Citrix SD-WAN

リリースノート

このリリースノートでは、SD-WANStandard Edition、WANOP、Premium Editionアプライアンス、およびSD-WANセンター用のCitrix SD-WANソフトウェアリリース11.1.0に適用される新機能、修正された問題、および既知の問題について説明します。

以前のリリースバージョンの詳細については、 Citrix SD-WANの ドキュメントを参照してください。

新機能

アプリケーション中心の拡張機能

  • ゼロタッチの強化:Citrix SD-WANは、SD-WAN 110Standard Edition(SE)およびSD-WAN VPXプラットフォームの特定の指定データポートでゼロタッチプロビジョニングをサポートするようになりました。ゼロタッチ展開(ZTD)は、指定されたデータポートでサポートされるようになりました。ZTD 用に別の管理ポートを使用する必要はありません。

    [NSSDW-20641]

  • デフォルトおよびフォールバック構成:Citrix SD-WAN 110 SE、210 SE、410 SE、1100 SE/PE、VPX、VPX-Lプラットフォームには、構成のリセット後に基本的な帯域内管理機能を提供するデフォルト構成が付属しています。デフォルトの設定はユーザーが変更でき、有効になっている場合は、重大な障害が発生した場合のフォールバック設定として使用されます。

    [NSSDW-20641]

  • 帯域内管理の強化:Citrix SD-WANは、帯域内管理インターフェイスを介したSNMPおよびSD-WANセンターの接続をサポートするようになりました。つまり、SD-WANアプライアンスをCitrix SD-WAN OrchestratorまたはSD-WAN Centerに接続するために、指定された管理ポートを介した個別の接続が不要になります。SD-WAN Center 接続用の管理 IP レポートを作成するには、インバンド仮想 IP アドレスをバックアップ管理ネットワークとして設定する必要があります。

    [NSSDW-24533]

  • Microsoft Office 365ビーコンサービス:Citrix SD-WANは、Office 365に最適なリンクを判断するのに役立つMicrosoft Office 365ビーコンのプローブ機能をサポートしています。プローブは、各 WAN リンク経由で Office 365 エンドポイントに到達する際の待ち時間 (ラウンドトリップ時間) を決定します。これにより、ネットワーク管理者は O365 トラフィックに最適なリンクを特定できます。Office 365ビーコンのプローブ機能は、Citrix SD-WAN Orchestrator を介してのみ構成されます。

    [NSSDW-14231]

  • IPv6 のサポート

    Citrix SD-WANは、次のIPv6機能を提供します。

    • IPv6 WAN リンクの設定インフラストラクチャ
    • IPv6ネットワークを介した仮想パス・トンネルの確立

    11.1.0 以降のリリースでは、 仮想 IP アドレスで IPv4 アドレスと IPv6 アドレスの 2 つのサブセクションを使用できます。IPv6 アドレスは、信頼できないインターフェイスをサポートするために使用されます。信頼できないインターフェイスは、IPv4 または IPv6 仮想パスを介してルーティング可能な IPv4 トラフィックをトンネリングするために使用できます。

    [NSSDW-1913、NSSDW-1929、NSSDW-1936]

  • ICAセッションの再接続:Citrix SD-WANは、HDX Insight NSAP仮想チャネルとのICAセッションの再接続をサポートします。接続が失われた場合、ログイン資格情報を再入力せずに接続が再接続されます。デフォルト値は 180 秒です。VDAのポリシーを使用して構成できます。

    [NSSDW-15457]

ルーティングの強化

  • 静的ルーティング間ドメインサービス:Citrix SD-WANは静的ルーティング間ドメインサービスを提供し、サイト内または異なるサイト間のルーティングドメイン間のルーティングを可能にします。これにより、外部エッジルータが 2 つのルーティングドメイン間のルーティングを処理する必要がなくなります。ルーティング間サービスは、さらにルート、ファイアウォールポリシー、および NAT ルールを設定するために使用できます。

    [NSSDW-1966]

  • イントラネットサービスでのGREトンネルのサポート:Citrix SD-WANにより、単一または複数のWANリンクを介してアクティブ/パッシブモードでGREトンネルを構成できます。GRE トンネルごとに、イントラネットサービスを作成する必要があります。

