更新日期:2021 年 10 月 25 日

VMware SD-WAN™ Edge 版本 R440-20210701-GA-61583

请定期检查以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

建议的用途

对于需要使用最初在 4.4.0 版本中提供的特性和功能的所有客户,建议使用该版本。

兼容性

要使用 VMware SASE,需要在所有组件上安装版本 4.4.0 或更高版本。


注意:版本 4.4.0 只能在新部署中使用。如果客户的现有网络部署使用的是版本 4.3.x 或更低版本,则无法升级到此版本。

重要说明

VMware SASE™

从版本 4.4.0 开始,VMware 提供了一个全面的云交付安全访问服务 Edge(“SASE”)平台,该平台汇集了 VMware 的多款行业领先解决方案。作为此次转型的一部分,我们要将版本命名从 VMware SD-WAN 版本更改为 VMware SASE 版本,以反映我们的解决方案提供的更广泛 SASE 服务集。

VMware Secure Access Service Edge (SASE) 是一个云托管解决方案,它通过实施安全功能,让任何设备上和任何位置的任何用户能够以可靠、高效、最佳的方式访问任何云应用程序。作为一种可扩展解决方案,VMware SASE 使用 VMware SASE PoP(接入点)的全局网络提供网络和安全服务。VMware SASE 使用单一管理窗格来配置、管理和监控这些服务。该解决方案可提供对最终用户和 IoT 设备运维体验的可操作见解。

该解决方案可作为受管服务或 DIY 提供,从而利用云服务节点的全局网络。    

VMware SASE 包含四款解决方案: 

  • VMware SD-WAN™ 是业界领先的软件定义的 WAN,可提供高性能、可靠的分支访问,从而轻松地跨云或混合环境实施部署和管理。

  • VMware Cloud Web Security™ 是一种云托管服务,可保护访问 SaaS 和 Internet 应用程序的用户和基础架构免受各种威胁侵扰,同时提供可见性和控制,并确保合规性。 

  • VMware Secure Access™ 是一款基于零信任网络访问 (ZTNA) 框架的远程访问解决方案。与传统 VPN 解决方案相比,该云托管解决方案具有多种优势,可使用户获得一致且安全的最佳云应用程序访问。 

  • VMware Edge Network Intelligence™ 是一款与供应商无关的 AIOps 解决方案,它侧重于企业 Edge,可确保在来自这些设备的流量通过无线和有线 LAN、SD-WAN 和 SASE 时,提供最终用户和物联网客户端运维保证。

有关推出版本的说明

  • VMware SASE 接入点 (PoP) 将随版本 4.4.0 一起部署。有关最近的 PoP 的任何问题,请联系您的 VMware 销售代表。 
  • 计划迁移现有 SD-WAN 客户以利用 VMware SASE 服务的合作伙伴应联系其 VMware 销售代表。

用于 AS-PATH 附加的 BGPv4 筛选器配置的分隔符更改

在版本 3.x 中,用于 AS-PATH 附加的 VMware SD-WAN BGPv4 筛选器配置支持基于逗号和空格的分隔符。但是,从版本 4.0.0 开始,VMware SD-WAN 将在 AS-Path 附加配置中仅支持基于空格的分隔符。
如果客户之前只使用过版本 3.x,则在使用版本 4.4.0 部署网络时,需要确保其 AS-PATH 附加配置仅使用空格作为分隔符,以避免选择错误的 BGP 最佳路由。

新增功能

VMware Cloud Web Security

VMware Cloud Web Security 是一种云托管服务,可保护访问 SaaS 和 Internet 应用程序的用户和基础架构免受不断变化的内部和外部威胁形势侵扰,同时提供可见性和控制,并确保合规性。 

Cloud Web Security 通过全球 VMware SASE 接入点 (PoP) 网络提供,可确保位于任意位置并通过任何设备进行连接的用户获得对应用程序的一致且安全的最佳访问。Cloud Web Security 可简化安全服务的管理,并帮助 IT 团队在权衡用户工作效率的同时加强安全态势。   

凭借具备的以下优势,Cloud Web Security 为 IT 团队提供了保持强大安全态势所需的可见性和控制,同时满足合规性要求:   

  • 敏捷安全态势。作为一种云托管服务,可即刻为所有利用云原生特性的客户阻止 Cloud Web Security 在任意位置检测到的任何威胁。  
  • 随时随地为办公人员提供安全的无缝访问。利用全球 VMware SASE PoP 网络,Cloud Web Security 可为用户提供对 Internet 和 SaaS 应用程序的安全和最佳访问。  
  • 简化操作。Cloud Web Security 采用一个集中式管理窗格,使用 VMware SD-WAN Orchestrator 管理网络服务和安全服务,从而简化分布式工作场所的部署和运营工作。  
  • 降低运营成本。Cloud Web Security 通过管理内部部署的物理或虚拟设备的生命周期和刷新周期来节省成本。  

4.4.0 版本中提供的功能

借助 VMware Cloud Web Security,IT 管理员可以通过 URL 筛选和内容筛选来减少攻击面。URL 筛选有助于控制员工可以访问的网站。内容筛选有助于限制用户可以访问的内容类型。可使用最新的威胁情报,检查内容是否受到来自已知病毒的恶意软件攻击。该解决方案提供沙箱支持,可在一个封闭环境中检查内容,从而抵御零日恶意软件。Cloud Web Security 支持具备解密功能的 SSL 代理,可检查当今使用 SSL 加密的绝大多数 Web 应用程序。该解决方案还通过安全仪表板和 Web 日志提供丰富的流量和威胁可视化。

VMware Cloud Web Security 将提供以下 2 个版本供客户使用:  

1.标准版 
2.高级版 

版本 4.4.0 将随 Cloud Web Security 标准版软件包一起发布。此外,我们将在版本发布时激活“高级沙箱”功能。虽然“高级沙箱”功能是 Cloud Web Security 高级版软件包中提供的功能,但在发布 Cloud Web Security 高级版之前,客户将能够在有限的时间内预览这些功能。  

以下是标准版和高级版中将提供的 Cloud Web Security 功能的摘要。高亮显示的单元格是将在版本 4.4.0 公开发布时提供的功能。 

版本

标准

高级

URL 筛选

             X            

X

SSL 检查

             X            

X

内容筛选

             X            

X

文件哈希检查

             X            

X

防病毒

             X            

X

身份验证

             X            

X

基本沙箱

             X            

X

高级沙箱*

             X            

X

SIEM 日志记录**

             X            

X

内嵌 CASB

可见性

可见性和控制

内嵌 DLP

 

X

Microsoft MCAS 集成

X

X

* Cloud Web Security 高级版软件包中提供的功能,可供初始预览。 

**“SIEM 日志记录”最初列为可用功能,但是实施 SIEM 日志记录所需的 API 仍在开发中,因此,在版本 4.4.0 中,此功能实际上不可用。所需的 SIEM 日志记录 API 实施将在未来版本中提供。

“基本沙箱”和“高级沙箱”在可检查的内容类型方面有所不同。  下表列出了“基本沙箱”和“高级沙箱”功能之间的差异: 

