Citrix SD-WAN

Notes de mise à jour de Citrix SD-WAN 11.0.3

Introduction

Cette note de publication décrit les nouveautés, les problèmes résolus et les problèmes connus applicables au logiciel Citrix SD-WAN version 11.0 version 3 pour SD-WAN Standard Edition, WANOP, Premium Edition et SD-WAN Center.

Pour plus d’informations sur les versions précédentes, consultez la documentation Citrix SD-WAN.

Remarque

  • CVE-2019-19781 - La vulnérabilité dans les appliances Citrix SD-WAN WANOP (applicable UNIQUEMENT pour les modèles de plate-forme 4000-WO, 4100-WO, 5000-WO, 5100-WO) entraînant l’exécution arbitraire de code est corrigée dans la version 10.2.6b. Pour plus d’informations, reportez-vous à la section CVE KB.

  • La version 11.0.3.1018 contient des correctifs de sécurité et Citrix recommande que le correctif soit appliqué par tous les clients sur Amazon Web Services.

Nouveautés

Prise en charge de plusieurs concentrateurs pour Microsoft Virtual WAN

Avec la version 11.0.3, une branche peut être connectée à plusieurs concentrateurs au sein d’une ressource Windows virtuel Azure. Une ressource WAN virtuelle Azure peut être connectée à plusieurs sites de succursale locaux. Un site de succursale doit être associé aux ressources WAN Azure pour établir des tunnels IPSec.

Changement de mot de passe SD-WAN Standard Edition (SE) VPX

À partir de la version 11.0.3, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du Provisioning d’un dispositif SD-WAN ou du déploiement d’un nouveau SD-WAN SE VPX. Cette modification est appliquée en utilisant l’interface de ligne de commande et l’interface utilisateur.

Un compte de maintenance du système - CBVWSSH, existe pour le développement et le débogage et n’a pas d’autorisations de connexion externes. Le compte est uniquement accessible via la session CLI d’un utilisateur administratif régulier.

Mise à niveau du micrologiciel SD-WAN 210-LTE

Avec la version 11.0.3, le microprogramme LTE actif est mis à jour dans le cadre du package de mise à niveau en une seule étape. Pour effectuer la mise à niveau, vous devez mettre à jour la fenêtre de planification à l’aide de la page Paramètres de gestion des modifications ou attendre l’heure programmée par défaut pour mettre à niveau le firmware LTE (tous les jours à 21:20:00).

Problèmes résolus

SDWANHELP-941 : Lors de la mise à jour de la configuration, nous risquons de manquer la réinitialisation de l’événement de changement de chemin virtuel et pourrait entraîner ce bogue où nous ne ferons pas tomber les routes même lorsque le chemin virtuel correspondant tombe en panne.

SDWANHELP-961 : ce problème affecte potentiellement les appliances SD-WAN 4000 et 5000 WANOP. Une fois que l’appliance exécute les versions 10.1.0 à 10.2.5 pendant plus d’un an, il est possible que trop de données soient conservées dans les journaux.

SDWANHELP-988 : Les utilisateurs RADIUS et TACACS+ ne peuvent pas générer de package de diagnostic à partir de l’interface utilisateur SD-WAN Center. La création de package de diagnostic via le terminal échoue pour tous les utilisateurs. L’option Configuration > Licensing n’est pas disponible sur l’interface utilisateur de SD-WAN Center.

SDWANHELP-1000 : Chaque fois que NetFlow est activé avec une configuration haute disponibilité (HA), le volet HA se produit en raison d’un manque de ressources.

SDWANHELP-1023 : Les redémarrages du service SD-WAN peuvent se produire lorsque les paquets sont mal routés après la traduction NAT.

SDWANHELP-1035 : Les routes ne sont pas propagées correctement vers des sites distants via le MCN et la RCN.

SDWANHELP-1042 : SD-WAN se bloque lorsque l’utilisateur relance une application publiée qui a été déconnectée dans une session HDX existante et la ferme.

SDWANHELP-1049 : La machine virtuelle WAN virtuelle (VM) sur les plates-formes basées sur XenServer peut avoir un décalage temporel important. Dans ce cas, l’heure sur la machine virtuelle WAN virtuelle s’affiche inexacte après le redémarrage.

