Citrix SD-WAN

Notes de publication

Cette note de mise à jour décrit les nouveautés, les problèmes résolus et les problèmes connus applicables au logiciel Citrix SD-WAN version 11.1.0 pour SD-WAN Standard Edition, WANOP, Premium Edition et SD-WAN Center.

Pour plus d’informations sur les versions précédentes, consultez la documentation de Citrix SD-WAN.

Nouveautés

Améliorations centrées sur les applications

  • Améliorations Zero Touch : Citrix SD-WAN prend désormais en charge Zero Touch Provisioning sur certains ports de données désignés sur les plates-formes SD-WAN 110 Standard Edition (SE) et SD-WAN VPX. Zero Touch Deployment (ZTD) est désormais pris en charge sur les ports de données désignés et il n’est pas nécessaire d’utiliser un port de gestion distinct pour ZTD.

    [NSSDW-20641]

  • Configuration par défaut et de secours : les plates-formes Citrix SD-WAN 110 SE, 210 SE, 410 SE, 1100 SE/PE, VPX et VPX-L sont livrées avec une configuration par défaut pour fournir une gestion intra-bande de base après une réinitialisation de configuration. La configuration par défaut peut être modifiée par l’utilisateur et, si elle est activée, elle est utilisée comme configuration de secours en cas de défaillance critique.

    [NSSDW-20641]

  • Amélioration de la gestion intrabande : Citrix SD-WAN prend désormais en charge la connectivité SNMP et SD-WAN Center via des interfaces de gestion intrabande. Cela signifie que la connectivité séparée via le port de gestion désigné n’est plus nécessaire pour connecter des appliances SD-WAN à Citrix SD-WAN Orchestrator ou SD-WAN Center. La création de rapports IP de gestion pour la connectivité SD-WAN Center nécessite la configuration d’une adresse IP virtuelle in-band en tant que réseau de gestion de sauvegarde.

    [NSSDW-24533]

  • Service de balises Microsoft Office 365 : Citrix SD-WAN prend en charge la capacité d’exploration de balises Microsoft Office 365 pour aider à déterminer le meilleur lien à utiliser pour Office 365. Les sondes déterminent la latence (rond-trip-time) impliquée dans l’atteinte des points de terminaison Office 365 via chaque liaison WAN, ce qui permet aux administrateurs réseau d’identifier le meilleur lien à utiliser pour le trafic O365. La fonctionnalité d’exploration de balises Office 365 est configurée uniquement via Citrix SD-WAN Orchestrator.

    [NSSDW-14231]

  • Prise en charge IPv6 :

    Citrix SD-WAN fournit les fonctionnalités IPv6 suivantes :

    • Infrastructure de configuration pour les liaisons WAN IPv6.
    • Établissement de tunnels de chemin virtuel sur des réseaux IPv6.

    À partir de la version 11.1.0, deux sous-sections sont disponibles sous Adresse IP virtuelle : adresses IPv4 et IPv6. Les adresses IPv6 sont utilisées pour prendre en charge les interfaces non fiables. Les interfaces non approuvées peuvent être utilisées pour tunnel du trafic IPv4 routable sur des chemins virtuels IPv4 ou IPv6.

    [NSSDW-1913, NSSDW-1929, NSSDW-1936]

  • Reconnexion de session ICA : Citrix SD-WAN prend en charge les reconnexions de session ICA avec le canal virtuel NSAP HDX Insight. Si vous perdez la connexion, la connexion se reconnecte sans entrer à nouveau les informations d’identification de connexion. La valeur par défaut est 180 secondes. Il peut être configuré via la stratégie du VDA.

    [NSSDW-15457]

Améliorations de routage

  • Service de domaine d’interroutage statique : Citrix SD-WAN fournit désormais le service de domaine d’interroutage statique, ce qui permet le routage entre les domaines de routage au sein d’un site ou entre différents sites. Cela élimine le besoin d’un routeur Edge externe pour gérer le routage entre deux domaines de routage. Le service d’interacheminement peut également être utilisé pour configurer des itinéraires, des stratégies de pare-feu et des règles NAT.

    [NSSDW-1966]

  • Prise en charge des tunnels GRE sur le service intranet : Citrix SD-WAN permet de configurer les tunnels GRE en mode actif/passif sur un ou plusieurs liaisons WAN. Un service intranet doit être créé pour chaque tunnel GRE.