 

 

基本沙箱

高级沙箱

文档类型

工程应用程序

 

X

生产力应用程序

 

X

文字处理器

 

X

电子表格

 

X

演示文稿工具

 

X

文件类型

脚本和可执行文件

X

X

存档和压缩包

X

X

多媒体

 

X

日历

 

X

VMware Secure Access

VMware Secure Access 解决方案通过遍布全球的托管服务节点网络,为远程和移动用户提供一致且安全的最佳云应用程序访问。与传统 VPN 解决方案相比,这种基于零信任网络访问 (ZTNA) 架构的解决方案具有多种优势:

  • VMware Secure Access 由云托管,可使企业减轻远程访问解决方案的部署、维护和扩展成本,从而提高 IT 团队效率。
  • VMware Secure Access 通过 VPN 提供以用户为中心和以应用程序为中心的访问,而不是基于网络的访问。访问权限基于用户身份和最终设备状态来授予,通过只访问用户所需的应用程序,可大大减少攻击面。
  • 位置无关性意味着无论用户从何处访问,都具有一致的访问策略。

该解决方案利用 VMware 的全球接入点 (PoP) 占用空间并优化流量处理能力,以降低延迟并提高应用程序性能,从而使客户能够为远程办公人员提供与分支机构类似的体验。

4.4.0 版本中提供的功能

除了先前可用的 VMware Workspace ONE 托管设备之外,VMware SASE 版本 4.4.0 还允许远程用户通过 VMware Secure Access 使用 BYOD 或第三方托管设备连接到其应用程序。此版本中取消了最少 700 个用户的限制以及 5 GB 的数据限制,客户现在可以自行置备 Secure Access,而无需联系 VMware 技术支持团队。

自 4.3.x 版本以来所做的 Orchestrator API 更改

门户 API(“APIv1”)的用户可以在 code.vmware.com 上找到可供下载的全面更改日志。

版本 4.4.0 不会影响 SD-WAN APIv2。

此版本引入了两个新的 Orchestrator API:Cloud Web Security REST API 和 Secure Access REST API。我们预计会在 developer.vmware.com 上发布这些 API 的文档,因为这些 API 已声明是稳定的,可供客户和合作伙伴使用。

发布这两个 API 后,我们将会使用指向该文档的超链接修订并重新发布发行说明。  请稍后定期查看此部分的更新。

文档修订历史

2021 年 6 月 10 日。第一版

2021 年 6 月 22 日。第二版

  • 向“解决的问题”部分中添加了新的 Edge 发行版本 R440-20210617-GA,并添加了与该版本关联的已修复问题 59509。

2021 年 7 月 2 日,第三版

  • 在“解决的问题”部分中添加了新的 Edge GA 内部版本 R440-20210701-GA-61583。此 Edge 解决了新解决的问题 61583。

2021 年 8 月 27 日,第四版

  • 添加了清晰的措辞,指出 4.4.0 仅适用于绿地部署,这意味着客户无法从旧版本升级到 4.4.0,而是必须使用 4.4.0 部署为新企业。

2021 年 9 月 16 日,第五版

  • 修订了 Cloud Web Security 功能可用性表,指出“SIEM 日志记录”功能在版本 4.4.0 中可用。“SIEM 日志记录”最初列为可用功能,但是实施 SIEM 日志记录所需的 API 仍在开发中,因此,在版本 4.4.0 中,此功能实际上不可用。
  • 重要说明中添加了以下说明:用于 AS-PATH 附加的 BGPv4 筛选器配置的分隔符更改

2021 年 10 月 25 日,第六版

  • 移除了未解决的问题 52104,因为该问题已在 4.2.x 中解决;还移除了未解决的问题 52483,因为该问题在此版本发布之前已关闭。

解决的问题

解决的问题分为以下几类。

解决的 Edge 问题

版本 R440-20210702-GA-61583 中解决的问题

从 Edge 版本 R440-20210617-GA 开始,解决了以下问题。

  • 修复的问题 61583:如果客户为站点启用高可用性,VMware SD-WAN Edge 将脱机,该站点将关闭,并且所有客户流量都将中断。

    启用 HA 后,Edge 至少脱机大约 5 分钟,在此期间客户流量会中断。大约 5 分钟之后,即使该 Edge 将继续独立运行且 HA 不可用,也许 Edge 仍能够回滚到先前的配置并恢复操作。  但是,如果 Edge 未成功回滚到上次配置,它将保持关闭,直到本地用户执行出厂重置,然后重新激活 RMA(未启用 HA),以还原该站点的连接。

    有关详细信息,请参阅知识库文章使用版本 4.3.0 GA 或 4.4.0 GA 在 VMware SD-WAN Edge 上启用高可用性可能会导致 Edge 脱机。(84396)

解决的 Edge 问题

Edge 版本 R440-20210617-GA 中解决的问题

从 Edge 版本 R440-20210610-GA 开始,解决了以下问题

  • 修复的问题 59509:VMware SD-WAN Edge 无法正确解释分配给该 Edge 的 Edge 许可证。

    连接到 SASE PoP 时,Edge 使用的功能可能与分配给 Edge 的许可证类型不一致。

解决的 SD-WAN Edge/网关问题

Edge 版本 R440-20210610-GA 中解决的问题。没有网关版本。

从 Edge 版本 R430-20210528-GA 和网关版本 R430-20210605-GA 开始,没有解决任何新问题。

    解决的 Orchestrator 问题

    从 Orchestrator 版本 R430-20210527-GA 开始,没有解决任何新问题。

      已知问题

      4.4.0 版本中的未解决问题

      已知问题分为以下几类。

      SD-WAN Edge/网关已知问题
      • 问题 14655:

        插入或拔出 SFP 适配器可能会导致设备在 Edge 540、Edge 840 和 Edge 1000 上停止响应,并需要进行实际重新引导。

        解决办法:必须实际重新引导 Edge。  可以在 Orchestrator 上使用远程操作 (Remote Actions) > 重新引导 Edge (Reboot Edge) 以完成该操作,也可以关闭再打开 Edge 电源以完成该操作。

      • 问题 25504:

        大于 255 的静态路由成本可能会导致无法预测的路由排序。  

        解决办法:使用 0 到 255 之间的路由成本。

      • 问题 25595:

        可能需要重新启动,以使对 WAN 覆盖网络上的静态 SLA 的更改正常工作。  

        解决办法:在 WAN 覆盖网络中添加和移除静态 SLA 后,重新启动 Edge。

      • 问题 25742:

        底层网络产生的流量限制为发送到 VMware SD-WAN 网关的最大容量,即使该流量小于未连接到该网关的专用 WAN 链路的容量。  

      • 问题 25758:

        从一个 USB 端口切换到另一个 USB 端口时,可能未正确更新 USB WAN 链路,直到重新引导了 VMware SD-WAN Edge。  

        解决办法:将 USB WAN 链路从一个端口移动到另一个端口后,重新引导 Edge。

      • 问题 25855:

        对于通过 VMware SD-WAN Gateway 的某些流量,合作伙伴网关上的较大配置更新(例如,200 个配置了 BGP 的 VRF)可能会导致延迟大约增加 2-3 秒。

        解决办法:没有可用的解决办法。

      • 问题 25921:

        在将 3,000 个分支 Edge 连接到 VMware SD-WAN Hub 时,Hub 高可用性故障切换所需的时间比预期时间长(最多 15 秒)。  

      • 问题 25997:

        VMware SD-WAN Edge 可能需要重新引导,才能在转换为交换端口的路由接口上正确传输流量。  

        解决办法:在进行配置更改后,重新引导 Edge。

      • 问题 26421:

        还必须将任何分支站点的主合作伙伴网关分配给 VMware SD-WAN Hub 集群,才能建立到该集群的隧道。  

      • 问题 28175:

        在 NAT IP 与 VMware SD-WAN 网关接口 IP 重叠时,业务策略 NAT 将会失败。  

      • 问题 31210:

        VRRP:如果 VMware SD-WAN Edge 是主节点并在 LAN 接口上运行非全局 CDE 分段,则无法在 LAN 客户端中为 VRRP 虚拟 IP 地址解析 ARP。 

      • 问题 32731:

        在关闭了路由时,可能未正确撤消通过 OSPF 通告的条件默认路由。重新启用并禁用路由将成功撤消该路由。 

      • 问题 32960:

        在激活的 VMware SD-WAN Edge 的本地 Web UI 上,可能会错误地显示接口“自动协商”和“速度”状态。

      • 问题 32981:

        配置了 DPDK 的端口上的硬编码速度和双工可能需要重新引导 VMware SD-WAN Edge 以使配置生效,因为它需要禁用 DPDK。

      • 问题 34254:

        如果创建 Zscaler CSS 并且全局分段配置了 FQDN/PSK 设置,这些设置将复制到非全局分段以建立到 Zscaler CSS 的 IPsec 隧道。

      • 问题 35778:

        如果在单个接口上具有多个用户定义的 WAN 链路,只能有一个 WAN 链路具有到 Zscaler 的 GRE 隧道。 

        解决办法:对于需要建立到 Zscaler 的 GRE 隧道的每个 WAN 链路,请使用不同的接口。

      • 问题 35807:

        如果先从 VMware SD-WAN Orchestrator 中停用,然后再重新激活 DPDK 路由接口,将完全停用该接口。 

      • 问题 36923:

        在作为 Hub 连接到集群的 VMware SD-WAN Edge 的 NetFlow 接口说明中,可能未正确更新该集群名称。

      • 问题 38682:

        在配置了 DPDK 的接口上充当 DHCP 服务器的 VMware SD-WAN Edge 可能没有为所有连接的客户端正确生成“新客户端设备”(New Client Device) 事件。

      • 问题 38767:

        将配置了到 Zscaler 的 GRE 隧道的 WAN 覆盖网络从自动检测更改为用户定义时,可能会保留过时的隧道,直到下次重新启动。

        解决办法:重新启动 Edge 以清除过时的隧道。

      • 问题 39134:

        在 VMware SD-WAN Edge 的“监控”(Monitor) >“Edge”>“系统”(System) 以及 VMware SD-WAN 网关的“监控”(Monitor) >“网关”(Gateways) 上,可能未正确报告系统运行状况统计信息“CPU 百分比”(CPU Percentage)。

        解决办法:用户应使用切换队列丢弃以监控 Edge 容量而不是 CPU 百分比。

      • 问题 39608:

        在显示正确的结果之前,远程诊断“Ping 测试”(Ping Test) 的输出可能会短暂显示无效的内容。

      • 问题 39624:

        在为父接口配置 PPPoE 时,通过子接口执行 Ping 操作可能会失败。

      • 问题 39659:

        在配置了增强高可用性的站点上(在每个 VMware SD-WAN Edge 上具有一个 WAN 链路),在备用 Edge 仅连接了 PPPoE 而活动 Edge 仅连接了非 PPPoE 时,如果 HA 电缆发生故障,则可能会出现脑裂状态(活动/活动)。

      • 问题 39753:

        禁用动态分支到分支 VPN 可能会导致当前使用动态分支到分支发送的现有流量停止。

      • 问题 40096:

        如果重新引导激活的 VMware SD-WAN Edge 840,插入到 Edge 的 SFP 模块可能会停止传输流量,即使链路指示灯和 VMware SD-WAN Orchestrator 将端口显示为“启动”。 

        解决办法:拔下 SFP 模块,然后将其重新插入到端口中。

      • 问题 40421:

        在通过 VMware SD-WAN Edge 传输并将接口配置为交换端口时,traceroute 不显示路径。

      • 问题 42278:

        对于特定类型的对等项配置错误,VMware SD-WAN 网关可能会不断向非 SD-WAN 对等项发送 IKE 初始化消息。该问题不会中断到网关的用户流量;但在网关日志中填充 IKE 错误,这可能会掩盖有用的日志条目。

      • 问题 42388:

        在 VMware SD-WAN Edge 540 上,从 VMware SD-WAN Orchestrator 中禁用并重新启用接口后,检测不到 SFP 端口。

      • 问题 42488:

        在具有启用了 VRRP 的交换端口的 VMware SD-WAN Edge 上,如果断开电缆并重新启动 Edge 服务,将通告 LAN 连接的路由。

        解决办法:没有该问题的解决办法。

      • 问题 42872:

        在与 Hub 集群关联的 Hub 配置文件上启用配置文件隔离时,不会从路由信息库 (RIB) 中撤消 Hub 路由。

      • 问题 43373:

        如果从多个 VMware SD-WAN Edge 中发现相同的 BGP 路由,并且在“覆盖网络流量控制”(Overlay Flow Control) 中将该路由从“首选出口”(Preferred Exit) 移动到“符合条件的出口”(Eligible Exit),不会在通告列表中移除该 Edge,而是继续通告该 Edge。

        解决办法:在 VMware SD-WAN Orchestrator 上启用分布式成本计算。

      • 问题 44526:对于如下企业:两个不同站点将其 VMware SD-WAN Edge 部署为 Hub,同时还使用高可用性拓扑,并且每个站点在其配置文件中将另一个 Hub 站点用作 Hub。  如果其中一个 Hub 站点触发 HA 故障切换,则两个 Hub Edge 最多可能需要 30 分钟才能彼此重新建立隧道。 

