Citrix SD-WAN

Notes de mise à jour de Citrix SD-WAN 11.0.3

Introduction

Cette note de mise à jour décrit les nouveautés, les problèmes résolus et les problèmes connus applicables au logiciel Citrix SD-WAN version 11.0 version 3 pour SD-WAN Standard Edition, WANOP, Premium Edition et SD-WAN Center.

Pour plus d’informations sur les versions précédentes, consultez la documentation de Citrix SD-WAN.

Remarque

  • CVE-2019-19781 - La vulnérabilité dans les appliances Citrix SD-WAN WANOP (applicable UNIQUEMENT pour les modèles de plate-forme 4000-WO, 4100-WO, 5000-WO, 5100-WO) entraînant l’exécution arbitraire de code est corrigée dans la version 10.2.6b. Pour plus d’informations, consultez CVE KB.

  • La version 11.0.3.1018 contient des correctifs de sécurité et Citrix recommande que le correctif soit appliqué par tous les clients sur Amazon Web Services.

Nouveautés

Prise en charge de plusieurs hubs pour Microsoft Virtual WAN

Avec la version 11.0.3, une branche peut être connectée à plusieurs hubs au sein d’une ressource Azure Virtual WAN. Une ressource WAN virtuel Azure peut être connectée à plusieurs sites de succursales locaux. Un site de succursale doit être associé aux ressources WAN Azure pour établir des tunnels IPSec.

Changement de mot de passe SD-WAN Standard Edition (SE) VPX

À partir de la version 11.0.3, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du Provisioning d’un dispositif SD-WAN ou du déploiement d’un nouveau SD-WAN SE VPX. Cette modification est appliquée en utilisant l’interface de ligne de commande et l’interface utilisateur.

Un compte de maintenance du système - CBVWSSH, existe pour le développement et le débogage et n’a pas d’autorisations de connexion externes. Le compte est uniquement accessible via la session CLI d’un utilisateur administratif régulier.

Mise à niveau du microprogramme SD-WAN 210-LTE

Avec la version 11.0.3, le micrologiciel actif LTE est mis à jour dans le cadre du package de mise à niveau en une seule étape. Pour mettre à niveau, vous devez mettre à jour la fenêtre de planification à l’aide de lapage Paramètres de gestion desmodifications ou attendre l’heure planifiée par défaut pour mettre à niveau le firmware LTE (tous les jours à 21:20:00).

Problèmes résolus

SDWANHELP-941 : Lors de la mise à jour de la configuration, nous pourrions manquer de réinitialiser l’événement de changement de chemin virtuel et pourrait entraîner ce bug où nous ne réduirons pas les routes même lorsque le chemin virtuel correspondant descend.

SDWANHELP-961 : Ce problème affecte potentiellement les appliances SD-WAN 4000 et 5000 WANOP. Une fois que l’appliance exécute 10.1.0 à 10.2.5 pendant plus d’un an, il est possible que trop de données soient conservées dans les journaux.

SDWANHELP-988 : les utilisateursRADIUSetTACACS+ ne sont pas en mesure de générer un package de diagnostic à partir de l’interface utilisateur SD-WAN Center. La création de package de diagnostic via le terminal échoue pour tous les utilisateurs. L’option Configuration > Licensing n’est pas disponible sur l’interface utilisateur SD-WAN Center.

SDWANHELP-1000 : Chaque fois que NetFlow est activé avec la configuration de haute disponibilité (HA), le volet HA se produit en raison du manque de ressources.

SDWANHELP-1023 : Les redémarrages du service SD-WAN peuvent se produire lorsque les paquets sont mal routés après la traduction NAT.

SDWANHELP-1035 : Les itinéraires ne sont pas propagés correctement aux sites distants via le MCN et le RCN.

SDWANHELP-1042 : SD-WAN se bloque lorsque l’utilisateur relance une application publiée qui a été déconnectée dans une session HDX existante et la ferme.

SDWANHELP-1049 : la machine virtuelle (VM) Virtual WAN sur les plates-formes basées sur XenServer peut avoir un décalage temporel important dans le temps. Dans ce cas, l’heure sur la machine virtuelle WAN virtuelle affiche inexacte après le redémarrage.

