更新日期:2022 年 7 月 13 日

VMware SASE™ Orchestrator 版本 R450-20220502-GA
VMware SD-WAN™ 网关版本 R450-20211123-GA-74198-70416-74482-30022
VMware SD-WAN™ Edge 版本 R450-20220413-GA
使用 Orchestrator 版本 R450-20220502-GA 的 VMware Cloud Web Security™
使用 Orchestrator 版本 R450-20220502-GA 的 VMware Secure Access™ 版本
使用 Orchestrator 版本 R450-20220502-GA 的 VMware Edge Network Intelligence™

请定期检查以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

建议的用途

对于需要使用最初在 4.5.0 版本中提供的特性和功能的所有客户,建议使用该版本。

兼容性

4.5.0 版本 Orchestrator、网关和 Hub Edge 支持以前发行的所有 3.0.0 或更高版本的 VMware SD-WAN Edge。 
注意:这意味着不支持 3.0.0 之前的版本。

已明确测试了以下 SD-WAN 互操作性组合:

Orchestrator

网关

Edge

Hub

分支

4.5.0 

4.2.1 

4.2.1 

4.2.1 

4.5.0 

4.5.0 

4.2.1 

4.2.1 

4.5.0 

4.5.0 

4.5.0 

4.2.1 

4.5.0 

4.5.0 

4.2.1 

4.5.0 

4.5.0 

3.4.5 

3.4.4 

3.4.3 

4.5.0 

4.5.0 

3.4.4 

3.4.3 

4.5.0 

4.5.0 

4.5.0 

3.4.3 

4.5.0 

4.5.0 

3.4.4 

4.5.0 

4.5.0 

 3.3.2 P2 *

 3.3.2 P2 *

 3.3.2 P2 *

4.5.0 

4.5.0 

  3.3.2 P2 * 

 3.3.2 P2 *

4.5.0 

4.5.0 

4.5.0 

 3.3.2 P2 *

4.5.0 

4.5.0 

 3.3.2 P2 *

4.5.0 

4.5.0 

4.3.0 

4.3.0 

4.3.0 

4.5.0 

4.5.0 

4.3.0 

4.3.0 

4.5.0 

4.5.0 

4.5.0 

4.3.0 

4.5.0 

4.5.0 

4.3.0 

4.5.0 

4.5.0 

4.5.0 

 3.2.2 *

 3.2.2 *

4.5.0 

4.5.0 

4.5.0 

 3.2.2 *

4.5.0 

4.5.0 

 3.2.2 *

4.5.0 

注意:上表仅适用于使用 SD-WAN 服务的客户。需要访问 VMware Cloud Web Security 或 VMware Secure Access 的客户需要将其 Edge 升级到版本 4.5.0。

警告:VMware SD-WAN 版本 3.2.x 和 3.3.x 已终止支持。

  • 版本 3.2.x 和 3.3.x 已于 2021 年 12 月 15 日终止常规支持 (EOGS),并于 2022 年 3 月 15 日终止了技术指导 (EOTG)。

警告:VMware SD-WAN 3.4.x 版本即将终止对 Orchestrator 和网关的支持。

  • Orchestrator 和网关的版本 3.4.x 将于 2022 年 3 月 30 日终止常规支持 (EOGS),并于 2022 年 9 月 30 日终止技术指导 (EOTG)。
  • 注意:适用于 Orchestrator 和网关。Edge 的 3.4.x 计划从 2022 年 12 月 31 日开始进入其终止支持时段。
  • 有关详细信息,请参阅知识库文章:公告:VMware SD-WAN 3.x 版本的支持期终止 (84151)

警告:VMware SD-WAN 版本 4.0.x 和 4.2.x 即将终止支持。 

  • 版本 4.0.x 将于 2022 年 9 月 30 日终止常规支持 (EOGS),并于 2022 年 12 月 31 日终止技术指导 (EOTG)。 
  • 4.2.x 版本的 Orchestrator 和网关将于 2022 年 12 月 30 日终止常规支持 (EOGS),并于 2023 年 3 月 30 日终止技术指导 (EOTG)。   
  • 4.2.x 版本的 Edge 将于 2023 年 6 月 30 日终止常规支持 (EOGS),并于 2023 年 9 月 30 日终止技术指导 (EOTG)。
  • 有关详细信息,请参阅知识库文章:公告:VMware SD-WAN 4.x 版本的支持期终止 (88319)

注意:3.x 版本无法正确支持 AES-256-GCM,这意味着,使用 AES-256 的客户始终要在禁用 GCM 的情况下应用 Edge (AES-256-CBC)。如果客户使用的是 AES-256,他们必须先从 Orchestrator 中明确禁用 GCM,然后再将其 Edge 升级到 4.x 版本。在所有 Edge 运行 4.x 版本后,客户可以在 AES-256-GCM 和 AES-256-CBC 之间进行选择。

Orchestrator、网关和 Edge 的升级途径

对于想要将 Orchestrator、网关或 Edge 从较低版本升级到 4.5.0 版本的客户,下面列出了相应的途径。

Orchestrator

由于从 4.0.0 版本开始,Orchestrator 中的基础架构发生了变化,因此任何使用 3.x 版本的 Orchestrator 都需要先升级到 4.0.0,然后再升级到 4.5.0。使用 4.0.0 或更高版本的 Orchestrator 可以直接升级到 4.5.0。  因此,Orchestrator 的升级途径如下所示:

使用版本 3.x 的 Orchestrator → 4.0.0 → 4.5.0。

使用版本 4.x 的 Orchestrator → 4.5.0。

网关

不支持将网关从 3.x 升级到 4.5.0。为此,需要全新部署一个具有相同虚拟机属性的 3.x 网关,然后弃用旧实例,而不是进行升级。

所有网关类型均完全支持升级使用 4.0.0 或更高版本的网关。

Edge

Edge 可以直接从任何版本 3.x 或更高版本升级到版本 4.5.0。

重要说明

使用高可用性拓扑的站点存在潜在问题

在高可用性拓扑中部署一对 Edge 的站点可能会遇到以下问题:备用 Edge 重新引导一次或多次以解决活动-活动状态问题。备用 Edge 重新引导可能会导致客户流量中断,并且对使用增强型 HA 拓扑的站点的影响更大,因为备用 Edge 也会传递客户流量。此问题由本发行说明 Edge/网关已知问题部分下的问题 85369 进行跟踪。

访问 Cloud Web Security 和 Secure Access

想要访问 VMware Cloud Web Security 或 VMware Secure Access 的客户必须将其 Edge 升级到版本 4.5.0。  在使用低于 4.5.0 的版本的 Edge 上无法访问这些服务。

用于 AS-PATH 附加的 BGPv4 筛选器配置的分隔符更改

在版本 3.x 中,用于 AS-PATH 附加的 VMware SD-WAN BGPv4 筛选器配置支持基于逗号和空格的分隔符。但是,从版本 4.0.0 开始,VMware SD-WAN 在 AS-Path 附加配置中仅支持基于空格的分隔符。
从 3.x 升级到 4.x 的客户需要在升级之前对其 AS-PATH 附加配置进行编辑以“将逗号替换为空格”,以避免选择错误的 BGP 最佳路由。

Edge 3x00 型号的升级时间延长

在 Edge 3x00 型号(如 3400、3800 和 3810)上,升级到此版本可能需要 3-5 分钟,这超出了正常升级所用的时间。这是由于为解决问题 53676 而进行的固件升级所致。如果 Edge 3400 或 3800 之前已在版本 3.4.5/3.4.6、4.0.2、4.2.1 或 4.3.0 上升级其固件,则 Edge 将按预期完成升级。有关详细信息,请查阅相应发行说明中的“修复的问题 53676”部分。

Edge 和网关上的“IPSec 上的 BGP”和 Azure 虚拟 WAN 自动化的限制

Edge 和网关上的“IPSec 上的 BGP”功能与 Edge 或网关中的 Azure 虚拟 WAN 自动化不兼容。在自动从 Edge 或网关连接到 Azure vWAN 时,仅支持静态路由。

在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制

在端口 SFP1 或 SFP2 上使用具有铜缆接口的 SFP 时,如果用户在 VMware SD-WAN Edge 型号 620、640 或 680 的端口 GE1 - GE4 上,在 Edge 3400、3800 或 3810 的端口 GE3 或 GE4 上,或者在 Edge 520/540 上禁用硬编码速度和双工自动协商,则用户可能会发现即使重新引导后,链路也不会建立连接。

这是由于列出的每个 Edge 型号使用 Intel 以太网控制器 i350 所致,该控制器存在一个限制,即当链路两端均未使用自动协商时,它无法动态检测用于进行传输和接收的相应线路(自动 MDIX)。如果连接的两端在同一线路上进行传输和接收,则检测不到该链路。如果对等端也不支持未使用自动协商的自动 MDIX,并且链路不是使用直连电缆连接,则需要使用交叉以太网电缆来连接链路。

有关详细信息,请参阅知识库文章在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制 (87208)

不支持在高可用性模式中混合使用支持 Wi-Fi 的 Edge 和不支持 Wi-Fi 的 Edge 

从 2021 年开始,VMware SD-WAN 引入了不包含 Wi-Fi 模块的 Edge 型号:Edge 型号 510N、610N、620N、640N 和 680N。虽然除了不包含 Wi-Fi 模块之外,这些型号在其他方面均与支持 Wi-Fi 的对应型号相同,但是不支持将同一型号支持 Wi-Fi 的 Edge 和不支持 Wi-Fi 的 Edge(例如,Edge 640 和 Edge 640N)部署为高可用性对。客户应确保部署为高可用性对的 Edge 属于同一类型,即:两个 Edge 都支持 Wi-Fi,或两个 Edge 都不支持 Wi-Fi。

SD-WAN 新增功能

IPv6 LAN 到 WAN 底层网络

此功能支持以下各项:

  • LAN 上的 IPv6
    • 在路由接口(静态、DHCPv6 无状态、DHCPv6 有状态)上支持 IPv6
  • IPv6 路由,SD-WAN Edge 支持:
    • BGPv6(多跳)
    • BFDv6(多跳)
    • IPv6 静态路由
    • IPv6 反向路径转发(严格/宽松/禁用)
  • IPv6 监控
    • IPv6 底层网络记帐
    • BGPv6 和 BFDv6 监控
    • IPv6 远程诊断

网关 NAT 跟踪

NAT 跟踪功能提供了一项服务,可将通过网关或合作伙伴网关进行转换的每个流量的跟踪详细信息流式传输到可以保留和分析数据的外部日志服务器。 

网关迁移

这项功能为客户提供一项迁移网关的自助功能。合作伙伴和客户可以使用此功能通过引导式工作流迁移通过网关的非 SD-WAN 目标隧道并重新均衡网关。

SD-WAN 增强功能

统一管理

版本 4.5.0 支持新的即时可用角色,方便更精细地管理 SASE 服务。可以使用 Orchestrator 的新 Angular 用户界面中提供的新角色生成器创建自定义角色。Cloud Web Security 和 Secure Access 服务可以具有自己的专用角色,用于在 SD-WAN、Edge Network Intelligence、Cloud Web Security 和 Secure Access 之间实现角色和用户的分离。

SD-WAN Edge 上的 Zscaler 集成 GRE 自动化

现在,可以使用 API 自动创建从 SD-WAN Edge 到 Zscaler 的 GRE 隧道。此自动工作流会选择最近的两个服务 Edge。可以在此自动工作流中启用 L7 运行状况检查。

SASE 新增功能

数据丢失防护 (DLP)

数据丢失防护 (DLP) 可以保护 Cloud Web Security 用户免受因意外或故意共享受限数据而造成的损失。DLP 功能适用于具有 Cloud Web Security 高级版软件包的客户。Cloud Web Security DLP 具有以下功能:

  • 防止数据丢失以确保符合 HIPAA、PCI、GDPR 及其他数据隐私法。
  • 超过 350 个即时可用的字典用于检查流量。
  • 可使用正则表达式或字符串配置自定义字典。
  • 向指定的管理员报告不合规活动。

注意:此功能从 VMware SASE Orchestrator 内部版本 R450-20220315-GA 开始可供访问。低于 R450-20220315-GA 的 4.5.0 Orchestrator 内部版本仅限于访问下面列出的 SASE 新增功能。

云访问安全代理 (CASB)

云访问安全代理 (CASB) 可对用户在访问 SaaS 应用程序时的活动提供可见性和控制。Cloud Web Security CASB 包含以下功能:

应用程序可见性(包含在 Cloud Web Security 标准版和高级版软件包中):客户能够查看用户在其网络中访问的不同 SaaS 应用程序。 

对于每个应用程序,使用 CASB 应用程序可见性的客户可以观察到:

  • 每个应用程序的风险评分。 
  • 用户访问应用程序的次数。
  • 应用程序的类别。

应用程序控制(仅包含在 Cloud Web Security 高级版软件包中):客户能够控制可对每个 SaaS 应用程序执行的特定操作。系统提供了适用于所有 SaaS 应用程序的即时可用的预定义控件,还在每个应用程序级别提供了应用程序特定的控件。可以根据用户和用户组按应用程序自定义并配置这些控件。

对于每个应用程序,使用 CASB 应用程序控件的客户可以控制:

  • 对应用程序站点的初始访问(允许或阻止)。
  • 其他操作,包括登录、上载/下载内容、搜索、编辑、共享、创建、删除、点赞或发布。

客户可以查看他们想要控制的应用程序的当前可用操作。

支持棕地混合部署

如果客户的现有部署使用 4.3.0 或更低版本,并且在 VMware 托管或合作伙伴托管的 Orchestrator 上使用合作伙伴网关,则在所有组件(Orchestrator、网关和 Edge)均升级到 4.5.0 版本后,客户现在可以访问 SASE 服务,如 Cloud Web Security 和 Secure Access。 

在完全升级到 4.5.0 后,客户可以通过 VMware 托管的 SASE PoP 访问 Cloud Web Security 和 Secure Access 服务。

Edge Network Intelligence 新增功能

Edge Network Intelligence 客户端应用程序

Edge Network Intelligence 客户端应用程序现已公开发布。此客户端应用程序可用于确定最终用户是否由于本地 Wi-Fi、Internet 或 VPN 连接而在访问应用程序时遇到问题。此应用程序可在 macOS X 和 Windows 10 上使用。

合作伙伴对 Edge Network Intelligence 的访问权限   

合作伙伴可以从 Orchestrator 访问 Edge Network Intelligence,并能够启动应用程序和分支分析。

自动为 Orchestrator 事件添加注释    

Edge Network Intelligence 网络历史记录将自动为 Orchestrator 中的重要事件添加注释。此功能可用于确定 Orchestrator 中发生的事件是否影响了 Edge 的基准性能。

用于警示的 Webhook    

可以配置 Webhook 以发送警示通知。警示通知将提供有关以下项的详细信息:警示优先级、受影响的设备数量、根本原因和建议的后续步骤。

自助激活 Zoom 集成

客户现在可以转到我的帐户 (My Account) > 源 (Feeds),并找到激活 Zoom 集成所需的链接。

关闭事件 AP 影响报告

AP 影响报告将汇总哪些 AP 发生了影响客户端的关闭事件。

支持新的硬件平台

Edge 510N、Edge 610N、Edge 620N、Edge 640N 和 Edge 680N

VMware 计划推出几种不包含集成 Wi-Fi 的新 SD-WAN Edge 硬件型号。这些硬件型号包括 Edge 510N、610N、620N、640N 和 680N。此版本将支持这些 Edge 型号。在 VMware SD-WAN/SASE Orchestrator 设置中进行的任何 Wi-Fi 配置都不会影响这些 Edge 型号。

自 4.3.x 和 4.4.x 版本以来所做的 Orchestrator API 更改

VMware SASE Platform API 文档的新主页 

现在,可通过 VMware 的新开发人员门户 developer.vmware.com 获取适用于构成 VMware SASE Platform 的各项服务(包括 SD-WAN、Cloud Web Security 和 Secure Access)的综合 API 参考文档。 

对 SD-WAN 门户 API(“v1”)所做的更改 

code.vmware.com 上,除了 4.5.0 Orchestrator 门户 API 参考之外,还提供了全面的 API 更改日志。 

以下更改可能需要维护 API 客户端的人员采取相应措施,以防止客户端应用程序中断: 

  • 66011:对于是否在时间序列样本中包含样本级别评分信息,linkQualityEvent/getLinkQualityEvents API 方法之前表现出非确定性行为。进行此更改后,必须指定“individualScores”请求参数,才能触发样本级别评分报告。 

  • 68447:4.3.0 版本在 deviceSettings 配置模块(API 参考中的“device_settings_cloud_security”模型)内的“云安全”(Cloud Security) 选项部分(“css”)中构建了一个云安全“子位置”(sublocations) 结构定义,用于配置 Zscaler 子位置。此过程已迁移到 deviceSettings 配置结构定义中新增的“zscaler”部分(请参阅更新的模型“segmentBasedDeviceSettingsData”)。升级到 4.5.0 版本 Orchestrator 后,将执行系统修补程序,以将遵循旧结构定义的 deviceSettings 配置模块转换为新的结构定义。Orchestrator 不再遵循旧结构定义,并且需要更新可生成与旧结构定义一致的子位置配置选项的客户端,以确保它们生成符合新结构定义的数据。 

  • 70202:由于用于记录链路 QoE 数据的底层数据库发生更改(以及随之产生的处理行为更改,旨在提升查询性能并生成与其他衡量指标 API 更为一致的行为),用户在使用 linkQualityEvent/getLinkQualityEvents API 方法查询最新的 QoE 数据时,可能会发现最近 15 分钟内的评分信息保真度较低。我们建议查询最新数据时使用的查询时间间隔不短于 20 分钟。 

  • 出于安全原因,针对以下 API 方法添加了更严格的语法验证。建议需使用这些方法的开发人员检查自己对这些 API 方法的使用,并确保参数语法符合 API 参考中记录的语法。 

  • configuration/getConfiguration 

  • edge/deleteEdge 

对 Orchestrator SD-WAN API v2 所做的更改 

问题 66011 和 70202 还适用于使用 APIv2 方法查询链路质量事件的用户。 

文档修订历史

2021 年 9 月 30 日。第一版

2021 年 10 月 8 日。第二版

  • 添加了新的 Orchestrator 内部版本 R450-20211006-GA,其中包括适用于 Cloud Web Security 用户的 CASB 功能。
  • 在发行说明的 Cloud Web Security 新增功能部分中添加了 CASB 功能的说明。
  • 在 R450-20211006-GA 解决的 Orchestrator 问题中添加了“修复的问题 71278”。  
  • 在“解决的 Cloud Web Security 问题”部分中添加了“修复的问题 72485”,因为 CASB 的可用性取决于是否已解决此问题。此修复包含在 R450-20211006-GA 内部版本中。
  • 添加了新的 GA Edge 内部版本 R450-20211007-GA-72423。
  • 在新增的 Edge 内部版本 R450-20211007-GA-72423 部分中添加了新的“修复的问题 72493”。
  • 移除了增强功能“减少无线链路上的 SD-WAN 管理和控制流量”,因为该功能被错误地包含在内,并且此功能未包含在版本 4.5.0 的 GA 版本中。

2021 年 10 月 13 日。第三版

  • 添加了新的 Orchestrator 内部版本 R450-20211012-GA。
  • 在“解决的 Orchestrator 问题”中为 R450-20211012-GA 添加了“修复的问题 72386”和“修复的问题 72424”。

2021 年 10 月 25 日。第四版

  • 在“解决的 Edge/网关问题”部分中添加了新的网关内部版本 R450-20211022-GA-74198。  此内部版本是版本 4.5.0 的新网关 GA 内部版本。
  • 此网关内部版本修复了问题 74198,该问题已记录在“解决的 Edge/网关问题”部分中。
  • 移除了未解决的问题 52104,因为该问题已在 4.2.x 中解决;还移除了未解决的问题 52483,因为该问题在此版本发布之前已关闭。

2021 年 11 月 2 日。第五版。

  • 在“解决的 Orchestrator 问题”部分中添加了新的 Orchestrator 内部版本 R450-20211101-GA。
  • 在“解决的 Orchestrator 问题”中为 R450-20211029-GA 添加了修复的问题 63110、64762、69570、69912、72041、73910、74038、74106、74187、74460 和 74491。
  • 在“解决的 Edge/网关问题”部分中添加了新的网关内部版本 R450-20211029-GA-74198-70416。  此内部版本是版本 4.5.0 的新网关 GA 内部版本。
  • 此网关内部版本修复了问题 70416,该问题已记录在“解决的 Edge/网关问题”部分中。

2021 年 11 月 8 日。第六版

  • 在“解决的 Edge/网关问题”部分中添加了新的网关内部版本 R450-20211104-GA-74198-70416-74482。  此内部版本是版本 4.5.0 的新网关 GA 内部版本。
  • 此网关内部版本修复了问题 74482,该问题已记录在“解决的 Edge/网关问题”部分中。

2021 年 11 月 10 日。第七版

  • 在“解决的 Orchestrator 问题”部分中添加了新的 Orchestrator 内部版本 R450-20211109-GA。
  • 在“解决的 Orchestrator 问题”中为 R450-20211109-GA 添加了修复的问题 69196、72018、72020、75311 和 75433。
  • 在“Orchestrator 已知问题”中添加了问题 75188。

2021 年 11 月 22 日。第八版

  • 在“解决的 Orchestrator 问题”部分中添加了新的 Orchestrator 内部版本 R450-20211120-GA。
  • 在“解决的 Orchestrator 问题”中为 R450-20211120-GA 添加了修复的问题 71490、75188、75781 和 75859。

2021 年 11 月 30 日。第九版

  • 在“解决的 Edge/网关问题”部分中添加了新的网关内部版本 R450-20211123-GA-74198-70416-74482-30022。  此内部版本是版本 4.5.0 的新网关 GA 内部版本。
  • 此网关内部版本没有添加新的修复问题,但包含 VMware 工程团队所需的故障排除更改。具体来说,改进了网关调试日志格式。

2021 年 12 月 21 日。第十版

  • 在“解决的 Orchestrator 问题”中添加了新的 Orchestrator 内部版本 R450-20211218-GA。此 Orchestrator 内部版本通过更新到 Log4j 版本 2.16.0,修复了 CVE-2021-44228(Apache Log4j 漏洞)。有关 Apache Log4j 漏洞的详细信息,请参阅 VMware 安全公告 VMSA-2021-0028.5
  • 重要说明中添加了以下说明:在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制。该说明介绍了在列出的 Edge 型号的某些以太网端口上配置强制速度时可能遇到的问题。

2022 年 1 月 28 日,第十一版

  • 在“解决的 Edge 问题”部分中添加了新的 Edge 内部版本 R450-20220120-GA。此内部版本是版本 4.5.0 的新 Edge GA 内部版本。
  • 此 Edge 内部版本已修复问题 72413、74313 和 76173,这三个问题都已记录在“解决的 Edge 问题”部分中。
  • 对“修复的 Edge 问题 58791”进行了编辑,以说明该问题可能会在哪些情况下发生,并对旨在说明该问题发生原因的内容进行了简化。

2022 年 2 月 10 日,第十二版

  • 在“解决的 Edge 问题”部分中添加了新的 Edge 内部版本 R450-20220203-GA。此内部版本是版本 4.5.0 的新 Edge GA 内部版本。
  • 此 Edge 内部版本修复了问题 34234、53951、76196、72423、77525 和 81672,这些问题都已记录在该部分中。
  • 修改了在 R450-20211007-GA-72423 和 R450-20220120-GA 内部版本中发现的问题 72423 的描述,以说明之前即使进行了该修复,仍可能会出现罕见的极端情况,但现在这种极端情况已在 R450-20220202-GA 内部版本中得到彻底解决。

2022 年 2 月 17 日,第十三版

  • 在“解决的 Orchestrator 问题”部分中添加了新的 Orchestrator 内部版本 R450-20220215-GA。此内部版本是版本 4.5.0 的新 Orchestrator GA 内部版本。
  • 添加了修复的问题 64410、64438、68153、74284、74491。在“解决的 Orchestrator 问题”中为 R450-20220215-GA 添加了修复的问题 74674、74710、74715、74825、77043、77101、80613、81498 和 81599。
  • 修复的 Orchestrator 问题影响以下 VMware SASE 服务:
    • VMware SD-WAN:74491、77043、77101、80613、81498 和 81599
    • VMware Cloud Web Security:64410、64438、74284、74674、74710、74715 和 74825
    • VMware Secure Access:64410

2022 年 2 月 21 日。第十四版。

  • 在“解决的 Edge/网关问题”部分中添加了修复的问题 65466。此修复包含在 Edge 和网关的原始 GA 版本中,但在 4.5.0 发行说明第一版中错误地遗漏了此修复。

