Citrix SD-WAN

发行说明

本发行说明介绍了适用于适用于 SD-WAN 标准版、WANOP、高级版装置和 SD-WAN 中心的 Citrix SD-WAN 软件 11.1.0 版的新问题、已修复问题和已知问题。

有关以前版本的信息,请参阅 Citrix SD-WAN 文档。

新增功能

以应用为中心的增强功能

  • 零接触增强功能:Citrix SD-WAN 现在支持 SD-WAN 110 标准版 (SE) 和 SD-WAN VPX 平台上的某些指定数据端口上的零接触资源调配。现在,指定的数据端口支持零接触部署 (ZTD),无需为 ZTD 使用单独的管理端口。

    [NSSDW-20641]

  • 默认和回退配置:Citrix SD-WAN 110 SE、210 SE、410 SE、1100 SE/PE、VPX 和 VPX-L 平台附带默认配置,可在配置重置后提供基本的带内管理。默认配置可由用户修改,如果启用,则在发生严重故障时将其用作回退配置。

    [NSSDW-20641]

  • 带内管理增强功能:Citrix SD-WAN 现在支持通过带内管理接口实现 SNMP 和 SD-WAN 中心连接。这意味着不再需要通过指定的管理端口进行单独的连接,即可将 SD-WAN 装置连接到 Citrix SD-WAN Orchestrator 或 SD-WAN 中心。SD-WAN 中心连接的管理 IP 报告要求将带内虚拟 IP 地址配置为备份管理网络。

    [NSSDW-24533]

  • 微软 Office 365 信标服务:Citrix SD-WAN 支持微软 Office 365 信标探测功能,以帮助确定要用于 Office 365 的最佳链接。这些探测确定通过每个 WAN 链接到达 Office 365 终端节点时所涉及的延迟(往返时间),使网络管理员能够识别用于 O365 流量的最佳链路。Office 365 信标探测功能仅通过思杰 SD-WAN 协调程序进行配置。

    [NSSDW-14231]

  • IPv6 支持

    Citrix SD-WAN 提供以下 IPv6 功能:

    • IPv6 WAN 链路的配置基础架构。
    • 通过 IPv6 网络建立虚拟路径隧道。

    从 11.1.0 版本开始, 虚拟 IP 地址下有两个子部分:IPv4 和 IPv6 地址。IPv6 地址用于支持不受信任的接口。不受信任的接口可用于通过 IPv4 或 IPv6 虚拟路径隧道可路由的 IPv4 流量。

    [NSSDW-1913、NSSDW-1929、NSSDW-1936]

  • ICA 会话重新连接:Citrix SD-WAN 支持 ICA 会话与 HDX Insight NSAP 虚拟通道重新连接。如果断开连接,连接将重新连接,而不重新输入登录凭据。默认值为 180 秒。可以通过 VDA 的策略对其进行配置。

    [NSSDW-15457]

路由增强

  • 静态路由间域服务:Citrix SD-WAN 现在提供静态路由间域服务,可在站点内部或不同站点之间进行路由。这样就不需要外部边缘路由器来处理两个路由域之间的路由。路由间服务可以进一步用于设置路由、防火墙策略和 NAT 规则。

    [NSSDW-1966]

  • 内部网服务上的 GRE 通道支持:Citrix SD-WAN 允许通过单个或多个 WAN 链路以主动/被动模式配置 GRE 通道。必须为每个 GRE 通道创建一个内部网服务。

    [NSSDW-16112]

云服务

  • 云直接计费模式选项:Citrix SD-WAN 中心引入了云直接计费模式选项。这样就可以使用 Citrix 销售或授权合作伙伴提供的 Cloud Direct 试用/评估许可证。使用 Cloud Direct 评估许可证运行的站点应设置为模 计费模式选项。升级到完整 Cloud Direct 订阅许可证的站点应设置为 生产 计费模式选项。

    [NSSDW-21047]

Azure 虚拟广域网

  • Azure 虚拟广域网 — 集线器到集线器通信:Azure 虚拟广域网客户现在可以利用 Microsoft 的全球骨干网络进行区域间集线器到集线器通信(全球传输网络体系结构)。这使得分支机构到 Azure,通过 Azure 骨干进行分支到分支,以及分支到中心(在所有 Azure 区域)的通信。

