VMware SD-WAN™ 4.0.0 发行说明

更新日期：2022 年 4 月 7 日

VMware SD-WAN Orchestrator 版本 R400-20211217-GA
VMware SD-WAN 网关版本 R400-20201124-GA-53090
VMware SD-WAN Edge 版本 R400-20201002-GA

请定期检查以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题：

建议的用途
兼容性
重要说明
新增功能
增强功能
从 3.4.3 版本开始的 Orchestrator 扩展改进
VMware SD-WAN Orchestrator 上的行为变化
Orchestrator API 更改
修订历史
解决的问题
已知问题

兼容性

4.0.0 版本 Orchestrator、网关和 Hub Edge 支持 3.0.0 及以上的所有 VMware SD-WAN Edge 版本（注意：不支持 3.0.0 之前的版本，请参阅下面的警告以了解其他详细信息）。

已明确测试了以下互操作性组合：

Orchestrator	网关	Edge
Orchestrator	网关	Hub	分支
4.0.0	3.4.2	3.4.2	3.4.2
4.0.0	4.0.0	3.4.2	3.4.2
4.0.0	4.0.0	4.0.0	3.4.2
4.0.0	3.3.2 P2	3.3.2 P2	3.3.2 P2
4.0.0	4.0.0	3.3.2 P2	3.3.2 P2
4.0.0	4.0.0	4.0.0	3.3.2 P2
4.0.0	3.3.2 P1	3.3.1	3.3.1
4.0.0	4.0.0	3.3.1	3.3.1
4.0.0	4.0.0	4.0.0	3.3.1
4.0.0	3.3.0	3.3.0	3.3.0
4.0.0	4.0.0	3.3.0	3.3.0
4.0.0	4.0.0	4.0.0	3.3.0
4.0.0	3.2.2	3.2.2	3.2.2
4.0.0	4.0.0	3.2.2	3.2.2
4.0.0	4.0.0	4.0.0	3.2.2
4.0.0	3.2.1	3.2.1	3.2.1
4.0.0	4.0.0	3.2.1	3.2.1
4.0.0	4.0.0	4.0.0	3.2.1
4.0.0	3.4.3	3.4.3	3.4.3
4.0.0	4.0.0	3.4.3	3.4.3
4.0.0	4.0.0	3.4.3	3.4.2
4.0.0	4.0.0	3.4.2	3.4.3
4.0.0	4.0.0	4.0.0	3.4.3
4.0.0	4.0.0	3.4.3	4.0.0

警告：VMware SD-WAN 2.x 版本（例如，2.4.4、2.5.2 等）与 4.0.0 或更高版本不兼容。

这会影响使用 2.x 版本部署 VMware SD-WAN Edge 的客户。在 VMware SD-WAN 将其托管的 Orchestrator 和网关升级到 4.0.0 或更高版本后，这种影响就会显现。确切日期会提前两周在 Orchestrator 上公布。

在将 Orchestrator 和网关升级到 4.0.0 版本后，使用 2.x 软件的 VMware SD-WAN Edge 将无法使用所有 SD-WAN 控制平面和数据平面覆盖网络服务。网关将无法接受来自 2.x 版本 Edge 的 VCMP 隧道。如果没有到网关的控制平面连接，Edge 将无法建立到其他 Edge 的隧道。

发生上述情况时，Edge 将继续通过底层网络转发流量。 Edge 还使用 HTTPS/443 通过底层网络保持到 Orchestrator 的连接。这样，即使 SD-WAN 覆盖网络服务不可用，管理员也可以将 Edge 升级到 3.x 或 4.x 版本。

有关 2.x 版本的更多信息（包括后续步骤），请参阅以下知识库文章：

公告：VMware SD-WAN 2.x.x 版本的支持期终止 (77221)

警告：VMware SD-WAN 版本 3.2.x 和 3.3.x 已终止支持。版本 3.2.x 和 3.3.x 已于 2021 年 12 月 15 日终止常规支持 (EOGS)，并于 2022 年 3 月 15 日终止了技术指导 (EOTG)。

警告：VMware SD-WAN 3.4.x 版本即将终止对 Orchestrator 和网关的支持。Orchestrator 和网关的版本 3.4.x 将于 2022 年 3 月 30 日终止常规支持 (EOGS)，并于 2022 年 6 月 30 日终止技术指导 (EOTG)。
注意：这仅适用于 Orchestrator 和网关。Edge 的 3.4.x 计划从 2022 年 12 月 31 日开始进入其终止支持时段。

有关详细信息，请参阅知识库文章：公告：VMware SD-WAN 3.x 版本的支持期终止 (84151)

兼容性说明

3.x 版本无法正确支持 AES-256-GCM，这意味着，使用 AES-256 的客户始终要在禁用 GCM 的情况下应用 Edge (AES-256-CBC)。如果客户使用 AES-256，必须先从 Orchestrator 中明确禁用 GCM，然后再将其 Edge 升级到 4.0.0 版本。在所有 Edge 运行 4.0.0 后，客户可以在 AES-256-GCM 和 AES-256-CBC 之间进行选择。

执行上述操作可防止 3.x 和 4.x Edge 之间出现互操作性问题。

重要说明

用于 AS-PATH 附加的 BGPv4 筛选器配置的分隔符更改

在版本 3.x 中，用于 AS-PATH 附加的 VMware SD-WAN BGPv4 筛选器配置支持基于逗号和空格的分隔符。但是，从版本 4.0.0 开始，VMware SD-WAN 将在 AS-Path 附加配置中仅支持基于空格的分隔符。
从 3.x 升级到 4.x 的客户需要在升级之前对其 AS-PATH 附加配置进行编辑以“将逗号替换为空格”，以避免选择错误的 BGP 最佳路由。

自动分配备用超级网关

在将 VMware SD-WAN Orchestrator 升级到 4.0.0 版本后，所有客户企业将获得一个自动分配的备用超级网关（如果之前不具有）。

自定义应用程序库更改

VMware SD-WAN 始终建议操作员使用每个新的软件版本附带的最新应用程序库，以确保提供最一致且正确的应用程序识别。对于 4.0.0 版本，在应用程序库中添加了一个新的标记：mustNotPerformDpi，它防止 VMware SD-WAN 的深度应用程序识别覆盖自定义应用程序决策（例如，在按 IP 地址和端口匹配时）。不需要为应用程序 ID >= 4000 的自定义应用程序设置该标记。

弃用 Microsoft Internet Explorer

从 4.0.0 版本开始，已弃用 VMware SD-WAN Orchestrator 对 Microsoft Internet Explorer 浏览器的支持。 VMware SD-WAN 完全支持 Internet Explorer 替代产品 Microsoft Edge。

Edge 许可 (Edge Licensing)

从 4.0.0 版本开始，默认启用 Edge 许可，用户在创建新的 VMware SD-WAN Edge 时必须分配 Edge 许可证类型。该要求帮助 VMware SD-WAN 跟踪客户订阅，并简化和标准化合作伙伴发送的 Edge 激活报告。VMware 不会强制实施许可证参数，分配 Edge 许可证类型并不会以任何方式改变 Edge 行为。

要了解更多信息，请查阅 Edge 许可文档。

基础架构改进

VMware SD-WAN Orchestrator 和网关虚拟设备现在基于 Ubuntu 18.04 (LTS)。
VMware SD-WAN Orchestrator 现在以优化的方式存储统计数据，从而将统计信息查询（例如，在 Orchestrator UI 上查看统计信息）的执行速度提高 100 倍以上。
VMware SD-WAN Orchestrator 上的“远程诊断”(Remote Diagnostics) 界面现在使用 WebSocket 支持与 VMware SD-WAN Edge 的同步通信，从而将远程诊断命令的执行速度提高 10 倍。
VMware SD-WAN Edge 和网关现在利用：
- VMware NSX FIPS 140-2 兼容 IPsec 库。
- VMware NSX 路由守护进程。

非 VeloCloud 站点现在是非 SD-WAN 目标

从 4.0.0 版本开始，非 VeloCloud 站点（到第三方目标的 IPsec 隧道）重命名为“非 SD-WAN 目标”。现有非 VeloCloud 站点为 3.x 的客户将会看到其站点称为“通过网关的非 SD-WAN 目标”，因为这是 3.x 非 VeloCloud 站点连接到第三方目标的方式。新添加的基于 Edge 的实例称为“通过 Edge 的非 SD-WAN 目标”。

默认为新的客户企业启用 PKI 身份验证

在启用了 PKI（公钥基础架构）并使用 4.0.0 版本的 Orchestrator 上，默认为新创建的企业启用 PKI。

在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制

在端口 SFP1 或 SFP2 上使用具有铜缆接口的 SFP 时，如果用户在 VMware SD-WAN Edge 型号 620、640 或 680 的端口 GE1 - GE4 上，在 Edge 3400、3800 或 3810 的端口 GE3 或 GE4 上，或者在 Edge 520/540 上禁用硬编码速度和双工自动协商，则用户可能会发现即使重新引导后，链路也不会建立连接。

这是由于列出的每个 Edge 型号使用 Intel 以太网控制器 i350 所致，该控制器存在一个限制，即当链路两端均未使用自动协商时，它无法动态检测用于进行传输和接收的相应线路（自动 MDIX）。如果连接的两端在同一线路上进行传输和接收，则检测不到该链路。如果对等端也不支持未使用自动协商的自动 MDIX，并且链路不是使用直连电缆连接，则需要使用交叉以太网电缆来连接链路。

有关详细信息，请参阅知识库文章在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制 (87208)。

新增功能

新的 Orchestrator 用户界面

采用 Clarity Design System 准则，VMware SD-WAN Orchestrator 用户界面 (UI) 更具现代化，提供更简洁、一致且快速响应的用户体验。随着发布多个版本，将最终迁移完整 UI。4.0.0 版本的新 UI 中包含部分监控区域功能。
注意：QoE 选项卡尚未包含在新 UI 中，将在以后的版本中添加。旧版 UI 中仍会显示 QoE。

为了利用现代化的 UI 框架的特色优势，新的 Orchestrator UI 中专门提供了以下功能：

路径可见性：UI 上的“传输”(Transport) 选项卡重命名为“链路”(Links)，它可以查看连接到 VMware SD-WAN Edge 的每个 WAN 链路的统计信息，例如，数据包数、字节数、延迟、抖动和数据包丢失率。通过路径可见性，用户可以查看 VMware SD-WAN Edge 和网关之间的各个路径的相同衡量指标，以及为每个路径和每个对等体提供 QoE（体验质量）评分。

企业报告：通过以下几种方法改进了报告服务：

新的报告功能 - 4.0.0 Orchestrator 现在报告“按应用程序排名靠前的站点”，并为“按流量排名靠前的应用程序”报告页面添加了两种新的流量类型。
速度和扩展 - 移除了时间范围限制，并减少了总体报告生成持续时间。
计划 - 现在可以定期生成报告。
电子邮件 - 在报告完成后，VMware SD-WAN 通过电子邮件通知一组用户。
新的用户界面 - VMware SD-WAN 在以下方面改进了 Orchestrator 用户界面外观并提高了可用性：
- 使用 VMware Clarity 设计准则。
- 添加删除报告和定期报告的功能。
- 通过多个自定义选项使界面设计基于向导式。
- 提供固定或周期性的时间范围选择。
- 特定的 Edge 选择。
- 报告页面选择。
- 可选的 CSV 导出。

通过 Edge 的非 SD-WAN 目标

除了通过网关的非 SD-WAN 目标（以前称为“非 VeloCloud 站点”，它允许建立从 VMware SD-WAN 网关到第三方目标的 IPsec 隧道）以外，现在还支持直接从 VMware SD-WAN Edge 到第三方目标的 IPsec 隧道。

双向转发检测 (BFD)

BGP 和 OSPF 现在支持 BFD。BFD 是一种协议，用于更快地检测两个连接的实体之间的路由故障，并且故障检测开销较低。

Zscaler API 自动化

VMware SD-WAN 自动批量建立从 VMware SD-WAN Edge 到 Zscaler 云的 VPN 连接，从而简化与 Zscaler 云安全服务 (CSS) 集成的过程。