2022 年 3 月 3 日。第十五版。

  • 添加了重要说明:不支持在高可用性模式中混合使用支持 Wi-Fi 的 Edge 和不支持 Wi-Fi 的 Edge。 

2022 年 3 月 17 日,第十六版

  • 在“解决的 Orchestrator 问题”部分中添加了新的 Orchestrator 内部版本 R450-20220315-GA。此内部版本是版本 4.5.0 的新 Orchestrator GA 内部版本。
  • 对于具有 Cloud Web Security 高级版软件包的客户,Orchestrator 内部版本 R450-20220315-GA 包含对数据丢失防护 (DLP) 功能的访问权限。
  • 在发行说明的 SASE 新增功能部分中添加了 DLP 功能的说明。
  • 此 Orchestrator 内部版本通过更新到 Log4j 版本 2.17.0,修复了 CVE-2021-45046(Apache Log4j 漏洞)。有关 Apache Log4j 漏洞的详细信息,请参阅 VMware 安全公告 VMSA-2021-0028.13
  • 在“解决的 Orchestrator 问题”中为 R450-20220315-GA 添加了修复的问题 69573、76036、79324、83534、83538、83822、83940、84286、84297、84299 和 84300。
  • 修复的 Orchestrator 问题影响以下 VMware SASE 服务:
    • VMware SD-WAN:76036
    • VMware Cloud Web Security:79324、83534、83822、83940、84286、84297、84299 和 84300。
    • VMware Secure Access:69573 和 83538。
  • 在“解决的网关问题/解决的问题”部分中添加了修复的问题 64713。此问题的修复已包含在原始的 Edge GA 内部版本 R450-20210922-GA 中,但在此版本之前,该问题被错误地遗漏。
  • 兼容性部分下,添加了一个新的警告,指出 3.4.x 版本的软件即将结束对 Orchestrator 和网关的支持,并将于 2022 年 3 月 30 日终止常规支持 (EOGS),于 2022 年 6 月 30 日终止技术指导 (EOTG)。这仅适用于 Orchestrator 和网关。3.4.x Edge 软件计划从 2022 年 12 月 31 日开始进入其终止支持时段。
  • 添加了有关 Edge 和网关上的“IPSec 上的 BGP”和 Azure 虚拟 WAN 自动化的限制的新重要说明。该说明内容如下:“Edge 和网关上的‘IPSec 上的 BGP’功能与 Edge 或网关中的 Azure 虚拟 WAN 自动化不兼容。在自动从 Edge 或网关连接到 Azure vWAN 时,仅支持静态路由。”

2022 年 3 月 23 日,第十七版

  • Edge/网关已知问题部分中添加了问题 84825。
  • 进一步编辑了已修复的问题 58791,移除了有关以下内容的部分说明:该请求单修复了配置了大量 BGP“匹配”和“设置”筛选器的 HA 站点。该部分问题无法使用此请求单进行修复,并通过问题 84825 进行跟踪。

2022 年 4 月 9 日。第十八版

  • 在“解决的 Edge 问题”部分中添加了新的 Edge 汇总内部版本 R450-20220404-GA。这是第三个 Edge 汇总内部版本,也是版本 4.5.0 的新 Edge GA 内部版本。
  • Edge 内部版本 R450-20220404-GA 修复了问题 67201、67336、72245、72718、77625、78003、80551、80654、83432 和 84106,这些问题已记录在该部分中。
  • Edge/网关已知问题部分中添加了新的未解决问题 83212。
  • Edge/网关已知问题部分中添加了未解决的问题 62701,因为此问题目前在所有版本中仍未解决。

2022 年 4 月 25 日。第十九版

  • 在“解决的 Edge 问题”部分中添加了新的 Edge 汇总内部版本 R450-20220413-GA。这是第四个 Edge 汇总内部版本,也是版本 4.5.0 的新 Edge GA 内部版本。
  • Edge 内部版本 R450-20220413-GA 修复了问题 78300 和 85375,这两个问题均已记录在该部分中。

2022 年 5 月 4 日,第二十版

  • 在“解决的 Orchestrator 问题”部分中添加了新的 Orchestrator 内部版本 R450-20220502-GA。这是第八个 Orchestrator 汇总内部版本,也是版本 4.5.0 的新 Orchestrator GA 内部版本。
  • Orchestrator 内部版本 R450-20220502-GA 修复了问题 78688、84214 和 84969,这三个问题均已记录在该部分中。
  • 从“Edge/网关已知问题”部分移除了问题 46254 和 49738,因为这些问题已在 4.3.0 版本中解决,因此在 4.5.0 中也已得到解决。

2022 年 5 月 27 日,第二十一版

  • Edge/网关已知问题部分中添加了问题 85369。

2022 年 6 月 8 日,第二十二版

  • 添加了新的重要说明“使用高可用性拓扑的站点存在潜在问题”,这与使用高可用性拓扑部署一对 Edge 的客户站点持续出现的问题有关。Edge/网关已知问题中的问题 85369 会继续跟踪此问题。
  • 兼容性部分下,修改了 4.2.x 版本 Edge 软件的生命周期终止日期。Edge 软件被划分为单独的项目列出,现在的内容为:“4.2.x 版本的 Edge 将于 2023 年 6 月 30 日终止常规支持 (EOGS),并于 2023 年 9 月 30 日终止技术指导 (EOTG)。”  单独的 Orchestrator 和网关条目与之前的生命周期结束日期保持相同。
  • 修订了“解决的 Edge/网关问题”部分中的问题 53951 以包含另一个场景,在此场景下可能会影响现场遇到此问题的客户。

2022 年 7 月 13 日。第二十三版

  • 在“Edge/网关已知问题”部分中添加了未解决的问题 9136592676

解决的问题

解决的问题分为以下几类。

解决的 Edge 问题

Edge 版本 R450-20220413-GA 中解决的问题

Edge 版本 R450-20220413-GA 在 2022 年 4 月 25 日发布,它是版本 4.5.0 的第 4 个 Edge 汇总内部版本。

此 Edge 汇总内部版本解决了自第 3 个 Edge 汇总版本 R450-20220404-GA 以来存在的以下严重问题。

  • 修复的问题 78300:如果 VMware SD-WAN Edge 使用配置为备份链路的 WAN 链路,用户可能会观察到指示该链路的隧道正在启动或关闭的日志或 Orchestrator 事件。

    按照设计,不会为备份链路建立隧道。但是,来自远程端的任何隧道请求(通常是动态 Edge 到 Edge 隧道)可能会在通过堆栈时更改链路状态。在该修复中,已经采取了相应措施,确保没有日志指示正在为备份链路形成或拆除任何隧道。

  • 修复的问题 85375:在 VMware SD-WAN Edge 或 VMware SD-WAN Edge LTE 型号(510-LTE 或 610-LTE)上使用基于 USB 的 LTE 调制解调器的客户可能会遇到 LTE 流量中断问题。

    用户会在 Edge 日志上观察到 RX 错误,这些错误会递增,且不会通过 LTE 接口传递任何流量。该问题的一个方面是,仅在 LTE 链路的 MTU 小于 1500 时才会发生。

___________________________________________________________________

Edge 版本 R450-20220404-GA 中解决的问题

Edge 版本 R450-20220404-GA 在 2022 年 4 月 5 日发布,它是版本 4.5.0 的第 3 个 Edge 汇总内部版本。

此 Edge 汇总内部版本解决了自第 2 个 Edge 汇总版本 R450-20220203-GA 以来存在的以下严重问题。

  • 修复的问题 67201:对于使用高可用性拓扑的站点,客户可能会观察到 VMware SD-WAN 备用 Edge 多次重新引导,并且客户流量可能会中断。

    在检测到备用 Edge 后,活动 Edge 会将所有路径信息同步到备用 Edge。  但是,如果存在大量路径同步消息,Edge 处理这些路径同步消息的方式可能会导致备用 Edge 上的数据平面服务出现故障,或导致线程优先级反转,从而会造成检测信号处理出现延迟,而这种处理可能会导致出现“活动/活动”状态。在传统 HA 拓扑上的任一实例中,客户遭受到的影响极小,因为备用 Edge 不会传输客户流量。不过,在增强型 HA 部署中,备用 Edge 还会传递流量,因而重新引导可能会中断某些客户流量。包含此修复的 HA Edge 增强了路径信息处理代码路径,以防止出现该问题。

  • 修复的问题 67336:在用户查看 VMware SD-WAN Edge 的 Orchestrator“监控”(Monitoring) 页面时,与该 Edge 的应用程序统计信息相比,传输统计信息显示的值要低得多。

    该问题导致用户无法准确了解特定 Edge 的吞吐量,因为用户无法知道哪个数据集是正确的。出现此问题的原因是,传输统计信息不包含底层网络记帐和执行此操作的应用程序统计信息。

  • 修复的问题 72245:如果使用 VMware SD-WAN Hub Edge 作为 MPLS 网络的 Internet 出口,则从连接的分支 Edge 的专用接口到任何公用网关的管理 (VCMP) 隧道可能会关闭或无法启动。

    从分支 Edge 的专用接口到公用网关的管理 (VCMP) 数据包将通过 Hub Edge 发送。在该场景中,Hub 会将该流量视为直接流量,并通过公用接口将这些数据包推送到 Internet。但是,由于路由问题,这些流量可能被标记为“通过网关”(Via Gateway),这会导致上述问题。

  • 修复的问题 72718:在使用通过 Edge 的非 SD-WAN 目标 (NSD) 的客户站点上,如果将 Internet 回传配置为由通过 Edge 的 NSD 路由流量,则流量无法使用回传规则传输到目标。

    由于未覆盖目标 ID 而导致的问题,将无法回传到通过 Edge 的 NSD。未回传到 NSD 的先前流量与目标为网关的默认云路由相匹配。SD-WAN 服务无法使用较新的 NSD 逻辑 ID 覆盖较旧的云路由目标,从而在匹配回传规则时,流量传输将失败。

  • 修复的问题 77625:在使用高可用性拓扑部署的站点中,用户可能会观察到 VMware SD-WAN 备用 Edge 多次重新引导。

    由于 HA 线程优先级反转,站点进入“活动/活动”(“脑裂”)状态,优先级较低的线程将优先处理,并且会阻止优先级较高的线程运行,这将造成检测信号处理出现延迟,并导致备用 Edge 被错误地升级为活动 Edge。在“活动-活动”状态下,这种状态会由活动 Edge 打破,而备用 Edge 将重新引导以降级回正确的备用状态。但是,在这种情况下,会多次检测到活动/活动事件,并且每次都会重新引导备用 Edge 以恢复站点。在传统 HA 拓扑中遇到此问题时,客户遭受到的影响极小,因为备用 Edge 不会传输客户流量。在增强型 HA 部署中,备用 Edge 还会传递流量,因而重新引导可能会中断某些客户流量。 

    该问题实际已在 Edge 6x0(610、620、640、680)型号中出现,但该问题与平台无关,也可能会在其他 Edge 型号中出现。

  • 修复的问题 78003:对于使用 Hub/分支拓扑的客户,可能无法形成从 VMware SD-WAN 分支 Edge 到 Hub Edge 的静态隧道。

    通常,如果已在分支 Edge 上建立大量动态 Edge 到 Edge 隧道,则会在分支上触发对静态隧道的最大隧道数检查,此检查会阻止形成从分支到 Hub 的静态隧道。

  • 修复的问题 80551:在包含内部 LTE 调制解调器的 VMware SD-WAN Edge 型号(Edge 510-LTE 和 Edge 610-LTE)中,当 CELL 接口上的 IPv6 地址发生更改时,通过 IPv6 链路的 LTE 隧道变为“不稳定”(UNSTABLE) 状态。

    每当 CELL 接口上的 IPv6 地址发生更改(例如,由于 DHCP 租约到期而更改)时,IPv6 隧道都会变为“不稳定”(UNSTABLE) 状态。这是因为隧道继续使用旧的 IPv6 地址,而不是新地址。

    如果未进行该修复,则解决该问题的唯一办法是重新启动 Edge 服务。

  • 修复的问题 80654:对于配置了增强型高可用性拓扑的站点,用户在 VMware SD-WAN 备用 Edge 的 WAN 链路上可能会观察到间歇性流量丢包。

    在频繁发生路径抖动(频繁添加和删除路径)时,在某些计时场景中,活动 Edge 和备用 Edge 之间的 TCP 连接会重置,从而导致通过备用 Edge 上的 WAN 链路的流量丢弃数据包。

  • 修复的问题 83432:对于使用高可用性拓扑部署的站点,在向站点添加其他隧道时,VMware SD-WAN 备用 Edge 可能会发生数据平面服务崩溃并生成核心转储。

    添加隧道的常见方法是将 WAN 链路添加到 HA Edge。  当备用 Edge 需要与活动 Edge 同步的隧道数超过 80 时,将会在备用 Edge 上触发异常和数据平面服务故障。在传统 HA 拓扑中遇到此问题时,客户遭受到的影响极小,因为备用 Edge 不会传输客户流量。在增强型 HA 部署中,备用 Edge 还会传递流量,因而重新引导可能会中断某些客户流量。 

  • 修复的问题 84106:VMware SD-WAN Edge 可能会按不正确的时间间隔导出 NetFlow 统计信息,这会导致接收系统不同步。

    NetFlow 数据包可能比配置的时间间隔额外延迟 5 秒。这是因为 NetFlow 导出程序仅每 5 秒检查一次导出时间,因此 NetFlow 数据包在配置的时间间隔和实际导出时间间隔之间可能存在 5 秒的延迟。

___________________________________________________________________

Edge 版本 R450-20220203-GA 中解决的问题

Edge 版本 R450-20220203-GA 于 2022 年 2 月 10 日发布,解决了自 Edge 版本 R450-20220120-GA 以来存在的以下严重问题。

  • 修复的问题 34234:VMware SD-WAN Edge 上的 WAN 链路可能在 Orchestrator UI 上显示不正确的带宽容量值,并且客户可能会观察到该 WAN 链路的利用率未达到其实际带宽容量。

    出现该问题时,不会对 WAN 链路进行重新测量,以指定频率获取最新带宽容量值。出现该问题是因为,每当 WAN 链路上发生隧道拆除/启动(即抖动)时,服务便会重置带宽值缓存上的日期。由于缓存的带宽值被重置,SD-WAN 服务会误认为这是新值,不需要进行额外的带宽测试。在频繁发生隧道抖动的 WAN 链路中,此 WAN 链路带宽值可能很旧,根本无法代表当前的 WAN 链路带宽值,而这会导致因 SD-WAN 服务无法将 WAN 链路利用到其实际容量而出现客户流量问题。

  • 修复的问题 53951:VMware SD-WAN Edge 可能在将流量直接发送到 Internet 时出现故障或与 VMware SD-WAN Orchestrator 的连接中断,并且 Edge 被标记为关闭。

    在以下两个场景中,该问题可能会影响 Edge:

    1. 对于使用公用 WAN 链路的 Edge,在 WAN 链路上出现抖动(链路断开,然后重新启动)时,在此场景下对客户的影响是,将丢弃转向到受影响链路并被分类为“直接”(Direct) 的流量。对于将业务策略规则配置为强制某些流量仅使用一个 WAN 链路而同时还配置为直接发送的站点,该问题对其特别有影响。
    2. 在使用 PPPoE WAN 链路的 Edge 上启用 HA 后,PPPoE 接口 IP 发生了更改,并且已删除旧的自路由,但对于新的 PPPoE IP 地址,不会添加新的自路由。因此,Orchestrator 与 Edge 之间无法再进行正常通信。

    如果未进行该修复,临时解决该问题的方法是:重新启动 Edge 服务以确保发送直接流量,或者重新引导 Edge(在其中使用 PPPoE 链路)以恢复指向 Orchestrator 的路由。

  • 修复的问题 72423:VMware SD-WAN Edge 在 VMware SD-WAN Orchestrator 上脱机,并且如果 Edge 的公用 DNS 服务器不是 Google DNS,将无法访问该 Edge。

    在这种情况下,为 Orchestrator 上的 Edge 配置的 DNS 服务器不是 Google DNS,但特定域(例如,*.nyansa.com 和 *.velocloud.net)的 DNS 数据包仍将发送到 Google DNS 服务器 (8.8.8.8 / 8.8.4.4)。(这是预期的行为。) 

    从内核收到 DNS 数据包时,只有当目标 IP 与 Orchestrator 上配置的目标 IP 相同时,才会转发该数据包。如果目标 IP 与 Orchestrator 上配置的目标 IP 不匹配,Edge 将忽略该数据包。但是,Edge 不会释放该数据包,这会导致内存缓冲区泄漏。而内存缓冲区泄漏最终会导致 Edge 无响应。

    如果未进行该修复,则解决办法是,客户可以确保将 Google DNS 配置为其所有 Edge 的公用 DNS 服务器。  对于处于不可访问状态的 Edge,客户需要重新引导 Edge 以将其恢复。

    注意:该修复包含在之前发行的两个 4.5.0 内部版本中,即:R450-20211007-GA-72423 和 R450-20220120-GA。虽然这两个内部版本中包含的修复解决了核心问题,但在极少数情况下,如果客户端发送的流量发往与客户配置完全不同的 DNS 服务器(无论配置的 DNS 服务如何以及是否配置了 Google DNS 以外的服务),即使这两个内部版本中进行了修复,也可能会出现该问题。此 R450-20220203-GA 内部版本中包含的修复还解决了这种极端情况,因此可视为彻底修复了问题 72423。

  • 修复的问题 76196:VMware SD-WAN Edge 上的 WAN 链路可能在 Orchestrator UI 上显示不正确的带宽容量值,并且客户可能会观察到该 WAN 链路的利用率未达到其实际带宽容量。

    WAN 链路带宽测量的两个主要默认行为与该问题相关。  首先,如果 WAN 链路带宽测试结果小于当前带宽值的 90%,Edge 会自动触发第二次测试,以确保测量值不是异常情况,而确实是新的较低值。其次,如果 WAN 链路带宽测试失败(由于链路的某种不稳定性,测试未完成),会在稍后解决了链路不稳定性问题后重新安排带宽测试。

    这里的问题是,如果带宽测试失败,稍后重新安排了新测试,并且测试返回的结果小于当前值的 90%,则 Edge 不会触发重新测试来确保此新的较低值的有效性。由此产生的结果是,可能会出现无法代表链路实际容量的较低 WAN 链路值,从而导致因 SD-WAN 服务认为链路具有的容量小于其实际容量而出现客户流量问题。

  • 修复的问题 77525:对于使用高可用性拓扑的站点,在将 VMware SD-WAN HA Edge 升级到新的软件映像时,备用 Edge 可能无法升级,并且 VMware SD-WAN Orchestrator UI 会错误地将备用 Edge 的状态列为“活动”(Active),即使它未处于此状态也是如此。

    在活动 Edge 检测到备用 Edge 时,它会尝试获取备用 Edge 的软件版本,如果版本高于 3.4.x,则活动 Edge 会将网络配置文件复制到备用 Edge。在获取备用 Edge 软件版本时,可能会出现 Edge 的 HA 代码无法处理的异常,这会导致 HA 工作线程停滞,并且与备用 Edge 的进一步通信失败。此时,活动和备用 Edge 之间的管理进程中断,并且不会在活动和备用 Edge 之间同步与管理平面有关的任何事项,包括软件管理、备用 Edge 状态和配置更改。这会导致错误地检测到备用 Edge 处于活动状态,该状态在 Orchestrator 上显示为活动/活动“脑裂”状态,但实际并未处于这种状态,因为备用 Edge 仍在执行其正确的角色。

    如果发生 HA 故障切换,则在备用 Edge 升级为活动 Edge 后,Edge 将具有一组不匹配的配置和软件。Orchestrator 将检测到配置不匹配,并将更新的配置推送到该 Edge,同时还会完成备用 Edge 之前未执行的软件升级。由于 Edge 软件升级需要重新引导,在新的活动 Edge 重新引导,然后降级回备用状态时,客户会观察到另一次故障切换。 

    当 HA 站点升级 Edge 的软件时,不会始终遇到此问题。此外,在启动新的 HA 站点时,或者在将独立站点升级为使用高可用性时,如果备用 Edge 需要升级其软件,也可能会发生此问题。但是,与 HA Edge 执行软件升级相比,这些次要场景更为少见。

    如果未进行该修复,观察到此问题的客户将需要重新启动 Edge 服务,或者触发 HA 故障切换以清除此问题。

  • 修复的问题 81672:在重新引导、重新启动或软件升级(需要重新引导才能完成升级)后,VMware SD-WAN Edge 510-LTE 可能会遇到数据平面服务故障。

    如果 Edge 510-LTE 上的 CELL 接口在重新引导或软件升级后启动,则可能会出现计时问题,并且 Edge 数据平面服务将出现故障并需要重新启动才能恢复。重新启动后,服务将正常运行。 

___________________________________________________________________

Edge 版本 R450-20220120-GA 中解决的问题

Edge 版本 R450-20220120-GA 于 2022 年 1 月 27 日发布,解决了自 Edge 版本 R450-20211007-GA-72423 以来存在的以下严重问题。

  • 修复的问题 72423:VMware SD-WAN Edge 在 VMware SD-WAN Orchestrator 上脱机,并且如果 Edge 的公用 DNS 服务器不是 Google DNS,将无法访问该 Edge。

    在这种情况下,为 Orchestrator 上的 Edge 配置的 DNS 服务器不是 Google DNS,但特定域(例如,*.nyansa.com 和 *.velocloud.net)的 DNS 数据包仍将发送到 Google DNS 服务器 (8.8.8.8 / 8.8.4.4)。(这是预期的行为。) 

    从内核收到 DNS 数据包时,只有当目标 IP 与 Orchestrator 上配置的目标 IP 相同时,才会转发该数据包。如果目标 IP 与 Orchestrator 上配置的目标 IP 不匹配,Edge 将忽略该数据包。但是,Edge 不会释放该数据包,这会导致内存缓冲区泄漏。而内存缓冲区泄漏最终会导致 Edge 无响应。

    如果未进行该修复,则解决办法是,客户可以确保将 Google DNS 配置为其所有 Edge 的公用 DNS 服务器。  对于处于不可访问状态的 Edge,客户需要重新引导 Edge 以将其恢复。

    注意:虽然此内部版本中包含的修复解决了核心问题,但在极少数情况下,如果客户端发送的流量发往与客户配置完全不同的 DNS 服务器(无论配置的 DNS 服务如何以及是否配置了 Google DNS 以外的服务),即使此内部版本中进行了修复,也可能会出现该问题。内部版本 R450-20220203-GA 还解决了这种极端情况,因此可视为彻底修复了问题 72423。

  • 修复的问题 74313:对于使用 LTE 型号的 VMware SD-WAN Edge(即 Edge 510-LTE 或 Edge 610-LTE)的客户站点,如果 Edge 仅具有 LTE WAN 链路,Edge 将在重新引导后丢失与 VMware SD-WAN Orchestrator 的通信。

    Orchestrator 与 Edge 之间的连接将会断开,因为在 Edge 重新引导后,无法通过 LTE 接口访问默认路由。  因此,即使客户流量仍在 LTE WAN 链路上传递,Orchestrator 也会将 Edge 标记为“关闭”(Down)。

    如果未进行该修复,恢复 Edge 可访问性的唯一方法是执行 Edge 服务重新启动。

  • 修复的问题 76173:如果客户使用基于 AWS 的 VMware SD-WAN 虚拟 Edge,则在重新引导或重新启动虚拟 Edge 后,连接的路由可能会丢失,从而影响客户流量。

    连接的路由不会显示在 FIB 中,这将严重影响客户流量。这是由计时问题所致:在基于 AWS 的 Edge 重新引导或重新启动并启动后,将在接口可用于所有连接的路由之前显示 netlink 消息,这会导致连接的路由丢失。

解决的网关问题

网关版本 R450-20211123-GA-74198-70416-74482-30022

网关版本 R450-20211123-GA-74198-70416-74482-30022 于 2021 年 11 月 29 日发布。此网关内部版本未修复自网关版本 R450-20211104-GA-74198-70416-74482 以来存在的任何新问题,但包含 VMware 工程团队所需的故障排除更改。

    ___________________________________________________________________

    网关版本 R450-20211104-GA-74198-70416-74482 中解决的问题

    网关版本 R450-20211104-GA-74198-70416-74482 于 2021 年 11 月 8 日发布,解决了自网关版本 R450-20211029-GA-74198-70416 以来存在的以下严重问题。

    • 修复的问题 74482:对于使用 Hub-分支网络拓扑的客户,如果一个 Hub Edge 还是另一个 Hub Edge 的分支,则不会在该 Hub Edge 上学习来自 VMware SD-WAN 分支 Edge 的路由。

      客户还需要配置了通过 Hub 的 Edge 到 Edge,才会遇到该问题。如果客户部署中的 Edge 部署为某些分支的 Hub 和某些 Hub 的分支,此类 Edge 不会从 VMware SD-WAN 网关收到分支路由。由于缺少路由,该问题将对具有该拓扑的网络产生重大影响。

      如果未进行该修复,防止该问题的唯一方法是,在分支 Edge 上禁用通过 Hub 的 Edge 到 Edge。

    __________________________________________

    网关版本 R450-20211029-GA-74198-70416 中解决的问题

    网关版本 R450-20211029-GA-74198-70416 于 2021 年 10 月 30 日发布,解决了自网关版本 R450-20211022-GA-74198 以来存在的以下严重问题。

    • 修复的问题 70416:连接到特定 VMware SD-WAN 网关的客户可能会观察到所有用户的丢包率和延迟突然增高。操作员用户将观察到,导致这些问题的网关显示 CPU 负载出现峰值,随后切换队列丢弃数出现峰值。

      在网关上出现此问题时,工程团队观察到一个问题,即已识别的快速路径线程(IKE、VCMP 数据等)花费 15-20% 的周期时间执行 inet_ntop 操作,从而导致 CPU 负载和切换队列丢弃数出现峰值。为防止再次出现此问题,导致此问题的 API 调用已替换为改进后的日志命令数据格式。

