Citrix SD-WAN 11.4.0a リリースのリリースノート
このリリースノートドキュメントでは、Citrix SD-WAN リリース11.4.0aに存在する機能強化と変更、修正された問題と既知の問題について説明します。
注
- セキュリティ関連のアドバイザリの一覧については、Citrix セキュリティ情報を参照してください。
- Citrix SD-WAN 11.4.0a リリースは、 https://support.citrix.com/article/CTX319135 に記載されているセキュリティの脆弱性を修正し、リリース11.4.0を置き換えます。リリース 11.4.0 で利用可能だった機能強化およびバグ修正に加えて、リリース 11.4.0a には次のバグ修正が含まれています-SDWANHELP-2106、SDWANHELP-2078、SDWANHELP-2066、NSSDW-35630、NSSDW-35596、および NSSDW-34670。
- Citrix SD-WAN 11.4.0リリースは、Citrix SD-WAN CenterとSD-WAN構成エディターを完全にサポートする最後のメインラインリリースです。Citrix SD-WAN Center と SD-WAN 構成エディターはどちらも廃止されました。非推奨化は、製品/機能が段階的に廃止されることを事前に通知するものですが、現在提供されており、完全にサポートされています。次のCitrix SD-WANリリースファミリでは、Citrix SD-WAN CenterとSD-WAN構成エディターは削除され、サポートされなくなります。その代わりに、Citrixではすべての構成要件にCitrix SD-WAN Orchestratorを使用することをお勧めします。Citrix SD-WAN Orchestrator は、Citrix SD-WAN Centerおよび SD-WAN 構成エディターを使用して現在実行されているすべての構成をサポートします。詳細については、「 Citrix SD-WAN Orchestrator サービス 」および「 オンプレミス向け SD-WAN オーケストレータ」を参照してください。
新機能
リリース 11.4.0a で利用可能な機能強化と変更点。
構成と管理
フォールバック構成の WAN ポート用の静的 IP アドレス用の NITRO レスト API
Citrix SD-WAN 11.4.0リリース以降では、NITRO REST APIを使用して、フォールバック構成でWANポートの静的IPアドレスを構成できます。既存のフォールバック設定 API に新しいパラメーターが追加されます。
[NSSDW-33255]
Citrix SD-WAN の新規UIには、次の機能強化が含まれています。
-
Citrix SD-WAN の新規UIの外観は、Citrixの再ブランディングに従って、新しい色とフォントを反映するように変更されます。
- 新しいUIは、クライアントとして構成されているすべてのCitrix SD-WAN アプライアンスで、デフォルトで有効になります。
注:
Citrix SD-WAN アプライアンスを MCN としてプロビジョニングすると、レガシー UI にリダイレクトされます。
-
LACP LAG インターフェイスの詳細を表示できます。
-
DNS プロキシ統計の監視
- SLAAC WAN リンクのモニタリング
[NSSDW-30842、NSSDW-28818、NSSDW-32030]
次の SNMP MIB が追加されます。
- アプライアンス統計
- アプライアンスで使用されたCPUの割合
- アプライアンスで使用されたRAMのパーセンテージ
- WAN リンク統計テーブル
- WAN リンクの LAN から WAN への最大物理レート(Kbps)
- WAN リンクの WAN から LAN への最大物理レート(Kbps)
- WAN リンクの LAN から WAN への許可レート(Kbps)
- WAN リンクの WAN から LAN への許可レート(Kbps)
[NSSDW-30592]
帯域内管理では、高可用性デバイスのペアがサポートされます。高可用性ペアのアプライアンスは、インバンドアクセスを使用して相互に通信します。
[NSSDW-24534]
IPv6 インターネットおよびイントラネットサービスのスタティック NAT ポリシー
Citrix SD-WAN バージョン11.3.1を実行しているアプライアンスをバージョン11.4.0にアップグレードするときは、IPv6インターネット/イントラネットサービスの既存の静的NATポリシーを手動で更新する必要があります。
[NSSDW-33726]
その他
エッジセキュリティコンポーネントのパッチアップグレードサポート
