更新日期:2022 年 4 月 9 日

VMware SD-WAN™ Orchestrator 版本 R420-20211220-GA
VMware SD-WAN™ 网关版本 R420-20210208-GA-53243-54800
VMware SD-WAN™ Edge 版本 R420-20201218-GA

请定期检查以了解本发行说明的新增内容和更新。

发行说明内容

本发行说明包含以下主题:

建议的用途

对于需要使用最初在 4.2.0 版本中提供的特性和功能的所有客户,建议使用该版本。

兼容性

4.2.0 版本 Orchestrator、网关和 Hub Edge 支持以前发行的所有 3.0.0 或更高版本的 VMware SD-WAN Edge。 
注意:这意味着不支持 3.0.0 之前的版本。

已明确测试了以下互操作性组合:

Orchestrator

网关

Edge

Hub

分支

4.2.0

4.0.0

4.0.0

4.0.0

4.2.0

4.2.0

4.0.0

4.0.0

4.2.0

4.2.0

4.2.0

4.0.0

4.2.0

4.2.0

4.0.0

4.2.0

4.2.0

3.4.4

3.4.4

3.4.4

4.2.0

4.2.0

3.4.4

3.4.4

4.2.0

4.2.0

4.2.0

3.4.4

4.2.0

4.2.0

3.4.4

4.2.0

4.2.0

3.3.2 P2

3.3.2 P2

3.3.2 P2

4.2.0

4.2.0

3.3.2 P2

3.3.2 P2

4.2.0

4.2.0

4.2.0

3.3.2 P2

4.2.0

4.2.0

3.3.2 P2

4.2.0

4.2.0

3.2.1

3.2.1

3.2.1

4.2.0

4.2.0

3.2.1

3.2.1

4.2.0

4.2.0

4.2.0

3.2.1

4.2.0

4.2.0

3.2.1

4.2.0

注意:3.x 版本无法正确支持 AES-256-GCM,这意味着,使用 AES-256 的客户始终要在禁用 GCM 的情况下应用 Edge (AES-256-CBC)。如果客户使用的是 AES-256,他们必须先从 Orchestrator 中明确禁用 GCM,然后再将其 Edge 升级到 4.x 版本。在所有 Edge 运行 4.x 版本后,客户可以在 AES-256-GCM 和 AES-256-CBC 之间进行选择。

重要说明

用于 AS-PATH 附加的 BGPv4 筛选器配置的分隔符更改

在版本 3.x 中,用于 AS-PATH 附加的 VMware SD-WAN BGPv4 筛选器配置支持基于逗号和空格的分隔符。但是,从版本 4.0.0 开始,VMware SD-WAN 将在 AS-Path 附加配置中仅支持基于空格的分隔符。
从 3.x 升级到 4.x 的客户需要在升级之前对其 AS-PATH 附加配置进行编辑以“将逗号替换为空格”,以避免选择错误的 BGP 最佳路由。

本地用户界面

从 4.2.0 版本开始,对于任何浏览器会话,VMware SD-WAN Edge 的本地用户界面 (UI) 将从使用 HTTP 切换到 HTTPS。

从 4.1.0 版本开始添加的功能

某些托管的 Orchestrator 将直接从 4.0.x 升级到 4.2.0,因此,请参阅 4.1.0 版本以了解升级后提供的其他功能。

默认情况下启用反向路径转发 (RPF)

在以前的版本中,允许来自 VMware SD-WAN Edge 的 LAN 接口的未知来源的数据包。出现此行为的原因是 Edge 的 LAN 接口默认未启用反向路径转发 (RPF)。在修复的问题 52628 中,通过在所有 Edge LAN 接口上启用 RPF 更改了此行为,并且来自 LAN 接口的数据包只有来自配置的 LAN 子网时,才允许这些数据包。

在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制

在端口 SFP1 或 SFP2 上使用具有铜缆接口的 SFP 时,如果用户在 VMware SD-WAN Edge 型号 620、640 或 680 的端口 GE1 - GE4 上,在 Edge 3400、3800 或 3810 的端口 GE3 或 GE4 上,或者在 Edge 520/540 上禁用硬编码速度和双工自动协商,则用户可能会发现即使重新引导后,链路也不会建立连接。