SDWANHELP-1051 : Avec les versions de serveur de licences inférieures à la version 11.16.3, elles peuvent entraîner des attaques par déni de service (DOS) affectant tous les serveurs de licences hérités inférieurs à la version 11.16.3.

SDWANHELP-1070 : L’heure n’est pas synchronisée avec l’horloge matérielle après avoir été modifiée. Par exemple, mise à jour manuelle de l’heure ou mise à jour de l’heure NTP.

SDWANHELP-1088 : certaines pages de l’interface graphique de l’appliance SD-WAN peuvent cesser de répondre si une appliance est redémarrée après l’activation de la fonctionnalité de fichier PAC.

SDWANHELP-1095 : La passerelle FTP Application Layer Gateway (ALG) risque de ne pas analyser correctement les sessions FTP si les modes EPSV ou EPRT sont utilisés provoquant une défaillance dans la session FTP.

SDWANHELP-1112 : Le numéro de système autonome (AS) BGP prend en charge un nombre 32 bits.

SDWANHELP-1113 : Impossible d’accéder par intermittence à l’interface graphique de gestion sur les plates-formes WANOP uniquement après la mise à niveau vers 11.0.2.

SDWANHELP-1116 : Lors de la mise à jour de la configuration, nous risquons de manquer le traitement des événements de synchronisation en raison du volet haute disponibilité (HA), ce qui peut entraîner l’état de problème de l’appliance, où la synchronisation de l’itinéraire ne se produit pas avec d’autres branches et entraîne une panne du réseau.

SDWANHELP-1123 : Lors de la configuration d’un domaine de routage avec uniquement une interface DHCP, une erreur d’audit s’affiche.

SDWANHELP-1160 : Citrix SD-WAN Center affiche les adresses IP en double sous les liens WAN d’un site dans l’Éditeur de configuration. Le problème se produit lorsque le quatrième nombre dans deux adresses IP de liaison WAN commence par le même chiffre et varie par le nombre de chiffres comme 4, 45, 486.

SDWANHELP-1164 : lors du transfert des paramètres de l’appliance depuis SD-WAN Center, si le mot de passe, dans les paramètres de l’appliance, contient un symbole dollar suivi d’un caractère, le transfert échoue. Par exemple, les mots de passe test$1, test$1$d échoueront. Mais test1$ fonctionnera.

SDWANHELP-1169 : Le service est interrompu lorsqu’un paquet est planifié pour la transmission d’un DVP en attente de suppression. Le logiciel essaie par erreur de le supprimer d’une liste de paquets vide. Le logiciel a été mis à jour.

SDWANHELP-1176 : En raison de certaines entrées orphelines dans la base de données de configuration, l’API GET for config_editor/virtual_paths renvoie quelques exceptions avec la réponse. La suppression en cascade a été corrigée pour éviter les entrées de base de données orphelines.

SDWANHELP-1189 : lors de la mise à niveau de l’appliance logicielle, le processus d’installation peut échouer sur les appliances SD-WAN 210 Standard Edition (SE). Lors de la détection des défaillances, l’appliance redémarre automatiquement pour éviter le problème afin que la mise à niveau puisse continuer.

SDWANHELP-1201 : Le modem LTE peut redémarrer seul de manière sporadique. Au démarrage d’une session de données, le modem continue de signaler une erreur - le service n’est pas pris en charge. Le correctif consiste à désactiver et réactiver automatiquement le modem pour récupérer l’échec.

SDWANHELP-1385 : les informations relatives au numéro de série du périphérique SD-WAN peuvent être perdues et réinitialisées à la chaîne par défaut en raison d’un problème dans le firmware du BIOS v1.0b sur la plate-forme SD-WAN 210.

SDWANHELP-1365 : Dans une configuration de MCN GEO haute disponibilité avec transfert WAN à WAN activé, unévénement d’arrêt de serviceInternet peut déclencher un scénario erroné dans lequel les routes tirées du MCN GEO secondaire ont une priorité plus élevée que le MCN GEO principal.

NSSDW-22847 : La case àcocherMulti-hop dans BGP s’est affichée cochée dans l’interface utilisateur SD-WAN par défaut lorsque BGP est activé. Mais le paramètre n’a pas été activé à moins que l’utilisateur ne le désactive et le réactive.