Citrix SD-WAN Advanced Edition(AE)は、エッジセキュリティサブシステムのアップグレードを可能にするパッチアップグレードメカニズムをサポートしています。
エッジセキュリティが有効な既存のリリースから、エッジセキュリティコンポーネントの新しいバージョンを含む上位リリースにアップグレードすると、サブシステムの更新のパリティのみがダウンロードされ、アップグレードされます。
[NSSDW-26721]
Citrix SD-WAN Centerダッシュボードでは、最大300サイトを構成すると、マルチリージョンの概要ダッシュボードが表示されます。
[NSSDW-21753]
ネットワーク
Citrix SD-WAN は、仮想パスおよび動的仮想パスでトラフィックフローを持つクラスのみを表示します。クラスが表示され、値として 0 が表示されている場合は、以前にフローしていたトラフィックが停止したことを意味します。ただし、クラスがまったく表示されない場合は、仮想パスサービスの状態がリセットされたため(ソフトウェアのアップグレードや再起動など)、そのクラスのトラフィックフローがまったくないことを意味します。
[NSSDW-33974]
Citrix SD-WAN は、IPFIX用のIPv6アドレスをサポートしています。Citrix SD-WAN は、テンプレート615および616を使用して、IPv6 IPFIXフローデータをエクスポートします。アプリケーションフロー情報(IPFIX) を選択して、テンプレート 615 に従ってデータセットをエクスポートできます。フローデータのエクスポートで問題が発生した場合は、 テンプレート616に従ってデータをエクスポートする基本プロパティ(IPFIX) を選択します。
[NSSDW-29153]
DNS プロキシおよび DNS トランスペアレントフォワーダの IPv6 サポート
Citrix SD-WAN は、 **DNSプロキシおよびDNS透過転送を構成するためのIPv6アドレスをサポートしています**。DNS プロキシまたは DNS 透過転送を定義するには、次の IPv6 DNS サービスタイプを使用します。
- StaticV6: 静的 IPv6 DNS サーバーの IP アドレスを設定できます。内部、ISP、グーグル、またはその他のオープンソースのDNSサービスを作成できます。StaticV6 DNS サービスは、グローバルレベルおよびサイトレベルで構成できます。
- dynamicV6: ダイナミック IPv6 DNS サーバーの IP アドレスを設定できます。DynamicV6 DNS サービスは、サイトレベルでのみ構成できます。サイトごとに許可される DynamicV6 サービスは 1 つだけです。
[NSSDW-29151]
Equal Cost Multi-Path(ECMP; 等価コストマルチパス)グループを使用すると、同じコスト、宛先、サービスタイプを持つ複数のルートをグループ化できます。ECMP 負荷分散により、次のことが保証されます
- 複数の等価コスト接続でのトラフィックの分散。
- 利用可能な帯域幅の最適な使用。
- ルートが到達不能になった場合、他の ECMP メンバルートへのトラフィックのダイナミック転送。
- ECMP は、IPsec/GRE トンネルでスタティックルートをサポートします。
- ECMP グループは、仮想パスおよびイントラネットサービス経由で形成できます。
[NSSDW-1238]
プラットフォームとシステム
Citrix Hypervisor 8.2
Citrix SD-WAN は、11.4.0以降のCitrix Hypervisor 8.2でサポートされています。
[NSSDW-32037]
Citrix SD-WAN 11.4.0では、[Office 365を許可する ] カテゴリと [ 最適化 ] カテゴリをより細かく分類し、ネットワークに依存するOffice 365トラフィックのパフォーマンスを改善するための選択的なブッキングを可能にします。ネットワークに依存するトラフィックを、クラウドの SD-WAN (クラウドダイレクトまたは Azure 上の SD-WAN VPX)、または自宅の SD-WAN デバイスから近くの場所にある SD-WAN に、より信頼性の高いインターネット接続で転送することで、QoS と優れた接続復元性を実現します。トラフィックを最寄りのトラフィックにステアリングするだけの場合と比べて、QoS と優れた接続復元性を実現します。Office 365 フロントドア、レイテンシーの増加を犠牲に。QoS を備えた予約済み SD-WAN ソリューションは、VoIP ドロップアウトと切断を減らし、ジッタを減らし、Microsoft Teams のメディア品質平均オピニオンスコアを向上させます。
