| VMware SASE 5.2.0 | 2023 年 10 月 13 日
请查看发行说明以了解新增内容及更新。 |
发行说明内容
本发行说明包含以下主题:
- 建议的用途
- 兼容性
- Orchestrator、网关和 Edge 的升级途径
- SD-WAN 新增功能
- SD-WAN 的新增强功能
- 重要说明
- 可用语言
- Orchestrator API 更改
- 文档修订历史
建议的用途
对于需要使用最初在 5.2.0 版本中提供的特性和功能的所有客户,建议使用该版本。
兼容性
5.2.0 版本 Orchestrator、网关和 Hub Edge 支持以前发行的所有 4.2.0 或更高版本的 VMware SD-WAN Edge。
已明确测试了以下 SD-WAN 互操作性组合:
| Orchestrator |
网关 |
Edge |
|
| Hub |
分支 |
||
| 5.2.0 |
4.2.1 |
4.2.2 |
4.2.2 |
| 5.2.0 |
5.2.0 |
4.2.2 |
4.2.2 |
| 5.2.0 |
5.2.0 |
5.2.0 |
4.2.2 |
| 5.2.0 |
5.2.0 |
4.2.2 |
5.2.0 |
| 5.2.0 |
4.3.1 |
4.3.1 |
4.3.1 |
| 5.2.0 |
5.2.0 |
4.3.1 |
4.3.1 |
| 5.2.0 |
5.2.0 |
5.2.0 |
4.3.1 |
| 5.2.0 |
5.2.0 |
4.3.1 |
5.2.0 |
| 5.2.0 |
4.3.2 |
4.3.2 |
4.3.2 |
| 5.2.0 |
5.2.0 |
4.3.2 |
4.3.2 |
| 5.2.0 |
5.2.0 |
5.2.0 |
4.3.2 |
| 5.2.0 |
5.2.0 |
4.3.2 |
5.2.0 |
| 5.2.0 |
4.5.1 |
4.5.1 |
4.5.1 |
| 5.2.0 |
5.2.0 |
4.5.1 |
4.5.1 |
| 5.2.0 |
5.2.0 |
5.2.0 |
4.5.1 |
| 5.2.0 |
5.2.0 |
4.5.1 |
5.2.0 |
| 5.2.0 |
5.0.1.2 |
5.0.1.2 |
5.0.1.2 |
| 5.2.0 |
5.2.0 |
5.0.1.2 |
5.0.1.2 |
| 5.2.0 |
5.2.0 |
5.2.0 |
5.0.1.2 |
| 5.2.0 |
5.2.0 |
5.0.1.2 |
5.2.0 |
| 5.2.0 |
5.1.0 |
5.1.0 |
5.1.0 |
| 5.2.0 |
5.2.0 |
5.1.0 |
5.1.0 |
| 5.2.0 |
5.2.0 |
5.2.0 |
5.1.0 |
| 5.2.0 |
5.2.0 |
5.1.0 |
5.2.0 |
| 5.2.0 |
5.2.0 |
5.2.0 |
5.2.0 |
注:
上表仅对使用 SD-WAN 服务的客户完全适用。需要访问 VMware Cloud Web Security 或 VMware Secure Access 的客户需要将其 Edge 升级到 4.5.0 或更高版本。
重要事项:
VMware SD-WAN 版本 4.0.x 已终止支持;版本 4.2.x 和 4.3.x 已终止对网关和 Orchestrator 的支持;版本 4.5.x 即将终止对网关和 Orchestrator 的支持。
-
版本 4.0.x 于 2022 年 9 月 30 日终止常规支持 (EOGS),并于 2022 年 12 月 31 日终止技术指导 (EOTG)。
-
4.2.x 版本的 Orchestrator 和网关已于 2022 年 12 月 30 日终止常规支持 (EOGS),并于 2023 年 3 月 30 日终止技术指导 (EOTG)。
-
4.2.x 版本的 Edge 于 2023 年 6 月 30 日终止常规支持 (EOGS),并于 2025 年 9 月 30 日终止技术指导 (EOTG)。
-
4.3.x 版本的 Orchestrator 和网关已于 2023 年 6 月 30 日终止常规支持 (EOGS),并于 2023 年 9 月 30 日终止技术指导 (EOTG)。
-
4.3.x 版本的 Edge 于 2023 年 6 月 30 日终止常规支持 (EOGS),并于 2025 年 9 月 30 日终止技术指导 (EOTG)。
-
4.5.x 版本的 Orchestrator 和网关已于 2023 年 9 月 30 日终止常规支持 (EOGS),并将于 2023 年 12 月 31 日终止技术指导 (EOTG)。
-
有关详细信息,请参阅知识库文章:公告:VMware SD-WAN 4.x 版本的支持期终止 (88319)。
Orchestrator、网关和 Edge 的升级途径
对于想要将 Orchestrator、网关或 Edge 从较低版本升级到 5.2.0 版本的客户,下面列出了相应的途径。
Orchestrator
使用 4.2.0 或更高版本的 Orchestrator 可以直接升级到 5.2.0。
网关
所有网关类型均完全支持将使用 4.2.0 或更高版本的网关升级到 5.2.0 版本。
重要事项:
部署使用 5.2.0 的新网关时,VMware ESXi 实例必须至少为版本 6.7 Update 3 至版本 7.0。在尝试运行 5.2.0 或更高版本时,使用较低版本的 ESXi 实例将会导致网关的数据平面服务发生故障。
重要事项:
在将网关升级到 5.2.0 之前,必须将 ESXi 实例至少升级到版本 6.7 Update 3 至版本 7.0。在尝试运行 5.2.0 或更高版本时,使用较低版本的 ESXi 实例将会导致网关的数据平面服务发生故障。
Edge
Edge 可以直接从任何版本 4.x 或更高版本升级到版本 5.2.0。
SD-WAN 新增功能
延迟的可自定义体验质量 (QoE)
以前,高延迟链路(例如,卫星链路或 LTE 链路)的延迟值是静态的。因此,QoE 页面会显示一个红色图表来展示延迟和整体质量,这意味着,即使合作伙伴和客户想要考虑高延迟链路,SD-WAN 服务也会从链路选择过程中排除该链路。
在版本 5.2.0 中,用户可以通过可自定义 QoE (Customizable QoE) 功能来修改视频、语音和事务性流量类型的延迟阈值。这意味着,客户可以在选择过程中包含高延迟链路,并且 Orchestrator 会将新值应用于 QoE 监控页面。
企业可在“监控”(Monitor) >“网络概览”(Network Overview) 页面上控制链路关闭可见性
以前,客户无法控制 Orchestrator 在 监控 (Monitor) > 网络概览 (Network Overview) 页面上显示关闭的 WAN 链路的时长。如果 WAN 链路连续关闭 24 小时或更长时间,则 Orchestrator 将不再显示该 WAN 链路,并且只要该链路保持关闭状态,该链路就不可见。在版本 5.2.0 中,客户可以选择配置一个自定义时间设置,该设置最长可设为 365 天,此时间过后,Orchestrator 就不再显示关闭的 WAN 链路。客户可通过服务设置 (Service Settings) > Edge 管理 (Edge Management) > Edge 链路关闭限制 (Edge Down Link Limit) 来配置此设置。
在 LAN 接口上支持 GRE/BGP
转换 Virtual Private Cloud (VPC) 中的 Edge 可以使用通用路由封装 (GRE)/BGP 和 Connect 连接选项来连接到 AWS Transit Gateway (TGW)。Connect 连接和 Connect 对等体都可通过与 TGW 的 VPC 连接进行设置。GRE 使用在路由 LAN(非 WAN)接口上分配的专用 IP,并通过 GRE 隧道设置了两个 BGP 邻居。
路由汇总
路由汇总(也称为路由聚合或超级网)通过将所选路由前缀合并到单个路由通告中,最大限度地减少了路由器通告到邻居的路由数量,从而解决了 SD-WAN 设备的规模限制。
使用 BGP 时,客户可在高级设置 (Advanced Settings) 下配置此功能。在使用 OSPF 时,客户可以在主配置页面上配置路由汇总。
注:
Orchestrator、网关和 Edge 都需要升级到 5.2.0 或更高版本,才能使用路由汇总 (Route Summarization) 功能。
自修复路由
在基于数据中心的大型部署(涉及 Hub 和集群)中,可能会由于缺少路由而导致流量中断。在版本 5.2.0 之前,虽然 VMware 工程团队或支持团队可通过相应的操作来还原这些缺少的路由,但这种操作本身会造成中断。VMware SD-WAN 引入了自修复路由功能,以降低在数据中心部署中由于同步问题而导致“缺少路由”问题的风险。
自修复路由功能是作为一种审核机制实施的,在这种机制中,网关将分支 Edge 上的路由计数与 Hub/集群数据中心 Edge 上的路由计数进行比较,并在分支和数据中心站点之间的差值超过默认阈值时自动触发路由重新同步。为所有 5.2.0 部署(使用 5.2.0 的 Orchestrator、网关和 Edge)自动实施了该功能,而无需进行配置。
SIM 卡自动切换
尽管 Edge 610-LTE 支持双 SIM 卡单待 (DSSS),但客户还是需要通过 Orchestrator 从活动 SIM 卡手动切换到备用 SIM 卡。在 5.2.0 版本中,客户可以选择在 Edge 610-LTE 中使用自动切换。
在客户配置“自动切换”功能后,Edge 610-LTE 会自动检测主 LTE 连接是否失败,并启动与备用 SIM 卡的连接。该功能包含一个可配置的切换定时器,因此,客户可以指定 Edge 在故障切换到备用 SIM 卡之前应等待的时长。监控 (Monitor) > Edge > 概览 (Overview) > 链路状态 (Links Status) 页面添加了一个新的自动双模式 SIM 卡 (Auto Dual-Mode SIM) 列,其中包含 SIM 卡切换详细信息。
注:
“自动切换”功能仅适用于 Edge 610-LTE 型号。此功能不适用于 Edge 510-LTE 型号。
可信平台模块 (TPM)
可信平台模块 (TPM) 是一项基于硬件的安全功能。它提供了一个安全存储区域来存储加密密钥、密码和证书等敏感信息,并通过单向“硬件保管库”提供物理保护层。
在 SD-WAN 硬件 Edge(510、520、540、610、620、640、680、3000、3100、3400 和 3800)的所有变体(LTE、-N 等)上,VMware 都包含 TPM。客户可在 Orchestrator UI 中转到配置 (Configure) > Edge > 概览 (Overview),然后选中加密设备密钥 (Encrypt Device Secrets) 复选框来激活该功能。
注:
虚拟 Edge 当前不支持 TPM。
使用 MAC 筛选的 Wi-Fi 访问控制
客户可以使用 Wi-Fi 访问控制作为无线网络的额外安全层。激活该功能后,SD-WAN 仅允许将经过批准的已知 MAC 地址与基站相关联。
SD-WAN 的新增强功能
BGP 网关邻居状态 (BGP Gateway Neighbor State)
以前,如果 Edge 由于断电原因而脱机,则 Orchestrator 就无法准确标记 BGP 邻居关系的状态,因为它会继续使用旧的状态。在版本 5.2.0 中,Orchestrator 会在此场景中将 BGP 邻居关系的状态正确标记为“不可用”(UNAVAILABLE)。
增强型防火墙服务
新的增强型防火墙服务是一个集成到 SD-WAN Edge 中的高级防火墙功能。VMware 设计此功能的意图是保护组织的分支网络,使其免受现代的复杂网络威胁,从而提高安全性。客户可以通过 VMware SD-WAN 的附加许可证来获得增强型防火墙服务,并且所有 SD-WAN Edge 型号(硬件和虚拟)都支持该服务。
版本 5.2.0 中增强型防火墙服务的初始版本提供了以下功能:
-
入侵检测系统/入侵防御系统 (IDS/IPS) (Intrusion Detection System/Intrusion Prevention System (IDS/IPS)) 由 VMware 屡获殊荣的 VMware NSX Security 组件提供支持,并且同时支持加密流量和未加密流量。通过将 NSX Security 的强大功能与 VMware SD-WAN Edge 平台相结合,客户可以在不牺牲安全性的情况下放心地消除分支中的旧版防火墙,并可以受益于简化的网络和安全操作,同时还能够充分利用 VMware 在威胁情报方面的投资。
-
VMware 托管的 Edge 防火墙日志记录 (VMware Hosted Edge Firewall Logging) 提供了托管的日志存储服务,可以从 Edge 收集防火墙和威胁日志(允许和拒绝规则)。在 5.2.0 的初始版本中,Orchestrator 默认保留 15 GB 或 7 天的日志(以先到者为准),之后日志将被覆盖。此服务随有效的 VMware SD-WAN 许可证一起提供。未来版本中会添加一个用于购买延长日志保留时间的选项。
外部证书颁发机构
在“外部证书颁发机构”实施的第三阶段,5.2.0 版本的 Orchestrator UI 支持对中间 CA 进行配置。
Orchestrator 上的防火墙日志
之前,客户存储和查看防火墙日志的唯一方法是将防火墙日志转发到 Syslog 服务器。在 5.2.0 版本中,客户可以选择将防火墙日志存储在 Orchestrator 上,以便可以在 Orchestrator UI 上查看日志并对其进行排序和搜索。有关详细信息,请参阅设置配置文件防火墙、配置 Edge 防火墙和监控防火墙日志。
高可用性增强功能
版本 5.2.0 对部署了高可用性拓扑且具有一对 Edge 的站点进行了多项改进。其中包括:
-
提高了 HA 稳定性,以确保减少 HA 站点进行的不必要故障切换或出现的活动-活动“脑裂”状态。
-
事件
-
如果 WAN、LAN 和 HA 链路状态发生更改,则会生成新事件。
-
通过序列号和 HA 模式等附加元数据增强了事件实用性。
-
-
监控
-
HA 备用 (HA Standby) 选项卡是专为备用 Edge 提供的新仪表板,位于监控 (Monitor) > Edge 页面上,用于报告 CPU 和内存占用率。
-
现在,所有的监控 (Monitor) > Edge 仪表板都具有“故障切换栏 (Failover bars)”。其中包含图表上的垂直标记,这些标记指示发生 HA 故障切换的位置和时间。
-
所有的监控 (Monitor) > Edge 图表都包含一个显示 HA Edge 序列号的框,这样客户便可以在监控图上一目了然地知道哪个 HA Edge 在特定时间段内处于活动状态。
-
-
高可用性的新配置选项
-
HA 故障切换检测时间倍数 (HA Failover Detection Time Multiplier) 用于设置较大的高可用性阈值。定时器表示备用 Edge 在成为活动 Edge 之前等待来自活动 Edge 的检测信号数据包的时长,并且在某些场景中可以防止在具有高流量负载的 HA Edge 上出现活动-活动“脑裂”情况。
-
可配置的 HA 接口 (Configurable HA Interface) 允许客户将任何 Edge 交换端口配置为 HA 接口(用于连接活动 Edge 和备用 Edge 以进行同步的接口)。以前,SD-WAN 将 HA 接口限制为该 Edge 型号的默认接口(即 LAN1 或 GE1)。
-
“可配置的 HA 接口”(Configurable HA Interface) 的一项增强功能便是客户可选择 1G/10G SFP 端口作为 HA 接口。
-
-
捕获备用 Edge HA 接口的数据包 (Packet Capture for the Standby Edge's HA Interface):管理员现在可以使用一个额外的 HA 故障排除工具,即可选择请求捕获备用 Edge HA 接口的数据包。
支持对平台固件或出厂映像进行高可用性升级
以前,升级 HA 站点的平台固件或出厂映像是一项耗时且会造成中断的任务,必须由用户手动执行。在将操作员配置文件应用于具有新平台固件或出厂映像的 HA 站点时,5.2.0 版本的 Orchestrator 可以自动更新 SD-WAN Edge 高可用性拓扑中的出厂映像和平台固件,就像以前更新 HA Edge 软件一样。
IPv6 增强功能
版本 5.2.0 包含以下 IPv6 增强功能:
-
OSPFv3
-
底层 IPv6 路由学习。
-
将 OSPFv3 路由重新分发到覆盖网络/BGP,反之亦然。
-
支持覆盖网络流量控制 (OFC)。
-
全套 OSPFv3 远程诊断。
-
-
在 Edge 上支持 DHCPv6 中继代理
-
本地/远程/云 DHCP 服务器用例
-
充当多个中继代理
-
-
通过 Edge 的非 SD-WAN IPv6 目标
-
支持的隧道故障切换场景:
-
活动-活动
-
活动-备用
-
活动-热备用
-
-
选择基于流量的链路。
-
Orchestrator UI 包括“隧道监控”(Tunnel Monitoring)、“事件”(Events) 和“警示”(Alerts)。
-
VLAN 上支持针对 802.1x 的 RADIUS MAC 地址绕过 (MAB)
在版本 5.1.0 中,引入了针对 802.1x 的 RADIUS MAB,但此功能仅限于路由接口。在版本 5.2.0 中,客户还可以在 VLAN 中对 Edge 交换端口使用此功能。
注:
为 VLAN 配置 MAB 功能以将其用于交换端口时,此功能具有以下限制:
-
L2 流量不会触发 RADIUS MAB。
-
在发现路由流量之前,不会在基于 Linux 的交换机上转发 L2 流量。硬件交换机已经不筛选纯 L2 流量,并且此限制保持不变。
-
如果未发现任何路由流量,并且 RADIUS MAB 已超时(默认为 30 分钟),那么会再次阻止 L2 流量。
-
启用 802.1x 后,用于检查自发送数据包的 802.1x 状态的其他挂钩可能会导致性能下降。
-
在进行 802.1x 身份验证(DHCP、DNS、SSH 等)之前,将不再筛选已发送到自身且完全由 Linux 管理的流量。
网关的路由可见性增强功能
这些增强功能可以满足客户和合作伙伴想要更深入地了解网关路由表的需求,其中包括:
-
客户在 Orchestrator 中的监控 (Monitor) > 路由 (Routing) 页面上的网关路由表 (Gateway Route Table) 选项卡。
-
客户的监控 (Monitor) > 路由 (Routing) 页面上的 BGP 网关邻居状态 (BGP Gateway Neighbor State) 选项卡,用于显示每个邻居的 BGP 已通告路由和已接收路由。
-
特定路由前缀的完整信息。
-
根据路由前缀进行筛选。
-
用于导出网关路由表的选项。
可信平台模块 (TPM)
可信平台模块 (TPM) 是一项基于硬件的安全功能。它提供了一个安全存储区域来存储加密密钥、密码和证书等敏感信息,并通过单向“硬件保管库”提供物理保护层。
在 SD-WAN 硬件 Edge(510、520、540、610、620、640、680、3000、3100、3400 和 3800)的所有变体(LTE、-N 等)上,VMware SD-WAN 都包含 TPM。客户可在 Orchestrator UI 中转到配置 (Configure) > Edge > 概览 (Overview),然后选中加密设备密钥 (Encrypt Device Secrets) 复选框来激活该功能。
注:
在此版本中,虚拟 Edge 不支持 TPM。
重要说明
UI 内部版本
从版本 5.2.0.4 开始,VMware 引入了 Orchestrator UI 内部版本。UI 内部版本仅修复 UI 问题,这些问题会影响您使用 Orchestrator 用户界面的方式。与标准 Orchestrator 内部版本一样,UI 内部版本并未修复任何影响 Orchestrator 底层功能的管理平面/控制平面问题。
UI 内部版本会添加到现有 Orchestrator 版本中,可通过 Orchestrator 内部版本名称下面列出的唯一内部版本加以区分。通过采用与用户识别 Orchestrator 版本相同的方式,即单击 Orchestrator UI 屏幕右上角的 ? 图标,可以找到 UI 内部版本。例如,如果运行版本 5.2.0.4 且内部版本为 R5204-20230831-GA 的 Orchestrator 更新为 UI 内部版本 R5204-20230914-GA,则会在 Orchestrator 内部版本正下方显示该信息,名称为“UI 内部版本”(UI Build)。如果 Orchestrator 没有 UI 内部版本,则用户只能看到 Orchestrator 内部版本。
Orchestrator 将按如下方式升级到 UI 内部版本:
-
如果 Orchestrator 已使用最新 Orchestrator 版本,VMware 运维团队会在最新 UI 内部版本发布后一周内使用该内部版本升级托管的共享 Orchestrator 和托管的专用 Orchestrator。
-
使用专用 Orchestrator 的合作伙伴需要提交支持请求单,让运维团队在他们使用最新 Orchestrator 版本的情况下,使用 UI 内部版本升级其 Orchestrator。
注:
UI 内部版本不适用于部署内部部署 Orchestrator 的客户。
有关 UI 内部版本的其他信息,请参阅知识库文章 VMware SD-WAN 软件升级常见问题解答 (67152) 和 VMware SD-WAN 软件版本类型以及 Orchestrator 和网关的软件升级策略 (89609)。
已在 SASE Orchestrator 上弃用经典 UI
在版本 5.2.0 中,新 UI 现已全部完善,可用于完成所有的配置和监视任务。因此,经典 UI 默认处于隐藏状态且不可使用。此外,SASE 工程部门将不再修复特定于经典 UI 的问题。
托管的 Orchestrator 上的绿地部署直接客户会自动分配给 Cloud Services Platform (CSP)(作为 IdP)
对于在版本 5.2.0 托管的 Orchestrator 上创建的绿地部署直接客户(未分配给合作伙伴),将使用 CSP(作为 IdP)为他们自动配置 SSO。因此:
-
具有超级用户角色的管理员将通过 CSP 门户创建新管理员。
-
如果发生 CSP 中断,则允许客户使用具有本地身份验证凭据(用户名/密码)的“Break glass”管理员帐户来访问其门户。
-
新的直接客户则需要使用基于令牌的身份验证凭据来访问 API。由于已将用户创建过程移到了 CSP 上,因此他们无法使用基于 Cookie 的身份验证。
注:
内部部署 Orchestrator 不受 CSP 要求的约束,其客户将继续使用基于 Orchestrator 的身份验证。
Hub 或集群互连仍然是抢先使用版功能
Hub 或集群互连是在版本 5.1.0 中引入的功能,使用此功能时需要考虑以下注意事项:
“启用 Hub 或集群互连会从根本上更改 VMware SD-WAN 路由协议,它允许数据包遍历网络中的多个跃点。虽然已在代表性拓扑中对此更改进行了测试,但无法测试在进行此类允许分发远程路由的更改时可能遇到的所有路由方案。因此,VMware 将该功能作为抢先使用版本发布,并将密切监控启用了该功能的部署中的意外路由行为。”
这条注意事项对版本 5.2.0 中的这项功能仍然有效。
Edge 和网关上的“IPSec 上的 BGP”和 Azure 虚拟 WAN 自动化的限制
Edge 和网关上的“IPSec 上的 BGP”功能与 Edge 或网关中的 Azure 虚拟 WAN 自动化不兼容。在自动从 Edge 或网关连接到 Azure vWAN 时,仅支持静态路由。
在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上停用自动协商时的限制
在 VMware SD-WAN Edge 型号 620、640 或 680 的端口 GE1 - GE4 上,Edge 3400、3800 或 3810 的端口 GE3 或 GE4 上,或者 Edge 520/540 的端口 SFP1 或 SFP2 使用了具有铜缆接口的 SFP 时,如果用户停用自动协商机制以强制指定速度和双工模式,则可能会发现即使重新引导后,链路也不会建立连接。
这是由于列出的每个 Edge 型号使用 Intel 以太网控制器 i350 所致,该控制器存在一个限制,即当链路两端均未使用自动协商时,它无法动态检测用于进行传输和接收的相应线路(自动 MDIX)。如果连接的两端在同一线路上进行传输和接收,则检测不到该链路。如果对等端也不支持未使用自动协商的自动 MDIX,并且链路不是使用直连电缆连接,则需要使用交叉以太网电缆来连接链路。
有关详细信息,请参阅知识库文章在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上停用自动协商时的限制 (87208)。
可用语言
VMware SASE Orchestrator 5.2.0 包括以下语言版本:捷克语、英语、欧洲葡萄牙语、法语、德语、希腊语、意大利语、西班牙语、日语、韩语、简体中文和繁体中文。
Orchestrator API 更改
自 5.1.0 以来所做的 Orchestrator API 更改
对 VMware SASE Orchestrator 门户 API(“API v1”)所做的更改
API v1 从版本 5.1.0 到版本 5.2.0 没有变化。为了便于参考,可从 developer.vmware.com 下载完整的 API 更改日志(请参阅“VMware SD-WAN Orchestrator API v1”)。
对 VMware SASE Orchestrator API v2 所做的更改
此版本扩大了支持范围,现在支持对配置文件和 Edge 级别的服务质量 (QoS) 模块进行配置。此版本还添加了用于返回防火墙统计信息和 NNI 衡量指标的 API。
版本 5.2.0 引入了以下新的 API 操作:
-
配置文件和 Edge 级别的 QOS 模块
-
GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/qos -
