Citrix SD-WAN

Citrix SD-WAN 11.4.3a 版本的发行说明

本发行说明文档介绍了 Citrix SD-WAN 版本 Build 11.4.3a 中存在的增强功能和更改、已修复问题和已知问题。

注意

Citrix SD-WAN 11.4.3a 版本解决了 https://support.citrix.com/article/CTX370550 中描述的安全漏洞,取代了 11.4.3 版。

新增功能

Build 11.4.3a 中提供的增强功能和更改。

DHCP 日志的增强

Citrix SD-WAN 设备可以为 IP 地址生成 DHCP 服务器日志。每当将 IP 地址分配给端点时,都会生成日志。这些日志包含诸如 IP 地址分配和租用期限的时间戳、MAC 地址、客户端 ID 等详细信息。

[NSSDW-36840]

硬件监视支持:您可以监视硬件组件,例如电源、磁盘、健康状态,还可以通过 CLI 命令 hw_mon 检查状态。严重的硬件事件记录在 Citrix SD-WAN 事件中。

[NSSDW-36660]

NAT 日志增强功能

从 Citrix SD-WAN 11.4.3 版本起,静态和动态 NAT 日志得到了增强,可以显示与转换后的 IP 地址和转换后的 IP 端口相关的信息。以下是新引入的字段:

转换后的 IP 地址

  • natsrc -转换后的源 IP 地址
  • natdest -转换后的目标 IP 地址

NAT 类型

  • snat -当 snat 为 1 时,表示连接正在通过源 NAT 转换。
  • dnat -当 dnat 为 1 时,表示连接正在通过目标 NAT 转换。

转换后的端口

  • natsport -转换后的源端口地址
  • natdport -转换后的目标端口地址

[NSSDW-34602]

已修复的问题

内部版本 11.4.3a 中解决的问题。

在任何站点或 WAN 链路上进行配置更改时扩展部署的情况下,路由引擎重新启动会导致 BGP 会话抖动。

[SDWANHELP-2594]

旧版 GUI 将 CGI 会话文件保留在临时目录下。这些 CGI 会话将在启动期间清理,这可能会阻止 Citrix SD-WAN 服务运行。

[SDWANHELP-2567]

由于 LTE 调制解调器事务超时错误,Citrix SD-WAN LTE 服务可能会挂起。

[SDWANHELP-2565]

添加动态规则时修复了可能的内存泄漏问题。

[SDWANHELP-2563]

由于 Citrix SD-WAN UI 中出现罕见的争用情况,当使用错误的数据库索引请求统计信息时,t2_app 将崩溃。

[SDWANHELP-2548]

在 Citrix SD-WAN 1100 上分配给 Palo Alto VM(VM-50 型)的内存增加到 5.5 GB。

[SDWANHELP-2534]

修复 ICA 分类中可能存在的内存泄漏问题。

[SDWANHELP-2527]

当基于域名的应用程序的 DNS 学习条目导致第一个数据包分类表达到最大限制时,设备崩溃。

[SDWANHELP-2480]

Citrix SD-WAN 设备仅允许传输管理端口上所需的流量,这会阻止用户在启用时访问 MiRIC 管理 GUI。

[SDWANHELP-2479]

尝试输入带前缀的 IP 地址未通过防火墙过滤器策略中的源/目标 IP 字段的验证。

[SDWANHELP-2471]

当流量一直很高且超过设备的最大流量容量限制时,流量映射的更改有时可能会导致数据路径重新启动。

[SDWANHELP-2456]

管理端口关闭/打开后,与 Syslog 服务器通信的源 IP 变为 169.254.200.2

[SDWANHELP-2450]

CCitrix SD-WAN Center 仪表板不会加载任何信息。

[SDWANHELP-2373]

静态路由支持 GRE 隧道作为传送服务。如果删除 GRE 隧道但未首先正确删除静态路由,则使用 GRE 隧道传送服务的路由会出现问题。

此修复会在删除 GRE 隧道时自动删除使用 GRE 隧道作为传递服务配置的路由。

[NSSDW-37846]

在 Citrix SD-WAN 11.4.2 版本中,对于扩展名为 .der 的文件,从适用于本地的 Citrix SD-WAN Orchestrator 上载签名的 CSR 证书失败。

[NSSDW-37813]

AT&T 3G 网络计划于 2022 年 2 月失效。Citrix SD-WAN 110 LTE 调制解调器已设置为以语音为中心,在 AT&T 的 3G 失效后它不支持 VoLTE。

[NSSDW-37736]

当 LTE 加密狗或管理端口提供的 DNS 无法访问时,Citrix SD-WAN Orchestrator 服务连接将失败。尽管网络已切换到带内管理以实现连接。

[NSSDW-37428]

带内管理

从 Citrix SD-WAN 11.4.2 版本起,必须在 SD-WAN 设备上配置带内管理,才能通过带内管理端口建立与 Citrix SD-WAN Orchestrator 服务的连接。否则,当管理端口未连接且未配置带内 IP 地址时,设备将失去与 Citrix SD-WAN Orchestrator 服务的连接。

