Citrix SD-WAN

Notes de publication

Cette note de mise à jour décrit les nouveautés, les problèmes résolus et les problèmes connus applicables au logiciel Citrix SD-WAN version 11.1.0 pour SD-WAN Standard Edition, WANOP, Premium Edition et SD-WAN Center.

Pour plus d’informations sur les versions précédentes, consultez la documentation Citrix SD-WAN.

Nouveautés

Améliorations centrées sur les applications

  • Améliorations Zero Touch : Citrix SD-WAN prend désormais en charge Zero Touch Provisioning sur certains ports de données désignés sur les plates-formes SD-WAN 110 Standard Edition (SE) et SD-WAN VPX. Zero Touch Deployment (ZTD) est désormais pris en charge sur les ports de données désignés et il n’est pas nécessaire d’utiliser un port de gestion distinct pour ZTD.

    [NSSDW-20641]

  • Configuration par défaut et de secours : les plates-formes Citrix SD-WAN 110 SE, 210 SE, 410 SE, 1100 SE/PE, VPX et VPX-L sont livrées avec une configuration par défaut pour fournir des après une réinitialisation de la configuration. La configuration par défaut peut être modifiée par l’utilisateur et, si elle est activée, elle est utilisée comme configuration de secours en cas de défaillance critique.

    [NSSDW-20641]

  • Amélioration de la gestion in-band : Citrix SD-WAN prend désormais en charge la connectivité SNMP et SD-WAN Center via des interfaces de gestion in-band. Cela signifie que la connectivité séparée via le port de gestion désigné n’est plus nécessaire pour connecter des appliances SD-WAN à Citrix SD-WAN Orchestrator ou SD-WAN Center. La création de rapports IP de gestion pour la connectivité SD-WAN Center nécessite la configuration d’une adresse IP virtuelle in-band en tant que réseau de gestion de sauvegarde.

    [NSSDW-24533]

  • Service de balise Microsoft Office 365 : Citrix SD-WAN prend en charge la fonctionnalité de sonde de balise Microsoft Office 365 pour aider à déterminer le meilleur lien à utiliser pour Office 365. Les sondes déterminent la latence (rond-trip-time) impliquée dans l’atteinte des points de terminaison Office 365 via chaque liaison WAN, ce qui permet aux administrateurs réseau d’identifier le meilleur lien à utiliser pour le trafic O365. La fonctionnalité d’exploration de balises Office 365 est configurée uniquement via Citrix SD-WAN Orchestrator.

    [NSSDW-14231]

  • Prise encharge IPv6 :

    Citrix SD-WAN fournit les fonctionnalités IPv6 suivantes :

    • Infrastructure de configuration pour les liaisons WAN IPv6.
    • Établissement de tunnels de chemin virtuel sur des réseaux IPv6.

    À partir de la version 11.1.0, deux sous-sections sont disponibles sous Adresse IP virtuelle : adresses IPv4 et IPv6. Les adresses IPv6 sont utilisées pour prendre en charge les interfaces non fiables. Les interfaces non approuvées peuvent être utilisées pour tunnel du trafic IPv4 routable sur des chemins virtuels IPv4 ou IPv6.

    [NSSDW-1913, NSSDW-1929, NSSDW-1936]

  • Reconnexion de session ICA : Citrix SD-WAN prend en charge les reconnexions de session ICA avec le canal virtuel HDX Insight NSAP. Si vous perdez la connexion, la connexion se reconnecte sans entrer à nouveau les informations d’identification de connexion. La valeur par défaut est 180 secondes. Il peut être configuré via la stratégie du VDA.

    [NSSDW-15457]

Améliorations de routage

  • Service de domaine inter-routage statique : Citrix SD-WAN fournit désormais un service de domaine inter-routage statique, permettant le routage entre les domaines de routage au sein d’un site ou entre différents sites. Cela élimine le besoin d’un routeur Edge externe pour gérer le routage entre deux domaines de routage. Le service d’interacheminement peut également être utilisé pour configurer des itinéraires, des stratégies de pare-feu et des règles NAT.

    [NSSDW-1966]

  • Prise en charge des tunnels GRE sur le service intranet : Citrix SD-WAN permet de configurer les tunnels GRE en mode actif/passif sur des liaisons WAN uniques ou multiples. Un service intranet doit être créé pour chaque tunnel GRE.

