

Solución alternativa: Inhabilite la ruta virtual dinámica (DVP) o ajuste la configuración para evitar DVP de corta duración.

SDWANHELP-1159: Citrix SD-WAN no anuncia las rutas al vecino OSPF. Esto sucede cuando las rutas se cambian en SD-WAN o se produce una solapa de rutas virtuales que hace que las rutas WAN virtuales se vuelvan a sincronizar a través de los sitios. En este caso, si el vínculo al par OSPF tiene pérdida de información, SD-WAN podría entrar en un estado en el que nunca anuncia las rutas SD-WAN al vecino OSPF.

Solución alternativa: Detenga y reinicie el servicio WAN virtual.

NSSDW-27727: Las redes con instancia VPX y VPXL que utilizan el controlador IXGBEVF, utilizado para ciertas NIC Intel de 10 GB cuando SR-IOV está habilitado, no deben actualizarse a 11.0.3. Esto podría resultar en una pérdida de conectividad. Se sabe que este problema afecta a las instancias de AWS con SR-IOV habilitado.

Notas de la versión de Citrix SD-WAN 11.0.3