    [NSSDW-16112]

クラウドサービス

  • クラウドダイレクト課金モードオプション:Citrix SD-WAN Centerでは、クラウドダイレクト課金モードオプションが導入されています。これにより、Citrixのセールスまたは認定パートナーが提供するCloud Directのトライアル/評価ライセンスの使用が可能になります。Cloud Direct 評価ライセンスを使用して動作するサイトは、 デモ 請求モードオプションに設定する必要があります。完全な Cloud Direct サブスクリプションライセンスにアップグレードするサイトは、 実稼働 課金モードオプションに設定する必要があります。

    [NSSDW-21047]

Azure仮想WAN

  • Azure Virtual WAN — ハブ間通信: Azure Virtual WAN のお客様は、リージョン間のハブ間通信 (グローバルトランジットネットワークアーキテクチャ) に Microsoft のグローバルバックボーンネットワークを活用できるようになりました。これにより、Azure へのブランチ、Azure バックボーンを介したブランチツーブランチ、および (すべての Azure リージョンで) ブランチツーハブ通信が可能になります。

    Azure のバックボーンをリージョン間通信に使用できるのは、Azure 仮想 WAN 用の標準 SKU を購入した場合のみです。料金の詳細については、「 仮想 WAN 料金表」を参照してください。Basic SKUでは、リージョン間のハブ間通信にAzureのバックボーンを使用できません。詳細については、「 グローバルトランジットネットワークアーキテクチャ」および「仮想 WAN」を参照してください

    [NSSDW-14171]

  • Microsoft仮想WAN接続のための複数のWANリンクのサポート:Citrix SD-WANは、プライマリおよびセカンダリ方式で複数のWANリンクをサポートし、AzureハブへのIPsecトンネルを確立します。これにより、サイトでのリンクレベルの冗長性が提供されます。プライマリリンクに障害が発生した場合、Azure Hub への構成されたトンネルは、セカンダリ WAN リンクを使用して再確立されます。WAN リンク障害の場合、トンネルはミリ秒以内に再確立されます。

    [NSSDW-22161]

デュアル IPSec リンク

  • IPsec接続のためのデュアルWANリンクのサポート:Citrix SD-WANでは、2つのインターネット/WANリンクを使用してIPsecトンネルを確立し、サービスの中断期間からブランチ環境を保護します。何らかの理由でプライマリトンネルがダウンした場合、IPsec トンネルはセカンダリ WAN リンクを介してミリ秒以内に再確立されます。この機能は、Microsoft Azure仮想WAN、Azure VPNゲートウェイ、AWS VPNゲートウェイ、AWSトランジットゲートウェイ、Zscaler、Check Point CloudGuardとPalo Alto Prismaなどの標準IPsecベースのゲートウェイと互換性があり、検証の対象となります。

    [NSSDW-17871]

デプロイメント

  • CloudInit を使用するOpenStack上のCitrix SD-WAN SE:OpenStack環境にCitrix SD-WAN SEをデプロイできるようになりました。このためには、Citrix SD-WANイメージが構成ドライブ機能をサポートしている必要があります。CloudInit スクリプトは、設定ドライブを備えた OpenStack での SD-WAN デプロイメントのコンテキスト化をサポートします。

    OpenStack の SD-WAN インスタンスの場合、必要な入力は管理 IP、DNS、およびシリアル番号です。CloudInit スクリプトはこれらの入力を解析し、指定された情報でインスタンスをプロビジョニングします。

  • ESXi 6.5 上の Citrix SD-WAN VPX SE: ESXi 6.5 で動作する VMware vSphere 仮想マシンとして、Citrix SD-WAN SE VPX ソフトウェアを使用できるようになりました。

    [NSSDW-20306]

  • 動的IPを使用してDHCP対応インターフェイス上でIPsecトンネルを確立する:アプライアンス上でWANリンクが直接終了し、動的IPがWANリンクに割り当てられている場合に、Citrix SD-WANがIPsecトンネルを確立できるようになりました。