    [NSSDW-16112]

Services cloud

  • Option de mode de facturation directe Cloud : l’option Mode de facturation directe Cloud est introduite dans Citrix SD-WAN Center. Cela permet l’utilisation de licences d’évaluation/d’évaluation Cloud Direct, qui peuvent être fournies par des vendeurs Citrix ou des partenaires autorisés. Les sites fonctionnant avec des licences d’évaluation Cloud Direct doivent être définis sur l’option Modede facturation dedémonstration. Les sites qui effectuent une mise à niveau vers des licences complètes d’abonnement Cloud Direct doivent être définis sur l’option Modede facturation deproduction.

    [NSSDW-21047]

Azure Virtual WAN

  • Azure Virtual WAN — Communication Hub-to-Hub : les clients Azure Virtual WAN peuvent désormais tirer parti du réseau dorsal mondial de Microsoft pour la communication interrégionale Hub-to-Hub (architecture de réseau de transit mondial). Cela permet la communication de branche vers Azure, de branche à branche sur Azure dorsale et de branche à hub (dans toutes les régions Azure).

    Vous pouvez tirer parti de l’épine dorsale d’Azure pour les communications inter-régions uniquement lorsque vous achetez le SKU standard pour Azure Virtual WAN. Pour plus d’informations sur les tarifs, consultez latarification du réseauvirtuel Avec le SKU de base, vous ne pouvez pas utiliser l’épine dorsale d’Azure pour la communication entre les régions Hub-to-Hub. Pour plus d’informations, consultez Architecture de réseau de transit global et Virtual WAN.

    [NSSDW-14171]

  • Prise en charge de plusieurs liaisons WAN pour la connectivité WAN virtuel Microsoft : Citrix SD-WAN prend en charge plusieurs liaisons WAN de manière primaire et secondaire pour établir un tunnel IPSec vers Azure Hubs. Cela fournit une redondance au niveau des liens sur le site. Si la liaison principale échoue, le tunnel configuré vers Azure Hub est rétabli à l’aide du lien WAN secondaire. En cas d’échec de liaison WAN, le tunnel est rétabli en quelques millisecondes.

    [NSSDW-22161]

Liens IPsec doubles

  • Prise en charge des liaisons WAN doubles pour la connectivité IPSec : Citrix SD-WAN permet l’utilisation de deux liaisons Internet/WAN pour établir des tunnels IPSec afin de protéger les environnements de succursales contre les périodes de perturbation du service. Si le tunnel principal tombe en panne pour une raison quelconque, le tunnel IPSec est rétabli sur la liaison WAN secondaire en quelques millisecondes. Cette fonctionnalité est compatible avec les passerelles basées sur des normes IPsec, y compris Microsoft Azure Virtual WAN, Azure VPN Gateway, AWS VPN Gateway, AWS Transit Gateway, Zscaler, Check Point CloudGuard et Palo Alto Prisma, et d’autres sujets à validation.

    [NSSDW-17871]

Déploiements

  • Citrix SD-WAN SE sur OpenStack à l’aide de CloudInit : Citrix SD-WAN SE peut désormais être déployé dans un environnement OpenStack. Pour cela, l’image Citrix SD-WAN doit prendre en charge la fonctionnalité de config-drive. Le script CloudInit prend en charge la contextualisation pour le déploiement SD-WAN dans OpenStack avec config-drive.

    Pour l’instance SD-WAN dans OpenStack, les entrées nécessaires sont IP de gestion, DNS et numéro de série. Le script CloudInit analyse ces entrées et provisionne l’instance avec les informations données.

  • Citrix SD-WAN VPX SE sur ESXi 6.5 : le logiciel Citrix SD-WAN SE VPX est désormais disponible en tant que machine virtuelle VMware vSphere exécutant sous ESXi 6.5.

    [NSSDW-20306]

  • Établir des tunnels IPSec sur des interfaces DHCP à l’aide d’adresses IP dynamiques : Citrix SD-WAN peut désormais établir des tunnels IPSec lorsqu’une liaison WAN se termine directement sur l’appliance et qu’une IP dynamique est affectée à la liaison WAN.

    Les tunnels IPSec intranet doivent être configurables lorsque l’adresse IP du tunnel local n’est pas ou ne peut pas être connue. L’étiquette d’une adresse non définie est remplacée par <Auto> lorsque le type de tunnel est Intranet. Si l’adresse IP locale est définie comme <Auto>, elle prend l’adresse IP qui est incorporée pour l’interface d’accès sur cette liaison WAN. L’interface d’accès aux liaisons WAN peut obtenir IP de façon statique ou DHCP.