    __________________________________________

    网关版本 R450-20211022-GA-74198 中解决的问题

    网关版本 R450-20211022-GA-74198 于 2021 年 10 月 23 日发布,解决了自网关版本 R450-20210922-GA 以来存在的以下严重问题。

    • 修复的问题 74198:如果客户已部署通过网关的非 SD-WAN 目标 (NSD),且该目标与单个分段上的同一目标 IP 地址建立了多个隧道,则这些隧道将在 VMware SD-WAN Orchestrator 上全部显示为“启动”(Up),但实际上只有一个隧道将传输流量。

      对于为 VMware 通过网关的非 SD-WAN 目标 (NSD) 通告的路由,没有应用正确的唯一性检查。例如,一个常见的错误状态示例是,客户具有从同一 VMware SD-WAN 网关到同一 Zscaler IP 地址的两个隧道,以用于进行负载均衡。出现此问题时,这两个隧道在 Orchestrator 中都将显示为稳定,但只有一个隧道会传输流量,而另一个隧道只会使所有流量进入黑洞(即丢弃所有流量,且不告知源此流量未到达其预期接收方)。这仅影响使用 4.4.0 或 4.5.0 版网关的 NSD。

      如果使用的是内部版本较低的网关,则解决此问题的办法是使用不同的目标 IP(例如,不同的 Zscaler IP 地址)来实现负载均衡。

    解决的 Edge 问题

    Edge 版本 R450-20211007-GA-72423 中解决的问题

    Edge 版本 R450-20211007-GA-72423 于 2021 年 10 月 8 日发布,解决了自 Edge 版本 R450-20210922-GA 起的以下关键问题

    • 修复的问题 72423:VMware SD-WAN Edge 在 VMware SD-WAN Orchestrator 上脱机,并且如果 Edge 的公用 DNS 服务器不是 Google DNS,将无法访问该 Edge。

      在这种情况下,为 Orchestrator 上的 Edge 配置的 DNS 服务器不是 Google DNS,但特定域(例如,*.nyansa.com 和 *.velocloud.net)的 DNS 数据包仍将发送到 Google DNS 服务器 (8.8.8.8 / 8.8.4.4)。(这是预期的行为。) 

      从内核收到 DNS 数据包时,只有当目标 IP 与 Orchestrator 上配置的目标 IP 相同时,才会转发该数据包。如果目标 IP 与 Orchestrator 上配置的目标 IP 不匹配,Edge 将忽略该数据包。但是,Edge 不会释放该数据包,这会导致内存缓冲区泄漏。而内存缓冲区泄漏最终会导致 Edge 无响应。

      如果未进行该修复,则解决办法是,客户可以确保将 Google DNS 配置为其所有 Edge 的公用 DNS 服务器。  对于处于不可访问状态的 Edge,客户需要重新引导 Edge 以将其恢复。

      注意:虽然此内部版本中包含的修复解决了核心问题,但在极少数情况下,如果客户端发送的流量发往与客户配置完全不同的 DNS 服务器(无论配置的 DNS 服务如何以及是否配置了 Google DNS 以外的服务),即使此内部版本中进行了修复,也可能会出现该问题。内部版本 R450-20220203-GA 还解决了这种极端情况,因此可视为彻底修复了问题 72423。

    解决的 Edge/网关问题

    Edge/网关版本 R450-20210922-GA 中解决的问题

    从 Edge 版本 R430-20210702-GA-61583 和 R440-20210702-GA-61583 以及网关版本 R430-20210727-GA-65293-67191 开始,解决了以下问题。

    • 修复的问题 37813:在使用增强型高可用性拓扑的客户站点中,在运行远程诊断“接口状态”(Interface Status) 时,备用 Edge 的接口不显示速度和自动协商详细信息。

      担任活动角色的 VMware SD-WAN Edge 无法从已启动接口的备用 Edge 中获取速度和自动协商详细信息,因此无法显示这些详细信息。

    • 修复的问题 43005:VMware SD-WAN Edge 可能无法传输 Tx 数据包和/或接收 Rx 数据包,但即使未传输任何流量,接口状态仍显示链路已启动且已连接。

      在 Edge 的网卡芯片上,Tx/Rx 硬件模块可能会进入挂起状态,这会导致不再发送/接收 Tx/Rx 数据包,从而导致客户流量停止传输。例如,处于此状态的 Edge 会使 dispcnt 显示 sfp2_l2_dropped 计数器递增,而 Tx 计数器保持不变:

      dpdk_sfp2_l2_dropped = 199042 71 /s
      dpdk_sfp2_l2_tx = 36801627105 71 /s

      要解决此问题,需在所有 Edge 型号中实施 Tx 挂起检测和恢复。此功能可监控硬件停止并尝试恢复。VMware 最初是为在某些虚拟 Edge 部署中使用的 Intel 82599 网卡引入的 TX 挂起检测和恢复功能。

      在使用 Tx 停止监控功能的接口上,将在初始化时看到以下日志行:

      2021-05-24T23:45:14.287 MSG [NET] dpdk_parse_interface:773 DPDK intf sfp2, driver ixgbe,
       mac ac:1f:6b:2d:d2:0a, pci 0000:02:00.0, tx_stall_monitor 1

      检测到 Tx 挂起并恢复接口后,用户将看到类似于以下内容的日志行:

      2021-05-20T20:09:05.644 ERR [NET] dpdk_tx_stall_check_and_recovery:1545 TX stall count : 1, on dpdk intf:sfp2 ,port: 0
      2021-05-20T20:09:06.644 ERR [NET] dpdk_tx_stall_check_and_recovery:1545 TX stall count : 2, on dpdk intf:sfp2 ,port: 0
      ...
      2021-05-20T20:9:23.647 ERR [NET] dpdk_tx_stall_check_and_recovery:1545 TX stall count : 19, on dpdk intf:sfp2 ,port: 0
      2021-05-20T20:9:24.647 ERR [NET] dpdk_tx_stall_check_and_recovery:1545 TX stall count : 20, on dpdk intf:sfp2 ,port: 0
      2021-05-20T20:09:24.647 ERR [NET] dpdk_tx_stall_recover:1499 Starting TX stall recovery on dpdk intf:sfp2 ,port: 0
      2021-05-20T20:09:37.027 ERR [NET] dpdk_tx_stall_recover:1528 Completed TX stall recovery on dpdk intf:sfp2 ,port: 0
    • 修复的问题 43278:如果用户配置出站 BGP 筛选器以匹配默认路由或前缀,然后设置 AS 路径附加,则向 BGP 邻居通告默认路由或前缀,但不会通告 AS 路径附加。

      将 BGP 出站邻居筛选器设置为匹配前缀并设置 AS 路径附加并不适用于使用 BGP 高级配置“网络”(Networks) 语句生成的任何前缀。这也不适用于通过邻居“DR 来源”(DR Originate) 为邻居生成的默认路由(通过 BGP 高级“有条件”(Conditional) 默认路由通告复选框)。

      此外,在 VMware SD-WAN Edge 上使用静态路由配置时,不会向前置了 AS 路径的 BGP 邻居通告默认路由或设置为“通告”(Advertise) 的非 DR 静态路由;前缀中的唯一 AS 是 Edge 自己的 AS。

    • 修复的问题 44526:对于如下企业:两个不同站点将其 VMware SD-WAN Edge 部署为 Hub,同时还使用高可用性拓扑,并且每个站点在其配置文件中将另一个 Hub 站点用作 Hub。  如果其中一个 Hub 站点触发 HA 故障切换,则两个 Hub Edge 最多可能需要 30 分钟才能彼此重新建立隧道。 

      在发生 HA 故障切换时,两个 Hub Edge 同时尝试启动彼此之间的隧道,并且均不回复对方,这两个 Hub 之间会发生数据包交换,但 IKE 永远不会成功。这会导致出现死锁,据观察,最多需要 30 分钟才能自行解决死锁。该问题是间歇性的,并不是在每次 HA 故障切换后都会出现该问题。 

      如果未进行该修复,则防止此问题发生的唯一办法是:客户只将两个 HA Hub 站点中的一个站点配置为使用另一个 Hub 站点作为自己的 Hub。例如,如果有两个 HA Hub 站点(Hub1 和 Hub2),Hub1 可以在其配置文件中将 Hub2 作为自己的 Hub,但 Hub2 不得在其配置文件中使用 Hub1 作为 Hub。

    • 修复的问题 46489:如果将启用了合作伙伴网关的不同配置文件分配给多个 VMware SD-WAN Edge,Edge 将保留其配置文件中未分配的 VMware SD-WAN 合作伙伴网关的失效路由条目。

      如果将启用了合作伙伴网关的不同配置文件分配给多个 Edge,Edge 将保留从其他网关中学习的路由条目,而这些路由条目被视为失效条目。  对客户的影响是无法正确路由流量,因为 Edge 会尝试将流量发送到其配置文件中的无效路由。

    • 修复的问题 47355:在通过本地底层网络 BGP、Hub BGP 和/或在合作伙伴网关上静态配置的 BGP 学习相同的路由时,路由的排序顺序不正确,其中 Hub BGP 优先于底层网络 BGP。

      导致此错误的原因是:当收到前缀相同的不安全 PG 路由、底层网络路由和覆盖网络路由时,由于无法直接比较动态覆盖网络/底层网络路由与 PG 静态路由之间的优先顺序,因此无法确定路由顺序。这会导致相同的路由在 FIB 中以不同的顺序存储,具体存储顺序取决于在 Edge 中收到添加路由命令的顺序。
      转到 /etc/config/edged 和 /etc/config/gatewayd,将 legacy_sort_pg_static_pref 设置为 1,届时,将首选不安全的 PG 静态路由而不是动态底层网络/覆盖网络路由,由此可确定 FIB 路由顺序。

    • 修复的问题 48105:遇到某些内核崩溃情况时,VMware SD-WAN 网关可能会进入挂起状态,并且无法完成重新引导进程。

      此问题可产生严重影响,因为当网关处于挂起状态时,用户必须进行干预才能重新引导网关。  默认情况下,内核崩溃应该会立即触发重新引导进程,但是,在某些情况下,内核崩溃不会默认触发重新引导进程。

    • 修复的问题 48209:当证书颁发机构 (CA) 证书链中包含两个以上证书时,在证书模式下,运行 3.x 版本的 VMware SD-WAN 无法与使用 4.x 版本的 VMware SD-WAN 网关或 Hub Edge 建立隧道。

      用户将发现来自 Edge 的隧道失败,并显示 ERR_CERT_INVALID_PARENT_CERTIFICATE 错误。此问题与证书链处理有关。Mocana 库假定在收到证书链时,每个颁发者的证书应按顺序依次排列,但在某些情况下,VMware SD-WAN Orchestrator 会推送不符合此规则的 CA 证书链。

      如果未进行该修复,解决此问题的办法是将 CA 证书链限制为两个证书,以确保始终符合上述规则。

    • 修复的问题 48958:VMware SD-WAN 网关可能会在绑定的接口上断开连接。

      在 VeloCloud 管理协议 (VCMP) 和 WAN 端口设置为使用相同的端口时,合作伙伴网关 VLAN 切换配置可能会导致网关由于 ARP 解析失败而脱机。通过进行该修复,在 VCMP 和 WAN 端口相同时,将在网关中拒绝 VMware SD-WAN Orchestrator 中的 VLAN 切换配置。  如果未进行该修复,解决办法是不要为 VCMP 和 WAN 分配相同的端口。

    • 修复的问题 48593:来自非 VMware SD-WAN 目标 (NSD) 或云安全服务 (CSS) 的数据包可能会在未加密的情况下发送。

      在选择链路的过程中,如果安全套接字不可用,则会通过任何可用的链路发送数据包。该修复可确保在安全套接字不可用时,丢弃 NSD 和 CSS 数据包。

    • 修复的问题 50422:使用具有 VLAN 标记的路由接口时,可能无法正确通过 ARP 学习对等 MAC 地址。

      如果为路由接口分配了 VLAN 标记,且下一跃点发送未标记的 ARP 请求,则会导致系统学习未标记的 MAC 地址,并可能导致流量进入黑洞,具体取决于先学习的条目。

      如果未进行该修复,则解决此问题的唯一办法是:当路由接口上具有 VLAN 标记时,从下一跃点筛选掉未标记的 ARP 请求。

    • 修复的问题 51428:在 VMware SD-WAN Edge 的子接口配置了 PIM 的站点上,可能会观察到多播流量丢失。

      在将配置了 PIM 的子接口从一个分段动态移动到另一个分段时,pimd(管理 PIM 的进程)可能会重新启动,并且站点出现间歇性的多播流量丢失问题。

      如果未进行该修复,则解决此问题的办法是先禁用子接口,然后再将子接口移至另一个分段。在移动后,重新启用子接口。

    • 修复的问题 52031:在无状态 DHCPv6 模式下,当收到设置了其他配置标记的路由器通告消息时,不会发送 DHCPv6 信息请求消息。

      如果 VMware SD-WAN Edge 上的接口配置了无状态 DHCPv6 模式,则当收到设置了其他配置标记的路由器通告消息时,应发送 DHCPv6 信息请求消息以获取更多信息(例如 DNS 服务器信息),但并未向 DHCP 服务器发送 DHCPv6 信息请求消息。

    • 修复的问题 52419:当收到具有非零定时器的路由器通告 (RA) 时,将更新 IPv6 地址有效时间。

      此行为不符合 RFC 4862 中关于更新有效生存期定时器的阐述。根据此 RFC:

      1. 如果收到的有效生存期值大于 2 小时或大于 RemainingLifetime,则应将相应地址的有效生存期设置为通告的有效生存期。
      2. 如果 RemainingLifetime 小于或等于 2 小时,则应忽略与有效生存期相关的“前缀信息”(Prefix Information) 选项,除非从中获取此选项的路由器通告已通过身份验证(例如,已通过安全邻居发现协议进行身份验证 [RFC3971])。  如果路由器通告已通过身份验证,则应将相应地址的有效生存期设置为所收到选项中的有效生存期。
      3. 否则,应将相应地址的有效生存期重置为 2 小时。

      之所以会出现上述问题,是因为 RA 处理任务是由 VMware SD-WAN Edge 内核执行的,现在,已将此任务移至 Edge 数据平面进程进行处理,以确保完全合规。

    • 修复的问题 54022:插入 USB 调制解调器后,与防火墙相关的错误日志不断涌入 VMware SD-WAN Edge 日志中。

      将 USB 调制解调器插入 Edge 后,与防火墙相关的错误日志大量涌入该 Edge 的日志中,这会妨碍用户查看真正的防火墙事件。

    • 修复的问题 54157:用户可能会发现 VMware SD-WAN 网关丢弃以下流量:从数据中心服务器到通过网关中 IPsec 上的 BGP 通告的旧版客户端的流量。

      在版本 4.4.x 和更低版本中,无法将与提供商 Edge (PE) 绑定的旧路由分发到通过网关的非 SD-WAN 目标 (NDS),也无法将 NSD 路由分发到 PE。4.5.0 版本在与 PE 绑定的目标和通过网关的 NSD 之间提供了数据管道支持。此项支持还包括 PG-BGP 与 NSD-BGP 之间的路由重新分发设施。

    • 修复的问题 54378:由于发生邻居通告 (NA) 丢弃,启用了 IPv6 静态地址的接口重复地址检测 (DAD) 检查失败。

      不会进行静态地址 DAD 检查。如果配置的静态地址在网络中具有重复的地址,则不会检测到这种情况。

    • 修复的问题 54536:在 VMware SD-WAN Edge 重新引导后,未进行重复地址检测 (DAD) 检查。

      在 Edge 重新引导后,未触发 DAD 检查。如果在网络中具有重复的地址,则不会检测到这种情况。

    • 修复的问题 54687:在服务器提供大于 T2 的 T1 值配置后,VMware SD-WAN Edge 未发送 DHCPv6 请求消息。

      如果 DHCPv6 服务器最初提供的 T1 值大于 T2,则 Edge 不接受提供的前缀,但即使在服务器上更正该配置后,Edge 也不会发送 DHCPv6 请求消息(进行三次尝试),直到重新启动 Edge 数据平面服务为止。

    • 修复的问题 54731:当用户在服务器中更改 IPv6 地址范围值时,将以较高的频率发送更新消息,直至达到重新绑定时间 (t2)。

      从服务器提供的有效地址范围中移除分配给 VMware SD-WAN Edge 的 IP 地址时,客户端持续向服务器发送更新消息,直至达到 T2 时间。这可能会导致客户用户观察到大量 DHCPv6 流量。

    • 修复的问题 54846:VMware SD-WAN SNMP MIB 将计数器应用于抖动、延迟和丢包率。

      在 VMware SNMP MIB 中,将抖动、延迟和丢包率定义为 Counter64,但此类计数器并不适用于这些类型的数据。计数器适用的数据类型应具有不断增大的值且绝不会像 Tx/Rx 字节一样在 SNMP 中重置。相反,延迟、抖动和丢包率等数据的值不是不断增大的,而是动态调整的,因此不应使用计数器。

    • 修复的问题 56218:对于部署了高可用性拓扑的客户站点或仅启用了 HA 的客户站点,将 Edge 从 3.2.x 升级到 3.4.x 时,备用 Edge 可能会关闭。

      在使用本地 UI 配置 WAN 设置后,如果启用 HA 或将 HA Edge 从 3.2.2 升级到 3.4.x,则将从备用 Edge 中移除 HA 接口(例如 LAN1 或 GE1,具体取决于 Edge 型号),且 VMware SD-WAN Orchestrator 上的 HA 状态将设置为 HA_FAILED。

    • 修复的问题 56454:在接口上将 IPv4 和 IPv6 链路都配置为自动发现的链路,然后还通过非首选链路建立隧道。链路统计信息不显示合并的 IPv4 和 IPv6 链路信息。

      如果一个接口将 IPv4 和 IPv6 覆盖网络都配置为自动发现的覆盖网络,并在两个链路上都建立了隧道,链路统计信息仅反映首选链路的状态,而未正确反映非首选链路的流量信息或状态。因此,应将在“Edge”>“监控”(Monitoring) 页面上看到的链路统计信息(包括带宽和吞吐量)作为指导,以仅测量在首选 IP 地址系列上建立的隧道的性能。

    • 修复的问题 58259:在某些情况下,客户可能会发现在具有 Zscaler 对等体的网关端上,非 VMware SD-WAN 目标隧道关闭。

      在一些情况下,虽然 Zscaler 对等体端删除阶段 2 安全关联 (SA),但 VMware SD-WAN 网关仍保留该 SA。在这些情况下,隧道将被拆除,客户因此将无法传输流量。

      如果未进行该修复,则解决办法是使用 phase2_sa_check.py 脚本,该脚本将遍历阶段 2 SA 表,检查是否存在缺少阶段 1 SA 的阶段 2 SA。如果找到这样的阶段 2 SA,网关将重新建立隧道。

    • 修复的问题 58453:VMware SD-WAN Edge 将某些 Office365 数据包错误地划分为 SSL 数据包。

      VMware SD-WAN 深度数据包检查 (DPI) 引擎有时错误地将应划分为 Office365 的数据包划分为 SSL。  产生的影响是,这些流量将被视为 SSL 流量而不是 Office365 流量,这可能意味着它们的处理优先级较低,从而影响用户体验。

    • 修复的问题 58791:对于使用高可用性拓扑部署且使用 BGP 的站点,可能会遇到 VMware SD-WAN Edge 反复进行故障切换的问题。

      该问题会影响在 Hub/分支拓扑中配置且配置的 BGPv4 筛选器前缀超过了 512 个的 HA 站点。

      如果在使用 BGP 时配置了多个网络命令,则在备用 Edge 启动时,它将以对称方式解析“所有”配置,并针对每个网络命令生成 vtysh,这将导致 verp 线程无法运行。verp 线程延迟会导致检测信号处理发生延迟,从而导致备用 Edge 认为活动 Edge 已关闭,此时,备用 Edge 将变为活动状态,从而导致出现“脑裂”状态(即活动-活动)。要从“脑裂”状态中恢复,备用 Edge 将重新启动,但这只会重复上述过程,导致无限循环。

      如果未进行该修复,解决办法是通过汇总 BGP 筛选器前缀并让其总数低于 512 个(256 个入站筛选器和 256 个出站筛选器),来减少 BGP 筛选器前缀配置的数量。

      注意:此请求单说明的先前版本指出,此修复还适用于具有 BGP“匹配”和“设置”操作的 HA 站点。该部分问题无法使用此请求单进行修复,并通过问题 84825 进行跟踪。

    • 修复的问题 59236:在使用增强型高可用性拓扑的站点中,如果连接到备用 Edge 的 WAN 链路是 Metanoia SFP,则无法建立隧道,即使在进行 HA 故障切换后,此行为仍然存在。

      对于增强型 HA,在备用 Edge 上将阻止 WAN 端口(换言之,Edge 不允许在其 WAN 接口上发送数据包)。要启动 Metanoia SFP 接口,需要在硬件之间交换数据包。由于 Edge 不允许发送数据包,接口初始化将失败。

    • 修复的问题 59629:在使用高可用性拓扑部署的客户站点中,用户可能会发现 VMware SD-WAN 备用 Edge 多次重新启动。

      活动 Edge 和备用 Edge 均未收到 HA 检测信号,因此均变为活动/活动(也称为“脑裂”状态)。要打破这种活动/活动状态,新升级的活动 Edge(之前的备用 Edge)将重新启动,并记录事件:“活动/活动崩溃”(Active/Active Panic)。  考虑到活动/活动状态是因为未收到检测信号导致的,因此,要修复此问题,需要提升 HA Edge 检测信号线程的优先级,以便最大程度地避免在处理检测信号过程中发生延迟。

    • 修复的问题 60010:在使用 VMware SD-WAN Edge 且在高可用性拓扑中部署了 VNF 的站点上,发生 LAN 端端口抖动后,无法通过 SSH 访问备用 Edge 上的 VNF。

      备用 VNF 上的 LAN 端接口通常处于禁用状态。由于发生 LAN 端端口抖动,该接口会变为转发状态,导致网桥接口上的 MAC 地址端口映射错误,进而导致 VNF 无法访问。

    • 修复的问题 60073:无法处理通过 VMware SD-WAN Edge 的 PPPoE 接口的 DNS 数据包。

      在通过 Edge 的 PPPoE 接口进行传输时,DNS 数据包无法处理并会被丢弃。因此,DNS over PPPoE 功能会受到影响,且客户会发现一些问题,例如,在升级到 4.2.0 或更高版本后,CSS 隧道无法启动。

    • 修复的问题 60097:由于不支持 DPDK,VMware SD-WAN Edge 型号 510 具有较低的最大吞吐量性能。

      导致 Edge 510 性能较低的原因在于内核绑定接口和为 Edge 数据包的输入/输出开启的原始套接字。此问题可通过将 Edge 510 包含到一系列支持 DPDK 的平台中来解决。  经过测试和观察到的吞吐量变化如下所示:

      提供 DPDK 支持之前:IMIX 400 = 130 Mbps;1300 字节数据包 = 360 Mbps。  
      提供 DPDK 支持之后:IMIX 400 = 250 Mbps;1300 字节数据包 = 600 Mbps。

    • 修复的问题 60184:分支 VMware SD-WAN Edge 从非配置文件 Hub Edge(动态分支到分支)安装具有上行链路社区标记的路由,并将这些路由视为优先于任何其他路由。

      在使用动态分支到分支时,会将非配置文件 Hub Edge 视为分支 Edge。  因此,在启动动态隧道时,将发生上述问题。唯一的解决办法是将 Hub 添加到所有配置文件,但是,不能在具有 20 个以上 Hub Edge 的较大网络上进行此扩展,因为这样做将创建大量路由。

    • 修复的问题 60367:即使设置了特定于 VLAN 的丢弃规则,有状态防火墙规则也不会丢弃流向相应 VMware SD-WAN Edge IP 的流量中的第一个数据包。

      即使设置了特定于 VLAN 的有状态防火墙丢弃规则,也会成功将 ping 发送到相应 Edge 的 VLAN IP。在特定于 VLAN 的有状态防火墙丢弃规则中,对 Edge VLAN 主机和 VLAN IP 的 ping 操作的行为不一致。对 Edge VLAN IP 的 ping 操作成功。此修复将同时禁止对 Edge VLAN IP 和 VLAN 主机执行 ping 操作。

    • 修复的问题 60570:在 VMware SD-WAN Orchestrator 上使用新 UI 时,可能会显示错误的路径状态。 

      这只是一个显示问题,不会影响实际的客户流量。此问题的一个示例是:当 Edge 诊断包日志显示某个路径为稳定状态时,新 UI 则显示该路径处于不活动状态。

    • 修复的问题 61344:当流经 VMware SD-WAN Edge 的流量超过 180Mbps 时,后面通过 Edge 启动的新流量会出现速度缓慢问题。

      当流经 Edge 的流量超过 180Mbps 时,新流量将在 VMware SD-WAN 网关中进行缓冲,且网关不会在预期时间内处理这些流量,因此流量会出现延迟。

    • 修复的问题 61361:在应用软件更新以将 VMware SD-WAN Edge 3400、3800 和 3810 升级到 Edge 版本 3.4.5、4.0.2 或 4.2.1 时,会发生以下变化:这些 Edge 型号可能不会在更新后立即启动备份。

