Citrix SD-WAN

Notes de mise à jour de Citrix SD-WAN 10.2.6

Introduction

Cette note de mise à jour décrit les nouveautés, les problèmes résolus et les problèmes connus applicables au logiciel Citrix SD-WAN version 10.2 version 6 pour SD-WAN Standard Edition, WANOP, Premium Edition et SD-WAN Center.

Pour plus d’informations sur les versions précédentes, consultez le

Remarque

CVE-2019-19781 - La vulnérabilité dans les appliances Citrix SD-WAN WANOP (applicable UNIQUEMENT pour les modèles de plate-forme 4000-WO, 4100-WO, 5000-WO, 5100-WO) entraînant l’exécution arbitraire de code est corrigée dans la version 10.2.6b. Pour plus d’informations, consultez CVE KB.

Nouveautés

Modèles IPFIX

Le modèle IPFIX définit l’ordre dans lequel le flux de données doit être interprété. Le collecteur reçoit un enregistrement de modèle, suivi des enregistrements de données. Les modèles 611, 612 et 613, pour exporter les données de flux IPFIX, sont introduits dans Citrix SD-WAN 10.2.6.

L’option Info sur le flux d’application (IPFIX) exporte les jeux de données selon les modèles 611 et 612 et l’option Propriétés de base (IPFIX) exporte les ensembles de données selon le modèle 613.

Changement de mot de passe SD-WAN Standard Edition (SE) VPX

À partir de la version 10.2.6, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du Provisioning d’un dispositif SD-WAN ou du déploiement d’un nouveau SD-WAN SE VPX. Cette modification est appliquée en utilisant l’interface de ligne de commande et l’interface utilisateur.

Un compte de maintenance du système - CBVWSSH, existe pour le développement et le débogage et n’a pas d’autorisations de connexion externes. Le compte est uniquement accessible via la session CLI d’un utilisateur administratif régulier.

Mise à jour du microprogramme SD-WAN 210-LTE

Avec la version 10.2.6, le micrologiciel actif LTE est mis à jour dans le cadre du package de mise à niveau en une seule étape. Pour effectuer la mise à niveau, vous devez mettre à jour la fenêtre de planification à l’aide de la page Paramètres de gestion des modifications ou attendre l’heure programmée par défaut pour mettre à niveau le firmware LTE (tous les jours à 21:20:00).

Problèmes résolus

SDWANHELP-961 : Ce problème affecte potentiellement les appliances SD-WAN 4000 et 5000 WO. Une fois que l’appliance exécute 10.1.0 à 10.2.5 pendant plus d’un an, il est possible que trop de données soient conservées dans les journaux.

SDWANHELP-1000 : Chaque fois que NetFlow est activé avec la configuration de haute disponibilité (HA), le volet HA se produit en raison du manque de ressources.

SDWANHELP-1035 : Les itinéraires ne sont pas propagés correctement aux sites distants via le MCN et le RCN.

SDWANHELP-1046 : L’installation d’un certificat générique sur SD-WAN Center échoue en raison d’un problème de rechargement d’apache dans une ancienne version d’apache. En conséquence, le certificat HTTPS n’était pas installé.

SDWANHELP-1049 : la machine virtuelle (VM) Virtual WAN sur les plates-formes basées sur XenServer peut avoir un décalage temporel important dans le temps. Dans ce cas, l’heure sur la machine virtuelle WAN virtuelle affiche inexacte après le redémarrage.

SDWANHELP-1070 : L’heure n’est pas synchronisée avec l’horloge matérielle après avoir été modifiée. Par exemple, mise à jour manuelle de l’heure ou mise à jour de l’heure NTP.

SDWANHELP-1078 : Éliminer le spam excessif causé par le démon de courrier essaie de se connecter auserveurTACACS+.

SDWANHELP-1095 : La passerelle FTP Application Layer Gateway (ALG) risque de ne pas analyser correctement les sessions FTP si les modes EPSV ou EPRT sont utilisés provoquant une défaillance dans la session FTP.

SDWANHELP-1096 : Dans de rares conditions, le redémarrage du service SD-WAN peut se produire lors de l’inspection approfondie des paquets (DPI).

SDWANHELP-1106 : l’exportation et l’importation de fichiers de configuration de grande taille sur SD-WAN Center à partir de MCN échouent sur les versions 10.2.x antérieures.

SDWANHELP-1112 : Le numéro de système autonome (AS) BGP prend en charge un nombre 32 bits.

SDWANHELP-1113 : Impossible d’accéder par intermittence à l’interface graphique de gestion sur les plates-formes WANOP uniquement après la mise à niveau vers 11.0.2.

SDWANHELP-1114 : Lors de l’ouverture des graphiques via la page de rapport SD-WAN Center, il accède à la page des graphiques, mais n’affiche aucun graphique.

SDWANHELP-1116 : Lors de la mise à jour de la configuration, nous risquons de manquer le traitement des événements de synchronisation en raison du volet haute disponibilité (HA), ce qui peut entraîner l’état de problème de l’appliance, où la synchronisation de l’itinéraire ne se produit pas avec d’autres branches et entraîne une panne du réseau.

