Citrix SD-WAN

Notes de mise à jour pour Citrix SD-WAN version 11.3.1

Ce document de notes de mise à jour décrit les améliorations et les modifications, les problèmes résolus et connus qui existent pour Citrix SD-WAN version 11.3.1.

Remarque

La version 11.3.1a de Citrix SD-WAN corrige les vulnérabilités de sécurité décrites dans https://support.citrix.com/article/CTX297155 et remplace la version 11.3.1.

Nouveautés

Configuration et gestion

Nouvelles améliorations de l’interface utilisateur Citrix SD-WAN pour les clients

La nouvelle interface utilisateur Citrix SD-WAN inclut les améliorations suivantes :

  • Gestion IP Autoriser la configuration de la liste.
  • Statistiques de liaison mesurées.
  • État de la connectivité Orchestrator.
  • Modèle de l’appliance, bande passante et type de licence affichés dans l’en-tête.

[ NSSDW-33155 ]

Nouvelle mise à jour de l’interface utilisateur Citrix SD-WAN

L’apparence de la nouvelle interface utilisateur Citrix SD-WAN est modifiée pour refléter la nouvelle couleur et la nouvelle police conformément au rebranding Citrix.

[ NSSDW-30842 ]

SNMP

Les MIB SNMP suivants sont ajoutés :

  • Statistiques de l’appliance
    • Pourcentage d’UC utilisé pour l’appliance
    • Pourcentage de RAM utilisé pour l’appliance
  • Tableau Statistiques de liaison WAN
    • Débit physique Max LAN vers WAN en Kbits/s pour la liaison WAN
    • Débit physique Max WAN vers LAN en Kbits/s pour la liaison WAN
    • Taux autorisé LAN vers WAN en Kbits/s pour la liaison WAN
    • Taux autorisé du WAN au réseau local, en Kbits/s pour la liaison WAN

[ NSSDW-30592 ]

Configuration par défaut/de secours

À partir de la version Citrix SD-WAN 11.3.1, Citrix SD-WAN permet de configurer manuellement les adresses IP statiques qui peuvent être attribuées aux ports WAN en l’absence de DHCP pour utiliser la gestion in-band pour le provisionnement initial.

[ NSSDW-27033 ]

Gestion intrabande

La gestion in-band prend en charge les paires de périphériques haute disponibilité. Les appliances d’une paire haute disponibilité communiquent entre elles à l’aide d’un accès in-band.

[ NSSDW-24534 ]

Groupes d’interface

Vous pouvez activer ou désactiver une interface virtuelle dans un groupe d’interfaces à l’aide de la case à cocher Activer.

[ NSSDW-24512 ]

Prise en charge IPv6

Publicité de routeur NDP - Dans un réseau IPv6, l’appliance SD-WAN multidiffuse périodiquement des messages RA (Router Advertisement) pour annoncer sa disponibilité et transmettre des informations aux appliances voisines du réseau SD-WAN. Le protocole NDP (NDP) de Neighbor Discovery s’exécutant sur les appliances SD-WAN utilise ces publicités de routeur pour déterminer les périphériques voisins sur la même liaison. Il détermine également les adresses de couche de liaison de l’autre, recherche des voisins et conserve les informations d’accessibilité sur les chemins vers les voisins actifs.

Remarque Les

services Citrix SD-WAN Orchestrator ne prennent pas en charge les adresses IPv6.

Les fonctionnalités suivantes des appliances Citrix SD-WAN prennent en charge l’adresse IPv6 :

Remarque

Après avoir configuré les fonctionnalités répertoriées ci-dessus, si vous désactivez le protocole IPv4 ou IPv6, les fonctionnalités ne fonctionnent pas comme prévu.

[NSSDW-1938, NSSDW-21915]

Divers

Version de machine virtuelle Check Point

À partir de Citrix SD-WAN 11.3.1, la VM Check Point version 80.20 et supérieure est prise en charge pour le provisionnement de machines virtuelles sur de nouveaux sites.

[ NSSDW-30833 ]

Réseau

Routage dynamique

Vous pouvez configurer un ID de routeur pour l’ensemble du protocole et également un ID de routeur par domaine de routage. Avec cette amélioration, vous pouvez activer le routage dynamique stable sur plusieurs instances avec différents ID de routeur convergeant de manière stable. Si vous configurez un ID de routeur pour un domaine de routage spécifique, l’ID de routeur spécifique remplace le domaine de routage au niveau du protocole.