[NSSDW-37174]

当 DHCP 服务器使用 DVP 和 HA 配置分配新地址时,Citrix SD-WAN 服务可能会崩溃。

[NSSDW-36513]

在极少数情况下,当路由表中发生路由更改时,Citrix SD-WAN 服务会重新加载。

[NSSDW-36289]

启用 CRL 处理后,第三方加密库中的内存问题可能会导致核心转储。

[NSSDW-35679]

当 Edge Security 防病毒和反恶意软件组件的内部许可证到期时,Citrix SD-WAN 将停止检测病毒和恶意软件。

[NSSDW-35596]

加载包含摘要路由的 Citrix SD-WAN 配置时,设备可能会持续重新加载。

[NSSDW-34670]

如果设备具有配置为总结路由的静态路由,并且动态获知了另一个相同前缀的路由,则该总结路由不会汇总路由。

[NSSDW-34355]

Citrix SD-WAN 仅允许在移动宽带设备上使用 DHCP,这不适用于在其数据计划中分配了静态 IP 的客户。

[NSSDW-33971]

一旦 SLAAC 从路由器获知 IP 和网关地址,除非当前地址过期,否则如果网关发生变化或我们更改网段,SLAAC 将不会重新获取 IP,即使在重新启动 SD-WAN 设备之后也是如此。移动端口时,这可能会延迟获取地址。

[NSSDW-33807]

一旦 SLAAC 从路由器获悉 IP 和网关地址,如果网关发生变化(除非当前地址过期),SLAAC 将不会重新获取网关。

示例:

  • 分支设备从网关-1 学习其 IP 和网关。

  • 网络管理员决定用新的网关-2 替换网关-1。管理员配置网关-2 与网关-1 相同,以便路由器通告发送的前缀信息与网关-1 发送的前缀信息相同。但是,网关-2 的源地址与网关-1 不同。

  • 分支设备不会自动学习网关-2 的 IP。(除非和直到当前地址超时)

[NSSDW-33802]

为区域控制节点 (RCN) 网络创建的自动生成的汇总路由分配的成本为 30,000,而不是 65534。

[NSSDW-32629]

从 Citrix SD-WAN 中心推送设备设置时,不会应用于 Citrix SD-WAN。

[NSSDW-32257]

站点级警报下不会报告 WPA3 失败的身份验证。

[NSSDW-32053]

在执行重新身份验证时,Wi-Fi 客户端报告中的上传和下载数据将显示负值。

[NSSDW-31903]

平台和系统

首次添加自定义 SNMP 团体字符串不会删除现有的团体字符串配置。

[SDWANHELP-2561]

已知问题

11.4.3a 版中存在的问题。

如果禁用了部分站点升级,然后将整个网络升级到新的软件版本,某些站点可能会自动更正回较旧的版本。

解决方法: 如果触发了另一项更改管理,降级的站点将升级到预期的软件版本。

[SDWANHELP-2586]

在具有 Internet 负载平衡配置的 Advanced Edition (AE) 平台上,Citrix SD-WAN 服务有时可能会崩溃。

解决方法:将 Internet 服务配置为主模式和辅助模式。

[SDWANHELP-2521]

如果将带外端口用于 SNMP 服务的装置切换到带内端口,则该设备的所有管理服务都将通过带内端口连接到 Internet。发送到带外端口的 SNMP 请求失败。

解决办法: 配置外部 SNMP 服务,以便在带外端口出现故障时向带内端口发送请求。

[SDWANHELP-2358]

在 VPX 中,如果没有有效的许可证,守护进程将自动重启。在这种情况下,守护进程有时可能会崩溃。没有用户影响,因为守护进程会自动正常运行。

[NSSDW-37981]

同时启动实时、交互式高、交互式介质和交互式低类类型的流量时,UI 的 “监视类” 表中显示的流量速率大约降低 150 Kbps。

[NSSDW-37568]

对于通过 MCN 管理的 Citrix SD-WAN 设备,新用户界面仪表板中的 Orchestrator 连接状态显示为不良/未知。

[NSSDW-37462]

在极少数情况下,如果分支站点的其中一个 WAN 链接具有静态公共 IP 地址,则动态虚拟路径的形成将失败。

解决方法:

使用静态公共 IP 地址在分支站点重新启动虚拟 WAN 服务。

[NSSDW-36429]

在 Citrix SD-WAN BGP 配置中,更改路由域的路由器 ID 时,SD-WAN 动态路由协议可能会重新启动。

[NSSDW-35657]

对防火墙动态 NAT 策略或端口转发规则进行的配置更改可能会导致核心转储。

[NSSDW-34603]

当用户选择查看内部调制解调器的状态时,旧版 UI 还会显示外部调制解调器的状态。

[NSSDW-32219]

Citrix SD-WAN 11.4.3a 版本的发行说明