        在发生 HA 故障切换时,两个 Hub Edge 同时尝试启动彼此之间的隧道,并且均不回复对方,这两个 Hub 之间会发生数据包交换,但 IKE 永远不会成功。这会导致出现死锁,据观察,最多需要 30 分钟才能自行解决死锁。该问题是间歇性的,并不是在每次 HA 故障切换后都会出现该问题。 

        解决办法:为防止出现该问题,客户应当只将两个 HA Hub 站点中的一个站点配置为使用另一个 Hub 站点作为自己的 Hub。  例如,如果有两个 HA Hub 站点(Hub1 和 Hub2),Hub1 可以在其配置文件中将 Hub2 作为自己的 Hub,但 Hub2 不得在其配置文件中使用 Hub1 作为 Hub。

      • 问题 44995:

        从 Hub 集群中撤消 OSPF 路由时,不会从 VMware SD-WAN 网关和 VMware SD-WAN 分支 Edge 中撤消这些路由。

      • 问题 45189:

        在配置了源 LAN 端 NAT 的情况下,允许从 VMware SD-WAN 分支 Edge 到 Hub Edge 的流量,即使没有为 NAT 子网配置静态路由。

      • 问题 45302:

        在 VMware SD-WAN Hub 集群中,如果一个 Hub 到所有 VMware SD-WAN 网关(它自身和为其分配的分支 Edge 之间的通用网关)的连接中断超过 5 分钟,在极少数情况下,分支可能在 5 分钟后无法保留 Hub 路由。在 Hub 重新与网关建立连接时,将自行解决该问题。

      • 问题 46053:

        在邻居更改为上行链路邻居时,不会为覆盖网络路由自动更正 BGP 首选项。

        解决办法:Edge 服务重新启动将纠正该问题。

      • 问题 46137:

        即使为运行 3.4.x 软件的 VMware SD-WAN Edge 配置了 GCM,该 Edge 也不会启动具有 AES-GCM 加密的隧道。

      • 问题 46216:

        在通过网关或 Edge 的非 SD-WAN 目标(对等项是 AWS 实例)上,在对等项启动第 2 阶段重新加密时,还会删除第 1 阶段 IKE 并强制进行重新加密。  这意味着,将拆除并重建隧道,从而导致在隧道重建期间丢失数据包。

        解决办法:为了避免拆除隧道,请将通过网关/Edge 的非 SD-WAN 目标或 CSS IPsec 重新加密定时器配置为少于 60 分钟。  这可防止 AWS 启动重新加密。

      • 问题 46391:

        对于 VMware SD-WAN Edge 3800,SFP1 和 SFP2 接口在多速率 SFP(即 1/10G)中均出现问题,因此,不应在这些端口中使用这些接口。

        解决办法:请按照知识库文章 VMware SD-WAN 支持的 SFP 模块列表 (79270) 中的说明使用单速率 SFP。  多速率 SFP 可以与 SFP3 和 SFP4 一起使用。

      • 问题 46918:

        使用 3.4.2 版本的 VMware SD-WAN 分支 Edge 未正确更新集群 Hub 节点的专用网络 ID。

      • 问题 47084:

        在连接了 4000 个分支 Edge 时,VMware SD-WAN Hub Edge 无法建立超过 750 个 PIM(与协议无关的多播)邻居。

      • 问题 47355:

        在通过本地底层网络 BGP、Hub BGP 和/或在合作伙伴网关上静态配置的 BGP 发现相同的路由时,路由的排序顺序不正确,其中 Hub BGP 优先于底层网络 BGP。

      • 问题 47681:

        在 VMware SD-WAN Edge 的 LAN 端上的主机使用与该 Edge 的 WAN 接口相同的 IP 时,从 LAN 主机到 WAN 的连接无法正常工作。

      • 问题 47787:

        如果从 Hub Edge 启动到配置了回传业务策略的 VMware SD-WAN 分支 Edge 的流量,该分支 Edge 将错误地通过 VMware SD-WAN 网关路径发送流量。

      • 问题 48166:

        使用 Ciena 虚拟化操作系统时,不支持 KVM 上的 VMware SD-WAN 虚拟 Edge,并且 Edge 将反复发生数据平面服务故障。

      • 问题 48175:

        在以下情况下,运行 3.4.2 版本的 VMware SD-WAN Edge 在非全局分段上建立 OSPF 邻接关系:非全局分段配置的接口的 IP 范围与在全局分段上配置的接口相同。

      • 问题 48502:

        在某些情况下,由于未正确处理回传返回数据包,用于回传 Internet 流量的 VMware SD-WAN Hub Edge 可能会发生数据平面服务故障。

      • 问题 48530:

        VMware SD-WAN Edge 6x0 型号不会为三速 (10/100/1000 Mbps) 铜质 SFP 执行自动协商。

        解决办法:Edge 520/540 支持三速铜质 SFP,但该型号已标记为在 2021 年第一季度“终止销售”。

      • 问题 48597:如果到对等项的两条路径之一断开,则不会保持多跳 BGP 邻居关系

        如果与对等项之间具有多跳 BGP 邻居关系,存在多条到对等项的路径,并且其中的一条路径断开,用户将会注意到 BGP 邻居关系中断,并且不会使用其他可用的路径建立 BGP 邻居关系。这也包括本地 IP 环回邻居关系。

        解决办法:没有该问题的解决办法。

      • 问题 48666:

        面向 IPsec 的网关路径 MTU 计算不考虑 61 字节 IPsec 开销,从而导致向 LAN 客户端通告较高的 MTU 并随后进行 IPsec 数据包分片。

        解决办法:没有该问题的解决办法。

      • 问题 49172:

        为两个不同 VMware SD-WAN Edge 配置相同 NAT 子网的基于策略的 NAT 规则不起作用。

      • 问题 49738:

        在某些情况下,将 VMware SD-WAN 分支 Edge 配置为使用多个 Hub Edge 时,分支 Edge 可能无法建立到 Hub 列表中配置的某个 Hub 的隧道。

      • 问题 50518:

        在启用了 PKI 的 VMware SD-WAN Gateway 上,如果超过 6000 个 PKI 隧道尝试连接到该网关,这些隧道可能不会全部启动,因为没有删除入站 SA。

        注意:使用预共享密钥 (PSK) 身份验证的隧道不存在该问题。

      • 问题 51036:在通过 SNMP 轮询 Edge 时,ifSpeed 为正常运行的 VMware SD-WAN Edge 接口报告的值为 0。

        这是配置了 DPDK 的端口的预期行为。目前,获取配置了 DPDK 的端口的速度值的唯一方法是使用“debug.py --dpdk_ports”命令。但在 Edge 上运行的 SNMP 模块不依靠该命令以提取配置了 DPDK 的端口的速度值。SNMP 仅通过内核接口进行查询,很遗憾,这不会填充 dpdk_ports 的速度值。