PUT /api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/qos -
PATCH /api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/qos -
GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos -
POST /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos -
PUT /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos -
PATCH /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos
-
-
企业和 Edge 级别的增强型防火墙统计信息
-
GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/firewallIdpsStats -
GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/firewallIdpsStats -
GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/firewallIdpsStats/timeSeries
-
-
企业级别的网关 NNI 衡量指标
-
GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/nniStats -
GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/nniStats/timeSeries
-
Developer Documentation 门户
所有 VMware SASE/SD-WAN API 文档都位于 Developer Documentation 门户上,网址为 https://developer.vmware.com/apis。
文档修订历史
2023 年 10 月 13 日。第十五版。
-
在 R5204-20230831-GA 的解决的 Orchestrator 问题部分中添加了新的 Orchestrator UI 内部版本 R5204-20231013-0631-GA。这是 Orchestrator 汇总内部版本 R5204-20230831-GA 的第五个 UI 内部版本。
-
UI 内部版本 R5204-20231013-0631-GA 修复了 UI 问题 120419、123387、127035、127636、127774、128371、128620 和 129253,这些问题均已记录在 R5204-20230831-GA 部分内单独的表中。
-
在 Edge/网关已知问题部分中添加了未解决的问题 125647。
2023 年 10 月 4 日。第十四版。
-
在 R5204-20230831-GA 的解决的 Orchestrator 问题部分中添加了新的 Orchestrator UI 内部版本 R5204-20231003-GA。这是 Orchestrator 汇总内部版本 R5204-20230831-GA 的第四个 UI 内部版本。
-
UI 内部版本 R5204-20231003-GA 修复了 UI 问题 117923、123070、127037、128628 和 128667,这些问题均已记录在 R5204-20230831-GA 部分内单独的表中。
2023 年 9 月 28 日。第十三版。
-
在 R5204-20230831-GA 的解决的 Orchestrator 问题部分中添加了新的 Orchestrator UI 内部版本 R5204-20230927-GA。这是 Orchestrator 汇总内部版本 R5204-20230831-GA 的第三个 UI 内部版本。
-
UI 内部版本 R5204-20230927-GA 修复了 UI 问题 126967、127006、127843、127849、127871 和 128277,这些问题均已记录在 R5204-20230831-GA 部分内单独的表中。
-
在“Orchestrator 已知问题”部分中添加了以下请求单:125082、125504、125663、126257、126421、126425、126465、126695、127037、127152、127636 和 128070。
-
在解决的 Edge/网关问题部分中为原始 Edge/网关内部版本 R5200-20230530-GA 添加了修复的问题 110484。第一版发行说明中错误地遗漏了此问题。
2023 年 9 月 21 日。第十二版。
-
在 R5204-20230831-GA 的解决的 Orchestrator 问题部分中添加了新的 Orchestrator UI 内部版本 R5204-20230920-GA。这是 Orchestrator 汇总内部版本 R5204-20230831-GA 的第二个 UI 内部版本。
-
UI 内部版本 R5204-20230920-GA 修复了 UI 问题 106191、113254、117941、117993、121469、126503 和 126257,这些问题均已记录在 R5204-20230831-GA 部分内单独的表中。
-
修订了重要说明条目 UI 内部版本,以添加有关如何将 UI 内部版本添加到四种相应 Orchestrator 类型的信息:托管的共享、专用共享、专用和内部部署。此条目包含一项说明,指出 UI 内部版本不适用于使用内部部署 Orchestrator 的客户。
2023 年 9 月 15 日。第十一版。
-
添加了标题为 UI 内部版本的重要说明。UI 内部版本是一种新的 Orchestrator 软件版本,该版本仅修复用户界面问题,并会添加到现有 Orchestrator 版本中。
-
在 R5204-20230831-GA 的解决的 Orchestrator 问题部分中添加了新的 Orchestrator UI 内部版本 R5204-20230914-GA。这是 Orchestrator 汇总内部版本 R5204-20230831-GA 的第一个 UI 内部版本。
-
UI 内部版本 R5204-20230914-GA 修复了 UI 问题 108125、122918、123619、123927、124801、125309、125393、125710、126403 和 127007,这些问题均已记录在 R5204-20230831-GA 部分内单独的表中。
2023 年 9 月 1 日。第十版。
-
在解决的 Orchestrator 问题部分中添加了新的 Orchestrator 汇总内部版本 R5204-20230831-GA。这是第三个 Orchestrator 汇总内部版本,也是 5.2.0 版本新的默认 Orchestrator GA 内部版本。
-
Orchestrator 内部版本 R5204-20230831-GA 修复了问题 65668、104775、118728、120398、121118、121526、122113、123002、123053、123150、123346、123551、123749、124073、124129、124273、124315、124778、124798 和 125456,这些问题均已记录在该部分中。
-
在 Edge/网关已知问题部分中添加了未解决的问题 117037 和 121606。
-
从 Edge/网关已知问题中移除了未解决的问题 62701,因为该问题已在版本 5.1.0 中修复。
-
重新组织了文档修订历史,以便从最新条目到最旧条目进行阅读,从而改善用户体验。
2023 年 8 月 9 日。第九版。
-
在解决的 Orchestrator 问题部分中添加了新的 Orchestrator 汇总内部版本 R5203-20230809-GA。这是第三个 Orchestrator 汇总内部版本,也是 5.2.0 版本新的默认 Orchestrator GA 内部版本。
-
Orchestrator 内部版本 R5203-20230809-GA 修复了问题 121118、121884、122132、122797、123384 和 123609,这些问题均已记录在该部分中。
-
在解决的 Orchestrator 问题部分中为原始 Orchestrator 内部版本 R5200-20230530-GA 添加了修复的问题 105861。第一版发行说明中错误地遗漏了此问题。
-
添加了可用语言部分,以明确 VMware SASE 5.2.0 Orchestrator 本地化的目标语言。
2023 年 8 月 2 日。第八版。
-
在解决的 Orchestrator 问题部分中添加了新的 Orchestrator 汇总内部版本 R5202-20230729-GA。这是第二个 Orchestrator 汇总内部版本,也是 5.2.0 版本新的默认 Orchestrator GA 内部版本。
-
Orchestrator 内部版本 R5202-20230729-GA 修复了问题 116666、117772、117822、118544、118733、120070、120606、120774、121441、121472、121751、121835、121858、121993、122010、122271、122520、122866 和 122977,这些问题均已记录在该部分中。
-
在 Orchestrator 已知问题部分中添加了未解决的问题 121118。
2023 年 7 月 31 日。第七版。
-
在“解决的 Edge/网关问题”部分中添加了新的 Edge/网关汇总内部版本 R5202-20230725-GA。这是第一个 Edge/网关汇总内部版本,也是 5.2.0 版本的新默认 Edge/网关 GA 内部版本。
Edge/网关内部版本 R5202-20230725-GA 修复了问题 106865、117775 和 121368,这些问题均已记录在该部分中。
-
将修复的问题 82095 重新归类为未解决的问题,并将请求单移至 Orchestrator 已知问题部分。
-
在 Edge/网关已知问题部分中添加了未解决的问题 117314 和 121998。
-
从“Edge/网关已知问题”部分中移除了未解决的问题 53359,因为在 4.3.x 内部版本中解决了该问题。
2023 年 7 月 12 日。第六版。
-
在解决的 Edge/网关问题部分中添加了针对原始 Edge 内部版本 R5200-20230530-GA 修复的问题 86994、90044、98223、101753、105433、110456、106123 和 116086。在第一版发行说明中错误地遗漏了这些问题。
-
在解决的 Orchestrator 问题部分中为原始 Orchestrator 内部版本 R5200-20230530-GA 添加了修复的问题 114546。第一版发行说明中错误地遗漏了此问题。
2023 年 7 月 5 日。第五版。
-
将 Orchestrator 上的防火墙日志添加到了 SD-WAN 的新增强功能列表中。第一版发行说明中错误地遗漏了此增强功能。
-
在“解决的 Edge/网关问题”部分中为原始 GA 内部版本添加了修复的问题 107317:
2023 年 6 月 26 日。第四版。
-
在“解决的 Orchestrator 问题”部分中添加了新的 Orchestrator 汇总内部版本 R5201-20230623-GA。这是第一个 Orchestrator 汇总内部版本,也是 5.2.0 版本的新默认 Orchestrator GA 内部版本。
-
Orchestrator 内部版本 R5201-20230623-GA 修复了问题 112333、113254、115411、115624、116141、116790、117527、117800、117993、118071、118574、118673、119551 和 119733,这些问题均已记录在该部分中。
重要事项:
强烈建议使用内部部署 Orchestrator 5.2.0.0 内部版本的客户将其 Orchestrator 升级到 5.2.0.1。
2023 年 6 月 22 日。第三版。
-
在“解决的 Edge/网关问题”部分中添加了新的 Edge/网关汇总内部版本 R5201-20230619-GA。这是第一个 Edge/网关汇总内部版本,也是 5.2.0 版本的新默认 Edge/网关 GA 内部版本。
-
Edge/网关内部版本 R5201-20230619-GA 修复了问题 115150 和 117638,这两个问题均已记录在该部分中。
重要事项:
强烈建议使用 Edge 或网关 5.2.0.0 内部版本的客户将其 Edge 和/或网关升级到 5.2.0.1。
2023 年 6 月 7 日。第二版。
-
在解决的 Edge 和网关问题部分中为原始 Edge 内部版本 R5200-20230530-GA 添加了修复的问题 105933 和 109963。在第一版发行说明中错误地遗漏了这些问题。
2023 年 5 月 31 日。第一版。
解决的 Edge/网关问题
- Edge/网关版本 R5202-20230725-GA 中解决的问题
- Edge/网关版本 R5201-20230619-GA 中解决的问题
- Edge 和网关版本 R5200-20230530-GA 中解决的问题
Edge/网关版本 R5202-20230725-GA 中解决的问题
Edge 内部版本 R5202-20230725-GA 于 2023 年 7 月 31 日发布,它是 5.2.0 版本的第 2 个 Edge/网关汇总内部版本。
此 Edge/网关汇总内部版本解决了自第 1 个 Edge/网关汇总内部版本 R5201-20230619-GA 以来存在的以下严重问题。
-
修复的问题 106865:对于使用 Edge Network Intelligence 服务并针对企业激活分析的客户,他们可能会发现非 IP 流量(例如,RADIUS 身份验证)被丢弃。
激活分析后,如果在 SD-WAN Edge 接口上收到非 IP 帧,Edge 可能会错误地将它们作为 Ipv4 分片进行处理,并导致分片记录泄漏。随着时间的推移,这可能会导致所有分片处理停止,并且会丢弃所有此类数据包。对于使用 RADIUS 身份验证的客户,结果可能是所有 Edge 的身份验证同时中断。
在未使用已修复的内部版本的企业中,唯一的解决办法是重新引导所有 Edge。
-
修复的问题 117775:通过网关的非 SD-WAN 目标 (NSD) 可能会间歇性地进入以下状态:IPsec 隧道不断发生抖动(断开并重新建立)。
客户发现隧道启动几秒钟,关闭几秒钟,然后恢复启动,并循环往复,直到自行停止。由于这是一个与时间相关的问题,这种循环可能会重复几天,甚至可能无限重复。在启动具有大量 IKE 第 2 阶段连接的 NSD 隧道时,如果网关在某个 IKE 第 2 阶段连接完全启动之前尝试通过该连接转发流量,则会由于争用情况而出现该问题,从而导致整个隧道断开并重新建立,如此循环往复。
对于未使用修复了该问题的网关的站点:由于这是一个与时间相关的问题,可供选择的解决方法非常有限。一种可能的解决办法是,小批量配置 NSD 隧道,以使它们更快地进行协商,从而避免在隧道准备就绪之前将流量传输到隧道。
-
修复的问题 121368:VMware SD-WAN 网关可能会发生数据平面服务故障、生成核心文件并因此重新启动该服务。
此问题是由远程访问用户通过网关访问 Internet/云而触发的。如果 Internet/云端点使用需要分片的大型数据包进行响应,则在尝试对数据包进行分片时,网关服务将失败。
Edge/网关版本 R5201-20230619-GA 中解决的问题
Edge 内部版本 R5201-20230619-GA 在 2023 年 6 月 22 日发布,它是 5.2.0 版本的第 1 个 Edge 汇总内部版本。
该 Edge/网关汇总内部版本解决了自原始 GA 内部版本 R5200-20230530-GA 以来存在的以下严重问题。
重要事项:
强烈建议使用 Edge 或网关 5.2.0.0 内部版本的客户将其 Edge 和/或网关升级到 5.2.0.1。
-
修复的问题 115150:如果客户部署 Zscaler 类型的非 SD-WAN 目标 (NSD) 或云安全服务 (CSS),并且启用了 L7 运行状况检查,客户可能会发现一个或多个隧道由于 L7 运行状况检查失败而关闭。
可能会在主隧道或辅助隧道上遇到该问题。在 VMware SD-WAN 网关管理多个 L7 运行状况检查时,L7 运行状况检查探测引起的 NAT 泄漏导致 NSD/CSS 隧道故障;如果不重新引导网关,就无法从该故障中恢复。
-
修复的问题 117638:如果用户导航到“监控”(Monitor) >“Edge”>“链路”(Links),并为使用 5.2.0 版本的 VMware SD-WAN Edge 启用实时模式,SASE Orchestrator 不会提供任何实时统计信息。
此外,用户还会看到“正在等待 Edge...”(Waiting for Edge...) 指示,该指示最终将超时。在 Edge 上出现该问题的原因是,在将 LTE/USB 链路统计信息上载到 Orchestrator 时,5.2.0 Edge 内部版本处理这些信息的方式有问题。
Edge 和网关版本 R5200-20230530-GA 中解决的问题
Edge 和网关内部版本 R5200-20230530-GA 于 2023 年 5 月 31 日发布,解决了自 Edge 和网关内部版本 R5102-20230310-GA 以来存在的以下问题。
注:
版本 5.2.0 包含 5.0.0 和 5.0.1 发行说明中列出的所有 Edge 和网关修复,以及 5.1.0 发行说明中直到上面所列内部版本的所有 Edge 和网关修复。
-
修复的问题 48032:无法跟踪 VMware SD-WAN Edge 的磁盘读写统计信息以在发生磁盘故障时进行分析。
目前有一种方法可以跟踪 /velocloud/log 中写入磁盘的数据量,但数据缺乏精细度,因为它只跟踪写入的总体数据,而不是写入次数。该请求单会在远程诊断“系统信息”(System Information) 下添加“磁盘统计信息”(Disk Stats),以便在发生基于磁盘的 Edge RMA 时,VMware 工程部门可以参考这些统计信息。
-
修复的问题 54573:运行路由表转储时,输出可能会为某些已连接路由显示错误的衡量指标值。
出现此问题的原因是,Edge 服务没有从 Edge 内核收到有关添加接口路由的正确通知。
-
修复的问题 57170:在客户企业使用 BGP、专用链路和合作伙伴网关时,可能会遇到合作伙伴网关后面的客户端到 VMware SD-WAN Edge 后面的服务器的连接中断的情况。
Internet 流量使用 MPLS 网络,而不是 NAT 切换过程。
-
修复的问题 58244:使用 BGP 和合作伙伴网关的客户可能会发现,使用 PG 的流量存在连接问题。
这个问题由未安装 PSBR 路由所致,在查看路由表转储时可能会观察到此问题。出现该问题的原因是,在移除并重新添加网关时,丢弃了路由事件并显示错误“找不到分段 1 的路由队列”(route queue not found for segment 1)。
-
修复的问题 68748:将使用 Windows 操作系统的客户端设备连接到 VMware SD-WAN Edge 后,“发现新的客户端设备”(New Client Device Seen) 的事件报告显示错误的操作系统版本。
Edge 截断了 dhcp_fingerprints.json 文件中的描述,这导致客户无法获取这个已连接客户端设备的正确操作系统。
-
修复的问题 82808:对于使用云安全服务 (CSS) 并启用了 L7 运行状况检查的 VMware SD-WAN Edge,即使 VMware SASE Orchestrator 继续将隧道标记为“已启动”(UP),客户也可能会观察到使用这些 CSS 隧道的流量出现故障。
即使 L7 探测失败并显示 4XX HTTP 错误,VMware SD-WAN 网关也不会确认失败,而且也不会通知 Orchestrator 将 CSS 隧道标记为“关闭”(DOWN)。
-
修复的问题 84235:VMware SD-WAN Edge 可能会发生数据平面服务故障,并且需要重新启动才能恢复。
如果 Edge 正在释放分段 IKEv2 数据包(在启用了 PKI 的模式下),同时出现了隧道抖动,则可能会出现“双重释放”(double free) 状态并在 Edge 服务上触发异常,从而导致故障并重新启动。
-
修复的问题 86994:在激活了动态分支到分支的客户企业中,在尝试对该企业中的 VMware SD-WAN Edge 进行故障排除时,dispcnt 调试命令不起作用。
dispcnt调试命令未提供所有计数器值,该命令失败并显示Domain (null) does not exist。在引用 Edge 诊断包中的相关日志时,此命令也会失败。这极大阻碍了对客户网络问题进行故障排除。在激活了动态分支到分支的企业中,由于创建和断开了到每个对等体的大量隧道,将会出现该问题。用于存储对等体的各种衡量指标的计数器存储在共享内存中,随着时间的推移,这些共享内存分段会由于冲突而进入错误状态,因此
dispcnt命令无法获取计数器。如果未修复该问题,用户只能对受影响的 Edge 执行服务重新启动以清除该状态。
-
修复的问题 89332:如果 VMware SD-WAN Edge 的 /velocloud 目录已满或无法写入,则客户不会在“事件”中知晓这种状态。
客户只会注意到 Edge 未发布其他事件,并且可能会滞后数日才发现。将文件写入 /velocloud 目录时,会向 Orchestrator 报告事件。如果目录已满,或者磁盘出现问题以致其进入只读模式,则客户和 VMware 工程部门/支持团队无法知道这一点,因为没有事件或日志记录就此发出警告。
针对此问题的修复添加了一个写入到不同文件夹的新日志条目,以清楚地指示正在发生的事情,该条目类似于以下内容:
-
edge:b1-edge1:~# cat /var/log/log_eventgen.log
-
2023-05-19 13:03:46,628 Unable to create event save file: [Errno 30] Read-only file system: '/velocloud/events/client/event.1684501426626.mgp7kfvg'
-
2023-05-19 13:03:46,634 events.EventPackage failure, queing to MGD
-
-
修复的问题 90044:如果为 VMware SD-WAN 网关配置了 ICMP 探测并重新启动网关,则 ICMP 探测不会恢复,而是保持关闭状态。
在网关重新启动后,
debug.py --icmp中的 ICMP 探测状态显示为“关闭”(DOWN)。在未修复该问题的网关上,解决办法是停用 ICMP 探测,然后重新激活该功能。
-
修复的问题 92142:在 VMware SD-WAN Edge 后面的设备尝试通过配置了 VLAN 或子接口的路由接口与直接连接到 Edge 的设备进行通信时,通信可能会失败。
在路由接口上配置 NAT 直接时,应使用路由接口的 IP 地址对通过该接口直接发送的所有流量(在底层网络上)进行转换。但是,当路由接口是子接口或使用 VLAN 时,不会对流入和流出与路由接口位于同一子网中的其他 IP 地址的流量应用 NAT。如果目标的距离为一个或多个跃点,则不存在这种缺陷,因为 Edge 不会强制执行 NAT 直接并且流量会正常工作(请参阅下面的“注意”,了解 Edge 使用固定版本后的影响)。
注:在配置了 VLAN 或子接口的主接口上,旧版本的 SASE Orchestrator 可能会无意中配置了 NAT 直接。如果该接口将直接流量发送到一个或多个跃点之外,客户永远不会发现问题,因为系统不会应用 NAT 直接设置。但是,当 Edge 升级到 5.2.0 及更高版本并且修复此问题后,路由行为会发生更改,因为以前版本中未实施此特定用例。
换句话说,由于 5.2.0 Edge 现在以预期方式对所有用例实施 NAT 直接设置,因此先前可以正常工作的流量(因为没有对每个缺陷应用 NAT 直接)现在可能失败,这是因为客户从未意识到系统针对配置了 VLAN 或子接口的接口进行了 NAT 直接检查。
因此,将其 Edge 升级到版本 5.2.0 或更高版本的客户应当首先检查其配置文件和 Edge 接口设置,以确保仅在明确要求时才配置 NAT 直接设置,并在不需要的地方停用此设置,特别是在该接口配置了 VLAN 或子接口的情况下。
-
修复的问题 92927:停用 VMware SD-WAN Edge 接口后,该接口仍存在与已连接设备的链路。
当通过 Orchestrator 选择停用接口时,将从 Edge 的 DPDK 控制中移除该接口,并将其置于 Edge 内核驱动程序的控制之下。但是,执行此转换的脚本会在接口上设置内核管理,因此,如果接口已连接,它将尝试与连接的设备自动协商。
-
修复的问题 92400:在配置了高可用性拓扑并且 Edge 接口配置了子接口的客户站点上,在进行 HA 故障切换后,备用 Edge 需要较长的时间来进行融合。
没有从子接口发送无故 ARP 和下一跃点 ARP,这会导致融合时间超过预期时间。
-
修复的问题 93965:VMware SD-WAN Edge 可能会发生数据平面服务故障、生成核心文件并重新启动以进行恢复。
检查内核时发现 Edge 服务退出并显示 SIGXCPU 信号。Edge 操作系统具有一个 Unix 套接字,用作线程之间接口事件通信的队列。出现此问题的原因是套接字深度过小,从而导致线程阻塞并发出 SIGXCPU 信号。
-
修复的问题 95399:当 VMware SD-WAN Edge 的路由接口以物理方式插入或拔出时,用户不会在 VMware SASE Orchestrator 上观察到“EDGE 接口启动”(Edge Interface Up) 和“EDGE 接口关闭”(Edge Interface Down) 事件。