    イントラネット IPsec トンネルは、ローカルトンネル IP アドレスがわからない場合やわからない場合で構成する必要があります。トンネルタイプが [ イントラネット] の場合、未設定アドレスのラベルは < Auto >に変更されます。ローカル IP が < Auto >に設定されている場合、 その WAN リンクのアクセスインターフェイスに組み込まれている IP アドレスが取得されます。WAN リンクアクセスインターフェイスは、IP を静的に取得するか、DHCP から取得します。

    [NSSDW-17869]

セキュリティの強化

  • PKIの強化-証明書の配布:Citrix SD-WANは、追加のセキュリティ機能として公開キー基盤(PKI)を使用して、静的および動的仮想パスのアプライアンス認証をサポートします。この機能を有効にすると、アプライアンスが交換を開始することによって PKI 証明書をデータパス上に配布することにより、既存の仮想パス認証メカニズムが拡張されます。PKI 拡張では、侵害された証明書を一元的に失効するための証明書失効リスト (CRL) 管理もサポートしています。

    [NSSDW-21622]

UI の機能強化

  • SD-WAN GUI バナーのサイト名:サイト名は SD-WAN GUI ヘッダーに表示されます。

    [SDWANHELP-92]

  • マルチユーザーアクセス警告:ユーザーがCitrix SD-WANアプライアンスにログインすると、そのアプライアンスに現在ログインしている他のユーザーのユーザー名が表示されます。

    [NSSDW-23279]

プラットフォーム

  • Citrix SD-WAN 110 SE:Citrix SD-WAN 110 SEプラットフォームは、マイクロおよび小規模のブランチオフィス、リモートサイト、小売店、家庭、および一時的な職場に展開できる新しいブランチサイドアプライアンスです。単一のボックスインブランチソリューションにより、ハードウェアの設置面積を削減し、ブランチ展開を容易にします。

    Citrix SD-WAN 110-SEアプライアンスは、デスクトップフォームファクタアプライアンスです。

    新しいデバイスには、次の2つのモデルがあります。

    • SD-WAN 110
    • SD-WAN 110-LTE-Wi-Fi

    SD-WAN 110-LTE-WiFiモデルのリリース11.1.0は、Wi-Fi機能をサポートしていません。この機能は将来のリリースで有効になる予定です。

    [NSSDW-2010]

  • Citrix SD-WAN 6100 SEのパフォーマンスの向上:Citrix SD-WAN 6100 SEアプライアンスの仮想パスの制限が、静的仮想パスの550から1,000に増加しました。

    [NSSDW-1919]

  • Citrix SD-WAN 210 SEおよび210 LTEライセンスのサポート:Citrix SD-WAN 210-SEおよび210-LTEアプライアンスでは、300 Mbpsのライセンスオプションがサポートされるようになりました。

    [NSSDW-20458]

  • Citrix SD-WAN 1100アプライアンスでホストされているVMシリーズに対するPAN-OS 8.1.xのサポート:Palo Alto VMシリーズ用の9.0.1に加えて、Citrix SD-WAN 1100アプライアンスはPAN-OS 8.1.3をサポートするようになりました。

    [NSSDW-23396]

システムの機能強化

  • ライセンスサーバーの更新: ライセンスサーバーがバージョン 11.16.3 にアップデートされます。

    [NSSDW-20534]

  • 改善されたロギング形式: 新しい SD-WAN ログ形式では、最後に既知の稼働時間ではなく、ログがキャプチャされた時刻が表示されます。

    [NSSDW-23297]

解決された問題

SDWANHELP-1206: メイン設定の更新時にSNMPデーモンの不要な再起動につながるコードバグ。これは、誤ったアプライアンスの再起動トラップを引き起こしていました。この問題は、SD-WAN 110、SD-WAN 210、SD-WAN 410、SD-WAN 1100、および SD-WAN VPX プラットフォームにのみ適用されます。

SDWANHELP-1203: バージョン 10.2.3 からバージョン 11.0.3 にアップグレードすると、SD-WAN アプライアンスが複数回クラッシュします。クラッシュは、2 つのリモートサイト間の中間サイトとして設定されているブランチが、しきい値を超えるトラフィックを処理できない場合に発生します。