SDWANHELP-1051 : Avec les versions de serveur de licences inférieures à v11.16.3, elles peuvent entraîner des attaques par déni de service (DOS) affectant tous les serveurs de licences hérités inférieurs à 11.16.3.

SDWANHELP-1070 : L’heure n’est pas synchronisée avec l’horloge matérielle après avoir été modifiée. Par exemple, la mise à jour manuelle de l’heure ou la mise à jour de l’heure NTP.

SDWANHELP-1088 : certaines pages de l’interface graphique de l’appliance SD-WAN risquent de ne plus répondre si une appliance est redémarrée après l’activation de la fonction de fichier PAC.

SDWANHELP-1095 : La passerelle FTP Application Layer Gateway (ALG) peut ne pas analyser correctement les sessions FTP si les modes EPSV ou EPRT sont utilisés provoquant un échec dans la session FTP.

SDWANHELP-1112 : Le numéro de système autonome (AS) BGP prend en charge un nombre 32 bits.

SDWANHELP-1113 : Intermittence incapable d’accéder à l’interface graphique de gestion sur les plates-formes WANOP uniquement après la mise à niveau vers la version 11.0.2.

SDWANHELP-1116 : Lors de la mise à jour de la configuration, nous risquons de manquer le traitement des événements de synchronisation en raison du volet haute disponibilité (HA), ce qui peut entraîner l’état de problème de l’appliance, où la synchronisation des itinéraires ne se produit pas avec d’autres branches et entraîne une panne du réseau.

SDWANHELP-1123 : Lors de la configuration d’un domaine de routage avec uniquement une interface DHCP, une erreur d’audit s’affiche.

SDWANHELP-1160 : Le Centre Citrix SD-WAN affiche les adresses IP en double sous les liens WAN pour un site dans l’Éditeur de configuration. Le problème se produit lorsque le quatrième nombre dans deux adresses IP de liaison WAN commence par le même chiffre et varie par le nombre de chiffres comme 4, 45, 486.

SDWANHELP-1164 : Lors du transfert des paramètres de l’appliance à partir de SD-WAN Center, si le mot de passe, dans les paramètres de l’appliance, contient un symbole dollar suivi d’un caractère, le transfert échoue. Par exemple, les mots de passe test$1, test$1$d échoueront. Mais test1$ fonctionnera.

SDWANHELP-1169 : Le service est abandonné lorsqu’un paquet est planifié pour la transmission d’un DVP en attente de suppression. Le logiciel essaie par erreur de le supprimer d’une liste de paquets vide. Le logiciel a été mis à jour.

SDWANHELP-1176 : En raison de certaines entrées orphelines dans la base de données de configuration, l’API GET pour config_editor/virtual_paths lance quelques exceptions avec la réponse. La suppression en cascade a été corrigée pour éviter les entrées de base de données orphelines.

SDWANHELP-1189 : Lors de la mise à niveau de l’appliance logicielle, le processus d’installation peut échouer sur les appliances SD-WAN 210 Standard Edition (SE). Lors de la détection des défaillances, l’appliance redémarre automatiquement pour éviter le problème afin que la mise à niveau puisse continuer.

SDWANHELP-1201 : Le modem LTE peut redémarrer de façon sporadique. Au début d’une session de données, le modem continue de signaler une erreur - le service n’est pas pris en charge. Le correctif consiste à désactiver et réactiver automatiquement le modem pour récupérer l’échec.

SDWANHELP-1385 : Les informations du numéro de série du périphérique SD-WAN peuvent être perdues et réinitialisées à la chaîne par défaut en raison d’un problème dans le firmware du BIOS v1.0b sur la plate-forme SD-WAN 210.

SDWANHELP-1365 : Dans une configuration de MCN GEO haute disponibilité avec le transfert Wan-WAN activé, un événement d’ arrêt de service Internet peut déclencher un scénario erroné dans lequel les routes apprises à partir du MCN GEO secondaire ont une priorité supérieure à celle du MCN GEO principal.

NSSDW-22847 : La case à cocher Multi-hop dans BGP a été affichée par défaut dans l’interface utilisateur du SD-WAN lorsque BGP est activé. Mais le paramètre n’a pas été activé à moins que l’utilisateur ne le désactive et le réactive.