    [NSSDW-17869]

Améliorations apportées à la sécurité

  • Amélioration de l’ICP — distribution de certificats : Citrix SD-WAN prend en charge l’authentification de l’appliance pour les chemins virtuels statiques et dynamiques à l’aide de l’infrastructure de clé publique (PKI) comme fonctionnalité de sécurité supplémentaire. L’activation de la fonctionnalité étend le mécanisme d’authentification de chemin virtuel existant en distribuant les certificats PKI sur le chemin de données, par l’appliance initiant l’échange. L’amélioration de l’ICP prend également en charge la gestion des listes de révocation de certificats (CRL) pour la révocation centralisée des certificats compromis.

    [NSSDW-21622]

Améliorations de l’interface utilisateur

  • Nom du site dans la bannière de l’interface graphique SD-WAN : le nom du site est affiché dans l’en-tête de l’interface graphique SD-WAN.

    [SDWANHELP-92]

  • Avertissement d’accès multi-utilisateurs : lorsqu’un utilisateur se connecte à une appliance Citrix SD-WAN, un message d’avertissement affiche le nom d’utilisateur des autres utilisateurs actuellement connectés à l’appliance.

    [NSSDW-23279]

Plates-formes

  • Citrix SD-WAN 110 SE : la plate-forme Citrix SD-WAN 110 SE est une nouvelle appliance côté succursale qui peut être déployée dans des micro et petites succursales, des sites distants/des magasins de détail, des résidences et des sites de travail temporaires. Une solution unique de boîte dans la succursale permet de réduire l’encombrement matériel et facilite le déploiement des succursales.

    L’appliance Citrix SD-WAN 110-SE est une appliance à facteur de forme de bureau.

    Le nouvel appareil est disponible en deux modèles :

    • SD-WAN 110
    • SD-WAN 110-LTE-WiFi

    Remarque

    La version 11.1.0 sur le modèle SD-WAN 110-LTE-WiFi ne prend pas en charge les fonctionnalités Wi-Fi. Cette fonctionnalité sera activée dans une version ultérieure.

    [NSSDW-2010]

  • Améliorations des performances de Citrix SD-WAN 6100 SE : la limite de chemin virtuel de l’appliance Citrix SD-WAN 6100 SE est augmentée de 550 à 1 000 chemins virtuels statiques.

    [NSSDW-1919]

  • Prise en charge des licences Citrix SD-WAN 210 SE et 210 LTE : les appliances Citrix SD-WAN 210-SE et 210-LTE prennent désormais en charge une option de licence de 300 Mbps.

    [NSSDW-20458]

  • Prise en charge de PAN-OS 8.1.x pour les machines virtuelles hébergées sur l’appliance Citrix SD-WAN 1100 : les appliances Citrix SD-WAN 1100 prennent désormais en charge PAN-OS 8.1.3 en plus de 9.0.1 pour les machines virtuelles Palo Alto.

    [NSSDW-23396]

Améliorations du système

  • Mise à jour du serveur de licences : le serveur de licences est mis à jour vers la version 11.16.3.

    [NSSDW-20534]

  • Format de journalisation amélioré : le nouveau format de journaux SD-WAN affiche l’heure de la journée à laquelle les journaux ont été capturés au lieu de la dernière disponibilité connue.

    [NSSDW-23297]

Problèmes résolus

SDWANHELP-1206 : Un bogue de code entraînant un redémarrage inutile du démon SNMP lorsque la mise à jour de la configuration principale est effectuée. Cela provoquait un faux piège de redémarrage de l’appliance. Le problème s’applique uniquement aux plates-formes SD-WAN 110, SD-WAN 210, SD-WAN 410, SD-WAN 1100 et SD-WAN VPX.

SDWANHELP-1203 : Les appliances SD-WAN se bloquent plusieurs fois après la mise à niveau vers la version 11.0.3 à partir de la version 10.2.3. Le plantage se produit lorsqu’une branche, configurée en tant que site intermédiaire entre deux sites distants, ne peut pas gérer le trafic au-delà du seuil.

La branche tente de former un chemin virtuel dynamique entre les deux sites, tandis que les sites distants y sont connectés via le chemin virtuel dynamique au lieu du chemin virtuel statique. Le correctif garantit que la branche n’agira pas comme un site intermédiaire pour deux sites distants lorsqu’elle est connectée à l’un d’entre eux via un chemin virtuel dynamique.

