Citrix SD-WAN

Citrix SD-WAN 11.4.0a 版本的发行说明

本发行说明文档介绍了 Citrix SD-WAN 11.4.0a 版本中存在的增强功能和更改、已修复和已知问题。

注意

  • 有关安全相关建议的列表,请参阅 Citrix 安全公告。
  • Citrix SD-WAN 11.4.0a 版本解决了 https://support.citrix.com/article/CTX319135 中描述的安全漏洞,并取代了 11.4.0 版。除了 11.4.0 版中提供的增强功能和错误修复之外,11.4.0a 版还包含以下错误修复程序-SDWANHELP-2106、SDWANHELP-2078、SDWANHELP-2066、NSSDW-35630、NSSDW-35596 和 NSSDW-34670。
  • Citrix SD-WAN 11.4.0 版本是最后一个完全支持 Citrix SD-WAN 中心和 SD-WAN 配置编辑器的主线版本。Citrix SD-WAN Center 和 SD-WAN 配置编辑器均已过时。请注意,弃用是产品/功能被逐步淘汰的先行通知,但现已推出并得到全面支持。在下一个 Citrix SD-WAN 版本系列中,Citrix SD-WAN 中心和 SD-WAN 配置编辑器将被删除且不支持。Citrix 建议您将 Citrix SD-WAN Orchestrator 用于满足所有配置要求。Citrix SD-WAN Orchestrator 支持当前通过 Citrix SD-WAN 中心和 SD-WAN 配置编辑器完成的所有配置。有关更多详细信息,请参阅 Citrix SD-WAN Orchestrator 服务适用于本地的 SD-WAN Orchestrator

新增功能

11.4.0a 版中提供的增强功能和更改。

配置和管理

备用配置中 WAN 端口的静态 IP 地址的 NITRO Rest API

从 Citrix SD-WAN 11.4.0 版本开始,您可以使用 NITRO REST API 在备用配置中为 WAN 端口配置静态 IP 地址。在现有的回退配置 API 中添加了新参数。

[NSSDW-33255]

Citrix SD-WAN 新的 UI 增强功能

Citrix SD-WAN 新用户界面包括以下增强功能:

  • 根据 Citrix 品牌重塑,Citrix SD-WAN 新用户界面的外观和外观已更改,以反映新的颜色和字体。

  • 默认情况下,在配置为客户端的所有 Citrix SD-WAN 设备上启用新 UI。

    注意:

    将 Citrix SD-WAN 设备置备为 MCN 会将您重定向到旧版 UI。

  • 您可以查看 LACP LAG 界面的详细信息。

  • DNS 代理统计信息监控

  • SLAAC WAN 链路监控

[NSSDW-30842、NSSDW-28818、NSSDW-32030]

SNMP

添加了以下 SNMP MIB:

  • 家电统计
    • 设备使用 CPU 的百分比
    • 设备使用的 RAM 的百分比
  • WAN 链接统计表
    • WAN 链路的最大局域网到 WAN 物理速率(以 Kbps 为单位)
    • WAN 链路的最大 WAN 到 LAN 物理速率(以 Kbps 为单位)
    • WAN 链接的局域网到 WAN 允许的费率(以 Kbps 为单位)
    • WAN 链接的 WAN 到局域网允许的费率(以 Kbps 为单位)

[NSSDW-30592]

带内管理

带内管理支持高可用性设备对。高可用性对中的设备使用带内访问相互通信。

[NSSDW-24534]

IPv6 互联网和内联网服务的静态 NAT 策略

将运行 Citrix SD-WAN 11.3.1 版的设备升级到版本 11.4.0 时,必须手动更新 IPv6 互联网/内部网服务的现有静态NAT 策略。

[NSSDW-33726]

其他

边缘安全组件的补丁升级支持

Citrix SD-WAN 高级版 (AE) 支持修补程序升级机制,该机制允许升级边缘安全子系统。

如果从启用了边缘安全的现有版本升级到更高版本(包括更新版本的边缘安全组件),则只有子系统更新的奇偶校验才会下载和升级。

[NSSDW-26721]

SD-WAN Center 控制板

在 Citrix SD-WAN Center 仪表板上,配置多达 300 个站点时,多区域摘要仪表板可见。

[NSSDW-21753]