这是由于列出的每个 Edge 型号使用 Intel 以太网控制器 i350 所致,该控制器存在一个限制,即当链路两端均未使用自动协商时,它无法动态检测用于进行传输和接收的相应线路(自动 MDIX)。如果连接的两端在同一线路上进行传输和接收,则检测不到该链路。如果对等端也不支持未使用自动协商的自动 MDIX,并且链路不是使用直连电缆连接,则需要使用交叉以太网电缆来连接链路。

有关详细信息,请参阅知识库文章在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制 (87208)

新增功能

多跳 BGP 支持 

以前版本的 VMware SD-WAN Edge 要求 BGP 对等体位于与启用了 BGP 的接口相同的子网中,但在客户拓扑中并非始终能够满足该要求。通过添加多跳 BGP 支持,BGP 对等体可以位于不同的子网中,这些子网与 Edge 之间相距一个或多个跃点。

多跳 BFD 支持

除了上面的多跳 BGP 功能以外,还添加了通用的下一跃点解析框架,这会扩展该功能以支持位于不同子网中的 BFD 对等体,这些子网与 Edge 或网关之间相距一个或多个跃点。

新的硬件平台

Edge 610-LTE

610-LTE 包括集成的 LTE(类似于 Edge 510-LTE),并提供更高的性能、更大数量的可用网络接口以及 FirstNet 响应程序网络支持。

Edge 3810

Edge 3810 是 Edge 3800 的变体,并具有 8 个 10GE SFP+ 端口。Edge 3810 的所有性能和扩展功能与 Edge 3800 保持一致。

请与您的销售团队联系,以了解有关这些新硬件型号的更多详细信息。 

增强功能

Zscaler API 自动化 

Zscaler 自动化现在支持子位置。这样,客户就可以定义与 VCO 上的分支中的一组子网关联的 Zscaler 子位置。客户可以为每个分段、每个子网或一组子网定义安全策略。要了解更多信息,请参阅 VMware SD-WAN 的 Zscaler 文档

在 LAN VLAN 上支持辅助 IP 地址 

与路由接口类似,用户现在可以将多个辅助 IP 地址添加到 LAN 交换机端口上使用的 VLAN 中。

条件回传

现在,基于业务策略的条件回传支持云安全服务 (CSS) 流量故障切换,从而使流量能够在 CSS 隧道关闭时进行故障切换,即使启动了公用 Internet 链路。

在 Edge 6X0 上支持 GPON

现在,通过千兆位无源光网络 (GPON) 支持光纤到户 (FTTH)。在安装 Nokia G-010S-A GPON ONT SFP 时,将在 VMware SD-WAN Edge 型号 610、620、640 和 680 中添加 GPON 支持。

注意:已在 Edge 型号 610、620、640 和 680 上测试并支持具有固件 3FE47111BFHB32 的 Nokia G-010S-A GPON ONT SFP 1 x GE UNI(部件号 3FE46541AA)。VMware SD-WAN 不支持任何其他 GPON SFP 模块。仅在 4.2.0 和更高版本中支持 GPON。

增强的高可用性

现在,在增强的高可用性部署中支持 LTE 调制解调器(USB 4G 调制解调器以及 VMware SD-WAN Edge 510-LTE 和 610-LTE 中的集成 LTE 调制解调器)。要了解更多信息,请参阅增强的 HA 文档

报告 (Reports)

在“报告”中添加了以下增强功能:

  • 提供了 4 个新报告:
    • 排名靠前的聊天程序
    • 来自 Edge 的排名靠前的非 SD-WAN 站点
    • 来自网关的排名靠前的非 SD-WAN 站点
    • 按使用量划分的排名靠前的备用链路  
  • 可以将任何以前运行的报告作为模板以创建新的报告,从而使用户能够通过以前的报告配置启动新的报告。用户还可以根据需要更改报告配置。
  • 在新的 Orchestrator UI 和报告中提供了品牌标识。报告品牌标识将与 Orchestrator 保持一致。
  • 可以使用 Orchestrator 上支持的所有语言生成报告。