SDWANHELP-1193 : Lorsque le MCN est à l’état d’usine lors du téléchargement du package LCM sans activer le logiciel/configuration mis en scène, le package LCM téléchargé a à peu près la même taille que les configurations (des centaines de Ko).

Ce problème se produit lorsque vous effectuez la gestion des modifications sur un MCN d’état usine. Essayez de télécharger le package LCM immédiatement après avoir cliqué sur Staging (lorsque le lien de téléchargement est disponible), mais avant de cliquer sur Activation de la mise en scène.

SDWANHELP-1187 : Les utilisateurs ne peuvent pas modifier le mot de passe de l’utilisateur LOM.

La prise en charge de l’interface de ligne de commande pour configurer l’adresse IP et le mot de passe pour le port LOM est introduite sur les appliances suivantes, exécutant la version 11.1.0 et les versions ultérieures.

  • 6100 SE
  • 5100 SE/PE
  • 4100 SE
  • 2100 SE
  • 2100 PE

Les commandes prises en charge sont les suivantes :

état # Afficher l'état

désactiver # Désactiver l'accès LOM

activer dhcp # Activer l'adresse DHCP sur LOM

activer statique <ip> <mask> <gateway> # Activer l'adresse IP statique sur LOM

mot de passe # Modifier le mot de passe LOM

SDWANHELP-1180 : L’interface utilisateur MCN Citrix SD-WAN ne répond pas lorsqu’un nouveau site est ajouté et que la configuration est poussée. Les journaux d’événements MCN ont une erreur SQL : ERROR - mysqld journal n’est pas disponible depuis longtemps.

SDWANHELP-1179 : L’API NITRO pour obtenir les statistiques de flux retournait LAN vers WAN comme direction de flux pour tous les flux quelle que soit la direction correcte. Ce problème a été observé uniquement avec l’API NITRO et non sur l’interface graphique.

SDWANHELP-1164 : lors du transfert des paramètres de l’appliance depuis SD-WAN Center, si le mot de passe, dans les paramètres de l’appliance, contient un symbole dollar suivi d’un caractère, le transfert échoue. Par exemple, les mots de passe test$1, test$1$d échoueront. Mais test1$ fonctionnera.

SDWANHELP-1160 : Citrix SD-WAN Center affiche les adresses IP en double sous les liens WAN d’un site dans l’Éditeur de configuration. Le problème se produit lorsque le quatrième nombre dans deux adresses IP de liaison WAN commence par le même chiffre et varie par le nombre de chiffres comme 4, 45, 486.

SDWANHELP-1122 : Le nom d’hôte d’une instance Citrix SD-WAN WANOP peut être modifié à partir de l’interface graphique et le nom d’hôte modifié est reflété après le redémarrage. Sur certaines instances WANOP Citrix SD-WAN, qui servent d’arbitre, le nom d’hôte n’est pas persistant lors des redémarrages.

NSSDW-23485 : Cloud Direct ne permet pas d’effectuer une opération si la configuration active sur le MCN a un caractère point dans son nom. Le nom du fichier de configuration a dû être mis à jour pour ne pas inclure le caractère de point.

SDWANHELP-1115 : Si l’unité de débit de file d’attente MPLS est définie à%, les taux autorisés LAN vers WAN et WAN vers LAN affichent 0 sur les groupes de **provisioning et** l’écran Services de provisioning. Après le correctif, la section de Provisioning affiche la valeur en kbps après avoir converti les valeurs% en interne.

Si l’unité de débit de file d’attente MPLS est définie à%, les taux autorisés LAN vers WAN et WAN vers LAN affichent 0 sur les groupes de **provisioning et** l’écran Services de provisioning.

SDWANHELP-1110 : Dans un scénario rare, un plantage de chemin de données peut se produire lorsque des chemins virtuels dynamiques sont utilisés.

SDWANHELP-1097 : parfois, lors de l’exécution du trafic ICA, l’appliance redémarre. Le problème peut se produire si le VDA ou le client ICA envoie des paquets ICA avec un format qui n’est pas attendu par SD-WAN.

NSSDW-21806 : Lors de la configuration du nom/nom de service/nom d’utilisateur AC en majuscules, les entrées sont converties en minuscules, ce qui peut causer des problèmes dans l’apprentissage IP à partir du concentrateur d’accès (ISP).