ブランチは、2 つのサイト間に動的仮想パスを形成しようとしますが、リモートサイトは、静的仮想パスではなく動的仮想パスを介して接続されます。この修正により、ブランチが動的仮想パスを介していずれかのリモートサイトに接続されている場合、ブランチが 2 つのリモートサイトの中間サイトとして機能しないことが保証されます。

SDWANHELP-1193: ステージングされたソフトウェア/構成をアクティブにせずに LCM パッケージをダウンロードしているときに、MCN が工場出荷時の状態にある場合、ダウンロードされた LCM パッケージは構成とほぼ同じサイズ (数百KB) になります。

この問題は、工場出荷時の状態の MCN で変更管理を実行するときに発生します。[ステージング](ダウンロードリンクが使用可能な場合) をクリックした直後に、[ **ステージングの **アクティブ化] をクリックする前に、LCM パッケージをダウンロードしてみてください

SDWANHELP-1187: ユーザーがLOMユーザーのパスワードを変更できません。

LOM ポートの IP とパスワードを設定するための CLI サポートは、11.1.0 以降のバージョンを実行する次のアプライアンスで導入されています。

  • 6100SE
  • 5100 SE/PE
  • 4100SE
  • 2100SE
  • 2100ペ

サポートされているコマンドは次のとおりです。

ステータス # ステータスを表示

disable # LOM アクセスを無効にする

dhcp を有効にする # LOM で DHCP アドレスを有効にする

静的 <ip> <mask> <gateway> # LOM で静的 IP アドレスを有効にする

パスワード # LOM パスワードの変更

SDWANHELP-1180:新しいサイトが追加され、構成がプッシュされると、Citrix SD-WAN MCN UIが応答しない。MCNイベントログに SQLエラーがあります:ERROR-mysqldは長時間使用できない ログです。

SDWANHELP-1179:フロー統計情報を取得するNITRO APIは、正しい方向に関係なく、すべてのフローのフロー方向としてLANをWANに戻していました。この問題は、NITRO APIでのみ発生し、GUIでは発生しません。

SDWANHELP-1164:アプライアンスの設定をSD-WAN Centerから転送する際に、アプライアンス設定のパスワードにドル記号の後に何らかの文字が含まれていると、転送に失敗します。たとえば、パスワード test$1、test$1$d は失敗します。しかし、test1 $は動作します。

SDWANHELP-1160:Citrix SD-WAN Centerでは、構成エディタのサイトのWANリンクの下に重複したIPアドレスが表示されます。この問題は、任意の 2 つの WAN リンク IP アドレスの 4 番目の数字が同じ数字で始まり、4、45、486 などの桁数によって異なる場合に発生します。

SDWANHELP-1122:Citrix SD-WAN WANOPインスタンスのホスト名はGUIから変更でき、変更されたホスト名は再起動後に反映されます。アービトレータとして機能する一部のCitrix SD-WAN WANOPインスタンスでは、ホスト名は再起動後も保持されません。

NSSDW-23485: MCN のアクティブな構成の名前にドット文字がある場合、Cloud Direct では操作を実行できません。設定ファイル名は、ドット文字を含まないように更新する必要がありました。

SDWANHELP-1115:MPLSキューレート単位が%に設定されている場合、 プロビジョニンググループとプロビジョニングサービス画面で、LANからWANおよびWANからLANへの許可レートが0 と表示されます。修正後、%値を内部的に変換した後、Provisioning セクションに値 kbps が表示されます。

MPLS キューレート単位が% に設定されている場合、[ プロビジョニンググループおよび **プロビジョニングサービス]画面で、LAN と WAN と LAN の許可レートが 0** と表示されます。

SDWANHELP-1110: まれに、動的仮想パスを使用すると、データパスのクラッシュが発生することがあります。

SDWANHELP-1097:ICAトラフィックの実行中に、アプライアンスが再起動します。この問題は、ICA VDAまたはクライアントが、SD-WANで想定されていない形式のICAパケットを送信した場合に発生することがあります。

NSSDW-21806:AC 名/サービス名/ユーザ名を大文字で設定すると、エントリが小文字に変換され、アクセスコンセントレータ(ISP)からの IP 学習で問題が発生する可能性があります。