    [NSSDW-16112]

Services cloud

  • Option de mode de facturation directe Cloud : l’option Mode de facturation directe Cloud est introduite dans Citrix SD-WAN Center. Cela permet l’utilisation de licences d’évaluation/d’évaluation Cloud Direct, qui peuvent être fournies par des vendeurs Citrix ou des partenaires autorisés. Les sites fonctionnant avec des licences d’évaluation Cloud Direct doivent être configurés sur l’option Mode de facturation de démonstration. Les sites qui sont mis à niveau vers des licences d’abonnement Cloud Direct complètes doivent être configurés sur l’option Mode de facturation de production.

    [NSSDW-21047]

Azure Virtual WAN

  • Azure Virtual WAN — Communication Hub-to-Hub : les clients Azure Virtual WAN peuvent désormais tirer parti du réseau central mondial de Microsoft pour la communication entre les régions Hub-to-Hub (architecture de réseau de transit mondial). Cela permet la communication de branche vers Azure, de branche à branche sur Azure dorsale et de branche à hub (dans toutes les régions Azure).

    Vous pouvez tirer parti de l’épine dorsale d’Azure pour les communications inter-régions uniquement lorsque vous achetez le SKU standard pour Azure Virtual WAN. Pour plus de détails sur les tarifs, reportez-vous à Tarification WAN virtuel. Avec le SKU de base, vous ne pouvez pas utiliser l’épine dorsale d’Azure pour la communication entre les régions Hub-to-Hub. Pour plus de détails, consultez Architecture de réseau de transit mondial et réseau étendu virtuel.

    [NSSDW-14171]

  • Prise en charge de liaisons WAN multiples pour la connectivité Microsoft Virtual WAN : Citrix SD-WAN prend en charge plusieurs liaisons WAN de manière primaire et secondaire pour établir un tunnel IPSec vers Azure Hubs. Cela fournit une redondance au niveau des liens sur le site. Si la liaison principale échoue, le tunnel configuré vers Azure Hub est rétabli à l’aide du lien WAN secondaire. En cas d’échec de liaison WAN, le tunnel est rétabli en quelques millisecondes.

    [NSSDW-22161]

Liens IPsec doubles

  • Prise en charge de la liaison WAN double pour la connectivité IPsec : Citrix SD-WAN permet l’utilisation de deux liaisons Internet/WAN pour établir des tunnels IPsec pour protéger les branches contre les périodes d’interruption de service. Si le tunnel principal tombe en panne pour une raison quelconque, le tunnel IPSec est rétabli sur la liaison WAN secondaire en quelques millisecondes. Cette fonctionnalité est compatible avec les passerelles basées sur des normes IPsec, y compris Microsoft Azure Virtual WAN, Azure VPN Gateway, AWS VPN Gateway, AWS Transit Gateway, Zscaler, Check Point CloudGuard et Palo Alto Prisma, et d’autres sujets à validation.

    [NSSDW-17871]

Déploiements

  • Citrix SD-WAN SE sur OpenStack à l’aide de CloudInit : Citrix SD-WAN SE peut désormais être déployé dans un environnement OpenStack. Pour cela, l’image Citrix SD-WAN doit prendre en charge la fonctionnalité de config-drive. Le script CloudInit prend en charge la contextualisation pour le déploiement SD-WAN dans OpenStack avec config-drive.

    Pour l’instance SD-WAN dans OpenStack, les entrées nécessaires sont IP de gestion, DNS et numéro de série. Le script CloudInit analyse ces entrées et provisionne l’instance avec les informations données.

  • Citrix SD-WAN VPX SE sur ESXi 6.5 : le logiciel Citrix SD-WAN SE VPX est désormais disponible en tant que machine virtuelle VMware vSphere s’exécutant sous ESXi 6.5.

    [NSSDW-20306]

  • Établir des tunnels IPSec sur des interfaces activées DHCP à l’aide des IP dynamiques : Citrix SD-WAN peut désormais établir des tunnels IPSec lorsqu’une liaison WAN se termine directement sur l’appliance et qu’une adresse IP dynamique est attribuée à la liaison WAN.

    Les tunnels IPSec intranet doivent être configurables lorsque l’adresse IP du tunnel local n’est pas ou ne peut pas être connue. L’étiquette d’une adresse non définie est remplacée par < Auto >lorsque letype de tunnel est Intranet **. Si l’ **adresse IP locale est définie comme < Auto >, elleprend l’adresse IP qui est incorporée pour l’interface d’accès sur cette liaison WAN. L’interface d’accès aux liaisons WAN peut obtenir IP de façon statique ou DHCP.