最適化カテゴリは 、次のサブカテゴリに分類されます。
- Teamsリアルタイム
- Exchange Online
- SharePoint最適化
[ 許可 ] カテゴリは、次のサブカテゴリに分類されます。
- Teams TCP フォールバック
- メールを交換する
- SharePoint 許可
- Office365 共通
[NSSDW-27324]
高可用性と高スループットを備えた SD-WAN SE の Google Cloud Platform サポート
Google Cloud Platform(GCP)で SD-WAN SE インスタンスを高可用性に設定できるようになりました。GCP 上の SD-WAN インスタンスは、1 Gbps のより高いスループットもサポートします。
[NSSDW-17179]
有線 802.1X は、LAN リソースにアクセスする前にクライアントの認証を要求する認証メカニズムです。Citrix SD-WAN Orchestrator サービスは、LAN インターフェイスでの有線 802.1X 認証の構成をサポートします。
Citrix SD-WAN ネットワークでは、クライアントは認証要求をCitrix SD-WAN アプライアンスに送信し、LANリソースにアクセスします。Citrix SD-WAN アプライアンスはオーセンティケータとして機能し、認証要求を認証サーバーに送信します。Citrix SD-WAN Orchestrator サービスは、認証サーバーとして構成される RADIUS サーバーのみをサポートします。
[NSSDW-1921]
解決された問題
リリース 11.4.0a で対処された問題。
構成と管理
いくつかのネットワークオブジェクトを追加した後、設定の監査とエクスポートが失敗しました。問題は修正されました。
[SDWANHELP-2041]
許可されたメモリリソースに制限があるため、Citrix SD-WANアプライアンスからCitrix SD-WAN Centerへの大規模なネットワーク構成のインポートに失敗しました。問題は修正されました。
[SDWANHELP-2034]
Citrix SD-WANの電子メール通知により、 認証コマンドに余分な’CR ‘文字が追加され、SMTPセッションが終了します。
[SDWANHELP-2028]
大規模ネットワークのデータベースアーカイブ中、MCN アプライアンス上の統計レコードが数分間、統計データベーステーブルに挿入されませんでした。
[SDWANHELP-1872]
インターフェイスの変更中、VRRP は古いインターフェイスデータを使用することがあり、その結果、コアダンプが発生する可能性があります。
[SDWANHELP-1867]
ファイアウォール仮想マシンがシャットダウン状態の場合、ローカル GUI でホストされたファイアウォール設定が読み込まれません。
[SDWANHELP-1839]
仮想 IP アドレスの構成中に、 バックアップ管理ネットワークを[なし] として選択することはできません。
[SDWANHELP-1824]
[ パブリック IPv4 アドレス ] フィールドが、構成エディターの [ 基本 ] セクションの下にグレー表示されました。
[SDWANHELP-1780]
ブランチオフィスの WAN リンクでパブリック IP アドレスの学習が有効になっている間、RCN は新しいパブリック IP アドレスを学習せず、次の場合にデッドパスになる可能性があります。
- ブランチとRCNの間に設定バージョンの不一致があります
- ブランチWANリンクのパブリック IP アドレスが変更されました
[SDWANHELP-1580]
アプライアンス管理ポートが DHCPv4 で構成されている場合、静的 IPv4 アドレスへの切り替えは失敗します。
[NSSDW-35630]
アプライアンスに DHCP IPv4 アドレスと DHCP IPv6 アドレスの両方が設定されていて、ネットワークに DHCP IPv6 サーバのみが設定されている場合、アプライアンスは DHCP IPv4 アドレスを待機し続けるため、IPv6 アドレスも割り当てられません。
[NSSDW-33741]
リージョナルコントロールノード(RCN)ネットワーク用に作成された自動生成されたサマリールートには、65534 ではなく 30,000 のコストが割り当てられます。
[NSSDW-32629]
Citrix SD-WAN Centerからプッシュしたときに、アプライアンス設定がCitrix SD-WAN に適用されない。
[NSSDW-32257]
レガシーUIから外部モデムの有効化と無効化が機能しない。
[NSSDW-32221]