      • 问题 51428:在 VMware SD-WAN Edge 的子接口配置了 PIM 的站点上,可能会观察到多播流量丢失。

        在将配置了 PIM 的子接口从一个分段动态移动到另一个分段时,pimd(管理 PIM 的进程)可能会重新启动,并且站点出现间歇性的多播流量丢失问题。

        解决办法:先停用子接口,然后将子接口移动到另一个分段。在移动后,重新激活子接口。

      • 问题 52955:在有状态 DHCP 中发生 DAD 失败后,没有从 Edge 中发送 DHCP 拒绝,并且没有重新启动 DHCP 重新绑定。

        如果内核在 DAD 检查期间将 DHCPv6 服务器分配的地址检测为重复的地址,DHCPv6 客户端不会发送拒绝。这会导致流量丢弃,因为接口地址将标记为 DAD 检查失败,而不会使用该地址。这不会在网络中导致任何流量循环,但会出现流量黑洞。

        解决办法:没有该问题的解决办法。

      • 问题 53147:在 VMware SD-WAN Edge 上不采用路由器通告中通告的非默认跃点限制值。隧道的跃点限制值始终设置为 64。

        跃点限制的默认值为 64。如果希望通过路由器通告来通告非默认跃点限制值,Edge 不会处理数据包中的跃点限制字段,这些值将保留为 64。

        解决办法:没有该问题的解决办法。

      • 问题 53219:在 VMware SD-WAN Hub 集群重新均衡后,一些分支 Edge 可能未正确设置其 RPF 接口/IIF。

        在受影响的分支 Edge 上,多播流量将会受到影响。发生的情况是,在集群重新均衡后,某些分支 Edge 无法发送 PIM 加入。

        解决办法:该问题将一直存在,直到受影响的分支 Edge 重新启动 Edge 服务为止。

      • 问题 53337:在吞吐量高于 3200 Mbps 时,可能会在 VMware SD-WAN 网关的 AWS 实例中观察到数据包丢弃。

        在流量的吞吐量超过 3200 Mbps 并且数据包大小为 1300 字节时,将会在接收和 IPv4 BH 切换时观察到数据包丢弃。

        解决办法:没有该问题的解决办法。

      • 问题 53359:在某些 DDoS 攻击期间,BGP/BFD 会话可能会失败。

        如果从连接到路由接口的客户端到 LAN 客户端之间存在大量流量,BGP/BFD 会话可能会失败。同样,在具有到覆盖网络目标的大量实时高优先级流量时,BGP/BFD 会话也可能会失败。

        解决办法:没有该问题的解决办法。

      • 问题 53687:在 VMware SD-WAN 分支 Edge 具有 IPv6/v4 隧道的首选项时,非首选 v4/v6 隧道 MTU 也会影响首选隧道中的 MTU。

        Edge(分支或 Hub)保留系统级别 MTU,它是所有链路 MTU 中的最小 MTU,并且该 MTU 作为通告的 MTU 进行交换。由于可能仍考虑非首选链路的 MTU 以确定系统级别 MTU,因此,通告的 MTU 可能比实际路径 MTU 低。

        解决办法:没有该问题的解决办法。

      • 问题 53830:在 VMware SD-WAN Edge 上,将 DCC 标记设为打开时,BGP 视图中的某些路由可能没有正确的首选项和通告值,从而导致在 Edge 的 FIB 中具有不正确的排序顺序。

        对于在 Edge 上具有大量路由的大型场景,如果启用了分布式成本计算 (DCC),在查看日志 bgp_view 的 Edge 诊断包时,可能未使用首选项和通告值正确更新某些路由。  该问题(如果发现)是在大型企业(100 多个分支 Edge 连接到 Hub Edge 或 Hub 集群)包含的一些 Edge 中发现的。  

        解决办法:可以重新发现底层网络 BGP 路由或在 VMware SD-WAN Orchestrator 的 OFC 页面上为受影响的路由执行“刷新”(Refresh) 选项以解决该问题。请注意,为路由执行“刷新”(Refresh) 将会从企业的所有 Edge 中重新发现路由。

      • 问题 53934:在配置了 VMware SD-WAN Hub 集群的企业中,如果主 Hub 在 LAN 端具有多跳 BGP 邻居关系,在 LAN 端发生故障或在所有分段上关闭 BGP 时,客户可能会在分支 Edge 上遇到流量丢弃问题。

        在 Hub 集群中,主 Hub 与对等设备之间具有多跳 BGP 邻居关系以发现路由。如果建立 BGP 邻居关系时使用的 Hub 上的物理接口发生故障,即使 BGP 视图是空的,BGP LAN 路由可能也不会变为零。这可能会导致不会进行 Hub 集群重新均衡。在为所有分段关闭 BGP 以及存在一个或多个多跳 BGP 邻居关系时,也可能会观察到该问题。

        解决办法:重新启动发生 LAN 端故障(或关闭了 BGP)的 Hub。

      • 问题 54099:VMware SD-WAN Edge 将丢弃分段的 IPv6 数据包。

        Edge 将丢弃任何分段的 IPv6 数据包。

        解决办法:没有该问题的解决办法。

      • 问题 54378:由于 NA 丢弃,配置了 IPv6 静态地址的接口重复地址检测 (DAD) 检查失败。 

        不会进行静态地址 DAD 检查;如果配置的静态地址在网络中具有重复的地址,则不会检测到这种情况。

        解决办法:没有该问题的解决办法。

      • 问题 54536:在 VMware SD-WAN Edge 重新引导后,未触发重复地址检测 (DAD) 检查。

         如果在网络中具有重复的地址,并且在重新引导后未执行该 DAD 检查,则不会检测到这种情况。

        解决办法:没有该问题的解决办法。

      • 问题 54687:在为服务器提供大于 T2 的 T1 值配置后,VMware SD-WAN Edge 未发送 DHCPv6 请求消息。

        如果 DHCPv6 服务器最初提供的 T1 值大于 T2,则 Edge 不接受提供的前缀,但即使在服务器上更正该配置后,Edge 也不会发送 DHCPv6 请求消息(进行三次尝试)。  此时,只有在重新启动 Edge 的数据平面服务时,才会解决该问题。

        解决办法:重新启动 Edge 的服务。

      • 问题 54731:当用户在服务器中更改 IPv6 地址范围值时,将以较高的频率发送更新消息,直至达到重新绑定时间 (t2)。

        从服务器提供的有效地址范围中移除分配给 VMware SD-WAN Edge 的 IP 地址时,客户端持续向服务器发送更新消息,直至达到 T2 时间。这可能会导致客户用户观察到大量 DHCPv6 流量。

        解决办法:没有该问题的解决办法。

      • 问题 56218:对于部署了高可用性拓扑的客户站点或仅配置了 HA 的客户站点,将 Edge 从 3.2.x 升级到 3.4.x 时,备用 Edge 可能会关闭。