SDWANHELP-1016:WANリンクが プライベートMPLS からプライベート・イントラネット/インターネットに変更されると、構成エディタにEC159、EC160、EC178、EC179監査エラーが表示されます。この修正後、ユーザーは [ 構成エディタ] > [接続] > [WAN リンク] > [仮想パス リンク] に移動し、[使用オプション] を有効にして、 プライベートイントラネット/インターネット タイプを使用し、監査エラーを回避する必要があります。

SDWANHELP-959:ルート検索でクラッシュしたため、Citrix SD-WANアプライアンスが再起動されました。この問題は、2 つのブランチ間のトラフィックが動的仮想パスのしきい値を下回り、動的仮想パスの有効期限につながる場合に発生することがあります。

NSSDW-19132:HDX MSIセッションの場合、SDWANセンターレポートの「 HDX」タブにある「HDXユーザーセッション」 レポートで、一部のアイドルストリームに接続状態 が無効 と表示されます。修正は、MSIセッションのアイドルストリームに対して、接続状態を INACTIVE として表示することです。

SDWANHELP-760: まれに、ダイナミックルーティングを使用した場合にルートアップデートエンジンとの競合状態が発生する可能性があります。

SDWANHELP-943:すべてのインターフェイスでブリッジペアを作成することができたため、設定を監査すると、非フェールツーワイヤーポートのブリッジペアがクリアされます。ブリッジペアは、Fail-to-Wire をサポートするインターフェイス上でのみ作成できるようになりました。

SDWANHELP-738:Citrix SD-WANサービスが定期的にクラッシュします。クラッシュは、一部の SD-WAN 210 LTE ボックスでランダムに発生します。この問題を解決するには、LTE モデムファームウェアを最新の SD-WAN ソフトウェアバージョンにアップグレードするか、ソフトウェアアップグレードを SD-WAN バージョン 10.2.6 以降に行う必要があります。

NSSDW-24559:ルートテーブルの SNMP クエリーで、不正なルートテーブル値が表示される。CITRIX-SDWAN-MIB ファイルが変更され、SNMP マネージャで新しい CITRIX-SDWAN-MIB ファイルをアップロードして、この問題を修正します。

SDWANHELP-1174: NetFlow/IPFIXコレクタ (SolarWinds など) の帯域幅レポートでは、複数のサンプル間隔にわたる帯域幅の使用率を集約します。この問題により、帯域幅使用率のグラフが正しくプロットされません。フローあたりの総帯域幅は正しく報告されますが、

SDWANHELP-1191: 一部のケースでは、NetFlow/IPFIXコレクタ(たとえば、SolarWinds)は、コーナーケースコードの問題による帯域幅使用率の急上昇を報告します。

既知の問題

NSSDW-21808:SD-WAN センター上のプロビジョニングされたアプライアンス情報は、アプライアンスで実際のプロビジョニング解除操作が完了する前にクリアされます。プロビジョニング解除中にエラーが発生した場合、ユーザーは SD-WAN Centerからアプライアンスに対して Palo Alto 固有の操作を実行できなくなります。

  • 回避策:見つからないサイトを選択し、[ Provision ] をクリックしてアプライアンス情報を復元します。

NSSDW-24895:バージョン 10.2.6 以下からバージョン 11.1 への SD-WAN センターのアップグレードが失敗します。「 無効なファイル名」というエラーでパッケージのアップロードが失敗します。

  • 回避策:SD-WAN Center をバージョン 10.2.6 以下からバージョン 11.1 にアップグレードするには、最初にバージョン 11.0.3 にアップグレードしてから、バージョン 11.1 にアップグレードします。

NSSDW-25313:Citrix SD-WAN Centerで、セカンダリストレージの追加後にMCN検出が失敗します。

  • 回避策:Citrix SD-WANセンター証明書を再生成し、MCNにアップロードします。

NSSDW-27727: SR-IOV が有効なときに特定のインテル 10 GB NIC に使用される IXGBEVF ドライバーを使用する VPX および VPXL インスタンスを持つネットワークは、11.1 にアップグレードしないでください。これにより、接続が失われる可能性があります。この問題は、SR-IOV が有効な AWS インスタンスに影響することが知られています。

リリースノート