      版本 3.4.5、4.0.2 和 4.2.1 中包含针对复杂可编程逻辑器件 (CPLD) 的特定固件更新,该更新触发的重新引导进程有时可能会“停滞”,为此需要手动重新启动 Edge 才能重新启动系统。

      如果未进行该修复,本地用户需要手动重新启动 Edge 以完成更新。

    • 修复的问题 61502:在激活 VMware SD-WAN Edge 期间,将无限期延迟下载要应用的新软件映像。

      当环境中网络连接不稳定或存在某些类型的流量限制时,新软件映像的 HTTPS 下载进程可能会停滞。如果未进行该修复,当发生这种情况时,请重新启动 Edge 并等待几分钟时间。此下载进程应该会自动重新启动,不过会完全从头开始重新启动。

    • 修复的问题 61583:如果客户为站点启用高可用性,VMware SD-WAN Edge 将脱机,该站点将关闭,并且所有客户流量都将中断。

      启用 HA 后,Edge 至少脱机大约 5 分钟,在此期间客户流量会中断。大约 5 分钟之后,即使该 Edge 将继续独立运行且 HA 不可用,也许 Edge 仍能够回滚到先前的配置并恢复操作。  但是,如果 Edge 未成功回滚到上次配置,它将保持关闭,直到本地用户执行出厂重置,然后重新激活 RMA(未启用 HA),以还原该站点的连接。

      有关详细信息,请参阅知识库文章使用版本 4.3.0 GA 或 4.4.0 GA 在 VMware SD-WAN Edge 上启用高可用性可能会导致 Edge 脱机。(84396)

    • 修复的问题 61596:在使用安全选项启用合作伙伴 BGP 并将静态路由配置为不安全路由时,性能将会下降,反之亦然。

      在不安全的静态路由从 BGP 配置中选择安全标记时,未正确计算的 IP 地址最大长度将导致性能下降。最初,VMware SD-WAN 网关执行路由查找,如果找到不安全的静态路由,网关将检查是否启用了 BGP。  如果启用了 BGP,网关将检查加密集并为安全的 BGP 选择加密集,然后发生碎片化,因为安全选项比不安全选项更保守。

    • 修复的问题 61622:Google Drive 流量被错误地标识为“其他 TCP/UDP”(Other TCP/UDP) 或“APP_UNKNOWN”。

      此类流量应被标识为“Google 文档 (也称为 Google Drive)”(Google Documents (aka Google Drive))。导致此问题的原因是,深度数据包检查 (DPI) 引擎没有用于 Google Drive 的最新子网/端口。

    • 修复的问题 61625:如果要在 OSPF 上通告 250 个以上的路由,则 VMware SD-WAN Hub Edge 并不会通告所有路由。

      无论路由数量是多少,是 300、2000 还是更多,只有 250 个路由可显示为已通告,其余路由的通告标记均会被设置为 FALSE。这是由于处理的路由超过 250 个时会发生延迟,解决办法是将每个请求的路由划分为较小的批次来进行处理。

    • 修复的问题 61725:如果在采用高可用性拓扑的站点中使用 USB WAN 链路,运行远程诊断“HA 信息”(HA Info) 将导致错误。

      如果 USB/LTE 调制解调器当前或以前仅存在于 VMware SD-WAN 活动 Edge 上,而不存在于备用 Edge 上,则活动 Edge 将尝试获取备用 Edge 上的 USB/LTE 接口详细信息,由于备用 Edge 上不存在 USB/LTE 接口,从而导致 Edge 引发错误。

    • 修复的问题 61759:ISP 名称和带宽在 VMware SD-WAN Edge 本地 UI(“概览”(Overview) 页面和“路由接口属性”(Routed Interface Properties) 页面)上显示为空。

      当路由接口具有多个覆盖网络时,本地 UI 应显示具有最新“上次激活时间”(last active) 值的接口详细信息(按照设计,该 UI 仅会显示一个接口的详细信息)。但是,当用户打开本地 UI“概览”(Overview)/“详细信息”(Details) 页面时,具有多个覆盖网络的路由接口的带宽和 ISP 值却显示为空。

    • 修复的问题 61797:VMware SD-WAN Edge 不支持路由回溯,从而导致路由的可访问性错误。

      从此版本开始,将支持路由回溯。路由回溯意味着,如果最长前缀匹配 (LPM) 项无法访问,并且存在另一个可用的超级网络路由,则路由查找应选择该超级网络路由来转发数据包。在路由查找获取无法访问的路由作为 LPM 时,Edge 将无法获取路由表中的下一个最佳路由,这会导致许多客户遇到路由可访问性错误的问题。

    • 修复的问题 62197:VMware SD-WAN 网关可能会重新启动其数据平面服务。

      在将路由从其自身同步到 VMware SD-WAN Orchestrator 时,网关会发生内存泄漏。  在内存消耗达到严重级别时,网关的数据平面服务将重新启动以清除内存,而这会导致使用网关的客户流量短暂中断。

    • 修复的问题 62280:在从路由主机执行 traceroute 以跟踪到通过 Edge 到 Edge 连接的客户端的路由时,未显示 VMware SD-WAN Edge 的 LAN 子接口。

      当从主机(未直接连接到 Edge)执行 traceroute 以跟踪到 Edge 到 Edge 拓扑中客户端的路由时,Edge 的接口 IP 不会显示在 o/p 中。仅当未在主机路径上的 Edge 接口上进行 VMware SD-WAN 网关配置时,才会发生这种情况。

      如果未进行该修复,唯一的解决办法是在连接到该 traceroute 主机的 Edge 接口上启用网关配置。

    • 修复的问题 62373:启动配置为提供唯一 MAC 地址的高可用性站点时,会对该 vMAC 进行编排,使其从路由接口变为交换接口。

      在将接口类型从 WAN 接口更改为交换接口后,不会为 HA Edge 编排该唯一 MAC 地址,而这会导致流量丢失。 

      如果未进行该修复,解决上述问题的方法是重新启动 HA Edge,以在当前的交换接口上编排正确的 MAC 地址。
       

    • 修复的问题 62552:站点可能会间歇性出现高丢包率和连接问题。

      出现该问题是因为,检查 ARP 解析的 API 告知 Edge,设备的 ARP 解析成功,但提供的 MAC 地址为 00:00:00:00。  此地址保存在 ARP 缓存中,并且对于 MAC 地址列为零的设备,将丢弃适用于这些类设备的任何数据包。  在此问题中,传递了许多此类 ARP 成功而 MAC 地址为零的实例,从而导致高丢包率和连接问题。

      注意:虽然以前的问题 60130 具有相同的基本行为和导致原因,但问题 60130 的解决方案与问题 62552 有所不同。  问题 60130 采用防御性的解决办法来解决,而问题 62552 则采用可防止问题再次发生的彻底修复方法。

    • 修复的问题 62620:在部署了高可用性拓扑的站点上,在 HA 故障切换后,直接发送到某些目标的流量可能会停止工作。

      来自活动 VMware SD-WAN Edge 的流量同步到备用 Edge 以及为 NAT 条目分配的端口,以便在故障切换时,流量在故障切换后不会中断。即使在流量过期后,也从不释放在备用 Edge 上分配的端口。在故障切换时,可能会耗尽 NAT 端口并发生 NAT 故障。因此,可能会在 Edge 中丢弃数据包。

    • 修复的问题 62685:如果 LAN 端 NAT 为将 NAT 类型作为源的不同 LAN 子网配置了相同的外部 IP,发送到云的流量将无法正常工作。

      对于 LAN 端 NAT 规则中使用的外部 IP,我们配置一个静态路由并向远程分支通告该路由。为了将返回流量路由到正确的 LAN 子网,应根据 LAN 端 NAT 规则中配置的内部 IP 执行路由查找,而不是根据静态路由中的下一跃点。但对于来自云的返回流量,路由查找是根据静态路由中的下一跃点完成的,并且流量可能会路由到错误的 LAN 子网。

    • 修复的问题 62725:在极少数情况下,网络中使用 BGP 的 VMware SD-WAN Edge 可能会使用较多的内存。

      如果 Edge 学习的 BGP 路由的下一跃点 IP 地址与对等 IP 地址不同,Edge 的下一跃点跟踪 (NHT) 模块将跟踪下一跃点的可访问性。如果随后禁用了 BGP,在 Edge 上无法访问跟踪的 IP 地址时,可能没有删除跟踪的 NHT 条目。在极少数情况下,具有大量失效的 NHT 条目,此时,可能会看到较高的 Edge 内存使用量。

      如果未进行该修复,解决上述问题的唯一方法是重新引导 Edge,以删除导致内存泄露的 NHT 条目。 

    • 修复的问题 62736:在基于硬件的 VMware SD-WAN Edge 上,当用户访问本地用户界面时,在本地 UI 的“路由接口属性”(Routed Interface Properties) 页面上,对于 PPPoE 接口,MAC 地址字段显示为空,且显示的 IP 地址字段错误。

      从版本 4.3.x 开始,本地 UI 中的接口详细信息会从 NETLINK 事件中获取,而不会不断轮询更新。由于 PPPoE 接口本身没有 MAC 地址(基本接口有),因此 MAC 地址显示为空。此外,用于报告 IP 地址的 NETLINK 参数错误(使用的是 IFA_ADDRESS 而不是 IFA_LOCAL)。DHCP/静态接口不存在此问题,因为对于这两种接口,这两个字段的值相同。

    • 修复的问题 62890:在 Edge Network Intelligence 和 VMware SD-WAN Orchestrator 中查看统计信息时,应用程序 ID 是不同的。

      可以使用两种不同的方法以发现应用程序:
      1.在第一个数据包上,通过已知 SaaS 应用程序(例如 Office 365)的 IP 地址和端口数据库进行学习,或者学习 Orchestrator 以前学习的应用程序的 IP。
      2.在使用深度数据包检查 (DPI) 分析一系列数据包后。

      第二种方法不更新 Edge Network Intelligence 应用程序 ID。这意味着,第一个数据包应用程序(如 Office365)是可见的,但需要 DPI 的应用程序(如 AnyDesk)在 Orchestrator 中可见,但在 Edge Network Intelligence 中不可见。

    • 修复的问题 62897:在操作员用户登录到 VMware SD-WAN 网关,并在 eth0 或 eth1 上运行 tcpdump 命令时,无法正确提供结果。 

      对于操作员而言,tcpdump 是非常重要的网关调试命令,如果缺少正确的输出,会严重影响操作员的工作。如果未进行该修复,获取正确输出的方法是使用可将 tcdump 输出通过管道输出到 cat 的命令,例如:tcpdump -nnplei eth0 | cat

    • 修复的问题 63056:VMware SD-WAN Edge 可能会遇到内核崩溃,而这会触发重新引导进程和核心转储。

      mutex mon 进程因 SIGXCPU 失败,并触发核心转储。修复方法是允许所有线程使用这两个核心,同时将 Edge 数据平面服务 < > frr 通信移动到 Unix 域套接字,这样可以获得 TCP 套接字的所有优势,且不会产生高内核开销,从而提升性能。

    • 修复的问题 63141:如果在采用增强型高可用性拓扑的站点中使用 Metonia ADSL2+ SFP 模块,在进行故障切换时,ADSL2+ SFP 模块无法启动。

      当增强型 HA Edge 进行故障切换或重新启动网络时,具有 ADSL2+ 配置的 Edge 无法启动。 

    • 修复的问题 63359:如果站点配置了高可用性拓扑和 OSPF,且其中的 VMware SD-WAN Edge 使用 MGMT IP Edge 内部版本,则将这些 Edge 从 3.4.x 升级到 4.2.x MGMT-IP 内部版本后,OSPF 连接可能会在升级后中断。 

      将 HA Edge 升级到 4.2.x MGMT IP 内部版本后,HA 系统可能会将其路由器 ID 定义为 169.254.2.2。这不是预期行为,因为 Edge 选择路由器 ID 时不应考虑 HA 接口的 IP 地址。此路由器 ID 将中断 OSPF 连接,而且由于无法再进行路由交换,连接将完全断开。

      如果未进行该修复,唯一的解决办法是重新启动 Edge 服务(触发 HA 故障切换),这将强制重新选择路由器 ID,在重新启动后重新选择的这个 ID 应该是正确的 ID。

    • 修复的问题 63362:对于使用增强高可用性拓扑的站点,在重新引导备用 Edge 或关闭再打开 Edge 电源后,启用了 DHCP/PPPoE 的接口停止发送流量。

      在增强型 HA 拓扑中,如果在代理接口上启用了 DHCP/PPPoE(换言之,将 HA 链路状态设置为 USE_PEER),在备用 Edge 重新引导或关闭再打开电源后,该接口无法从服务器中获取地址。

      如果未进行该修复,唯一的解决办法是将动态地址更改为静态地址类型,或执行强制 HA 故障切换以从服务器中获取 IP 地址。

    • 修复的问题 63513:对于使用 Edge Network Intelligence 的客户,发现在 Edge 软件升级后,VMware SD-WAN Edge 的软件版本未得到相应更新。

      Edge 实际上已升级到最新的 Edge Network Intelligence 版本,但 Edge 却将旧版本号传送给 VMware SD-WAN Orchestrator,因此导致客户看到旧版本。客户会在升级 Edge 后遇到此问题。在将 Edge 从旧版本升级到较新版本后,客户仍会看到 Edge Network Intelligence 的旧版本。

    • 修复的问题 63640:对于在 WAN 覆盖网络上使用 IPv4/IPv6 双栈的客户,WAN 链路将显示不正确的 MTU 值。

      对于双栈 WAN 覆盖网络,如果更改 IPv4 链路的 MTU,然后将首选项更改为 IPv6,则会将相同的 IPv4 MTU 应用于 IPv6 链路,这会导致 MTU 值差异。

    • 修复的问题 64184:当在使用两个 VMware SD-WAN 硬件 Edge 的站点上启用了高可用性时,用户可能会发现,在升级备用 Edge 软件后,Edge 并未升级,并且备用 Edge 仍处于非活动状态。

      在上述条件下此问题极少发生,但如果发生,则导致该问题的原因是:启用 HA 后,在调用备用 Edge 映像升级期间,终止了活动 Edge 上的 HA 工作线程。终止该 HA 工作线程会导致备用 Edge 处于非活动状态。

    • 修复的问题 64205:用户将观察到 VMware SD-WAN 网关的 VCMP 数据出现切换队列大量丢弃情况,这会导致用户体验不佳。

      当发生连续流量创建事件时,VCMP(VeloCloud 管理协议)数据线程上的数据包处理速度会变慢。该修复通过将 VCMP 控制消息重定向到其他线程并消除部分连续日志消息,减少了 VCMP 数据线程负载。

    • 修复的问题 64713:对于使用增强型高可用性拓扑的客户站点,如果用户重新启动 Edge 服务或进行导致 Edge 服务重新启动的配置更改,客户可能会观察到重新启动所需的时间比预期长得多,然后 Edge 才会恢复。

      发生此问题时,Edge 进程和其他竞争进程之间存在争用情况,从而导致启动延迟。  在诊断包日志中,用户将看到一行短语“FATAL: Cannot get hugepage information”。

    • 修复的问题 64736:将 VMware SD-WAN Edge 接口从路由配置为交换后,DHCPv6 IP 地址可能不会从该接口刷新。

      将接口从路由配置为交换后,IPv6 IP 地址应从该接口刷新,因为 LAN 不支持 IPv6。但在某些情况下,IPv6 IP 地址在转换为交换后不会刷新。如果这些接口被转换回来,这些 IP 地址甚至会持续存在。并不是在每次转换接口时都会出现该问题。

      如果未进行该修复,唯一的解决方法是重新引导 Edge,以从新转换的交换接口中清除 IPv6 IP 地址。

    • 修复的问题 64961:在处理包含选项的 IP 数据包时,VMware SD-WAN Edge 可能会发生数据平面服务故障并重新启动该服务。

      在处理包含选项的 IP 数据包时,可能会因为选项字段解析不正确(在解析完选项列表后仍继续解析)而导致数据平面服务出现故障。数据平面服务故障是由 mutex mon 引发的。如果未进行该修复,则将此问题的风险降至最低的唯一方法是:避免在用户流量 IP 数据包中设置除“记录路由”(Record Route, RR) 和“无选项”(No Option, NOP) 之外的选项。

    • 修复的问题 65037:如果证书的 SSL 公用名称字段中包含特殊字符或空格,则 HTTPS/SSL 连接可能会由于证书损坏而无法建立。

      VMware SD-WAN Edge 会检查流经的所有用户流量,因而可以识别流量所属的应用程序。需要执行此检查操作以正确应用业务策略,以及使 VMware SD-WAN Orchestrator 在 Edge“监控”(Monitoring) 页面上正确显示每个应用程序的统计信息。但是,当 SSL 公用名称中包含特殊字符或空格时,应用程序标识代码会出现问题,导致 SSL 公用名称中的字节被覆盖,从而导致证书损坏。

    • 修复的问题 65219:使用 i40evf 驱动程序的 KVM SR-IOV 类型 VMware SD-WAN 网关会丢弃大小等于或高于 1500 字节的客户数据包。 

      但不会丢弃数据大小小于 1496 字节的数据包。在上述情况下,当用户尝试通过 SSH 访问网关主机时,用户将发现挂起。

    • 修复的问题 65293:使用版本 4.x 时,部署在 AWS 中并与 Amazon 的 Elastic Network Adapter (ENA) 驱动程序一起运行的 VMware SD-WAN 网关的吞吐量性能下降。

      在将网关从 3.x 升级到 4.x 内部版本时,或者在使用 4.x 内部版本的新部署上,会出现此问题。使用版本 4.0.0 或更高版本的网关具有 DPDK v19.11,而从 DPDK v19.02 开始,Amazon 的 ENA 驱动程序便使用低延迟队列 (LLQ)。但是,要使 LLQ 高效工作,必须根据 ENA 参考指南启用内存写入合并设置。  如果内存映射不是合并式写入,则部署在 AWS 上的网关会出现高 CPU 使用率,从而显著影响吞吐量。要修复此问题,请在 AWS 上部署的网关的 ENA 适配器上启用写入合并。

    • 修复的问题 65432:在从连接到 VMware SD-WAN Edge 的 LAN 端客户端执行 traceroute 以跟踪到通过 VMware SD-WAN 网关的 DC 服务器的路由时,traceroute 输出中不会显示网关 IP。

      从 LAN 客户端启动 traceroute 以跟踪到可通过网关访问的 DC 的路由时,traceroute 会显示所有其他跃点,但网关 IP 除外。

    • 修复的问题 65466:在运行某些调试命令或生成诊断包时,处理大型 BGP 路由交换的 VMware SD-WAN 网关或 VMware SD-WAN Edge 可能发生数据平面服务故障并重新启动。

      如果同时运行调试命令 dispcnt(包含参数),则处理大量路由的 Edge 或网关(例如,通告 5 万个 BGP 路由的 Edge,或从 Edge 中学习 10 万个以上 BGP 路由的网关)可能会遇到此问题。  dispcnt 调试命令用于监控容量下降情况,可由合作伙伴操作员在相应设备的 CLI 上运行,也可由用户在创建诊断包期间运行。当在具有大量路由的 Edge 或网关上运行该命令时,如果发生其他事件(例如,路由删除),使得原始变量指向现已失效的内存位置,则最终会导致由于对内存的非法访问而发生数据平面服务故障。

    • 修复的问题 65521:VMware SD-WAN Edge 可能会发生数据平面服务故障,并因而重新启动该服务。

      重新启动 Edge 服务将导致客户流量中断约 5-10 秒钟时间。在 VeloCloud 管理协议 (VCMP) 隧道创建握手期间处理意外的控制消息时,Edge 数据平面服务会发生故障。此问题与网络拓扑、流量数或吞吐量无关。此问题很少见且是随机发生,可能会在任何类型的客户企业中发生。

    • 修复的问题 65539:在客户将其 VMware SD-WAN Edge 升级到 4.2.x 版本后,在两个不同分支上的两个设备之间建立的 BGP 会话无法启动。

      在客户将其 Edge 从较低版本升级到 4.2.x 版本后,通过 VCMP 隧道在位于不同分支的 2 个 LAN 设备之间建立的 BGP 会话无法启动。

    • 修复的问题 65673:操作员用户登录到 VMware SD-WAN 网关并运行 dpdk_xtstats_dump 调试命令时,将看到远程过程调用 (RPC) 错误消息。

      在网关上执行 debug.py --dpdk_xstats_dump 命令时,网关由于回调注册不可用而引发 RPC 错误。

    • 修复的问题 65839:对于从 VMware SD-WAN Hub Edge 后面的客户端发起并流向分支 Edge 后面的 LAN 的流量,如果默认路由是从合作伙伴网关通告的,则来自分支的返回流量会通过合作伙伴网关进行路由。

      预期行为是来自 Hub Edge 的流量也由 Hub Edge 返回。如果未从 Hub Edge 向分支 Edge 通告默认路由或 Edge 到 Edge 路由,则分支 Edge 上针对返回流量的路由查找将与合作伙伴网关默认路由相匹配,因此,返回流量将路由到合作伙伴网关而不是 Hub Edge。

      如果未进行该修复,避免上述问题的唯一方法是将默认路由或 Edge 到 Edge 路由从 Hub Edge 通告到分支 Edge。

    • 修复的问题 65910:多跳 BGP 的更新源 IP 地址在修改环回地址时未更新,从而导致 BGP-MH 会话关闭。

      如果将环回接口用作 BGP-MH 的源接口,则在修改环回地址时,源接口未更新,从而导致 BGP-MH 会话关闭。

      如果未进行该修复,解决上述问题的唯一办法如下:在修改环回地址后,重新配置多跳 BGP 的源接口。

    • 修复的问题 65985:对于使用动态 Edge 到 Edge 的客户,其网络中的 VMware SD-WAN Edge 可能会突然丢弃所有隧道,并因而无法再与网络中的任何其他站点建立隧道。

      在站点丢弃所有隧道后,Edge 最大隧道数的值将出现错误,显示的最大隧道数将为负值。这个错误的值可导致该 Edge 无法与其他 Edge 建立任何新的动态 Edge 到 Edge 隧道。此问题产生的影响非常严重,因为该 Edge 无法与网络中的任何其他站点进行通信。

      如果未进行该修复,消除此问题的唯一方法是在 HA 站点中重新启动 Edge 服务或进行 HA 故障切换。

    • 修复的问题 66086:在移除旧的基于路由映射的筛选器后,该筛选器的配置显示在 BGP 配置列表中。

      对于多个邻居 BGP 配置,如果还关联了多个路由映射筛选器,则在稍后移除该筛选器后,失效的配置仍保留在某些邻居上,这可能会导致预期的客户网络路由中断。

    • 修复的问题 66119:在远程位置中部署 VMware SD-WAN 虚拟 Edge 时,Edge 无法通过 cloud-init 自动激活。

      远程位置通常在 Edge 和 VMware SD-WAN Orchestrator 之间存在较高的网络延迟(超过 1 秒),并且这种延迟级别将导致虚拟 Edge 无法通过 cloud-init 自动激活。

    • 修复的问题 66139:在用户启用或禁用 BGP 邻居时,VMware SD-WAN Edge 可能会发生数据平面服务故障并重新启动。

      作为从 BGP 收到的每个连接事件的一部分,VMware SD-WAN 会将配置从 Edge 进程重新应用到 BGP,并且存在另一个移除了配置的线程,这会导致 BGP 信息失效,在极少数情况下可能会导致出现争用情况,从而导致数据平面服务失败。

    • 修复的问题 66355:如果客户启用了有状态防火墙并至少配置了一个 LAN 端 NAT(多对一)规则,VLAN 间流量将无法正常运行。

      在设置多对一 LAN 端 NAT 规则后,将无法正常维护 VLAN 间流量的 TCP 状态,如果还启用了有状态防火墙,则将丢弃这些数据包。

    • 修复的问题 66366:如果客户将多播用于大量邻居,VMware SD-WAN Edge 可能会发生数据平面服务故障并重新启动该服务,从而导致客户流量短暂中断。

      “大量邻居”定义为约 1600 个 PIM 邻居。如果发生上述问题,当一个多播组的流量从 1600 个分支 Edge 运行到 Hub Edge 后面的一个接收方时,PIM 服务将出现故障,进而导致 Edge 服务也出现故障,从而导致重新启动。

    • 修复的问题 66676:配置业务策略 NAT 后,来自 VMware SD-WAN 网关的返回流量可能无法转换回原始源 IP。

      在代码中插入 NAT 条目时,应删除旧条目。但是,由于未使用所有密钥进行哈希表查找,在某些情况下不会删除旧条目,而这会导致 NAT 条目插入错误。

    • 修复的问题 66691:在 VMware SD-WAN Edge 型号 6x0 (610/620/640/680) 上,未正确显示自动协商状态。

      由于所有 Edge 6x0 型号都使用 Intel x553 网卡,因此在 SFP1 和 SFP2 上不支持自动协商,而 GE1-GE6(铜质端口)支持自动协商。但是,由于 ixgbe 驱动程序存在缺陷,Edge 的 ethtool 表明对所有端口始终开启自动协商。

    • 修复的问题 66801:在使用高可用性拓扑和 VNF 的客户站点中,客户可能无法连接到 VNF 以从管理服务器建立信任。

      当路由接口启用了 DHCP,且内核路由表中不存在默认路由时,HA 站点中会出现此问题。在这种情况下,内核会使用“ICMP 目标无法访问”(ICMP destination unreachable) 进行响应。