        在使用本地 UI 配置 WAN 设置后,如果配置 HA 或将 HA Edge 从 3.2.2 升级到 3.4.x,则将从备用 Edge 中移除 HA 接口(例如 LAN1 或 GE1,具体取决于 Edge 型号),且 VMware SD-WAN Orchestrator 上的 HA 状态将设置为 HA_FAILED。

        解决办法:重新引导备用 Edge 以使其恢复

      • 问题 56454:在接口上将 IPv4 和 IPv6 链路都配置为自动发现的链路,然后还通过非首选链路建立隧道。链路统计信息不显示合并的 IPv4 和 IPv6 链路信息。

        如果一个接口将 IPv4 和 IPv6 覆盖网络都配置为自动发现的覆盖网络,并在两个链路上都建立了隧道,链路统计信息仅反映首选链路的状态,而未正确反映非首选链路的流量信息或状态。因此,应将在“Edge”>“监控”(Monitoring) 页面上看到的链路统计信息(包括带宽和吞吐量)作为指导,以仅测量在首选 IP 地址系列上建立的隧道的性能。

        解决办法:没有该问题的解决办法。

      • 问题 57957:如果 DPDK 接口从 Autonegotiate=on 更改为 Autonegotiate=off,Edge 将卸载 KNI 驱动程序,并在 Edge 服务重新启动序列期间为该接口加载 Linux 驱动程序(从 vc_dpdk.py 中)。

        在加载新的 Linux 接口驱动程序并对其进行命名后,vc_dpdk.py 还需要调用“set_interface_neg.py”以应用自动协商设置。不过,由于采用新的自动协商设置并重新加载了 Linux 驱动程序,裸机接口不再受 DPDK 控制。

      • 问题 58453:VMware SD-WAN Edge 将某些 Office365 数据包错误地划分为 SSL 数据包。

        VMware SD-WAN 深度数据包检查 (DPI) 引擎有时错误地将应划分为 Office365 的数据包划分为 SSL。  产生的影响是,这些流量将被视为 SSL 流量而不是 Office365 流量,这可能意味着它们的处理优先级较低,从而影响用户体验。

      • 问题 59970:从主网关切换到辅助网关时,客户将观察到丢弃了从 VMware SD-WAN Edge 通过 Zscaler IaaS 发送到数据中心的流量。

        在主网关关闭并且 Orchestrator 切换到辅助网关时,来自 Zscaler 实施节点 (ZEN) 的当前流量传输反向路径不起作用。

        解决办法:解决办法是重新启动所有流量传输。将向 Zscaler 通知该问题,并且他们确认反向流量路径在他们一侧无法正常工作。

      • 问题 61882:从 VMware SD-WAN Orchestrator 中更改安全参数配置(例如,更改 SA 生命周期)时,客户可能会在一段时间内观察到流量丢弃。

        已在 Hub/分支拓扑中具有超过 1000 个 Edge 的大型部署中发现该问题。如果更改了安全参数(生命周期、加密算法、身份验证模式),这会关闭当前隧道,然后重新建立该隧道。在大型部署中,这可能会导致流量稳定性问题。响应程序端 (Hub Edge) 可能无法及时处理所有隧道,这可能会导致流量丢弃。最终将建立隧道,但根据现有的隧道数量,这可能需要一些时间。 

        解决办法:建议在维护时段中执行配置更改,因为根据现有的隧道数量,无法确定恢复时间。

      • 问题 62685:如果 LAN 端 NAT 为将 NAT 类型作为源的不同 LAN 子网配置了相同的外部 IP,发送到云的流量将无法正常工作。

        对于 LAN 端 NAT 规则中使用的外部 IP,我们配置一个静态路由并向远程分支通告该路由。为了将返回流量路由到正确的 LAN 子网,应根据 LAN 端 NAT 规则中配置的内部 IP 执行路由查找,而不是根据静态路由中的下一跃点。但对于来自云的返回流量,路由查找是根据静态路由中的下一跃点完成的,并且流量可能会路由到错误的 LAN 子网。

        解决办法:对于不同的 LAN 子网,请使用不同的外部 IP。

      • 问题 62725:在极少数情况下,网络中使用 BGP 的 VMware SD-WAN Edge 可能会使用较多的内存。

        如果 Edge 发现的 BGP 路由的下一跃点 IP 地址与对等 IP 地址不同,Edge 的下一跃点跟踪 (NHT) 模块将跟踪下一跃点的可访问性。如果随后关闭了 BGP,在 Edge 上无法访问跟踪的 IP 地址时,可能没有删除跟踪的 NHT 条目。在极少数情况下,具有大量失效的 NHT 条目,此时,可能会看到较高的 Edge 内存使用量。

        解决办法:重新引导 Edge 以删除导致内存泄露的 NHT 条目。 

      • 问题 62897:调试命令 tcpdump 在 VMware SD-WAN 网关上无法正常工作。

        在网关的 eth0 或 eth1 接口上执行 tcpdump 命令,输出不正确。tcpdump.sh 和 vctcdump 也无法正常工作。已尝试进行修复,并添加了一个用于 vctcpdump 的 AppArmor 投诉配置文件(根据 tcpdump 配置文件)以允许 tcpdump 继承 vctcpdump 的限制,但 tcpdump 仍无法正常工作。实际上,AppArmor 导致 tcpdump 的 stdout 停止工作。这是 AppArmor 的一个已知问题。

        解决办法:“pipe tcpdump output to cat. e.g. tcpdump -nnplei eth0 | cat”

      • 问题 63125:在 VMware SD-WAN Hub Edge 上的任何接口/链路的 MTU 增加时,它不会反映在分支 Edge 上的路径 MTU 中(对于具有该 Hub Edge 的路径)。

        如果用户增加 Hub 上的接口或链路的 MTU,分支 Edge 路径不会选择更改的 MTU 设置。

        解决办法:重新引导分支 Edge,增加的 MTU 将反映在分支上的路径 MTU 中。

      • 问题 63362:在使用增强高可用性拓扑的站点上,在重新引导 VMware SD-WAN 备用 Edge 或关闭再打开 Edge 电源后,配置了 DHCP/PPPoE 的接口停止发送流量。

        在增强 HA 设置中,如果在代理接口上配置了 DHCP/PPPoE(即,HA 链路状态设置为 USE_PEER),在备用 Edge 重新引导或关闭再打开电源后,该接口无法从服务器中获取地址。

        解决办法:将动态地址更改为静态地址类型,或执行强制 HA 故障切换以从服务器中获取 IP 地址。

      • 问题 64736:将 VMware SD-WAN Edge 接口从路由配置为交换后,DHCPv6 IP 可能不会从该接口刷新

        将接口从路由配置为交换后,IPv6 IP 地址应从该接口刷新,因为 LAN 不支持 IPv6。但在某些情况下,IPv6 IP 地址在转换为交换后不会刷新。如果这些接口被转换回来,这些 IP 地址甚至会持续存在。并不是在每次转换接口时都会出现该问题。