Orchestrator 本地化

VMware SD-WAN Orchestrator UI 现在支持法语和德语版本。请使用浏览器语言设置选择 Orchestrator 语言。

Orchestrator API 更改

APIv2 简介

4.2.0 版本引入了新的 VMware SD-WAN Orchestrator REST API,它称为“APIv2”,因为它旨在逐步取代 Orchestrator 门户 API(即 APIv1)以作为合作伙伴和客户开发支持的主要接口。 

APIv2 旨在解决 Orchestrator 门户 API 用户报告的很多持续存在的可用性和可扩展性问题,并重新修订了一些基本设计约定和抽象以生成初次用户更容易访问的接口。 

APIv2 首次提供了客户监控操作支持,例如,查询设备统计信息、客户事件、客户警示、Edge 和链路可用性,等等。我们希望在将来的版本中不断引入功能,直到该 API 与现有 Orchestrator 门户 API 具有对等的功能。 
目前,将继续与 APIv2 一起开发和支持 Orchestrator 门户 API,因为新 API 正在进一步开发中。 

可以通过 developer.vmware.com 获取 APIv2 文档。 

门户 API 

可以通过 code.vmware.com 获取完整的 4.2.0 门户 API 参考。 

在该版本中进行的显著更改包括: 

  • 在 deviceSettings 配置模块中添加了对 VLAN“secondaryIp”选项的支持。 

  • 在 VLAN 和路由接口的“dhcpRelay”设置中添加了“sourceFromSecondaryIp”选项。 

  • 通过 deviceSettings 配置模块中包含的一组“css->subLocations”选项,添加了对 Zscaler 子位置配置的支持。 

  • 在 BFD 规则设置中添加了“multihop”布尔选项。 

  • 在 BGP 邻居配置中添加了“maxHop”和“localIP”设置。 

  • 在 Edge“site”实体上添加了只读 logicalId 字段(在 /edge/getEdge、/enterprise/getEnterpriseEdges 等的响应中公开)。 

  • 在 Edge License 实体上添加了只读 logicalId 字段(在 /license/getEnterpriseEdgeLicenses、/license/getEnterpriseProxyEdgeLicenses 等的响应中公开)。 

  • 在网关 Pool 实体上添加了只读 logicalId 字段(在 /network/getNetworkGatewayPools、/enterpriseProxy/getEnterpriseProxyGatewayPools 等的响应中公开)。 

SDK 弃用

从 4.2.0 版本开始,VMware SD-WAN 弃用对 VMware SD-WAN Orchestrator Software Development Kit (SDK) 的支持。

注意:该公告仅针对 SDK 客户端库,而不针对 API。VMware SD-WAN 将继续支持 Orchestrator API。

文档修订历史

2020 年 12 月 22 日。第一版。

2021 年 1 月 7 日。第二版。

  • 添加了新的网关内部版本:R420-20210106-GA;为该内部版本添加了“解决的网关问题”部分,其中包括在该内部版本中解决的新请求单:#53439。

2021 年 1 月 14 日。第三版。

  • 更正了 APIv2 文档超链接的 URL 目标。

2021 年 1 月 26 日。第四版。

  • 添加了新的 Orchestrator 内部版本:R420-20210122-GA;为此内部版本添加了“解决的 Orchestrator 问题”部分,其中包括在此内部版本中解决的新请求单:56033。

2021 年 2 月 10 日。第五版。

  • 对增强功能“在 Edge 6x0 上支持 GPON”进行了修订。  该修订添加了一条注释,以明确指出仅在 Edge 型号 610、620、640 和 680 上测试并支持一个 GPON SFP 模块,即,具有固件 3FE47111BFHB32 的 Nokia G-010S-A GPON ONT SFP 1 x GE UNI(部件号 3FE46541AA)。VMware SD-WAN 不支持任何其他 GPON SFP 模块。还要注意,仅在 4.2.0 和更高版本中支持 GPON,而与 4.1.x 或更低版本之间没有向后兼容性。