      如果未进行该修复,防止此问题发生的办法是:在备用 Edge 上添加一个默认路由,以便 Edge 不会将“ICMP 无法访问”(ICMP Unreachable) 发送回 VNF 虚拟机,从而避免 SSH 连接重置。

    • 修复的问题 67060:VMware SD-WAN Edge 可能会显示较高的内存利用率,当内存利用率足够高时,可能会导致 Edge 服务重新启动。

      这属于内存泄漏问题,其具体表现为内存利用率缓慢、持续升高。当在单个流量中发送多个 HTTP 请求数据包时,会发生上述问题,特别是在 Edge 解析 HTTP 请求数据包时,更加容易发生内存泄漏。

    • 修复的问题 67173:从多个 IBGP 邻居学习同一路由时,VMware SD-WAN Edge 将使用从 BGP 进程中选出的仅次于最佳的路由,而这会导致某些客户流量出现黑洞。

      由于可用范围路由 (FRR) 套件中存在的问题,IBGP 会将多个下一跃点发送到 Edge,并选取仅次于最佳的跃点(下一跃点顺序中的最后一个)来更新转发信息库 (FIB)。该修复在 BGP 进程中包含了一个命令,以仅将最佳下一跃点发送到 Edge。

    • 修复的问题 67191:对于使用云安全服务 (CSS) 的客户,L7 运行状况检查返回错误并失败,导致 CSS 隧道被拆除。

      当 VMware SD-WAN 网关上存在大量非 SD-WAN 目标 (NSD) 隧道时,虚拟隧道接口 (VTI) IP 可能不在给定子网掩码 /24 范围内,该范围是为要由网关数据平面服务处理的探测定义的。这是导致 L7 运行状况检查出现错误并失败的原因。该修复更新了 /16 掩码,现在接受 L7 以便可以在网关的数据平面服务中进行处理。

      如果未进行该修复,唯一的解决方法是让有权访问网关的操作员手动更改 /opt/vc/bin/gwd_ip_setup.sh 文件,以反映掩码更改(从 169.254.0.0/24 更改为 169.254.0.0/16)。然后,网关服务将重新启动。

    • 修复的问题 67197:当部署中存在 1500 个以上与多播组关联的源时,客户网络中可能会发生多播服务定期中断的情况。

      如果部署中存在 1500 个以上与多播组关联的源,则在这些部署中处理 join-prune 更新时,用于处理 PIM 堆栈 join-prune 消息中软件问题的逻辑会失败并引发异常。

      如果未进行该修复,防止此问题发生的唯一方法是将多播源总数限制为 1000 个。

    • 修复的问题 67259:如果 PIM 进程多次重新启动,多播流量会中断,且 PIM 邻居无法启动。

      在具有 1600 个 PIM 邻居的大规模设置中,如果在流量从 700 个分支 Edge 运行到 Hub Edge 后面的一个接收方时多次重新启动 PIM 进程,则在一次重新启动后,1600 个 PIM 邻居中只有 570 多个邻居会启动。消除此问题的唯一方法是重新启动 Edge 服务。

    • 修复的问题 67485:VMware SD-WAN 网关在升级过程中可能缺少接口。 

      在网关的数据平面进程初始化所有 DPDK KNI(基于软件)接口前结束该进程的时间段非常短。重新绑定到内核时,找不到 KNI 接口。在重新绑定到 DPDK 时,由于缺少接口,该状态将保持不变。

    • 修复的问题 67694:客户可能会遇到云安全服务 (CSS) 隧道故障,因为已有条件地回传 L7 运行状况检查探测。

      永远不应该有条件地回传 L7 运行状况检查探测,这样做探测将失败,并且会导致 CSS 隧道被错误地标记为关闭。

    • 修复的问题 67790:对于使用 BGP 或 OSPF 的客户企业,如果将入站筛选器配置为忽略某些路由,则在为此企业启用动态成本计算 (DCC) 后,入站筛选器将不再生效,且流量将尝试使用那些忽略的路由。

      在启用 DCC 之前,转发信息库 (FIB) 将不包含在 BGP/OSPF 入站筛选器上设置为“忽略”(IGNORE) 的路由。  启用 DCC 后,FIB 现在将包含这些路由,并且流量将尝试使用这些路由,而这可能会对客户企业造成严重的流量中断。

      如果未进行该修复,唯一的解决办法是重新启动 OSPF/BGP,以使入站筛选器得到正确应用。

    • 修复的问题 67869:如果之前将 VMware SD-WAN Hub Edge 配置为单栈 IPv4,稍后更改为首选的双栈 IPv6 时,较旧的 IPv4 隧道不会断开连接。

      当出现此问题时,客户会发现隧道计数不正确,因为未拆除 IPv4 隧道。实际上隧道数量应该加倍。

    • 修复的问题 68994:如果客户使用 VMware SD-WAN 网关从 VMware SD-WAN Edge 部署非 SD-WAN 目标 (NSD) 隧道,他们可能会观察到隧道抖动。

      在建立隧道或 IKE 重新加密时会出现此问题。Edge 或网关会删除基于 IKESAID=0 的安全关联 (SA),这会导致隧道抖动。隧道会自动稳定,但执行此操作所需的时间会发生变化,这可能会进一步影响到 NSD 的客户流量。

    • 修复的问题 69704:在使用 VMware SD-WAN Edge 6x0 平台(610、620、640 和 680)的站点上启用高可用性可能会中断 Edge 与 VMware SD-WAN Orchestrator 的通信。

      这已在版本 4.3.0 和 4.4.0 中得到验证。启用 HA 后,由于某些计时条件,Orchestrator 通信中断。这会导致 HA 无法启动,并且 Edge 会完全失去与 Orchestrator 的连接,这意味着 Orchestrator 会将 Edge 标记为关闭,并且无法进行进一步的配置更改。

    • 修复的问题 70310:如果客户使用多个分段,则在删除或者禁用一个或多个分段后,VMware SD-WAN Edge 可能会发生数据平面服务故障并重新启动该服务,从而导致客户流量短暂中断。 

      在删除分段后,Edge 不会完全清理与该删除的分段关联的内存。在某些情况下,活动 Edge 会通过引用此类已删除的分段将事件同步到备用 Edge,由于这些分段已不存在,因此会导致备用 Edge 上发生服务故障。

    • 修复的问题 70416:VMware SD-WAN 网关可能会显示较高的 CPU 负载,从而导致使用该网关作为主网关的 Edge 发生延迟和数据包丢失。

      导致此问题的原因是,网关的快速路径线程(IKE、VCMP 数据等)花费 15-20% 的周期时间执行 InetNtop 操作。为修复此问题,需移除 InetNtop 操作,并将其替换为更高效的数据格式化过程。

    • 修复的问题 70590:尝试使用版本 4.3.0 在 VMware SD-WAN 网关上生成诊断包可能会失败。

      由于诊断包超出了 Orchestrator 上配置的大小限制,在运行 4.3.0 版本的网关上生成的诊断包失败。  诊断包过大是由审核日志随着时间的推移而变大造成的。

      如果未进行该修复,在网关上成功生成诊断包的唯一方法是,操作员用户登录到网关,并且在 Orchestrator 上触发诊断包之前,操作员用户需要删除网关的 /var/log/audit 目录下的审核日志文件。

    • 修复的问题 70789:客户可能会遇到因 IPSec 反重放检测而导致流量被随机丢弃的问题。

      如果 VMware SD-WAN Edge 或 VMware SD-WAN 网关收到两个数据包,且每个数据包都更新缓存条目序列号,则第一个数据包可能会错误地更新重放时段,而这可能会触发 IPsec 反重放检测,从而导致 IPsec 数据包被丢弃。

    • 修复的问题 71052:当连接到 VMware SD-WAN 网关的客户企业数超过 285 个时,网关会发生数据平面服务故障。

      从网关版本 4.3.0 开始,通过添加新计数器来在客户企业级别跟踪数据包和流量相关信息,增强了网关监控客户的能力。问题是,在客户企业数超过 285 个之后,为客户企业初始化的计数器数量将耗尽,任何其他新客户的计数器初始化将失败,从而导致网关的数据平面服务失败并强制重新启动服务。

    • 修复的问题 71513:当查看 VMware SD-WAN Orchestrator UI 上的“网关”(Gateways) >“监控” (Monitor) 选项卡时,用户会发现,如果查看使用版本 4.3.0 的 VMware SD-WAN 网关,那么“切换队列丢弃”(Handoff Queue Drops) 会始终显示值 0。

      由于格式不正确,运行 4.3.0 或更高版本的网关不会向 Orchestrator 报告切换队列丢弃情况,这会使操作员无法清晰了解该特定故障排除数据点。

    解决的 Orchestrator 问题

    Orchestrator 版本 R450-20220502-GA 中解决的问题

    Orchestrator 版本 R450-20220502-GA 在 2022 年 5 月 4 日发布,它是版本 4.5.0 的第 8 个 Orchestrator 汇总内部版本。

    此 Orchestrator 汇总内部版本解决了自第 7 个 Orchestrator 汇总版本 R450-20220315-GA 以来出现的以下严重问题。

    • 问题 78688:托管使用 Zscaler 云安全服务 (CSS) 的客户的 VMware SASE Orchestrator 可能会遇到 CPU 使用率达到峰值的情况,这会导致进程请求出现高延迟,并且 Orchestrator 不会更新 Edge 运行状况统计信息。 

      Orchestrator Edge 运行状况统计信息处理包含未优化的数据库查找,这会增加 Orchestrator 的 CPU 占用率。

      解决办法:没有该问题的解决办法。

    • 问题 84214:当操作员用户位于 VMware SASE Orchestrator UI 的“网关”(Gateways) 页面上时,可能无法为超级网关的角色分配特定网关。

      如果已为网关分配了“超级网关”和“备用超级网关”角色,并且操作员尝试从“网关”(Gateways) >“配置网关”(Configure Gateways) 屏幕上的“客户使用情况”(Customer Usage) 中编辑企业的超级网关分配,则 UI 不会正确查找与超级网关相关的关联数据,而且“分配超级网关”(Assign Super Gateway) 对话框不会显示,同时还会在控制台中引发错误。 

      解决办法:没有该问题的解决办法。

    • 问题 84969:如果 VMware SD-WAN Edge 运行 4.2.x 版本,同时还配置了覆盖的非默认管理 IP,则在运行 4.3.x 或更高版本的 VMware SD-WAN Orchestrator 上将该 Edge 升级到 4.3.x 或更高版本后,该 Edge 可能会丢失配置的覆盖的管理 IP。

      在将 Edge 从 4.2.x 升级到 4.3.x 或更高的内部版本后,运行 4.3.x 或更高版本(包括 4.5.0)的 Orchestrator 不会自动创建环回接口,也不会为 Edge 保留覆盖的非默认管理 IP。

      解决办法:用户需要重新配置覆盖的管理 IP。

    解决的 Orchestrator 问题和添加的功能

    Orchestrator 版本 R450-20220315-GA 中解决的问题

    Orchestrator 版本 R450-20220315-GA 于 2022 年 3 月 16 日发布

    此 Orchestrator 内部版本通过更新到 Log4j 版本 2.17.0,修复了 CVE-2021-45046(Apache Log4j 漏洞)。内部版本还修复了 CVE-2021-44228,该漏洞最初已在具有 Log4j 版本 2.16.0 的 Orchestrator 内部版本 R450-20211218-GA 中解决。有关 Apache Log4j 漏洞的详细信息,请参阅 VMware 安全公告 VMSA-2021-0028.13

    此外,此 Orchestrator 内部版本解决了自 Orchestrator 版本 R450-20220215-GA 以来存在的几个严重问题。

    此内部版本还向 Cloud Web Security 添加了一项新功能:数据丢失防护 (DLP)。  早前,此新功能在“发行说明”中的“SASE 新增功能”下有更详细的介绍。

    • 修复的问题 69573:对于使用 VMware Secure Access 的客户,在创建远程访问服务时,如果在“企业和网络设置”(Enterprise and Network settings) 屏幕中验证失败,系统将按预期禁用“下一步”(Next) 按钮,但不会显示错误消息。

      在创建远程访问服务时,如果用户在“客户子网”(Customer Subnet) 或“子网位”(Subnet bits) 字段中输入了无效数据,系统不会在这些字段下方显示用于帮助用户了解配置失败原因的错误消息。

    • 修复的问题 76036:尝试在 VMware SASE Orchestrator 上访问“合作伙伴概览”(Partner Overview) 页面和/或该合作伙伴的“配置”(Configure) >“客户”(Customer) 页面时,页面加载失败,并显示“出现意外错误”(An unexpected error has occurred) 消息。

      合作伙伴概览 (Partner Overview) 页面和/或该合作伙伴支持的客户的配置 (Configure) > 客户 (Customer) 页面可能会因为“enterpriseProxy /getEnterpriseProxyGatewayPools”API 超时而无法加载。  导致这些页面无法加载的原因是:如果这些页面中包含大量网关池和网关,可能会导致页面上使用的 enterpriseProxy /getEnterpriseProxyGatewayPools API 超时,从而导致每个 UI 页面出现页面加载问题。

    • 修复的问题 79324:在 Cloud Web Security 服务上,对于特定应用程序,某些 CASB 应用程序控制实际上已关联(也就是说,将一个应用程序设置为“阻止”(block) 也会阻止其他应用程序),而 CASB 例外规则向导却单独显示这些应用程序。

      现在,当选定应用程序的 CASB 应用程序控制已关联时,CASB 例外规则向导会向用户发出警示,并且更改受影响的控制也会更改其他控制。此外,只能将没有已关联控制的应用程序组合到一个例外规则中,而具有已关联控制的应用程序则需要自己的例外规则。

    • 修复的问题 83534:对于使用 VMware Cloud Web Security 的客户,拥有 Standard 许可证的客户能够使用为拥有 Advanced 许可证的客户保留的功能。

      可以验证客户的 Cloud Web Security 许可证并确保客户能够访问该许可证的相应功能的 API 无法正常工作,无论许可证类型如何,它都允许所有客户访问所有 Cloud Web Security 功能(例如 CASB 应用程序控制)。 

    • 修复的问题 83538:对于使用 Secure Access 服务的客户,在创建远程访问服务时,“企业和网络设置”(Enterprise and Network settings) 屏幕会显示内部错误消息键。

      创建远程访问服务时,如果用户在“客户子网”(Customer Subnet) 或“子网位”(Subnet bits) 字段中输入了无效数据,则会在这些字段下方显示一条未转换的错误消息。此错误消息对用户没有任何用处,也不能解决有关任一字段中的无效数据的实际问题。

    • 修复的问题 83822:对于使用 VMware Cloud Web Security 的客户,查看“监控”(Monitor) >“日志”(Logs) >“Web 日志”(Web Logs) 时,用户最多只能查看 100 个日志,并且无法加载更多页面来查看其他日志。

      由于存在此问题,用户会停滞在使用最多 100 个日志的单个页面上,而无法查看其他日志,因为 Web 日志的分页已损坏。这会对用户来说是一个很大的阻碍,因为这意味着如果他们要加载较长时间段(例如 30 天)内的日志,他们将看不到该时间段内的所有日志。  唯一的解决办法是加载较短时间内的日志,以返回 100 个或更少的日志。 

    • 修复的问题 83940:对于使用 VMware Cloud Web Security 的客户,拥有 Standard 许可证的客户可以在 VMware SASE Orchestrator UI 上查看数据丢失防护 (DLP) 和 CASB 应用控制的页面。

      拥有 Cloud Web Security Standard 许可证的客户无法访问 DLP 或 CASB 应用控制功能,因此 UI 不应显示这些功能的页面。此问题是由于 Cloud Web Security UI 中缺少路由配置所致。

    • 修复的问题 84286:对于使用 VMware Cloud Web Security 服务的客户,具有只读特权的用户在选择某个时间间隔之前,在“Cloud Web Security”>“事件”(Events) 页面上看不到日志。

      只读用户的“Cloud Web Security”>“事件”(Events) 页面显示为空白,这表示没有任何可显示的日志。但是,如果用户选择新的时间间隔,则将显示该时间间隔的正确日志。

    • 修复的问题 84297:对于使用 VMware Cloud Web Security 的客户,只读用户可以编辑“内容检查引擎”(Content Inspection Engine) 和“身份验证”(Authentication) 页面的 Cloud Web Security 配置。

      VMware SASE Orchestrator 没有为选定的 Cloud Web Security 配置页面正确强制实施只读用户角色。 

    • 修复的问题 84299:对于使用 VMware Cloud Web Security 的客户,具有“安全管理员”或“安全读取”角色的客户管理员无法在 VMware SASE Orchestrator UI 上打开“Cloud Web Security”>“监控”(Monitor) 页面。

      Orchestrator 并未向具有“安全”角色(安全管理员和安全读取)的客户管理员提供查看 Cloud Web Security“监控”(Monitor) 页面所需的特权。

    • 修复的问题 84300:对于使用 VMware Cloud Web Security 服务的客户,具有任何只读角色的客户管理员可以从“配置”(Configure) >“DLP”页面中移除审核员电子邮件地址。

      具有 Cloud Web Security 只读状态的客户管理员角色包括:“客户支持”、“安全读取”和“网络管理员”。在这些管理员中,任何管理员都可以转到“Cloud Web Security”>“配置”(Configure) >“DLP 设置”(DLP Settings),并在审核员 (Auditors) 选项卡下删除应该收到 DLP 警报电子邮件的审核员的已配置电子邮件地址。

    ___________________________________________________________________

    Orchestrator 版本 R450-20220215-GA 中解决的问题

    Orchestrator 版本 R450-20220215-GA 于 2022 年 2 月 17 日发布,解决了自 Orchestrator 版本 R450-20211218-GA 以来存在的几个严重问题。

    • 修复的问题 64410:对于使用 VMware Cloud Web Security 的客户,用户可以在 VMware SD-WAN Orchestrator 新 UI 上的 SSL 检查规则中添加无效的 IP 地址。

      此操作可以通过源或目标的现有安全策略或新安全策略来完成。用户使用无效的 IP 完成规则配置后,不会显示任何错误消息。然后,当用户尝试发布规则时,系统会出现一个对用户毫无用处的错误,其内容为:“发布安全策略时出错: 请求失败,状态代码为 400”(error while publishing security policy: Request failed with status code 400)。

    • 修复的问题 64438:对于使用 VMware Cloud Web Security 的客户,在 VMware SD-WAN Orchestrator 新 UI 上更新规则时,用户可以向安全策略名称中添加无效字符。

      例如,在创建安全策略时,如果用户输入无效字符(如“<>”)作为名称,Orchestrator UI 将显示错误,但在用户编辑现有安全策略时,如果将其名称更新为“<>”并保存策略,则会更新安全策略名称。

    • 修复的问题 68153:对于使用 VMware Secure Access 的客户,用户可能无法从 VMware SD-WAN Orchestrator 新 UI 中删除 Secure Access 服务。

      Secure Access 服务创建失败后,如果用户尝试从 Orchestrator UI 中删除 Secure Access,可能无法将其删除。如果在 Secure Access 失败时未创建某些资源,从而无法正确完成删除操作,则会发生这种情况,因为后端服务会尝试查找要删除的这些资源,但找不到。这最终会导致删除调用失败。

    • 修复的问题 74284:对于使用 VMware Cloud Web Security 的客户,在创建新的云访问安全代理 (CASB) 规则并选择目标应用程序时,VMware SD-WAN Orchestrator 新 UI 上的切换开关设置为“所有应用程序”(All Applications)。

      创建新的 CASB 规则时,该切换开关应设置为“自定义”(Custom),以允许用户选择 CASB 规则应用到的应用程序。但有时,该切换开关设置“停滞”在“所有应用程序”(All Applications),其中包含 CASB 规则可以应用到的全部 1000 多个应用程序。

    • 修复的问题 74491:在配置了灾难恢复的 VMware SD-WAN Orchestrator 上,如果同时运行 VMware Cloud Web Security 和 VMware Secure Access 服务,则活动和备用 Orchestrator 之间的复制可能会失败,并且用户在 Orchestrator UI 上观察到错误。

      出现此问题时,备用 Orchestrator 上的 MySQL 无法重放来自活动 Orchestrator 的事件。这是因为 Cloud Web Security/Secure Access 服务正在备用 Orchestrator 上运行,而备用 Orchestrator 同时在修改数据库状态。

    • 修复的问题 74674:对于使用 VMware Cloud Web Security 的客户,当用户位于 VMware SD-WAN Orchestrator 新 UI 的“Cloud Web Security”页面上时,没有相应的区域来显示特定于 Cloud Web Security 的事件。

      对于此问题,仅显示问题是 CWS_EVENT,而不会为用户提供任何详细信息。现在,包含此修复的 Orchestrator 会在左侧导航窗格中显示“事件”(Events) 链接,该链接指向专门用于 Cloud Web Security 的“事件”(Events) 页面。

    • 修复的问题 74710:对于使用 VMware Cloud Web Security 的客户,VMware SD-WAN Orchestrator 新 UI 上的证书颁发时间和证书到期时间的日期格式始终为美国英语。

      配置 CASB 规则时,选择任何应用程序,在弹出对话框中,“证书颁发时间”(Cert.Issue) 和“证书到期时间”(Cert.Expiration) 的日期格式始终为美式日期格式,而无论用户浏览器的实际本地化语言如何(例如西班牙语)。

    • 修复的问题 74715:对于使用 VMware Cloud Web Security 的客户,当使用非英语本地化浏览器的用户配置“安全策略”(Security Policy) >“CASB 规则”(CASB Rule) 时,VMware SD-WAN Orchestrator 新 UI 上的弹出对话框文本字符串将截断。

      在配置 CASB 规则时,如果这些测试字符串不是英语,用户将看不到特定步骤的完整文本。  句子而是会在文本框边界处截断。

    • 修复的问题 74825:  对于使用 VMware Cloud Web Security 的客户,当使用非英文浏览器的用户尝试使用非英文文本字符串在“安全策略”(Security Policy) >“CASB”页面上执行搜索时,VMware SD-WAN Orchestrator 新 UI 不会返回任何结果。

      虽然某些文本在 Cloud Web Security 规则网格中显示为翻译内容,但搜索框将搜索未翻译的文本键。对于非英语用户,唯一的解决办法是使用“风险评分”(Risk Score) 列的筛选器来筛选出不同的级别,例如“低”(Low)、“中”(Medium) 和“高”(High)。

    • 修复的问题 77043:对于使用高可用性拓扑的站点,如果 VMware SD-WAN Edge 使用 4.3.x 或更高版本,则在发生 HA 故障切换时,VMware SD-WAN Orchestrator 不会注册 HA 故障切换事件。

      Orchestrator 会在使用 4.3.x 或更高版本的 Edge 上筛选掉 HA_GOING_ACTIVE 事件,以防止出现争用情况,因此该事件不会显示在“事件”(Events) 中。

    • 修复的问题 77101:升级 VMware SD-WAN Orchestrator 后,使用 BGP 的客户可能会发现其路由从“上行链路”(Uplink) 更改为“非上行链路”(Non-Uplink)。

      从该邻居接收的前缀的路由顺序可能会受到影响,并且可能会导致非首选路由退出。

      如果未进行该修复,用户需要在升级后,为受影响的 BGP 邻居重新配置上行链路标记。

    • 修复的问题 80613:在配置了灾难恢复 (DR) 的 VMware SD-WAN Orchestrator 上,活动和备用 Orchestrator 之间的复制可能会失败,并且用户在 Orchestrator UI 上观察到数据库复制状态为“失败”(Failed)。

      自 MySQL 版本 8.0.26 起,mysqldump 命令中已弃用 master-data 选项。此选项已替换为 source-data 选项。
      出现此问题的原因是,Orchestrator DR 进程将 mysqldump 命令与 master-data 选项结合使用。但是,将 MySQL 升级到最新版本后,此选项不再起作用,因此会中断 DR。为解决此问题,包含此修复的 Orchestrator 在 DR 过程中对 mysqldump 命令使用 source-data 选项,而不是 master-data 选项。

    • 修复的问题 81498:如果 VMware SD-WAN Edge 运行 4.2.x 版本,同时还配置了覆盖的非默认管理 IP,则在运行 4.3.x 或更高版本的 VMware SD-WAN Orchestrator 上将该 Edge 升级到 4.3.x 或更高版本后,该 Edge 可能会丢失配置的覆盖的管理 IP。

      在将 Edge 从 4.2.x 升级到 4.3.x 或更高的内部版本后,运行 4.3.x 或更高版本的 Orchestrator 不会自动创建环回接口,同时还会为 Edge 保留覆盖的非默认管理 IP。

    • 修复的问题 81599:对于使用 VMware Cloud Web Security 的客户,“SSL 检查”(SSL Inspection) 嵌入在 VMware SD-WAN Orchestrator 新 UI 上的“Web 安全”(Web Security) 选项卡中。

      此处的问题是 SSL 检查规则并非特定于 Web 安全策略,而同样适用于 CASB 和 DLP。因此,在此 Orchestrator 内部版本及更高版本中,用户将发现“SSL 检查”(SSL Inspection) 具有自身的选项卡,而且该选项卡与“Web 安全”(Web Security)、“CASB”和“DLP”同级,这样用户便可以根据需要轻松访问和配置这些规则。