SDWANHELP-1016 : Lorsqu’une liaison WAN est modifiée de Private MPLS à Private Intranet/Internet, l’éditeur de configuration affiche les erreurs d’audit EC159, EC160, EC178, EC179. Publier ce correctif, l’utilisateur doit naviguer dans Éditeur de configuration > Connexions > Liens WAN Lien de chemin virtuel et activer l’option Utiliser pour utiliser letype Intranet/Internetprivé et éviter d’autres erreurs d’audit.

SDWANHELP-959 : L’appliance Citrix SD-WAN est redémarrée en raison d’un plantage dans la recherche d’itinéraire. Le problème peut se produire lorsque le trafic entre deux branches est inférieur au seuil de chemin virtuel dynamique, conduisant à l’expiration du chemin virtuel dynamique.

NSSDW-19132 : Dans le cas de sessions MSI HDX, l’état de connexion est indiqué comme INVALID pour certains flux IDLE dans lerapportHDX User Sessions sous l’onglet HDX du rapport SDWAN Center. Le correctif consiste à afficher l’état de connexion comme ** INACTIVE pour les flux inactifs des sessions MSI.

SDWANHELP-760 : Dans un scénario rare, une condition de course possible avec le moteur de mise à jour d’itinéraire lorsque le routage dynamique est utilisé conduisant à un crash.

SDWANHELP-943 : La création de la paire de ponts était possible sur toutes les interfaces et, par conséquent, l’audit de la configuration effacerait la paire de ponts sur les ports non-fail-à-fil. Désormais, les paires de ponts ne peuvent être créées que sur les interfaces qui prennent en charge le fail-to-wire.

SDWANHELP-738 : Le service Citrix SD-WAN se bloque périodiquement. Le crash se produit de manière aléatoire sur certaines boîtes SD-WAN 210 LTE. Le correctif consiste à mettre à niveau le firmware du modem LTE vers la dernière version du logiciel SD-WAN, ou à effectuer une mise à niveau logicielle en une seule étape vers SD-WAN version 10.2.6 ou ultérieure.

NSSDW-24559 : Des valeurs de table de routage incorrectes sont affichées dans la requête SNMP pour la table de routage. Le fichier CITRIX-SDWAN-MIB est modifié, téléchargez le nouveau fichier CITRIX-SDWAN-MIB dans le gestionnaire SNMP pour résoudre ce problème.

SDWANHELP-1174 : Dans quelques cas, le collecteur NetFlow/IPFix (par exemple - SolarWinds) regroupe l’utilisation de la bande passante sur plusieurs intervalles d’échantillonnage. Ce problème entraîne un traçage incorrect des graphiques d’utilisation de la bande passante. Bien que la bande passante totale par flux soit signalée correctement.

SDWANHELP-1191 : Dans quelques cas, les collecteurs Netflow/IPfix (par exemple - SolarWinds) signalent des pics dans l’utilisation de la bande passante en raison d’un problème de code de cas de coin.

Problèmes connus

NSSDW-21808 : les informations de l’appliance provisionnée sur SD-WAN Center sont effacées avant que l’opération de désapprovisionnement proprement dite ne soit terminée sur l’appliance. Si une erreur s’est produite lors du déprovisionnement, l’utilisateur ne sera pas en mesure d’effectuer des opérations spécifiques à Palo Alto sur l’appliance à partir du Centre SD-WAN.

  • Solution : sélectionnez le site manquant et cliquez sur Provisionner pour restaurer les informations de l’appliance.

NSSDW-24895 : La mise à niveau SD-WAN Center de la version 10.2.6 ou inférieure à la version 11.1 échoue. Le téléchargement du package échoue avec l’erreur - Nom du fichier non valide.

  • Solution : pour mettre à niveau SD-WAN Center de la version 10.2.6 ou inférieure vers la version 11.1, effectuez d’abord une mise à niveau vers la version 11.0.3, puis mettez à niveau vers la version 11.1.

NSSDW-25313 : dans Citrix SD-WAN Center, la découverte de MCN échoue après l’ajout d’un stockage secondaire.

  • Solution : régénérez le certificat Citrix SD-WAN Center et téléchargez-le sur le MCN.

NSSDW-27727 : Les réseaux avec instance VPX et VPXL utilisant le pilote IXGBEVF, utilisé pour certaines cartes réseau Intel 10 Go lorsque SR-IOV est activé, ne doivent pas être mis à niveau vers la version 11.1. Cela peut entraîner une perte de connectivité. Ce problème est connu pour avoir un impact sur les instances AWS avec SR-IOV activé.

Notes de publication