Citrix SD-WAN

Notes de publication

Cette note de mise à jour décrit les nouveautés, les problèmes résolus et les problèmes connus applicables au logiciel Citrix SD-WAN 11.2 version 1 pour SD-WAN Standard Edition, WANOP, Premium Edition et SD-WAN Center.

Pour plus d’informations sur les versions précédentes, consultez la documentation de Citrix SD-WAN.

Nouveautés

Améliorations de l’interface utilisateur : la prise en charge de la nouvelle interface utilisateur est désormais étendue aux appliances SD-WAN 210. Tous les utilisateurs locaux avec le rôle Admin et les utilisateurs distants ont accès à la nouvelle interface utilisateur. Les utilisateurs locaux peuvent modifier le mot de passe de leur compte. Les comptes d’utilisateurs distants sont authentifiés via les serveurs d’authentification RADIUS ou TACACS +. Vous pouvez configurer le serveur d’authentification RADIUS ou TACACS+. La possibilité d’effectuer des opérations PIN SIM et de gérer le firmware LTE sont également introduites.

Optimisation du service de passerelle - Vous pouvez maintenant activer la première détection de paquets, la classification et le premier routage sélectif (accès direct à Internet ou sur le chemin virtuel) du trafic destiné à Citrix Cloud et Citrix Gateway Service (contrôle et données). Cette fonctionnalité est uniquement disponible via Orchestrator à partir de SD-WAN version 11.2.1.

Appliance Citrix SD-WAN 6100 Premium Edition  : l’appliance Citrix SD-WAN 6100 PE est une appliance 2U. Il dispose de deux processeurs 14 cœurs pour un total de 28 cœurs physiques (avec hyper-threading activé) et 256 Go de mémoire. L’appliance Citrix SD-WAN 6100 PE est livrée avec l’image Citrix SD-WAN 10.2.7, mettez à niveau le logiciel vers Citrix SD-WAN 11.2.1 et versions ultérieures pour activer la fonctionnalité PE.

Prise en charge de la sécurité Edge avancée pour les appliances Citrix SD-WAN 210 SE (Tech Preview) - Les appliances Citrix SD-WAN 210 SE et 210 SE LTE prennent désormais en charge les fonctionnalités avancées de sécurité Edge avec des licences complémentaires Advanced Security. Pour activer les fonctionnalités de sécurité avancées sur une appliance Citrix SD-WAN 210, réimagez le logiciel de l’appliance vers Citrix SD-WAN 10.2.7.17 et installez la licence complémentaire Advanced Security. Pour plus de détails, consultez Utilitaire de réimage USB.

Remarque

L’activation de la licence complémentaire de sécurité avancée sur l’appliance Citrix SD-WAN 210, pour la première fois, peut prendre jusqu’à 20 minutes environ.

Prise en charge de LAG pour Citrix SD-WAN 2100 SE - L’appliance Citrix SD-WAN 2100 SE prend en charge LAG simple (ACTIVE-BACKUP). Les négociations basées sur le protocole LACP 802.3ad ne sont pas prises en charge dans la version actuelle. À tout moment, un seul port est actif et les autres ports sont en mode de sauvegarde.

Rapports en temps réel - Citrix SD-WAN Orchestrator vous permet d’afficher les rapports en temps réel pour les fonctionnalités de sécurité suivantes :

  • Filtrage Web : fournit le rapport en temps réel des 1000 derniers événements Web (HTTP, HTTPS) à partir du nombre total de requêtes Web.

  • Anti-Malware : fournit le rapport en temps réel des 1000 derniers événements Anti-Malware à partir du nombre total de fichiers analysés.

  • Prévention des intrusions : fournit le rapport en temps réel des 1000 derniers événements enregistrés et bloqués du système de prévention des intrusions à partir du nombre total d’événements d’intrusion.

Vous pouvez également cliquer sur les tranches individuelles du graphique à secteurs ou sur les légendes à côté du graphique à secteurs pour afficher les 10 événements les plus détaillés des fonctionnalités de sécurité Filtrage Web, Anti-Malware et Intrusion Prevention.

On-Prem Orchestrator : à partir de la version 11.2.1 de Citrix SD-WAN, la connectivité sécurisée de l’appliance est implémentée sur le SD-WAN Orchestrator sur site, ainsi que l’appliance SD-WAN et les certificats SD-WAN Orchestrator sur site, le domaine, le type d’authentification et les options de configuration avancée. Vous pouvez utiliser l’adresse IP ou le domaine SD-WAN Orchestrator sur site ou les deux (adresse IP et domaine) pour activer la connectivité SD-WAN Orchestrator sur site.

Serveur RADIUS et TACACS+ - La valeur du délai d’expiration du serveur RADIUS et TACACS+ passe de 10 secondes à 60 secondes.

Problèmes résolus

SDWANHELP-1193 : Pour un MCN à l’état d’usine par défaut, le package LCM téléchargé immédiatement après avoir cliqué sur la mise en attente mais avant d’activer le logiciel intermédiaire, ne contient pas le contenu nécessaire.