    ___________________________________________________________________

    Orchestrator 版本 R450-20211218-GA 中解决的问题

    Orchestrator 版本 R450-20211218-GA 于 2021 年 12 月 20 日发布。此 Orchestrator 内部版本通过更新到 Log4j 版本 2.16.0,修复了 CVE-2021-44228(Apache Log4j 漏洞)。有关 Apache Log4j 漏洞的详细信息,请参阅 VMware 安全公告 VMSA-2021-0028.5

      ___________________________________________________________________

      Orchestrator 版本 R450-20211120-GA 中解决的问题

      Orchestrator 版本 R450-20211120-GA 于 2021 年 11 月 22 日发布,解决了自 Orchestrator 版本 R450-20211109-GA 以来存在的几个严重问题。

      • 修复的问题 71490:客户使用一个托管大量 Edge 的 VMware SD-WAN Orchestrator,这些 Edge 发生大量学习的路由事件,客户可能会观察到其路由请求的处理速度很慢。  Orchestrator 管理员将会观察到 Orchestrator 性能受到高 CPU 利用率的影响。

        该问题将影响具有大约 5000 个 Edge 的 Orchestrator,其中每个 Edge 每 30 秒推送大约 20 个学习的路由事件。该问题是由 Orchestrator 处理这些 Edge 的学习的路由事件的效率下降造成的,该内部版本包括路由处理逻辑优化以防止再次出现该问题。 

      • 修复的问题 75188:在客户使用 4.5.0 版本的 GRE 自动化时,主隧道和辅助隧道不能位于同一位置。

        在客户使用 GRE 自动化时,将向客户显示建议的隧道列表,客户将前两个隧道作为主隧道和辅助隧道。不过,该设计不允许将主隧道和备用隧道连接到同一个数据中心。例如,如果建立到旧金山 DC 的主隧道,并建立到洛杉矶 DC 的辅助隧道,则两个隧道都会启动。

      • 修复的问题 75781:在将 VMware SD-WAN Orchestrator 从 3.x 升级到 4.5.0 时,用户将在 Orchestrator UI 的 QoE 监控选项卡上观察到在某些时间段内没有数据。将在升级之前涵盖的时间范围内观察到这些无数据时间段。

        在升级到 4.5.0 版本后,预计所有 QoE 数据从 MySQL 迁移到 ClickHouse,并且用户能够在升级后看到从 ClickHouse 中提供的所有 QoE 历史数据,但由于迁移业务逻辑中存在的问题,没有成功转移这些数据。

      • 修复的问题 75859:对于在 FIPS 模式下运行并升级到 4.5.0 版本的 VMware SD-WAN Orchestrator,操作员可能会观察到较高速率的审核事件和磁盘负载。

        在 FIPS 模式下运行的 Orchestrator 出现的问题是,在升级到 4.5.0 期间为 MySQL 创建了重复的 apparmor(一种安全服务)配置文件,这会导致 apparmor 服务无法启动。

      ___________________________________________________________________

      Orchestrator 版本 R450-20211109-GA 中解决的问题

      Orchestrator 版本 R450-20211109-GA 于 2021 年 11 月 10 日发布,解决了自 Orchestrator 版本 R450-20211101-GA 以来存在的几个严重问题。

      • 修复的问题 69196:如果客户的站点将 WAN 链路配置为备用链路并且还使用云安全服务 (CSS),则用户可能会观察到备用链路发生 CSS 隧道事件。

        如果用户具有配置了 CSS 隧道的备用 WAN 链路,他们将会看到与这些链路以及活动和热备用链路相关的事件。由于备用链路从定义上是不活动的链路,因此,这些事件是虚假的,并给客户造成了不必要的困扰。

      • 修复的问题 72018:如果合作伙伴启用 Cloud Web Security 和 Secure Access 等 SASE 服务,这些服务将无法正常工作,因为不会分配 SASE 网关。

        在该 VMware Orchestrator 内部版本之前,不支持为合作伙伴启用 SASE 服务,因此,如果合作伙伴启用了 SASE 服务,Orchestrator 并不会相应地为合作伙伴的客户分配 SASE 网关。

      • 修复的问题 72020:合作伙伴无法在 VMware 的托管 SASE PoP 上静态分配的 SASE 网关上利用 SASE 服务,并且不会为合作伙伴的客户 Edge 分配 SASE 网关。

        该问题与 72018 相关,这也是由于在该 Orchestrator 版本之前不支持为合作伙伴启用 SASE 服务造成的。

      • 修复的问题 75311:在客户将包含重复子网的自定义应用程序库从旧 VMware SD-WAN Edge 上载到使用 4.5.0 版本的 VMware SD-WAN Orchestrator 时,客户将观察到由于具有重复子网而导致的验证错误。

        该修复撤消了重复子网验证,以使客户能够从旧 Edge 中上载包含重复值的应用程序库。

      • 修复的问题 75433:如果用户导航到“监控”(Monitor) >“网络服务”(Network Services),并在 VMware SD-WAN Orchestrator 上检查非 SD-WAN 目标的详细信息,他们将观察到“冗余云 VPN”(Redundant Cloud VPN) 字段不是只读的,而是具有一个用户可以选择的复选框。


        所有“监控”(Monitor) 屏幕应该是完全只读的,而在“监控”(Monitor) 屏幕上配置任何内容都是不正确的,“网络服务”(Network Services) 或任何其他地方不应具有更新功能。

      ___________________________________________________________________

      Orchestrator 版本 R450-20211101-GA 中解决的问题

      Orchestrator 版本 R450-20211101-GA 于 2021 年 11 月 1 日发布,解决了自 Orchestrator 版本 R450-20211012-GA 以来存在的几个严重问题。

      • 修复的问题 63110:对于使用 VMware Cloud Web Security 服务的客户,配置 Cloud Web Security 策略时,在没有截断列表的情况下,用户无法删除列表中前面的域名。

        用户看不到所显示域前面的域,并且无法使用现有 UI 显示这些域。在以前的 4.5.0 Orchestrator 内部版本中,未正确实施正确编辑 Cloud Web Security 策略的功能。

        如果没有此功能,用户只能选择删除项目之后列出的所有项目,然后重新输入这些项目。

      • 修复的问题 64762:对于使用 VMware Cloud Web Security 服务的客户,尝试使用“内容检查”(Content Inspection) 向导配置内容检查时,用户会注意到缺少上下文帮助。

        用户在打开“内容检查”(Content Inspection) 向导时遇到此问题,因为用户预期应该会提供上下文帮助以确保其能够成功配置此功能。

      • 修复的问题 69570:在 VMware SD-WAN Orchestrator 上使用新 UI 时,客户管理员会发现应用程序切换器不可见。

        客户管理员应该能够看到一个界面选项卡,该选项卡允许用户在 SD-WAN、Cloud Web Security 和 Secure Access 之间进行切换,但该选项卡不存在。

      • 修复的问题 69912:在 VMware SD-WAN Orchestrator 上使用新 UI 的操作员用户在浏览器中打开控制台时,可能会观察到与缺少特权相关的错误。

        控制台窗口将显示一系列错误,内容为“错误 TypeError: 无法读取未定义的属性‘authType’”(ERROR TypeError: Cannot read property 'authType' of undefined)。导致此问题的原因是,标头组件缺少必需特权。

      • 修复的问题 72041:对于使用 VMware Cloud Web Security 服务的客户,用户无法为包含路径的域(如“google.com/flights”)创建 URL 筛选规则。

        用户应该能够强制执行一组 URL 筛选规则,这些规则允许某个域(如 www.facebook.com),同时又阻止包含路径的同一域(如 www.facebook.com/gaming)。当用户尝试在 Cloud Web Security UI 上为包含路径的域名创建 URL 筛选规则时,Orchestrator 出现错误。 

      • 修复的问题 73910:对于使用 VMware Cloud Web Security 服务的客户,用户无法更新内容检查引擎的任何设置。

        用户无法更新内容检查引擎的任何参数的设置,因为 VMware SD-WAN Orchestrator UI 会在关闭“详细信息”(Details) 部分时放弃任何用户更改。

      • 修复的问题 74038:对于使用 VMware Cloud Web Security 服务的客户,尝试使用在“存档和压缩包”(Archives and Compressed Packages) 中选择了 ISO 选项的内容检查规则发布安全策略失败。

        选择 ISO 选项后,传递到 Cloud Web Security 服务的数据将与我们当前的 API 不兼容,尤其是 ISO 选项的 v1 类型,该类型需要修改。

      • 修复的问题 74106:未启用动态成本计算 (DCC) 且位于托管大量客户的 VMware SD-WAN Orchestrator 上的客户可能会发现其企业同步路由的时间出现延迟。  该 Orchestrator 的操作员用户会在 Orchestrator 上观察到大量路由事件被拒绝。

        在路由规模较大的生产 Orchestrator 上,此问题将导致非 DCC 客户的路由同步出现显著延迟,从而延迟数据平面路由聚合。此问题的解决方法改善了 Orchestrator 对来自 VMware SD-WAN Edge 的路由 API 调用的速率限制,这进而改善了未使用分布式成本计算的客户环境中数据平面端的路由聚合时间。

      • 修复的问题 74187:对于使用 VMware Cloud Web Security 服务的客户,用户无法正确配置内容筛选规则来下载“其他文档”(Other Documents) 文件类型的文件。

        当用户尝试创建内容筛选规则来下载“其他文档”(Other Documents) 文件类型的文件时,向用户显示的文件类型选项来自“演示文稿工具”(Presentation Tools) 文件类型。

      • 修复的问题 74460:合作伙伴用户无法移除每个分段的合作伙伴网关切换。

        合作伙伴用户无权修改 VMware SD-WAN 云托管网关,但当合作伙伴调用 API 以修改合作伙伴网关的切换配置时,Orchestrator 后端会将合作伙伴网关视为云托管网关。出现此问题是因为先前对混合网关池(包含云托管网关和合作伙伴托管网关的池)的切换配置进行了修复。

      • 修复的问题 74491:对于在灾难恢复拓扑中配置的 VMware SD-WAN Orchestrator,操作员用户可能会发现活动和备用 Orchestrator 之间的复制失败。

        备用 Orchestrator 上的 MySQL 无法重放来自活动 Orchestrator 的事件。其原因是,VMware Cloud Web Security 和 Secure Access 服务在备用 Orchestrator 上运行,并且每个服务都在修改数据库状态。

      ___________________________________________________________________

      Orchestrator 版本 R450-20211012-GA 中解决的问题

      Orchestrator 版本 R450-20211012-GA 于 2021 年 10 月 12 日发布,解决了自 Orchestrator 版本 R450-20211006-GA 以来存在的两个严重问题。

      • 修复的问题 72386:在 VMware SD-WAN Orchestrator 的“监控”(Monitor) >“Edge”部分中查看“监控”(Monitoring) 下的“QoE”选项卡时,用户将观察到一些样本指示时间序列右尾没有数据。

        如果用户转到任意 VMware SD-WAN Edge 的监控 (Monitor) > Edge 页面,并在“QoE”选项卡中选择 12 小时或更长的时间范围,则会出现该问题。

        如果未进行该修复,用户必须以 1 小时的增量查询所需的时间范围。进行该修复后,用户将不会再观察到任何空隙。

      • 修复的问题 72424:使用 Secure Access 的客户无法使用“编辑”(Edit) 功能编辑 DNS 服务器、子网位或子网。此外,也无法添加或移除 Cloud Web Security 服务。

        如果编辑上面所列各项中除 Cloud Web Security 以外的任何其他项目,Secure Access 部署将失败。在进行 Cloud Web Security 更改后,Secure Access 部署将可以成功完成,但实际上不会使用新值更新“Cloud Web Security”字段。

        如果未进行该修复,作为解决办法,用户需要删除 Secure Access 后使用所需更新创建新的 Secure Access,而不是对 Secure Access 进行编辑。

      解决的问题和添加的功能

      版本 R450-20211006-GA 中解决的问题

      Orchestrator 版本 R450-20211006-GA 于 2021 年 10 月 8 日发布,解决了自 Orchestrator 版本 R450-20210924-GA 以来存在的一个新的严重问题。 

      此内部版本还向 Cloud Web Security 添加了一项新功能:云访问安全代理 (CASB)。  早前,此新功能在“发行说明”中的“Cloud Web Security 新增功能”下有更详细的介绍。

      • 修复的问题 71278:如果未指定 enterpriseId 参数,由合作伙伴管理员对 linkQualityEvent/getLinkQualityEvents 方法发起的 API 调用将失败,并显示错误“查询中没有企业 ID”(No enterprise id in query)。

        从版本 4.5.0 GA 开始,VMware SD-WAN 开始将 enterpriseId 视为此 API 调用的必需参数,不过很多合作伙伴从未在其 API 调用中使用 enterpriseId。因此,此问题的修复方法是不要求在此 API 调用中使用 enterpriseId。

        如果未进行该修复,建议操作员用户和合作伙伴管理员确保在调用此 API 方法以及用于处理客户管理的数据的所有其他 API 方法时,始终指定“enterpriseId”参数。

      解决的 Orchestrator 问题

      版本 R450-20210924-GA 中解决的问题

      从 Orchestrator 版本 R430-20210810-GA 开始,解决了以下问题。 

      • 修复的问题 48706:在 syslog 配置下面选择了源接口的情况下,用户可能无法保存“配置”(Configure) >“Edge”>“设备”(Device) 选项卡上的更改。

        用户在 VMware SD-WAN Orchestrator 上看到的错误是“提供的源接口在分段 <分段名称> 中不存在”(Provided source interface is not present in the segment on segment: <Segment Name>)。出现该问题的原因是,用户以某种方式创建和删除多个分段,而导致分段顺序不再是连续性的。

      • 修复的问题 48791:当 VMware SD-WAN Edge 具有使用 Edge 覆盖配置的接口时,用户无法在配置文件之间切换该 Edge。

        例如,如果客户有两个配置文件:配置文件 1 和配置文件 2,并将 Edge 与配置文件 1 相关联。  如果用户随后使用 Edge 覆盖将 GE2 配置为路由接口,并为 GE2 添加静态路由,则在用户稍后尝试将同一 Edge 分配给配置文件 2 时,用户将看到一条错误消息,指出配置文件 2 上不存在作为路由.接口的 GE2。出现此问题的原因是,在用户使用 Edge 覆盖配置属于某个配置文件的 Edge 接口后,由于 VMware SD-WAN Orchestrator 不会验证 Edge 覆盖是否存在,因此 Orchestrator 无法切换。

      • 修复的问题 51210:无意中向无权修改(即撤销)API 令牌的用户显示了 VMware SD-WAN Orchestrator UI API 令牌“管理”(Management) 视图。

        标准管理员能够在租户“身份验证”(Authentication) 页面上查看分配给其他用户的 API 令牌。这不是预期行为,但也不构成安全问题,因为这些用户无法修改分配给其他用户的 API 令牌。

      • 修复的问题 52315:在 VMware SD-WAN Orchestrator 上使用新 UI 时,用户可能会发现 Edge 证书不一致问题。

        如果用户导航到“Edge”列表,并选择具有多个证书的 Edge,则会打开一个弹出框。  问题是,用户有时会看到旧版 UI 设计,而该设计与新 UI 有所不同。

      • 修复的问题 52863:VMware SD-WAN Orchestrator UI 允许使用非标准 BGP 定时器配置,并且不会引发错误。

        在客户配置页面中启用合作伙伴切换配置时,如果用户在 Orchestrator 上配置的 BGP 保留/保持定时器不符合 RFC 4271 中的 BGP 标准,Orchestrator 允许保存配置。不过,在 VMware SD-WAN Edge 本身上,FRR 更改保留/保持值以符合标准。例如,如果用户在 Orchestrator 上配置 2 秒保留值/5 秒保持值,则 Edge FRR 将保留值更改为 1 秒,以便 3 x 保留值 = (小于或等于保持值)。

      • 修复的问题 55819:当 VMware SD-WAN Edge 启用了含严格优先级和管制规则的 COS 时,即使总带宽百分比小于 100,仍存在未使用的链路带宽。

        带宽直接以百分比(不同于比率)表示,从而导致链路中出现未使用的带宽。在 4.5.0 版本中,VMware SD-WAN Orchestrator 将显示一条弹出消息,提醒用户在启用严格优先级和管制后,链路可能无法得到充分使用。

      • 修复的问题 59106:VMware SD-WAN Orchestrator UI 上的页面显示不会根据用户名的长度进行相应调整。

        如果用户在创建新管理员时使用超长的用户名(例如,configureconfigureconfigureconfigureconfigure@vmware.com),用户的页面不会根据用户名长度进行调整,因而无法正常显示,从而导致用户无法正确查看用户名。

      • 修复的问题 59606:在使用 VMware SD-WAN Orchestrator 的新 UI 时,用户看到不同大小的图标,但是这些图标的大小应该是统一的。

        当导航到任何包含图标的页面(例如,“Edge”列表所在的页面)时,用户将看到大小错误的图标。  图标仍然可用,只是大小不正确。

      • 修复的问题 59611:在 VMware SD-WAN Orchestrator 的新 UI 上,如果“更改配置文件分段”(Change Profile Segments) 表中包含大量行,则用户很难使用该表。

        导航到“配置”(Configure) >“配置文件”(Profiles) 列表,然后选择具有大量分段的任意配置文件。  然后打开“分段”(Segment) 下拉列表,并单击“更改配置文件分段”(Change Profile Segments)。  用户会发现该表很难使用。

      • 修复的问题 60428:在 VMware SD-WAN Orchestrator UI 上,如果未选中“显示 TCP/UDP 详细信息”(Show TCP/UDP Details) 复选框,实时监控显示的值将是实际值的两倍。

        如果用户打开监控 Edge (Monitor Edge) > 链路 (Links) 选项卡,启用“实时模式”(Live Mode),但不选中“显示 TCP/UDP 详细信息”(Show TCP/UDP Details),则会出现此问题。  在这种情况下,用户将看到两倍的衡量指标值。

      • 修复的问题 61529:在 VMware SD-WAN Orchestrator 上使用新 UI 时,从配置文件列表中删除 VMware SD-WAN Edge 型号的操作无法正常执行。

        在编辑要应用于配置文件的 Edge 型号时,如果从配置文件列表中移除某个 Edge 型号,则应该从设备设置中移除相同的 Edge 接口块。但是,如果从配置文件列表中删除所有 Edge,却会保留列表中最后删除的 Edge 的接口块。

      • 修复的问题 61852:新 UI 中的“监控”(Monitor) >“防火墙日志”(Firewall Logs) 页面未显示正确的分页信息。

        该部分的页面行数不正确。

      • 修复的问题 62145:将 VMware SD-WAN Orchestrator 从较低版本升级到 4.2.1 时,迁移失败,并显示唯一性约束违反错误。此错误与客户端设备表中的“logicalId”字段有关。

        在迁移时,版本 4.2.1 会运行将“logicalId”添加到客户端设备表的操作,这是一个长时间运行的操作。此操作仅基于前提条件查询执行。但是,此前提条件查询不正确,导致“logicalId”字段为空。对“logicalId”字段添加约束会导致重复错误,因为客户端设备表中有多行包含 logicalId 作为空字符串。

        如果未进行该修复,解决上述问题的唯一办法是:在迁移时,手动运行挂起的长时间运行查询,以将唯一的 logicalId 添加到客户端设备表中的所有行,然后再运行唯一性约束查询。

      • 修复的问题 62575:通过 Edge 特定的覆盖启用云安全服务 (CSS) 或非 SD-WAN 目标功能后,VMware SD-WAN Edge 不会为非全局分段采用预期的站点配置。

        在一些不常见的配置场景(例如,当通过 Edge 特定的覆盖仅在非全局分段上启用了云安全服务时)中,Orchestrator 会错误地计算非全局分段的 Edge 控制平面配置。

      • 修复的问题 63556:在 VMware SD-WAN Orchestrator UI 上,用户可以选择添加多个 TACACS 服务器。

        虽然用户可以添加多个 TACACS 服务器,但这并不是有效的配置。  原因是,如果第一个 TACACS 服务器出现故障,第二个 TACACS 服务器无论如何也不会接替第一个服务器。  该修复移除了允许添加多个 TACACS 服务器的选项。

      • 修复的问题 64039:在某些情况下,客户可能会发现其 DHCP 服务器处于非活动状态。

        此问题可能会在以下场景中出现:在提供寻址类型值后,启用 DHCP 服务器并提供所需值,然后单击“更新”(Update) 按钮。此时,如果用户打开“子接口”(Subinterface) 弹出窗口,他们将看到 DHCP 服务器显示为非活动状态,且 DHCP 服务器下方的所有字段均处于隐藏状态。

      • 修复的问题 64930:API 错误消息并非特定于 VMware SD-WAN Orchestrator 上的创建/更新/删除角色。

        Orchestrator 后端日志中的错误消息不足以说明复合角色功能的价值,这会阻碍操作员用户识别与角色管理相关的问题。此修复专门增强了复合用户角色相关问题的错误消息。

      • 修复的问题 65069:用户在 VMware SD-WAN Orchestrator 上使用新 UI 时,无法判断其位于哪个选项卡上,因为活动选项卡未突出显示。

        这是一个表面问题,不会对功能产生任何影响。但用户无法仅通过查看顶部横幅就确认他们在 UI 中的位置。

      • 修复的问题 65199:在 VMware SD-WAN Orchestrator 的新 UI 上滚动浏览“监控”(Monitor) >“事件”(Events) 页面时,最后一页上会显示“已更改网格数据”(Grid Data has changed) 横幅。

        新 UI 对“监控” (Monitor) >“事件”(Events) 页面使用了分页。  最后一页上会显示“已更改网格数据”(Grid Data has changed) 横幅,因为在某些情况下,根据时间戳属性对事件进行排序时会出现事件不匹配情况。

      • 修复的问题 65253:配置防火墙规则时,如果配置了 20 个以上的组,则 VMware SD-WAN Orchestrator UI 上的“对象组”(Object Groups) 下拉列表不可用。

        即使配置了 5 个以上的对象组(地址组、端口组),“对象组”(Object Groups) 下拉列表也会显示在浏览器屏幕底部附近。  因此,如果配置了 20 个以上的规则,“对象组”(Object Groups) 列表将完全移到屏幕之外,除非用户大幅缩小浏览器屏幕,否则用户将无法看到该列表,但是如果这样做,文本还会变得非常小,以致不可用。

      • 修复的问题 65266:在 VMware Orchestrator 的新 UI 上查看“分段”(Segments) 页面时,布局未对齐。

        这是一个表面问题,不会对用户产生任何功能影响,但布局被损坏且 UI 项未按应有的方式对齐。

      • 修复的问题 65526:VMware SD-WAN Orchestrator 为处于“已降级”(Degraded) 状态且永远不会到达“脱机/关闭”(Offline/Down) 状态的 VMware SD-WAN Edge 生成警示和事件。

        当 VMware SD-WAN Edge 最初断开与 Orchestrator 的连接(在执行检测信号检查时)时,此状态称为“已降级”(Degraded)。  如果 Edge 与 Orchestrator 的连接继续中断,Edge 将被标记为“脱机/关闭”(Offline/Down),当处于该第二种状态时,应在 Orchestrator 的监控 (Monitor) > 事件 (Events) 页面上发布“Edge 关闭”(Edge Down) 事件,并根据客户的“警示”(Alerts) 配置发出匹配的警示。  但是,Orchestrator 为处于“已降级”(Degraded) 状态的 Edge 生成事件并发送警示,从而导致客户可能收到大量虚假的 Edge 关闭事件和警示通知。

      • 修复的问题 65381:即使已打开 RADIUS,用户也能够创建自定义复合用户角色。

        仅应为 RADIUS 以外的身份验证模式创建客户级别的复合角色,因为 RADIUS 身份验证处于 Orchestrator 级别,并且每个企业都不能有特定角色。此修复添加了一项验证,以防止出现此类情况。

      • 修复的问题 65558:尝试配置和保存 syslog 设置失败,并且在 VMware SD-WAN Orchestrator 上显示错误。 

        配置 VLAN 源接口时会出现该问题。在选择路由端口作为源接口时不会出现该问题。

      • 修复的问题 65748:即使 BGP 已关闭,也会在配置文件级别对其进行验证。

        现在可以将源接口链接到 BGP。当源接口已链接而配置文件 BGP 被禁用时,如果更改源接口,当前会引发错误,但理想情况下不应出现此错误。

      • 修复的问题 65760:当操作员用户查看 VMware SD-WAN Orchestrator UI 的“Orchestrator 诊断”(Orchestrator Diagnostics) 页面时,用户会观察到“数据库存储信息”(Database Storage Info) 部分缺少多个数据组。

        “数据库存储”(Database Storage) 中缺少以下部分:“数据库进程列表”(Database Process List);“数据库状态变量”(Database Status Variable);“数据库系统变量”(Database System Variable);“数据库引擎状态”(Database Engine Status)。

      • 修复的问题 65794:对于拥有大量 Edge 且还使用非 VMware SD-WAN 目标的客户,VMware SD-WAN Orchestrator 上的“监控”(Monitoring) >“服务”(Services) 页面可能会由于需要检索的记录数量而超时。

        例如,如果客户有将近 200,000 多条带有标记 EDGE_NVS_TUNNEL 的 Edge 记录,那么在加载“/监控/服务”(/monitor/services) 页面时,返回的行数将超过 200,000 行。然后,UI 会仅检索每个隧道的最新 Edge 记录,按提供商对其进行分组,并在云安全服务站点中显示隧道状态。当客户想要查看隧道状态更改的历史记录时,单击事件后还将使用响应数据。