NSSDW-25032 : Le discriminateur de sortie multiple (MED) n’a pas été annoncé au voisin lorsqu’une stratégie BGP est configurée avec des mesures MED et liée à un voisin. Ce problème était un préfixe réseau incorrect (32) défini par le compilateur.

NSSDW-25067 : Un message d’avertissement ou un message d’occupation s’affiche lorsque le modem LTE est désactivé et qu’il a été réactivé avant que le mode de fonctionnement ne passe en mode d’alimentation inférieur. Le correctif consiste à avertir l’utilisateur et à afficher le mode de fonctionnement actuel avant d’effectuer l’opération d’activation/désactivation.

NSSDW-25135 : parfois, pendant le déploiement de Zscaler, des configurations erronées ont été utilisées pour créer le mappage. Le problème se produit en raison d’entrées en double erronées dans la base de données. Le correctif garantit qu’il n’y a pas d’entrées en double dans la base de données.

NSSDW-25147 : Lorsque la fonction PPPoE est configurée dans des appliances SD-WAN, le démon de protocole point à point (PPPD) s’exécute pour établir les sessions PPPoE. Cette configuration est vulnérable à CVE-2020-8597, une vulnérabilité de débordement de tampon. Ce problème est résolu à partir de la version 11.1.0.

NSSDW-25440 : une perte de paquets ou des retards réseau importants peuvent être observés dans Azure sur les instances avec l’accélération réseau activée.

NSSDW-28971 : une fois que vous vous connectez aux appliances SD-WAN et aux machines virtuelles, vous pouvez accéder au shell racine avec l’image 11.x à l’aide d’un mot de passe codé en dur. Les plates-formes SD-WAN affectées sont 110 et les VPX provisionnées avec des images 11.x. Il s’agit d’un problème lié à l’interface de ligne de commande et non applicable à l’interface graphique.

Problèmes connus

NSSDW-23264: L’extraction d’une licence distante échoue si SD-WAN Center build est sur 11.x alors que la version de l’appliance est sur 10.x.

Solution : rétrogradez les versions SD-WAN Center vers la version 10.x avec laquelle l’appliance SD-WAN est configurée.

NSSDW-23132 : après la mise à niveau vers la version 11.x, le temps réel d’interruption du trafic peut être très important en secondes.

Solution : La gestion des modifications suivantes affiche la valeur correcte, ce n’est qu’un problème d’affichage.

NSSDW-23134 : une poussée logicielle cohérente peut se produire lors de la tentative d’ajout d’un site au réseau lorsque le réseau vient d’être mis à niveau vers la version 11.x.

Solution : effectuez à nouveau la gestion des modifications.

NSSDW-23485 : Cloud Direct n’autorise pas l’opération si une configuration active sur MCN a un caractère point dans le nom.

Solution : mettez à jour le nom du fichier de configuration sans inclure DOT.

SDWANHELP-1110 : Dans un cas rare, une interruption peut être observée dans le service de chemin de données dans les appliances de bas de gamme (210/410) lorsque des chemins virtuels dynamiques de courte durée sont créés en continu.

Solution : désactivez le chemin virtuel dynamique (DVP) ou ajustez la configuration pour éviter les DVP de courte durée.

SDWANHELP-1159 : Citrix SD-WAN n’annonce pas les routes vers le voisin OSPF. Cela se produit lorsque les routes sont modifiées au SD-WAN ou le volet chemins virtuels se produit, ce qui provoque la resynchronisation des routes WAN virtuelles sur les sites. Dans ce cas, si le lien vers l’homologue OSPF est perdant, le SD-WAN peut entrer dans un état où il n’annonce jamais les routes SD-WAN vers le voisin OSPF.

Solution : arrêtez et redémarrez le service WAN virtuel.

NSSDW-27727 : Les réseaux avec instance VPX et VPXL utilisant le pilote IXGBEVF, utilisé pour certaines cartes réseau Intel 10 Go lorsque SR-IOV est activé, ne doivent pas être mis à niveau vers la version 11.0.3. Cela peut entraîner une perte de connectivité. Ce problème est connu pour avoir un impact sur les instances AWS avec SR-IOV activé.

Notes de mise à jour de Citrix SD-WAN 11.0.3