网络

班级

Citrix SD-WAN 仅显示那些在虚拟路径和动态虚拟路径上流动流量的类。如果显示一个类并显示 0 作为值,则表示之前流动的流量现在已停止。但是,如果根本不显示某个类,则表示该类从未有任何流量,因为虚拟路径服务状态已重置(例如,软件升级或重新启动)。

[NSSDW-33974]

IPv6 支持 IPFIX

Citrix SD-WAN 支持 IPFIX 的 IPv6 地址。Citrix SD-WAN 使用模板 615 和 616 导出 IPv6 IPFIX 流数据。您可以选择 应用程序流信息 (IPFIX) 以根据模板 615 导出数据集。如果导出流数据时出现问题,请选择 基本属性 (IPFIX) ,该属性根据模板 616 导出数据。

[NSSDW-29153]

IPv6 对 DNS 代理和 DNS 透明转发器的支持

Citrix SD-WAN 支持用于配置 DNS 代理和 DNS透明转发的 IPv6 地址。您可以使用以下 IPv6 DNS 服务类型定义 DNS 代理或 DNS 透明转发:

  • Staticv6:允许您配置静态 IPv6 DNS 服务器 IP 地址。可以创建内部、ISP、Google 或任何其他开源 DNS 服务。Staticv6 DNS 服务可以在全局和站点级别进行配置。
  • Dynamicv6:允许您配置动态 IPv6 DNS 服务器 IP 地址。DynamicV6 DNS 服务只能在站点级别进行配置。每个站点只允许使用一个 Dynamicv6 服务。

[NSSDW-29151]

ECMP 负载平衡

等价多路径 (ECMP) 组允许您对多条路由进行分组,使用相同的成本、目的地和服务类型。ECMP 负载均衡可确保:

  • 通过多个等价连接分配流量。
  • 最佳利用可用带宽。
  • 如果路由无法到达,则动态将流量传输到其他 ECMP 成员路由。
  • ECMP 支持 IPSEC/GRE 隧道上的静态路由。
  • ECMP 组可以通过虚拟路径和内联网服务组成。

[NSSDW-1238]

平台和系统

Citrix Hypervisor 8.2

从 11.4.0 版本开始,Citrix Hypervisor 8.2 支持 Citrix SD-WAN。

[NSSDW-32037]

Office 365 类别

Citrix SD-WAN 11.4.0 为 允许优化 Office 365 类别提供了更精细的分类,从而启用选择性启动以提高对网络敏感的 Office 365 流量的性能。将网络敏感流量定向到云中的 SD-WAN(Cloud Direct 或 Azure 上的 SD-WAN VPX),或者从家中 SD-WAN 设备到附近位置的具有更可靠Internet 连接的 SD-WAN,与简单地将流量引导至最近的位置相比,可实现 QoS 和卓越的连接恢复能力Office 365 前门,代价是延迟的增加。带 QoS 的书籍 SD-WAN 解决方案可减少 VoIP 丢失和断开连接、减少抖动并提高 Microsoft Teams 的媒体质量平均意见得分。

优化”类别分为以下子类别:

  • 团队实时
  • Exchange Online
  • SharePoint 优化

允许 类别分为以下子类别:

  • 团队 TCP 后备
  • 交换邮件
  • SharePoint 允许
  • Office365 常见

[NSSDW-27324]

Google Cloud Platform 支持具有 HA 和高吞吐量的 SD-WAN SE

您现在可以在 Google Cloud Platform (GCP) 上配置具有高可用性的 SD-WAN SE 实例。GCP 上的 SD-WAN 实例还支持 1 Gbps 的更高吞吐量。

[NSSDW-17179]

有线 802.1X 身份验证

有线 802.1X 是一种身份验证机制,它要求客户端在能够访问 LAN 资源之前进行身份验证。Citrix SD-WAN Orchestrator 服务支持在局域网接口上配置有线 802.1X 身份验证。

在 Citrix SD-WAN 网络中,客户端向 Citrix SD-WAN 设备发送身份验证请求以访问 LAN 资源。Citrix SD-WAN 设备充当身份验证器并将身份验证请求发送到身份验证服务器。Citrix SD-WAN Orchestrator 服务仅支持将 RADIUS 服务器配置为身份验证服务器。

[NSSDW-1921]

已修复的问题

11.4.0a 版中解决的问题。

配置和管理

添加一些网络对象后,配置审核和导出失败。该问题已修复。

[SDWANHELP-2041]