通过使用 Zscaler CSS 自动化，客户只需单击一下鼠标按钮，即可轻松创建从多个 Edge 到 Zscaler 服务的 VPN 隧道。

客户可以通过详细的业务策略规则在分段、配置文件和 Edge 级别控制 VPN 隧道流量。

自动化支持一些非常有用的功能，以轻松实现监控和故障排除。这包括监控 VPN 隧道状态以及跟踪来自 Edge 的事件、警示和通知。

Orchestrator 自定义

角色自定义：现在，VMware SD-WAN Orchestrator 操作员可以自定义 Orchestrator 中包含的默认角色（例如超级用户、标准管理员），移除他们不希望特定角色有权执行的功能。
Orchestrator 本地化：VMware SD-WAN Orchestrator UI 现在支持意大利语、捷克语和简体中文。

增强功能

防火墙增强功能

在 4.0.0 版本中包含以下防火墙增强功能：

网络和泛洪保护
现在，VMware SD-WAN Edge 中的有状态防火墙可以防范以下攻击：

死亡之 Ping
TCP Land
无效的 IP 选项
DoS 攻击

VMware SD-WAN Edge 上的 FQDN 防火墙
支持在防火墙规则的目标匹配条件以及对象组中使用完全限定域名 (FQDN)。除了进行 DNS 解析以发现流量的 FQDN 以外，现还使用深度包检测 (DPI) 来发现通过 VMware SD-WAN Edge 传输的流量的目标 FQDN（例如，从 HTTP 标头或 SNI 中）。

VPN 流量的有状态故障切换
远程路由和协议状态可从高可用性对中的活动 VMware SD-WAN Edge 同步到备用 VMware SD-WAN Edge，这样，在启用了状态防火墙的情况下进行 HA 故障切换时，VPN 会话可以继续而不会发生中断。

安全增强功能

在 4.0.0 版本中包含以下安全增强功能：

支持将 SHA384 和 SHA512 作为哈希算法。
支持 Diffie-Hellman 组 15（3072 位模数）和 16（4096 位模数）。
支持完美前向保密组 14、15、16。
从 CSS 中移除了 MD5 算法支持。
对于不允许使用 AES 的国家/地区，在加密选择中添加了 DES 算法（如果 VMware SD-WAN Orchestrator 系统属性允许）。
现在，可以调整 IKE 和 IPsec 重新加密定时器。

中间证书颁发机构 (CA)

VMware SD-WAN Orchestrator 证书颁发机构可从属于外部证书颁发机构。这允许将数据平面和管理平面身份验证的信任根链到客户拥有的 CA 上。

注意：该功能仅适用于内部部署 Orchestrator，而不适用于 VMware SD-WAN 托管的 Orchestrator。

为 Check Point VNF 提供高可用性支持

在启用了 VNF 的 VMware SD-WAN Edge 平台上将 Check Point 防火墙部署为虚拟网络功能 (VNF) 时，现在支持高可用性。

备份 WAN 链路

对备份 WAN 链路功能进行了两处改进：

热备用模式：在这种新模式下，隧道是在备份链路上建立的，但保持未使用状态。在活动链路发生故障时，可以更快地进行故障切换，但代价是控制流量消耗额外的带宽（从每个对等体每月大约 7.5 MB 增加到大约 60 MB）。
最小活动链路数：该设置允许用户选择备份链路在使用 3 个或更多 WAN 链路的部署中何时变为活动状态。例如，在具有 3 个 WAN 链路的 VMware SD-WAN Edge 中，以前仅在两个活动链路均发生故障时，备份链路才会变为活动状态。通过将“最小活动链路数”(Minimum Active Links) 设置为 2，如果任一活动链路发生故障，备用链路都会变为活动状态。

在路由接口中支持 VLAN 上的 DHCP

以前，在父路由接口上使用 VLAN 标记时，仅支持静态 IP 寻址；要将 VLAN 标记与 DHCP 一起使用，必须配置一个子接口。现在，在使用 DHCP 时，VMware SD-WAN Orchestrator 支持在父接口上配置 VLAN 标记。

可配置的 ARP 超时

现在，VMware SD-WAN Orchestrator 允许通过配置“设备设置”(Device Settings) 覆盖默认 ARP 超时：

ARP 失效超时 - 在尝试刷新 ARP 条目之前应经过的时间（默认为 2 分钟）。
ARP 不活动超时 - 在将 ARP 条目视为不再有效之前应经过的时间（默认为 25 分钟）。
ARP 清理超时 - 从系统中移除不活动 ARP 条目之前应经过的时间（默认为 4 小时）。

除了 VLAN 以外，业务策略和防火墙规则现在还允许选择路由接口和子接口作为源

通过使用该功能，客户可以在创建业务策略或防火墙规则时将规则与接口或子接口进行匹配。该增强功能简化了将规则映射到该接口上的所有流量的过程。

软件升级

现在，操作员和托管服务提供商可以将升级 VMware SD-WAN Edge 的功能委派给客户企业超级用户，从而便于自行管理 Edge 的软件生命周期。

从 3.4.3 版本开始的 Orchestrator 扩展改进

VMware SD-WAN Orchestrator 经认证最多可以支持 15,000 个 Edge。

VMware SD-WAN Orchestrator 上的行为变化

4.0.0 版本对 Orchestrator 的默认行为进行了重要更改，包括以下内容：

4.0.0 Orchestrator 的基本操作系统是 VMware 编译的 Ubuntu 克隆，并具有内部软件包镜像。这可能导致它与官方 Ubuntu 镜像中托管的某些软件包不兼容。因此，已从操作系统配置中移除通用 Ubuntu 存储库。通常，建议不要将外部镜像用于任何其他软件包，并且在使用任何此类镜像之前需要由 VMware 进行验证。
引入新的统计信息存储将更改一些统计数据的现有保留值。请参阅文档以了解更多详细信息。
Orchestrator 中的 MySQL 版本已更新为最新版本，并启用了 files_per_table。这允许 MySQL 将截断的表空间释放回操作系统。
Orchestrator 磁盘卷进行了调整和更新，以更好地适应要存储的数据。请参阅文档以了解详细信息。

4.0.0 版本 Orchestrator 中的远程诊断

在 VMware SD-WAN Edge 与位于 NAT 后面的 VMware SD-WAN Orchestrator 通信的环境中，尝试访问使用 4.0.0 版本软件的 Edge 的远程诊断时，用户可能会观察到似乎无法访问该页面。可以将 network.portal.websocket.address 系统属性配置为在浏览器中访问 Orchestrator UI 的实际 IP/主机名以纠正该问题。

注意：此项 4.0.0 Orchestrator 行为变化仅影响运行软件 4.0.0 或更高版本的 Edge。

在这些环境中，Edge 使用 network.public.address 系统属性中设置的地址（可能是虚拟 IP 地址）与 Orchestrator 通信，但可以从不同的 IP/主机名（可能是网络中的 DNS 地址或实际 IP）中访问 Orchestrator UI 本身。此项更改的主要原因是，为了确保保护到 Orchestrator 的 WebSocket 连接，以免其受到来自浏览器客户端的任何 XSRF 攻击。

Orchestrator API 更改

可以通过 code.vmware.com 获得完整的 4.0.0 API 参考。

在该版本中进行的显著更改包括：

引入了对 API 速率限制机制的支持（目前，默认将其禁用），从而在 API 观察到来自用户（租户）的请求速率超过操作员配置的一个或多个策略速率时，API 将拒绝来自该用户（或租户）的请求。在用户（或租户）受到速率限制时，API 显示 HTTP 429 错误以响应来自该用户的新请求，直到该用户执行短暂的退避（即，在短时间内停止发出请求）。操作员可以在《Orchestrator 操作员指南》中了解速率限制器功能及其管理的更多信息。此外，还更新了 4.0.0 API 参考（在 code.vmware.com 上）以提供针对 API 最终用户的指导，从而在启用了速率限制器时帮助他们生成更有弹性的应用程序和脚本。

引入了“system/getVersionInfo”方法以报告服务器版本信息。
引入了新的“汇总”API 方法，以便于监控网关和 Edge“运行状况统计信息”（系统资源利用率衡量指标）：
- monitoring/getNetworkGatewayStatus
- monitoring/getEnterpriseEdgeStatus
引入了可用于监控 SD-WAN 路径统计信息的新 API 方法：
- edge/getEdgeSDWANPeers - 列出给定 Edge 和报告间隔的 SD-WAN 对等体（网关、Hub、Edge）。
- edge/getEdgeSDWANPeerPathMetrics - 为给定 Edge 和报告间隔获取每个路径的汇总衡量指标。
- edge/getEdgeSDWANPeerPathSeries - 为给定 Edge 和报告间隔获取每个路径的衡量指标时间序列数据。
引入了各种新的 API 方法以便于客户管理 Edge 软件映像：
- enterprise/addEnterpriseOperatorConfiguration - 将单个软件映像分配给多个客户
- enterprise/assignEnterpriseOperatorConfigurations - 将多个软件映像分配给客户/从客户中移除多个软件映像
- configuration/removeOperatorConfigurationAssocFromEnterprises - 从分配了软件映像的所有客户中移除该映像
- enterprise/getEnterpriseSpecificOperatorConfigurations - 列出分配给客户的软件映像
- enterprise/setDefaultEnterpriseOperatorConfiguration - 为客户设置默认软件映像
- enterprise/updateEdgeImageManagement - 为客户启用/禁用 Edge 映像管理（可以使用 enterprise/updateEdgeImageManagementForEnterprises 同时为多个客户执行相同的操作）
如果启用了客户 Edge 映像管理，现在还允许客户管理员使用以下方法管理 Edge 软件映像分配：
- edge/setEdgeOperatorConfiguration
- edge/unsetEdgeOperatorConfiguration
在创建新的客户（或克隆现有客户）时，合作伙伴和操作员管理员现在可以使用 delegateEdgeImageManagmentToEnterprise 布尔选项启用客户 Edge 映像管理，并且可以使用 assignedOperatorProfileConfigurationIds 参数分配一组初始软件映像。
新引入了用于管理合作伙伴（或“企业代理”）功能的仅操作员方法，包括：
- enterpriseProxy/getEnterpriseProxyCapabilities
- enterpriseProxy/insertOrUpdateEnterpriseProxyCapability
引入了用于创建和管理自定义角色的各种新 API：
- role/getEligiblePrivilegesForCustomization - 为给定角色有资格进行自定义的特权。
- role/getRoleCustomizationPrivileges - 在给定角色自定义包标识符的情况下，列出每个角色的有效特权。
- role/getRoleCustomizations - 返回为给定租户配置的自定义列表。
- 引入了 role/insertRoleCustomizationPackage，它使用作为输入提供的自定义以插入新的角色自定义包。
- role/applyRoleCustomizationPackage - 修改已应用的角色自定义包，并在系统中重新应用更改。
- role/saveAndApplyRoleCustomizationPackage - 修改已应用的角色自定义包，并在系统中重新应用更改。
- role/removeEnterpriseCustomRoles - 移除客户的所有角色自定义。
- role/removeEnterpriseProxyCustomRoles - 移除合作伙伴的所有角色自定义。
在 WAN 链路记录中引入了新的“linkMode”字段，它指示是将链路配置为以备份还是热备用模式运行。
为了防止意外删除大量 Edge，VCO 现在对可通过一次 edge/deleteEdge API 方法调用删除的 Edge 数量实施了限制。

从 4.0.0 版本开始，已弃用以下 API 功能。建议开发人员停止使用这些功能。

以下旧角色自定义 API 方法：
- role/createRoleCustomization
- role/deleteRoleCustomization
WAN 链路记录上的“vpnState”字段，现为冗余字段（“state”字段提供相同的功能）。
查询链路衡量指标的 API 方法（例如 monitoring/getAggregateEdgeLinkMetrics、metrics/getEdgeLinkMetrics）报告的“state”值，该值不再有意义。
MD5“hash”选项（在 Edge 云安全 VPN 配置中使用）。

SDK 弃用

VMware SD-WAN 计划从 4.2.0 版本开始，弃用对 VMware SD-WAN Orchestrator 软件开发工具包 (SDK) 的支持。

注意：该公告仅针对 SDK 客户端库，而不针对 API。VMware SD-WAN 将继续支持 Orchestrator API。

文档修订历史

2020 年 9 月 30 日。第一版。

2020 年 10 月 2 日。第二版。

添加了 Orchestrator 行为变化“4.0.0 版本 Orchestrator 中的远程诊断”。

2020 年 10 月 3 日。第三版。

添加了已解决的 Orchestrator 问题 50580。
将 Orchestrator 内部版本更正为 R400-20201001-GA，并将网关/Edge 内部版本更正为 R400-20201002-GA。
这些新的内部版本之间的差异反映在新的已修复请求单以及编辑的重要说明 - 自定义应用程序库更改中，它指出 VMware SD-WAN 将自动为自定义应用程序添加 mustNotPerformDpi 标记，而不是要求客户执行操作。

