Citrix SD-WAN

Citrix SD-WAN 11.0.3 发行说明

简介

本发行说明介绍了针对 SD-WAN Standard Edition、WANOP、Premium Edition设备和 SD-WAN 中心的 Citrix SD-WAN 软件版本 11.0 版本 3 的新问题、修复问题和已知问题。

有关以前版本的信息,请参阅 Citrix SD-WAN 文档。

注意

  • CVE-2019-19781-Citrix SD-WAN WANOP 设备中导致任意代码执行的漏洞已在 10.2.6b 版中修复。有关详细信息,请参阅 CVE KB

  • 11.0.3.1018 版本包含安全修补程序,Citrix 建议 Amazon Web Services 上的所有客户应用此修补程序。

新增功能

多个集线器支持微软虚拟广域网

在 11.0.3 版本中,一个分支可以连接到 Azure 虚拟 WAN 资源中的多个集线器。一个 Azure 虚拟 WAN 资源可以与多个本地分支站点连接。分支站点需要与 Azure WAN 资源相关联才能建立 IPsec 隧道。

SD-WAN 标准版 (SE) VPX 密码更改

从 11.0.3 版开始,在 Provisioning 任何 SD-WAN 设备或部署新的 SD-WAN SE VPX 时,必须更改默认管理员用户帐户密码。同时使用 CLI 和 UI 强制执行此更改。

系统维护帐户-CBVWSSH,用于开发和调试,没有外部登录权限。账户只能通过常规管理用户的 CLI 会话访问。

SD-WAN 210-LTE 固件升级

在 11.0.3 版本中,LTE 活动固件将作为单步升级包的一部分进行更新。要升级,您需要使用“更 改管理设置”页更新计划窗口,或等待默认计划时间升级 LTE 固件(每天 21:20:00)。

已修复的问题

SDWANHELP-941: 在配置更新过程中,我们可能会错过重置虚拟路径更改事件,并可能导致此错误,即使相应的虚拟路径出现故障,我们也不会关闭路由。

SDWANHELP-961: 此问题可能会影响 SD-WAN 4000 和 5000 万台万诺普装置。在设备运行 10.1.0 到 10.2.5 一年多后,日志中存在过多的数据可能会出现故障。

SDWANHELP-988: RADIUSTACCS+ 用户无法从 SD-WAN 中心用户界面生成诊断软件包。对于所有用户,通过终端创建诊断软件包失败。“配置”>“许可”选项在 SD-WAN 中心用户界面上不可用。

SDWANHELP-1000: 每当 NetFlow 启用高可用性 (HA) 设置时,由于缺乏资源而发生高可用性变化。

SDWANHELP-1023:当 NAT 转换后数据包路由不正确时,可能会重新启动 SD-WAN 服务。

SDWANHELP-1035: 路由未通过 MCN 和 RCN 正确传播到远程站点。

SDWANHELP-1042:当用户重新启动已在现有 HDX 会话中断开连接并将其关闭时, SD-WAN 崩溃。

SDWANHELP-1049: 基于 XenServer 的平台上的虚拟广域网虚拟机 (VM) 可能会随着时间的推移而产生较大的时间偏移。在这种情况下,虚拟 WAN 虚拟机上的时间在重新启动后显示不准确。

SDWANHELP-1051: 如果许可证服务器版本低于 v11.16.3,则可能会导致某些拒绝服务 (DOS) 攻击,影响所有低于 11.16.3 的旧版许可证服务器。

SDWANHELP-1070: 被更改后,时间不会同步到硬件时钟。例如,手动时间更新或 NTP 时间更新。

SDWANHELP-1088:如果启用 PAC 文件功能后重新启动装置, 某些 SD-WAN 装置 GUI 页面可能会变得无响应。

SDWANHELP-1095: 如果使用 EPSV 或 EPRT 模式导致 FTP 会话失败,FTP 应用层网关 (ALG) 可能无法正确解析 FTP 会话。

SDWANHELP-1112: BGP 自治系统(AS)号支持 32 位数字。

SDWANHELP-1113:升级到 11.0.2 后, 间歇性地无法访问仅 WANOP 平台上的管理图形用户界面。

SDWANHELP-1116: 在配置更新过程中,我们可能会因为高可用性 (HA) 移动而错过同步事件处理,这可能会导致设备处于问题状态,其中不会与其他分支机构进行路由同步并导致网络中断。

SDWANHELP-1123:配置仅使用 DHCP 接口的路由域 时,将显示审核错误。

SDWANHELP-1160: Citrix SD-WAN 中心在配置编辑器中的站点的 WAN 链接下显示重复的 IP 地址。当任何两个 WAN 链路 IP 地址中的第四个数字以相同的数字开头,并且因 4、45、486 等位数而变化时,会出现此问题。

SDWANHELP-1164: 从 SD-WAN Center 传输设备设置时,如果设备设置中的密码包含美元符号,后跟某些字符,则传输失败。例如,密码测试 1 美元,测试 $1$d 将失败。但测试 1$ 将工作。