      • 修复的问题 66011:VMware SD-WAN Orchestrator 门户 API 方法 linkQualityEvent/getLinkQualityEvents 在“详细”(verbose) 模式下以不确定的方式运行。

        linkQualityEvent/getLinkQualityEvents Orchestrator API 方法支持“individualScores”选项,该选项允许客户端在 API 响应中选择请求有关链路 QoE 的更多详细信息。此可选方法会在结果中生成详细的按时间序列采样信息(生成过程速度缓慢且会影响性能)。此参数的默认值为 false,可避免这种性能下降。但是,此处的问题是服务器不确定地报告此信息,即使客户端未特别请求的情况下也是如此,会导致性能下降。

      • 修复的问题 66038:用户将在 VMware SD-WAN Orchestrator UI 上看到未发生流量的点之间的图形相连接。

        无论是新版本 UI 还是原始版本 UI,都是如此。在监控客户流量数据时,如果没有流量,图形不会进行捕获,而是会连接空数据点。因此,在查看图形时,图形会为用户提供有关流量的错误数据。

      • 修复的问题 66203:将同时包含云托管网关和合作伙伴网关的网关池分配给客户后,合作伙伴无法修改其管理的网关的网关切换配置。

        当合作伙伴管理员用户尝试在“客户”(Customers) 页面上的“客户”(Customer) 选项卡中修改网关切换配置时,会出现此问题。

      • 修复的问题 66236:/edge/getEdgeConfigurationModules“WAN 模块”的 API 响应不符合记录的 JSON 结构定义。

        如果用户将“/edge/getEdgeConfigurationModules”的 API 响应与记录的架构定义进行比较,将发现 WAN 数据缺少 PrivateNetwork 属性。

      • 修复的问题 66276:在 VMware SD-WAN Edge 上通过覆盖 Edge 级别的接口来配置高可用性时,VMware SD-WAN Orchestrator 将引发错误“Edge b2-edge1: 备用 HA 对的接口 GE1 需要为交换类型”(Edge b2-edge1: Interface GE1 is required to be type of switched for the stand by pair HA),而不允许用户对配置文件设备设置进行任何新更改。

        此问题会对需要更改配置文件配置的用户产生严重影响,因为它会阻止所有更改。此问题的修复允许用户在 Edge 覆盖配置文件配置以配置 HA 时修改配置文件设备设置。

      • 修复的问题 66597:如果有一位客户在 VMware SD-WAN Orchestrator 上部署了大量 Edge,则在将多个 VMware SD-WAN 网关添加到该客户正在使用的网关池时,大量 Edge 可能会在 Orchestrator 上显示为“关闭”(Down) 状态。

        此问题出现在客户将大约 7000 个 Edge 连接到 Orchestrator 的场景中。如果该客户的网关池发生变化,Orchestrator 需要将配置更改推送到所有 Edge,且控制平面需在 30 秒时间内对 700 个以上 Edge 进行重新计算,这会导致检测信号/统计信息推送失败,并显示“POOL_ENQUEUELIMIT”错误。由于检测信号失败,Edge 因此在 Orchestrator 上显示为“关闭”(Down) 状态。

      • 修复的问题 66631:尝试迁移大型客户企业时,迁移工具无法正常使用。

        大型客户企业是指具有 100 个或更多 Edge 的企业。在执行将整个数据 blob 字符串化并写入文件的步骤时,迁移工具会出现故障。进行配置导出时,迁移工具会使用 JSON.stringify 对输出数据进行字符串化并将其写入文件,当配置太大时,该操作将失败。

      • 修复的问题 66636:当源是环回接口时,VMware SD-WAN Edge 不采用 RADIUS 身份验证流量的源接口配置。

        当用户在配置文件或 Edge 上配置 RADIUS 并将环回接口指定为出站身份验证流量的所需源接口时,Edge 将无法按预期创建 NAT 规则,因为从 VMware SD-WAN Orchestrator 发送的身份验证服务的“端口”(port) 参数预期类型与实际类型的不一致导致了解析错误。此值应该为整数,并且 Orchestrator API 验证逻辑已相应地进行了修改。

      • 修复的问题 67153:即使 VMware SD-WAN Edge 在配置的延迟时间间隔内启动,也会发出警示电子邮件。

        即使事件在配置的延迟时间间隔内发生,VMware SD-WAN Orchestrator 也会发送 Edge 关闭/启动警示通知。

      • 修复的问题 67701:  配置业务策略规则时,如果配置了 20 个以上的组,则无法在 VMware SD-WAN Orchestrator UI 上看到“对象组”(Object Groups) 下拉列表。

        即使配置了 5 个以上的对象组(地址组、端口组),“对象组”(Object Groups) 下拉列表也会显示在浏览器屏幕底部附近。  因此,如果配置了 20 个以上的规则,“对象组”(Object Groups) 列表将完全移到屏幕之外,除非用户大幅缩小浏览器屏幕,否则用户将无法看到该列表,但是如果这样做,文本还会变得非常小,以致不可用。

      • 修复的问题 70018:运行 4.3.0 或更高版本的 VMware SD-WAN Orchestrator 可能无法形成灾难恢复对。

        根本原因会阻止 Orchestrator 获取执行灾难恢复所需的可用磁盘空间大小,因此灾难恢复配对可能会失败。

      • 修复的问题 71399:如果在灾难恢复 (DR) 配置中部署了 VMware SD-WAN Orchestrator,操作员用户可能会发现备用 Orchestrator 无法与活动 Orchestrator 同步。

        在 Orchestrator UI 上的复制 (Replication) 页面下,用户会看到“活动监控器”(Activity Monitor) 下的所有同步活动均为“失败”(Failed) 状态。当在初次握手期间,如果活动 Orchestrator 无法将配置数据库复制到备用 Orchestrator,DR 同步将失败。

      解决的 Cloud Web Security 问题

      版本 R450-20210922-GA 中解决的问题

      从 Edge 版本 R440-20210702-GA-61583 开始,解决了以下问题。

      • 修复的问题 62978:对于使用 VMware Cloud Web Security 的企业,如果客户端用户在无痕模式下打开 Chrome 浏览器并尝试下载文件,下载可能会失败;如果下载失败,用户可能会看到一个缺少 VMware 品牌标识的错误屏幕。

        在上述的文件下载失败(问题 #62934 中已进行介绍)场景中,错误屏幕“发生错误,请联系您的管理员”(Error occurred contact your administrator) 应该显示 VMware 品牌标识,但它并没有显示任何品牌标识。如果用户遇到该问题,应该知晓这不是预期结果。

        如果未进行该修复,解决办法是在浏览器中允许第三方 Cookie。

      • 修复的问题 64429:对于使用 VMware Cloud Web Security 的客户企业,如果该企业配置并应用了 Cloud Web Security 策略,使用 Internet 回传,则从 Edge 后的客户端发起到 Internet 服务器的 UDP 传输,在设置了 DF 位时,UDP 传输将会失败。

        Cloud Web Security 将接收 MTU 大小的数据包,但需要向发送方发回“无法访问 ICMP”(ICMP unreachable) 消息,因为由于已设置“不分片”(DF) 位,不允许进行分片化处理。Cloud Web Security 正在对错误的源 IP 地址执行 DNAT(目标网络地址转换),并向客户端发送“无法访问 ICMP,需要进行分片化处理”(ICMP unreachable fragmentation needed) 消息,而不是将其发送回服务器。

      • 修复的问题 65115:对于使用 VMware Cloud Web Security 的客户,如果配置了 SAML 身份验证,用户可能无法访问任何网站。

        启用 SAML(安全断言标记语言)身份验证后,如果用户访问任何网站,则会导致身份验证循环,即访问 IdP(身份提供程序)本身需要进行身份验证,然后失败。

        如果未进行该修复,解决办法是在安全策略中添加 SSL 例外,以允许无需进行身份验证即可访问 IdP 登录 URL。

      • 修复的问题 72485:对于使用 Cloud Web Security 的客户,每当客户编辑现有的 CASB 例外规则并在向导中更改选定的应用程序时,所有应用程序控件都会设置为“允许”(allowed)。

        VMware Orchestrator 上的“CASB 例外规则”(CASB Exception Rule) 向导在所选应用程序发生更改时不会保留现有的控件值。

      解决的 Secure Access 问题

      版本 R450-20210922-GA 中解决的问题

      从 Edge 版本 R440-20210702-GA-61583 开始,解决了以下问题。

      • 修复的问题 62421:使用 Secure Access 时,如果其子网与现有交换路由相冲突,而该路由与发生冲突的子网关联,则无法访问资源。

        如果为 Secure Access 选择的子网同现有的内部客户子网相冲突,则 Secure Access 流量将无法访问资源。这是因为 Secure Access 服务中缺少对冲突 IP 范围的检查。

      已知问题

      4.5.0 版本中的未解决问题

      已知问题分为以下几类。

      Edge/网关已知问题
      • 问题 14655:

        插入或拔出 SFP 适配器可能会导致设备在 Edge 540、Edge 840 和 Edge 1000 上停止响应,并需要进行实际重新引导。

        解决办法:必须实际重新引导 Edge。  可以在 Orchestrator 上使用远程操作 (Remote Actions) > 重新引导 Edge (Reboot Edge) 以完成该操作,也可以关闭再打开 Edge 电源以完成该操作。

      • 问题 25504:

        大于 255 的静态路由成本可能会导致无法预测的路由排序。  

        解决办法:使用 0 到 255 之间的路由成本。

      • 问题 25595:

        可能需要重新启动,以使对 WAN 覆盖网络上的静态 SLA 的更改正常工作。  

        解决办法:在 WAN 覆盖网络中添加和移除静态 SLA 后,重新启动 Edge。

      • 问题 25742:

        底层网络产生的流量限制为发送到 VMware SD-WAN 网关的最大容量,即使该流量小于未连接到该网关的专用 WAN 链路的容量。  

      • 问题 25758:

        从一个 USB 端口切换到另一个 USB 端口时,可能未正确更新 USB WAN 链路,直到重新引导了 VMware SD-WAN Edge。  

        解决办法:将 USB WAN 链路从一个端口移动到另一个端口后,重新引导 Edge。

      • 问题 25855:

        对于通过 VMware SD-WAN 网关的某些流量,合作伙伴网关上的较大配置更新(例如,200 个启用了 BGP 的 VRF)可能会导致延迟大约增加 2-3 秒。

        解决办法:没有可用的解决办法。

      • 问题 25921:

        在将 3,000 个分支 Edge 连接到 VMware SD-WAN Hub 时,Hub 高可用性故障切换所需的时间比预期时间长(最多 15 秒)。  

      • 问题 25997:

        VMware SD-WAN Edge 可能需要重新引导,才能在转换为交换端口的路由接口上正确传输流量。  

        解决办法:在进行配置更改后,重新引导 Edge。

      • 问题 26421:

        还必须将任何分支站点的主合作伙伴网关分配给 VMware SD-WAN Hub 集群,才能建立到该集群的隧道。  

      • 问题 28175:

        在 NAT IP 与 VMware SD-WAN 网关接口 IP 重叠时,业务策略 NAT 将会失败。  

      • 问题 31210:

        VRRP:如果 VMware SD-WAN Edge 是主节点并在 LAN 接口上运行非全局 CDE 分段,则无法在 LAN 客户端中为 VRRP 虚拟 IP 地址解析 ARP。 

      • 问题 32731:

        在关闭了路由时,可能未正确撤消通过 OSPF 通告的条件默认路由。重新启用并禁用路由将成功撤消该路由。 

      • 问题 32960:

        在激活的 VMware SD-WAN Edge 的本地 Web UI 上,可能会错误地显示接口“自动协商”和“速度”状态。

      • 问题 32981:

        启用了 DPDK 的端口上的硬编码速度和双工可能需要重新引导 VMware SD-WAN Edge 以使配置生效,因为它需要禁用 DPDK。

      • 问题 34254:

        如果创建 Zscaler CSS 并且全局分段配置了 FQDN/PSK 设置,这些设置将复制到非全局分段以建立到 Zscaler CSS 的 IPsec 隧道。

      • 问题 35778:

        如果在单个接口上具有多个用户定义的 WAN 链路,只能有一个 WAN 链路具有到 Zscaler 的 GRE 隧道。 

        解决办法:对于需要建立到 Zscaler 的 GRE 隧道的每个 WAN 链路,请使用不同的接口。

      • 问题 35807:

        如果从 VMware SD-WAN Orchestrator 中禁用并重新启用 DPDK 路由接口,将完全禁用该接口。 

      • 问题 36923:

        在作为 Hub 连接到集群的 VMware SD-WAN Edge 的 NetFlow 接口说明中,可能未正确更新该集群名称。

      • 问题 38682:

        在启用了 DPDK 的接口上充当 DHCP 服务器的 VMware SD-WAN Edge 可能没有为所有连接的客户端正确生成“新客户端设备”(New Client Device) 事件。

      • 问题 38767:

        将配置了到 Zscaler 的 GRE 隧道的 WAN 覆盖网络从自动检测更改为用户定义时,可能会保留过时的隧道,直到下次重新启动。

        解决办法:重新启动 Edge 以清除过时的隧道。

      • 问题 39134:

        在 VMware SD-WAN Edge 的“监控”(Monitor) >“Edge”>“系统”(System) 以及 VMware SD-WAN 网关的“监控”(Monitor) >“网关”(Gateways) 上,可能未正确报告系统运行状况统计信息“CPU 百分比”(CPU Percentage)。

        解决办法:用户应使用切换队列丢弃以监控 Edge 容量而不是 CPU 百分比。

      • 问题 39374:

        更改分配给 VMware SD-WAN Edge 的 VMware SD-WAN 合作伙伴网关顺序可能未正确地将网关 1 设置为用于带宽测试的本地网关。

      • 问题 39608:

        在显示正确的结果之前,远程诊断“Ping 测试”(Ping Test) 的输出可能会短暂显示无效的内容。

      • 问题 39624:

        在为父接口配置 PPPoE 时,通过子接口执行 Ping 操作可能会失败。

      • 问题 39659:

        在配置了增强高可用性的站点上(在每个 VMware SD-WAN Edge 上具有一个 WAN 链路),在备用 Edge 仅连接了 PPPoE 而活动 Edge 仅连接了非 PPPoE 时,如果 HA 电缆发生故障,则可能会出现脑裂状态(活动/活动)。

      • 问题 39753:

        禁用动态分支到分支 VPN 可能会导致当前使用动态分支到分支发送的现有流量停止。

      • 问题 40096:

        如果重新引导激活的 VMware SD-WAN Edge 840,插入到 Edge 的 SFP 模块可能会停止传输流量,即使链路指示灯和 VMware SD-WAN Orchestrator 将端口显示为“启动”。 

        解决办法:拔下 SFP 模块,然后将其重新插入到端口中。

      • 问题 40421:

        在通过 VMware SD-WAN Edge 传输并将接口配置为交换端口时,traceroute 不显示路径。

      • 问题 42278:

        对于特定类型的对等体配置错误,VMware SD-WAN 网关可能会不断向非 SD-WAN 对等体发送 IKE 初始化消息。该问题不会中断到网关的用户流量;但在网关日志中填充 IKE 错误,这可能会掩盖有用的日志条目。

      • 问题 42388:

        在 VMware SD-WAN Edge 540 上,从 VMware SD-WAN Orchestrator 中禁用并重新启用接口后,检测不到 SFP 端口。

      • 问题 42488:

        在为交换端口或路由端口启用了 VRRP 的 VMware SD-WAN Edge 上,如果断开电缆与端口的连接并重新启动 Edge 服务,则将通告 LAN 连接的路由。

        解决办法:没有该问题的解决办法。

      • 问题 42872:

        在与 Hub 集群关联的 Hub 配置文件上启用配置文件隔离时,不会从路由信息库 (RIB) 中撤消 Hub 路由。

      • 问题 43373:

        如果从多个 VMware SD-WAN Edge 中学习相同的 BGP 路由,并且在“覆盖网络流量控制”(Overlay Flow Control) 中将该路由从“首选出口”(Preferred Exit) 移动到“符合条件的出口”(Eligible Exit),不会在通告列表中移除该 Edge,而是继续通告该 Edge。

        解决办法:在 VMware SD-WAN Orchestrator 上启用分布式成本计算。

      • 问题 44995:

        从 Hub 集群中撤消 OSPF 路由时,不会从 VMware SD-WAN 网关和 VMware SD-WAN 分支 Edge 中撤消这些路由。

      • 问题 45189:

        在配置了源 LAN 端 NAT 的情况下,允许从 VMware SD-WAN 分支 Edge 到 Hub Edge 的流量,即使没有为 NAT 子网配置静态路由。

      • 问题 45302:

        在 VMware SD-WAN Hub 集群中,如果一个 Hub 到所有 VMware SD-WAN 网关(它自身和为其分配的分支 Edge 之间的通用网关)的连接中断超过 5 分钟,在极少数情况下,分支可能在 5 分钟后无法保留 Hub 路由。在 Hub 重新与网关建立连接时,将自行解决该问题。

      • 问题 46053:

        在邻居更改为上行链路邻居时,不会为覆盖网络路由自动更正 BGP 首选项。

        解决办法:Edge 服务重新启动将纠正该问题。

      • 问题 46137:

        即使为运行 3.4.x 软件的 VMware SD-WAN Edge 配置了 GCM,该 Edge 也不会启动具有 AES-GCM 加密的隧道。

      • 问题 46216:

        在通过网关或 Edge 的非 SD-WAN 目标(对等体是 AWS 实例)上,在对等体启动第 2 阶段重新加密时,还会删除第 1 阶段 IKE 并强制进行重新加密。  这意味着,将拆除并重建隧道,从而导致在隧道重建期间丢失数据包。

        解决办法:为了避免拆除隧道,请将通过网关/Edge 的非 SD-WAN 目标或 CSS IPsec 重新加密定时器配置为少于 60 分钟。  这可防止 AWS 启动重新加密。

      • 问题 46391:

        对于 VMware SD-WAN Edge 3800,SFP1 和 SFP2 接口在多速率 SFP(即 1/10G)中均出现问题,因此,不应在这些端口中使用这些接口。

        解决办法:请按照知识库文章 VMware SD-WAN 支持的 SFP 模块列表 (79270) 中的说明使用单速率 SFP。  多速率 SFP 可以与 SFP3 和 SFP4 一起使用。

      • 问题 46918:

        使用 3.4.2 版本的 VMware SD-WAN 分支 Edge 未正确更新集群 Hub 节点的专用网络 ID。

      • 问题 47084:

        在连接了 4000 个分支 Edge 时,VMware SD-WAN Hub Edge 无法建立超过 750 个 PIM(与协议无关的多播)邻居。

      • 问题 47664:

        在禁用了通过 Hub 的分支到分支 VPN 的 Hub 和分支配置中,尝试使用 L3 交换机/路由器上的汇聚路由回转分支到分支的流量将导致路由环路。

        解决办法:配置云 VPN 以启用分支到分支 VPN,然后选择“将 Hub 用于 VPN”(Use Hubs for VPN)。

      • 问题 47681:

        在 VMware SD-WAN Edge 的 LAN 端上的主机使用与该 Edge 的 WAN 接口相同的 IP 时,从 LAN 主机到 WAN 的连接无法正常工作。

      • 问题 47787:

        如果从 Hub Edge 启动到配置了回传业务策略的 VMware SD-WAN 分支 Edge 的流量,该分支 Edge 将错误地通过 VMware SD-WAN 网关路径发送流量。

      • 问题 48166:

        使用 Ciena 虚拟化操作系统时,不支持 KVM 上的 VMware SD-WAN 虚拟 Edge,并且 Edge 将反复发生数据平面服务故障。

      • 问题 48175:

        在以下情况下,运行 3.4.2 版本的 VMware SD-WAN Edge 在非全局分段上建立 OSPF 邻接关系:非全局分段配置的接口的 IP 范围与在全局分段上配置的接口相同。

      • 问题 48502:

        在某些情况下,由于未正确处理回传返回数据包,用于回传 Internet 流量的 VMware SD-WAN Hub Edge 可能会发生数据平面服务故障。

      • 问题 48530:

        VMware SD-WAN Edge 6x0 型号不会为三速 (10/100/1000 Mbps) 铜质 SFP 执行自动协商。

        解决办法:Edge 520/540 支持三速铜质 SFP,但该型号已标记为在 2021 年第一季度“终止销售”。

      • 问题 48597:如果到对等体的两条路径之一断开,则不会保持多跳 BGP 邻居关系

        如果与对等体之间具有多跳 BGP 邻居关系,存在多条到对等体的路径,其中的一条路径断开,用户将会注意到 BGP 邻居关系中断,并且不会使用其他可用的路径建立 BGP 邻居关系。这也包括本地 IP 环回邻居关系。

        解决办法:没有该问题的解决办法。

      • 问题 48666:

        面向 IPsec 的网关路径 MTU 计算不考虑 61 字节 IPsec 开销,从而导致向 LAN 客户端通告较高的 MTU 并随后进行 IPsec 数据包分片。

        解决办法:没有该问题的解决办法。

      • 问题 49172:

        为两个不同 VMware SD-WAN Edge 配置相同 NAT 子网的基于策略的 NAT 规则不起作用。

      • 问题 50518:

        在启用了 PKI 的 VMware SD-WAN 网关上,如果超过 6000 个 PKI 隧道尝试连接到该网关,这些隧道可能不会全部启动,因为没有删除入站 SA。

        注意:使用预共享密钥 (PSK) 身份验证的隧道不存在该问题。

      • 问题 51436:对于使用增强的高可用性拓扑的站点,在部署使用 LTE 调制解调器的 VMware SD-WAN Edge 时,如果站点进入“脑裂”状态,HA 故障切换需要大约 5-6 分钟的时间。

        从脑裂状态中恢复期间,将在活动 Edge 上关闭 LAN 端口,这会在端口关闭期间影响 LAN 流量,直到可以恢复站点为止。

        解决办法:没有该问题的解决办法。

      • 问题 53219:在 VMware SD-WAN Hub 集群重新均衡后,一些分支 Edge 可能未正确设置其 RPF 接口/IIF。

        在受影响的分支 Edge 上,多播流量将会受到影响。发生的情况是,在集群重新均衡后,某些分支 Edge 无法发送 PIM 加入。

        解决办法:该问题将一直存在,直到受影响的分支 Edge 重新启动 Edge 服务为止。

      • 问题 53337:在吞吐量高于 3200 Mbps 时,可能会在 VMware SD-WAN 网关的 AWS 实例中观察到数据包丢弃。

        在流量的吞吐量超过 3200 Mbps 并且数据包大小为 1300 字节时,将会在接收和 IPv4 BH 切换时观察到数据包丢弃。

        解决办法:没有该问题的解决办法。

      • 问题 53359:在某些 DDoS 攻击期间,BGP/BFD 会话可能会失败。

        如果从连接到路由接口的客户端到 LAN 客户端之间存在大量流量,BGP/BFD 会话可能会失败。同样,在具有到覆盖网络目标的大量实时高优先级流量时,BGP/BFD 会话也可能会失败。

        解决办法:没有该问题的解决办法。

      • 问题 53830:在 VMware SD-WAN Edge 上,在启用了 DCC 标记时,BGP 视图中的某些路由可能没有正确的首选项和通告值,从而导致在 Edge 的 FIB 中具有不正确的排序顺序。

        对于在 Edge 上具有大量路由的大型场景,如果启用了分布式成本计算 (DCC),在查看日志 bgp_view 的 Edge 诊断包时,可能未使用首选项和通告值正确更新某些路由。  该问题(如果发现)是在大型企业(100 多个分支 Edge 连接到 Hub Edge 或 Hub 集群)包含的一些 Edge 中发现的。  

        解决办法:可以重新学习底层网络 BGP 路由或在 VMware SD-WAN Orchestrator 的 OFC 页面上为受影响的路由执行“刷新”(Refresh) 选项以解决该问题。请注意,为路由执行“刷新”(Refresh) 将会从企业的所有 Edge 中重新学习路由。

      • 问题 53934:在配置了 VMware SD-WAN Hub 集群的企业中,如果主 Hub 在 LAN 端具有多跳 BGP 邻居关系,在 LAN 端发生故障或在所有分段上禁用 BGP 时,客户可能会在分支 Edge 上遇到流量丢弃问题。

        在 Hub 集群中,主 Hub 与对等设备之间具有多跳 BGP 邻居关系以学习路由。如果建立 BGP 邻居关系时使用的 Hub 上的物理接口发生故障,即使 BGP 视图是空的,BGP LAN 路由可能也不会变为零。这可能会导致不会进行 Hub 集群重新均衡。在为所有分段禁用 BGP 以及存在一个或多个多跳 BGP 邻居关系时,也可能会观察到该问题。

        解决办法:重新启动发生 LAN 端故障(或禁用了 BGP)的 Hub。

      • 问题 57210:即使 VMware SD-WAN Edge 正常工作并且能够访问 Internet,本地 UI“概览”(Overview) 页面中的 LED 仍显示为“红色”。

        Edge 的本地 UI 会根据是否可以通过 Google 的 DNS 解析器 (8.8.8.8) 解析已知名称来确定 Edge 连接情况。如果因某种原因而无法确定,则会认为 Edge 已脱机,并将 LED 显示为红色。