该问题可追溯到首次添加到 Edge 版本 4.5.1 并包含在之后每个版本(5.0.x、5.1.x)中的 dhclient。Dhclient 未配置为将接口启动和关闭事件发送到 Orchestrator。
-
修复的问题 95950:在用户配置 VMware SD-WAN Edge 的接口设置时,如果配置了 128 个分段,Edge 可能会发生数据平面服务故障,生成核心文件并重新启动。
如果为 Edge 配置了 128 个分段,应用 iptable 规则需要花太多时间才能完成,这会导致互斥监控器异常和 Edge 服务故障。
-
修复的问题 95850:在使用 OSPF 的客户企业中,当用户为 VMware SD-WAN Edge 生成诊断包时,OSPF 路由可能会在诊断包生成期间抖动,从而导致客户流量中断。
在生成诊断包的过程中,将运行命令 vcdbgdump -r remote-routes 和 vcdbgdump -r remote_routes。由于在客户环境中需要 40 多秒来运行这些命令,因此不会处理已排入事件调度程序线程队列的 OSPF hello 数据包。因此,OSPF 邻居关系会出现抖动,从而导致网络中断。
在未修复该问题的 Edge 上,客户不生成诊断包(维护时段除外),或者与 VMware SD-WAN 支持部门联系以生成诊断包,因为他们使用内部工具以暂时防止出现该问题。
-
修复的问题 96710:如果客户站点配置了高可用性拓扑,并且为 HA Edge 接口启用了信号丢失 (LoS) 检测,那么当活动 Edge 接口上的连接断开并降级为备用 Edge,并且稍后恢复了接口连接时,备用 Edge 检测不到已还原的连接。
如果 Edge 在处于活动状态时由于在接口上检测到 LOS 而变为备用状态,那么即使在 Edge 处于备用状态一段时间后恢复了连接,SD-WAN 也检测不到已还原的连接,因为无法在备用 Edge 上执行 LOS 监控。根据上次已知的 LOS 状态,仍认为该接口处于关闭状态。
在未修复该问题的 HA Edge 上,强制的 HA 故障切换会导致备用(现在为活动)Edge 通过 ARP 探测其接口是否恢复连接。
-
修复的问题 97953:操作员或合作伙伴用户无法通过选项来清除 VMware SD-WAN 网关上的 ARP 缓存。
在使用 5.2.0 或更高版本的网关上,用户可以选择使用命令 debug.py --clear_arp_cache 来清除其 ARP 缓存。
-
修复的问题 98223:如果在 VMware SD-WAN Edge 上激活了 Edge Network Intelligence 分析,Edge 可能与 VMware SASE Orchestrator 断开连接,并导致 Orchestrator 在 Orchestrator UI 上将 Edge 标记为关闭。
如果激活了分析,Edge 和分析后端的通信有时与 Edge 和 Orchestrator 的通信混合在一起。这会导致与 Orchestrator 的通信中断,从而导致 Orchestrator 声明 Edge 已关闭,而实际上 Edge 并未关闭。
-
修复的问题 98359:如果客户为同时使用子接口的 Edge 接口启用了信号丢失 (LoS) 检测,则 LOS 检测不到子接口上的连接故障。
在先前版本中,子接口不支持 LoS 检测,因此检测不到子接口上的连接断开情况。
-
修复的问题 98634:对于具有多个链路的 Edge,在查看“Edge”>“监控”(Monitor) >“传输”(Transport) 时,用户可能会发现两个链路的链路衡量指标存在差异。
导致此问题的原因是,WAN 链路的逻辑 ID 在多个 Edge 之间重复,从而导致该链路的统计信息不准确。
-
修复的问题 98694:如果客户企业配置了冗余静态路由,在主路由关闭时,未通告备用路由并丢弃流量。
当 VMware SD-WAN Edge 上的接口关闭时,即便通过该接口的备用路由现在无法访问,也不会向 VMware SD-WAN 网关通告这些备用路由。即使 Edge 上的前缀拥有通过其他接口的备用路由,网关中也不存在该前缀的路由。导致此问题的原因是,SD-WAN 服务在处理接口关闭事件时没有检查是否存在可访问的备用静态路由,就发送了路由删除命令。
-
修复的问题 99193:对于配置为分支 Edge 并主动使用 IPv6 的 VMware SD-WAN Edge,如果该 Edge 正在运行版本 5.x 并降级到版本 4.5.x 或更低版本,则发送到分支 Edge 的 IPv6 流量将被丢弃;如果存在备用 IPv6 路由,则流量不会流向这些备用路由,而是继续流向已降级的分支 Edge,但流量会在那里被丢弃,进而导致数据包丢失。
如果分支 Edge 从 5.x 降级到 4.5.x 或更低版本并关闭,则 Hub Edge 从转发信息库 (FIB) 中移除将该分支 Edge 作为下一个跃点的 IPv6 路由,但在路由信息库 (RIB) 中保留这些路由。稍后,当降级的分支 Edge 启动时,Hub 会还原 FIB 中的 IPv6 路由,这会导致这些前缀的流量进入该分支 Edge 并在那里被丢弃。在失效的刷新定时器启动并在 5 分钟后刷新 v6 路由之前,此问题会一直存在。
-
修复的问题 99215:在 VMware SD-WAN Edge 型号 610、620、640 和 680 上,当用户停用 SFP1 接口或将其配置为交换接口时,SFP2 接口可能会停止接收数据包。
在这些 Edge 型号上,如果将 SFP1 配置为路由接口,并且用户选择停用 SFP1 或将 SFP1 重新配置为交换接口,SFP2 接口可能会停止接收数据包。
-
修复的问题 100010:对于使用专用 WAN 链路(配置了 IPv4 和 IPv6 地址)部署的 VMware SD-WAN Edge,当用户生成诊断包或运行远程诊断“列出路径”(List Paths) 时,Edge 可能会发生内存泄漏。
当流量流过专用链路时,SD-WAN 会先检查是否配置了 IPv4 地址,如果已配置,则会将该值保存到 JSON 文件中,然后 SD-WAN 会再检查是否配置了 IPv6 地址。如果存在 IPv6 地址,则 SD-WAN 会覆盖之前存储的值,然后再将其附加到 JSON 数组上,这会导致内存泄漏。Edge 处理的流量规模越大,在执行触发操作时内存泄漏就会越严重。
-
修复的问题 100172:VMware SD-WAN 网关可能会发生数据平面服务故障,生成核心文件并重新启动以进行恢复。
如果用户使用 SSH 通过网关访问 Edge,并且该 SSH 会话生成 FRAG_NEEDED ICMP 错误消息,则用户可能会遇到该问题。由于网关通过本地 gwd1 接口收到数据包,因此,pkt_in->skb->vc_sk->raw 为 NULL,并触发服务故障和生成核心文件。
-
修复的问题 100237:对于使用合作伙伴网关并且 PG 向 VMware SD-WAN 网关通告安全默认路由的客户企业,客户端用户可能无法直接从 Internet 下载文件。
完整的场景如下:Edge 使用多个 WAN 链路,配置了“安全默认路由覆盖”(Secure Default Route Override),并创建了将“网络服务”(Network Services) 参数设置为“直接”(Direct) 的业务策略。在此场景中,使用此业务策略的流量每次都可以选择不同的 WAN IP 地址,并且下载将会失败。
如果未修复此问题,用户必须通过将业务策略标记为“强制”(Mandatory) 来对其进行配置,以将所有流量限制到一个 WAN 链路。
-
修复的问题 100359:如果将 OSPFv2 出站筛选器配置为丢弃汇总路由,则 Edge 会继续通告这些路由。
即使在特定接口下 OSPF 的“路由通告”(Route Advertisement) 下配置了“忽略”(Ignore),也会通告 OSPFv2 路由。
-
修复的问题 101102:如果将最初分配给托管网关的 VMware SD-WAN Edge 重新分配给合作伙伴网关,则无法再通过网关使用 SSH 访问 Edge。
在重新分配给合作伙伴网关时,Edge 丢失 vce1 IP 地址,从而导致无法使用 SSH 通过网关进行访问。
在未修复此问题的 Edge 上,用户启动的 Edge 服务重新启动操作可以修复此问题。
-
修复的问题 101144:如果存在乱序的数据包,VMware SD-WAN 网关可能会遇到数据包泄漏问题。
运行 vcdbgdump -r dpdk-leak-dump 时,可能会出现这些泄漏问题,而且这些泄漏问题发生在 pkt_path_alloc 和 pkt_path_ooo 中。数据包滞留在 VCMP reseq 环队列中,因此得不到处理。
-
修复的问题 101753:VMware SD-WAN Edge 可能在 VMware SASE Orchestrator 上显示为脱机,即使它们已启动并正在传输流量。
出现该问题的原因是,Edge 继续从不再可用的 IP 地址向 Orchestrator 发送流量,因此,将丢弃返回流量。
-
修复的问题 102607:如果 VMware SD-WAN Edge 使用通过网关或 Edge 的非 SD-WAN 目标,并且还配置了“NSD 上的 BGP”(BGP over NSD),则它可能会发生数据平面服务故障。
当 NSD 数据中心路由和 Edge 到 Edge 路由使用相同的前缀时,可能会遇到此问题。在此场景中,发送到数据中心并加密的数据包可能会到达 SD-WAN 管理隧道,这可能会导致内存泄漏,甚至出现服务故障。
-
修复的问题 102655:对于使用 BGP 的客户企业,非全局分段上的 BGP 不会在子接口上启动。
如果全局分段(主)接口和非全局分段子接口的 IP 地址相同,并且在主接口上配置了 WAN 覆盖网络,则会触发该问题。在 Edge 重新引导或服务重新启动后,很可能会遇到“BGP 未启动”问题。
在未修复此问题的 Edge 上,移除子接口 IP 地址和 BGP 相关配置,并使用唯一的 IP 地址重新进行配置。
-
修复的问题 102693:在配置了高可用性拓扑的站点上,在用户尝试确定 VMware SD-WAN HA Edge 使用的软件版本和出厂内部版本时,这些字段可能在 VMware SASE Orchestrator 上显示为空。
为一对 Edge 激活 HA 后,在出现初始检测信号时,Edge 可能不会将出厂软件版本和内部版本发送到 Orchestrator,因此 Orchestrator 无法显示这些版本信息。
-
修复的问题 103558:在使用 Edge Network Intelligence 的客户企业中,为 VMware SD-WAN Edge 激活分析功能后,ENI 仪表板可能会针对该 Edge 显示“未分配管理 IP (No Management IP Assigned)”。
如果启用了分析,在极少数情况下,Edge 不会将管理 IP 地址发送到 Edge Network Intelligence 后端。
-
修复的问题 103700:在客户具有大型部署的情况下,应用程序库中配置了 mustNotPerformDpi(不应执行深度数据包检查 (DPI))的应用程序仍会通过 DPI 进行分类。
应用程序分类错误可能会导致客户端用户无法访问应用程序或网站。
在应用程序分类快速数据库缓存中具有大约 8000 个条目的大型客户企业中,在查找应用程序时可能会发生冲突。如果发生冲突,即使为应用程序配置了 mustNotperformDpi,也会通过 DPI 对其进行分类。
在未修复此问题的企业中,解决办法是配置一个业务策略,其中使用应用程序或域的子网,通过“直接”(Direct) 或“Internet 回传”(Internet Backhaul) 引导流量。
-
修复的问题 103708:在 BGP 筛选器配置中添加新规则时,VMware SD-WAN Edge 可能会接收和发送意外的 BGP 路由。
从 Orchestrator 将新规则添加到 BGP 筛选器中时,会将前缀列表添加到 Edge 的路由配置中,但不会移除旧条目。该行为导致失效的路由前缀列表和意外的筛选行为。
-
修复的问题 103962:重新分发到 OSPFv3 或 BGPv6 的 IPv6 和 IPv4 连接路由具有不同的衡量指标,这可能会导致 IPv6 流量与 IPv4 流量的路由方式不同。
当前,安装了与路由接口对应的 IPv6 连接路由,这些连接路由的衡量指标与同一接口上的 IPv4 连接路由不同。这是因为 Edge 操作系统内核为 IPv4 和 IPv6 路由提供了不同的衡量指标。当这些路由重新分发到 OSPF/BGP 等动态协议时,IPv4/IPv6 衡量指标的这种差异也会随之传播。
-
修复的问题 104046:对于部署了高可用性拓扑的客户站点,VMware SASE Orchestrator 可能会将备用 Edge 显示为“启动”(up),而实际上它已关闭。
将在以下场景中出现该问题:HA Edge 之间的 HA 接口电缆断开连接,或者关闭了备用 Edge 电源。之所以出现此问题,是因为活动 Edge 的管理进程仅检查是否配置了 HA,而忽略了备用 Edge 的实际状态,这就导致在备用 Edge 关闭时,HA 活动 Edge 却发送了“活动”(Active) 状态。
-
修复的问题 110456:如果 ICMP 请求代码字段不为 0,从合作伙伴网关或云网关到直接连接的设备的 ICMP 探测可能会丢弃数据包。
根据供应商的不同,有些供应商可能会检查 ICMP 请求数据包的代码字段,如果该字段不为 0,则认为该字段不正确。
-
修复的问题 105433:对于使用增强型高可用性拓扑的站点,如果备用 Edge 上的 WAN 接口发生抖动,VMware SD-WAN HA Edge 可能在 VMware SASE Orchestrator 中显示为脱机。
在更改接口状态时,备用 Edge 没有将动态 IP 地址更新同步到活动 Edge,因此,HA Edge 站点和 Orchestrator 之间的连接失败。这仅影响管理流量,而不影响客户流量。
-
修复的问题 105440:如果将 DHCP 选项 43 的“数据类型”(Data Type) 设置为“文本”(Text),并将“值”(Value) 配置为以数字开头的文本字符串,将忽略该选项并报告错误。
该问题的一个典型示例是,选项 43 的“值”(Value) 配置为一个 IP 地址。用户会看到一个事件,并且系统显示消息
"messages" : "dhcp.py:527: Invalid value for option 43: <text string configured>, ignored"。 -
修复的问题 105492:不是发送到 VMware SD-WAN Edge L2 MAC 地址的 IPv6 L2 数据包被不必要地处理了,本来应该将其丢弃。
预期的结果是,应该丢弃单播发送到与 Edge 接口 MAC 不匹配的目标 MAC 的 IPv6 数据包。
-
修复的问题 105686:将 82599 SR-IOV 上的 VMware SD-WAN 网关升级到网关内部版本 5.0.1.2 后,无法启动 SR-IOV 网卡接口。
ixgbevf 驱动程序在运行内核 4.15.0-201-generic 的网关内部版本上不可用。Ubuntu 内核安全汇总版本(从版本 4.15.0.159 开始)具有来自主线内核的 Backports,内核头文件中现已提供 kb_frag_off,因此不需要 ixgbevf 驱动程序自己的 skb_frag_off 定义。
如果使用 82599 SRIOV 接口,操作员不应升级网关版本 5.0.1.2。
-
修复的问题 105933:用户无法使用 SSH 通过路由接口访问 VMware SD-WAN Edge 型号 610/610-LTE 或 520/540。
对于通过受影响 Edge 的操作系统使用的 af-pkt 驱动程序发起的重复 SSH 数据包,没有丢弃规则。因此,Edge 内核收到 2 个 SSH 数据包:一个是通过 vce1 接口收到的数据包,另一个是由于驱动程序特性而直接收到的 SSH 数据包。这会导致 Edge 内核回复 2 个 SSH 请求,从而使 SSH 客户端感到困惑并导致 SSH 失败。
对于未修复此问题的 Edge,用户可以添加 IP 表规则以丢弃从 vce1 以外的接口收到的 SSH 数据包。
-
修复的问题 106017:在 vSphere 上部署 VMware SD-WAN 网关 OVA 时,客户可能会遇到警告,指出虚拟机上未安装 VMware Tools,但实际上已安装 VMware Tools。
完整消息的内容如下:“GuestOS 中未安装 Tools。请安装最新版本的 open-vm-tools 或 VMware Tools 以启用 GuestCustomization。”(Tools is not installed in the GuestOS. Please install the latest version of open-vm-tools or VMware Tools to enable GuestCustomization.)这是一条虚假消息,因为实际在网关映像上安装了 Tools,但缺少版本属性,从而触发该错误。此虚假错误消息不会影响任何配置功能。
-
修复的问题 106225:在 WAN 链路关闭时,将从远程 VMware SD-WAN Edge 中清除与子接口相关的已连接路由和静态路由。
在通告子接口的已连接路由时,SD-WAN 会使用子接口 ID 代替数组索引。这会导致在错误的接口上检查通告标记。因此,远程节点缺少有关接口抖动的“添加/删除”事件。
在未修复此问题的 Edge 上,客户应在所有接口上配置通告以防止出现此问题。
-
修复的问题 106913:无法通过 VMware SD-WAN 网关上的 BGP 向“通过网关的非 SD-WAN 目标”通告 Hub 外部路由。
此问题是由从合作伙伴网关上的 BGP 继承的行为所致。切换 BGP 有意避免将 OSPF Hub 外部路由重新分发到 PG BGP 以避免环路,NSD BGP 从 PG BGP 中继承了该行为。
-
修复的问题 107114:如果从 VMware SASE Orchestrator 上的防火墙设置中停用了 VMware SD-WAN Edge 的串行控制台,用户可能会继续在串行控制台上看到常规消息。
即使从 Orchestrator 中停用串行控制台,SD-WAN 也不会禁止来自控制台的常规消息。此处的修复可确保 Edge 在防火墙设置中停用串行控制台时在串行控制台上仅打印关键消息(CRIT、ALERT、EMERG)。
-
修复的问题 107216:运行远程诊断“接口状态”(Interface Status) 时,输出显示的链路速度不准确。
如果选择某个接口以“关闭”自动协商,则该接口将不会再在搭载了 Silicon 驱动程序的 DPDK 下运行。DPDK 使用的新驱动程序是“af_packet”,它利用了底层内核驱动程序。在将 PCI 从 DPDK 解除绑定并重新绑定到内核后,不会设置新的手动速度。因此,在运行“接口状态”(Interface Status) 使用的 ethtool 调试命令时,链路速度不准确。
-
修复的问题 107309:当客户在 4.x Orchestrator 上为通过 Edge 的非 SD-WAN 目标配置 L7 运行状况检查,并将 Orchestrator 升级到版本 5.x 时,如果客户尝试修改 L7 探测重试值,则 Edge 不会应用新值。
例如,如果 L7 运行状况检查探测重试值为 3(3 次探测失败后隧道被标记为关闭),并且客户将此值更改为 1,则在隧道被标记为关闭之前,L7 运行状况检查将继续使用原始重试值 3。
-
修复的问题 107317:如果客户使用 SNMP 并且服务器位于 Internet 中,SNMP 遍历可能在某些 VMware SD-WAN Edge 接口上成功,但在其他接口上由于超时而失败。
在 SNMP 遍历失败时,SNMP 请求进入一个接口,但从另一个接口退出,这些响应数据包永远不会到达 SNMP 服务器。该问题是由 Edge 错误地对 SNMP 流量进行分类引起的,无论用于接收的接口如何,它都会将这些数据包转向不同的接口以发送响应数据包,因此,SNMP 遍历在 Edge 指定用于 SNMP 响应的接口上正常工作,但在所有其他接口上失败。
-
修复的问题 107708:在配置了“SD-WAN 覆盖网络速率限制”(SD-WAN Overlay Rate Limit) 的 VMware SD-WAN Edge 上,当下游流量从 Internet 流向 Edge 时,SD-WAN 网关可能不完全遵循该限制。
从 Internet 流向 Edge 的流量速率不完全受所配置网关的限制。SD-WAN 覆盖网络速率限制超出了若干 Mbps。发生此问题的原因是,在计算速率限制时,未考虑网关中的 VCMP(管理)开销。
-
修复的问题 107994:置备具有特权的 Secure Access Edge 用户后,与高可用性相关的操作(例如,从 Orchestrator 运行远程诊断“HA 信息”(HA Info))以及登录到对等 HA Edge 都会失败。
置备具有特权的 Secure Access Edge 用户后,就会完全阻止 root 帐户。导致此问题的原因是,HA 操作依赖于以 root 身份与对等 Edge 通信。这会导致事后执行的所有 HA 操作都不起作用。
在未修复此问题的一对 HA Edge 上,客户将需要切换回基于密码的身份验证,并删除所有具有特权的 Secure Access Edge 用户,或者将他们更改为基本用户。
-
修复的问题 108374:对于使用动态分支到分支且配置了 LAN 端 NAT 规则的客户企业,更改路由可能会导致流向远程 LAN 的流量失败。
在更改路由(例如动态分支到分支隧道)时,可能无法正确重新计算现有流量的 LAN 端 NAT,这会导致这些流量中断,从而影响传输到对等 Edge LAN 子网的流量。
-
修复的问题 108473:VMware SD-WAN 网关可能会发生数据平面服务故障、生成核心文件并重新启动以恢复该服务。
网关可能会出现序列号溢出的情况,这会触发删除所有 SA(IPsec 安全关联)的操作。如果尝试删除所有 SA,网关进程会尝试根据隧道 ID 查找隧道,但该隧道不存在,从而导致网关服务失败。
-
修复的问题 108610:对于启用了防火墙的客户企业,如果将 Edge 从 3.x 版本升级到 4.x 版本,则防火墙会阻止以前未被阻止的流量。
如果 Orchestrator 按照从 3.4.4 升级到 4.0.0,然后升级到 4.0.2,最后升级到 4.2.2,在连接到该 Orchestrator 并从 3.4.4 Edge 版本升级到 4.2.2 Edge 版本的 Edge 中未反映地址组配置。这是因为 Edge 需要在 3.4.4 和 4.2.2 中使用不同版本的地址组 JSON 文件,在进行配置更改之前,按照上述顺序升级的 Orchestrator 没有将新格式的 JSON 文件发送到 Edge。因此,地址组配置不起作用。
-
修复的问题 108982:对于配置了“ICMP 探测”(ICMP Probes) 的 VMware SD-WAN Edge,客户可能会发现“ICMP 探测”(ICMP Probes) 停止工作并处于“初始化”(INIT) 状态。
ICMP 探测定时器可能已损坏,从而导致探测状态机停滞在“初始化”(INIT) 状态。定时器损坏是由在多个线程尝试添加/移除/终止使用定时器时发生争用情况所致。
-
修复的问题 109500:如果 LAN 端 NAT 使用相同的内部和外部定义,则将丢弃直接流量的第一个数据包。
导致此问题的原因是,对于初始 LAN 端 NAT 转换和直接 NAT 转换,原始 NAT 表中的匹配信息相同。这就导致表中出现冲突,进而导致丢弃第一个数据包。
-
修复的问题 109511:如果 VMware SD-WAN Edge 达到了最大隧道计数,则 EDGE_TUNNEL_CAP_WARNING 事件可能不会显示在 VMware SASE Orchestrator 上。
如果这个问题是在 24 小时内首次出现,则 Edge 不会向 Orchestrator 发送隧道上限警告消息。
-
修复的问题 109963:用户无法通过 SSH 访问 VMware SD-WAN 虚拟 Edge。
所有虚拟 Edge 类型(Azure、AWS 等)都会受到该问题的影响。在尝试通过 SSH 进行访问时,虚拟 Edge 收到两个 SSH 数据包,这导致 Edge 内核回复两个 SSH 请求,从而使 SSH 客户端感到困惑并导致 SSH 失败。
-
修复的问题 110473:对于使用 BGP 的客户企业,在移除 BGP 邻居时,会暂时接收/发送意外路由,并且流量可能与错误的业务策略匹配。
从 Orchestrator 中移除 BGP 邻居时,先移除与其关联的入站/出站路由映射,然后才会从 Edge 路由配置中移除该邻居。这会导致这些路由映射所拒绝的路由暂时被泄漏。如果流量是使用泄漏的路由创建的,这反过来会影响业务策略行为。
在未修复此问题的 Edge 上,用户可以运行远程诊断“刷新流量”(Flush Flows) 来修复此问题。
-
修复的问题 110484:如果路径与已禁用路径 MTU 发现的 WAN 链路相关联,客户可能会在 Orchestrator 的“Edge”>“监控”(Monitor) >“路径”(Paths) 页面上观察到不正确的路径状态。
在检查同一路径的 Edge 端点的监控 (Monitor) > 路径 (Paths) 时,客户还可能会观察到该路径存在两个不同的路径状态。出现此问题的原因是,路径 MTU 发现链路配置不起作用。这主要是自动发现的 WAN 覆盖网络的问题。配置通常在配置更新功能中进行处理,因为 Edge 会为这些类型的链路触发 Orchestrator 的链路配置。在更新调用期间缺少对 PMTU 配置的更新,从而导致此问题。
-
修复的问题 111073:使用 4.5.1 版本的 VMware SD-WAN Edge 可能会向 SNMP 报告错误的接口速度。
ifSpeed 是一个 32 位值,如果它无法容纳 Edge 给定的速度值(以位/秒 (bps) 为单位),则建议引用 ifHighSpeed(它提供的值以 Mbps 为单位)。
-
修复的问题 111162:在使用合作伙伴网关并以高可用性模式部署 Edge 的客户企业中,如果选择通过辅助合作伙伴网关的 PG 路由作为最佳路由,则 HA Edge 的路由可能欠佳。