由于允许的内存资源受到限制,将大型网络配置从 Citrix SD-WAN 设备导入 Citrix SD-WAN Center 失败。该问题已修复。

[SDWANHELP-2034]

Citrix SD-WAN 的电子邮件通知在 AUTH 命令中添加了额外的 “CR” 字符,从而导致 SMTP 会话终止。

[SDWANHELP-2028]

在大型网络的数据库存档期间,MCN 设备上的统计记录在几分钟内没有插入到统计数据库表中。

[SDWANHELP-1872]

在接口更改期间,VRRP 可能仍会使用旧的接口数据,这可能会导致核心转储。

[SDWANHELP-1867]

当防火墙虚拟机处于关闭状态时,本地 GUI 上的托管防火墙配置不会加载。

[SDWANHELP-1839]

配置虚拟 IP 地址时,不能将 备份管理网络 选择为 “ ”。

[SDWANHELP-1824]

配置编辑器的 “ 基本 ” 部分下的 “ 公共 IPv4 地址 ” 字段显示为灰色。

[SDWANHELP-1780]

虽然在分支广域网链路上启用了公共 IP 地址学习,但在以下情况下,RCN 可能无法学习新的公有 IP 地址并导致死路:

  • 分支和 RCN 之间存在配置版本不匹配
  • 分支 WAN 链接的公有 IP 地址已更改

[SDWANHELP-1580]

当设备管理端口配置了 DHCPv4 时,切换到静态 IPv4 地址将失败。

[NSSDW-35630]

如果设备同时配置了 DHCP IPv4 和 DHCP IPv6 地址,但网络只配置了 DHCP IPv6 服务器,则设备会继续等待 DHCP IPv4 地址,因此不会同时分配 IPv6 地址。

[NSSDW-33741]

为区域控制节点 (RCN) 网络创建的自动生成的摘要路由的成本为 30,000,而不是 65534。

[NSSDW-32629]

从 Citrix SD-WAN 中心推送设备设置时,不会应用于 Citrix SD-WAN。

[NSSDW-32257]

在旧版 UI 中启用和禁用外部调制解调器不起作用。

[NSSDW-32221]

配置过程中的审计错误会阻止用户在站点上配置 Internet 服务,除非所有 WAN 链接都配置了相同 IP 类型的访问接口。

[NSSDW-32185]

配置为 DHCP 客户端的 WAN 链路会导致虚拟路径故障。当 WAN 链接的名称发生更改且更改管理受到影响时,就会出现此问题。

[NSSDW-32110]

许可证

在 Citrix SD-WAN 110 和 210 平台上,如果管理端口配置为数据端口,则升级到较新版本后 主机 ID 可能会更改。如果出现此问题,SD-WAN 设备将使用宽限许可证。

[SDWANHELP-1866]

其他

克隆具有多个 HA 接口的站点时,不会克隆第二个 HA 接口 IP 地址。

[SDWANHELP-2005]

Citrix SD-WAN Center GUI 日志占用过多的磁盘空间,导致升级和 STS 失败。

[SDWANHELP-1960]

当您以全屏模式在浏览器上查看 Citrix SD-WAN Center 11.3.0 登录页面时,Citrix 徽标和产品名称将无法正确显示。

[SDWANHELP-1910]

网络管理员角色有权执行特定于安全管理员角色的活动,根据网络管理员角色的定义,这些活动不得允许。

[SDWANHELP-1906]

Citrix SD-WAN Center 上导入和导 大型网络配置(当配置文件大小超过 16 MB 时)失败。

[SDWANHELP-1787]

Citrix SD-WAN Center 电子邮件通知在 AUTH 命令中添加了一个额外的 CR 字符,这会导致 SMTP 会话终止。

[SDWANHELP-1736]

Qualys 安全扫描程序工具导致 Citrix SD-WAN 设备的其中一项服务消耗较高的内存,导致设备无响应和重新启动。该问题已修复。

[SDWANHELP-1530]

当 Edge Security 防病毒和反恶意软件组件的内部许可证到期时,Citrix SD-WAN 将停止检测病毒和恶意软件。

[NSSDW-35596]

在执行重新身份验证时,Wi-Fi 客户端报告中的上传和下载数据将显示负值。

[NSSDW-31903]