    只有在购买适用于 Azure 虚拟广域网的标准 SKU 时,才能利用 Azure 的骨干进行区域间通信。有关定价详细信息,请参阅 虚拟 WAN 定价。使用基本 SKU,你不能使用 Azure 的骨干进行区域间集线器到中心的通信。有关更多详细信息,请参阅 全球传输网络架构和虚拟 WAN

    [NSSDW-14171]

  • 多 WAN 链路支持微软虚拟广域网连接:Citrix SD-WAN 以主要和次要方式支持多个 WAN 链路,以建立通向 Azure 中心的 IPsec 隧道。这在站点上提供链路级别冗余。如果主链路发生故障,则使用辅助 WAN 链接重新建立通向 Azure 中心的配置隧道。WAN 链路发生故障时,隧道将在毫秒内重新建立。

    [NSSDW-22161]

双 IPsec 链路

  • 双 WAN 链路支持 IPsec 连接:Citrix SD-WAN 允许使用两条互联网/WAN 链路建立 IPsec 隧道,从而保护分支环境免受服务中断的影响。如果主通道由于任何原因故障,IPsec 隧道将在毫秒内通过辅助 WAN 链路重新建立。此功能与基于 IPsec 的标准网关兼容,包括微软 Azure 虚拟广域网、Azure VPN 网关、AWS VPN 网关、AWS 传输网关、Zscaler、检查点 CloudGuard 和帕洛阿尔托 Prisma 以及其他需要验证的网关。

    [NSSDW-17871]

部署

  • Citrix SD-WAN SE 在 OpenStack 上使用云:Citrix SD-WAN SE 现在可以部署在 OpenStack 环境中。为此,Citrix SD-WAN 映像必须支持配置驱动器功能。CloudIt 脚本支持在 OpenStack 中使用配置驱动器进行 SD-WAN 部署的上下文化。

    对于 OpenStack 中的 SD-WAN 实例,需要输入管理 IP、DNS 和序列号。CloudInit 脚本将解析这些输入并使用给定的信息置备实例。

  • Citrix SD-WAN VPX SE 在 ESXi 6.5 上:Citrix SD-WAN SE VPX 软件现在可作为在 ESXi 6.5 下运行的 VMware vSphere 虚拟机提供。

    [NSSDW-20306]

  • 使用动态 IP 在启用 DHCP 的接口上建立 IPSec 隧道:当 WAN 链路直接在装置上终止并为 WAN 链路分配了动态 IP 时,Citrix SD-WAN 现在可以建立 IPsec 隧道。

    当本地隧道 IP 地址不知道或无法知道时,必须可配置 Intranet IPsec 隧道。当隧道类型为 Intranet 时,未设置地址的标签将更改为 < 自动 >**如果本 **地 IP 设置 为 < 自动 >,则它将采用为该 WAN 链路上的接入接口合并的 IP 地址。WAN 链路访问接口可能会静态获取 IP,也可以从 DHCP 获取 IP。

    [NSSDW-17869]

安全性增强

  • PKI 增强 — 证书分发:Citrix SD-WAN 支持使用公钥基础结构 (PKI) 作为附加安全功能,对静态和动态虚拟路径进行设备身份验证。启用此功能可通过启动交换的设备通过数据路径分发 PKI 证书,从而扩展现有虚拟路径身份验证机制。PKI 增强功能还支持证书吊销列表 (CRL) 管理,以集中撤销受损证书。

    [NSSDW-21622]

用户界面增强

  • SD-WAN GUI 标题中的站点名称:站点名称显示在 SD-WAN GUI 标头上。

    [SDWANHELP-92]

  • 多用户访问警告:当用户登录到 Citrix SD-WAN 设备时,会显示一条警告消息,显示当前登录到该设备的其他用户的用户名。

    [NSSDW-23279]

平台

  • Citrix SD-WAN 110 SE:Citrix SD-WAN 110 SE 平台是一种新的分支机构端设备,可以部署在微型和小型分支机构/远程站点/零售商店、家庭和临时工作站点。单一的盒装分支解决方案有助于减少硬件占用空间并简化分支机构部署。

    Citrix SD-WAN 110-SE 设备是台式机外形规格设备。

    新设备有两种型号:

    • SD-WAN 110
    • SD-WAN 110-LTE-WiFi

    注意

    SD-WAN 110-LTE-WiFi 型号上的 11.1.0 版本不支持 Wi-Fi 功能。此功能将在以后的版本中启用。

    [NSSDW-2010]