[ NSSDW-30132 ]

Sessions PPPoE

Dans la version 11.3.1 de Citrix SD-WAN, un en-tête PPPoE supplémentaire de 8 octets est envisagé pour ajuster la taille maximale du segment (MSS) de TCP. L’en-tête PPPoE supplémentaire de 8 octets ajuste le MSS dans les paquets de synchronisation en fonction du MTU.

[ NSSDW-22779 ]

Problèmes résolus

Configuration et gestion

  • Pendant l’archivage de la base de données des grands réseaux, les enregistrements statistiques de l’appliance MCN n’étaient pas insérés dans les tables de base de données statistiques pendant quelques minutes.

    [ SDWANHELP-1872 ]

  • Pendant les modifications de l’interface, VRRP peut toujours utiliser les anciennes données d’interface, ce qui peut entraîner un vidage de base.

    [ SDWANHELP-1867 ]

  • La configuration du pare-feu hébergé sur l’interface graphique locale ne se charge pas lorsque la machine virtuelle du pare-feu est en état d’arrêt.

    [ SDWANHELP-1839 ]

  • Vous ne pouvez pas choisir le réseau de gestion des sauvegardes comme Aucun lors de la configuration des adresses IP virtuelles.

    [ SDWANHELP-1824 ]

  • Le champ Adresse IPv4 publique était grisé sous la section Basic de l’éditeur de configuration.

    [ SDWANHELP-1780 ]

  • Les routes récapitulatives générées automatiquement créées pour un réseau RCN (Regional Control Node) se voient attribuer un coût de 30 000 au lieu de 65534.

    [ NSSDW-32629 ]

  • Les paramètres de l’appliance ne sont pas appliqués à Citrix SD-WAN lorsqu’ils sont poussés à partir de Citrix SD-WAN Center.

    [ NSSDW-32257 ]

  • Une erreur d’audit pendant la configuration empêche les utilisateurs de configurer le service Internet sur un site, sauf si toutes les liaisons WAN sont configurées avec des interfaces d’accès des mêmes types d’IP.

    [ NSSDW-32185 ]

Licence

  • Sur les plates-formes Citrix SD-WAN 110 et 210, si le port de gestion est configuré en tant que port de données, l’ ID d’hôte peut changer après la mise à niveau vers une version plus récente. Les appliances SD-WAN utilisent la licence grâce si ce problème se produit.

    [ SDWANHELP-1866 ]

Divers

  • Lorsque vous affichez la page de connexion Citrix SD-WAN Center 11.3.0 sur un navigateur en mode plein écran, le logo Citrix et le nom du produit ne s’affichent pas correctement.

    [ SDWANHELP-1910 ]

  • Le rôle d’administrateur réseau a accès pour effectuer les activités spécifiques au rôle d’administrateur de sécurité qui ne doivent pas être autorisées conformément à la définition du rôle d’administrateur réseau.

    [ SDWANHELP-1906 ]

  • L’importation et l’exportation de configurations réseau volumineuses (lorsque la taille du fichier de configuration dépassait 16 Mo) sur Citrix SD-WAN Center échouaient.

    [ SDWANHELP-1787 ]

  • La notification par e-mail de Citrix SD-WAN Center ajoute un CR caractère supplémentaire dans la commande AUTH, ce qui entraîne la fin de la session SMTP.

    [ SDWANHELP-1736 ]

Réseau

  • Lorsqu’un paquet reçu côté LAN ou sur un service local nécessitant une fragmentation est envoyé via LAN GRE, le service SD-WAN se bloque.

    [ SDWANHELP-1846 ]

  • Pour une route de service Internet dans un domaine de routage autre que par défaut et un chemin d’accès configuré, lorsque le chemin tombe en panne et que le site distant n’a pas configuré le domaine de routage donné, la route Internet n’est pas marquée inaccessible.

    [ SDWANHELP-1400 ]

  • Lorsque le Service Internet est activé sur les liaisons WAN qui ont une interface d’accès IPv6, une interruption de service peut se produire après la mise à jour de la configuration.

    [ NSSDW-32212 ]

  • La fonctionnalité Wi-Fi ne prend pas en charge la haute disponibilité (HA) dans Citrix SD-WAN version 11.3.

