Citrix SD-WAN

Notes de mise à jour de Citrix SD-WAN 10.2.6

Introduction

Cette note de mise à jour décrit les nouveautés, les problèmes résolus et les problèmes connus applicables au logiciel Citrix SD-WAN version 10.2 version 6 pour SD-WAN Standard Edition, WANOP, Premium Edition et SD-WAN Center.

Pour plus d’informations sur les versions précédentes, consultez la Citrix SD-WAN

Remarque

CVE-2019-19781 - Une vulnérabilité dans les appliances WANOP Citrix SD-WAN (applicable UNIQUEMENT aux modèles de plate-forme 4000-WO, 4100-WO, 5000-WO, 5100-WO) entraînant l’exécution de code arbitraire est corrigée dans la version 10.2.6b. Pour plus d’informations, reportez-vous à la section CVE KB.

Nouveautés

Modèles IPFIX

Le modèle IPFIX définit l’ordre dans lequel le flux de données doit être interprété. Le collecteur reçoit un enregistrement de modèle, suivi des enregistrements de données. Les modèles 611, 612 et 613, pour exporter les données de flux IPFIX, sont introduits dans Citrix SD-WAN 10.2.6.

L’option Info sur le flux d’application (IPFIX) exporte les jeux de données selon les modèles 611 et 612 et l’option Propriétés de base (IPFIX) exporte les ensembles de données selon le modèle 613.

Changement de mot de passe SD-WAN Standard Edition (SE) VPX

À partir de la version 10.2.6, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du Provisioning d’un dispositif SD-WAN ou du déploiement d’un nouveau SD-WAN SE VPX. Cette modification est appliquée en utilisant l’interface de ligne de commande et l’interface utilisateur.

Un compte de maintenance du système - CBVWSSH, existe pour le développement et le débogage et n’a pas d’autorisations de connexion externes. Le compte est uniquement accessible via la session CLI d’un utilisateur administratif régulier.

Mise à jour du microprogramme SD-WAN 210-LTE

Avec la version 10.2.6, le micrologiciel actif LTE est mis à jour dans le cadre du package de mise à niveau en une seule étape. Pour mettre à niveau, vous devez mettre à jour la fenêtre de planification à l’aide de la page Paramètres de gestion des modifications ou attendre l’heure planifiée par défaut pour mettre à niveau le firmware LTE (tous les jours à 21:20:00).

Problèmes résolus

SDWANHELP-961 : Ce problème affecte potentiellement les appliances SD-WAN 4000 et 5000 WO. Une fois que l’appliance exécute 10.1.0 à 10.2.5 pendant plus d’un an, il est possible que trop de données soient conservées dans les journaux.

SDWANHELP-1000 : Chaque fois que NetFlow est activé avec une configuration haute disponibilité (HA), le volet HA se produit en raison d’un manque de ressources.

SDWANHELP-1035 : Les routes ne sont pas propagées correctement vers des sites distants via le MCN et la RCN.

SDWANHELP-1046 : L’installation du certificat générique sur SD-WAN Center échoue en raison d’un problème de rechargement apache dans une version antérieure d’apache. En conséquence, le certificat HTTPS n’était pas installé.

SDWANHELP-1049 : La machine virtuelle WAN virtuelle (VM) sur les plates-formes basées sur XenServer peut avoir un décalage temporel important. Dans ce cas, l’heure sur la machine virtuelle WAN virtuelle affiche inexacte après le redémarrage.

SDWANHELP-1070 : L’heure n’est pas synchronisée avec l’horloge matérielle après avoir été modifiée. Par exemple, mise à jour manuelle de l’heure ou mise à jour de l’heure NTP.

SDWANHELP-1078 : Éliminer le spam excessif de journal causé par le démon mailer-tente de se connecter au serveur TACACS+.

SDWANHELP-1095 : La passerelle FTP Application Layer Gateway (ALG) peut ne pas analyser correctement les sessions FTP si les modes EPSV ou EPRT sont utilisés provoquant un échec dans la session FTP.

SDWANHELP-1096 : Dans de rares conditions, le redémarrage du service SD-WAN peut se produire pendant l’inspection des paquets en profondeur (DPI).

SDWANHELP-1106 : L’exportation et l’importation de fichiers de configuration de grande taille sur SD-WAN Center à partir de MCN échouent sur les versions 10.2.x antérieures.

SDWANHELP-1112 : Le numéro de système autonome (AS) BGP prend en charge un nombre 32 bits.

SDWANHELP-1113 : Intermittence incapable d’accéder à l’interface graphique de gestion sur les plates-formes WANOP uniquement après la mise à niveau vers la version 11.0.2.

SDWANHELP-1114 : Lors de l’ouverture des graphiques via la page de rapports de SD-WAN Center, il accède à la page des graphiques mais n’affiche aucun graphique.

SDWANHELP-1116 : Lors de la mise à jour de la configuration, nous risquons de manquer le traitement des événements de synchronisation en raison du volet haute disponibilité (HA), ce qui peut entraîner l’état de problème de l’appliance, où la synchronisation des itinéraires ne se produit pas avec d’autres branches et entraîne une panne du réseau.