  • Citrix SD-WAN 6100 SE 性能改进:Citrix SD-WAN 6100 SE 装置虚拟路径限制从 550 个增加到 1,000 个静态虚拟路径。

    [NSSDW-1919]

  • Citrix SD-WAN 210 SE 和 210 LTE 许可证支持:Citrix SD-WAN 210-SE 和 210 LTE 设备现在支持 300 Mbps 许可证选项。

    [NSSDW-20458]

  • PAN-OS 8.1.x 支持托管在 Citrix SD-WAN 1100 装置上的虚拟机系列:Citrix SD-WAN 1100 设备现在支持 PAN 操作系统 8.1.3,此外还支持用于帕洛阿尔托虚拟机系列的 9.0.1。

    [NSSDW-23396]

系统增强

  • 许可证服务器更新:许可证服务器更新到版本 11.16.3。

    [NSSDW-20534]

  • 改进的日志记录格式:新的 SD-WAN 日志格式显示捕获日志的时间,而不是上次已知的正常运行时间。

    [NSSDW-23297]

已修复的问题

SDWANHELP-1206:一个代码错误,导致在完成主配置更新时不必要地重新启动 SNMP 守护程序。这导致了错误的设备重新启动陷阱。此问题仅适用于 SD-WAN 110、SD-WAN 210、SD-WAN 410、SD-WAN 1100 和固定广域网 VPX 平台。

SDWANHELP-1203:SD-WAN 设备在从版本 10.2.3 升级到版本 11.0.3 后多次崩溃。当配置为两个远程站点之间的中间站点的分支无法处理超出阈值的流量时,就会发生崩溃。

分支尝试在两个站点之间形成一个动态虚拟路径,而远程站点通过动态虚拟路径而不是静态虚拟路径连接到该路径。此修复可确保分支在通过动态虚拟路径连接到其中任何一个远程站点时不会充当两个远程站点的中间站点。

SDWANHELP-1193:当 MCN 在下载 LCM 包时处于出厂状态而不激活暂存软件/配置时,下载的 LCM 软件包大小与配置大小大致相同(数百 KB)。

在出厂状态 MCN 上执行更改管理时,会出现此问题。单击“暂存”(当下载链接可用时 )后,尝试立即下载 LCM 软件包,但在单击“激活暂存”之前

SDWANHELP-1187:用户无法更改 LOM 用户密码。

CLI 支持为 LOM 端口配置 IP 和密码,在以下运行 11.1.0 和更新版本的装置上引入。

  • 6100 SE
  • 5100 SE/PE
  • 4100 SE
  • 2100 SE
  • 2100

支持的命令如下所示:

状态 # 显示状态

禁用 # 禁用 LOM 访问

启用 DHCP # 在 LOM 上启用 DHCP 地址

启用静态 <ip> <mask> <gateway> # 在 LOM 上启用静态 IP 地址

密码 # 更改 LOM 密码

SDWANHELP-1180:添加新站点并推送配置时,Citrix SD-WAN MCN UI 无响应。MCN 事件日志有 SQL 错误:错误-mysqld 很长一段时间不可用的 日志。

SDWANHELP-1179:用于获取流量统计信息的 NITRO API 将 局域网 作为所有流量的流向返回到 WAN,无论方向如何。此问题仅在 NITRO API 中观察到,而不是在图形用户界面上。

SDWANHELP-1164:从 SD-WAN Center 传输装置设置时,如果装置设置中的密码包含美元符号,后跟某些字符,则传输失败。例如,密码测试 1 美元,测试 $1$d 将失败。但测试 1$ 将工作。

SDWANHELP-1160:Citrix SD-WAN 中心在配置编辑器中的站点的 WAN 链接下显示重复的 IP 地址。当任何两个 WAN 链路 IP 地址中的第四个数字以相同的数字开头,并且因 4、45、486 等位数而变化时,会出现此问题。

SDWANHELP-1122:可以从 GUI 更改 Citrix SD-WAN WANOP 实例的主机名,并在重新启动后反映更改的主机名。在作为仲裁程序的某些 Citrix SD-WAN WANOP 实例上,主机名不会在重新引导过程中持久存在。

NSSDW-23485:如果 MCN 上的活动配置名称中有点字符,云直接不允许执行任何操作。必须更新配置文件名以不包括点字符。

SDWANHELP-1115:如果 MPLS 队列速率单位设置为%,则局域网到 WAN 和 WAN 到局域网允许的速率在“资源调配”组和“资源调 配服务”屏幕上显示 0。修复后,Provisioning 部分在内部转换% 值后显示值(以 kbps 为单位)。