    [NSSDW-17869]

Améliorations apportées à la sécurité

  • Amélioration de l’ICP — distribution de certificats : Citrix SD-WAN prend en charge l’authentification du matériel pour les chemins virtuels statiques et dynamiques à l’aide de l’infrastructure à clé publique (PKI) comme fonctionnalité de sécurité supplémentaire. L’activation de la fonctionnalité étend le mécanisme d’authentification de chemin virtuel existant en distribuant les certificats PKI sur le chemin de données, par l’appliance initiant l’échange. L’amélioration de l’ICP prend également en charge la gestion des listes de révocation de certificats (CRL) pour la révocation centralisée des certificats compromis.

    [NSSDW-21622]

Améliorations de l’interface utilisateur

  • Nom du site dans la bannière de l’interface graphique SD-WAN : le nom du site est affiché sur l’en-tête de l’interface graphique SD-WAN.

    [SDWANHELP-92]

  • Avertissement d’accès multi-utilisateurs : lorsqu’un utilisateur se connecte à une appliance Citrix SD-WAN, un message d’avertissement affiche le nom d’utilisateur des autres utilisateurs actuellement connectés à l’appliance.

    [NSSDW-23279]

Plates-formes

  • Citrix SD-WAN 110 SE : La plate-forme Citrix SD-WAN 110 SE est une nouvelle appliance côté succursale qui peut être déployée dans les micro et petites succursales, les sites distants/les magasins de détail, les résidences et les chantiers temporaires. Une solution unique de boîte dans la succursale permet de réduire l’encombrement matériel et facilite le déploiement des succursales.

    L’appliance Citrix SD-WAN 110-SE est une appliance à facteur de forme de bureau.

    Le nouvel appareil est disponible en deux modèles :

    • SD-WAN 110
    • SD-WAN 110-LTE-WiFi

    Remarque

    La version 11.1.0 sur le modèle SD-WAN 110-LTE-WiFi ne prend pas en charge les capacités Wi-Fi. Cette fonctionnalité sera activée dans une version ultérieure.

    [NSSDW-2010]

  • Améliorations des performances de Citrix SD-WAN 6100 SE : la limite de chemin virtuel de l’appliance Citrix SD-WAN 6100 SE est augmentée de 550 à 1 000 chemins virtuels statiques.

    [NSSDW-1919]

  • Prise encharge des licences Citrix SD-WAN 210 SE et 210 LTE : les appliances Citrix SD-WAN 210-SE et 210-LTE prennent désormais en charge une option de licence de 300 Mbit/s.

    [NSSDW-20458]

  • Prise encharge PAN-OS 8.1.x pour les machines virtuelles hébergées sur l’appliance Citrix SD-WAN 1100 : les appliances Citrix SD-WAN 1100 prennent désormais en charge PAN-OS 8.1.3 en plus de la version 9.0.1 pour Palo Alto VM série.

    [NSSDW-23396]

Améliorations du système

  • Mise à jour du serveurde licences : le serveur de licences est mis à jour vers la version 11.16.3.

    [NSSDW-20534]

  • Format de journalisation amélioré : Le nouveau format des journaux SD-WAN affiche l’heure de la journée à laquelle les journaux ont été capturés au lieu de la dernière disponibilité connue.

    [NSSDW-23297]

Problèmes résolus

SDWANHELP-1206 : bogue de code conduisant au redémarrage inutile du démon SNMP lorsque la mise à jour de la configuration principale est effectuée. Cela provoquait un faux piège de redémarrage de l’appliance. Le problème s’applique uniquement aux plates-formes SD-WAN 110, SD-WAN 210, SD-WAN 410, SD-WAN 1100 et SD-WAN VPX.

SDWANHELP-1203 : Les appliances SD-WAN se bloquent plusieurs fois après la mise à niveau vers la version 11.0.3 à partir de la version 10.2.3. Le plantage se produit lorsqu’une branche, configurée en tant que site intermédiaire entre deux sites distants, ne peut pas gérer le trafic au-delà du seuil.

La branche tente de former un chemin virtuel dynamique entre les deux sites, tandis que les sites distants y sont connectés via le chemin virtuel dynamique au lieu du chemin virtuel statique. Le correctif garantit que la branche n’agira pas comme un site intermédiaire pour deux sites distants lorsqu’elle est connectée à l’un d’entre eux via un chemin virtuel dynamique.