在 HA Edge 中,如果存在 A-A 或 A-S 转换,就有可能将来自辅助合作伙伴网关的 PG 路由的顺序值设置为 4,这样该路由将成为最佳路由。通常,主合作伙伴网关路由具有更大的顺序值。
-
修复的问题 111314:在激活了动态成本计算的客户企业中,可能会出现流量丢弃情况。
如果其中一个 Edge 在脱机之前向企业中的所有 Edge 通告更具体的路由,则可能会出现此问题。在该 Edge 处于脱机状态后,将在“可访问性”(Reachability) 为 False 的所有其他 Edge FIB(转发信息库)中保留这些路由,这会导致丢弃数据包。
在未修复该问题的 Edge 上,用户可以通过 Orchestrator 上的“远程操作”(Remote Actions) 菜单手动重新启动 Edge 服务来修复该问题。
-
修复的问题 111646:CPU 负载较高的 VMware SD-WAN 网关可能会发生数据平面服务故障,并且需要重新启动才能恢复。
用户查看网关生成的核心时,会看到 Mutex 监视器异常和消息“程序被终止并返回信号 SIGXCPU,已超出 CPU 时间限制”(
Program terminated with signal SIGXCPU, CPU time limit exceeded message)。该问题与释放较低优先级线程锁定的网关进程有关。 -
修复的问题 111840:对于将超过 8 个 VMware SD-WAN Edge 配置为 Hub 的客户企业,用户可能会观察到由于非最佳路由而导致流量性能下降。
如果为分支 Edge 配置了多个 Hub Edge,通过 Hub 的路由优先于分支到分支直接路由,从而导致路由不是最佳的。
在未修复该问题的 Edge 上,客户可以先配置 Hub Edge,然后再配置分支到 Hub 站点列表中的 VPN Hub Edge。
-
修复的问题 111888:如果 VMware SD-WAN 网关部署了 4 个内核并且连接了超过 2000 个隧道,则该网关可能会遇到 CPU 使用率过高的问题,并且连接到该网关的隧道可能不稳定。
其中一个网关线程在 4 核网关中占用了过多的 CPU 容量,这会使网关无法保持隧道稳定。
-
修复的问题 111924:客户可能会注意到,即使连接到网关的 VMware SD-WAN Edge 隧道已启动且处于稳定状态,跨所有站点的多路径流量(即,经过 VMware SD-WAN 网关的流量)仍会被丢弃。
网关可重新传输 VCMP 数据包(SD-WAN 的管理协议)的最大次数是没有限制的,这种重新传输可能会使低带宽链路不堪重负。当 Edge 具有低带宽链路时,由于重新传输的速度不够快,这些重新传输还会导致数据包在调度程序上堆积。最终,调度程序队列会变满,并导致调度程序丢弃来自所有 Edge 的数据包。不使用网关的直接流量将不受此问题影响。
在未修复此问题的网关上遇到此问题时,唯一的修复方法是:操作员用户使用 debug.py --qos_dump_net 命令识别导致数据包在调度程序上堆积的 Edge,并在受影响的网关中阻止这些 Edge。
-
修复的问题 111935:配置为 Hub 的 VMware SD-WAN Edge 可能不会学习来自远程站点的路由。
当两个 Edge 作为 Hub 相互指向对方时,其中一个 Edge 可能会学习另一个 Edge 的路由。
在未修复此问题的 Edge 上,客户可以通过中断网格 Hub 配置来解决此问题,并将所有 Hub Edge 都放在一个仅激活了云 VPN 的配置文件中。
-
修复的问题 112016:启动网关重新启动后,VMware SD-WAN 网关可能会发生多个数据平面服务故障,并生成核心文件。
检查核心文件时,操作员会发现每个故障都是由互斥监控器问题触发的。对于管理 VCMP(SD-WAN 的管理协议)的线程来说,处理的时间明显增加。在网关启动期间,这会导致 VCMP 线程长时间(超过 60 秒)以 100% 使用率持续运行,从而导致多个互斥监控器相关的网关服务出现故障。
-
修复的问题 112017:操作员可能会观察到部署了 4 个内核的 VMware SD-WAN 网关负载较高,从而导致一个或多个数据平面服务出现故障。
网关核心日志将指向触发服务故障的互斥监控器。多个请求单消除了上述症状,此处出现该问题的原因是,VCMP(管理协议)线程最大限度利用 4 核网关的 CPU 进程,从而触发互斥监控器。此请求单增加了允许操作员用户将 VCMP 半开连接限制配置为 20 的功能。此操作可以使用 debug.py 通过网关的命令行界面 (CLI) 来完成,也可以通过静态配置文件完成。
-
修复的问题 112019:CPU 负载较高的 VMware SD-WAN 网关可能会发生数据平面服务故障,并且需要重新启动才能恢复。
与 5.1.0.3 汇总内部版本中的其他网关服务故障请求单一样,操作员或合作伙伴会在核心文件中观察到互斥监控器触发器。在此请求单中,修复操作是将 NAT 调试日志移至 NAT 表锁定范围之外,以防止出现导致此问题的其中一个原因。
-
修复的问题 112020:当部署了 4 个内核的 VMware SD-WAN 网关出现较高的 CPU 负载时,可能会发生数据平面服务故障,并因而重新启动。
查看网关核心文件时,用户观察到 Mutex 监视器故障,这是由网关进程无法运行所致,因为 CPU 由于隧道计数高而以最大容量运行。
-
修复的问题 112452:客户可能会发现,配置了高可用性的 VMware SD-WAN Edge 在其 WAN 接口上遇到了 L2 环路。
将接口从交换接口更改为路由接口后,origmacs 文件中的 MAC 地址出现问题。如果在该文件中存储接口的虚拟 MAC 地址,或者在该文件中没有存储接口的原始 MAC 地址,则 Edge 使用虚拟 MAC 地址发送 WAN 检测信号,从而导致检测到 L2 环路。
在未修复此问题的 HA Edge 上,解决办法是让支持团队删除 origmacs 文件,然后先重新引导备用 HA Edge,接着再重新引导活动 HA Edge。
-
修复的问题 112800:使用 VMware SD-WAN 网关的客户可能会遇到性能不佳问题,包括隧道和路由聚合时间过久的问题。
查看网关的监控时,用户会观察到由于网关无法刷新失效的流量调度程序流量,数据平面内核 (dp-cores) 以 100% 使用率运行。
-
修复的问题 112882:在将 VMware SD-WAN Edge 升级到版本 5.1.0.3 后,SNMP 可能会在 Edge 上停止工作。
对 SNMP SegNat 表中的条目进行更改时,没有对应的“更新”(Update) API 调用。这会导致相应的目标 IP 地址/端口停滞。
-
修复的问题 113153:对于部署了高可用性拓扑的客户企业,在重新启动或重新引导备用 Edge 时,具有活动角色的 VMware SD-WAN Edge 可能会发生数据平面服务故障,从而触发 HA 故障切换。
在活动 Edge 发生数据平面服务故障时,还会触发 HA 故障切换。在 HA 站点转发大量流量时,可能会遇到该问题。
-
修复的问题 114004:如果在 Edge 上配置了 SNMP,则客户可能会发现 VMware SD-WAN Edge 发生了内存泄漏。
尽管 Edge 内存泄漏的速度缓慢,但如果未及时解决这个问题,则内存使用率将达到严重级别,从而导致 Edge 防御性地触发服务重新启动以清除内存。当 Edge 恢复时,该重新启动可能会将客户流量中断约 15-30 秒,如果未修复此问题,则内存泄漏将会重新开始。
-
修复的问题 114052:VMware SD-WAN 网关可能会发生数据平面服务故障、生成核心文件并因此重新启动该服务。
出现该问题的原因是,网关 IPsec 进程中的线程超时并触发网关服务故障。
-
修复的问题 114084:对于已为 VMware SD-WAN Edge 配置了 Zscaler 类型的云安全服务 (CSS) 和 L7 运行状况检查的客户,在 VMware SASE Orchestrator 上更新 Zscaler 云服务器时,更新的详细信息不会应用于 Edge。
尽管 Orchestrator 会显示新的 Zscaler 云服务器配置,但 Edge 和网关仍会通过旧 Zscaler 服务器而不是此新服务器发送流量或 L7 探测。
-
修复的问题 114282:重新启动部署了 4 个内核的 VMware SD-WAN 网关时,可能需要长达 20 分钟才能为连接的客户企业融合约 3000 个隧道。
预期结果是,网关应在大约 5 分钟内融合大约 3000 个隧道,而在本问题中观察到的时间为 20 分钟。在隧道完全恢复之前,较慢的速度会导致客户流量中断。融合速度较慢的原因可追溯到网关 IPsec 进程中的配置,该配置管理着使用此请求单更正的安全关联和密钥。
-
修复的问题 114511:对于自动发现的 WAN 链路,取消选中“路径 MTU 发现”(Path MTU Discovery) 选项将不起作用,并且 Edge 会继续执行该功能并调整 MTU 的大小。
在更新自动发现的链路期间将会处理此配置,但在更新配置期间不会处理路径 MTU 的这一特定配置。
-
修复的问题 114932:在连接到 VMware SD-WAN 网关时,用户可能会遇到流量性能降低的问题。
操作员用户可能会观察到网关的 CPU 占用率较高问题,即使将隧道计数限制在支持的范围内也是如此。高 CPU 占用率由于失效的 IKE SA(安全关联)在 IKE 表中保留时间过长所致,这会导致隧道需要较长时间才能聚合,进而导致大量流量丢弃和通过网关的客户流量路径不稳定问题。
-
修复的问题 115078:在具有约 16,000 名用户且 Hub Edge 上的流量创建速度约为每秒 2K 的大型客户企业中,用户可能会因为高延迟而遇到流量质量欠佳的问题。
在创建大量对等体启动的流量时,网关的深度数据包检查 (DPI) 引擎可能在 Hub Edge 上过载。导致此问题的原因是,端口缓存中填充的是这些对等体流量的源 IP 地址和端口号,而不是目标 IP 地址和端口号。
-
修复的问题 115132:对于使用 Edge 版本 5.1.0.2 的 VMware SD-WAN Edge,如果用户运行远程诊断“NAT 表转储”(NAT Table Dump),其结果可能为空值。
此问题会阻止用户在使用 5.1.0.2 版本的 Edge 上调试 NAT 问题。使用早期版本的 Edge 将按预期运行。
-
修复的问题 115692:操作员可能会观察到 VMware SD-WAN 网关中的内存使用量不断增加,这可能会导致内存耗尽并重新启动防御性服务以清除内存。
在这种情况下,通过对等站点续订证书的网关会发生 IKE 内存泄漏。
如果未修复该问题,操作员只能监控网关上的内存使用情况,并在维护时段内主动重新启动网关,以确保对使用网关的客户站点造成最短暂的中断。
-
修复的问题 116086:对于使用 5.0.x 或 5.1.x 版本(出厂映像预激活或后激活)的 VMware SD-WAN Edge,在使用本地 UI 时,不存在使用 VLAN ID 配置路由接口的选项。
如果 Edge 使用 5.0.x 或 5.1.x 出厂映像,或者,如果 Edge 已激活并使用 5.0.x 或 5.1.x 系列中的任何 Edge 版本,该问题会阻止用户在激活 Edge 之前在路由接口上配置 VLAN。只有 5.2.0 或更高版本的出厂映像才能在激活之前修复此问题。
-
修复的问题 106123:由于 DPI(深度数据包检查)引擎不是最新内部版本,VMware SD-WAN 可能会错误地对数据包进行分类。
在 Edge 或网关错误地对数据包进行分类时,这可能会给 SD-WAN 客户带来许多问题。该修复将 Edge 和网关的 DPI 引擎升级到最新的内部版本,这会确保 SD-WAN 服务以更高的准确度对客户流量进行分类。
-
修复的问题 116182:VMware SD-WAN 网关可能会发生数据平面服务故障、生成核心文件并因此重新启动该服务。
此问题出现在以下网关中:为连接的 SD-WAN Edge 配置了使用 IPv6 或 IPv4/IPv6 混合模式访问通过网关的非 SD-WAN 目标 (NSD) 的 Internet 回传策略。在此场景中,当网关收到发送到使用 IPv4 的 NSD 的 IPv6 数据包时,会触发网关服务故障。
-
修复的问题 116589:在将 VMware SD-WAN Edge 从版本 3.x 升级到 4.x 或更高版本时,可能会存在无法解析所配置的地址组的情况。
在版本 3.x 中,未提供用于设置 isakmpLifeMins 和 ipsecLifeMins 的配置。因此,当 Orchestrator 运行版本 3.x 时,它将发送不含 isakmpLifeMins 和 ipsecLifeMins 的 Edge 属性配置文件。
如果将 Orchestrator 升级到 4.x+,它将具有 isakmpLifeMins 和 ipsecLifeMins 字段,但没有将该配置推送到 Edge 3.x Edge。如果也将 Edge 从 3.x 升级到 4.x+,Edge 将开始使用上一个已知正常的配置(不包括 isakmpLifeMins 和 ipsecLifeMins)进行启动。
Edge 启动后,它会发现不存在必需参数 isakmpLifeMins 和 ipsecLifeMins,因此它会停止进一步处理 Edge 属性配置文件,这意味着,在此特定配置后,它将不会处理这些文件中的其他任何配置(如地址组)。因此,地址组配置不存在。
-
修复的问题 116641:VMware SD-WAN Edge 日志包含错误原因为“无”(None) 的路由查找失败日志。
如果流量传输失败,客户有时可能会看到错误原因为“无”(None) 的路由查找失败日志,这对问题的故障排除没有任何价值。该修复提供了实际原因,从而帮助用户解决问题。
例如,以前的故障日志如下所示:
20:40:41.796089,856|7|6825/10072|edged_ipv4_route_lookup_vcmp_transit:6880 Route lookup failure for tuple src_ip=10.0.1.25 dst_ip=169.254.6.18 segment_id=0 lookup failed due to [None]在 4.5.2 版本中,故障日志如下所示(粗体部分是更改内容):
04:07:35.464563,968|7|9720/1917413|edged_ipv4_route_lookup_vcmp_transit:6958 Route lookup failure for tuple src_ip=10.0.1.25 dst_ip=169.254.6.18 segment_id=0 sroute=(nil) droute=(nil) lookup failed due to [No src and dst route]
解决的 Orchestrator 问题
- Orchestrator 版本 R5204-20230831-GA 中解决的问题
- Orchestrator 版本 R5203-20230809-GA 中解决的问题
- Orchestrator 版本 R5202-20230729-GA 中解决的问题
- Orchestrator 版本 R5201-20230623-GA 中解决的问题
- Orchestrator 版本 R5200-20230529-GA 中解决的问题
Orchestrator 版本 R5204-20230831-GA 中解决的问题
Orchestrator 内部版本 R5204-20230831-GA 于 2023 年 9 月 1 日发布,它是 5.2.0 版本的第 4 个 Orchestrator 汇总内部版本。
该 Orchestrator 汇总内部版本解决了自第 3 个 Orchestrator 汇总内部版本 R5203-20230809-GA 以来存在的以下严重问题。
-
UI 内部版本 R5204-20231013-0631-GA 于 2023 年 10 月 13 日发布,它是添加到 Orchestrator 版本 5.2.0.4 中的第 5 个 UI 内部版本。
下表列出了此 UI 内部版本修复的所有问题以及针对每个问题的症状描述。
请求单
症状/描述
修复的问题 120419
如果不先检查“Edge 覆盖”(Edge Override) 并更改配置文件分配的地址数,用户将无法在 Edge 级别为 VLAN 设置 DHCP 起始地址。
修复的问题 123387
用户无法使用现有 IP 地址添加 Zscaler 通过网关的非 SD-WAN 目标 (NSD)。Orchestrator 的验证会阻止用户添加具有的主或辅助 IP 地址已在其他通过网关的 NSD 中使用的 Zscaler。
修复的问题 127035
在配置 (Configure) > Edge > 设备 (Device) > 高可用性下,创建集群 (Cluster) 并保存更改后,UI 页面将继续显示默认值无 (None),即使已成功创建集群也是如此。这是一个表面问题,刷新 UI 页面将显示正确的配置。
修复的问题 127636
在 VMware SASE Orchestrator UI 的监控 (Monitor) > Edge > 源 (Sources) 页面上,使用新 UI 时,用户无法正常按 FQDN 搜索源,这会阻止用户使用标准方法查找源。这包括没有按部分字符串搜索的选项。
修复的问题 #127774
在配置 (Configure) > Edge > 设备 (Device) > 连接 (Connectivity) > 环回接口 (Loopback Interface) 下,当用户为 Edge 配置环回接口并保存更改时,UI 不会抛出错误,但不会应用配置,并且配置不会显示在 UI 页面上。
修复的问题 #128371
在配置文件级别停用通过 Edge 的非 SD-WAN 目标或云安全服务(如 Zscaler)时,Orchestrator 应警告用户存在与 NSD/CSS 关联的业务策略,以便他们可以修改 Edge 级别业务策略。否则,当用户导航到 Edge 级别并编辑规则时,“通过 Edge 的非 SD-WAN 目标/云安全服务”(Non SD-WAN Destination via Edge/ Cloud Security Service) 字段将为空。
修复的问题 #128620
在查看配置 (Configure) > 设备 (Device) > VPN 服务 (VPN Services) 时,即使分支 Edge 连接到 Hub(可在监控 (Monitor) > 路径 (Paths) 下进行确认),配置文件和 Edge 也不会在新 UI 的“云 VPN”(Cloud VPN) 配置屏幕中显示已连接的 Hub。
修复的问题 129253
在服务设置 (Service Settings) > 警示和通知 (Alerts & Notifications) > 警示 (Alerts) > 通知 (Notifications) 下,用户无法停用“短信”(SMS) 作为通知方法,因为滑块按钮显示为灰色。
-
UI 内部版本 R5204-20231003-GA 于 2023 年 10 月 4 日发布,它是添加到 Orchestrator 版本 5.2.0.4 中的第 4 个 UI 内部版本。
下表列出了此 UI 内部版本修复的所有问题以及针对每个问题的症状描述。
请求单
症状/描述
修复的问题 117923
当用户置备 Edge 并在描述 (Description) 字段中输入文本时,Orchestrator UI 会将该输入的文本保存到自定义信息 (Custom Info) 字段中,在查看此新置备的 Edge 时描述 (Description) 字段则将显示为空。
修复的问题 123070
对于使用 Hub/分支拓扑的客户企业,在配置选择了“Internet 回传”(Internet Backhaul) 的业务策略时,用户没有选择“回传 Hub”(Backhaul Hubs) 的选项,因此回传无法用于该规则。
修复的问题 127037
当用户导航到监控 (Monitor) > Edge > 源 (Sources) 选项卡时,他们无法更改客户端的主机名。用户应当可以选择更改客户端的主机名,方法是单击编辑 (Edit) 图标并打开更改主机名 (Change Hostname) 框。虽然他们可以在“Change Hostname”(更改主机名) 字段下输入文本,但在单击保存更改 (Save Changes) 时,不会应用新的主机名。
修复的问题 128628
在管理客户 (Manage Customers) 页面上,无法正常下载 CSV 导出,客户获取此信息的唯一方法是使用 API 下载信息并将其转换为 CSV 格式。
修复的问题 128667
如果在 Orchestrator 上存在大量客户,或者在“合作伙伴”(Partner) 下具有大量客户,则管理客户 (Manage Customers) 或管理合作伙伴客户 (Manage Partner Customers) 页面可能需要长达一分钟才能加载。
-
UI 内部版本 R5204-20230927-GA 于 2023 年 9 月 28 日发布,它是添加到 Orchestrator 版本 5.2.0.4 中的第 3 个 UI 内部版本。
下表列出了此 UI 内部版本修复的所有问题以及针对每个问题的症状描述。
请求单
症状/描述
修复的问题 126967
在配置文件上激活 OSPF 后,路由接口的 OSPF 高级设置入站路由学习 (Inbound Route Learning) 和路由通告 (Route Advertisement) 无法访问,并且不显示任何用于输入所需详细信息的字段。
修复的问题 127006
当具有支持角色的操作员用户导航到 SD-WAN > 网络服务 (Network Services) 页面并单击某个通过网关的非 SD-WAN 目标时,他们可以选择单击 +新建 (+New) 以创建并配置新的 NSD。具有支持角色的操作员应在网络服务 (Network Services) 页面上拥有只读特权,而不能创建新的通过网关的 NSD。
修复的问题 127843
在本地化为意大利语后,UI 无法正确显示,从而导致某些导航选项卡相互重叠。
修复的问题 127849
Edge > 配置 (Configuration) > 概览 (Overview) 屏幕上的查看证书 (View Certificate) 按钮显示为灰色,无法单击,从而阻止用户查看 Edge 证书。如果未修复 UI,用户可以通过导航到配置 (Configuration) 选项卡上的 Edge 列表并搜索所需的 Edge 来查看 Edge 证书。
修复的问题 127871
网络概览 (Network Overview) 页面不会自动刷新,也不提供用于启用自动刷新的选项。因此,用户必须手动刷新该页面才能查看最新数据。
修复的问题 128277
当合作伙伴或企业本机用户(使用用户名和密码登录到 Orchestrator 的用户)尝试使用过期的密码登录时,UI 会进入循环并显示空白屏幕。
-
UI 内部版本 R5204-20230920-GA 于 2023 年 9 月 21 日发布,它是添加到 Orchestrator 版本 5.2.0.4 中的第 2 个 UI 内部版本。
下表列出了此 UI 内部版本修复的所有问题以及针对每个问题的症状描述。
请求单
症状/描述
修复的问题 106191
如果在配置文件级别为 Edge 接口配置了静态 IP 地址,则用户无法进行任何其他 Edge 更改
修复的问题 113254
由于特权限制,不允许合作伙伴用户为客户更改软件映像。
修复的问题 117941
VLAN“通告”(Advertise) 复选框始终显示为未选中状态。即使在选中 Angular UI 中的 VLAN“通告”(Advertise) 复选框后保存更改,该复选框也会恢复为未选中状态。
修复的问题 117993
当管理员尝试重置企业或合作伙伴用户的密码时,请求失败,并显示“用户没有访问所需的特权”(user does not have privileges required to access) 错误。
修复的问题 121469
在全局设置 (Global Settings) > 用户管理 (User Management) 页面上,用户始终会在用户概览页面上看到锁定警示横幅,即使用户可能已解锁并且可以登录也是如此。
修复的问题 126503
对于使用任何类型的通过网关的非 SD-WAN 目标 (NSD) 的企业,如果用户编辑 NSD 的 PSK 值并保存所做的更改,Orchestrator UI 会忽略该更改并恢复为原始默认值。
修复的问题 126257
当存在大量极高值时,监控 (Monitor) > Edge > 链路 (Links) 页面上的最高值对用户不可见。这是因为图表高度以前是使用较低的值求和的,从而使得图表不准确,并且无法与比例尺对齐。
-
UI 内部版本 R5204-20230914-GA 于 2023 年 9 月 15 日发布,它是添加到 Orchestrator 版本 5.2.0.4 中的第 1 个 UI 内部版本。
下表列出了此 UI 内部版本修复的所有问题以及针对每个问题的症状描述。
请求单
症状/描述
修复的问题 108125
在监控 (Monitor) > Edge > 应用程序 (Application) 页面上,当用户单击图表上的某个点以获取更多详细信息,然后再次单击图表时,详细信息窗口无法正常打开,并且在功能上不可用。
修复的问题 122918
对于使用分支到 Hub 拓扑的企业,当用户转到 UI 的配置 (Configure) > 设备 (Device) > VPN 服务 (VPN Services) > 云 VPN (Cloud VPN) 部分,并尝试更改分支到 Hub 站点 (Branch to Hub Site) 或分支到分支 VPN (Branch to Branch VPN) 设置时,系统会阻止用户,指出 Hub 正在使用中。如果业务策略中正在使用其他服务,并且 UI 在计算回传使用情况时错误地考虑了这些服务并阻止更改,则可能会遇到此问题。
修复的问题 123619
如果 Orchestrator 无法访问 Internet(例如,内部部署的 Orchestrator),则监控 (Monitor) > Edge > 概览 (Overview) 页面为空,不显示任何信息。
修复的问题 123927