    [ NSSDW-32197 ]

  • Le NAT dynamique peut ne pas fonctionner correctement ou provoquer une interruption de service lors de la mise à jour de la configuration s’il est utilisé à la fois pour IPv4 et IPv6 sur un service Internet avec l’équilibrage de charge Internet activé.

    [ NSSDW-32139 ]

  • Les modes DHCPv4 et DHCPv6 sur l’interface LTE peuvent entraîner la perte d’adresse IP du périphérique SD-WAN après les mises à jour de configuration.

    [ NSSDW-31998 ]

Plateforme et systèmes

  • Lorsque les informations NAT du pare-feu sont déversées à l’aide de l’interface de ligne de commande, l’appliance se bloque.

    [ SDWANHELP-1901 ]

  • Les règles de pare-feu autorisent la requête ping ICMP reçue sur une interface non approuvée, mais supprime la réponse ping et donc le service SD-WAN se bloque.

    [ SDWANHELP-1865 ]

  • Lorsque le transfert DNS transparent est activé, le traitement des paquets de réponse DNS volumineux peut entraîner un dépassement de pile en raison de l’absence de vérifications conditionnelles de limites appropriées. Un cas d’utilisation est lorsque le service cloud peut avoir besoin d’apprendre les adresses IP à partir du DNS pour activer la classification de la catégorie par défaut d’Office 365.

    [ SDWANHELP-1891 ]

  • Après la mise à niveau du périphérique Citrix SD-WAN vers la version 11.2.2, plusieurs périphériques VRRP agissent en tant que maître en raison de la taille de paquet de publicité VRRP erronée envoyée par le périphérique SD-WAN.

    [ SDWANHELP-1804 ]

  • Lors de la création du chemin virtuel dynamique (DVP), si le message de protocole arrive avec une valeur TOS (IP Type of Service) inattendue, cela peut entraîner un vidage principal.

    [ SDWANHELP-1783 ]

  • Pour la découverte MTU de chemin, les événements de sonde MTU de chemin sont mis en file d’attente pour traitement lors d’un démarrage de minuterie. Un échec de segmentation se produit dans le cas où un événement de sonde n’est pas valide lorsque l’exécution réelle est tentée.

    [ SDWANHELP-1754 ]

  • Lorsque la capacité d’accès au tunnel GRE change de haut à bas, les routes du tunnel GRE éligibles au tunnel GRE ne sont pas mises à jour avec le changement d’état d’accessibilité.

    [ SDWANHELP-1623 ]

  • Dans le déploiement HA Azure, les chemins SD-WAN ne s’affiche pas lorsque l’interface d’accès secondaire est configurée sur la liaison WAN.

    [ SDWANHELP-1578 ]

Problèmes connus

Configuration et gestion

  • L’interface utilisateur Citrix SD-WAN affiche une erreur si un nom en double est utilisé pour le proxy DNS sur le réseau.

    • Solution : utilisez un nom unique à l’échelle du réseau pour le proxy DNS.

    [ NSSDW-33842 ]

  • Lorsqu’une appliance est configurée pour les adresses IPv6 DHCP IPv4 et DHCP, mais que seul le serveur IPv6 DHCP est configuré sur le réseau, l’appliance continue d’attendre l’adresse IPv4 DHCP et ne reçoit donc pas l’adresse IPv6.

    [ NSSDW-33741 ]

  • Lorsque la haute disponibilité intégrée est configurée, l’interface utilisateur SD-WAN permet à un utilisateur de se connecter à un seul des ports (443, 444 ou 445) d’un navigateur Web. Par exemple, si un utilisateur s’est connecté à un autre onglet https://<ip-address> et se connecte https://<ip-address>:444 à un autre onglet, il est déconnecté de https://<ip-address>.

    • Solution : utilisez un navigateur Web pris en charge différent de celui utilisé pour accéder au périphérique Citrix SD-WAN.

    [ NSSDW-33336 ]

  • Activer et désactiver le modem externe ne fonctionne pas à partir de l’interface utilisateur héritée.

    • Solution : utiliser l’interface de ligne de commande SD-WAN Virtual WAN WAN pour activer/désactiver un modem externe

    [ NSSDW-32221 ]

  • Lorsque l’utilisateur sélectionne pour afficher l’état du modem interne, l’interface utilisateur héritée affiche également l’état du modem externe.