2020 年 10 月 17 日。第四版。

添加了新的 Orchestrator 内部版本：R400-20201014-GA；为此内部版本添加了“解决的 Orchestrator 问题”部分，其中包括在此内部版本中解决的新请求单：50975。
添加修复的 Edge 请求单 50617，第三版中忽略了此请求单。

2020 年 10 月 26 日。第五版。

添加了新的 Orchestrator 内部版本：R400-20201023-GA；为此内部版本添加了“解决的 Orchestrator 问题”部分，其中包括在此内部版本中解决的新请求单：#50978。
注意：虽然 #50978 在问题说明和影响上看起来与 #50975 非常相似，但每个问题的导致原因有所不同，这需要对每个问题使用不同的请求单和构建包含修复程序的内部版本。
添加了修复的 Edge/网关请求单 #47382。由于以前客户在实际操作中使用旧（版本 3.4.3）内部版本时未遇到此问题，因此之前的版本忽略了此问题。

2020 年 10 月 28 日。第六版。

在 SDK 弃用部分中，以下描述发生了更改：“VMware SD-WAN 计划从 4.1.0 版本开始，弃用对 VMware SD-WAN Orchestrator 软件开发工具包 (SDK) 的支持。” 其中，弃用 SDK 的版本已从 4.1.0 更改为 4.2.0。
在“Edge/网关未解决问题”中添加了问题 #33195，因为用户在实际操作中遇到了此问题。

2020 年 10 月 30 日。第七版。

向“解决的 Orchestrator 问题”中添加了新的 Orchestrator 内部版本 R400-20201028-GA，并添加了在此新内部版本中修复和解决的新问题：51634。
将为灾难恢复配置的 Orchestrator 升级到 4.0.0 后，会出现数据传输问题，而 51634 是用于解决这些问题的一系列请求单中的第三个请求单。51634 解决了历史数据存在的问题。
将 #44640 从“未解决的 Edge/网关问题”移到了“解决的 Edge/网关问题”，因为 4.0.0 GA 内部版本中包含对此请求单的修复。此外，还在请求单说明中添加了详细信息。

2020 年 11 月 18 日。第八版。

向“解决的 Orchestrator 问题”中添加了新的 Orchestrator 内部版本 R400-20201111-GA，并添加了在此新内部版本中修复和解决的新问题：#52271。

2020 年 11 月 25 日。第九版。

添加了新的网关修补程序内部版本：R400-20201124-GA-53090；为该内部版本添加了“解决的网关问题”部分，其中包括在该内部版本中解决的新请求单：#53090。

2020 年 11 月 26 日。第十版。

在“重要说明”部分下面，添加了有关“Edge 许可”的说明以指出 Orchestrator 4.0.0 和更高版本中的两处重要行为变化，在 4.0.0 发行说明的以前版本中忽略了该问题。

2020 年 12 月 7 日。第十一版。

纠正了语序错误：“从 4.0.0 版本开始，已弃用以下 API 功能。建议开发人员停止使用这些功能。”错误地置于将要弃用的项目下面，造成了明显的混淆。在该版本中已将该句调至正确位置。

2021 年 9 月 16 日。第十二版。

在重要说明中添加了以下说明：用于 AS-PATH 附加的 BGPv4 筛选器配置的分隔符更改。

2021 年 12 月 15 日。第十三版。

在“解决的 Edge/网关的问题”中添加了问题 22131，以明确说明在 4.x 和更高版本中已修复此问题。

2021 年 12 月 21 日。第十四版。

在“解决的 Orchestrator 问题”中添加了新的 Orchestrator 内部版本 R400-20211217-GA。此 Orchestrator 内部版本通过更新到 Log4j 版本 2.16.0，修复了 CVE-2021-44228（Apache Log4j 漏洞）。有关 Apache Log4j 漏洞的详细信息，请参阅 VMware 安全公告 VMSA-2021-0028.5。
在重要说明中添加了以下说明：在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制。该说明介绍了在列出的 Edge 型号的某些以太网端口上配置强制速度时可能遇到的问题。

2022 年 3 月 23 日，第十五版

在 Edge/网关已知问题部分中添加了问题 84825。
在兼容性部分下，添加了一个新的警告，指出 3.4.x 版本的软件即将结束对 Orchestrator 和网关的支持，并将于 2022 年 3 月 30 日终止常规支持 (EOGS)，于 2022 年 6 月 30 日终止技术指导 (EOTG)。这仅适用于 Orchestrator 和网关。3.4.x Edge 软件计划从 2022 年 12 月 31 日开始进入其终止支持时段。

2022 年 4 月 7 日。第十六版

在“解决的 Edge/网关问题”部分中添加了新的“修复的问题 38647”。原始发行说明中错误地忽略了此问题。

解决的问题

解决的问题分为以下几类。

解决的网关问题
解决的 Edge/网关问题
解决的 Orchestrator 问题
___________________________________________________________________

解决的网关问题

网关版本 R400-20201124-GA-53090 中解决的问题

从网关版本 R400-20201002 开始，解决了以下问题。

修复的问题 53090：在 IKE 阶段 1 重新加密后或者在隧道关闭并且必须重新启动 IKE 阶段 1 时，到通过网关的非 SD-WAN 站点的隧道可能会失败。
在 VMware SD-WAN 网关启动到非 SD-WAN 站点的隧道时，安全关联 (SA) 涉及源端口和目标端口。在建立 SA 后，需要正确填充这两个端口，以确保正确重新创建 IKE 阶段 1 SA。正如 VMware SD-WAN 4.0.0 版本发行说明中所述，VMware SD-WAN 4.0.0 版本将 IPsec 库替换为与 FIPS 140-2 兼容的 IPsec 库。作为该替换的一部分，在给定对等站点的第二次和后续协商尝试中无意中错误地设置了 SA 目标端口。

对于某些非 SD-WAN 站点，对等站点丢弃该无效端口，并返回正确的流量选择器 (TS)。对于无法解决该问题的对等站点，对等站点使用无效的端口在 TS 中进行响应，VMware SD-WAN 网关拒绝该端口，这会导致网关隧道在重新加密时或者隧道关闭并且必须重新启动 IKE 阶段 1 时失败。

如果未正确配置非 SD-WAN 站点（例如，在对等站点使用 IKEv2 时，将该站点配置为使用 IKEv1），客户很可能会遇到该问题。

解决的 Edge/网关问题

修复的问题 21281：
如果 Edge 在推送期间处理大规模流量，则无法完全处理 VMware SD-WAN Orchestrator VCO 推送到 VMware SD-WAN Edge 的某些配置更新。
修复的问题 22131：BGP 在 PIMD 发生故障或重新启动时会重新启动。
如果任何一个路由协议守护进程（bgpd、ospfd、pimd）重新启动或失败，所有路由协议守护进程都会重新启动。由于 3.4.x 或更低内部版本使用的路由架构，任何这些内部版本都存在此问题。4.0.0 及更高版本包含改进的路由架构，该架构解决了此问题，现在一个路由守护进程失败或重新启动将不会影响其他路由守护进程。

注意：尽管此新的路由架构进行了改进，但 Edge 服务重新启动会继续重新启动所有路由守护进程。
修复的问题 22990：
使用 VPN 路由（即，非云路由）的专用 NTP 服务器无法正常工作。
修复的问题 23486：
在 VMware SD-WAN Edge 上不支持启用 DHCP 的接口上的 BGP。
修复的问题 24133：
在 WAN 链路关闭并且无法使用到合作伙伴网关的其他路径时，合作伙伴网关仍将 Edge 子网重新分配给提供商 Edge 路由器，这会导致不对称路由。
修复的问题 25302：
如果在 VMware SD-WAN Edge 上禁用了数据平面服务，则“重新启动服务”无法正常工作，必须触发“重新引导”才能恢复 Edge。
修复的问题 29092：
如果 WAN IP 和 LAN IP 相同，则 1:1 NAT 规则不起作用。
修复的问题 30175：
如果 VMware SD-WAN Edge 必须向 VMware SD-WAN Orchestrator 发送非常大的 BGP 或 OSPF 路由报告，则可能不会成功地完整上载该报告，或者可能需要多次才能完成。
修复的问题 30953：
在 VMware SD-WAN Edge 上，在没有匹配 VLAN 标记的路由接口不会丢弃 VLAN 标记的 DHCP 数据包。
修复的问题 31389：
如果为 VMware SD-WAN Hub Edge 的面向客户端接口启用了覆盖网络上的 PIM，然后在通过该接口传输流量时禁用了 PIM，在该面向客户端的接口上重新启用 PIM 时，不会发送 PIM 注册消息并且不启用覆盖网络上的 PIM。
修复的问题 31971：
如果在子接口上配置了中继，则 VLAN 标记的路由接口上的 DHCP 中继功能无法正常工作。
修复的问题 32018：
如果在主接口上配置了中继，则子接口上的 DHCP 服务器无法正常工作。
修复的问题 32641：
在具有大量 VMware SD-WAN 分支 Edge（超过 2,000 个）和大量路由（超过 50,000 个）的客户企业中，重新启动 VMware SD-WAN 网关后，该网关在分配路由以及将路由同步的速度很慢。该问题影响通过 Hub Edge 的分支到分支的连接恢复。
修复的问题 33415：
如果 LAN 端 NAT 为不同的 LAN 子网配置了单个 NAT IP，则仅一个配置了静态路由的 LAN 子网正常工作。
修复的问题 34634：
到 AWS 的通过网关的非 SD-WAN 目标要求从 VMware SD-WAN 网关或 VMware SD-WAN Edge 端启动 IPSec 重新加密。
修复的问题 36005：
如果为 PPPoE WAN 链路配置了具有外部 IP 地址的端口转发规则，则不会为该规则创建子接口。
修复的问题 36091：
如果将专用链路配置为仅作为备份，则该链路设置为“不活动”而不是“备用”。
修复的问题 36460：
NetFlow 收集器 ID 与 debug.py 的详细输出和非详细输出不同步。
修复的问题 37030：
在 VMware SD-WAN Orchestrator 中为 BGP 上行链路邻居禁用默认路由选项时，不会从对等设备中撤消 BGP 默认路由。
修复的问题 37308：
如果用户删除为建立到 Zscaler 的 GRE 隧道而配置的所有链路（但未禁用云安全服务），然后更改 Zscaler IP 地址并重新配置这些链路，则必须重新启动 Edge 才能通过 GRE 隧道路由流量。
修复的问题 37746：
在极少数情况下，如果 VMware SD-WAN 网关配置了过时的 NAT 条目，并且用户流量具有与过时 NAT 条目相同的 5 元组，则在该网关中丢弃用户流量。
修复的问题 37752：
更改 Check Point VNF 的管理员密码似乎成功，但实际上并未更改。
修复的问题 37966：
在为 LAN 端 NAT 规则修改 NAT IP 时，没有从 NAT 表中移除现有流量的 SNAT 条目。
修复的问题 38623：
VRRP 响应 ICMP 以提供虚拟 IP 地址。
修复的问题 38647：在 VMware SD-WAN Edge 接口上配置 VLAN 标记后，依赖于 Edge Linux 内核进行网络连接的功能（如未激活 Edge 或 DHCP 服务器上的 ARP）发出的数据包不带 VLAN 标记，这可能会导致连接问题。
在 Edge 接口上配置 VLAN 标记后，Edge 将在 Edge Linux 内核中与该接口关联的物理接口和 VLAN 接口上配置该接口的 IP 地址。这会使 Linux 内核路由表产生混淆，并导致其在错误的接口上发出数据包。例如，应路由到子接口的数据包会改为路由到主接口，这会导致连接问题。
修复的问题 38925：
未在高可用性对中的 VMware SD-WAN Edge 之间正确同步 VPN 流量，这可能会导致通过 VPN 的有状态防火墙会话在 HA 故障切换时停止。
修复的问题 39014：
在将建立的从 IPsec 到 GRE 的 Zscaler 隧道更改为相同的 Zscaler IP 地址时，可能需要重新启动 VMware SD-WAN Edge 服务。
修复的问题 39132：
在数据包的内部 DSCP 标记为“VA”时，“从内部复制”业务策略配置没有将内部标记复制到外部标记。
修复的问题 39167：
对于为 VPN 配置的 VMware SD-WAN 网关，如果没有为 MPLS COS 配置用户定义的策略，则将外部 DSCP 标记设置为 CS0，而不是从内部 DSCP 标记进行复制。
修复的问题 39359：
对于一小组较旧的 VMware SD-WAN Edge 3x00 (3400/3800)，其 IPMI 端口（标记为“BMC”）具有无效的 MAC 地址。只有在客户具有多个出现该问题的 Edge 3x00 并且他们将 IPMI 端口连接到相同的交换机（用于集中管理 IPMI）时，才会对客户造成影响。