要使 Citrix SD-WAN Orchestrator 本地管理随 11.2.1 或 11.2.2 软件提供的 SD-WAN 设备,必须将 SD-WAN 设备软件升级到 11.3.0 版本。

[NSSDW-31612]

网络

升级到 Citrix SD-WAN 11.3.1 后,当最大传输单元 (MTU) 大小设置为 1492 字节时,使用 PPPoE 进行 MSS(最大分段大小)夹紧失败。

[SDWANHELP-2048]

启用带内管理并且 RADIUS 服务器可通过数据平面访问时,Wi-Fi WPA2-企业身份验证将失败。

[SDWANHELP-2032]

应用程序路由、QoS 或 DNS 功能的应用程序标识相关条目会定期添加到第一个数据包分类器 (FPC) 哈希表中。当已过时的条目从表中移出时,在某些情况下,Citrix SD-WAN 设备可能会崩溃。

[SDWANHELP-1980]

当局域网端或通过本地服务收到的需要分段的数据包通过 LAN GRE 发送时,SD-WAN 服务崩溃。

[SDWANHELP-1846]

对于路径 MTU 发现,路径 MTU 探测事件会在计时器启动期间入队进行处理。如果尝试实际执行时探测事件无效,则会发生分段失败。

[SDWANHELP-1754]

对于非默认路由域中的 Internet 服务路由并配置了路径资格,当路径出现故障且未配置给定路由域的远程站点时,互联网路由不会被标记为无法访问。

[SDWANHELP-1400]

加载包含摘要路由的 Citrix SD-WAN 配置时,设备可能会持续重新加载。

[NSSDW-34670]

如果设备有配置为总结路由的静态路由,并且动态学习了另一个相同的前缀路由,则总结路由不会总结路由。

[NSSDW-34355]

添加导入过滤器以删除以前导入的 OSPF/BGP 路由可能会导致服务崩溃。

[NSSDW-34207]

一旦 SLAAC 从路由器获知 IP 和网关地址,除非当前地址过期,否则如果网关发生变化或我们更改网段,SLAAC 将不会重新获取 IP,即使在重新启动 SD-WAN 设备之后也是如此。移动端口时,这可能会延迟获取地址。

[NSSDW-33807]

一旦 SLAAC 从路由器获悉 IP 和网关地址,如果网关发生变化(除非当前地址过期),SLAAC 将不会重新获取网关。

示例:

  • 分支设备从网关-1 学习其 IP 和网关。
  • 网络管理员决定用新的网关-2 替换网关-1。管理员配置网关-2 与网关-1 相同,以便路由器通告发送的前缀信息与网关-1 发送的前缀信息相同。但是,网关-2 的源地址与网关-1 不同。
  • 分支设备不会自动学习网关-2 的 IP。(除非和直到当前地址超时)

[NSSDW-33802]

配置更新可能会导致无法启动托管在前缀委派 LAN 虚拟网络接口上的 DHCP 服务器。Citrix SD-WAN 11.3.1 版本不支持前缀委派。

[NSSDW-33664]

在具有代理 NDP 的 Internet 或 Intranet 服务上启用静态 NAT 可能会导致 SD-WAN 响应网络中其他主机拥有和使用的地址的 NDP。

[NSSDW-33653]

Citrix SD-WAN 11.3.1 版本不支持底层站点诊断带宽测试。

[NSSDW-33597]

在具有 IPv6 访问接口的 WAN 链接上启用 Internet 服务时,配置更新后可能会发生服务中断。

[NSSDW-32212]

Citrix SD-WAN 11.3 版本中的 Wi-Fi 功能不支持高可用性 (HA)。

[NSSDW-32197]

如果在启用了互联网负载平衡的 Internet 服务上同时使用 IPv4 和 IPv6,动态 NAT 可能无法正常工作或在配置更新期间导致服务中断。

[NSSDW-32139]

LTE 接口上的 DHCPv4 和 DHCPv6 模式可能会导致 SD-WAN 设备在配置更新后丢失 IP 地址。

[NSSDW-31998]

平台和系统

当 Citrix SD-WAN 4000 设备升级到 11.3.0、11.3.1 或 11.4.0 时,SD-WAN 服务可能会由于竞争条件而失败。

[SDWANHELP-2106]