在为 VLAN 配置 OSPF 后,用户可以为 Edge 停用被动接口 (Passive Interface) VLAN 设置,即使被动 OSPF 模式是唯一受支持的模式也是如此。
修复的问题 124801
当操作员用户将系统属性“Session.options.enableEdgeLicensing”设置为 False 时,用户仍需要先选择 Edge 许可证才能创建 Edge。将该系统属性设置为 False 时,合作伙伴控制的 Orchestrator 可以绕过 Edge 许可步骤(如果 Edge 置备过程不需要 Edge 许可证)。但是,由于存在此缺陷,用户仍必须选择许可证。
修复的问题 125309
当用户在 Edge 级别的配置 (Configure) > 设备 (Device) > IPv6 设置 (IPv6 Settings) 下停用 IPv6 时,仍可以编辑、激活和保存 IPv6 的 OSPF 选项。
修复的问题 125393
在配置文件级别查看配置 (Configure) > 设备 (Device) > VLAN 表时,缺少 OSPF 列。
修复的问题 125710
对于使用分支到 Hub 拓扑的企业,如果从企业中删除了云 VPN 中使用的 Edge,则用户稍后无法移除分支到分支 VPN (Branch to Branch VPN) 中使用的任何 Hub Edge,并且系统会阻止编辑设备设置。
修复的问题 126403
由于 5.2.0.4 软件映像存在一个问题,UI 可能无法加载合作伙伴概览 (Partner Overview) 页面。
修复的问题 127007
对于使用 Hub/分支拓扑的企业,当用户在配置文件的配置 (Configure) > 设备 (Device) 页面上更改任何设置时,Hub 顺序将自动更改为默认设置,从而影响使用该配置文件的所有 Edge。
-
修复的问题 65668:订阅了 Cloud Web Security 服务的客户在查看“网关分配”(Gateway Assignment) 页面时,无法看到哪些 VMware SD-WAN 网关将用于为 Cloud Web Security 分配的网关。
客户应该能够看到处理 Cloud Web Security 的网关(也称为 SASE PoP)的主要分配和辅助分配。
-
修复的问题 104775:用户将 VMware SD-WAN Edge 上先前活动的 WAN 链路配置为备份时,VMware SASE Orchestrator UI 在“监控”(Monitor) >“Edge”(Edges) >“概览”(Overview) 中无法正确显示状态。
状态应显示为“备用空闲”(Standby Idle) 并带有灰色状态圆点,而不显示链路类型或备份状态。这是一个表面缺陷,因为 WAN 链路将执行其作为备份的角色。
-
修复的问题 118728:在合作伙伴门户上或客户企业中,可能不允许某些用户登录到 VMware SASE Orchestrator。
用户可能会看到“用户没有访问 [enterpriseProxy/getEnterpriseProxy] 所需的特权 [READ:PROXY]”(user does not have privilege [READ:PROXY] required to access [enterpriseProxy/getEnterpriseProxy]) 错误,即使用户拥有正确的登录权限也是如此。本机身份验证和双因素身份验证会出现此错误。此错误实际反映了密码已过期,尽管 Orchestrator 没有让用户知道这是他们无法登录的真正原因,但用户无法重置其密码,因为他们无法登录。
在未修复此问题的 Orchestrator 上,具有适当角色的合作伙伴或客户管理员可以向受影响的用户发送密码重置电子邮件以重置其密码。
-
修复的问题 120398:合作伙伴用户无法为其管理的客户企业创建新的配置文件。
当合作伙伴用户尝试为其客户创建配置文件时,Orchestrator 抛出以下错误:“操作员配置文件的代理企业上下文无效”(invalid proxy enterprise context for operator profile)。任何具有配置特权的合作伙伴角色都会遇到此问题。
-
修复的问题 121118:企业用户无法选择在 VMware SASE Orchestrator 上生成诊断包或生成并下载数据包捕获。
所有企业用户角色(包括超级用户)均如此。预期的结果是,企业用户应当能够在 SD-WAN > 诊断 (Diagnostics) 下看到以下选项:
-
生成(但不下载)诊断包。
-
生成并下载数据包捕获。
但是,他们仅看到远程诊断 (Remote Diagnostics) 和远程操作 (Remote Actions) 的选项。
如果在未修复此问题的 Orchestrator 内部版本上遇到此问题,请联系 SD-WAN 技术支持团队以寻求帮助,他们会为您生成诊断包。
-
-
修复的问题 121526:不允许具有“企业只读”(Enterprise Read Only) 角色的用户在 VMware SASE Orchestrator UI 上查看“监控”(Monitor) >“Edge”(Edges) >“QoE”图表。
尝试查看 QoE 图表会导致出现错误横幅,内容为“用户没有访问 [event/getEnterpriseEventsList] 所需的特权 [READ:ENTERPRISE_EVENT]”(user does not have privilege [READ:ENTERPRISE_EVENT] required to access [event/getEnterpriseEventsList])。
-
修复的问题 122113:用户无法在 VMware SASE Orchestrator UI 的“事件”(Events) 页面上搜索事件“DNS_CACHE_LIMIT_REACHED”。
此事件将在触发时发布在客户企业的监控 (Monitor) > 事件 (Events) 页面上,但在尝试使用搜索功能时不会将其列为可搜索值。因此,用户无法查看此事件在任何时间段内发布的次数。
-
修复的问题 123002:升级 VMware SD-WAN Edge 可能会失败,因为软件只下载了一部分后连接便过早关闭。
导致该问题的原因是,VMware SASE Orchestrator 的下载超时值不正确,从而导致某些下载会话在下载完成之前关闭。此修复还原了正确的超时值,以确保下载完成。
-
修复的问题 123053:当用户配置 SNMP v3 名称时,VMware SASE Orchestrator UI 会拒绝任何包含非字母数字字符的名称,并显示错误。
在配置 (Configure) > 设备 (Device) > 遥测 (Telemetry) > SNMP 中配置 SNMP 版本 3 的名称时,Orchestrator 会拒绝非字母数字字符,例如 [@\'"/,#%&*(){}_=`:?[]§;|><]。这意味着将不会接受 User_23 等名称,并显示错误消息“此字段中不允许使用的字符”(Characters not allowed in this field),这限制了用户可用于 SNMP v3 名称的内容。
-
修复的问题 123150:对于使用高可用性拓扑的客户企业站点,在客户配置 VNF 并随后激活 VNF 插入时,VMware SASE Orchestrator 不会显示 VNF 插入成功,并且 VNF 状态也不会显示在 HA Edge 上。
出现此问题的原因是,Orchestrator 错误地将接口插入的 VNF 设置发送为 False 状态,即使具有在“配置”(Configure) >“Edge”>“接口设置”(Interface Settings) 中启用了“VNF 插入”(VNF Insertion) 的接口也是如此。由于该字段在 Orchestrator 配置中发送为 False 状态,因此 HA Edge 不会在任何接口上激活 VNF 插入。
在未修复此问题的 Orchestrator 上,解决办法是停用该站点的 HA 并将 Edge 转换为独立 Edge,然后重新配置每个 VNF,并激活 VNF 插入。配置成功后,您可以为站点重新激活 HA。或者,要在激活 HA 的情况下将 insertionEnabled 属性设置为 True,必须在“lan.networks”或“routedInterfaces”中启用 vnfInsertion 并将“部署状态”(Deployment State) 设置为 False。
-
修复的问题 123346:现有客户企业无法在 VMware SASE Orchestrator 版本 5.2.0 上激活“Orchestrator 的防火墙日志记录”(Firewall Logging to Orchestrator) 功能。
虽然 VMware 托管的 Edge 防火墙日志记录 (VMware Hosted Edge Firewall Logging) 已作为一项功能添加到版本 5.2.0 中,但在将 Orchestrator 升级到 5.2.0 之前创建的客户在升级后看不到启用此功能的选项。
-
修复的问题 123551:用户会发现,在为 VMware SD-WAN Edge Wi-Fi 接口创建或编辑密码时,Orchestrator UI 需要 10 个字符的密码,而它的密码应为 8 个字符。
10 个字符的要求是在 Wi-Fi 进程错误分类过程中,在 5.1.0 版本的 Orchestrator 中无意创建的,在此内部版本中已恢复为正确的 8 个字符。
-
修复的问题 123749:在将企业管理员或企业支持用户的角色自定义为可以在 VMware SASE Orchestrator UI 的“诊断”(Diagnostics) 屏幕上查看“诊断包”(Diagnostic Bundles) 选项时,他们无法执行该操作。
默认情况下,这些角色无法在 UI 上看到诊断 (Diagnostics) > 诊断包 (Diagnostic Bundles) 选项,但角色自定义可以为应添加“诊断包”(Diagnostic Bundles) 屏幕的任何角色添加对诊断包和 PCAP 的特权。
-
修复的问题 124073:如果用户使用具有 AES-256 加密的冗余网关隧道来配置通过网关的非 SD-WAN 目标,则备用冗余网关隧道将继续使用 AES-128 加密。
对于具有冗余隧道的 NSD,用户可以在 Orchestrator UI 上转到配置 (Configure) > 网络服务 (Network Services),然后将加密算法更改为 AES-256。根据 API 响应,用户会观察到冗余隧道继续使用 AES-128,此问题是由处理隧道加密更改的 API 存在的缺陷造成的。
-
修复的问题 124129:如果将控制增强型防火墙服务 (EFS) 可用性的系统属性设置为 True,则添加到 VMware SASE Orchestrator 的所有新客户企业都将默认激活 EFS。
在以前的 5.2.0 内部版本中,默认将系统属性 enterprise.capability.enableATP 设置为 True。将此属性设置为 True 后,用户会在检查默认启用了 EFS 的新客户企业的全局客户设置时观察到此问题。对于每个新客户企业,预期行为均为默认不激活 EFS,在这种情况下,他们需要明确激活此功能。
在 5.2.0.4 内部版本中已通过将 enterprise.capability.enableATP 属性默认设置为 False 更正此问题。
-
修复的问题 124273:操作员用户可能会发现,他们尝试将 VMware SASE Orchestrator 升级到 5.1.x 或 5.2.x 内部版本会失败。
遇到此问题时,日志将类似于以下内容:
- fatal: [vcoxxx]: FAILED! => changed=true
- ...
- UPGRADE - DEBUG - Starting VCO software update preinstall
- UPGRADE - WARNING - E: Unable to locate package linux-image-unsigned-x.x.x
- UPGRADE - WARNING - E: Couldn't find any package by glob 'linux-image-unsigned-x.x.x-xxx'
- UPGRADE - WARNING - E: Couldn't find any package by regex 'linux-image-unsigned-x.x.x-xxx'
- UPGRADE - WARNING - E: No packages found
- UPGRADE - ERROR - installer failed with return code 100.See /var/log/vco_software_update.log for details
- UPGRADE - WARNING - Verification key does not exist: xxx
-
修复的问题 124315:用户似乎可以选择在 Edge 级别编辑使用 Orchestrator UI 在配置文件级别创建的 BGP 筛选器。
虽然用户始终可以使用“Edge 覆盖”(Edge Override) 来覆盖 Edge 上的配置文件设置,但用户应该永远无法编辑实际的配置文件设置。在这种情况下,UI 向用户显示他们可以编辑从配置文件推送的 BGP 筛选器。这是一个表面缺陷,用户对配置文件 BGP 筛选器所做的任何操作都不会应用于该 Edge 或任何其他 Edge。
-
修复的问题 124778:当客户导航到“全局设置”(Global Settings) >“客户配置”(Customer Configuration) 时,他们看不到用于配置其安全策略的选项。
在安全策略 (Security Policy) 部分中,客户可以配置其 Edge IPsec 建议 (Edge IPsec Proposal),其中包括“加密”(Encryption)、“DH 组”(DH Group) 等。在经典 UI 上存在此选项,但在新 UI(版本 5.2.0 及更高版本 Orchestrator 的默认界面)上则缺少此选项。
-
修复的问题 124798:用户无法在 VMware SASE Orchestrator UI 上编辑 VMware SD-WAN Edge 的序列号。
对于已置备或已执行 RMA 但尚未激活的 Edge,用户将位于 SD-WAN > 配置 (Configure) > Edge > 概览 (Overview) 屏幕上,并且在 Edge 状态 (Edge Status) 下,会显示 Edge 的序列号 (Serial Number),但该序列号为只读文本且不可编辑。这是一个问题,因为某些客户在现场交付 Edge 之前并不知晓要激活的 Edge 序列号,他们需要选择编辑该字段以使其与交付的 Edge 保持一致。
-
修复的问题 125456:对于使用 VNF 的客户企业,如果用户尝试修改 Edge 设备配置,VMware SASE Orchestrator 会在尝试保存所做的更改时拒绝这些更改。
配置更改操作可能会如同向现有静态路由添加注释一样无关紧要,Orchestrator UI 不会在激活 VNF 的情况下保存更改。用户可能会在 UI 屏幕底部看到“脚本注入错误”(Script injection error) 横幅。
在未修复此问题的 Orchestrator 上,解决办法是暂时停用 VNF,然后保存配置更改。成功保存更改后,用户可以重新激活 VNF。
Orchestrator 版本 R5203-20230809-GA 中解决的问题
Orchestrator 内部版本 R5203-20230809-GA 于 2023 年 8 月 9 日发布,它是 5.2.0 版本的第 3 个 Orchestrator 汇总内部版本。
该 Orchestrator 汇总内部版本解决了自第 2 个 Orchestrator 汇总内部版本 R5202-20230729-GA 以来存在的以下严重问题。
-
修复的问题 121118:企业用户无法选择在 VMware SASE Orchestrator 上生成诊断包或生成并下载数据包捕获。
所有企业用户角色(包括超级用户)均如此。预期的结果是,企业用户应当能够在 SD-WAN > 诊断 (Diagnostics) 下看到以下选项:
-
生成(但不下载)诊断包。
-
生成并下载数据包捕获。
但是,他们仅看到远程诊断 (Remote Diagnostics) 和远程操作 (Remote Actions) 的选项。
-
-
修复的问题 121884:即使有关处理和存储防火墙日志文件的系统属性设置为 false,VMware SASE Orchestrator 仍可以继续处理和存储防火墙日志文件。
当系统属性 storage.firewall.logs.file.enable 设置为 false 时,Orchestrator 的预期行为是在全局级别停止处理和存储防火墙日志文件,任何客户企业都无法获取新的防火墙日志,不论其自己的企业级别设置如何。此属性作为一种工具,用于对可能与防火墙日志处理相关的 Orchestrator 性能问题进行故障排除。在 Orchestrator 版本 5.2.0.1 和 5.2.0.2 中,不遵循此设置。
-
修复的问题 122132:使用增强型防火墙服务的客户可能无法下载入侵检测系统 (IDS) 和入侵防御系统 (IPS) 功能的已更新定义。
该问题可追溯到 5.2.0 版本的操作员配置文件(不包括 atpMetadata 模块)。使用 5.2.0 操作员配置文件的 Edge 无法下载用于应用 IDS/IPS 的 IDPS 特征码包,因此无法从增强型防火墙服务获得预期的保护级别。
-
修复的问题 122797:用户无法在 Hub Edge 使用的配置文件上激活“启用分支到分支 VPN”(Enable Branch to Branch VPN) 设置。
在配置 (Configure) > 配置文件 (Profile) > 设备 (Device) > VPN 服务 (VPN Services) 屏幕上,Orchestrator UI 允许用户选中启用分支到分支 VPN (Enable Branch to Branch VPN) 框,但在尝试保存配置时,Orchestrator UI 会抛出错误“无法保存更改。配置中存在一个或多个错误 (Cannot save changes. There is one or more errors within your configuration)。”此错误不会告诉用户实际发生了什么错误。此问题仅出现在新 UI 上,即 5.2.x 版本的默认 UI。
-
修复的问题 123384:在访问 VMware SASE Orchestrator 上的“SD-WAN”>“配置”(Configure) >“Edge”页面或“SD-WAN”>“监控”(Monitor) >“Edge”页面时,如果用户添加筛选器以按操作员配置文件、配置文件或分析进行排序,该页面将无法返回任何结果并显示错误。
用户将看到一个页面,显示无法加载数据 (Failed to Load Data),如果他们打开浏览器的控制台,也会看到一个“API 错误”(API Error) 条目。
-
修复的问题 123609:如果 BGP 筛选器规则超过 10 条,则用户无法保存对 BGP 筛选器列表所做的更改。
用户在 Orchestrator 的 SD-WAN > 配置 (Configure) > 配置文件 (Profile)/Edge > 设备 (Device) > 路由和 NAT (Routing & NAT) > BGP 页面上添加 BGP 筛选器。如果用户向筛选器列表 (Filter List) 添加了足够多的新筛选器规则,使总数超过 10 条,则保存此配置的操作将失败,并且 Orchestrator UI 会显示错误消息“无法保存更改。配置中存在一个或多个错误 (Cannot save changes. There is one or more errors within your configuration)。”
出现此问题的原因是,新 UI(5.2.x 版本的默认 UI)在“BGP 筛选器规则”表中使用了不正确的索引,导致索引从分页的第二页才开始(11 条及更多条规则)。
Orchestrator 版本 R5202-20230729-GA 中解决的问题
Orchestrator 内部版本 R5202-20230729-GA 于 2023 年 8 月 2 日发布,它是 5.2.0 版本的第 2 个 Orchestrator 汇总内部版本。
该 Orchestrator 汇总内部版本解决了自第 1 个 Orchestrator 汇总内部版本 R5201-20230623-GA 以来存在的以下严重问题。
-
修复的问题 116666:具有超级用户角色的合作伙伴无法选择为其支持的某个客户企业激活“增强型防火墙服务”(Enhanced Firewall Service)。
在 VMware SASE Orchestrator 上导航到全局设置 (Global Settings) > 客户配置 (Customer Configuration) 时,合作伙伴超级用户应当可使用该选项。
-
修复的问题 117772:对于企业客户,在查看 VMware SASE Orchestrator 的“监控”(Monitor) >“网络概览”(Network Overview) 屏幕时,如果正在监控超过 10 个 WAN 链路,则可能不会在“链路状态”(Link Status) 屏幕中包含状态为“已降级”(Degraded) 或“关闭”(Down) 的 WAN 链路。
该问题是新 Orchestrator UI 所独有的,因为某个前端问题未考虑处于已降级 (Degraded) 或关闭 (Down) 状态的 WAN 链路。监控在经典 UI 上正常工作。
-
修复的问题 117822:当客户查看“监控”(Monitor)>“Edge”>“QoE”时,他们可能会发现 QoE 图形中存在空缺部分,而有关 Edge 的 WAN 链路的任何问题均未说明这一点。
出现空缺部分是 Orchestrator 数据库问题造成的,即缺少链路数据的内部作业队列,并且未回填链路数据。
-
修复的问题 118544:用户可能会发现未加载并且无法访问操作员配置文件,因此,无法将其分配给客户企业。
包含操作员配置文件的 Orchestrator 数据库存在问题;如果删除一个客户企业,则会将不正确的逻辑 ID 添加到配置模块中,从而导致无法加载操作员配置文件。
-
修复的问题 118733:如果使用 VMware SASE Orchestrator 的新 UI,且用户在配置文件级别配置业务策略或防火墙规则,然后在 Edge 级别覆盖该策略或规则,则用户在查看“配置”(Configure) >“Edge”>“列出 Edge”(List Edges) 屏幕时,不会为设备、业务和防火墙正确显示覆盖的 Edge 图标。
选中“Edge 覆盖”(Edge Override) 情况下的图标应显示为纯色,但在使用新 UI(5.2.0 版本的默认 UI)时显示为空。如果为特定类别配置了“Edge 覆盖”(Edge Override),经典 Orchestrator 可以将图标正确显示为纯色。
-
修复的问题 120070:对于使用 Zscaler 类型部署云安全服务 (CSS) 并激活了“自动部署云服务”(Automate Cloud Service Deployment) 的客户,如果用户转到“监控”(Monitor) >“网络服务”(Network Services) >“云安全服务”(Cloud Security Services) >“部署状态”(Deployment Status),将不会看到任何用于查看该 CSS 状态的选项。
此监控屏幕,尤其是部署状态 (Deployment Status),对于部署自动化 Zscaler CSS 的任何客户而言非常重要。
-
修复的问题 120606:在“客户”(Cutomer) >“全局设置”(Global Settings) >“用户管理”(User Management) >“新建角色”(New Role) 上尝试创建新角色时,他们会发现错误,并且不会加载特权。
在创建新角色时,如果遇到该问题,用户将会在 UI 页面上看到“方法错误”(method error),并且还会禁止加载特权。
-
修复的问题 120774:对于部署通过网关的非 SD-WAN 目标 (NSD) 的客户,在导航到“监控”(Monitor) >“网络服务”(Network Services) 或“配置”(Configure) >“网络服务”(Network Services) 并单击 NSD 时,用户可能看不到 NSD 隧道的 IKE 设置。
用户会发现以下错误:无法读取未定义的属性(指示“clearDontFragmentBit”),并且不会显示任何内容。
-
修复的问题 121441:当客户在 VMware SD-WAN Edge 的 VLAN 上激活“VNF 插入”(VNF Insertion) 时,Edge 会删除然后重新部署 VNF,从而使其无法供该 Edge 使用。
在 VLAN 上激活“VNF 插入”(VNF Insertion) 后,客户会在监控 (Monitor) > 事件 (Events) 页面上看到 VNF 删除和重新部署事件,同时还会收到一封电子邮件,显示消息“(VNF_VM_DELETED) / 在 Edge <Edge Name> 上删除了未知供应商 VNF (Unknown vendor VNF was deleted on the edge <Edge Name>)”。该问题可追溯到在 VLAN 上激活“VNF 插入”(VNF Insertion) 后,Orchestrator 发送了新的 UUID(通用唯一标识符)。Edge 会将此 UUID 更改视为删除并重新部署 VNF 的触发器,从而使其无法供该 Edge 使用。
此问题仅出现在新 UI 上,即 5.2.0 Orchestrator 的默认 UI。因此,在使用没有修复方案的此版本时,没有任何解决办法。
-
修复的问题 121472:为客户企业激活双因素身份验证 (2FA) 后,个别用户帐户没有自行停用 2FA 的选项。
如果为客户激活了 2FA,则应出现一个复选框选项,供任何用户在单击帐户详细信息时停用 2FA 或要求进行 2FA。此修复为 2FA 添加了一个切换选项,用于明确该用户的 2FA 状态。