構成中に監査エラーが発生すると、すべての WAN リンクに同じ IP タイプのアクセスインターフェイスが設定されていない限り、ユーザーはサイト上でインターネットサービスを構成できなくなります。
[NSSDW-32185]
DHCP クライアントとして設定された WAN リンクは、仮想パスの障害につながります。この問題は、WAN リンクの名前が変更され、変更管理の影響を受けた場合に発生します。
[NSSDW-32110]
ライセンス
Citrix SD-WAN 110および210プラットフォームでは、管理ポートがデータポートとして構成されている場合、 新しいバージョンへのアップグレード後にホストIDが変更されることがあります 。この問題が発生した場合、SD-WAN アプライアンスは猶予ライセンスを使用します。
[SDWANHELP-186]
その他
複数の HA インターフェイスを使用してサイトのクローンを作成する場合、2 番目の HA インターフェイスの IP アドレスはクローンされません。
[SDWANHELP-2005]
Citrix SD-WAN CenterのGUIログが過剰なディスク容量を消費するため、アップグレードとSTS障害が発生します。
[SDWANHELP-1960]
フルスクリーンモードでブラウザーで Citrix SD-WAN Center 11.3.0 ログインページを表示すると、Citrix ロゴと製品名が正しく表示されません。
[SDWANHELP-1910]
ネットワーク管理者ロールには、ネットワーク管理者ロールの定義に従って許可されてはならないセキュリティ管理者ロール固有のアクティビティを実行するアクセス権があります。
[SDWANHELP-1906]
Citrix SD-WAN Centerでの大規模なネットワーク構成(構成ファイルサイズが16MBを超えている場合)**のインポートとエクスポートが失敗しました** 。
[SDWANHELP-1787]
Citrix SD-WAN センターの電子メール通知では、認証コマンドに余分なCR文字が追加され 、SMTPセッションが終了します。
[SDWANHELP-1736]
Qualysセキュリティスキャナーツールにより、Citrix SD-WAN アプライアンスのサービスの1つが大量のメモリを消費し、アプライアンスの応答不能と再起動につながりました。問題は修正されました。
[SDWANHELP-1530]
Edge Securityのウイルス対策およびマルウェア対策コンポーネントの内部ライセンスの有効期限が切れると、Citrix SD-WAN はウイルスとマルウェアの検出を停止します。
[NSSDW-35596]
再認証を実行すると、Wi-Fi クライアントレポートにアップロードおよびダウンロードデータの負の値が表示されます。
[NSSDW-31903]
11.2.1 または 11.2.2 ソフトウェアに付属する SD-WAN アプライアンスをオンプレミスの Citrix SD-WAN Orchestrator で管理するには、SD-WAN アプライアンスソフトウェアを 11.3.0 バージョンにアップグレードする必要があります。
[NSSDW-31612]
ネットワーク
Citrix SD-WAN 11.3.1にアップグレードした後、最大伝送ユニット(MTU)サイズが1492バイトに設定されていると、MSS(最大セグメントサイズ)クランプがPPPoEで失敗します。
[SDWANHELP-2048]
帯域内管理が有効で、データプレーンを介して RADIUS サーバにアクセスできる場合、Wi-Fi WPA2-エンタープライズ認証が失敗します。
[SDWANHELP-2032]
アプリケーションルーティング、QoS、または DNS 機能のアプリケーション ID 関連エントリは、FPC(FPC)ハッシュテーブルに定期的に追加されます。エージドアウトエントリがテーブルから削除されると、場合によっては、Citrix SD-WAN アプライアンスがクラッシュする可能性があります。
[SDWANHELP-1980]
LAN 側またはローカルサービスで受信したパケットが LAN GRE 経由で送信されると、SD-WAN サービスがクラッシュします。
[SDWANHELP-1846]
パス MTU 検出の場合、パス MTU プローブイベントは、タイマーキックオフ中に処理のためにキューに入れられます。セグメンテーションの失敗は、実際の実行を試みたときにプローブイベントが有効でない場合に発生します。
[SDWANHELP-1754]
デフォルト以外のルーティングドメイン内のインターネットサービスルートおよびパスの適格性が設定されている場合、パスがダウンし、所定のルーティングドメインが設定されていないリモートサイトでは、インターネットルートは到達不能としてマークされません。
[SDWANHELP-1400]