SDWANHELP-1193 : Lorsque le MCN est dans l’état d’usine lors du téléchargement du package LCM sans activer le logiciel/configuration de mise en scène, le paquet LCM téléchargé est à peu près la même taille que les configurations (centaines de Ko).

Ce problème se produit lorsque vous effectuez la gestion des modifications sur un MCN d’état usine. Essayez de télécharger le package LCM immédiatement après avoir cliqué sur Staging (lorsque le lien de téléchargement est disponible), mais avant de cliquer sur Activer la mise en scène.

SDWANHELP-1187 : Les utilisateurs ne peuvent pas modifier le mot de passe utilisateur LOM.

La prise en charge de l’interface de ligne de commande pour configurer l’adresse IP et le mot de passe pour le port LOM est introduite sur les appliances suivantes, exécutant la version 11.1.0 et les versions ultérieures.

  • 6100 SE
  • 5100 SE/PE
  • 4100 SE
  • 2100 SE
  • 2100 PE

Les commandes prises en charge sont les suivantes :

status # Show status

disable # Disable LOM access

enable dhcp # Enable DHCP address on LOM

enable static <ip> <mask> <gateway> # Enable static IP address on LOM

password # Change LOM password

SDWANHELP-1180 : L’interface utilisateur MCN Citrix SD-WAN ne répond pas lorsqu’un nouveau site est ajouté et que la configuration est poussée. Les journaux d’événements MCN ont une erreur SQL : ERREUR - mysqld journal non disponible depuis longtemps.

SDWANHELP-1179 : L’API NITRO pour obtenir des statistiques de flux retournait LAN au WAN en tant que direction de flux pour tous les flux, quelle que soit la direction correcte. Ce problème a été observé uniquement avec l’API NITRO et non sur l’interface graphique.

SDWANHELP-1164 : Lors du transfert des paramètres de l’appliance à partir de SD-WAN Center, si le mot de passe, dans les paramètres de l’appliance, contient un symbole dollar suivi d’un caractère, le transfert échoue. Par exemple, les mots de passe test$1, test$1$d échoueront. Mais test1$ fonctionnera.

SDWANHELP-1160 : Le Centre Citrix SD-WAN affiche les adresses IP en double sous les liens WAN pour un site dans l’Éditeur de configuration. Le problème se produit lorsque le quatrième nombre dans deux adresses IP de liaison WAN commence par le même chiffre et varie par le nombre de chiffres comme 4, 45, 486.

SDWANHELP-1122 : Le nom d’hôte d’une instance WANOP Citrix SD-WAN peut être modifié à partir de l’interface graphique et le nom d’hôte modifié est reflété après le redémarrage. Sur certaines instances WANOP Citrix SD-WAN, qui servent d’arbitre, le nom d’hôte n’est pas persistant lors des redémarrages.

NSSDW-23485 : Cloud Direct ne permet pas d’effectuer une opération si la configuration active sur le MCN comporte un caractère point dans son nom. Le nom du fichier de configuration a dû être mis à jour pour ne pas inclure le caractère de point.

SDWANHELP-1115 : Si l’unité de débit de file d’attente MPLS est définie à%, les tarifs autorisés LAN vers WAN et WAN à LAN affichent 0 sur l’écran Groupes de provisioning et Services de provisioning. Après le correctif, la section de Provisioning affiche la valeur en kbps après avoir converti les valeurs% en interne.

Si l’unité de débit de file d’attente MPLS est définie à%, les taux autorisés LAN vers WAN et WAN vers LAN affichent 0 sur l’écran Groupes de provisioning et Services de provisioning.

SDWANHELP-1110 : Dans un scénario rare, un plantage de chemin de données peut se produire lorsque des chemins virtuels dynamiques sont utilisés.

SDWANHELP-1097 : Parfois, lors de l’exécution du trafic ICA, l’appliance redémarre. Le problème peut se produire si le VDA ou le client ICA envoie des paquets ICA avec un format qui n’est pas attendu par SD-WAN.

NSSDW-21806 : Lors de la configuration du nom/nom de service/nom d’utilisateur en majuscules, les entrées sont converties en minuscules, ce qui peut causer des problèmes d’apprentissage IP à partir du concentrateur d’accès (FAI).

SDWANHELP-1016 : Lorsqu’une liaison WAN est passée de Private MPLS à Private Intranet/Internet, l’éditeur de configuration affiche les erreurs d’audit EC159, EC160, EC178, EC179. Postez ce correctif, l’utilisateur doit accéder à Configuration Editor > Connexions > Liens WAN > Lien de chemin virtuel et activer l’option Utiliser pour utiliser le type Private Intranet/Internet et éviter d’autres erreurs d’audit.