在配置更新期间执行筛选器策略规则验证,以区分新创建的规则与已修改的规则。由于缺少 “match_type” 的比较检查,大多数与互联网的连接都被防火墙屏蔽为 “O_DENIED” 。解决方法是将默认规则从 “拒绝” 更改为 “丢弃”。

[SDWANHELP-2078]

启用 HDX 报告并且存在通过 Citrix SD-WAN 设备运行的 HDX 流量时,Citrix SD-WAN 设备偶尔可能会观察核心转储。

[SDWANHELP-1957]

使用 CLI 转储防火墙 NAT 信息时,设备崩溃。

[SDWANHELP-1901]

启用透明 DSN 转发后,处理大型 DNS 响应数据包可能会因为没有适当的边界条件检查而导致堆栈溢出。一个使用案例是云服务可能需要从 DNS 学习 IP 才能启用 Office 365 默认类别的分类。

[SDWANHELP-1891]

防火墙规则允许在不受信任的接口上接收 ICMP ping 请求,但会丢弃 ping 响应,因此 SD-WAN 服务崩溃。

[SDWANHELP-1865]

将 Citrix SD-WAN 设备升级到 11.2.2 版本后,由于 SD-WAN 设备发送的 VRRP 通告数据包大小错误,多个 VRRP 设备充当 设备。

[SDWANHELP-1804]

在创建动态虚拟路径 (DVP) 期间,如果协议消息带有意外的 IP 类型服务 (TOS) 值到达,则可能会导致核心转储。

[SDWANHELP-1783]

当在同一子网中创建两个虚拟 IP 地址(一个私有,另一个非私有)时,会出现问题:为同一子网创建了两条路由,而子网未通告到远程站点。

[SDWANHELP-1739]

当 GRE 隧道可达性从向上变为向下时,符合 GRE 隧道条件的 GRE 隧道路由不会随可达性状态的变化进行更新。

[SDWANHELP-1623]

使用命令行界面 (CLI) 启动的 SSH 会话的硬编码空闲超时值为 120 分钟。超时期的较长时间似乎 SSH 会话没有超时。通过在 GUI 中添加新配置来配置 SSH 超时值(5—9999 分钟),该问题已得到修复。

[SDWANHELP-1622]

在 Azure HA 部署中,在 WAN 链接上配置辅助访问接口时,SD-WAN 路径不会出现。

[SDWANHELP-1578]

如果为 IPv4 和(或)IPv6 启用了数据包数据协议 (PDP),某些运营商只允许 IPv6 数据会话。

[SDWANHELP-1777]

已知问题

11.4.0a 版中存在的问题。

配置和管理

如果用于配置规则的应用程序已弃用,则升级后,GUI 将在不同的应用程序下显示相同的规则。

[NSSDW-34618]

如果连接了带外管理接口,则只能从设备 UI 更新 DNS 设置。

如果配置了带内管理,则使用设备 UI 更新的 DNS 设置不会生效。您只能从 Citrix SD-WAN Orchestrator 服务 UI 更新 DNS 设置。

[NSSDW-33932]

VPX 分支将进入单站点模式,如果新置备的虚拟机首先降级,然后再升级回配置虚拟机的版本。

解决方法:

在受影响的分支上执行本地变更管理。

[NSSDW-29513]

其他

当您在 Citrix SD-WAN Center 中添加新本地用户时,将显示黄色横幅,其中包含一条消息,提示防火墙访问 已从 “启 用” 更改为 “已 用”。

[SDWANHELP-1737]

站点级警报下不会报告 WPA3 失败的身份验证。

[NSSDW-32053]

网络

在 SD-WAN 站点中频繁更改路由表以及配置更新或动态路由清除可能会导致远程站点中的路由同步问题。

[SDWANHELP-2043]

对防火墙动态 NAT 策略或端口转发规则进行的配置更改可能会导致核心转储。

[NSSDW-34603]

平台和系统

在以下平台上,如果启用 HDX 报告,如果将连接归类为 HDX 并开始报告统计信息后出现解析错误,则在有新的 HDX 连接时,设备崩溃:

  • Citrix SD-WAN 2100
  • Citrix SD-WAN 4100
  • Citrix SD-WAN 5100
  • Citrix SD-WAN 6100

[SDWANHELP-1882]

Citrix SD-WAN 11.4.0a 版本的发行说明