        解决办法:重新引导 Edge 以从新转换的交换接口中清除 IPv6 IP 地址。

      • 问题 64909:更改网关 IP 地址时,通过网关的非 SD-WAN 目标的数据中心路由设置为 false。

        当 NSD 的主网关的 IP 地址发生更改时,隧道会启动,但如果在网关上检查路由,则到数据中心/对等项的路由将设置为 False。

        解决办法:如果重新启动网关服务,则数据中心路由将会启动,此操作应在某个窗口中完成。

      Orchestrator 已知问题
      • 问题 19566:

        在高可用性故障切换后,备用 VMware SD-WAN Edge 的序列号可能在 Orchestrator 中显示为活动 Edge 序列号。

      • 问题 21342:

        在按分段分配合作伙伴网关时,在 VMware SD-WAN Edge 监控列表上的操作员选项“查看网关”(View Gateways) 下面可能未显示正确的网关分配列表。

      • 问题 24269:

        “监控”(Monitor) >“传输”(Transport) >“中断”(Loss) 未将观察到的 WAN 链路中断绘制图表,而 QoE 图表反映了这种中断。 

      • 问题 25932:

        VMware SD-WAN Orchestrator 允许将 VMware SD-WAN 网关从网关池中移除,即使正在使用这些网关。

      • 问题 32335:

        在用户尝试接受协议时,“最终用户服务协议”(EUSA) 页面抛出错误。

        解决办法:确保在企业名称中不包含前导或尾随空格。

      • 问题 32435:

        对于已在配置文件级别配置的元组,允许对基于策略的 NAT 配置进行 VMware SD-WAN Edge 覆盖,反之亦然。

      • 问题 32856:

        尽管将业务策略配置为使用 Hub 集群以回传 Internet 流量,但用户可以在 VMware SD-WAN Orchestrator(已从 3.2.1 版本升级到 3.3.x 版本)上从配置文件中取消选择 Hub 集群。

      • 问题 32913:

        在启用高可用性后,在“监控”(Monitoring) 页面上不显示 VMware SD-WAN Edge 的多播详细信息。故障切换将解决该问题。

      • 问题 34828:

        无法在使用 2.x 版本的 VMware SD-WAN 分支 Edge 和使用 3.3.1 版本的 Hub Edge 之间传输流量。

      • 问题 35658:

        在将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有不同 CSS 设置的配置文件(例如,从配置文件 1 中的 IPsec 移动到配置文件 2 中的 GRE)时,Edge 级别 CSS 设置将继续使用以前的 CSS 设置(例如,使用 IPsec 而不是 GRE)。 

        解决办法:在 Edge 级别关闭 GRE,然后重新打开以解决该问题。

      • 问题 35667:

        将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有相同 CSS 设置但具有不同 GRE CSS 名称(相同端点)的配置文件时,在监控中不显示某些 GRE 隧道。

        解决办法:在 Edge 级别关闭 GRE,然后重新打开以解决该问题。

      • 问题 36665:

        如果 VMware SD-WAN Orchestrator 无法访问 Internet,需要访问 Google 地图 API 的用户界面页面可能无法完全加载。

      • 问题 38056:

        Edge-Licensing export.csv 文件不显示区域数据。

      • 问题 38843:

        在推送应用程序映射时,没有操作员事件,并且 Edge 事件的用途有限。

      • 问题 39633:

        在用户将备用网关分配为超级网关后,超级网关超链接无法正常工作。

      • 问题 39790:

        VMware SD-WAN Orchestrator 允许用户将 VMware SD-WAN Edge 的路由接口配置为超过支持的 32 个子接口,从而产生用户可以在接口上配置 33 个或更多子接口的风险,这会导致 Edge 发生数据平面服务故障。

      • 问题 40341:

        尽管在后端将 Skype 应用程序正确划分为实时流量,但在 VMware SD-WAN Orchestrator 上编辑 Skype 业务策略时,服务类可能会错误地显示“事务”(Transactional)。

      • 问题 41691:

        虽然 DHCP 池未用完,但用户无法在配置 (Configure) > Edge > 设备 (Device) 页面上更改“地址数”(Number of addresses) 字段。

      • 问题 43276:

        在 VMware SD-WAN Edge 或配置文件配置了合作伙伴网关时,用户无法更改分段类型。

      • 问题 44153:

        VMware SD-WAN Orchestrator 未始终将警示电子邮件发送到“警示和通知”(Alerts and Notifications) 部分中配置的电子邮件地址。

      • 问题 47269:

        对于不支持 LTE 接口的 Edge 型号,可能会显示 VMware SD-WAN 510-LTE 接口。

      • 问题 47713:

        如果在将云 VPN 设置为关闭时配置业务策略规则,在启用云 VPN 后,必须重新配置 NAT 配置。

      • 问题 47820:

        如果在配置文件级别配置 VLAN 并将 DHCP 设置为关闭,同时还在打开了 DHCP 的 Edge 上为该 VLAN 配置 Edge 覆盖,并且 DNS 服务器字段的条目设置为“无”(None)(未配置任何 IP),用户将无法在“配置”(Configure) >“Edge”>“设备”(Device) 页面上进行任何更改,并收到“IP 地址 [] 无效”(invalid IP address []) 错误消息,该消息未解释或指出实际问题。

      • 问题 48085:

        VMware SD-WAN Orchestrator 允许用户删除与接口关联的 VLAN。

      • 问题 48737:

        在使用 4.0.0 版本的新用户界面的 VMware SD-WAN Orchestrator 上,如果用户位于“监控”(Monitor) 页面并更改开始和结束时间间隔,然后在选项卡之间导航,Orchestrator 没有将开始和结束间隔时间更新为新的值。

      • 问题 49225:

        VMware SD-WAN Orchestrator 不实施总共 32 个 VLAN 的限制。

      • 问题 49790:

        将 VMware SD-WAN Edge 激活为 4.0.0 版本时,激活在“事件”(Events) 中发布两次。

        解决办法:忽略重复的事件。

      • 问题 50531:

        在 VMware SD-WAN Orchestrator 4.0.0 版本上访问新的 UI 时,如果两个具有不同特权的操作员使用同一浏览器窗口,特权较低的操作员尝试在特权较高的操作员之后登录,特权较低的操作员将观察到多个错误,指出“用户没有特权”(user does not have privilege)。

        注意:特权较低的操作员没有进行特权升级,而仅显示错误消息。

        解决办法:下一个操作员可以在登录之前刷新该页面以防止看到这些错误,或者每个操作员可以使用不同的浏览器窗口以避免这种显示问题。

      • 问题 51722:在 4.0.0 版本 VMware SD-WAN Orchestrator 上,“监控”(Monitor) >“Edge”选项卡中的任何统计信息的时间范围选择器不超过两周。