解决办法：解决办法是将 Edge 3x00 的相应 IPMI 端口连接到不同的交换机，而不是将 Edge 升级到 4.0.0 版本。
修复的问题 39384：
在启用了 WAN 覆盖网络的接口上启动的流量可能会在 NetFlow 统计信息中重复计算。
修复的问题 39464：
将 SNMP 代理配置为侦听非默认端口时，不会将 SNMP 访问防火墙规则更新为配置的该端口。
修复的问题 39609：
如果在一个 VMware SD-WAN Edge 上启用了 MPLS 服务类，但没有在对等 Edge 上启用 MPLS 服务类，并配置了通过业务策略的链路转向，则可能会报告不正确的数据包丢失。
修复的问题 39635：
在未编辑云 VPN 设置的情况下，用户无法检查是否在配置文件级别启用了条件回传，并且无法查看是否在 Edge 级别启用了条件回传。
修复的问题 39931：
在远程诊断“接口状态”(Interface Status) 上不显示 VMware SD-WAN Edge 的 SFP 端口的自动协商状态。
修复的问题 39933：
在 MTU 配置为小于 1500 时，不会发出系统生成的 NetFlow 数据包。未正确执行数据包分片。
修复的问题 39965：
如果深度包检测 (DPI) 引擎最初无法确定创建大流量的应用程序类型，流量创建将会花费更多的时间。
修复的问题 40038：
在 Edge 610 中部署的某些铜质 SFP，即使没有插入任何电缆，也会在 VMware SD-WAN Orchestrator UI 上将链路显示为“启动”。
修复的问题 40043：
对于启用了 DPDK 的 VMware Edge 840，如果运行远程诊断“接口状态”(Interface Status)，则不会显示 SFP 接口的速度。
修复的问题 40076：
VMware SD-WAN Edge 的诊断包缺少有关插入到该 Edge 的 SFP 的详细信息。
修复的问题 40348：
对于使用 DNS 解析 Zscaler CSS 端点名称的 VMware SD-WAN Edge，在 Edge 无法解析主端点时，Edge 不尝试解析辅助端点。
修复的问题 40350：
在 VMware SD-WAN 网关上的 debug.py --verbose_routes 输出中，具有通过网关的非 SD-WAN 目标对等位置（也称为数据中心）的路由不显示路由标记。
修复的问题 40395：
Hub 路由以错误的顺序安装在 VMware SD-WAN Edge 中，它在一个配置文件中为分支，而在另一个配置文件中为 Hub。
修复的问题 40486：
在极少数情况下，在处理并应用从 VMware SD-WAN Orchestrator 推送的 BGP 配置时，VMware SD-WAN Edge 可能会遇到数据平面服务故障。
修复的问题 40488：
虽然启用了配置文件隔离，但 VMware SD-WAN Edge 建立到没有位于同一配置文件的其他 Edge 的动态隧道。
修复的问题 40497：
如果 S3 存储桶仅支持签名 V4 身份验证，从 AWS S3 下载 VNF 映像将会失败。
修复的问题 40639：
从远程客户端收到 ICMP 回复以作为第一个数据包时，VMware SD-WAN Edge 不会转发该数据包，但将其记录为有效的 ICMP 会话。
修复的问题 40644：
在启用了有状态防火墙的情况下，具有端口 0 的 UDP 数据包将按预期丢弃，但在防火墙会话表中显示为 ICMP。
修复的问题 40696：
在集群中处于活动状态的 VMware SD-WAN Hub Edge 上禁用 BGP 时，不会将该 Hub Edge 的 BGP 路由数设置为 0，也不会按预期触发自动故障切换。
修复的问题 40777：
对于只能通过默认 (0.0.0.0/0) 路由在 VPN 上访问的服务器，将 VMware SD-WAN Edge 事件的 syslog 导出到该服务器无法正常工作。
修复的问题 40852：
VMware SD-WAN Edge 520 可能不会保存 Edge 上的所有内核崩溃且包含在日后的诊断包中。
修复的问题 40988：
在 VMware SD-WAN Edge 型号 500、510 和 520 上，本地 UI 可能需要很长的时间才会启动或完全超时。
修复的问题 41176：
在内部地址是接口地址时，SNMP 轮询不适用于 LAN 端 NAT 规则的外部地址。
修复的问题 41264：
非高可用性拓扑中的 VMware SD-WAN Edge 执行不必要的高可用性丢弃检查。
修复的问题 41299：
在将接口 IP 作为 LAN 端 NAT 规则的外部地址时，Ping 回复来自于内部地址而不是外部地址。
修复的问题 41892：
对于非全局分段上的 ICMP 流量，NetFlow 日志将客户端的源 MAC 值显示为 00:00:00:00:00:00。
修复的问题 42314：
未在覆盖网络中通告未选中首选标记的静态路由。
修复的问题 42479：
内核崩溃事件在 VMware SD-WAN Orchestrator 上不显示日志的完整详细信息，因为 VMware SD-WAN Edge 不会将崩溃日志详细信息发送到 Orchestrator。
修复的问题 42480：
在使用 Telnet 连接到在 VMware SD-WAN Edge 上部署的 Check Point VNF 的控制台时，回车符数量增加一倍。
修复的问题 42577：
不会为转换为无线的有线链路运行动态带宽调整。
修复的问题 42877：
在 VMware SD-WAN Edge 型号 620、640 和 680 上，多速率光学 SFP 在 1G 模式下无法正常工作。
修复的问题 42987：
对等体启动的流量不包含正确的应用程序和类 ID，这会导致 VMware SD-WAN Hub Edge：a) 为应用程序名称报告不同于分支 Edge 的 Orchestrator 统计信息；b) Hub 无法根据应用程序匹配对等体流量。
修复的问题 43018：
即使禁用了有状态防火墙，SD-WAN Edge 上的远程诊断也会显示“防火墙”(Firewall) 实用程序，从而给客户造成混淆。
修复的问题 43504：
将实时 TCP 从复制覆盖为 NACK 时，将创建一条日志消息。
修复的问题 43613：
当接口在出现延迟后收到其 DHCP IP 时，可能无法通过路由接口建立 OSPF 邻居关系。
修复的问题 43616：
如果 VMware SD-WAN Edge 检测到磁盘损坏或磁盘硬件错误，并不会向 VMware SD-WAN Orchestrator 报告这些事件，以便将其发布在“事件”(Events) 中。
修复的问题 44212：
对于使用高可用性拓扑的站点，如果重新引导活动 VMware SD-WAN Edge（导致升级备用 Edge），并且用户同时在 VMware SD-WAN Orchestrator 上为该 Edge 禁用高可用性，LAN 连接可能会中断。在遇到该问题时，备用 Edge 将作为现在的独立 Edge 启动，但 HA 接口仍然存在，并且所有 LAN 端口变为已阻止状态。
修复的问题 44233：
在生成诊断包时，如果在 VMware SD-WAN Edge 连接到的 VMware SD-WAN 网关上运行 debug.py --remote_routes 命令，该 Edge 将遇到数据平面服务故障。

解决办法：没有该问题的解决办法。
修复的问题 44259：
SNMP 遍历在某些 VMware SD-WAN Edge 接口组合上失败，包括具有 VLAN 标记的 PPPoE 和专用 WAN 接口。
修复的问题 44531：
对等体启动的流量不包含正确的应用程序和类 ID。该问题将影响使用 VMware SD-WAN Hub Edge/分支 Edge 拓扑的客户。
修复的问题 44640：
在高可用性拓扑中使用 VMware SD-WAN 虚拟 Edge 的客户站点上，在极高的流量负载条件下，备用 Edge 可能会进入频繁断开并重新连接到活动 Edge 的状态，这也可能会导致备用 Edge 遇到数据平面服务故障并重新启动。用户还将在 Orchestrator 上看到大量 HA_FAILED 和 HA_READY 消息。
修复的问题 44706：
在 VMware SD-WAN Edge 型号 520 或 540 上未正确记录突然断电事件。
修复的问题 44880：
在修改包含宽松 IP 优先级的 MPLS COS 配置时，VMware SD-WAN 网关可能会遇到数据平面服务故障。
修复的问题 44964：
对于为通过 GRE 隧道传输的数据包生成的 ICMP fragmentation needed 消息，MTU 设置为无效的值。
修复的问题 45233：
在 Edge 到云的流量使用 Internet 回传（通过业务策略）从底层网络路径切换到覆盖网络路径时，VMware SD-WAN Hub Edge 可能会丢弃数据包。
修复的问题 45255：
在未配置 VLAN 时，syslog 防火墙日志将目标 VLAN 显示为 524287。
修复的问题 45414：
如果 PPPoE 接口具有包含“=”的密码，则 VMware SD-WAN Edge 可能无法启动，并在 Edge 诊断包的 vc_procmon.log 中显示 ValueError: too many values to unpack 错误。
修复的问题 45542：
从 Hub 集群中移除 VMware SD-WAN Hub Edge 时，分支 Edge 仍与该移除的 Hub Edge 关联，而不会重新分配给集群中的其他 Hub Edge。

解决办法：对于移除的 Hub Edge，请转到“远程诊断”(Remote Diagnostic) >“重新均衡 Hub 集群”(Rebalance Hub Cluster)，然后运行“重新分配分支，不包括该 Hub”(Redistribute Spokes excluding this Hub) 实用程序。
修复的问题 45661：
对于 VMware SD-WAN Edge 型号 610、620、640 和 680，SFP 端口 1 和 2 具有以下 LED 行为：1G 速度将显示琥珀色 LED，而 10G 速度显示绿色。
修复的问题 45810：
在 VMware SD-WAN Edge 型号 3400 或 3800（Intel X722 控制器使用较旧的固件）上，如果 SFP1 和 SFP2 接口是空的或安装了不支持的 SFP 模块，则无法使用这些 SFP 接口。这种情况会阻止 Edge 数据平面服务启动，从而导致不会通过该 Edge 传输客户流量。

解决办法：在 VMware SD-WAN Orchestrator UI 上，通过配置 (Configure) > Edge > 设备 (Device) 页面的“接口”(Interfaces) 部分可禁用 SFP1 和 SFP2 接口。
修复的问题 45842：
如果在 VMware SD-WAN Edge 上为同一前缀学习多个路由，在与远程对等体之间的隧道抖动期间，可能会撤消以前向 BGP 对等体通告的远程路由，并且可能永远不会再次通告。
修复的问题 45903：
如果配置了 2040 个出站防火墙规则，并在 3 个分段中发送与这些规则匹配的流量，即，每个分段（1 个全局分段和 2 个非全局分段）具有 680 个匹配项，则 VMware SD-WAN Edge 可能会遇到数据平面服务故障。
修复的问题 46035：
对于通过 Edge 的非 SD-WAN 目标，如果对等体发送超大的 IPsec 数据包，然后将其分片（AWS 执行该操作），则 Edge 不处理分片的 IPsec 数据包并将其丢弃。
修复的问题 46361：
只有在再次使用子路径以传输数据时，才会重置并重新测量在子路径上测量的抖动和延迟值。
修复的问题 46794：
用户无法使用需要单核 CPU 的 VM00/VM01 许可证部署 Fortinet VNF。
修复的问题 47020：
使用 3.4.0 版本的 VMware SD-WAN 网关可能会将通过网关的非 SD-WAN 目标隧道标记为“启动”，即使该隧道已关闭。
修复的问题 47166：
snmpagent 从 VMware SD-WAN Edge 中错误地报告多个数据集，从而导致通过 SNMP 轮询的测量不正确，这会对客户的监控服务造成不利的影响。
修复的问题 47338：
在某些情况下，VMware SD-WAN Orchestrator 推送 VMware SD-WAN Edge 在同一检测信号上同时接收的设备配置更改和控制平面更改，并且 Edge 由于更新超时而无法更新其配置。可以在 Edge 诊断包的 mgd.log 中看到该错误，并显示“CommunicationError("timeout('timed out',)”消息。
修复的问题 47591：
由于 VMware SD-WAN 网关和 VMware SD-WAN 分支 Edge 中的不对称路由，划分为“实时”并使用动态 Edge 到 Edge 隧道的第一个流量可能会发生数据包丢失。
修复的问题 47731：
使用 3.3.2 P2 版本并将业务策略配置为限制流量速率的 VMware SD-WAN Edge 实际上不会为下游流量实施速率限制。
修复的问题 47832：
当到 VMware SD-WAN 网关的隧道关闭并且流量故障切换到直接传输时，直接流量可能会因为在清理到网关的隧道期间错误地移除了 NAT 条目而出现故障，但发生这种情况的可能性不大。
修复的问题 47925：
如果路由上的下一跃点与邻居的 IP 不同，通过 BGP 学习的路由将具有不正确的邻居 IP。
修复的问题 47954：
对于使用 VMware SD-WAN Edge 型号 5X0 或 6X0 的客户站点，远程操作“强制 HA 故障切换”(Force HA Failover) 无法正常工作。对于该操作，将启动故障切换，但原来的活动 Edge 仍保留为 HA 对中的活动角色，并且没有将备用 Edge 升级为活动角色。