SDWANHELP-1210 : Lorsque VRRP et HA sont configurés, l’accès GUI est interrompu, une perte de connectivité et une défaillance de ping sont observées. Ne lancez pas l’instance VRRP sur l’appliance de secours HA.

SDWANHELP-1299 : Une branche avec un chemin virtuel dynamique établi avec une autre branche et le transfert WAN vers WAN activé, transfère les routes reçues via le chemin virtuel dynamique vers d’autres sites. Lorsque le chemin virtuel dynamique tombe en panne, les routes apprises ne sont pas supprimées des autres sites.

SDWANHELP-1326 : Après la mise à niveau de SD-WAN vers 11.1.0/11.1.1, les liens PPPoE ne parviennent pas à se connecter sur les plates-formes suivantes :

  • Citrix SD-WAN 410

  • Citrix SD-WAN 210

  • Citrix SD-WAN 1100

  • Citrix SD-WAN 4100

  • Citrix SD-WAN 5100

  • Citrix SD-WAN 6100

SDWANHELP-1330 : SD-WAN Center n’a pas envoyé de notifications par e-mail car les paramètres de messagerie étaient définis sur null dans la base de données SD-WAN Center.

SDWANHELP-1332 : Si un flux de données unique est envoyé sur plus de trois liens WAN différents, le service SD-WAN peut se bloquer lors de la collecte de statistiques NetFlow.

SDWANHELP-1337 : pour Elastic Compute Cloud (EC2) d’AWS, l’instance SD-WAN ayant plus de 32 Go de mémoire, l’instance virtuelle revient à la valeur par défaut de 16 chemins virtuels statiques. Cela conduit à un comportement indéfini et à des scénarios de plantage possibles lorsque plus de 16 chemins virtuels statiques sont configurés.

SDWANHELP-1365 : Dans une configuration de MCN GEO haute disponibilité avec le transfert WAN à WAN activé, un événement d’arrêt de service Internet peut déclencher un scénario erroné dans lequel les routes tirées du MCN GEO secondaire ont une priorité plus élevée que le MCN GEO principal.

SDWANHELP-1370 : le service SNMP activé après le Provisioning du Centre SD-WAN avec la chaîne de communauté par défaut en tant que public provoque un problème de vulnérabilité. SD-WAN Center ne prend pas en charge le service SNMP. Ainsi, le service SNMP est définitivement désactivé pour résoudre le problème de vulnérabilité.

SDWANHELP-1384 : Les itinéraires de service de domaine inter-routage lorsqu’ils sont créés à l’aide d’objets réseau ne sont pas ajoutés. L’option d’exportation de la route pour toutes les routes de service de domaine inter-routage pour exporter la route vers d’autres sites connectés ne fonctionne pas.

SDWANHELP-1385 : les informations relatives au numéro de série du périphérique SD-WAN peuvent être perdues et réinitialisées à la chaîne par défaut en raison d’un problème dans le firmware du BIOS v1.0b sur la plate-forme SD-WAN 210.

SDWANHELP-1386 : l’utilisateur n’est pas en mesure de planifier le test de bande passante de chemin sur l’appliance SD-WAN.

SDWANHELP-1432 : Les fichiers de suivi ne sont pas analysés correctement lorsque le nom de fichier contient unsymbole+.

SDWANHELP-1464 : Le service SD-WAN est interrompu lors du traitement des paquets reçus sur le service intranet configuré sur le lien MPLS privé qui comporte des files d’attente MPLS.

NSSDW-27587 : un message d’avertissement de disque se produit sur l’appliance SD-WAN VPX exécutant en tant que MCN avec 40 Go d’espace disque par défaut.

NSSDW-27727 : Les réseaux avec instance VPX et VPXL utilisant le pilote IXGBEVF, utilisé pour certaines cartes réseau Intel 10 Go lorsque SR-IOV est activé, ne doivent pas être mis à niveau vers la version 11.0.1. Cela peut entraîner une perte de connectivité. Le problème est connu pour avoir un impact sur les instances AWS avec SR-IOV activé.

NSSDW-27753 : Si SD-WAN n’était pas enregistré auprès de MAS avant la mise à niveau vers SD-WAN 11.2.0, il ne parvient pas à s’inscrire auprès de MAS après la mise à niveau vers SD-WAN 11.2.0.

NSSDW-27928 : vous ne pouvez pas activer ou désactiver le modem si aucune configuration n’est effectuée sur le modem LTE.

NSSDW-27934 : Si le mode Two-Box est activé, vous ne pouvez pas mettre à niveau la version 11.2.0 vers une version supérieure sans désactiver le mode Two-Box et le réactiver une fois la mise à niveau terminée.

NSSDW-27935 : les alertes de serveur HTTP ne sont pas envoyées à partir des appliances Citrix SD-WAN.

NSSDW-27938 : Le bundle STS créé à l’aide de l’interface de ligne de commande n’est pas téléchargeable via l’interface graphique SD-WAN.