SDWANHELP-959 : L’appliance Citrix SD-WAN est redémarrée en raison d’un plantage dans la recherche d’itinéraire. Le problème peut se produire lorsque le trafic entre deux branches est inférieur au seuil de chemin virtuel dynamique, conduisant à l’expiration du chemin virtuel dynamique.

NSSDW-19132 : Dans le cas de sessions HDX MSI, l’état de connexion est affiché comme INVALIDE pour certains flux inactifs dans le rapport HDX User Sessions sous l’onglet HDX du rapport SDWAN Center. Le correctif consiste à afficher l’état de connexion comme INACTIF pour les flux inactifs des sessions MSI.

SDWANHELP-760 : Dans un scénario rare, une condition de course possible avec le moteur de mise à jour de route lorsque le routage dynamique est utilisé conduisant à un accident.

SDWANHELP-943 : La création de la paire de ponts était possible sur toutes les interfaces et, par conséquent, l’audit de la configuration effacerait la paire de ponts sur les ports non-fail-to-wire. Désormais, les paires de ponts ne peuvent être créées que sur les interfaces qui prennent en charge le fail-to-wire.

SDWANHELP-738 : Le service Citrix SD-WAN se bloque périodiquement. Le crash se produit de manière aléatoire sur certaines boîtes SD-WAN 210 LTE. Le correctif consiste à mettre à niveau le firmware du modem LTE vers la dernière version du logiciel SD-WAN, ou à effectuer une mise à niveau logicielle en une seule étape vers SD-WAN version 10.2.6 ou ultérieure.

NSSDW-24559 : Les valeurs de table de routage incorrectes sont affichées dans la requête SNMP pour la table de routage. Le fichier CITRIX-SDWAN-MIB est modifié, téléchargez le nouveau fichier CITRIX-SDWAN-MIB dans le gestionnaire SNMP pour résoudre ce problème.

SDWANHELP-1174 : Dans quelques cas, le rapport de bande passante Netflow/IPfix (par exemple - SolarWinds) rassemble l’utilisation de la bande passante sur plusieurs intervalles d’échantillonnage. Ce problème entraîne un traçage incorrect des graphiques d’utilisation de la bande passante. Bien que la bande passante totale par flux soit correctement signalée.

SDWANHELP-1191 : Dans quelques cas, les collecteurs Netflow/IPfix (par exemple - SolarWinds) signalent des pics d’utilisation de la bande passante en raison d’un problème de code de cas d’angle.

Problèmes connus

NSSDW-21808 : Les informations d’appliance provisionnées sur SD-WAN Center sont effacées avant que l’opération de désapprovisionnement réelle ne soit terminée sur l’appliance. Si une erreur s’est produite lors du déprovisionnement, l’utilisateur ne sera pas en mesure d’effectuer des opérations spécifiques à Palo Alto sur l’appliance à partir de SD-WAN Center.

  • Solution : sélectionnez le site manquant et cliquez sur Provisionner pour restaurer les informations de l’appliance.

NSSDW-24895 : La mise à niveau de SD-WAN Center de la version 10.2.6 ou inférieure vers la version 11.1 échoue. Le téléchargement du package échoue avec l’erreur - Nom de fichier non valide.

  • Solution : pour mettre à niveau SD-WAN Center de la version 10.2.6 ou inférieure vers la version 11.1, commencez par mettre à niveau vers la version 11.0.3, puis effectuez une mise à niveau vers la version 11.1.

NSSDW-25313 : Dans Citrix SD-WAN Center, la découverte MCN échoue après l’ajout de stockage secondaire.

  • Solution : régénérez le certificat Citrix SD-WAN Center et téléchargez le dans le MCN.

NSSDW-27727 : Les réseaux avec instance VPX et VPXL utilisant le pilote IXGBEVF, utilisés pour certaines cartes réseau Intel 10 Go lorsque SR-IOV est activé, ne doivent pas être mis à niveau vers la version 11.1. Cela peut entraîner une perte de connectivité. Ce problème est connu pour avoir un impact sur les instances AWS avec SR-IOV activé.

SDWANHELP-1547 : Après une mise à jour de configuration, les liaisons WAN peuvent ne pas être disponibles pour le trafic Internet ou Intranet.

  • Solution : redémarrez le périphérique de passerelle, réinitialisez le port SD-WAN ou redémarrez le service SD-WAN.
Notes de publication