SDWANHELP-1149 : Lorsque vous téléchargez un nouveau certificat HTTPS, il ne s’applique pas et l’ancien certificat est restauré.

SDWANHELP-1160 : Citrix SD-WAN Center affiche les adresses IP en double sous les liens WAN d’un site dans l’Éditeur de configuration. Le problème se produit lorsque le quatrième nombre dans deux adresses IP de liaison WAN commence par le même chiffre et varie par le nombre de chiffres comme 4, 45, 486.

SDWANHELP-1164 : lors du transfert des paramètres de l’appliance depuis SD-WAN Center, si le mot de passe, dans les paramètres de l’appliance, contient un symbole dollar suivi d’un caractère, le transfert échoue. Par exemple, les mots de passe test$1, test$1$d échoueront. Mais test1$ fonctionnera.

SDWANHELP-1169 : Le service est interrompu lorsqu’un paquet est planifié pour la transmission d’un DVP en attente de suppression. Le logiciel essaie par erreur de le supprimer d’une liste de paquets vide. Le logiciel a été mis à jour.

SDWANHELP-1176 : En raison de certaines entrées orphelines dans la base de données de configuration, l’API GET for config_editor/virtual_paths renvoie quelques exceptions avec la réponse. La suppression en cascade a été corrigée pour éviter les entrées de base de données orphelines.

SDWANHELP-1189 : lors de la mise à niveau de l’appliance logicielle, le processus d’installation peut échouer sur les appliances SD-WAN 210 Standard Edition (SE). Lors de la détection des défaillances, l’appliance redémarre automatiquement pour éviter le problème afin que la mise à niveau puisse continuer.

SDWANHELP-1201 : Le modem LTE peut redémarrer seul de manière sporadique. Au démarrage d’une session de données, le modem continue de signaler une erreur - le service n’est pas pris en charge. Le correctif consiste à désactiver et réactiver automatiquement le modem pour récupérer l’échec.

SDWANHELP-1241 : Dans quelques cas, les informations relatives à l’appliance ne sont pas affichées sur la page Inventaire et état du centre SD-WAN en raison du plantage du service SD-WAN Center.

NSSDW-23795 : Dans quelques cas, les collecteurs NetFlow/IPFix (par exemple, Solar Winds) signalent les résultats d’erreur MYSQL = (1064) dans SDWAN_firewall.log. Ce problème entraîne un traçage incorrect des graphiques d’utilisation de la bande passante.

NSSDW-24895 : augmentez le tampon de mise à niveau logicielle Citrix SD-WAN Center requis pour la mise à niveau vers des versions plus récentes.

NSSDW-24215 : Sur les appliances Citrix SD-WAN, la marche générique SNMP n’est pas fonctionnelle. Le correctif consiste à gérer correctement la demande de marche générique SNMP et à fournir la réponse jusqu’à la fin de l’identificateur d’objet SNMP (OID).

NSSDW-24862 : Citrix SD-WAN n’envoie pas les données NetFlow aux collecteurs à intervalles réguliers.

NSSDW-25147 : Lorsque la fonction PPPoE est configurée dans des appliances SD-WAN, le démon de protocole point à point (PPPD) s’exécute pour établir les sessions PPPoE. Cette configuration est vulnérable à CVE-2020-8597, une vulnérabilité de débordement de tampon. Ce problème est résolu à partir de la version 11.1.0.

NSSDW-25265 : la table d’inventaire du tableau de bord Citrix SD-WAN Center ne parvient pas à afficher les données.

NSSDW-25067 : Un message d’avertissement ou un message d’occupation s’affiche lorsque le modem LTE est désactivé et qu’il a été réactivé avant que le mode de fonctionnement ne passe en mode d’alimentation inférieur. Le correctif consiste à avertir l’utilisateur et à afficher le mode de fonctionnement actuel avant d’effectuer l’opération d’activation/désactivation.

NSSDW-25135 : parfois, pendant le déploiement de Zscaler, des configurations erronées ont été utilisées pour créer le mappage. Le problème se produit en raison d’entrées en double erronées dans la base de données. Le correctif garantit qu’il n’y a pas d’entrées en double dans la base de données.

NSSDW-25440 : une perte de paquets ou des retards réseau importants peuvent être observés dans Azure sur les instances avec l’accélération réseau activée.

Problèmes connus

NSSDW-22748 : les rapports IPFIX exportés vers l’outil de gestion de l’autorité de certification ne sont pas traités correctement conformément à la spécification IPFIX. Le problème s’applique uniquement à l’outil de gestion de l’autorité de certification et n’est pas visible lorsque les rapports IPFIX sont exportés vers des collecteurs tels que SolarWinds, Splunk.

SDWANHELP-1159 : Citrix SD-WAN n’annonce pas les routes vers le voisin OSPF. Cela se produit lorsque les routes sont modifiées au SD-WAN ou le volet chemins virtuels se produit, ce qui provoque la resynchronisation des routes WAN virtuelles sur les sites. Dans ce cas, si le lien vers l’homologue OSPF est perdant, le SD-WAN peut entrer dans un état où il n’annonce jamais les routes SD-WAN vers le voisin OSPF.

Solution : arrêtez et redémarrez le service WAN virtuel.

Notes de mise à jour de Citrix SD-WAN 10.2.6