NSSDW-28146 : Si la version 11.2.0 de Citrix SD-WAN est mise à niveau de la version 10.2 ou rétrogradée à la version 10.2 une fois et plus tard, elle est mise à niveau vers les versions 11.0/11.1, la rétrogradation vers la version 10.2 échoue. De même, après la mise à niveau de Citrix SD-WAN Center de la version 10.2 vers la version 11.2.0, la rétrogradation de SD-WAN Center de la version 11.2.0 à la version 10.2 n’était pas prise en charge.

NSSDW-28799 : La création d’un tableau de bord personnalisé vous permet de le définir comme tableau de bord principal. Si vous vérifiez et enregistrez le tableau de bord, vous atterrissez sur ce tableau de bord enregistré par défaut à chaque connexion ou lorsque vous accédez à la page du tableau de bord.

NSSDW-29581 : Le débit de bande passante de sécurité Edge n’est pas aligné sur la licence Advanced Edition chargée dans SD-WAN Orchestrator.

NSSDW-29699 : Lorsque vous provisionnez un dispositif SD-WAN avec la version 11.2.0, l’authentification unique au MCN à partir du Centre SD-WAN ne fonctionne pas comme prévu. Les fonctionnalités telles que Cloud Direct, Change Management, le déploiement Azure automatisé, le WAN virtuel Azure et Zscaler ne fonctionnent pas à partir du SD-WAN Center.

Le problème est résolu dans la version SD-WAN 11.2.1. Lorsque vous effectuez une mise à niveau d’une version 11.2.0 nouvellement provisionnée vers la version 11.2.1, régénérez le certificat de l’appliance.

Problèmes connus

SDWANHELP-1292 : Le paramètre de fuseau horaire effectué à l’aide du centre SD-WAN n’est pas appliqué aux appliances SD-WAN.

  • Solution : définissez le fuseau horaire à l’aide de l’interface graphique de l’appliance SD-WAN, des API REST du matériel ou de l’interface de ligne de commande du matériel.

SDWANHELP-1323 : Le périphérique MCN High Availability (HA) affiche non connecté si le fil de la première interface HA n’est pas branché (lorsque plusieurs interfaces HA sont définies).

  • Solution : supprimez l’interface HA de la configuration si elle n’est pas physiquement connectée.

NSSDW-27615 : Lorsque SD-WAN 210 Standard Edition (SE) est converti en Advanced Edition (AE), les paramètres de mémoire (pages énormes, connexions max, limite de débit et nombre de tampons de paquets) sont réduits. Les paramètres de mémoire restent inchangés même si l’appliance SD-WAN 210 AE est reconvertie en SE.

NSSDW-29146 : une fois que le rôle de l’appliance est passé de Client à MCN dans l’interface utilisateur héritée, la nouvelle interface utilisateur, si elle est ouverte dans d’autres navigateurs, n’est pas déconnectée automatiquement. L’ouverture de la nouvelle session d’interface utilisateur n’affecte pas l’interface utilisateur héritée. Le cas échéant, vous pouvez choisir de fermer la nouvelle session d’interface utilisateur. Une fois que le rôle de l’appliance est passé de MCN à Client dans l’interface utilisateur héritée, vous n’êtes pas redirigé automatiquement vers la nouvelle interface utilisateur. Vous pouvez continuer à utiliser l’interface utilisateur héritée. Si vous choisissez d’utiliser la nouvelle interface utilisateur, parcourez https://< management-ip> dans un nouvel onglet de navigateur.

NSSDW-29513 : branche VPX passe en mode site unique, si la machine virtuelle nouvellement provisionnée est d’abord rétrogradée, puis mise à niveau vers la version sur laquelle la machine virtuelle a été provisionnée.

  • Solution : effectuez la gestion des modifications locales sur la branche concernée.

NSSDW-29526 : Lorsque le MCN avec HA effectue une mise à niveau partielle du site sur le MCN Geo, le MCN Geo devient le MCN principal. Après la mise à niveau partielle, le MCN de secours sortant ne peut pas détecter le nouveau MCN principal.

NSSDW-29819 : parfois, le sous-système Edge Security de l’appliance Citrix SD-WAN 210 peut échouer et l’appliance peut ne pas être restaurée automatiquement.

  • Solution : redémarrez l’appliance Citrix SD-WAN 210.

NSSDW-29898 : les rapports de sécurité de l’appliance SD-WAN 210 AE ne sont pas visibles sur l’interface utilisateur SD-WAN Orchestrator. Le problème se produit en raison du problème de synchronisation du premier démarrage, où l’utilisateur de la base de données est créé mais les autorisations ne sont pas accordées.

NSSDW-29900 : L’activation de l’AE SD-WAN peut échouer de manière cohérente si le composant de sécurité de périphérie est bloqué à un état de non-réponse. Le redémarrage de l’appliance défaillante doit résoudre le problème et permettre l’activation de poursuivre.

Notes de publication