解决办法：没有该问题的解决办法。
修复的问题 48060：
如果 VMware SD-WAN Edge 具有相对较低的可用 WAN 链路带宽容量（总共 1-2 Mbps），在 Edge 升级期间尝试下载 Edge 升级软件时，下载可能会无限期停止并且永远不会完成。
已修复问题 48159：在以高可用性拓扑部署 VMware SD-WAN Edge 的站点中，进行 HA 故障切换后，可能会发现两个 Edge 均被停用，并且需要重新激活这两个 Edge。
此问题是由一种罕见情况造成的，即站点进入“脑裂”场景，在这种场景中，两个 Edge 在由活动 Edge 重新启动导致的故障切换后均处于活动状态。尽管两个 Edge 均处于“活动”状态，但每个 Edge 向 Orchestrator 发送的序列号都不正确，同时 Orchestrator 会将两个不正确的序列号与其已存储的序列号进行比较，当 Orchestrator 发现不匹配时，会向每个 HA Edge 发送停用命令。
修复的问题 48186：
如果通过专用链路在两个 VMware SD-WAN Edge 之间配置了 BGP 对等连接，然后将 ICMP 探测配置为 Ping 同一专用链路上的 Edge，执行 Ping 操作的 Edge 可能会遇到数据平面服务故障。
修复的问题 48391：
如果为一个云安全服务 (CSS) 配置了域名（而不是 IP 地址），VMware SD-WAN Edge 将通过本地生成的 DNS 请求解析该 CSS，并将该信息存储在 Edge 的 DNS 缓存中；在 DNS 缓存超时后，该信息将会丢失。不过，如果 DNS 解析失败，Edge 也不会存储上次解析的 IP 地址。结果，在由于网络问题而重试 IPsec 隧道或 IKE 重新加密期间，如果 Edge 需要再次解析 CSS 域名，IPsec 隧道将由于 DNS 失败而不会启动。
修复的问题 48462：
在将 VMware SD-WAN Edge 升级到 3.4.1 版本时，将从 Edge 的路由表中移除默认路由（即，路由目标 = 0.0.0.0），这会导致使用该 Edge 的用户无法访问 Internet。

解决办法：重新启动 Edge 服务将会恢复默认路由。在受影响的 Edge 的 VMware SD-WAN Orchestrator 上，转到远程操作 (Remote Actions) > 服务重新启动 (Service Restart)。
修复的问题 48627：
在极少数情况下，处理包含“Options”负载的 TCP_SYN 数据包时，VMware SD-WAN Edge 可能会发生数据平面服务故障，因为数据包处理可能会超过“Options 列表末尾”并触发异常。

解决办法：没有该问题的解决办法。
修复的问题 48824：
在启用了“有状态防火墙”(Stateful firewall) 和“Syslog 转发”(Syslog Forwarding) 的情况下，VMware SD-WAN Edge 可能会由于不对称流量而多次发生数据平面服务故障。

解决办法：请在 VMware SD-WAN Orchestrator 的“防火墙”(Firewall) 选项卡下面禁用“Syslog 转发”(Syslog Forwarding)。
修复的问题 49170：
在重新发送流量由于路由重新聚合（例如，公用 WAN 链路抖动）从覆盖网络切换到底层网络时，VMware SD-WAN Edge 可能会发生数据平面服务故障。
修复的问题 49209：
在 VMware SD-WAN Edge 型号 520 或 540 上，在来自 LAN 1-4 的 LAN 端口和来自 LAN 5-8 的 LAN 端口分别配置为同一 VLAN 时，这些端口不会相互转发数据包。
修复的问题 49485：
对于从其他 Edge 回传的流量，第一个数据包应用程序分类不适用于 VMware SD-WAN Hub Edge。
修复的问题 49531：
基于策略的 NAT 条目可能会从 VMware SD-WAN 合作伙伴网关中消失；如果发生这种情况，将导致客户中断。
修复的问题 49734：
在运行远程诊断“BGP 故障排除 - 列出 BGP 重新分发的路由” 时，VMware SD-WAN Orchestrator UI 上的输出未正确显示这些条目（如果按分段筛选）。
修复的问题 50231：
对于企业将特殊 MGMT-IP 版本用于其 VMware SD-WAN Edge 的客户（即，为要求使用全局分段环回的客户启用了 Edge 管理 IP），没有将 Edge 管理 IP 地址重新分配给 BGP/OSPF。
修复的问题 50617：
当连接到 VMware SD-WAN Edge 510 中的 Wi-Fi 的客户端尝试从 Internet 下载大型文件，或者连接到 Edge 510 Wi-Fi 的多个 LAN 客户端尝试同时从 Internet 下载文件时，下载会停止，然后所有 LAN 客户端将无法访问 Internet。

解决的 Orchestrator 问题

Orchestrator 版本 R400-20211217-GA

Orchestrator 版本 R400-20211217-GA 于 2021 年 12 月 20 日发布。此 Orchestrator 内部版本通过更新到 Log4j 版本 2.16.0，修复了 CVE-2021-44228（Apache Log4j 漏洞）。有关 Apache Log4j 漏洞的详细信息，请参阅 VMware 安全公告 VMSA-2021-0028.5。

___________________________________________________________________

R400-20201111-GA 版本中解决的问题

从 Orchestrator R400-20201028-GA 版本开始，已解决了以下问题

修复的问题 52271：在将 VMware SD-WAN Orchestrator 升级到 4.0.0 版本时，如果在客户企业中的任何 VMware SD-WAN Edge 上存在使用 Edge 覆盖的云安全服务 (CSS) 的业务策略，则用户无法更改 CSS 配置。
用户将会在配置 (Configure) > Edge > 设备 (Device) 的“云安全服务”(Cloud Security Service) 部分中遇到该问题。该问题影响客户，因为用户无法更改 CSS 提供程序。该问题是在 4.0.0 上添加的 UI 验证造成的，该验证旨在防止用户更改 Edge 覆盖的 CSS 提供程序（如果该 CSS 用于同一 Edge 的任何 Edge 级业务策略）。不过，Orchestrator 检查客户企业中的所有 Edge，而不是将检查限制为配置的 Edge 的业务策略。

__________________________________

R400-20201028-GA 版本中解决的问题

从 Orchestrator R400-20201023-GA 版本开始，已解决了以下问题

修复的问题 51634：将部署在灾难恢复 (DR) 拓扑中的 VMware SD WAN Orchestrator 升级到版本 4.0.0 后，会出现以下症状：
(a) 由于低效数据库查询导致系统过载，Web UI 加载速度比预期慢。
(b) API 调用可能会超时，并且在 UI 上显示“网关超时错误 (Gateway timeout error)”消息。
版本 4.0.0 将统计数据存储方式从 MySQL 更改为 ClickHouse。由于此更改，在基于 DR 的升级过程中将发生数据迁移。设置了 DR 后，4.0.0 版本之前的 Orchestrator 将保持活动状态，而新升级的 4.0.0 Orchestrator 将处于 STANDBY_RUNNING 模式，等待升级。当 4.0.0 Orchestrator 处于 STANDBY_RUNNING 模式时，上载到活动 Orchestrator 的任何新数据都将继续迁移到 4.0.0 备用 Orchestrator。历史数据的迁移使用的是向活动 Orchestrator 发出的低效查询，这可能会导致运行 4.0.0 以下版本的活动 Orchestrator 上的 MySQL 负载增加。负载增加后将会出现 API 速度缓慢、UI 加载缓慢和超时错误。

__________________________________

R400-20201023-GA 版本中解决的问题

从 Orchestrator R400-20201014-GA 版本开始，已解决了以下问题

修复的问题 50978：将部署在灾难恢复 (DR) 拓扑中的 VMware SD WAN Orchestrator 升级到版本 4.0.0 后，会出现以下症状：
a) 由于低效数据库查询导致系统过载，Web UI 加载速度比预期慢。
b) API 调用可能会超时，并且在 UI 上显示“网关超时错误 (Gateway timeout error)”消息。
版本 4.0.0 将统计数据存储方式从 MySQL 更改为 ClickHouse。由于此更改，在基于 DR 的升级过程中将发生数据迁移。设置了 DR 后，4.0.0 版本之前的 Orchestrator 将保持活动状态，而新升级的 4.0.0 Orchestrator 将处于 STANDBY_RUNNING 模式，等待升级。当 4.0.0 Orchestrator 处于 STANDBY_RUNNING 模式时，上载到活动 Orchestrator 的任何新数据都将继续迁移到 4.0.0 备用 Orchestrator。但是，新数据的迁移使用的是向活动 Orchestrator 发出的低效查询，从而导致运行 4.0.0 以下版本的活动 Orchestrator 上的 MySQL 负载增加。负载增加后将会出现 API 速度缓慢、UI 加载缓慢和超时错误。

__________________________________

R400-20201014-GA 版本中解决的问题

从 Orchestrator R400-20201001-GA 版本开始，已解决了以下问题。

修复的问题 50975：将部署在灾难恢复 (DR) 拓扑中的 VMware SD WAN Orchestrator 升级到版本 4.0.0 后，会出现以下症状：
(a) Orchestrator 监控图表中显示重复数据。
(b) 由于低效数据库查询导致系统过载，Web UI 加载速度比预期慢。
(c) API 调用可能会超时，并且在 UI 上显示“网关超时错误 (Gateway timeout error)”消息。
版本 4.0.0 将统计数据存储方式从 MySQL 更改为 ClickHouse。由于此更改，在基于 DR 的升级过程中将发生数据迁移。设置了 DR 后，4.0.0 版本之前的 Orchestrator 将保持活动状态，而新升级的 4.0.0 Orchestrator 将处于 STANDBY_RUNNING 模式，等待升级。当 4.0.0 Orchestrator 处于 STANDBY_RUNNING 模式时，上载到活动 Orchestrator 的任何新数据都将继续迁移到 4.0.0 备用 Orchestrator。但是，新数据的迁移最终可能会复制已在 DR 设置阶段迁移的数据，从而导致数据重复，并增加运行 4.0.0 之前代码的活动 Orchestrator 上的 MySQL 负载。负载增加后将会出现 API 速度缓慢、UI 加载缓慢和超时错误。