NSSDW-25032 : Le Discriminateur de sortie multiple (MED) n’a pas été annoncé au voisin lorsqu’une stratégie BGP est configurée avec des mesures MED et liée à un voisin. Ce problème était un préfixe réseau incorrect (32) défini par le compilateur.

NSSDW-25067 : Un message d’avertissement ou un message occupé s’affiche lorsque le modem LTE est désactivé et réactivé avant que le mode de fonctionnement n’ait basculé sur la puissance inférieure. Le correctif consiste à avertir l’utilisateur et à afficher le mode de fonctionnement actuel avant d’effectuer l’opération d’activation/désactivation.

NSSDW-25135 : Parfois, pendant le déploiement de Zscaler, des configurations erronées ont été utilisées pour créer le mappage. Le problème se produit en raison d’entrées en double erronées dans la base de données. Le correctif garantit qu’il n’y a pas d’entrées en double dans la base de données.

NSSDW-25147 : Lorsque la fonctionnalité PPPoE est configurée dans des appliances SD-WAN, le démon de protocole point à point (PPD) s’exécute pour établir les sessions PPPoE. Cette configuration est vulnérable à CVE-2020-8597, une vulnérabilité de débordement de tampon. Ce problème est résolu à partir de la version 11.1.0.

NSSDW-25440 : Des pertes importantes de paquets ou des retards réseau peuvent être observés dans Azure sur des instances avec l’accélération réseau activée.

NSSDW-28971 : Une fois que vous vous connectez aux appliances SD-WAN et aux machines virtuelles, vous pouvez obtenir un accès shell racine avec l’image 11.x à l’aide d’un mot de passe codé en dur. Les plates-formes SD-WAN affectées sont 110 et les VPX provisionnées avec des images 11.x. Il s’agit d’un problème lié à l’interface de ligne de commande et non applicable à l’interface graphique.

Problèmes connus

NSSDW-23264 : L’extraction d’une licence distante échoue si la version SD-WAN Center est sur 11.x alors que la version de l’appliance est sur 10.x.

Solution : rétrogradez les versions SD-WAN Center à la même que la version 10.x avec laquelle l’appliance SD-WAN est configurée.

NSSDW-23132 : Après la mise à niveau vers 11.x, le temps réel d’interruption du trafic peut être très important en secondes.

Solution : Gestion des modifications ultérieures affiche la valeur correcte, ce n’est qu’un problème d’affichage.

NSSDW-23134 : Une poussée logicielle cohérente peut se produire en essayant d’ajouter un site au réseau lorsque le réseau vient d’être mis à niveau vers 11.x.

Solution : effectuez une nouvelle fois la gestion des modifications.

NSSDW-23485 : Cloud Direct n’autorise pas l’opération si une configuration active sur MCN a un caractère point dans le nom.

Solution : mettez à jour le nom du fichier de configuration sans inclure DOT.

SDWANHELP-1110 : Dans un cas rare, une interruption peut être observée dans le service de chemin de données dans les appliances inférieures (210/410) lorsque des chemins virtuels dynamiques de courte durée sont créés en continu.

Solution : désactivez le chemin virtuel dynamique (DVP) ou ajustez la configuration pour éviter les DVP de courte durée.

SDWANHELP-1159 : Citrix SD-WAN n’annonce pas les routes vers le voisin OSPF. Cela se produit lorsque les routes sont modifiées au SD-WAN ou le volet chemins virtuels se produit, ce qui provoque la resynchronisation des routes WAN virtuelles sur les sites. Dans ce cas, si le lien vers l’homologue OSPF est perdant, le SD-WAN peut entrer dans un état où il n’annonce jamais les routes SD-WAN vers le voisin OSPF.

Solution : arrêtez et redémarrez le service WAN virtuel.

NSSDW-27727 : Les réseaux avec instance VPX et VPXL utilisant le pilote IXGBEVF, utilisés pour certaines cartes réseau Intel 10 Go lorsque SR-IOV est activé, ne doivent pas être mis à niveau vers la version 11.0.3. Cela peut entraîner une perte de connectivité. Ce problème est connu pour avoir un impact sur les instances AWS avec SR-IOV activé.

Notes de mise à jour de Citrix SD-WAN 11.0.3