サマリールートを含むCitrix SD-WAN 構成がロードされると、アプライアンスが継続的にリロードされることがあります。
[NSSDW-34670]
アプライアンスにサマリールートとして設定されたスタティックルートがあり、動的に学習された別の同じプレフィックスルートがある場合、サマリールートはルートを集計していません。
[NSSDW-34355]
インポートフィルタを追加して、以前にインポートした OSPF/BGP ルートを削除するとサービスクラッシュが発生する可能性があります。
[NSSDW-34207]
SLAAC がルータから IP とゲートウェイアドレスを学習すると、現在のアドレスが期限切れになるまで、ゲートウェイが変更されたり、ネットワークセグメントが変更されたりしても、SD-WAN アプライアンスの再起動後であっても、SLAAC は IP を再学習しません。これにより、ポートの移動時にアドレスの取得が遅れる可能性があります。
[NSSDW-33807]
SLAAC がルータから IP アドレスとゲートウェイアドレスを学習すると、ゲートウェイが変更されても(現在のアドレスが期限切れになるまで)、SLAAC はゲートウェイを再学習しません。
例:
- ブランチアプライアンスは、ゲートウェイ 1 から IP とゲートウェイを学習します。
- ネットワーク管理者は、ゲートウェイ 1 を新しいゲートウェイ 2 に置き換えることにします。管理者は、ゲートウェイ 2 を Gateway-1 と同じ設定し、ルータアドバタイズメントから Gateway-1 が送信したのと同じプレフィクス情報を送信します。ただし、ゲートウェイ 2 の送信元アドレスはゲートウェイ 1 とは異なります。
- ブランチアプライアンスは、ゲートウェイ 2 の IP を自動的に学習しません。(現在のアドレスがタイムアウトしない限り)
[NSSDW-33802]
構成を更新すると、プレフィクス委任 LAN 仮想ネットワークインターフェイスでホストされている DHCP サーバーが起動しない場合があります。プレフィックス委任は、Citrix SD-WAN 11.3.1リリースではサポートされていません。
[NSSDW-33664]
プロキシ NDP を使用してインターネットまたはイントラネットサービスでスタティック NAT を有効にすると、ネットワーク内の他のホストが所有および使用するアドレスに対して SD-WAN が NDP に応答することがあります。
[NSSDW-33653]
アンダーレイサイトの診断帯域幅テストは、Citrix SD-WAN 11.3.1リリースではサポートされていません。
[NSSDW-33597]
IPv6 アクセスインターフェイスを備える WAN リンクでインターネットサービスを有効にすると、構成の更新後にサービスが中断されることがあります。
[NSSDW-32212]
Wi-Fi機能は、Citrix SD-WAN 11.3リリースでは、高可用性(HA)をサポートしていません。
[NSSDW-32197]
インターネット負荷分散が有効になっているインターネットサービスで IPv4 と IPv6 の両方で使用すると、ダイナミック NAT が正しく機能しないか、または構成の更新中にサービスが中断されることがあります。
[NSSDW-32139]
LTE インターフェイスの DHCPv4 および DHCPv6 モードでは、設定の更新後に SD-WAN デバイスの IP アドレスが失われることがあります。
[NSSDW-31998]
プラットフォームとシステム
Citrix SD-WAN 4000アプライアンスを11.3.0、11.3.1、または11.4.0にアップグレードすると、競合状態が原因でSD-WANサービスが失敗することがあります。
[SDWANHELP-2016]
フィルタポリシールールの検証は、設定の更新中に実行され、新しく作成されたルールと変更されたルールを区別します。「match_type」の比較チェックがないため、インターネットへの接続の大部分は「O_DENIED」 としてファイアウォールによってブロックされています。回避策は、デフォルトのルールを「拒否」から「ドロップ」に変更することです。
[SDWANHELP-2078]
HDXレポートが有効で、Citrix SD-WANアプライアンスを介してHDXトラフィックが実行されている場合、Citrix SD-WAN アプライアンスがコアダンプを監視することがあります。
[SDWANHELP-1957]
CLI を使用してファイアウォール NAT 情報をダンプすると、アプライアンスがクラッシュします。
[SDWANHELP-1901]