SDWANHELP-1149 : Lorsque vous téléchargez un nouveau certificat HTTPS, il ne s’applique pas et l’ancien certificat est restauré.

SDWANHELP-1160 : Le Centre Citrix SD-WAN affiche les adresses IP en double sous les liens WAN pour un site dans l’Éditeur de configuration. Le problème se produit lorsque le quatrième nombre dans deux adresses IP de liaison WAN commence par le même chiffre et varie par le nombre de chiffres comme 4, 45, 486.

SDWANHELP-1164 : Lors du transfert des paramètres de l’appliance à partir de SD-WAN Center, si le mot de passe, dans les paramètres de l’appliance, contient un symbole dollar suivi d’un caractère, le transfert échoue. Par exemple, les mots de passe test$1, test$1$d échoueront. Mais test1$ fonctionnera.

SDWANHELP-1169 : Le service est abandonné lorsqu’un paquet est planifié pour la transmission d’un DVP en attente de suppression. Le logiciel essaie par erreur de le supprimer d’une liste de paquets vide. Le logiciel a été mis à jour.

SDWANHELP-1176 : En raison de certaines entrées orphelines dans la base de données de configuration, l’API GET pour config_editor/virtual_paths lance quelques exceptions avec la réponse. La suppression de cascade a été corrigée pour éviter les entrées de base de données orphelines.

SDWANHELP-1189 : Lors de la mise à niveau de l’appliance logicielle, le processus d’installation peut échouer sur les appliances SD-WAN 210 Standard Edition (SE). Lors de la détection des défaillances, l’appliance redémarre automatiquement pour éviter le problème afin que la mise à niveau puisse continuer.

SDWANHELP-1201 : Le modem LTE peut redémarrer de façon sporadique. Au début d’une session de données, le modem continue de signaler une erreur - le service n’est pas pris en charge. Le correctif consiste à désactiver et réactiver automatiquement le modem pour récupérer l’échec.

SDWANHELP-1241 : Dans de rares cas, les informations de l’appliance ne sont pas affichées sur la page Inventaire et état de SD-WAN Center en raison du blocage de SD-WAN Center Service.

NSSDW-23795 : Dans quelques cas, les collecteurs Netflow/IPfix (par exemple, les vents solaires) signalent l’erreur MYSQL = (1064) dans SDWAN_firewall.log. Ce problème entraîne un traçage incorrect des graphiques d’utilisation de la bande passante.

NSSDW-24895 : Augmentez le tampon de mise à niveau logicielle Citrix SD-WAN Center requis pour la mise à niveau vers des versions plus récentes.

NSSDW-24215 : Sur les appliances Citrix SD-WAN, la marche générique SNMP n’est pas fonctionnelle. Le correctif consiste à gérer correctement la demande de marche générique SNMP et à fournir la réponse jusqu’à la fin de l’identificateur d’objet SNMP (OID).

NSSDW-24862 : Citrix SD-WAN n’envoie pas les données NetFlow aux collecteurs à intervalles réguliers.

NSSDW-25147 : Lorsque la fonctionnalité PPPoE est configurée dans des appliances SD-WAN, le démon de protocole point à point (PPD) s’exécute pour établir les sessions PPPoE. Cette configuration est vulnérable à CVE-2020-8597, une vulnérabilité de débordement de tampon. Ce problème est résolu à partir de la version 11.1.0.

NSSDW-25265 : La table d’inventaire du tableau de bord Citrix SD-WAN Center ne parvient pas à afficher les données.

NSSDW-25067 : Un message d’avertissement ou un message occupé s’affiche lorsque le modem LTE est désactivé et réactivé avant que le mode de fonctionnement n’ait basculé sur la puissance inférieure. Le correctif consiste à avertir l’utilisateur et à afficher le mode de fonctionnement actuel avant d’effectuer l’opération d’activation/désactivation.

NSSDW-25135 : Parfois, pendant le déploiement de Zscaler, des configurations erronées ont été utilisées pour créer le mappage. Le problème se produit en raison d’entrées en double erronées dans la base de données. Le correctif garantit qu’il n’y a pas d’entrées en double dans la base de données.

NSSDW-25440 : Des pertes importantes de paquets ou des retards réseau peuvent être observés dans Azure sur des instances avec l’accélération réseau activée.

Problèmes connus

NSSDW-22748 : les rapports IPFIX exportés vers l’outil de gestion de l’autorité de certification ne sont pas traités correctement conformément à la spécification IPFIX. Le problème s’applique uniquement à l’outil de gestion de l’autorité de certification et n’est pas visible lorsque les rapports IPFIX sont exportés vers des collecteurs tels que SolarWinds, Splunk.

SDWANHELP-1159 : Citrix SD-WAN n’annonce pas les routes vers le voisin OSPF. Cela se produit lorsque les routes sont modifiées au SD-WAN ou le volet chemins virtuels se produit, ce qui provoque la resynchronisation des routes WAN virtuelles sur les sites. Dans ce cas, si le lien vers l’homologue OSPF est perdant, le SD-WAN peut entrer dans un état où il n’annonce jamais les routes SD-WAN vers le voisin OSPF.

Solution : arrêtez et redémarrez le service WAN virtuel.

Notes de mise à jour de Citrix SD-WAN 10.2.6