如果 MPLS 队列速率单位设置为%,则局域网到 WAN 和 WAN 到局域网允许的速率在“配置”组和“置服务”屏幕上显示 0。

SDWANHELP-1110:在极少数情况下,使用动态虚拟路径时,可能会发生数据路径崩溃。

SDWANHELP-1097:有时,在运行 ICA 流量时,设备会重新启动。如果 ICA VDA 或客户端发送的 ICA 数据包具有 SD-WAN 不预期的格式,则可能会发生此问题。

NSSDW-21806:在配置大写 AC 名称/服务名称/用户名时,条目会转换为小写,这可能会导致从访问集中器 (ISP) 获取 IP 学习时出现问题。

SDWANHELP-1016:当广域网链路从 专用 MPLS 更改专用内联网/互联网时,配置编辑器会显示 EC159、EC160、EC178、EC179 审核错误。发布此修复后,用户必须导航到 配置编辑器 > 连接 > WAN 链接 > 虚拟路径 链接,并启用使用选项以使用 专用内联网/Internet 类型并避免进一步审核错误。

SDWANHELP-959:由于路由查找崩溃,Citrix SD-WAN 设备被重新启动。当两个分支之间的流量低于动态虚拟路径阈值时,可能会出现此问题,从而导致动态虚拟路径过期。

NSSDW-19132:在 HDX MSI 会话的情况下,在 HDX 用户会话报告的 SDWAN 中心 报告的 HDX 选项卡下的某些空闲流的连接状态显示为无效。修复方法是为 MSI 会话的空闲流显示连接状 为非活动状态。

SDWANHELP-760:在极少数情况下,当使用动态路由导致崩溃时,路由更新引擎可能出现竞争条件。

SDWANHELP-943:可以在所有接口上创建网桥对,因此审核配置会清除非故障到线端口上的网桥对。现在,网桥对只能在支持故障到线的接口上创建。

SDWANHELP-738:Citrix SD-WAN 服务定期崩溃。崩溃随机发生在一些 SD-WAN 210 LTE 盒上。修复方法是将 LTE 调制解调器固件升级到最新的 SD-WAN 软件版本,或执行一步软件升级到 SD-WAN 10.2.6 版或更新版本。

NSSDW-24559:在路由表的 SNMP 查询中看到不正确的路由表值。修改 CITRIX-SDWAN-MIB 文件,请在 SNMP 管理器中上传新的 CITRIX-SDWAN-MIB 文件以修复此问题。

SDWANHELP-1174:在少数情况下,网络流 /IPFIX 收集器(例如-SolarWinds)带宽报告会聚合多个采样间隔内的带宽使用情况。此问题会导致带宽使用情况图的绘制不正确。虽然每个流的总带宽是正确的报告。

SDWANHELP-1191:在少数情况下,NetFlow /IPFIX 收集器(例如-SolarWinds)将报告由于角落案例代码问题引起的带宽使用量峰值。

已知问题

NSSDW-21808:在设备上完成实际取消置备操作之前,SD-WAN 中心上的已置备设备信息将被清除。如果在取消置备期间发生任何错误,则用户将无法从 SD-WAN 中心对装置执行任何特定于 Palo Alto 的操作。

  • 解决办法:选择缺少的站点,然后单击“设 置”以恢复装置信息。

NSSDW-24895:SD-WAN 中心从版本 10.2.6 或更低版本升级到版本 11.1 失败。上传软件包失败,并显示错误- 无效的文件名

  • 解决办法:要将 SD-WAN 中心从版本 10.2.6 或更低版本升级到版本 11.1,请先升级到 11.0.3 版,然后升级到版本 11.1。

NSSDW-25313:在 Citrix SD-WAN 中心中,添加辅助存储后,MCN 发现将失败。

  • 解决办法:重新生成 Citrix SD-WAN 中心证书并将其上传到 MCN。

NSSDW-27727:使用 IXGBEVF 驱动程序的 VPX 和 VPXL 实例的网络不得升级到 11.1,该网络在启用 SR-IOV 时用于某些英特尔 10GB 网卡。这可能会导致连接丢失。此问题已知会影响启用 SR-IOV 的 AWS 实例。

发行说明