SDWANHELP-1169: 为等待删除的 DVP 计划传输数据包时,该服务将中止。软件错误地尝试将其从空数据包列表中删除。软件已更新。

SDWANHELP-1176: 由于配置数据库中的某些孤立条目,配置编辑器/虚拟路径的 GET API 会随响应一起抛出一些异常。已修复级联删除以避免孤立数据库条目。

SDWANHELP-1189: 在软件设备升级期间,SD-WAN 210 标准版 (SE) 设备上的安装过程可能会失败。在检测故障时,设备会自动重新启动以避免此问题,以便继续升级。

SDWANHELP-1201: LTE 调制解调器可以偶尔自行重新启动。在数据会话开始时,调制解调器不断报告错误- 服务不受支持。修复方法是自动禁用并重新启用调制解调器以恢复故障。

SDWANHELP-1385:由于 SD-WAN 210 平台上的 BIOS 固件 v1.0b 出现问题,SD-WAN 设备序列号信息可能会丢失并重置为默认字符串。

SDWANHELP-1365:在启用 WAN 到 WAN 转发的高可用性 GEO MCN 设置中, 互联网服务关闭 事件可能会触发错误情况,即从辅助 GEO MCN 获取的路由优先级高于主 GEO MCN。

NSSDW-22847:启用 BGP 时,默认情况下,在 SD-WAN 用户界面中显示了 BGP 中的 多跳 复选框。但是,除非用户禁用并重新启用该设置,否则该设置未启用。

NSSDW-25032:当 BGP 策略配置了 MED 度量并绑定到邻居时,多退出鉴别器 (MED) 未通告给邻居。这个问题是编译器正在设置错误的网络前缀(32)。

NSSDW-25067: 当 LTE 调制解调器被禁用并在操作模式切换到“低功耗”之前尝试重新启用 LTE 调制解调器时,会显示一条警告消息或一条忙消息。修复方法是在执行启用/禁用操作之前警告用户并显示当前操作模式。

NSSDW-25135: 在 Zscaler 部署期间,有时会使用错误的配置来创建映射。由于数据库中的重复项错误,会出现此问题。此修复程序可确保数据库中没有重复的条目。

NSSDW-25147: 在 SD-WAN 设备中配置 PPPoE 功能时,点对点协议守护程序 (PPPD) 将运行以建立 PPPoE 会话。此配置容易受到 CVE-2020-8597 的影响,这是一个缓冲区溢出漏洞。此问题已从 11.1.0 版本开始修复。

NSSDW-25440: 在启用网络加速的实例上,Azure 中可能会观察到显著的数据包丢失或网络延迟。

NSSDW-28971:登录到 SD-WAN 设备和虚拟机后,您可能会使用硬编码密码使用基于 11.x 的映像获得根外壳访问权限。受影响的 SD-WAN 平台为 110 个,VPX 配置了 11.x 映像。这是一个 CLI 相关的问题,不适用于 GUI。

已知问题

NSSDW-23264:如果 SD-WAN 中心构建在 11.x 上,而设备构建是在 10.x 上, 获取远程许可证将失败。

解决办法:将 SD-WAN 中心 降级为与配置 SD-WAN 设备的 10.x 相同。

NSSDW-23132:升级到 11.x 后,实际流量中断时间可能非常大,以秒为单位。

解决办法: 后续变更管理显示正确的值,这只是一个显示问题。

NSSDW-23134:当网 络刚升级到 11.x 时,尝试将站点添加到网络时,可能会发生一致的软件推送。

解决办法:再次 执行变更管理。

NSSDW-23485:如果 MCN 上的活动配置名称中有点字符, 云直接不允许操作。

解决办法: 更新配置文件名而不包括 DOT。

SDWANHELP-1110: 在极少数情况下,当连续创建短暂的动态虚拟路径时,低端装置 (210/410) 的数据路径服务中可能会发现中断。

解决办法: 禁用动态虚拟路径 (DVP) 或调整配置以避免使用寿命短的 DVP。

SDWANHELP-1159: Citrix SD-WAN 不会将路由通告到 OSPF 邻居。如果路由在 SD-WAN 上发生更改,或者发生虚拟路径变化,导致虚拟 WAN 路由在站点之间重新同步,则会发生这种情况。在这种情况下,如果指向 OSPF 对等方的链路有损,则 SD-WAN 可能会进入从不向 OSPF 邻居通告 SD-WAN 路由的状态。

解决办法: 停止并重新启动虚拟 WAN 服务。

NSSDW-27727:使用 IXGBEVF 驱动程序的 VPX 和 VPXL 实例的网络(启用 SR-IOV 时用于某些英特尔 10 GB 网卡)不得升级到 11.0.3。这可能会导致连接丢失。此问题已知会影响启用 SR-IOV 的 AWS 实例。

Citrix SD-WAN 11.0.3 发行说明