        即使一组统计信息的保留期远超过 2 周,时间范围选择器在“监控”(Monitor) >“Edge”选项卡中也不会显示超过“过去 2 周”(Past 2 Weeks) 的选项。  例如,默认情况下,流量和链路统计信息保留 365 天(可以进行配置),而路径统计信息仅保留 2 周(也可以进行配置)。  该问题使所有“监控”(Monitor) 选项卡符合最低的统计信息保留类型,而不允许用户选择与该统计信息的保留期一致的时间段。

        解决办法:用户可以使用时间范围选择器中的“自定义”(Custom) 选项以查看超过 2 周的数据。

      • 问题 63726:在使用 Zscaler 类型配置了通过网关的非 SD-WAN 目标 (NSD) 并将其分配给全局分段的站点中,如果用户将分配的 Zscaler NSD 从全局分段更改为非全局分段,则 VMware Edge 上将缺少到对等项的 0.0.0.0/0 路由。

        在 VMware 网关上,该路由存在,但在 Edge 上,不存在预期的数据中心路由。Orchestrator 不会将路由分配给新分配的非全局分段上的 Edge。

        解决办法:从父分段移除数据中心配置,然后保存配置。通过检查事件等待隧道完全拆除。  此时,将新的数据中心配置分配给新的非全局分段,然后保存配置。  新路由将会分配给新的非全局分段。

      • 问题 64716:用户无法在 VMware SD-WAN Orchestrator 上生成报告。

        当用户尝试生成报告时,将会失败,并且“报告”(Reports) 页面的“状态”(Status) 列中会显示“错误”(Error)。

        解决办法:没有该问题的解决办法。

      • 问题 64847:在浏览器区域设置设为非英语语言的 VMware SD-WAN Orchestrator UI 上使用新 UI 时,“顶级菜单”(Top Level Menu) 窗格的所有选项均缺失。

        在新 UI 上,屏幕右上角有一个“三条线”图标,如果用户单击该“三条线”图标,应触发打开“顶级菜单”(Top Level Menu) 窗格的操作。这些图标有时无法导航到预期目标。

        解决办法:重新加载页面以强制显示预期的页面。

      Cloud Web Security 问题
      • 问题 62934:对于使用 VMware Cloud Web Security 的企业,如果客户端用户在无痕模式下打开 Chrome 浏览器并尝试下载文件,则下载有时可能会失败。

        无痕模式需要启用第三方 Cookie。启用第三方 Cookie,然后重试该操作。下载失败时,用户将看到屏幕上显示:“发生错误,请联系您的管理员”(Error occurred contact your administrator),或者对于来自某个自定义 Web 服务器的文件,将显示:“此页面无法正常工作”(This page is not working)。有时,某些 Web 服务器或文件的文件签名可能存在差异,Cloud Web Security 服务可能无法识别这些差异,因此会出现该问题。

        解决办法:打开“允许第三方 Cookie”(Allowing 3rd party Cookies),然后重试。使用无痕模式窗口时,该问题没有已知的解决办法。

      • 问题 62978:对于使用 VMware Cloud Web Security 的企业,如果客户端用户在无痕模式下打开 Chrome 浏览器并尝试下载文件,下载可能会失败;如果下载失败,用户可能会看到一个缺少 VMware 品牌标识的错误屏幕。

        在上述的文件下载失败(问题 #62934 中已进行介绍)场景中,错误屏幕“发生错误,请联系您的管理员”(Error occurred contact your administrator) 应该显示 VMware 品牌标识,但它并没有显示任何品牌标识。如果用户遇到该问题,应该知晓这不是预期结果。

        解决办法:在浏览器中允许第三方 Cookie。

      • 问题 63149:当客户部署在配置文件中具有重叠子网,为 VMware Cloud Web Security 策略配置了一个子网,并且将 Cloud Web Security 策略与配置文件和分段关联时,该子网上的 Edge 客户端将无法连接到 Internet。
        如果看到流量出现故障,客户端将无法访问 Internet

        如果在同一分段中为 VMware SD-WAN Edge 后面的 LAN 分段配置了重叠子网,则 Edge 后面的资源无法将 Cloud Web Security 策略应用于 Internet 流量。这是因为没有办法唯一标识从 Internet 到 Cloud Web Security 的返回流量的目标 Edge。

        解决办法:在 Edge 上启用 LAN 端 NAT,并且使用唯一的子网表示来自 Edge 后面的资源的流量。

      • 问题 64429:对于使用 VMware Cloud Web Security 的客户企业,如果该企业配置并应用了 Cloud Web Security 策略,使用 Internet 回传,则从 Edge 后的客户端发起到 Internet 服务器的 UDP 传输,在设置了 DF 位时,UDP 传输将会失败。

        Cloud Web Security 将接收 MTU 大小的数据包,但需要向发送方发回“无法访问 ICMP”(ICMP unreachable) 消息,因为由于已设置“不分片”(DF) 位,不允许进行分片化处理。Cloud Web Security 正在对错误的源 IP 地址执行 DNAT(目标网络地址转换),并向客户端发送“无法访问 ICMP,需要进行分片化处理”(ICMP unreachable fragmentation needed) 消息,而不是将其发送回服务器。

        解决办法:TCP 应该可以正常工作,或者在未设置 DF 位的情况下使用 UDP。

      • 问题 65001:对于使用 VMware Cloud Web Security 的客户,用户在使用 VMware Orchestrator 配置检查引擎以打开/关闭文件哈希检查时,无法完成此操作。

        当用户使用 Orchestrator 为“对未知文件下载执行的操作”(Action for Unknown File Download) 和“对未知文档下载执行的操作”(Action for unknown document Download) 配置 Cloud Web Security 检查引擎的文件哈希检查参数时,这些更改不会发送到检查引擎,也不会得到应用。

        解决办法:没有该问题的解决办法。

      • 问题 65115:对于使用 VMware Cloud Web Security 的客户,如果配置了 SAML 身份验证,用户可能无法访问任何网站。

        启用 SAML(安全断言标记语言)身份验证后,如果用户访问任何网站,则会导致身份验证循环,即访问 IdP(身份提供程序)本身需要进行身份验证,然后失败。

        解决办法:在安全策略中添加 SSL 例外,以允许无需进行身份验证即可访问 IdP 登录 URL。

      Secure Access 问题
      • 问题 64541:对于使用 VMware Secure Access 的客户,使用 Workspace ONE UEM 配置中的选项在组织组内配置隧道主机名时,如果用户选择“是”(Yes),则会自动在 UEM 控制台中创建主机名,而不是手动进行配置。

        用户应该可以选择手动配置主机名,而不仅仅是自动创建主机名。  

        解决办法:解决办法是在 UEM 控制台中对其进行手动设置。

      check-circle-line exclamation-circle-line close-line
      Scroll to top icon