__________________________________

R400-20201001-GA 版本中解决的问题

从 Orchestrator R343-20200910-GA 版本开始，已解决了以下问题。

修复的问题 25134：
对于配置为高可用性的 VMware SD-WAN 分支 Edge，VMware SD-WAN Orchestrator 检测不到备用 Edge，并显示“挂起的备用检测”(Pending standby detect) 消息，即使处于活动状态的分支 Edge 检测到备用 Edge。
修复的问题 28260：
在高可用性拓扑中成功设置一对 VMware SD-WAN Edge 后，Edge 在 VMware SD-WAN Orchestrator 的“监控”(Monitoring) 页面上将其 HA 状态显示为“待取消关联”(Pending Dissociation)。
修复的问题 29165：
在运行远程诊断“列出路径”(List Paths) 时，列名称发生重叠。
修复的问题 31410：
如果 VMware SD-WAN Edge 尝试将大量路由推送到 VMware SD-WAN Orchestrator，Orchestrator UI 页面将显示“504 服务器错误: 在尝试加载该 Edge 的页面时，网关超时”(504 Server Error: Gateway Time-Out when trying to load that Edge's page)。
修复的问题 32267：
在配置为灾难恢复的 VMware SD-WAN Orchestrator 上，如果在统计信息表中包含重复的条目，复制将停止。
修复的问题 32282：
在操作员尝试为客户升级 Edge 许可证版本时，UI 屏幕立即停止，并且挂起圆圈无限期地旋转。
修复的问题 32558：
在一个或多个客户企业配置文件正在使用某个合作伙伴网关时，VMware SD-WAN Orchestrator 允许用户从网关池中移除该网关。
修复的问题 33001：
在用户从覆盖网络流量控制 (OFC) 中删除学习的路由时，VMware SD-WAN Orchestrator UI 将显示“com.labels.itemsDeleted”消息。
修复的问题 33157：
对于角色无权访问“Edge 清单”(Edge Inventory)、“Orchestrator 所有者”(Orchestrator Owner) 和“管理 Orchestrator”(Manage Orchestrator) 选项的用户，VMware SD-WAN Orchestrator 为其显示这些选项。
修复的问题 33454：
如果创建 Azure Hub 通过网关的非 SD-WAN 目标站点的用户
使用的 IaaS 订阅具有过期或无效的 client_secret，VMware SD-WAN Orchestrator 不显示错误消息。
修复的问题 33997：
由于 MySQL 查询没有分区概念，getEdgeDeviceMetrics API 未进行性能优化。
修复的问题 34182：
“监控”(Monitor) >“传输”(Transport) 选项卡的“链路/传输组”(Links/Transport group) 部分中的“总字节数”(Total Bytes) 值与按传输类单独列出的值之和不匹配。
修复的问题 35307：
如果用户使用 VMware SD-WAN Orchestrator UI 在 VMware SD-WAN Edge 级别禁用 SNMP 设置，由于在基于分段的设备配置中缺少 SNMP 部分，无法应用作为配置向下推送的 SNMP 设置。
修复的问题 35864：
具有“业务专家”角色的合作伙伴管理员无法在 VMware SD-WAN Orchestrator 上创建新的客户。
修复的问题 36028：
不会自动从 VMware SD-WAN Orchestrator 中清除超过四周的 VMware SD-WAN Edge 流量统计信息。
修复的问题 36354：
在“网络概览”(Network Overview) 中使用时，VMware SD-WAN Orchestrator 没有实施支持的最低 Edge 软件版本系统属性。
修复的问题 36363：
API 方法 monitor/getEnterpriseEdgeStatus 限制为 64 个 Edge，并且不包含指定时间的所有 Edge 衡量指标。在 swagger 文档中也未充分说明该 API。
修复的问题 36601：
如果用户将公用 WAN 链路更改为专用 WAN 链路，VMware SD-WAN Orchestrator 仍允许用户配置云安全服务 GRE 隧道。
修复的问题 36690：
API 方法 /monitoring/getAggregateEdgeLinkMetrics 和 /metrics/getEdgeLinkMetrics 返回无意义的“state”值，在 VMware SD-WAN API 文档中未正确介绍该值。
修复的问题 38037：
VMware SD-WAN Orchestrator 不提供在 Edge 级别启用还是禁用有状态防火墙的视觉反馈。
修复的问题 38178：
即使业务策略正在使用某个云安全服务，用户也可以在客户配置文件的设备设置中禁用该 CSS。
修复的问题 38180：
在将路由从“I”类型更新为“EU”类型时，VMware SD-WAN Orchestrator 不会发送具有重新计算的路由成本的响应。
修复的问题 38417：
如果 Edge 3810 型号类型在支持和排除的型号列表中均不存在，则将其添加到不排除列表中。
修复的问题 38504：
API 方法 monitoring/getNetworkGatewayStatus 返回的响应通常不包含请求时间的所有网关状态衡量指标。该 API 方法在其架构验证和日期/时间验证中也设置了过高的限制。最后，在 swagger 文档中未正确介绍该 API 方法。
修复的问题 38826：
在配置了灾难恢复 (DR) 的 VMware SD-WAN Orchestrator 上，备用 Orchestrator 可能会尝试从活动 Orchestrator 中复制不可用的报告，因为数据记录容器是在创建物理文件之前创建的。
修复的问题 39032：
在用户从覆盖网络流量控制 (OFC) 部分中删除前缀时，VMware SD-WAN Orchestrator 未提供明确的消息以确认该操作。
修复的问题 39119：
VMware SD-WAN Orchestrator 在“监控”(Monitor) >“事件”(Events) 页面上为“Edge 关闭”(Edge Down) 显示不正确的警示传送时间。
修复的问题 39146：
用户可以配置两个静态路由，它们具有相同的路由和相同的下一跃点。
修复的问题 39186：
如果用户尝试使用脚本注入以创建 VMware SD-WAN 网关，VMware SD-WAN Orchestrator 将阻止该尝试，但不会在 UI 上显示错误。
修复的问题 39474：
用户可以为 WAN 端口启用 RADIUS 身份验证，即使仍会启用 WAN 覆盖网络。
修复的问题 39544：
在 VMware SD-WAN Orchestrator UI 中，没有为用户提供禁用 WAN 链路的路径 MTU 发现的选项。
修复的问题 39560：
如果用户为远程诊断“刷新流量”(Flush Flows) 提供的输入无效，将在远程诊断“刷新防火墙会话”(Flush Firewall Sessions) 下面显示错误消息。此外，如果用户为远程诊断“刷新防火墙会话”(Flush Firewall Sessions) 提供的输入无效，则不会返回任何错误。
修复的问题 39565：
如果为对象组中的地址/端口组注入脚本，将导致 VMware SD-WAN Orchestrator UI 窗口不断加载，而不会引发错误。
修复的问题 39635：
用户无法在配置文件或 Edge 级别查看条件回传配置。
修复的问题 39639：
如果用户为远程诊断“NAT 表转储”(NAT Table Dump) 提供的输入无效，即使诊断失败，VMware SD-WAN Orchestrator 也不会抛出错误消息。
修复的问题 40000：
即使为 VMware SD-WAN Hub 集群分配了 Edge Hub，用户也可以删除该集群。
修复的问题 40239：
具有超级用户角色的合作伙伴管理员可以通过 updateEnterpriseProxy API 调用配置以下属性：operateGateways、configurationId、gatewayPoolIds 和 gatewayPoolId。
修复的问题 40302：
即使 VMware SD-WAN Hub 集群配置为在分支到分支 VPN 中使用，用户也可以删除该 Hub 集群。
修复的问题 40314：
即使将 VMware SD-WAN Hub 集群配置为用作回传 VPN Hub，用户也可以删除该 Hub 集群。
修复的问题 40422：
操作员用户可以使用 API 编辑客户企业，即使企业未配置为将该授权委派给操作员。
修复的问题 40423：
在 VMware SD-WAN Orchestrator UI 应该为通过网关的非 SD-WAN 目标配置对话框显示“无更改”(No changes) 消息时，它错误地显示“已成功保存更改”(Changes saved successfully) 消息。
修复的问题 40493：
即使使用客户配置文件的 VMware SD-WAN Edge 正在使用 BGP 筛选器，用户也可以在客户配置文件级别删除该筛选器。
修复的问题 40495：
在客户配置文件级别，VMware SD-WAN Orchestrator 没有对 VLAN 名称字段中的无效字符进行验证检查。
修复的问题 40567：
即使客户的配置文件包含合作伙伴网关（无法克隆），用户也可以克隆客户企业，并且没有显示明确的错误消息以说明尝试这样做失败的原因。
修复的问题 40576：
VMware SD-WAN Orchestrator 没有基于令牌的身份验证的配置参数。
修复的问题 40595：
在操作员更改“客户的操作员配置文件”(Customer's Operator Profile) 和“分布式成本计算”(Distributed Cost Calculation) 属性时，将为一处更改（而不是两处）显示警告消息。
修复的问题 40698：
如果用户尝试将 Edge 许可证版本从企业版升级到高级版，尝试将失败，并且用户看到“企业版与现有分配相同”(enterprise edition is the same as existing assignment) 消息。
修复的问题 40746：
与子接口关联的已连接子网和静态路由可能不会在 VMware SD-WAN Orchestrator 的“配置”(Configure) >“覆盖网络流量控制”(Overlay Flow Control) 屏幕上按预期方式显示。
修复的问题 40793：
在监控 (Monitor) > 覆盖网络流量控制 (Overlay Flow Control) 页面上，用于选择行的下拉菜单错误地将“全选”(Select All) 显示为“0”，而不是显示可显示的行数。
修复的问题 40850：
在监控 (Monitor) > 覆盖网络流量控制 (Overlay Flow Control) 页面上，如果在筛选路由时出现错误，则显示的错误消息不正确。
修复的问题 40880：
在使用 3.3.2 版本的 VMware SD-WAN Edge 中，同步的流量统计信息处理不会插入流量。
修复的问题 41568：
VMware SD-WAN Orchestrator 显示在 3.3.x 之前弃用的几个 flowStats 系统属性。 Orchestrator 还缺少具有默认值的 retention.flowstats.days 属性，以向客户清楚地说明默认值是什么，并且可以对其进行修改。
修复的问题 42088：
即使禁用了 HA 接口，用户也可以为 VMware SD-WAN Edge 启用高可用性。
修复的问题 42125：
用户可以配置具有链路转向的业务策略以使用备份或热备用 WAN 链路。
修复的问题 42250：
在使用 API 调用 configuration/updateConfigurationModule 更新 WAN 链路配置时，该 API 不会对 dynamicBwAdjustmentEnabled WAN 链路选项执行类型正确性检查。
修复的问题 42697：
在 VMware SD-WAN Orchestrator 的“事件”(Events) 页面上，如果用户更改时间筛选器，任何其他事件筛选器（不包括“Edge 名称为”(Edge name is)）将显示在页面上，但不会实际应用于结果。
修复的问题 42816：
可以为 Zscaler CSS 配置选择 MD5 哈希。 MD5 不是 Zscaler 部署支持的哈希。
修复的问题 42989：
用于克隆企业的 API 调用应在响应中报告相应的错误，以防请求格式错误而不符合指定的架构。
修复的问题 43025：
在 510-LTE Edge 中，VCO 允许从设备设置中禁用 CELL1 接口，即使该接口与业务策略相关联。在业务策略中使用 CELL1 接口时，该修复禁止将其禁用。
修复的问题 43213：
在目标 Hub 具有现有的站点到站点 VPN 连接时，Azure 虚拟 Hub 通过网关的非 SD-WAN 目标部署将失败。
修复的问题 43300：
在属于另一个租户的 API 令牌具有相同的名称时，用户无法创建令牌。
修复的问题 43466：
VMware SD-WAN Orchestrator 为 VLAN 和接口地址范围生成的网络掩码与用户指定的 CIDR 前缀不一致。
修复的问题 43551：
VMware SD-WAN Orchestrator 发送的警示电子邮件显示不正确的“发件人”电子邮件地址。
修复的问题 44002：
如果 VMware SD-WAN Orchestrator 上的企业为 100 多个 VMware SD-WAN Edge 启用云 VPN Edge 到 Hub，该 Orchestrator 的速度将显著下降。
修复的问题 44160：
VMware SD-WAN Orchestrator 不检查“设备设置”(Device Settings) 中的 VLAN 寻址“类型”输入是否有效。
修复的问题 44255：
在监控 (Monitor) > Edge > 目标 (Destinations) 选项卡上没有按目标 IP 地址筛选的选项。
修复的问题 44345：
在配置 (Configure) > 设备 (Device) > VRRP 设置 (VRRP Settings) 上，接口下拉列表显示不正确的接口。
修复的问题 44648：
在监控 (Monitor) > Edge 概览 (Edge Overview) 页面上，“云状态”(Cloud Status) 和“VPN 状态”(VPN Status) 是单独的项目，应将它们合并为一个称为“链路状态”(Link Status) 的状态。
修复的问题 44674：
与 Microsoft Teams 或 Skype for Business 应用程序匹配的流量划分为具有低优先级和事务类的常规 Skype 流量。
修复的问题 44737：
具有支持角色的操作员可以编辑 Orchestrator 升级页面。
修复的问题 44739：
如果 Orchestrator 升级横幅包含无效的字符，错误消息未充分说明该问题。
修复的问题 44741：
在创建新的客户时，Orchestrator 升级横幅可能会消失。
修复的问题 44871：
WLAN 接口仍具有“强制 Web 门户”(Captive Web Portal) 复选框，即使该功能在 3.0.0 中已弃用并在 3.3.0 中完全移除。
修复的问题 46186：
VMware SD-WAN Orchestrator 删除自动检测到的 WAN 覆盖网络，即使用户在对话框屏幕中取消了更改，并且未在“WAN 覆盖网络”(WAN Overlay) 屏幕上保存更改。
修复的问题 46267：
如果合作伙伴管理员使用 API 调用 getEdgeGatewayAssignments，结果将包括未分配给该合作伙伴的企业。
修复的问题 46335：
对于在灾难恢复拓扑中配置的 VMware SD-WAN Orchestrator，在升级备用 Orchestrator 时，可能会禁用“警示和通知”(Alerts and Notifications)。
修复的问题 46836：
在将 VMware SD-WAN Orchestrator 升级到 3.4.2 版本后，无法移除 Orchestrator 升级横幅。
修复的问题 46901：
如果在使用灾难恢复拓扑的 VMware SD-WAN Orchestrator 上配置了检测信号传播因子，并且在 VMware SD-WAN Edge 脱机时发生了 DR 故障切换，该 Edge 在恢复联机时可能未正确接收配置更新。
修复的问题 46982：
在极少数情况下，长时间运行的后端作业（例如，用于执行 Azure 虚拟 WAN 的作业）可能会在执行期间由于进程“自动终止”策略而过早停止。
修复的问题 47005：
用于 Webhook“测试”警示负载的日期/时间格式与实际警示的日期/时间格式不同。
修复的问题 47718：
在 VMware SD-WAN Orchestrator 上禁用的用户仍具有 API 令牌访问权限。
修复的问题 48361：
稳定的链路在网络概览 (Network Overview) 页面上计为“不稳定”(Unstable)。
修复的问题 48790：
仅具有 VMware SD-WAN 虚拟 Edge 的客户配置文件无法在业务策略规则中配置链路转向。
修复的问题 48951：
具有标准角色的客户管理员仍然可以编辑 BGP 设置，即使在通过角色自定义将该设置的标准角色设置为只读后。
修复的问题 50580：
在极少数情况下，在传送 Webhook 警示时，VMware SD-WAN Orchestrator 的警示传送机制遇到意外错误。这可能会导致将来在所有客户中传送所有类型的警示时发生延迟。如果出现该问题的次数非常多，这还可能会导致所有客户的警示传送全部失败，因为 Orchestrator 无限期地再次尝试传送失败的警示。