-
修复的问题 121751:在使用 VMware SASE Orchestrator UI 时,不允许运维人员或合作伙伴用户将通过网关的非 SD-WAN 目标 (NSD) 所用的 VMware SD-WAN 网关重新分配给其他网关。
当运维人员或合作伙伴超级用户导航到网关 (Gateways) > 网关管理 (Gateway Management) 时,他们无法将通过网关的 NSD 所用的网关重新分配给另一个网关(这些是配置为具有安全 VPN 网关角色的网关)。用户可以单击其他网关,但 Orchestrator UI 不允许用户随后单击分配网关 (Assign Gateway) 按钮以完成重新分配。
-
修复的问题 121835:当用户尝试在环回接口上启用“通告”(Advertise) 功能时,不会显示“保存”(Save) 弹出框,而且用户没有用于保存任何 Edge 设备设置配置数据的选项。
当用户尝试在配置 (Configure) > Edge > 设备 (Device) 中编辑 (Edit) 环回接口时,编辑 (Edit) 对话框无法正常加载。出现此问题的原因是,UI 要求在全局分段以外的分段中使用 OSPF 参数,而 OSPF 配置仅允许在全局分段上使用。只有在将 SASE Orchestrator 从先前版本升级到 5.2.0 的企业中,并且仅当企业在多个分段上包含环回接口时,才会出现此问题。
如果客户企业使用未修复此问题的 Orchestrator,唯一的解决办法是使用 API 调用更改设备设置。
-
修复的问题 121858:对于在灾难恢复 (DR) 拓扑中部署的 VMware SASE Orchestrator,在将 Orchestrator 升级到 5.2.0.1 汇总内部版本后,DR 同步可能会失败,从而导致 Orchestrator 故障切换后出现较大的数据缺口。
在 Orchestrator 软件升级过程中,ClickHouse 数据库管理系统 (DBMS) 将从 20.3.19.4 升级到 22.3.13.80。在升级过程中,DBMS 进程会删除所有组权限,并将对数据目录的访问权限限制为仅 DBMS。此行为会中断基于同步的复制过程,并导致 DBMS 数据无法在活动和备用 Orchestrator 之间同步。
如果使用的是 Orchestrator 内部版本 5.2.0.1,运维人员可以使用以下命令修复活动 Orchestrator 上的权限问题:
chmod g+rx /store3/clickhouse。 -
修复的问题 121993:用户可能在 VMware SASE Orchestrator UI 上看不到用于编辑 VMware SD-WAN Edge 的 VLAN 属性的选项。
该问题不会影响 Edge 正在使用的所有 VLAN,但出现该问题时,用户在 UI 中单击 VLAN 不会触发任何操作。
如果客户在 Orchestrator 上遇到此问题,并且没有修复方案,请联系 SD-WAN 支持团队以寻求帮助。
-
修复的问题 122010:当运维人员转到运行 Orchestrator 内部版本 5.2.0.1 的 VMware SASE Orchestrator 上的“系统属性”(System Properties) 并尝试进行搜索时,页面可能无法加载。
如果一个或多个系统属性 (System Properties) 具有空值(即未定义值),则会触发此问题。
-
修复的问题 122271:如果客户使用 VMware SASE Orchestrator 的新 UI 将额外的 LAN 端 NAT 规则添加到配置文件,他们可能会发现,对于使用该配置文件的 Edge,与这些规则匹配的所有流量都将失败。
新 UI 错误地根据内部地址前缀计算 LAN 端 NAT 外部掩码。如果编写的规则中的内部前缀和外部前缀不相同(即,不是 1:1),在用户从新 UI 中修改任何 LAN 端 NAT 规则时,规则行为将发生变化,并且规则可能变得不起作用。由于新 UI 是 5.2.0 版本 Orchestrator 的默认 UI,因此此问题没有解决办法。
-
修复的问题 122520:在使用 OSPF 进行路由并且同时还使用环回接口的客户企业中,在某些情况下,环回接口可能根本不会打开。
此问题可追溯到 VMware SASE Orchestrator 在环回接口上配置 OSPF 时未加载 OSPF。
-
修复的问题 122866:当用户从一个合作伙伴网关删除 BGP 切换时,VMware SASE Orchestrator 还会从同一网关池中的所有其他合作伙伴网关中删除同一 BGP 切换。
无论用户是运维人员还是合作伙伴,都会遇到此问题,但它只会在新 UI(5.2.0 版本 Orchestrator 的默认 UI)上发生。
解决办法是通过将需要删除 BGP 切换的合作伙伴网关从网关池中临时移除,对其进行隔离。这样做可防止其他合作伙伴网关受到影响。删除 BGP 切换后,用户可将该合作伙伴网关还原到初始网关池中。
-
修复的问题 122977:用户在 VMware SASE Orchestrator UI 上可能看不到用于激活“增强型防火墙服务”(Enhanced Firewall Service) 的选项。
此选项应当在三个位置出现:
-
全局设置 (Global Settings) > 客户配置 (Customer Configuration) > SD-WAN 设置 (SD-WAN Settings) > 功能访问 (Feature Access) 中有状态防火墙 (Stateful Firewall) 选项的正下方。
-
配置 (Configure) > 配置文件 (Profile) > 防火墙 (Firewall) 中,当“防火墙状态”(Firewall Status) 设置为“开启”(On) 后作为一个选项出现。
-
配置 (Configure) > Edge > 防火墙 (Firewall) 中,当“防火墙状态”(Firewall Status) 设置为“开启”(On) 后作为一个选项出现。
在所有情况下,此选项都未出现。
出现此问题的原因是,Orchestrator 错误地认为客户企业与增强型防火墙服务 (Enhanced Firewall Service) 功能不兼容,即使兼容也是如此。
-
Orchestrator 版本 R5201-20230623-GA 中解决的问题
Orchestrator 内部版本 R5201-20230623-GA 在 2023 年 6 月 26 日发布,它是 5.2.0 版本的第 1 个 Orchestrator 汇总内部版本。
该 Orchestrator 汇总内部版本解决了自原始 GA 内部版本 R5200-20230529-GA 以来存在的以下严重问题。
重要事项:
强烈建议使用内部部署 Orchestrator 5.2.0.0 内部版本的客户升级到 5.2.0.1。
-
修复的问题 112333:如果 VMware SASE Orchestrator 处理约 4000 个 VMware SD-WAN Edge,并且这些 Edge 具有约 6000 个隧道和持续流量,则 Orchestrator 可能会在约 4 天的时间内变得不稳定,并开始随机注销用户。
这种压力会导致 Orchestrator 的数据库出现故障,并触发错误“connect ECONNREFUSED”,后跟 Orchestrator 的 IP 地址。此问题仅在规模测试环境中出现,而并未在现场部署中出现。
-
修复的问题 113254:具有“超级用户”(Superuser) 或“标准”(Standard) 角色的合作伙伴管理员无法为其管理的客户更改默认操作员配置文件。
同一合作伙伴管理员将会发现,他们可以在使用经典 UI(在 5.2.0 版本中未提供)时执行该操作。
-
修复的问题 115411:对于使用 5.1.0 或更高版本并部署了灾难恢复拓扑的 VMware SASE Orchestrator,同步可能会由于数据库问题而失败。
失败的具体进程是 dr_utils.js,在 Orchestrator 5.1.0 和更高版本上的最新数据库软件版本中弃用了该进程,从而导致出现该问题。
-
修复的问题 115624:在重新启动门户服务时,VMware SASE Orchestrator 可能会出现 CPU 占用率高和不稳定问题,同时发现“设备设置”(Device Settings) 和“网络设置”(Network Settings) UI 页面加载缓慢的问题。
该问题是在连接了大约 2000 个 Edge 并且还使用云安全服务 (CSS) 的 Orchestrator 上发现的;如果连接的 Edge 达到或超过该数量,则可能会出现该问题。导致此问题的原因是,存在多个与将 Edge、配置文件和网络配置从 Edge 上载到 Orchestrator 相关的 Orchestrator 进程,并且完成这些进程所花费的时间比预期长得多(约 60 秒或更长时间)。
-
修复的问题 116141:在用户更改配置文件中的设备设置时,VMware SASE Orchestrator 可能需要长达一分钟的时间以验证更改。
每项更改可能需要长达一分钟的时间来验证并应用,而该操作本应只需几秒钟即可完成。此问题可追溯到一个 Orchestrator 进程,该进程不仅检索与该配置文件关联的所有 Edge 配置记录计数,而且还会解码和分析每个记录,这种解码和分析行为既不必要,又会对 Orchestrator CPU 造成负担。此修复可确保该进程仅检索记录计数。
-
修复的问题 116790:在将 VMware SASE Orchestrator 升级到 5.1.x 或更高版本时,客户 VMware SD-WAN Edge 可能会无意中降级到比 Edge 配置使用的版本更旧的 Edge 版本。
从 Orchestrator 中删除客户企业时,如果删除的企业在 Orchestrator 数据库中按其逻辑 ID 与操作员配置文件相关联,则会触发此问题。删除企业后,操作员配置文件也会被删除。如果客户配置了 Edge 映像管理 (Edge Image Management) 且具有多个可用的操作员配置文件,并将该已删除的操作员配置文件指定为默认设置,则会为其分配一个操作员配置文件,该配置文件将保留在其 Edge 映像管理 (Edge Image Management) 菜单中。
因此,可能为客户分配一个包含低得多的 Edge 版本的操作员配置文件,并且分配了该操作员配置文件的 Edge 可能会更改其软件;如果更改为低得多的 Edge 软件版本,则可能会对 Edge 进行降级。如果 Edge 运行的旧版本不支持客户使用的功能,这可能会产生破坏性影响,包括网络故障。
-
修复的问题 117527:当用户在配置文件级别配置 BGP 时,如果配置了大量规则,浏览器可能会变得无响应。
在使用经典 UI 时,不会发现该问题;在 5.2.0 Orchestrator 上未提供经典 UI。
-
修复的问题 117800:将 VMware SASE Orchestrator 从版本 4.x 升级到 5.1.x 或更高版本时,操作员可能会发现,在后端进程重新启动后,会创建相同的 upgradeSchema.sql 文件,即使已成功执行该文件也是如此。
在升级后架构更新时会出现此问题,在执行后期架构脚本后,不应再次生成 upgradeSchema.sql 文件。
-
修复的问题 117993:如果合作伙伴用户所管理的客户企业使用本机身份验证(即用户名/密码),那么当该合作伙伴用户或企业用户尝试重置企业用户的密码时,该操作失败。
用户将会发现以下错误:用户没有访问 [enterpriseUser/sendEnterpriseUserPasswordResetEMail] 所需的特权 (user does not have privileges required to access [enterpriseUser/sendEnterpriseUserPasswordResetEMail])。仅在新 UI(5.2.0 的默认 UI)上出现该问题,这是由缺少请求参数引起的。
-
修复的问题 118071:如果为客户分配了多个 VMware SD-WAN 网关,且所有网关都分配了约 2000 多个 Edge,则用户尝试在“配置”(Configure) >“配置文件”(Profile) >“设备”(Device) 中更改 VPN 设置时可能会失败并显示错误。
Orchestrator 错误消息为“验证更改时出错”(Error validating changes)。VMware SASE Orchestrator 无法更新 VPN 设置,因为 API 正在等待返回记录超过 10000 行的数据库查询,这种情况在大规模运行的 Orchestrator 中可能会发生。出现此问题的原因是,Orchestrator 会获取所有网关,而不考虑网关类型(即主网关和辅助网关),而它本应只让 Edge 报告其主网关。这极大增加了返回的记录数,并且可能会大规模溢出查询。
-
修复的问题 118574:对于使用增强型防火墙服务的客户企业,即使影响评分很高,也可能会发送具有“信息性”严重性的警示。
不准确的严重性描述可能会误导客户用户,并妨碍他们采取相应措施以处理警示。该问题是由未正确对签名进行分类引起的。
-
修复的问题 118673:在将 VMware SD-WAN Edge 切换到不同的配置文件时,该过程可能需要大约 60 秒才能完成,并且可能会完全超时。
从一个配置文件切换到另一个配置文件应该在几秒钟内完成,但由于未正确优化 API,Orchestrator 需要长得多的时间才能完成该任务。
-
修复的问题 119551:对于使用 VMware Cloud Web Security 服务的客户,如果用户尝试在“全局设置”(Global Settings) >“客户配置”(Customer Configuration) 下面更改 Cloud Web Security 设置,该操作将出现错误并失败。
在用户单击“更新”(Update) 后,Orchestrator 抛出一个错误并显示“无效的服务详细信息”(Invalid Service details);例如,在尝试更改 Cloud Web Security 许可证类型时,可能会出现该问题。
-
修复的问题 119733:VMware SASE Orchestrator 的数据库可能会发生故障,并需要重新启动 Orchestrator 以进行恢复。
该问题是由数据库不是最新 MySQL 版本引起的,在使用更新的 MySQL 版本时,Orchestrator 5.2.0.1 版本将消除该缺陷。
Orchestrator 版本 R5200-20230529-GA 中解决的问题
Orchestrator 版本 R5200-20230529-GA 于 2023 年 5 月 31 日发布,解决了自 Orchestrator 版本 R5104-20230426-GA 以来存在的以下问题。
注:
版本 5.2.0 包含 5.0.0 或 5.0.1 发行说明中列出的所有 Orchestrator 修复,以及 5.1.0 发行说明中直到上面所列内部版本的所有 Orchestrator 修复。
-
修复的问题 50480:“新建通过 Edge 的非 SD-WAN 目标”(New Non SD-WAN Destination via Edge) 下拉菜单中的文本不正确。
“新建通过 Edge 的非 SD-WAN 目标”(New Non SD-WAN Destination via Edge) 的下拉列表显示:
-
通用 IKEv1 路由器 (基于路由器的 VPN)
-
通用 IKEv2 路由器 (基于路由器的 VPN)
它应该以适当间距显示“基于路由的 VPN”(Route Based VPN)。
-
-
修复的问题 78572:操作员用户可以使用无效的 FQDN 配置操作员配置文件,并且不会引发任何错误。
Orchestrator 应当对 FQDN 值执行验证,如果 FQDN 无效,则引发错误以提醒操作员。如果未进行该验证,则在为 Edge 分配操作员配置文件时,可能会断开 Edge 与 Orchestrator 的连接。
-
修复的问题 78602:当用户在配置文件中配置 Syslog,然后检查使用该配置文件的 VMware SD-WAN Edge 时,用户可能会发现显示的 Syslog 级别不正确。
用户会观察到,即使配置文件中的 Syslog 配置是有效的,Orchestrator UI 也不会指示 Syslog 级别,而会仅显示“错误”(Error)。
-
修复的问题 81514:如果在 4.x Orchestrator 上配置了通过网关的非 SD-WAN 目标,然后将其升级到 5.x,新 UI 在“配置”(Configure) >“设备设置”(Device Settings) 页面上不显示 NSD。
只有在 4.x Orchestrator 上配置了 NSD 并使用新 UI 时才会出现这个问题。在 5.x Orchestrator 上配置的 NSD 不存在此问题。
-
修复的问题 83607:当用户创建、更新或删除某个对象组时,VMware SASE Orchestrator 不会为其中的任何操作生成事件。
在更改对象组时,用户需要查看此类事件,以便做出更改的用户和其他客户管理员可以验证并审核这些更改操作。
-
修复的问题 88661:配置通过 Edge 的非 SD-WAN 目标时,用户可以配置无效的 PSK 值,这可能会导致形成隧道。
Orchestrator 允许为 PSK 输入任何值,无论是一个字符还是 100 个字符,且不会引发错误。
-
修复的问题 93930:VMware SASE Orchestrator 新 UI 允许为“AS 路径前置”(AS-Path Prepend) 使用无效的值。
配置合作伙伴切换,然后配置具有 AS 路径前置的 BGP 和 BGP 筛选器时,用户可以配置无效值,并且新 UI 不会进行验证,也不会引发错误。
-
修复的问题 94610:当用户通过“远程操作”(Remote Actions) >“强制 HA 故障切换”(Force HA Failover) 启动强制 HA 故障切换时,VMware SASE Orchestrator 可能不会为 HA 故障切换生成并发送警示。
由于 HA 故障切换由 Orchestrator 强制进行,因此活动和备用 Edge 都会预计到发生故障切换,这可能会导致 HA Edge 在同一检测信号中同时发送 HA_GOING_ACTIVE 和 HA_READY 消息。如果检测信号中发送的“HA 状态”(HA State) 显示为“就绪”(Ready),则会让 Orchestrator 产生误会而不生成故障切换警示,因为它仅看到此“就绪”(Ready) 消息,而并未看到“转为活动”(Going Active) 消息。
-
修复的问题 97014:对于客户企业,在使用 VMware SASE Orchestrator 的新 UI 并导航到“监控”(Monitor) >“网络概览”(Network Overview) 时,“Bastion 状态”(Bastion State) 列不可用。
在“网关监控”(Gateway Monitor) 页面上也缺少“Bastion 状态”(Bastion State),这两种情况都出现在经典 UI 中。
-
修复的问题 98241:当用户在“客户配置”(Customer Configuration) 页面上启用或禁用 Edge Network Intelligence 服务时,即使该操作有效,VMware SASE Orchestrator 也会抛出错误。
这个错误的内容如下:“必须在分析功能的系统属性 (service.analytics.apiUrl) 中设置分析 URL”(Analytics Url must be set in system property (service.analytics.apiUrl) for analytics feature)。此错误消息为虚假消息,实际上已成功保存了更改。
-
修复的问题 99065:在 VMware SASE Orchestrator 的新 UI 上,用户无法在 Edge 的“安全 VNF”(Security VNF) 页面上创建新的 VNF 服务。
用户可以通过“网络服务”(Network Services) 页面创建新的 VNF 服务,但此处的修复还允许用户在 Edge 的“安全 VNF”(Security VNF) 页面上执行此操作。
-
修复的问题 99080:对于使用 Apple Safari 浏览器查看 VMware SASE Orchestrator 新 UI 的用户,在“配置安全 VNF”(Configure Security VNF) 页面上,下拉选项菜单具有空选项。
此问题仅出现在 Safari 浏览器上,基于 Chromium 的浏览器可按预期工作。
-
修复的问题 99353:VMware SASE Orchestrator 允许用户为多个 NetFlow 收集器配置设置相同的服务器 IP 地址。
Orchestrator 应验证 NetFlow 设置中是否存在重复的 IP 地址,并拒绝已存在的服务器 IP 地址。
-
修复的问题 99891:当合作伙伴管理员登录到 VMware SASE Orchestrator 并使用新 UI 时,如果他们位于“管理合作伙伴客户”(Manger Partner Customers) 页面上并选择“客户”(Customer) >“全局设置”(Global Settings) >“客户配置”(Customer Configuration),则他们会看到一个错误。
在合作伙伴管理员尝试访问客户配置时,即使他们具有该页面的完全特权,也会显示“方法不允许使用”(not allowed to method) 错误消息。
-
修复的问题 100148:操作员超级用户在不先更改描述的情况下无法编辑操作员角色。
操作员超级用户应能够更改操作员角色的功能角色,而无需更改描述。
-
修复的问题 101129:“企业 SSH 密钥”(Enterprise SSH keys) 部分对于操作员支持、合作伙伴超级用户和客户超级用户可见。
所列的用户角色没有查看此信息的特权,因此这个部分应该对他们不可见。
-
修复的问题 103066:如果业务策略与应用程序库中的某个应用程序关联,并稍后从应用程序库中删除该应用程序,则用户无法对该业务策略进行进一步的编辑。
即使已从应用程序库中删除与业务策略关联的应用程序,用户也应该能够编辑该业务策略。
-
修复的问题 103620:在 VMware SASE Orchestrator 的新 UI 上,配置“接口设置”(Interface Settings) >“OSPF”>“高级设置”(Advanced Settings) >“入站路由学习”(Inbound Route Learning) 时,即便“精确匹配”(Exact Match) 选项实际设置为“False”,此选项也会显示“True”值。
这可能会引起混淆,让用户误认为重要的 OSPF 设置与实际设置相反,从而可能导致路由问题。
-
修复的问题 104667:在 VMware SASE Orchestrator 的新 UI 上,查看“监控”(Monitor) > Edge >“链路状态”(Link Status) 时,如果链路标记为“不稳定”(Unstable),则日期信息不正确。
如果用户单击该链路的信息气泡,概览页面可能会报告“链路已关闭: 53 年前”(Link Down: 53 years ago),即便该链路已启动但进行了降级。
-
修复的问题 105580:对于配置了 FIPS 模式的 VMware SASE Orchestrator,为 Orchestrator 设置灾难恢复 (DR) 的尝试可能会失败。
配置了 FIPS 的 DR 设置包括使用 MySQL 8.0.28 或更高版本的 Orchestrator 内部版本,该设置会在 DR COPYING_DP 阶段失败,并显示错误“尝试连接时 SSL_CTX_new 失败”(
SSL_CTX_new failed when trying to connect)。 -
修复的问题 105861:当 WAN 链路关闭几分钟,然后重新启动时,“监控”(Monitor) >“QoE”图表不会反映实际的链路状态。
QoE 应在链路关闭时显示红色,然后在链路恢复时重新显示正常颜色(如果质量良好,则为绿色),但这种情况并未发生,从而给用户造成了困惑。出现该问题的原因是,VMware SASE Orchestrator 的数据库未正确记录链路关闭事件。
-
修复的问题 106295:对于 AWS 类型的非 SD-WAN 目标,在设置配置了 BGP 的主网关和辅助网关时,VMware SASE Orchestrator 可能会将冗余辅助隧道显示为“关闭”(down),即使它们处于启动状态也是如此。
AWS 端会将主隧道和辅助隧道报告为“启动”(up),但是在 Orchestrator 的监控 (Monitor) > 网络服务 (Network Services) 页面上,辅助隧道显示为“关闭”(down)。严格来说,这只是一个表面问题。
-
修复的问题 106554:在 VMware SASE Orchestrator 新 UI 上,在创建新的 VMware SD-WAN Edge 时,无论用户在“服务设置”(Service Settings) >“Edge 管理”(Edge Management) 下面如何配置“默认证书”(Default Certificate) 设置,都会始终将“默认 Edge 身份验证”(Default Edge Authentication) 设置为“可选证书”(Certificate Acquire) 以创建 Edge。
如果用户将“默认证书”(Default Certificate) 设置为“禁用证书”(Certificate Deactivated) 或“强制证书”(Certificate Required),则新 UI 会忽略这些全局设置,并将新的 Edge 配置为“可选证书”(Certificate Acquire)。经典 UI 上不会出现此问题。
-
修复的问题 107858:对于配置 API 以在 VMware SASE Orchestrator 上使用的客户,在 Swagger 中,inside ha 和 device_settings_dhcp_relay 缺少 JSON 键。
5.2.0 及更高版本都包含缺少的 JSON 键:inside ha 和 device_settings_dhcp_relay 属性。