    [ NSSDW-32219 ]

  • Une liaison WAN configurée en tant que client DHCP entraîne une défaillance du chemin virtuel. Ce problème se produit lorsque le nom de la liaison WAN est modifié et la gestion des modifications est effectuée.

    • Solution : redémarrez le service Citrix Virtual Wan.

    [ NSSDW-32110 ]

  • L’interface utilisateur et le compilateur de configuration d’Orchestrator ne sortent pas de la plage autorisée de l’intervalle de bail DHCP, ce qui provoque l’échec du démon DHCP.

    [ NSSDW-25452 ]

Réseau

  • Une fois que SLAAC apprend une adresse IP et une adresse de passerelle à partir d’un routeur, sauf si l’adresse actuelle expire, SLAAC ne réapprendra pas l’IP si la passerelle change ou si nous modifions les segments réseau, même après le redémarrage de l’appliance SD-WAN. Cela peut retarder l’obtention d’une adresse lors du déplacement des ports.

    • Solution : Vous pouvez lancer manuellement une publication/nouvelle acquisition de l’IP SLAAC et de l’IP de la passerelle à partir de l’interface utilisateur Web (ou de l’interface de ligne de commande).

    [ NSSDW-33807 ]

  • Une fois que SLAAC apprend une adresse IP et une adresse de passerelle à partir d’un routeur, SLAAC ne réapprendra pas la passerelle si la passerelle change (sauf et jusqu’à ce que l’adresse actuelle expire).

    Exemple :

    • L’appliance Branch apprend son IP et sa passerelle à partir de la passerelle -1.
    • L’administrateur réseau décide de remplacer la passerelle -1 par une nouvelle passerelle -2. L’administrateur configure la passerelle -2 de la même manière que passerelle -1 de sorte que les annonces de routeur envoient les mêmes informations de préfixe que passerelle -1 envoyait. Cependant, la passerelle -2 a une adresse source différente de celle de passerelle -1.
    • L’appliance de branche n’apprendra pas automatiquement l’adresse IP de la passerelle -2. (sauf et jusqu’à ce que l’adresse actuelle expire)

    Solution : Vous pouvez lancer manuellement une publiation/réapprentissage de l’IP SLAAC et de l’IP de la passerelle à partir de l’interface utilisateur Web (ou de l’interface de ligne de commande)

[ NSSDW-33802 ]

  • Une mise à jour de configuration peut entraîner le non-démarrage du serveur DHCP hébergé sur l’interface réseau virtuel de délégation de préfixe LAN. Notez que la délégation de préfixe n’est pas prise en charge avec Citrix SD-WAN 11.3.1 version.

    • Solution : désactivez et activez le service Citrix Virtual WAN.

[ NSSDW-33664 ]

  • L’activation d’un NAT statique sur un service Internet ou intranet avec NDP proxy peut amener le SD-WAN à répondre au NDP pour les adresses détenues et utilisées par d’autres hôtes du réseau.

    • Solution : Citrix vous recommande d’utiliser le NAT dynamique au lieu de NAT statique avec Citrix SD-WAN version 11.3.1.

    [ NSSDW-33653 ]

  • Le test de bande passante de diagnostic de site sous-couche n’est pas pris en charge dans Citrix SD-WAN 11.3.1 version.

    [ NSSDW-33597 ]

  • Si la gestion locale des modifications est appliquée sur une appliance SD-WAN sans différence dans la configuration PPPoE, les sessions PPPoE existantes risquent de ne pas être redémarrées.

    • Solution : rétablir les connexions PPPoE (sous Surveillance > PPPoE).

    [ NSSDW-25387 ]

Plateforme et systèmes

  • Sur les plates-formes suivantes, lorsque le reporting HDX est activé, s’il y a une erreur d’analyse après que la connexion est classée dans HDX et démarre les statistiques, l’appliance se bloque lorsqu’il existe une nouvelle connexion HDX :

    • Citrix SD-WAN 2100
    • Citrix SD-WAN 4100
    • Citrix SD-WAN 5100
    • Citrix SD-WAN 6100

    [ SDWANHELP-1882 ]

Notes de mise à jour pour Citrix SD-WAN version 11.3.1