        解决办法:除了确保流向 8.8.8.8 的 DNS 流量可以到达目标并成功解析之外,此问题没有其他解决办法。

      • 问题 61543:如果在具有相同内部 IP 的不同接口上配置了多个 1:1 NAT 规则,则可以在一个接口上接收入站流量,并且可以通过不同的接口路由同一流量的出站数据包。

        对于从外部到内部的 NAT 流量,1:1 NAT 规则将与外部 IP 和接收数据包的接口进行匹配。对于同一流量的出站数据包,VMware SD-WAN Edge 将再次尝试匹配 NAT 规则以比较内部 IP,并且可以通过在启用了“出站流量”的第一个匹配规则中配置的接口路由出站流量。

        解决办法:除了确保最多针对一个特定内部 IP 地址配置一个 1:1 NAT 规则之外,此问题没有其他解决办法。

      • 问题 62701:对于作为 Edge Hub 集群一部分部署的 VMware SD-WAN Edge,如果云 VPN 未在全局分段下启用,而是在非全局分段下启用,则 Orchestrator 发送的控制平面更新可能会导致所有 WAN 链路在 Hub Edge 上抖动。

        Hub Edge 的 WAN 链路连续快速地关闭然后启动(抖动)将影响语音通话等实时流量。此问题出现在以下客户部署中:在 Hub Edge 的全局分段上未启用云 VPN,但启用了集群配置,这意味着此 Hub Edge 是集群的一部分(并且集群配置适用于所有分段)。将配置更改推送到 Hub Edge 时,Hub Edge 的数据平面将从全局分段开始解析数据,它将发现全局分段上未启用云 VPN,因而 Hub Edge 错误地认为在此全局分段上禁用了集群。因此,Hub Edge 将断开来自 Hub 的 WAN 链路的所有隧道,这将导致在该 Edge 的所有 WAN 链路上发生链路抖动。对于任何此类事件,WAN 链路仅在每次控制平面更新时关闭并恢复一次。

        解决办法:解决办法是在全局分段上启用云 VPN。

      • 问题 63629:在 VMware SD-WAN Hub Edge 和分支 Edge 具有不同 IP 系列首选项(即 IPv4/IPv6 双栈)的网络拓扑中,客户可以看到分配给对等体的带宽比预期多。

        如果同时启用了 IPv4 和 IPv6 系列,Edge 将在内部创建两个不同的链路对象。当仅应为二者之一添加带宽值时,会同时为二者都添加带宽值。

        解决办法:此问题的解决办法是,如果 Hub/分支拓扑启用了双栈时,则不要使用不同的隧道首选项。

      • 问题 64627:VMware SD-WAN 网关可能会重新启动数据平面服务,从而导致流量中断 3-5 秒钟。

        如果 VMware SD-WAN Edge 的 WAN 链路上配置了大量子路径,或者 VeloCloud 管理平面 (VCMP) 隧道频繁发生抖动,则可能会导致计数器耗尽,并最终导致网关的数据平面服务重新启动。

        解决办法:没有该问题的解决办法。

      • 问题 65560:从客户到 PE(提供商 Edge)设备的流量失败。

        当在切换配置中为标记类型选择“无”(none) 时,不会在合作伙伴网关和提供商 Edge 之间建立 BGP 邻居关系。这是因为,当标记类型为“无”(none) 时,将从 /etc/config/gatewayd 中而非 Orchestrator 上的切换配置中获取 ctag 和 stag 值。

        解决办法:将 /etc/config/gatewayd 中 vrf_vlan->tag_info 下的 ctag 和 stag 值分别更新为 0。执行 vc_procmon 重新启动。

      • 问题 67458:将具有大量分支 Edge 的 VMware SD-WAN Hub Edge 升级到版本 4.2.1 或更高版本后,该 Hub Edge 的某些到其他分支 Edge 的隧道不会启动。

        大量分支 Edge 可理解为约 1000 个或更多。此问题并不一致,但通常在 Hub Edge 和连接的分支 Edge 之间约有 1/3 的 VeloCloud 管理协议 (VCMP) 隧道不会建立。这是由 Hub Edge 忽略  
        MP_INIT 所致,因为半打开 TD 的数量超过了 Hub Edge 的上限。

        解决办法:重新启动 Edge 服务将会恢复完整隧道连接。

      • 问题 67879:当用户在 WAN 接口设置上将“WAN 覆盖网络”(WAN Overlay) 设置从“自动检测”(auto-detect) 更改为“用户定义”(user-defined) 后,将删除云安全服务 (CSS) 隧道。

        保存更改后,在客户关闭并重新打开隧道之前,CSS 隧道不会恢复运行。更改 WAN 配置将关闭 CSS 隧道并再次解析 CSS 设置。但是,在某些极端情况下,nvs_config->num_gre_links 为 0,并且 CSS 隧道无法恢复运行。

        解决办法:禁用然后启用 CSS 设置将启动 CSS 隧道

      • 问题 68057:在将 WAN 接口地址模式从 DHCP 有状态 IPv6 地址更改为静态 IPv6 地址时,不会从 VMware SD-WAN Edge 发送 DHCPv6 版本数据包,并且租约在达到有效时间之前会一直保持活动状态。

        DHCPv6 客户端具有一个租约,在完成配置更改后不会释放该租约。租约将保持有效,直至其在 DHCPv6 服务器中的生存期到期并被删除为止。

        如果未进行该修复,则无法修复此问题,因为租约将一直保持活动状态直至有效生存期到期为止。

      • 问题 68851:如果 VMware SD-WAN Edge 和 VMware SD-WAN 网关分别配置了相同的 TCP syslog 服务器,则不会建立从 Edge 到 syslog 服务器的 TCP 连接。

        如果 Edge 和网关分别具有相同的 TCP 服务器,并通过网关路由来自 Edge 的 syslog 数据包,那么 syslog 服务器会向 Edge 发送 TCP 重置。

        解决办法:直接从 Edge 发送 syslog 数据包,而不是通过网关进行路由,或者为 Edge 和网关配置不同的 syslog 服务器。

      • 问题 69284:当站点使用高可用性拓扑,且其中的 Edge 在 HA 配置中部署 VNF 并使用版本 4.x 时,如果将这些 HA Edge 降级到不支持 HA VNF 的 3.4.x 版本,然后再升级到 4.5.0,那么在重新启用 HA VNF 后,备用 Edge VNF 将不会启动。 

         当将 HA VNF 对从支持 VNF-HA 的版本(版本 4.0+)降级到不支持 VNF-HA 的版本,在 Orchestrator 上启用了 VNF 时,通过 SNMP 传输的备用 Edge 上的 VNF 状态为已关闭。在将 Edge 升级回支持 VNF-HA 的版本并再次在 Orchestrator 上启用时,将会出现该问题。

        解决办法:如果要将 Edge 降级到不支持 VNF 的版本,则在使用 HA 情况下应先停用 VNF。

      • 问题 69562:当合作伙伴网关 BGP 和非 SD-WAN 目标 BGP 具有相同的本地自治系统编号 (ASN) 时,会在 VMware SD-WAN 网关上观察到流量故障。

        如果 PG-BGP 和 NSD-BGP 具有相同的本地 ASN,并且 NSD-BGP 学习的路由被重新分发到 PG-BGP,那么 ASN 将在路由上附加两次,然后再通告。这可能会由于 AS 路径较短而导致某些其他 BGP 路由优先于该路由,进而可能导致流量匹配错误的路由。

        如果未进行该修复,解决此问题的办法是对 PG-BGP 和 NSD-BGP 使用不同的 ASN。

      • 问题 70311:VMware SD-WAN Edge 可能会发生数据平面服务故障,并因而重新启动该服务。

        在 Edge 服务重新启动期间,客户流量将中断大约 15-30 秒。此问题并不会一直出现,但当它确实发生时,Edge 会拆除 IKE 安全关联 (SA)。此问题通常仅在以下情况下发生:SA 定时器(在 VMware SD-WAN Orchestrator 上配置)到期;或者用户在 Orchestrator 上修改 IPSec 配置。

        解决办法:没有该问题的解决办法。

      • 问题 71719:不会沿 Edge 到 Cloud 路径建立 PPTP 连接。

        不会与 VMware SD-WAN Edge 后面的 PPTP 服务器建立连接。

        解决办法:此问题没有解决办法,即使重新启动或重新引导 Edge 也不会解决问题。

      • 问题 72358:如果 VMware SD-WAN Orchestrator DNS 名称的 IP 地址发生更改,VMware SD-WAN 网关的管理平面进程将无法正确解析该地址,并且网关将无法连接到 Orchestrator。

        网关的管理进程会定期检查 Orchestrator DNS 名称的 DNS 解析情况,以查看它最近是否发生更改,以便网关可以连接到正确的主机。DNS 解析代码中存在问题,因此所有这些解析检查将失败,并且网关将继续使用旧地址,因此无法再连接到 Orchestrator。

        解决办法:在解决该问题之前,操作员用户不应更改 Orchestrator 的 IP 地址。如果必须更改 Orchestrator 的 IP 地址,则必须重新激活连接到该 Orchestrator 的所有网关。

      • 问题 83212:查看 VMware SASE Orchestrator 的“监控”(Monitor) >“Edge”>“传输”(Transport) 时,“链路”(Link) 统计信息表和“应用程序”(Application) 统计信息表之间存在差异。

        “应用程序”(Application) 和“链路”(Link) 统计信息应匹配,但“应用程序”(Application) 统计信息显示的值要高于“链路”(Link) 统计信息显示的值。当存在 VMware SD-WAN Edge Hub 集群拓扑且其中的分支 Edge 使用单个 WAN 链路时,通常会出现此问题。如果此单个 WAN 链路丢失了一些数据包,则会重新传输这些数据包,并在“应用程序”(Application) 统计信息中两次计入这些数据包,这将导致出现所观察到的差异。

        解决办法:此问题没有解决办法,但在遇到此问题时,“应用程序”(Application) 统计信息将是正确的,而“链路”(Link) 统计信息则不正确。

      • 问题 84825:对于使用配置了 BGP 的高可用性拓扑部署的站点,如果站点配置的 BGPv4“匹配”和“设置”规则超过 512 个,客户可能会观察到 HA Edge 对持续进行故障切换,但一直不会恢复。

        BGPv4“匹配”和“设置”规则超过 512 个可以理解为客户在入站筛选器上配置了 256 个以上的此类规则,在出站筛选器上配置了 256 个以上规则。此问题会导致客户流量中断,因为重复故障切换将导致实时流量(例如语音通话)的流量持续丢弃并随后重新创建。当 HA Edge 遇到该问题时,同步 Edge CPU 线程的过程将失败,从而导致 Edge 重新引导以进行恢复,但升级的 Edge 也会遇到相同的问题,进而重新引导,但其不会在站点进行任何恢复。

        解决办法:如果未进行该修复,客户必须确保为 HA 站点配置的 BGPv4“匹配”和“设置”规则不超过 512 个。

        如果站点遇到此问题,并且配置了超过 512 个 BGPv4“匹配”和“设置”规则,则客户必须立即将规则数减少到 512 个或更少才能恢复站点。

        或者,如果客户必须具有 512 个以上的 BGPv4“匹配”和“设置”规则,他们可以将 HA Edge 降级到 3.4.6 版本,使用该版本将不会遇到该问题,但代价是牺牲更高版本中的 Edge 功能。仅当 3.4.6 版本支持客户的 Edge 型号,并且他们在降级之前进行了确认时,才能执行此操作。

      • 问题 85369:对于使用高可用性拓扑部署的站点,客户可能会观察到客户流量中断,并且 VMware SD-WAN 备用 Edge 可能会多次重新引导。

        负载和系统事件触发的条件导致活动 Edge 在将 HA 检测信号及时传送到备用 Edge 时出现延迟。延迟会导致备用 Edge 丢失检测信号,并错误地承担活动角色,从而导致活动-活动状态。要从活动-活动状态中恢复,备用 Edge 可能会多次重新引导。 

        如果站点变为“活动-活动”状态,传统 HA 设置将发生极少量流量中断,因为在此拓扑中备用 Edge 不会传输流量,而在增强型 HA 部署中,备用 Edge 还会传递流量,因而重新引导将中断某些客户流量。

        解决办法:没有该问题的解决办法。

      • 问题 91365:对于使用 Edge Network Intelligence 的客户,配置了分析的 VMware SD-WAN Edge 会发生内存泄漏,这会导致 Edge 触发 Edge 服务重新启动以清除内存。

        在 Edge 上启用分析功能后,Edge 的数据平面服务开始以稳定的速度泄漏内存,这会导致 Edge 需要触发非计划服务重新启动,以便在内存达到严重级别(内存占用率达到 60% 的时间超过 90 秒)时清除内存泄漏。Edge 服务重新启动会导致客户流量中断 10-15 秒。在部署中,触发 Edge 服务重新启动所需的时间大约为 3 到 4 天,清除内存后,内存泄漏将以下一次 Edge 服务重启的相同常规时间范围恢复。Edge 达到严重内存使用情况级别的时间取决于 Edge 型号,以及分析功能为该 Edge 记录的信息量。

        解决办法:客户有两种方案:a) 暂时关闭 Edge 的分析功能,直到提供修复的 Edge 内部版本;或 b) 监控 Edge 的内存。如果内存占用率达到 40%,并且 Orchestrator 记录了内存警告事件,请在维护时段内调度手动 Edge 服务重新启动,以清除内存并确保将对客户的影响降到最低。

      • 问题 92676:对于将通过网关的非 VMware SD-WAN 目标 (NSD) 配置为使用冗余隧道和冗余网关,并且还使用 IPsec 上的 BGP 的客户部署,如果主网关和辅助网关向主 NSD 隧道和辅助 NSD 隧道通告具有同等 AS 路径的前缀,主 NSD 隧道将优先选择主网关上的冗余网关路径。

        主 NSD 对网关隧道(优先选择主网关的冗余网关路径)的影响仅适用于从 NSD 返回网关的流量。

        解决办法:在冗余网关上为感兴趣的前缀配置更高的(3 个或更多)衡量指标,因为这将有助于 NSD 的主隧道为返回流量选择主网关。

      Orchestrator 已知问题
      • 问题 19566:

        在高可用性故障切换后,备用 VMware SD-WAN Edge 的序列号可能在 Orchestrator 中显示为活动 Edge 序列号。

      • 问题 21342:

        在按分段分配合作伙伴网关时,在 VMware SD-WAN Edge 监控列表上的操作员选项“查看网关”(View Gateways) 下面可能未显示正确的网关分配列表。

      • 问题 24269:

        “监控”(Monitor) >“传输”(Transport) >“中断”(Loss) 未将观察到的 WAN 链路中断绘制图表,而 QoE 图表反映了这种中断。 

      • 问题 25932:

        VMware SD-WAN Orchestrator 允许将 VMware SD-WAN 网关从网关池中移除,即使正在使用这些网关。

      • 问题 32335:

        在用户尝试接受协议时,“最终用户服务协议”(EUSA) 页面抛出错误。

        解决办法:确保在企业名称中不包含前导或尾随空格。

      • 问题 32435:

        对于已在配置文件级别配置的元组,允许对基于策略的 NAT 配置进行 VMware SD-WAN Edge 覆盖,反之亦然。

      • 问题 32856:

        尽管将业务策略配置为使用 Hub 集群以回传 Internet 流量,但用户可以在 VMware SD-WAN Orchestrator(已从 3.2.1 版本升级到 3.3.x 版本)上从配置文件中取消选择 Hub 集群。

      • 问题 32913:

        在启用高可用性后,在“监控”(Monitoring) 页面上不显示 VMware SD-WAN Edge 的多播详细信息。故障切换将解决该问题。

      • 问题 33026:

        在删除协议后,“最终用户服务协议”(EUSA) 页面未正确重新加载。

      • 问题 34828:

        无法在使用 2.x 版本的 VMware SD-WAN 分支 Edge 和使用 3.3.1 版本的 Hub Edge 之间传输流量。

      • 问题 35658:

        在将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有不同 CSS 设置的配置文件(例如,从配置文件 1 中的 IPsec 移动到配置文件 2 中的 GRE)时,Edge 级别 CSS 设置将继续使用以前的 CSS 设置(例如,使用 IPsec 而不是 GRE)。 

        解决办法:在 Edge 级别禁用 GRE,然后重新启用以解决该问题。

      • 问题 35667:

        将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有相同 CSS 设置但具有不同 GRE CSS 名称(相同端点)的配置文件时,在监控中不显示某些 GRE 隧道。

        解决办法:在 Edge 级别禁用 GRE,然后重新启用以解决该问题。

      • 问题 36665:

        如果 VMware SD-WAN Orchestrator 无法访问 Internet,需要访问 Google 地图 API 的用户界面页面可能无法完全加载。

      • 问题 38056:

        Edge-Licensing export.csv 文件不显示区域数据。

      • 问题 38843:

        在推送应用程序库时,没有操作员事件,并且 Edge 事件的用途有限。

      • 问题 39633:

        在用户将备用网关分配为超级网关后,超级网关超链接无法正常工作。

      • 问题 39790:

        VMware SD-WAN Orchestrator 允许用户将 VMware SD-WAN Edge 的路由接口配置为超过支持的 32 个子接口,从而产生用户可以在接口上配置 33 个或更多子接口的风险,这会导致 Edge 发生数据平面服务故障。

      • 问题 40341:

        尽管在后端将 Skype 应用程序正确划分为实时流量,但在 VMware SD-WAN Orchestrator 上编辑 Skype 业务策略时,服务类可能会错误地显示“事务”(Transactional)。

      • 问题 41691:

        虽然 DHCP 池未用完,但用户无法在配置 (Configure) > Edge > 设备 (Device) 页面上更改“地址数”(Number of addresses) 字段。

      • 问题 43276:

        在 VMware SD-WAN Edge 或配置文件配置了合作伙伴网关时,用户无法更改分段类型。

      • 问题 47269:

        对于不支持 LTE 接口的 Edge 型号,可能会显示 VMware SD-WAN 510-LTE 接口。

      • 问题 47713:

        如果在禁用了云 VPN 时配置业务策略规则,在启用云 VPN 后,必须重新配置 NAT 配置。

      • 问题 47820:

        如果在配置文件级别配置 VLAN 并禁用了 DHCP,同时还在启用了 DHCP 的 Edge 上为该 VLAN 配置 Edge 覆盖,并且 DNS 服务器字段的条目设置为“无”(None)(未配置任何 IP),用户将无法在“配置”(Configure) >“Edge”>“设备”(Device) 页面上进行任何更改,并收到“IP 地址 [] 无效”(invalid IP address []) 错误消息,该消息未解释或指出实际问题。

      • 问题 48085:

        VMware SD-WAN Orchestrator 允许用户删除与接口关联的 VLAN。

      • 问题 48737:

        在使用 4.0.0 版本的新用户界面的 VMware SD-WAN Orchestrator 上,如果用户位于“监控”(Monitor) 页面并更改开始和结束时间间隔,然后在选项卡之间导航,Orchestrator 没有将开始和结束间隔时间更新为新的值。

      • 问题 49225:

        VMware SD-WAN Orchestrator 不实施总共 32 个 VLAN 的限制。

      • 问题 49790:

        将 VMware SD-WAN Edge 激活为 4.0.0 版本时,激活在“事件”(Events) 中发布两次。

        解决办法:忽略重复的事件。

      • 问题 50531:

        在 VMware SD-WAN Orchestrator 4.0.0 版本上访问新的 UI 时,如果两个具有不同特权的操作员使用同一浏览器窗口,特权较低的操作员尝试在特权较高的操作员之后登录,特权较低的操作员将观察到多个错误,指出“用户没有特权”(user does not have privilege)。

        注意:特权较低的操作员没有进行特权升级,而仅显示错误消息。

        解决办法:下一个操作员可以在登录之前刷新该页面以防止看到这些错误,或者每个操作员可以使用不同的浏览器窗口以避免这种显示问题。

      • 问题 51722:在 4.0.0 版本 VMware SD-WAN Orchestrator 上,“监控”(Monitor) >“Edge”选项卡中的任何统计信息的时间范围选择器不超过两周。

        即使一组统计信息的保留期远超过 2 周,时间范围选择器在“监控”(Monitor) >“Edge”选项卡中也不会显示超过“过去 2 周”(Past 2 Weeks) 的选项。  例如,默认情况下,流量和链路统计信息保留 365 天(可以进行配置),而路径统计信息仅保留 2 周(也可以进行配置)。  该问题使所有“监控”(Monitor) 选项卡符合最低的统计信息保留类型,而不允许用户选择与该统计信息的保留期一致的时间段。

        解决办法:用户可以使用时间范围选择器中的“自定义”(Custom) 选项以查看超过 2 周的数据。

      • 问题 60039:更改 VMware SD-WAN Edge 型号后,RMA 重新激活设置无法正常使用。

        在 Edge 型号发生更改的站点中执行 RMA 重新激活操作时,VMware SD-WAN Orchestrator 不会保存所做的型号更改,这会使重新激活链路无效。此问题仅影响 Edge 型号发生更改情况下的 RMA 重新激活,如果 Edge 型号保持不变,则 RMA 重新激活可以正常使用。

        解决办法:如果要为站点使用不同的 Edge 型号,用户需要创建一个新的 Edge 并手动应用所有特定于 Edge 的设置。

      • 问题 60522:在 VMware SD-WAN Orchestrator UI 上,当用户尝试移除分段时,看到大量错误消息。

        如果将分段添加到配置文件并将该分段与多个 VMware SD-WAN Edge 关联,则可能会出现此问题。当用户尝试从配置文件中移除添加的分段时,用户将看到大量错误消息。

        解决办法:没有该问题的解决办法。

      • 问题 62624:在尝试取消选中“合作伙伴网关”(Partner Gateway) 复选框时,如果合作伙伴网关正在使用中,则用户会看到客户名称。

        如果用户在 VMware SD-WAN Orchestrator UI 上取消选中特定网关对应的“合作伙伴网关”(Partner Gateway) 复选框,而该网关正在由一个或多个客户以及一个客户配置文件使用,则 Orchestrator 仅显示配置文件和 Edge 的名称,而不显示使用该网关的客户名称。

      • 问题 68463:在 VMware SD-WAN Orchestrator 上使用新 UI 并查看“QoE”部分时,将显示错误的图形值。  

        在旧 UI 中查看 QoE 时,图形上显示“一般延迟”(Latency Fair),而在访问新 UI(对于相同的 Edge 和时间)时则显示“一般抖动”(Jitter Fair)。这是由于在新 UI 上未正确反映 QoE 所致。

        解决办法:除了使用旧 UI 确认正确的 QoE 值之外,此问题没有解决办法。

      Cloud Web Security 已知问题
      • 问题 62934:对于使用 VMware Cloud Web Security 的企业,如果客户端用户在无痕模式下打开 Chrome 浏览器并尝试下载文件,则下载有时可能会失败。

        无痕模式需要启用第三方 Cookie。启用第三方 Cookie,然后重试该操作。下载失败时,用户将看到屏幕上显示:“发生错误,请联系您的管理员”(Error occurred contact your administrator),或者对于来自某个自定义 Web 服务器的文件,将显示:“此页面无法正常工作”(This page is not working)。有时,某些 Web 服务器或文件的文件签名可能存在差异,Cloud Web Security 服务可能无法识别这些差异,因此会出现该问题。

        解决办法:打开“允许第三方 Cookie”(Allowing 3rd party Cookies),然后重试。使用无痕模式窗口时,该问题没有已知的解决办法。

      • 问题 63149:当客户部署在配置文件中具有重叠子网,为 VMware Cloud Web Security 策略配置了一个子网,并且将 Cloud Web Security 策略与配置文件和分段关联时,该子网上的 Edge 客户端将无法连接到 Internet。

        如果在同一分段中为 VMware SD-WAN Edge 后面的 LAN 分段配置了重叠子网,则 Edge 后面的资源无法将 Cloud Web Security 策略应用于 Internet 流量。这是因为没有办法唯一标识从 Internet 到 Cloud Web Security 的返回流量的目标 Edge。

        解决办法:在 Edge 上启用 LAN 端 NAT,并且使用唯一的子网表示来自 Edge 后面的资源的流量。

      • 问题 65001:对于使用 VMware Cloud Web Security 的客户,用户在使用 VMware Orchestrator 配置检查引擎以打开/关闭文件哈希检查时,无法完成此操作。

        当用户使用 Orchestrator 为“对未知文件下载执行的操作”(Action for Unknown File Download) 和“对未知文档下载执行的操作”(Action for unknown document Download) 配置 Cloud Web Security 检查引擎的文件哈希检查参数时,这些更改不会发送到检查引擎,也不会得到应用。

        解决办法:没有该问题的解决办法。

      Secure Access 已知问题
      • 问题 64541:对于使用 VMware Secure Access 的客户,使用 Workspace ONE UEM 配置中的选项在组织组内配置隧道主机名时,如果用户选择“是”(Yes),则会自动在 UEM 控制台中创建主机名,而不是手动进行配置。

        用户应该可以选择手动配置主机名,而不仅仅是自动创建主机名。 

        解决办法:解决办法是在 UEM 控制台中对其进行手动设置。

      • 问题 70493:当客户编辑 VMware Secure Access 服务配置并禁用/移除 Cloud Web Security 策略的关联时,保存配置将失败。

        编辑正在移除 Cloud Web Security 策略的 Secure Access 服务配置失败,并显示“CWS 策略无效”(Invalid CWS Policy) 错误。

        解决办法:没有该问题的解决办法。

      check-circle-line exclamation-circle-line close-line
      Scroll to top icon