-
修复的问题 109710:合作伙伴管理员可能无法在 VMware SASE Orchestrator 上配置合作伙伴切换。
在网关级别配置的合作伙伴切换上配置静态路由时,合作伙伴管理员用户收到了“无法设置未定义的属性 v6Detail”(cannot set property v6Detail of undefined) 错误。操作员用户可以进行更改,而不会出现任何问题。
-
修复的问题 112912:在使用新 UI 的 VMware SASE Orchestrator 上,以“企业支持”(Enterprise Support) 角色登录的用户在对 Edge 执行“远程操作”(Remote Actions) 时,“重新引导”(Reboot) 选项处于灰显状态。
企业支持用户在使用经典 UI 时能够远程重新引导 Edge,在新 UI 上也应该能够执行此操作。
-
修复的问题 113209:如果 VMware SD-WAN Edge 处于“已降级”(Degraded) 状态,则用户无法从 SASE Orchestrator 中删除该 Edge。
Orchestrator 抛出了以下错误消息:“无法删除已降级的 Edge 和已连接的 Edge”(Degraded edges and connected edges cannot be deleted)。虽然用户应该无法删除已连接的 Edge,但应该能够删除已降级的 Edge。
-
修复的问题 114224:在 VMware SASE Orchestrator 上使用新 UI 时,如果操作员从 Orchestrator 系统属性中移除了 Google Maps 集成,则新 UI 将继续显示 Google Maps。
如果用户将系统属性 service.client.googleMapsApi.enable 修改为“false”来为内部部署客户移除 Google Maps 集成,则应该从新 UI 中移除了 Google Maps 集成。但实际情况是,此更改仅适用于经典 UI。
-
修复的问题 114564:用户无法在 VMware SASE Orchestrator 新 UI 上 Edge 接口的可选配置下配置 802.1P 设置。
尽管此设置在经典 Orchestrator 上显示为可选配置,但新 UI(版本 5.2.0 的默认 UI)中缺少此参数。
-
修复的问题 114900:“通过 Edge 的非 SD-WAN 目标”(Non SD-WAN Destinations via Edge) 选项卡对企业只读用户不可见。
导致此问题的原因是,为企业只读角色配置的权限不正确。
-
修复的问题 115527:如果用户为通过 Edge 的非 SD-WAN 目标配置了 Zscaler 类型,则在 VMware SASE Orchestrator 的新 UI 上查看“监控”(Monitor) >“Edge”时,不会显示任何隧道状态。
新 UI 中用于获取 Edge 隧道记录的 API 错误地假设 Edge 软件版本始终采用“x.x.x”格式,因此排除了版本未采用此格式(例如 5.1.0.3)的 Edge 所提供的隧道状态数据。
-
修复的问题 115719:如果在配置文件级别对“设备设置”(Device Settings) 进行了任何更改,则不会在业务策略规则中保留 Internet 回传规则。
在配置文件的“设备设置”(Device Settings) 部分中进行任何更改时,Orchestrator 会错误地移除该回传规则。
-
修复的问题 116958:当使用 VMware SASE Orchestrator 的新 UI 时,如果操作员用户转到“操作员事件”(Operator Events) 页面,他们可能会发现一条 API 错误消息。
导致此问题的原因是,没有为所有“事件”(Events) 页面清除并共享筛选器事件缓存。“企业事件”(Enterprise Events) 页面应使用“操作员”(Operator) 页面和“合作伙伴”(Partner) 页面的禁止值。
-
修复的问题 116976:对于 VMware SASE Orchestrator 上的 API 用户,使用参数 {"detailed": true} 调用 API 并且调用者是合作伙伴管理员时,getEnterpriseEdgeLInkStatus 可能无法响应已断开连接超过 24 小时的链路。
版本 4.0.0 中引入了一个回归问题,此问题将 API 行为更改为“仅”返回合作伙伴管理员登录的近期链路。此问题不会影响操作员或企业管理员登录。
已知问题
5.2.0 版本中的未解决问题。
Edge/网关已知问题
-
问题 14655:
插入或拔出 SFP 适配器可能会导致设备在 Edge 540、Edge 840 和 Edge 1000 上停止响应,并需要进行实际重新引导。
解决办法:必须实际重新引导 Edge。可以在 Orchestrator 上使用远程操作 (Remote Actions) > 重新引导 Edge (Reboot Edge) 以完成该操作,也可以关闭再打开 Edge 电源以完成该操作。
-
问题 25504:
大于 255 的静态路由成本可能会导致无法预测的路由排序。
解决办法:使用 0 到 255 之间的路由成本。
-
问题 25595:
可能需要重新启动,以使对 WAN 覆盖网络上的静态 SLA 的更改正常工作。
解决办法:在 WAN 覆盖网络中添加和移除静态 SLA 后,重新启动 Edge。
-
问题 25742:
底层网络产生的流量限制为发送到 VMware SD-WAN 网关的最大容量,即使该流量小于未连接到该网关的专用 WAN 链路的容量。
-
问题 25758:
从一个 USB 端口切换到另一个 USB 端口时,可能未正确更新 USB WAN 链路,直到重新引导了 VMware SD-WAN Edge。
解决办法:将 USB WAN 链路从一个端口移动到另一个端口后,重新引导 Edge。
-
问题 25885:
对于通过 VMware SD-WAN 网关的某些流量,合作伙伴网关上的较大配置更新(例如,200 个配置了 BGP 的 VRF)可能会导致延迟大约增加 2-3 秒。
解决办法:没有可用的解决办法。
-
问题 25921:
在将 3,000 个分支 Edge 连接到 VMware SD-WAN Hub 时,Hub 高可用性故障切换所需的时间比预期时间长(最多 15 秒)。
解决办法:没有可用的解决办法。
-
问题 25997:
VMware SD-WAN Edge 可能需要重新引导,才能在转换为交换端口的路由接口上正确传输流量。
解决办法:在进行配置更改后,重新引导 Edge。
-
问题 26421:
还必须将任何分支站点的主合作伙伴网关分配给 VMware SD-WAN Hub 集群,才能建立到该集群的隧道。
解决办法:没有可用的解决办法。
-
问题 28175:
在 NAT IP 与 VMware SD-WAN 网关接口 IP 重叠时,业务策略 NAT 将会失败。
解决办法:没有可用的解决办法。
-
问题 31210:
VRRP:如果 VMware SD-WAN Edge 是主节点并在 LAN 接口上运行非全局 CDE 分段,则无法在 LAN 客户端中为 VRRP 虚拟 IP 地址解析 ARP。
解决办法:没有可用的解决办法。
-
问题 32731:
在停用路由时,可能未正确撤消通过 OSPF 通告的条件默认路由。
解决办法:重新激活路由后再次停用路由将成功撤消该路由。
-
问题 32960:
在激活的 VMware SD-WAN Edge 的本地 Web UI 上,可能会错误地显示接口“自动协商”和“速度”状态。
解决办法:请参阅远程诊断 (Remote Diagnostics) > 接口状态 (Interface Status) 下面的 Orchestrator UI。
-
问题 32981:
配置了 DPDK 的端口上的硬编码速度和双工可能需要重新引导 VMware SD-WAN Edge 才能使配置生效,因为它需要关闭 DPDK。
解决办法:没有该问题的解决办法。
-
问题 34254:
如果创建 Zscaler CSS 并且全局分段配置了 FQDN/PSK 设置,这些设置将复制到非全局分段以建立到 Zscaler CSS 的 IPsec 隧道。
-
问题 35778:
如果在单个接口上具有多个用户定义的 WAN 链路,只能有一个 WAN 链路具有到 Zscaler 的 GRE 隧道。
解决办法:对于需要建立到 Zscaler 的 GRE 隧道的每个 WAN 链路,请使用不同的接口。
-
问题 36923:
在作为 Hub 连接到集群的 VMware SD-WAN Edge 的 NetFlow 接口说明中,可能未正确更新该集群名称。
-
问题 38682:
在配置了 DPDK 的接口上充当 DHCP 服务器的 VMware SD-WAN Edge 可能没有为所有连接的客户端正确生成“新客户端设备”(New Client Device) 事件。
-
问题 38767:
将配置了到 Zscaler 的 GRE 隧道的 WAN 覆盖网络从自动检测更改为用户定义时,可能会保留过时的隧道,直到下次重新启动。
解决办法:重新启动 Edge 以清除过时的隧道。
-
问题 39374:
更改分配给 VMware SD-WAN Edge 的 VMware SD-WAN 合作伙伴网关顺序可能未正确地将网关 1 设置为用于带宽测试的本地网关。
-
问题 39608:
在显示正确的结果之前,远程诊断“Ping 测试”(Ping Test) 的输出可能会短暂显示无效的内容。
解决办法:没有该问题的解决办法。
-
问题 39624:
在为父接口配置 PPPoE 时,通过子接口执行 Ping 操作可能会失败。
解决办法:没有该问题的解决办法。
-
问题 39753:
关闭动态分支到分支 VPN 可能会导致当前使用动态分支到分支发送的现有流量停止。
解决办法:仅在维护时段内停用动态分支到分支 VPN。
-
问题 40421:
在通过 VMware SD-WAN Edge 传输并将接口配置为交换端口时,traceroute 不显示路径。
-
问题 40096:
如果重新引导激活的 VMware SD-WAN Edge 840,插入到 Edge 的 SFP 模块可能会停止传输流量,即使链路指示灯和 VMware SD-WAN Orchestrator 将端口显示为“启动”(UP) 也是如此。
解决办法:拔下 SFP 模块,然后将其重新插入到端口中。
-
问题 42278:
对于特定类型的对等体配置错误,VMware SD-WAN 网关可能会不断向非 SD-WAN 对等体发送 IKE“初始化”消息。该问题不会中断到网关的用户流量;但在网关日志中填充 IKE 错误,这可能会掩盖有用的日志条目。
-
问题 42872:
在与 Hub 集群关联的 Hub 配置文件上激活配置文件隔离时,不会从路由信息库 (RIB) 中撤消 Hub 路由。
-
问题 43373:
如果从多个 VMware SD-WAN Edge 中学习相同的 BGP 路由,并且在“覆盖网络流量控制”(Overlay Flow Control) 中将该路由从“首选出口”(Preferred Exit) 移动到“符合条件的出口”(Eligible Exit),不会在通告列表中移除该 Edge,而是继续通告该 Edge。
解决办法:在 VMware SD-WAN Orchestrator 上激活分布式成本计算 (DCC)。
-
问题 44995:
从 Hub 集群中撤消 OSPF 路由时,不会从 VMware SD-WAN 网关和 VMware SD-WAN 分支 Edge 中撤消这些路由。
-
问题 45189:
在配置了源 LAN 端 NAT 的情况下,允许从 VMware SD-WAN 分支 Edge 到 Hub Edge 的流量,即使没有为 NAT 子网配置静态路由。
-
问题 45302:
在 VMware SD-WAN Hub 集群中,如果一个 Hub 到所有 VMware SD-WAN 网关(它自身和为其分配的分支 Edge 之间的通用网关)的连接中断超过 5 分钟,在极少数情况下,分支可能在 5 分钟后无法保留 Hub 路由。在 Hub 重新与网关建立连接时,将自行解决该问题。
-
问题 46053:
在邻居更改为上行链路邻居时,不会为覆盖网络路由自动更正 BGP 首选项。
解决办法:Edge 服务重新启动将纠正该问题。
-
问题 46137:
即使为运行 3.4.x 软件的 VMware SD-WAN Edge 配置了 GCM,该 Edge 也不会启动具有 AES-GCM 加密的隧道。
解决办法:如果客户使用的是 AES-256,他们必须先从 Orchestrator 中明确停用 GCM,然后再将其 Edge 升级到 4.x 版本。在所有 Edge 运行 4.x 版本后,客户可以在 AES-256-GCM 和 AES-256-CBC 之间进行选择。
-
问题 46216:
在通过网关或 Edge 的非 SD-WAN 目标(对等体是 AWS 实例)上,在对等体启动第 2 阶段重新加密时,还会删除第 1 阶段 IKE 并强制进行重新加密。这意味着,将拆除并重建隧道,从而导致在隧道重建期间丢失数据包。
解决办法:为了避免拆除隧道,请将通过网关/Edge 的非 SD-WAN 目标或 CSS IPsec 重新加密定时器配置为少于 60 分钟。这可防止 AWS 启动重新加密。
-
问题 46391:
对于 VMware SD-WAN Edge 3800,SFP1 和 SFP2 接口在多速率 SFP(即 1/10G)中均出现问题,因此,不应在这些端口中使用这些接口。
解决办法:请按照知识库文章 VMware SD-WAN 支持的 SFP 模块列表 (79270) 中的说明使用单速率 SFP。多速率 SFP 可以与 SFP3 和 SFP4 一起使用。
-
问题 47664:
在未配置通过 Hub 的分支到分支 VPN 的 Hub 和分支配置中,尝试使用 L3 交换机/路由器上的汇聚路由回转分支到分支的流量将导致路由环路。
解决办法:配置云 VPN 以激活分支到分支 VPN,然后选择“将 Hub 用于 VPN”(Use Hubs for VPN)。
-
问题 47681:
在 VMware SD-WAN Edge 的 LAN 端上的主机使用与该 Edge 的 WAN 接口相同的 IP 时,从 LAN 主机到 WAN 的连接无法正常工作。
-
问题 48530:
VMware SD-WAN Edge 6x0 型号不会为三速 (10/100/1000 Mbps) 铜质 SFP 执行自动协商。
解决办法:Edge 520/540 支持三速铜质 SFP,但该型号已标记为在 2021 年第一季度“终止销售”。
-
问题 48597:如果到对等体的两条路径中有一条路径断开,则不会保持多跳 BGP 邻居关系。
如果与对等体之间具有多跳 BGP 邻居关系,并且存在多条到对等体的路径,当其中一条路径断开时,用户将会注意到 BGP 邻居关系中断,并且不会使用其他可用的路径重新建立 BGP 邻居关系。这也包括本地 IP 环回邻居关系。
解决办法:没有该问题的解决办法。
-
问题 50518:
在配置了 PKI 的 VMware SD-WAN 网关上,如果超过 6000 个 PKI 隧道尝试连接到该网关,这些隧道可能不会全部启动,因为没有删除入站 SA。
注:使用预共享密钥 (PSK) 身份验证的隧道不存在该问题。
-
问题 51436:对于使用增强的高可用性拓扑的站点,在部署使用 LTE 调制解调器的 VMware SD-WAN Edge 时,如果站点进入“脑裂”状态,HA 故障切换需要大约 5-6 分钟的时间。
从脑裂状态中恢复期间,将在活动 Edge 上关闭 LAN 端口,这会在端口关闭期间影响 LAN 流量,直到可以恢复站点为止。
解决办法:没有该问题的解决办法。
-
问题 52955:在有状态 DHCP 中发生 DAD 失败后,没有从 Edge 中发送 DHCP 拒绝,并且没有重新启动 DHCP 重新绑定。
如果内核在 DAD 检查期间将 DHCPv6 服务器分配的地址检测为重复的地址,DHCPv6 客户端不会发送拒绝。这会导致流量丢弃,因为接口地址将标记为 DAD 检查失败,而不会使用该地址。这不会在网络中导致任何流量循环,但会出现流量黑洞。
解决办法:没有该问题的解决办法。
-
问题 53219:在 VMware SD-WAN Hub 集群重新均衡后,一些分支 Edge 可能未正确设置其 RPF 接口/IIF。
在受影响的分支 Edge 上,多播流量将会受到影响。发生的情况是,在集群重新均衡后,某些分支 Edge 无法发送 PIM 加入。
解决办法:该问题将一直存在,直到受影响的分支 Edge 重新启动 Edge 服务为止。
-
问题 53934:在配置了 VMware SD-WAN Hub 集群的企业中,如果主 Hub 在 LAN 端具有多跳 BGP 邻居关系,当 LAN 端发生故障或未在所有分段上配置 BGP 时,客户可能会在分支 Edge 上遇到流量丢弃问题。
在 Hub 集群中,主 Hub 与对等设备之间具有多跳 BGP 邻居关系以学习路由。如果建立 BGP 邻居关系时使用的 Hub 上的物理接口发生故障,即使 BGP 视图是空的,BGP LAN 路由可能也不会变为零。这可能会导致不会进行 Hub 集群重新均衡。在没有为所有分段配置 BGP 以及存在一个或多个多跳 BGP 邻居关系时,也可能会观察到该问题。
解决办法:重新启动发生 LAN 端故障(或未激活 BGP)的 Hub。
-
问题 57210:即使 VMware SD-WAN Edge 正常工作并且能够访问 Internet,本地 UI“概览”(Overview) 页面中的 LED 仍显示为“红色”。
Edge 的本地 UI 会根据是否可以通过 Google 的 DNS 解析器 (8.8.8.8) 解析已知名称来确定 Edge 连接情况。如果因某种原因而无法确定,则会认为 Edge 已脱机,并将 LED 显示为红色。
解决办法:除了确保流向 8.8.8.8 的 DNS 流量可以到达目标并成功解析之外,此问题没有其他解决办法。
-
问题 61543:如果在具有相同内部 IP 的不同接口上配置了多个 1:1 NAT 规则,则可以在一个接口上接收入站流量,并且可以通过不同的接口路由同一流量的出站数据包。
对于从外部到内部的 NAT 流量,1:1 NAT 规则将与外部 IP 和接收数据包的接口进行匹配。对于同一流量的出站数据包,VMware SD-WAN Edge 将再次尝试匹配 NAT 规则以比较内部 IP,并且可以通过在配置了“出站流量”的第一个匹配规则中配置的接口路由出站流量。
解决办法:除了确保最多针对一个特定内部 IP 地址配置一个 1:1 NAT 规则之外,此问题没有其他解决办法。
-
问题 65560:从客户到 PE(提供商 Edge)设备的流量失败。
当在切换配置中为标记类型选择“无”(none) 时,不会在合作伙伴网关和提供商 Edge 之间建立 BGP 邻居关系。这是因为,当标记类型为“无”(none) 时,将从 /etc/config/gatewayd 中而非 Orchestrator 上的切换配置中获取 ctag 和 stag 值。
解决办法:将 /etc/config/gatewayd 中 vrf_vlan->tag_info 下的 ctag 和 stag 值分别更新为 0。执行 vc_procmon 重新启动。
-
问题 67879:当用户在 WAN 接口设置上将“WAN 覆盖网络”(WAN Overlay) 设置从“自动检测”(auto-detect) 更改为“用户定义”(user-defined) 后,将删除云安全服务 (CSS) 隧道。
保存更改后,在客户关闭并重新打开隧道之前,CSS 隧道不会恢复运行。更改 WAN 配置将关闭 CSS 隧道并再次解析 CSS 设置。但是,在某些极端情况下,nvs_config>num_gre_links 为 0,并且 CSS 隧道无法恢复运行。
解决办法:停用 CSS 设置,然后重新激活该设置,这将启动 CSS 隧道。
-
问题 68057:在将 WAN 接口地址模式从 DHCP 有状态 IPv6 地址更改为静态 IPv6 地址时,不会从 VMware SD-WAN Edge 发送 DHCPv6 版本数据包,并且租约在达到有效时间之前会一直保持活动状态。
DHCPv6 客户端具有一个租约,在完成配置更改后不会释放该租约。租约将保持有效,直至其在 DHCPv6 服务器中的生存期到期并被删除为止。
解决办法:无法修复该问题,因为租约将一直保持活动状态直至有效生存期到期为止。
-
问题 68851:如果 VMware SD-WAN Edge 和 VMware SD-WAN 网关分别配置了相同的 TCP syslog 服务器,则不会建立从 Edge 到 syslog 服务器的 TCP 连接。
如果 Edge 和网关分别具有相同的 TCP 服务器,并通过网关路由来自 Edge 的 syslog 数据包,那么 syslog 服务器会向 Edge 发送 TCP 重置。
解决办法:直接从 Edge 发送 syslog 数据包,而不是通过网关进行路由,或者为 Edge 和网关配置不同的 syslog 服务器。
-
问题 69284:当站点使用高可用性拓扑,且其中的 Edge 在 HA 配置中部署 VNF 并使用版本 4.x 时,如果将这些 HA Edge 降级到不支持 HA VNF 的 3.4.x 版本,然后再升级到 4.5.0,那么在重新激活 HA VNF 后,备用 Edge VNF 将不会启动。
当将 HA VNF 对从支持 VNF-HA 的版本(版本 4.0 及更高版本)降级到不支持 VNF-HA 的版本,并在 Orchestrator 上配置了 VNF 时,通过 SNMP 传输的备用 Edge 上的 VNF 状态为已关闭。在将 Edge 升级回支持 VNF-HA 的版本并再次在 Orchestrator 上配置该 Edge 时,将会出现该问题。
解决办法:如果要将 Edge 降级到不支持 VNF 的版本,则在使用 HA 配置的情况下应先停用 VNF。
-
问题 72358:如果 VMware SD-WAN Orchestrator DNS 名称的 IP 地址发生更改,VMware SD-WAN 网关的管理平面进程将无法正确解析该地址,并且网关将无法连接到 Orchestrator。
网关的管理进程会定期检查
Orchestrator DNS 名称的 DNS 解析情况,以查看它最近是否发生更改,以便网关可以连接到正确的主机。DNS 解析代码中存在问题,因此所有这些解析检查将失败,并且网关将继续使用旧地址,因而无法再连接到 Orchestrator。
解决办法:在解决该问题之前,操作员用户不应更改 Orchestrator 的 IP 地址。如果必须更改 Orchestrator 的 IP 地址,则必须重新激活连接到该 Orchestrator 的所有网关。
-
问题 77541:在拔出支持 IPv6 的 USB 调制解调器,然后将其重新插入 VMware SD-WAN Edge USB 接口后,可能无法为该 USB 接口置备 IPv6 地址。
该问题会影响基于 IP 的 USB 调制解调器,而不会影响由 ModemManager 应用程序管理的 USB 调制解调器。大多数 Inseego 调制解调器都基于 IP,这一点很重要,因为 Inseego 是 VMware SASE 推荐的调制解调器制造商。如果支持 IPv6 的 USB 调制解调器使用 ModemManager 而不是基于 IP,则可以在这种拔出后再插入的场景中正常使用。
解决办法:在将 USB 调制解调器重新插入 Edge 的 USB 端口后,需要重新引导(或重新启动)Edge。在重新引导后,Edge 将检索调制解调器的 IPv6 地址。
-
问题 81852:如果 VMware SD-WAN Edge 使用 Zscaler 类型的云安全服务 (CSS),并且该服务使用的 GRE 隧道已开启 L7 运行状况检查,则在将该 Edge 升级到 5.0.0 版本时,在某些情况下,客户可能会观察到 L7 运行状况检查错误。
该问题通常在软件升级期间或启动时出现。如果为使用 GRE 隧道的 CSS 启用了 L7 运行状况检查,则可能会看到与套接字 getaddress 错误相关的错误消息。观察到的错误是间歇性出现的,并不总是发生。因此,不会发送 L7 运行状况检查探测消息。
解决办法:如果未进行该修复,则要解决该问题,用户需要禁用并重新启用 L7 运行状况检查配置,然后该功能将可以按预期正常运行。
-
问题 82184:在运行 Edge 版本 5.0.0 的 VMware SD-WAN Edge 上,如果对 Edge 桥接网络 IPv4/IPv6 地址运行 traceroute 或 traceroute6,则在使用 UDP 探测时,traceroute 将无法正常终止。
在使用默认模式(即 UDP 探测)时,无法正常对 Edge 桥接网络 IPv4/IPv6 地址运行 traceroute 或 traceroute6。
解决办法:在 traceroute 和 traceroute6 中使用 -I 选项以使用 ICMP 探测,然后便可以按预期正常对桥接网络 IPv4/IPv6 地址运行 traceroute。
-
问题 83166:如果从 AWS 门户中使用 AWS c5.4xlarge 实例类型部署全新的 VMware SD-WAN 网关并选择了 IPv6 选项,则不会配置 IPv6 路由或默认路由。
由于未配置 IPv6 和默认路由,无法形成 AWS 网关 IPv6 管理隧道,并且网关也无法正常工作。
解决办法:没有该问题的解决办法,请避免使用上述属性部署网关。
-
问题 85402:对于使用 BGP 并配置了合作伙伴网关的客户企业,用户可能会发现某些 BGP 邻居关系已中断,这会导致客户流量问题。
如果客户在与 Edge 和网关建立 BGP 对等连接的路由器上配置了最大前缀数,路由器可能会断开 BGP 会话。
例如,当路由器将 BGP 配置为仅接收最多“n”个前缀,但 Edge 和网关在未应用任何筛选器的情况下有“n”个以上需要通告的前缀时。此时,如果在 Orchestrator 上更改了 BGP 筛选器配置,即使出站方向允许的前缀总数小于“n”,也会遇到以下问题:在应用任何筛选器之前将“n”个以上的前缀发送到对等体。这会导致路由器断开会话。
解决办法:如果 BGP 由于该问题(达到最大前缀数)而关闭,请使用 CLI(对于 FRR/Cisco,使用“neighbor x shut”,后跟“no neighbor x shut”)在对等体上使 BGP 发生抖动,BGP 将仅生成向对等体通告的所需数量的前缀。