已知问题

4.0.0 版本中的未解决问题

已知问题分为以下几类。

Edge/网关已知问题
Orchestrator 已知问题

Edge/网关已知问题

问题 14655：
插入或拔出 SFP 适配器可能会导致设备在 Edge 540、Edge 840 和 Edge 1000 上停止响应，并需要进行实际重新引导。

解决办法：必须实际重新引导 Edge。可以在 Orchestrator 上使用远程操作 (Remote Actions) > 重新引导 Edge (Reboot Edge) 以完成该操作，也可以关闭再打开 Edge 电源以完成该操作。
问题 25504：
大于 255 的静态路由成本可能会导致无法预测的路由排序。

解决办法：使用 0 到 255 之间的路由成本。
问题 25595：
可能需要重新启动，以使对 WAN 覆盖网络上的静态 SLA 的更改正常工作。

解决办法：在 WAN 覆盖网络中添加和移除静态 SLA 后，重新启动 Edge。
问题 25742：
底层网络产生的流量限制为发送到 VMware SD-WAN 网关的最大容量，即使该流量小于未连接到该网关的专用 WAN 链路的容量。
问题 25758：
从一个 USB 端口切换到另一个 USB 端口时，可能未正确更新 USB WAN 链路，直到重新引导了 VMware SD-WAN Edge。

解决办法：将 USB WAN 链路从一个端口移动到另一个端口后，重新引导 Edge。
问题 25855：
对于通过 VMware SD-WAN 网关的某些流量，合作伙伴网关上的较大配置更新（例如，200 个启用了 BGP 的 VRF）可能会导致延迟大约增加 2-3 秒。

解决办法：没有可用的解决办法。
问题 25921：
在将 3,000 个分支 Edge 连接到 VMware SD-WAN Hub 时，Hub 高可用性故障切换所需的时间比预期时间长（最多 15 秒）。
问题 25997：
VMware SD-WAN Edge 可能需要重新引导，才能在转换为交换端口的路由接口上正确传输流量。

解决办法：在进行配置更改后，重新引导 Edge。
问题 26421：
还必须将任何分支站点的主合作伙伴网关分配给 VMware SD-WAN Hub 集群，才能建立到该集群的隧道。
问题 28175：
在 NAT IP 与 VMware SD-WAN 网关接口 IP 重叠时，业务策略 NAT 将会失败。
问题 31210：
VRRP：如果 VMware SD-WAN Edge 是主节点并在 LAN 接口上运行非全局 CDE 分段，则无法在 LAN 客户端中为 VRRP 虚拟 IP 地址解析 ARP。
问题 32731：
在关闭了路由时，可能未正确撤消通过 OSPF 通告的条件默认路由。重新启用并禁用路由将成功撤消该路由。
问题 32960：
在激活的 VMware SD-WAN Edge 的本地 Web UI 上，可能会错误地显示接口“自动协商”和“速度”状态。
问题 32981：
启用了 DPDK 的端口上的硬编码速度和双工可能需要重新引导 VMware SD-WAN Edge 以使配置生效，因为它需要禁用 DPDK。
问题 33195：
在具有超过 1280 个多播邻居的 VMware SD-WAN Hub 上，PIM 加入操作可能会失败。
问题 34254：
如果创建 Zscaler CSS 并且全局分段配置了 FQDN/PSK 设置，这些设置将复制到非全局分段以建立到 Zscaler CSS 的 IPsec 隧道。
问题 35778：
如果在单个接口上具有多个用户定义的 WAN 链路，只能有一个 WAN 链路具有到 Zscaler 的 GRE 隧道。

解决办法：对于需要建立到 Zscaler 的 GRE 隧道的每个 WAN 链路，请使用不同的接口。
问题 35807：
如果从 VMware SD-WAN Orchestrator 中禁用并重新启用 DPDK 路由接口，将完全禁用该接口。
问题 36923：
在作为 Hub 连接到集群的 VMware SD-WAN Edge 的 NetFlow 接口说明中，可能未正确更新该集群名称。
问题 38682：
在启用了 DPDK 的接口上充当 DHCP 服务器的 VMware SD-WAN Edge 可能没有为所有连接的客户端正确生成“新客户端设备”(New Client Device) 事件。
问题 38767：
将配置了到 Zscaler 的 GRE 隧道的 WAN 覆盖网络从自动检测更改为用户定义时，可能会保留过时的隧道，直到下次重新启动。

解决办法：重新启动 Edge 以清除过时的隧道。
问题 39134：
在 VMware SD-WAN Edge 的“监控”(Monitor) >“Edge”>“系统”(System) 以及 VMware SD-WAN 网关的“监控”(Monitor) >“网关”(Gateways) 上，可能未正确报告系统运行状况统计信息“CPU 百分比”(CPU Percentage)。

解决办法：用户应使用切换队列丢弃以监控 Edge 容量而不是 CPU 百分比。
问题 39374：
更改分配给 VMware SD-WAN Edge 的 VMware SD-WAN 合作伙伴网关顺序可能未正确地将网关 1 设置为用于带宽测试的本地网关。
问题 39608：
在显示正确的结果之前，远程诊断“Ping 测试”(Ping Test) 的输出可能会短暂显示无效的内容。
问题 39624：
在为父接口配置 PPPoE 时，通过子接口执行 Ping 操作可能会失败。
问题 39659：
在配置了增强高可用性的站点上（在每个 VMware SD-WAN Edge 上具有一个 WAN 链路），在备用 Edge 仅连接了 PPPoE 而活动 Edge 仅连接了非 PPPoE 时，如果 HA 电缆发生故障，则可能会出现脑裂状态（活动/活动）。
问题 39753：
禁用动态分支到分支 VPN 可能会导致当前使用动态分支到分支发送的现有流量停止。
问题 40096：
如果重新引导激活的 VMware SD-WAN Edge 840，插入到 Edge 的 SFP 模块可能会停止传输流量，即使链路指示灯和 VMware SD-WAN Orchestrator 将端口显示为“启动”。

解决办法：拔下 SFP 模块，然后将其重新插入到端口中。
问题 40421：
在通过 VMware SD-WAN Edge 传输并将接口配置为交换端口时，traceroute 不显示路径。
问题 42278：
对于特定类型的对等体配置错误，VMware SD-WAN 网关可能会不断向非 SD-WAN 对等体发送 IKE 初始化消息。该问题不会中断到网关的用户流量；但在网关日志中填充 IKE 错误，这可能会掩盖有用的日志条目。
问题 42388：
在 VMware SD-WAN Edge 540 上，从 VMware SD-WAN Orchestrator 中禁用并重新启用接口后，检测不到 SFP 端口。
问题 42488：
在为交换端口或路由端口启用了 VRRP 的 VMware SD-WAN Edge 上，如果断开电缆与端口的连接并重新启动 Edge 服务，则将通告 LAN 连接的路由。

解决办法：没有该问题的解决办法。
问题 42872：
在与 Hub 集群关联的 Hub 配置文件上启用配置文件隔离时，不会从路由信息库 (RIB) 中撤消 Hub 路由。
问题 43373：
如果从多个 VMware SD-WAN Edge 中学习相同的 BGP 路由，并且在“覆盖网络流量控制”(Overlay Flow Control) 中将该路由从“首选出口”(Preferred Exit) 移动到“符合条件的出口”(Eligible Exit)，不会在通告列表中移除该 Edge，而是继续通告该 Edge。

解决办法：在 VMware SD-WAN Orchestrator 上启用分布式成本计算。
问题 44832：
在 VMware SD-WAN Edge 上丢弃从一个通过 Edge 的非 SD-WAN 目标到另一个通过 Edge 的非 SD-WAN 目标的流量（即“回流”或“NAT 环回”）。
问题 44995：
从 Hub 集群中撤消 OSPF 路由时，不会从 VMware SD-WAN 网关和 VMware SD-WAN 分支 Edge 中撤消这些路由。
问题 45189：
在配置了源 LAN 端 NAT 的情况下，允许从 VMware SD-WAN 分支 Edge 到 Hub Edge 的流量，即使没有为 NAT 子网配置静态路由。
问题 45302：
在 VMware SD-WAN Hub 集群中，如果一个 Hub 到所有 VMware SD-WAN 网关（它自身和为其分配的分支 Edge 之间的通用网关）的连接中断超过 5 分钟，在极少数情况下，分支可能在 5 分钟后无法保留 Hub 路由。在 Hub 重新与网关建立连接时，将自行解决该问题。
问题 46053：
在邻居更改为上行链路邻居时，不会为覆盖网络路由自动更正 BGP 首选项。

解决办法：Edge 服务重新启动将纠正该问题。
问题 46137：
即使为运行 3.4.x 软件的 VMware SD-WAN Edge 配置了 GCM，该 Edge 也不会启动具有 AES-GCM 加密的隧道。
问题 46216：
在通过网关或 Edge 的非 SD-WAN 目标（对等体是 AWS 实例）上，在对等体启动第 2 阶段重新加密时，还会删除第 1 阶段 IKE 并强制进行重新加密。这意味着，将拆除并重建隧道，从而导致在隧道重建期间丢失数据包。

解决办法：为了避免拆除隧道，请将通过网关/Edge 的非 SD-WAN 目标或 CSS IPsec 重新加密定时器配置为少于 60 分钟。这可防止 AWS 启动重新加密。
问题 46391：
对于 VMware SD-WAN Edge 3800，SFP1 和 SFP2 接口在多速率 SFP（即 1/10G）中均出现问题，因此，不应在这些端口中使用这些接口。