トランスペアレントな DSN 転送が有効の場合、大きな DNS 応答パケットの処理によって、適切な境界条件チェックが行われないために、スタックオーバーフローが発生する可能性があります。使用例の 1 つは、Office 365 の既定のカテゴリの分類を有効にするために、クラウドサービスが DNS から IP を学習する必要がある場合です。
[SDWANHELP-1891]
ファイアウォールルールは、信頼できないインターフェイスで受信した ICMP ping 要求を許可しますが、ping 応答をドロップするため、SD-WAN サービスがクラッシュします。
[SDWANHELP-1865]
Citrix SD-WAN デバイスを11.2.2バージョンにアップグレードすると、SD-WANデバイスから送信されたVRRPアドバタイズメントパケットサイズが正しくないため、 複数のVRRPデバイスがマスターとして機能します 。
[SDWANHELP-1804]
ダイナミック仮想パス(DVP)の作成中に、プロトコルメッセージが予期しない IP タイプオブサービス(TOS)値で到着すると、コアダンプが発生する可能性があります。
[SDWANHELP-1783]
同じサブネットに 2 つの仮想 IP アドレス(1 つのプライベート、もう 1 つは非プライベート)が作成されると、同じサブネットに対して 2 つのルートが作成され、サブネットがリモートサイトにアドバタイズされないという問題が発生します。
[SDWANHELP-1739]
GRE トンネルの到達可能性が UP から Down に変更された場合、GRE トンネル適格である GRE トンネルルートは、到達可能性ステータスの変更によって更新されません。
[SDWANHELP-1623]
コマンドラインインターフェイス(CLI)を使用して開始された SSH セッションでは、ハードコードされたアイドルタイムアウト値は 120 分でした。タイムアウト期間の長い時間は、SSH セッションがタイムアウトしていないかのように見えます。この問題は、SSH タイムアウト値(5 ~ 9999 分)を設定するための新しい設定を GUI に追加して修正されています。
[SDWANHELP-162]
Azure HA 展開では、セカンダリアクセスインターフェイスが WAN リンク上に構成されている場合、SD-WAN パスは起動しません。
[SDWANHELP-1578]
パケットデータプロトコル(PDP)が IPv4 および(または)IPv6 で有効になっている場合、一部のキャリアは IPv6 データセッションだけを許可します。
[SDWANHELP-177]
既知の問題
リリース 11.4.0a に存在する問題。
構成と管理
規則の設定に使用されたアプリケーションが非推奨の場合、アップグレード後に GUI は異なるアプリケーションで同じ規則を表示します。
[NSSDW-34618]
帯域外管理インターフェイスが接続されている場合は、アプライアンスUIからのみDNS設定を更新できます。
帯域内管理が構成されている場合、アプライアンスUIを使用して更新されたDNS設定は有効になりません。DNS 設定は、Citrix SD-WAN Orchestrator サービスの UI からのみ更新できます。
[NSSDW-33932]
新しくプロビジョニングされた仮想マシンを最初にダウングレードしてから、仮想マシンがプロビジョニングされたバージョンにアップグレードすると、VPXブランチはシングルサイトモードになります。
回避策:
影響を受けるブランチでローカル変更管理を実行します。
[NSSDW-29513]
その他
Citrix SD-WAN Centerで新しいローカルユーザーを追加すると、黄色のバナーが表示され、 **ファイアウォールアクセスが有効から無効に変更されたことを示すメッセージが表示されます**。
[SDWANHELP-1737]
WPA3 失敗した認証は、サイトレベルのアラートでは報告されません。
[NSSDW-32053]
ネットワーク
SD-WAN サイトでのルートテーブルの頻繁な変更と、設定の更新またはダイナミックルートの削除により、リモートサイトでルート同期の問題が発生する可能性があります。
[SDWANHELP-2043]
ファイアウォールのダイナミック NAT ポリシーまたはポートフォワーディングルールに対して設定を変更すると、コアダンプが発生する可能性があります。
[NSSDW-34603]
プラットフォームとシステム
次のプラットフォームでは、HDXレポートが有効になっているときに、接続をHDXに分類して統計レポートを開始した後に解析エラーが発生すると、新しいHDX接続があるときにアプライアンスがクラッシュします。
- Citrix SD-WAN 2100
- Citrix SD-WAN 4100
- Citrix SD-WAN 5100
- Citrix SD-WAN 6100
[SDWANHELP-182]