-
问题 92481:如果在 VMware SASE Orchestrator 上停用 VMware SD-WAN Edge 上的 WAN 接口,SNMP 仍会将该接口报告为“已启动”(UP)。
接口输出的关键调试过程不包括 Edge WAN 接口(例如 Edge 6x0 或 3x00 机型上的 GE3 或 GE4)的物理端口详细信息。因此,当 SNMP 轮询这些接口时,无论这些接口的配置如何,它始终返回结果“已启动”(UP)。
解决办法:没有该问题的解决办法。
-
问题 93141:在部署了高可用性拓扑的站点上,尽管并没有实际的环路,使用 HA Edge 对上游的 L2 交换机的客户仍可能会在交换机日志中看到 L2 流量环路的证据。
出现该问题的原因是,HA Edge 将具有虚拟 MAC 地址的 HA 接口检测信号发送到 Orchestrator,而不是发送接口的实际 MAC 地址,这是由 HA Edge 将虚拟 MAC 地址存储在其 MAC 文件中引起的。因此,连接的 L2 交换机检测到从相同源 MAC 发送的流量来自两个不同的 Edge 接口,并将其记录为 L2 环路。此问题在日志级别属于表面问题,因为并没有实际的 L2 环路,并且不会因为此问题而导致客户流量中断或与 Orchestrator 断开连接。
解决办法:客户可以忽略由 Edge 的 HA 接口(通常为 GE1)产生的上游交换机的 L2 环路检测事件。
-
问题 95399:当以太网链路以物理方式从 VMware SD-WAN Edge 接口拔出或插入时,VMware SASE Orchestrator 不会收到 Edge 对此事件发出的通知,并且不会在客户事件中显示此事件。
客户依赖 Orchestrator 在“事件”(Events) 页面上报告这些事件,如果未记录这些事件,则会导致对其各个站点的监控更加不可靠。
解决办法:没有该问题的解决办法。
-
问题 95565:在使用高可用性拓扑的站点上,VMware SD-WAN 活动 Edge 可能会发生数据平面服务故障,并生成核心文件,同时触发高可用性故障切换。
触发该问题的原因是,活动 Edge 的 WAN 链路抖动一次或多次(快速地关闭然后启动),同时还在频繁进行 SNMP 查询时使用 SNMP。存在一个计时问题,即,接口重新启动和 SNMP 查询一起执行时可能会触发死锁,从而导致数据平面服务发生故障并生成核心文件。虽然只一次 WAN 链路抖动便可能会导致该问题,但 WAN 链路抖动的频率越高,发生该问题的可能性就越大。
解决办法:在未进行该修复的 HA Edge 对上,如果出现该问题,解决办法是禁用 SNMP,因为这是一个计时问题,这样做可以降低风险。
-
问题 97559:在部署了增强型高可用性拓扑的客户站点上,以备用角色连接到 VMware SD-WAN Edge 的 WAN 链路可能会在 VMware SASE Orchestrator 上显示为已关闭,并且不会传输客户流量,即使连接 WAN 链路的 Edge WAN 接口已启动。
查看 tcpdump 或诊断包日志记录的用户将发现传入的 ARP 请求,并且备用 Edge 由于其端口被阻止而没有响应。在增强型 HA 中,如果 Edge 担任备用角色,则应按顺序发生以下事件:
-
备用 Edge 阻止所有端口。
-
然后,备用 Edge 检测到它在增强 HA 中部署,并取消阻止其 WAN 端口以传输流量。
发生此问题时,事件 1,初始端口阻止需要很长时间才能完成,后续事件 2,在事件 1 完成之前取消阻止所有 WAN 端口。然后,事件 1 完成,因此最终状态为在备用 Edge 上阻止所有 WAN 端口。
解决办法:在未修复此问题的 HA Edge 上,解决办法是强制进行 HA 故障切换,将备用 Edge 升级为活动 Edge,从而启动 HA Edge 的 WAN 链路。
-
-
问题 98136:对于配置了动态分支到分支 VPN 的 Hub/分支拓扑的客户企业,SD-WAN 分支 Edge 后面的客户端用户可能会发现某些流量由于使用欠佳的路径而导致意外延迟。
发生该问题的分支 Edge 流量使用的路由最初是 Hub Edge 的非上行链路路由,而该路由未包含在分支 Edge 使用的配置文件中。由于流量被发送到其他一些不相关的前缀,因此可能会建立从分支 Edge 到 Hub Edge 的动态分支到分支 VPN 隧道,在这种情况下,将在分支 Edge 中安装非上行链路路由。
由于安装了此非上行链路路由,所有流向此前缀的流量都将开始通过
Hub Edge,此非上行链路路由将变为上行链路(社区属性更改为上行链路社区属性),但之前安装的非上行链路路由不会撤消,并且只要动态分支到分支 VPN 隧道保持启动状态,流量就会采用 Hub Edge 路径。
解决办法:等待动态分支到分支 VPN 隧道拆除,之后,在建立到 Hub Edge 的新动态分支到分支 VPN 隧道时,将不会在分支 Edge 中安装上行链路路由。
-
问题 106289:VMware SD-WAN Hub Edge 可能会丢弃流向连接的分支 Edge 的流量或回传流量上的数据包。
回传流量标记是在 QoS 同步过程中设置的;在流量创建期间,将在代码中的某个位置设置该标记。Edge 只应在进行 QoS 同步消息处理时设置该标记。
解决办法:如果在未进行修复的 Hub Edge 上遇到此问题,请刷新 Hub Edge 上的流量,以暂时修复此问题。
-
问题 109771:如果 VMware SD-WAN Edge 与 Cisco CSR/ASE 类型的“通过 Edge 的非 SD-WAN 目标”之间应用了 NAT66,则可能无法在两者之间建立隧道。
如果两个对等体之间的 Cisco CSR/ASA 涉及源 IPv6 地址 NAT,则不会建立隧道。
解决办法:在未修复该问题的 Edge 上,用户唯一能做的就是,将 Cisco CSR/ASA 升级到支持 IPsec 上的 NAT66 的 Cisco 软件版本。
-
问题 110561:在流量停止然后重新启动的情况下,可能无法在具有双向流量的同一组 VMware SD-WAN Edge 之间启动动态隧道。
在以下测试环境中会出现此问题:存在 6000 个动态隧道,并且在 Edge 之间发送的双向流量较大。即使在具有 1000 个动态隧道的小规模测试环境中,也不一定会启动所有隧道。
解决办法:没有该问题的解决办法。
-
问题 111085:如果为 VMware SD-WAN Edge 的 WAN 链路配置的 IP 地址与 Edge 环回 IP 地址位于同一网络中,则在响应对 Edge 环回 IP 地址的 ARP 请求时,Edge 会使用 WAN 接口的 MAC 地址。
这可能会导致 ARP 欺骗,从而导致管理 IP 被弃用以及网络中断。
解决办法:没有该问题的解决办法。
-
问题 113877:对于配置 BGP/GRE LAN 的客户,如果在全局分段上修改了 TGW GRE 的 BGP 配置,使用 TGW GRE 的客户将在所有分段中的 TGW 辅助隧道上出现 BGP 抖动和流量中断问题。
客户在全局分段上更改了 TGW GRE 的 BGP 配置后,全局分段和其他分段中的辅助隧道会出现抖动,从而导致 BGP 连接重置和重新聚合以及流量中断问题。将重新建立 BGP 连接并恢复流量。
解决办法:没有该问题的解决办法。
-
问题 117037:对于使用 Hub/分支拓扑的客户,如果有多条 WAN 链路用于发送和接收从分支 Edge 到 Hub Edge 的流量,由于 WAN 链路不会汇总 WAN 链路的带宽,客户可能会发现通过业务策略转向的流量低于预期性能。
SD-WAN 使用计数器来计算重新排序队列中缓冲的数据包数。此计数器按对等体进行管理,用于确保每个对等体仅缓冲 4K 数据包。在某些情况下,此计数器可能会变为负数。在版本 4.2.x 之前,当此计数器变为负数时,在刷新重新排序队列中的数据包后,相应的计数器立即重置回 0。但从版本 4.3.x 开始,此计数器会自动更新,以确保计数器始终在预期范围内。
此项行为变化的结果可能会导致计数器计数不正确,重新排序队列可能会保持在一个非常高的数字,而 SD-WAN 则会通过刷新每个数据包来做出反应。此操作不仅会阻止带宽汇总,还会降低流量的有效性(这些流量原本可位于单条链路上)。
解决办法:在未修复此问题的 Edge 上,解决办法是配置业务策略,以将匹配流量转向到单条强制链路。
-
问题 117314:如果源和目标 IP 地址对之间已存在 ICMP 流量,则使用对象组/服务组(类型和代码)筛选 ICMP 数据包的防火墙规则可能不起作用。
作为防火墙功能修订的一部分,为缓存 ICMP 类型和代码引入的更改已恢复,这会影响使用具有 ICMP 类型和代码(例如,ICMP 重定向类型 5 和代码 0)的服务组的防火墙规则。如果源 IP 地址和目标 IP 地址之间已存在流量,则不会接受应与该流量的规则匹配的 ICMP 流量,且只有会话的第一个数据包将与防火墙规则匹配。该问题会影响 IPv4 或 IPv6 ICMP 流量。
解决办法:刷新流量以创建新的 ICMP 流量可暂时修复此问题。
-
问题 117876:在使用高可用性拓扑的客户站点中,如果用户激活或停用增强型防火墙服务,VMware SD-WAN HA Edge 可能会多次重新启动。
在激活或停用增强型防火墙服务后,只有活动 Edge 的设备设置配置会立即与备用 Edge 同步,其余配置同步只是为了响应备用 Edge 检测信号。如果在从备用 Edge 接收检测信号之前重新启动活动 Edge 来应用最新配置,那么会导致两个 HA Edge 之间的配置不匹配,而且这两个 Edge 会多次重新启动以完成配置同步。
解决办法:唯一的解决办法是在 HA Edge 维护时段内启用或禁用增强型防火墙服务。
-
问题 121606:使用合作伙伴网关的客户企业可能会观察到某些流量(包括使用该网关的非 SD-WAN 目标)被丢弃的情况。
版本 5.1.0 及更高版本的合作伙伴网关支持每个 IPsec 接口最多有 64 个 IP 地址。对于合作伙伴网关,会无条件地将切换 IP 添加到此 IPsec 接口。如果切换 IP 地址的数量超过限额 64,则会在 IPsec 进程中覆盖较旧的 IP 地址,这会导致使用这些被覆盖的 IP 地址的隧道关闭。
解决办法:如果所有 PG 切换 IP 地址均按预期配置,则除了将其中一些地址移至其他 PG(例如,移动通过网关的 NSD)之外,没有其他解决办法。但是,如果存在不必要的 PG 切换 IP 地址,则移除这些地址以将 IP 地址数减少到 64 以下可能会有所帮助。更改配置后,需要重新启动网关服务。
-
问题 121998:对于在 Hub/分支拓扑中使用有状态防火墙的客户,可能会丢弃与为分支到 Hub 流量配置的防火墙规则(规则包含源 VLAN)匹配的流量。
当应用程序分类、业务策略表或防火墙策略表版本发生更改时,SD-WAN 会对其下一个数据包上的流量执行防火墙查找。由于计时问题,该数据包可能是来自管理流量 (VCMP) 端的数据包。因此,在创建防火墙策略查找键期间,SD-WAN 会将分支 Edge VLAN 与 Hub Edge VLAN 交换,这会导致与规则不匹配并丢弃该流量。
解决办法:客户可以将源 (Source) 从 Edge VLAN 更改为“任意”(Any)。
-
问题 125647:对于使用 Edge 型号 520 或 540 部署的站点,在将 Edge 升级到 5.2.0 版本时,通过 LAN 端口连接到 Edge 的客户端用户可能会遇到连接完全断开情况。
将 Edge 升级到 5.2.0 版本后,重新引导 Edge 520/540 或者将其降级到较早的软件版本都无法解决该问题。该问题可以归结为停用通过控制台端口的 Edge 访问时出现的问题,这是任何 Edge 的默认配置。
解决办法:要阻止此问题发生,或者要在受影响的 Edge 上还原 LAN 端口上的连接,客户可以执行以下操作:导航到配置 (Configure) > Edge/配置文件 (Edge/Profile) > 防火墙 (Firewall) > Edge 安全 (Edge Security),然后在控制台访问 (Console Access) 下单击启用 (Enable),然后单击保存更改 (Save Changes)。
注:更改此配置需要重新引导 Edge,这大约需要 2-3 分钟才能完成。如果可能,请在维护时段内执行此更改。
Orchestrator 已知问题
-
问题 21342:
在按分段分配合作伙伴网关时,在 VMware SD-WAN Edge 监控列表上的操作员选项“查看网关”(View Gateways) 下面可能未显示正确的网关分配列表。
-
问题 24269:
监控 (Monitor) > 传输 (Transport) > 中断 (Loss) 未将观察到的 WAN 链路中断绘制图表,而 QoE 图表反映了这种中断。
-
问题 25932:
VMware SD-WAN Orchestrator 允许将 VMware SD-WAN 网关从网关池中移除,即使正在使用这些网关。
-
问题 32335:
在用户尝试接受协议时,“最终用户服务协议”(EUSA) 页面抛出错误。
解决办法:确保在企业名称中不包含前导或尾随空格。
-
问题 32435:
对于已在配置文件级别配置的元组,允许对基于策略的 NAT 配置进行 VMware SD-WAN Edge 覆盖,反之亦然。
-
问题 32856:
尽管将业务策略配置为使用 Hub 集群以回传 Internet 流量,但用户可以在 VMware SD-WAN Orchestrator(已从 3.2.1 版本升级到 3.3.x 版本)上从配置文件中取消选择 Hub 集群。
-
问题 35658:
在将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有不同 CSS 设置的配置文件(例如,从配置文件 1 中的 IPsec 移动到配置文件 2 中的 GRE)时,Edge 级别 CSS 设置将继续使用以前的 CSS 设置(例如,使用 IPsec 而不是 GRE)。
解决办法:在 Edge 级别,停用 GRE,然后重新激活 GRE 以解决该问题。
-
问题 35667:
将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有相同 CSS 设置但具有不同 GRE CSS 名称(相同端点)的配置文件时,在监控中不显示某些 GRE 隧道。
解决办法:在 Edge 级别,停用 GRE,然后重新激活 GRE 以解决该问题。
-
问题 36665:
如果 VMware SD-WAN Orchestrator 无法访问 Internet,需要访问 Google 地图 API 的用户界面页面可能无法完全加载。
-
问题 32913:
在激活高可用性后,“监控”(Monitoring) 页面上不显示 VMware SD-WAN Edge 的多播详细信息。故障切换将解决该问题。
-
问题 33026:
在删除协议后,“最终用户服务协议”(EUSA) 页面未正确重新加载。
-
问题 38056:
Edge-Licensing export.csv 文件不显示区域数据。
-
问题 38843:
在推送应用程序库时,没有操作员事件,并且 Edge 事件的用途有限。
-
问题 39633:
在用户将备用网关分配为超级网关后,超级网关超链接无法正常工作。
-
问题 39790:
VMware SD-WAN Orchestrator 允许用户将 VMware SD-WAN Edge 的路由接口配置为超过支持的 32 个子接口,从而产生用户可以在接口上配置 33 个或更多子接口的风险,这会导致 Edge 发生数据平面服务故障。
-
问题 41691:
虽然 DHCP 池未用完,但用户无法在配置 (Configure) > Edge > 设备 (Device) 页面上更改“地址数”(Number of addresses) 字段。
-
问题 43276:
在 VMware SD-WAN Edge 或配置文件配置了合作伙伴网关时,用户无法更改分段类型。
解决办法:暂时从配置文件或 Edge 中移除合作伙伴网关配置,以便可以在专用和常规之间更改分段。或者,用户也可以从配置文件中移除分段,并从中进行更改。
-
问题 47713:
如果在关闭“云 VPN”(Cloud VPN) 的情况下配置业务策略规则,则在开启“云 VPN”(Cloud VPN) 后,必须重新配置 NAT 配置。
-
问题 47820:
如果在配置文件级别配置 VLAN 并关闭了 DHCP,同时还在激活了 DHCP 的 Edge 上为该 VLAN 配置了 Edge 覆盖,并且 DNS 服务器字段的条目设置为“无”(None)(未配置任何 IP),用户将无法在配置 (Configure) > Edge > 设备 (Device) 页面上进行任何更改,并会收到“IP 地址 [] 无效”(invalid IP address []) 错误消息,该消息未解释或指出实际问题。
-
问题 48085:VMware SD-WAN Orchestrator 允许用户删除与接口关联的 VLAN。
遇到该问题时,用户将看到类似以下内容的错误消息:“VLAN ID [xx] 无法移除,正在由 Edge [b1-edge1] (已禁用 GEx) 使用”(VLAN ID [xx] cannot be removed, in use by edge [b1-edge1] (GEx-disabled))。
-
问题 51722:在 VMware SASE Orchestrator 上,“监控”(Monitor) >“Edge”选项卡中的任何统计信息的时间范围选择器不超过两周。
即使一组统计信息的保留期远超过 2 周,监控 (Monitor) > Edge 选项卡中的时间范围选择器也不会显示超过“过去 2 周”(Past 2 Weeks) 的选项。例如,默认情况下,流量和链路统计信息保留 365 天(可以进行配置),而路径统计信息仅保留 2 周(也可以进行配置)。该问题使所有“监控”(Monitor) 选项卡符合最低的统计信息保留类型,而不允许用户选择与该统计信息的保留期一致的时间段。
解决办法:用户可以使用时间范围选择器中的“自定义”(Custom) 选项以查看超过 2 周的数据。
-
问题 60522:在 VMware SD-WAN Orchestrator UI 上,当用户尝试移除分段时,看到大量错误消息。
如果将分段添加到配置文件并将该分段与多个 VMware SD-WAN Edge 关联,则可能会出现该问题。当用户尝试从配置文件中移除添加的分段时,用户将看到大量错误消息。
解决办法:没有该问题的解决办法。
-
问题 82095:用户可以为 Edge VLAN 配置无效的设备设置,这将导致 Edge 出现严重的连接问题。
Orchestrator 不会尝试验证设备配置。特别是,不会验证具有空表的交换端口的 VLAN 配置。某些配置可能充满错误,从而导致 Edge 的管理进程失败。
解决办法:由于 Orchestrator 不会进行检查,因此请查看所有 VLAN 设备设置并确保这些设置有效。
-
问题 82680:对于使用 MT-GRE 隧道自动化的客户,如果用户在配置为使用云互连 (CCI) 的 VMware SD-WAN 网关上禁用 CCI 标记,则可能不会始终从 Zscaler 门户中删除 Zscaler MT-GRE 条目。
从网关中删除 CCI 站点后,还应移除此站点对应的条目。该问题仅在测试自动化期间出现过,尚未成功手动重现,不过仍存在风险。
解决办法:手动从 Zscaler 中删除资源,然后再重试。
-
问题 82681:对于使用 MT-GRE 隧道自动化的客户,如果用户在配置为使用云互连 (CCI) 的 VMware SD-WAN 网关上禁用 CCI 标记,以及从配置了 CCI 且使用 Zscaler 云安全服务的 VMware SD-WAN Edge 中停用 CCI 标记,则可能不会从 Edge 或 Zscaler 门户中删除 Zscaler MT-GRE 条目。
从网关中删除 CCI 站点后,还应移除此站点对应的条目。该问题仅在测试自动化期间出现过,尚未成功手动重现,不过仍存在风险。
解决办法:手动从 Zscaler 中删除资源,然后再重试。
-
问题 103769:操作员可能会发现,大规模部署中的 VMware SASE Orchestrator 出现性能问题,包括 100% 磁盘利用率和 Orchestrator 不再累积日志。
该问题是由 5.1.0 Orchestrator 日志记录行为变化引起的,这可能会导致存储日志的文件夹变满,并且还会导致 Orchestrator CPU 达到 100% 占用率。该问题是由 5.1.0 Orchestrator 日志记录行为变化引起的,这可能会导致存储日志的文件夹变满,并且还会导致 Orchestrator CPU 达到 100% 占用率。
解决办法:超级用户操作员需要登录 Orchestrator 并清理挂起的日志。
-
问题 117699:操作员尝试将 4.2.x VMware SD-WAN Orchestrator 升级到 5.2.0 SASE Orchestrator 版本时,可能会发现升级失败。
升级失败,实际上停滞在“正在等待 CWS 服务启动...”(Waiting for the CWS service up...)。这个问题仅存在于 4.2.x Orchestrators。
解决办法:此问题的解决办法是先将 4.2.x Orchestrator 升级到 4.5.1,然后再升级到 5.2.0.0。
-
问题 125082:如果用户在 VLAN 上为 VMware SD-WAN Edge 配置覆盖的 DNS 服务器 IP 地址,然后更改 Edge 正在使用的配置文件的接口设置,则 Edge VLAN 将不再存在 DNS 服务器 IP 地址。
新 UI 不会在“DHCP”部分中发送覆盖标记,这导致任何配置文件更改都会触发“DHCP”部分的覆盖。
解决办法:没有该问题的解决办法。
-
问题 125504:如果在配置文件级别为静态路由配置的下一跃点作为使用 IPv4/IPv6 地址的 VLAN,然后在 Edge 级别覆盖该路由并将 IPv4/IPv6 地址添加到 VLAN,则静态路由不会标记为“不适用”(N/A),并且 VMware SASE Orchestrator 会在下拉菜单中请求接口。
预期行为是,如果为静态路由配置的下一跃点作为使用 IPv4/IPv6 地址的 VLAN,则 Orchestrator 不会请求接口,并且路由会被标记为“不适用”(N/A)。
解决办法:没有该问题的解决办法。
-
问题 125663:用户可以为多个 Edge 接口配置相同的 IPv4/IPv6 IP 地址。
VMware SASE Orchestrator 允许用户在多个 WAN、LAN 或子接口上配置相同的 IP。
解决办法:除了确保您没有为多个接口配置相同的 IP 地址之外,此问题没有其他解决办法。
-
问题 126421:对于使用合作伙伴网关的合作伙伴,在配置“切换详细信息”(Hand Off Details) 时,无论用户执行何种操作,始终会选中“用于专用隧道”(Use for Private Tunnels) 选项。
这不是一个表面问题,因为 Orchestrator 会将用于专用隧道 (Use for Private Tunnels) 配置应用于合作伙伴网关切换,并且可能会影响使用合作伙伴网关的客户流量。
解决办法:在仅具有新用户界面的 Orchestrator 上,此问题没有解决办法。
-
问题 126425:在配置文件级别查看“配置”(Configure) >“设备”(Device) >“路由和 NAT”(Routing & NAT) 页面时,缺少 OSPF 开启/关闭切换按钮。
OSPF 开启/关闭切换按钮未迁移到新 UI 中的配置文件级别,而只会在 Edge 级别显示。
解决办法:在仅具有新用户界面的 Orchestrator 上,此问题没有解决办法。
-
问题 126465:VMware SASE Orchestrator UI 不会应用用户为创建 Edge 集群所做的更改。
如果用户转到 UI 的配置 (Configure) > Edge > 高可用性 (High Availability) 部分,启用类型为“集群”(Cluster) 的 HA,并创建名为 xxxx 的 Hub 集群,然后保存更改,用户将发现在保存后,“HA”部分下未选择“集群”(Cluster) 选项,并且不存在创建的名为 xxxx 的 Hub 集群。
解决办法:在仅具有新用户界面的 Orchestrator 上,此问题没有解决办法。
-
问题 126695:如果用户为警示配置 Webhook,则在单击“配置负载模板”(Configure Payload Template) 按钮时,不会显示相应菜单。
在 UI 的 SD-WAN > 设置 (Settings) > 警示 (Alerts) > Webhook (Webhooks) 页面上配置 Webhook 时,会出现此问题。查看浏览器控制台时,用户还会发现以下消息:
ERROR TypeError: Cannot read properties of undefined (reading 'invalid')。解决办法:在仅具有新用户界面的 Orchestrator 上,此问题没有解决办法。
-
问题 127152:用户无法在 VMware SASE Orchestrator UI 上保存经过修改的具有 OSPF 配置的接口。
在配置文件级别,配置 OSPFv2/OSPFv3 时,更改任何 OSPF 数据后,“编辑接口”(Edit Interface) 对话框都将变为无效。
解决办法:在未修复此问题的 Orchestrator 上,用户需要激活 MD5 身份验证,将“密钥 ID”(Key ID) 更改为 1 到 255 之间的任意数字,然后停用 MD5 身份验证。
-
问题 128070:当用户在 Edge 级别为 VLAN 配置 OSPFv3 并尝试将“IPv6 设置”(IPv6 Settings) 添加到 VLAN 时,VMware SASE Orchestrator UI 不会保存更改。
尝试在 Edge 级别将 IPv6 设置 (IPv6 Settings) 添加到使用 OSPF3 的 VLAN 时,“保存”(Save) 选项显示为灰色且不可用。
解决办法:在仅具有新用户界面的 Orchestrator 上,此问题没有解决办法。