解决办法：请按照知识库文章 VMware SD-WAN 支持的 SFP 模块列表 (79270) 中的说明使用单速率 SFP。多速率 SFP 可以与 SFP3 和 SFP4 一起使用。
问题 46628：
如果 VMware SD-WAN Edge 620/640/680 上的 GE5 和 GE6 端口配置了 100 Mbps 和双工，这些端口检测不到链路。
问题 46918：
使用 3.4.2 版本的 VMware SD-WAN 分支 Edge 未正确更新集群 Hub 节点的专用网络 ID。
问题 47084：
在连接了 4000 个分支 Edge 时，VMware SD-WAN Hub Edge 无法建立超过 750 个 PIM（与协议无关的多播）邻居。
问题 47244：
在启用了 DPDK 的已激活 VMware SD-WAN Edge 6x0（部署了一些铜质 SFP）上，即使未插入任何电缆，该 Edge 在 VMware SD-WAN Orchestrator UI 上也将链路显示为“启动”。

解决办法：插入并拔出电缆将会移除虚假状态。
问题 47355：
在通过本地底层网络 BGP、Hub BGP 和/或在合作伙伴网关上静态配置的 BGP 学习相同的路由时，路由的排序顺序不正确，其中 Hub BGP 优先于底层网络 BGP。
问题 47664：
在禁用了通过 Hub 的分支到分支 VPN 的 Hub 和分支配置中，尝试使用 L3 交换机/路由器上的汇聚路由回转分支到分支的流量将导致路由环路。

解决办法：配置云 VPN 以启用分支到分支 VPN，然后选择“将 Hub 用于 VPN”(Use Hubs for VPN)。
问题 47681：
在 VMware SD-WAN Edge 的 LAN 端上的主机使用与该 Edge 的 WAN 接口相同的 IP 时，从 LAN 主机到 WAN 的连接无法正常工作。
问题 47787：
如果从 Hub Edge 启动到配置了回传业务策略的 VMware SD-WAN 分支 Edge 的流量，该分支 Edge 将错误地通过 VMware SD-WAN 网关路径发送流量。
问题 48166：
使用 Ciena 虚拟化操作系统时，不支持 KVM 上的 VMware SD-WAN 虚拟 Edge，并且 Edge 将反复发生数据平面服务故障。
问题 48175：
在以下情况下，运行 3.4.2 版本的 VMware SD-WAN Edge 在非全局分段上建立 OSPF 邻接关系：非全局分段配置的接口的 IP 范围与在全局分段上配置的接口相同。
问题 48488：
如果未选中“出站流量”(Outbound Traffic) 框（对于从远程对等体启动并且 1:1 NAT 规则允许的流量），则不会覆盖业务策略规则。

解决办法：请在 1:1 NAT 中选中“出站流量”(Outbound Traffic)。
问题 48502：
在某些情况下，由于未正确处理回传返回数据包，用于回传 Internet 流量的 VMware SD-WAN Hub Edge 可能会发生数据平面服务故障。
问题 48530：
VMware SD-WAN Edge 6x0 型号不会为三速 (10/100/1000 Mbps) 铜质 SFP 执行自动协商。

解决办法：Edge 520/540 支持三速铜质 SFP，但该型号已标记为在 2021 年第一季度“终止销售”。
问题 48666：
面向 IPsec 的网关路径 MTU 计算不考虑 61 字节 IPsec 开销，从而导致向 LAN 客户端通告较高的 MTU 并随后进行 IPsec 数据包分片。

解决办法：没有该问题的解决办法。
问题 49172：
为两个不同 VMware SD-WAN Edge 配置相同 NAT 子网的基于策略的 NAT 规则不起作用。
问题 49738：
在某些情况下，将 VMware SD-WAN 分支 Edge 配置为使用多个 Hub Edge 时，分支 Edge 可能无法建立到 Hub 列表中配置的某个 Hub 的隧道。
问题 50433：
从 VMware SD-WAN Edge 上的路由接口中删除辅助 IP 地址时，可能不会从对等 Edge 中移除相应的路由。

解决办法：为从中移除辅助 IP 地址的 Edge 执行远程操作 (Remote Actions) > 重新启动服务 (Restart Service)。
问题 50518：
在启用了 PKI 的 VMware SD-WAN 网关上，如果超过 6000 个 PKI 隧道尝试连接到该网关，这些隧道可能不会全部启动，因为没有删除入站 SA。

注意：使用预共享密钥 (PSK) 身份验证的隧道不存在该问题。
问题 84825：对于使用配置了 BGP 的高可用性拓扑部署的站点，如果站点配置的 BGPv4“匹配”和“设置”规则超过 512 个，客户可能会观察到 HA Edge 对持续进行故障切换，但一直不会恢复。
BGPv4“匹配”和“设置”规则超过 512 个可以理解为客户在入站筛选器上配置了 256 个以上的此类规则，在出站筛选器上配置了 256 个以上规则。此问题会导致客户流量中断，因为重复故障切换将导致实时流量（例如语音通话）的流量持续丢弃并随后重新创建。当 HA Edge 遇到该问题时，同步 Edge CPU 线程的过程将失败，从而导致 Edge 重新引导以进行恢复，但升级的 Edge 也会遇到相同的问题，进而重新引导，但其不会在站点进行任何恢复。

解决办法：如果未进行该修复，客户必须确保为 HA 站点配置的 BGPv4“匹配”和“设置”规则不超过 512 个。

如果站点遇到此问题，并且配置了超过 512 个 BGP/v4 “匹配”和“设置”规则，则客户必须立即将规则数减少到 512 个或更少才能恢复站点。

或者，如果客户必须具有 512 个以上的 BGPv4“匹配”和“设置”规则，他们可以将 HA Edge 降级到 3.4.6 版本，使用该版本将不会遇到该问题，但代价是牺牲更高版本中的 Edge 功能。仅当 3.4.6 版本支持客户的 Edge 型号，并且他们在降级之前进行了确认时，才能执行此操作。

Orchestrator 已知问题

问题 19566：
在高可用性故障切换后，备用 VMware SD-WAN Edge 的序列号可能在 Orchestrator 中显示为活动 Edge 序列号。
问题 20900：
如果启用了 MaxMind 地理位置服务，并且该服务无法访问 MaxMind 服务器，新的 VMware SD-WAN Edge 激活将无法正常工作。
问题 21342：
在按分段分配合作伙伴网关时，在 VMware SD-WAN Edge 监控列表上的操作员选项“查看网关”(View Gateways) 下面可能未显示正确的网关分配列表。
问题 24269：
“监控”(Monitor) >“传输”(Transport) >“中断”(Loss) 未将观察到的 WAN 链路中断绘制图表，而 QoE 图表反映了这种中断。
问题 25932：
VMware SD-WAN Orchestrator 允许将 VMware SD-WAN 网关从网关池中移除，即使正在使用这些网关。
问题 32335：
在用户尝试接受协议时，“最终用户服务协议”(EUSA) 页面抛出错误。

解决办法：确保在企业名称中不包含前导或尾随空格。
问题 32435：
对于已在配置文件级别配置的元组，允许对基于策略的 NAT 配置进行 VMware SD-WAN Edge 覆盖，反之亦然。
问题 32856：
尽管将业务策略配置为使用 Hub 集群以回传 Internet 流量，但用户可以在 VMware SD-WAN Orchestrator（已从 3.2.1 版本升级到 3.3.x 版本）上从配置文件中取消选择 Hub 集群。
问题 32913：
在启用高可用性后，在“监控”(Monitoring) 页面上不显示 VMware SD-WAN Edge 的多播详细信息。故障切换将解决该问题。
问题 33026：
在删除协议后，“最终用户服务协议”(EUSA) 页面未正确重新加载。
问题 34828：
无法在使用 2.x 版本的 VMware SD-WAN 分支 Edge 和使用 3.3.1 版本的 Hub Edge 之间传输流量。
问题 35658：
在将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有不同 CSS 设置的配置文件（例如，从配置文件 1 中的 IPsec 移动到配置文件 2 中的 GRE）时，Edge 级别 CSS 设置将继续使用以前的 CSS 设置（例如，使用 IPsec 而不是 GRE）。

解决办法：在 Edge 级别禁用 GRE，然后重新启用以解决该问题。
问题 35667：
将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有相同 CSS 设置但具有不同 GRE CSS 名称（相同端点）的配置文件时，在监控中不显示某些 GRE 隧道。

解决办法：在 Edge 级别禁用 GRE，然后重新启用以解决该问题。
问题 36665：
如果 VMware SD-WAN Orchestrator 无法访问 Internet，需要访问 Google 地图 API 的用户界面页面可能无法完全加载。
问题 38056：
Edge-Licensing export.csv 文件不显示区域数据。
问题 38843：
在推送应用程序库时，没有操作员事件，并且 Edge 事件的用途有限。
问题 39633：
在用户将备用网关分配为超级网关后，超级网关超链接无法正常工作。
问题 39790：
VMware SD-WAN Orchestrator 允许用户将 VMware SD-WAN Edge 的路由接口配置为超过支持的 32 个子接口，从而产生用户可以在接口上配置 33 个或更多子接口的风险，这会导致 Edge 发生数据平面服务故障。
问题 40341：
尽管在后端将 Skype 应用程序正确划分为实时流量，但在 VMware SD-WAN Orchestrator 上编辑 Skype 业务策略时，服务类可能会错误地显示“事务”(Transactional)。
问题 41691：
虽然 DHCP 池未用完，但用户无法在配置 (Configure) > Edge > 设备 (Device) 页面上更改“地址数”(Number of addresses) 字段。
问题 43276：
在 VMware SD-WAN Edge 或配置文件配置了合作伙伴网关时，用户无法更改分段类型。
问题 44153：
VMware SD-WAN Orchestrator 未始终将警示电子邮件发送到“警示和通知”(Alerts and Notifications) 部分中配置的电子邮件地址。
问题 46254：
在激活 VMware SD-WAN Edge 期间，VMware SD-WAN Orchestrator 检测不到更改的 WAN 链路 MTU，或者检测不到 DHCP 配置的接口的 VLAN ID。
问题 46482：
如果将使用配置为高可用性的 VMware SD-WAN Edge 540 的站点升级到 Edge 软件 3.4.1 版本，则 VMware SD-WAN Orchestrator 将该站点的 HA 状态显示为“备用失败”(Standby Failed)。
问题 47269：
对于不支持 LTE 接口的 Edge 型号，可能会显示 VMware SD-WAN 510-LTE 接口。
问题 47279：
通过网关的非 SD-WAN 目标类型“通用防火墙 (基于策略的 VPN)”(Generic Firewall (Policy Based VPN)) 的 IKE/IPSec 模板不正确。
问题 47713：
如果在禁用了云 VPN 时配置业务策略规则，在启用云 VPN 后，必须重新配置 NAT 配置。
问题 47820：
如果在配置文件级别配置 VLAN 并禁用了 DHCP，同时还在启用了 DHCP 的 Edge 上为该 VLAN 配置 Edge 覆盖，并且 DNS 服务器字段的条目设置为“无”(None)（未配置任何 IP），用户将无法在“配置”(Configure) >“Edge”>“设备”(Device) 页面上进行任何更改，并收到“IP 地址 [] 无效”(invalid IP address []) 错误消息，该消息未解释或指出实际问题。
问题 47910：
在 Check Point 类型的通过网关的非 SD-WAN 目标通过“监控”(Monitor) >“网络服务”(Network Services) 屏幕修改其配置时，由于 VMware SD-WAN Orchestrator 推送的配置更新包含错误的 NVS 类型，主 VPN 发生故障。
问题 48085：
VMware SD-WAN Orchestrator 允许用户删除与接口关联的 VLAN。
问题 48737：
在使用 4.0.0 版本的新用户界面的 VMware SD-WAN Orchestrator 上，如果用户位于“监控”(Monitor) 页面并更改开始和结束时间间隔，然后在选项卡之间导航，Orchestrator 没有将开始和结束间隔时间更新为新的值。
问题 49225：
VMware SD-WAN Orchestrator 不实施总共 32 个 VLAN 的限制。
问题 49790：
将 VMware SD-WAN Edge 激活为 4.0.0 版本时，激活在“事件”(Events) 中发布两次。

解决办法：忽略重复的事件。
问题 50531：
在 VMware SD-WAN Orchestrator 4.0.0 版本上访问新的 UI 时，如果两个具有不同特权的操作员使用同一浏览器窗口，特权较低的操作员尝试在特权较高的操作员之后登录，特权较低的操作员将观察到多个错误，指出“用户没有特权”(user does not have privilege)。

注意：特权较低的操作员没有进行特权升级，而仅显示错误消息。

解决办法：下一个操作员可以在登录之前刷新该页面以防止看到这些错误，或者每个操作员可以使用不同的浏览器窗口以避免这种显示问题。