2021 年 2 月 11 日。第六版。

  • 添加了新的网关修补程序内部版本:R420-20210208-GA-53243-54800;为该内部版本添加了“解决的网关问题”部分,其中包括在该内部版本中解决的两个新请求单:#53243 和 #54800。

2021 年 2 月 19 日。第七版。

  • 对于涉及 APIv2 文档的部分,更改了主机名和目标快捷方式以反映该文档的永久位置:developer.vmware.com

2021 年 3 月 9 日。第八版。

  • 添加了新的 Orchestrator 修补程序内部版本:R420-20210306-GA;为此内部版本新添了“解决的 Orchestrator 问题”部分,其中包括在此内部版本中解决的三个新请求单:#56436 和 #58627。

2021 年 3 月 12 日。第九版。

  • 删除了“兼容性”部分的互操作性表中的两个错误条目,在这两个条目中,网关版本 (4.0.0) 低于 Edge 版本 (4.2.0)。

2021 年 4 月 28 日。第十版

  • 在“解决的 Edge/网关问题”部分中添加了“修复的问题 51092”。  此修复已包含在 Edge R420-20201218-GA 内部版本中,但尚未记录在发行说明中。

2021 年 6 月 7 日。第十一版。

  • 在“重要说明”部分中添加了“默认情况下启用反向路径转发 (RPF)”条目,明确指出了由“修复的问题 52628”导致的行为更改。
  • 在“Edge/网关已知问题”中添加了问题 44526

2021 年 6 月 16 日,第十二版。

  • 在“未解决的 Edge/网关问题”中添加了“问题 54107”。

2021 年 9 月 16 日。第十三版。 

  • 重要说明中添加了以下说明:用于 AS-PATH 附加的 BGPv4 筛选器配置的分隔符更改

2021 年 12 月 21 日。第十四版。

  • 在“解决的 Orchestrator 问题”中添加了新的 Orchestrator 内部版本 R420-20211220-GA。此 Orchestrator 内部版本通过更新到 Log4j 版本 2.16.0,修复了 CVE-2021-44228(Apache Log4j 漏洞)。有关 Apache Log4j 漏洞的详细信息,请参阅 VMware 安全公告 VMSA-2021-0028.5
  • 重要说明中添加了以下说明:在 VMware SD-WAN Edge 型号 520、540、620、640、680、3400、3800 和 3810 上禁用自动协商时的限制。该说明介绍了在列出的 Edge 型号的某些以太网端口上配置强制速度时可能遇到的问题。

2022 年 3 月 23 日,第十五版

  • Edge/网关已知问题部分中添加了未解决的问题 84825。

2022 年 4 月 9 日。第十六版

  • 在“解决的 Edge/网关问题”中添加了“修复的问题 44270”。原始发行说明中错误地忽略了此问题。

解决的问题

解决的问题分为以下几类。

解决的网关问题

版本 R420-20210208-GA-53243-54800 中解决的问题

从网关版本 R420-20210106-GA 开始,解决了以下问题。

  • 修复的问题 53243:可能会丢弃到使用 Check Point 类型的非 SD-WAN 目标 (NSD) 的流量,因为网关不会删除阶段 2 安全关联 (SA)。

    对等体将在 SA 方面不同步并且链路关闭,直到 SA 过期。在使用 Check Point 防火墙类型的 NSD 中,在链路不稳定时,可能会出现以下情况:在对等体发送删除通知时,网关无法删除阶段 2 SA,因为已删除相应的阶段 1 SA。

  • 修复的问题 54800:在与 VMware SD-WAN 网关之间进行 IKE 重新加密期间,通过网关的非 SD-WAN 目标可能会中断隧道,而无法进行恢复。

    如果 VMware SD-WAN 网关触发与非 SD-WAN 目标 (NSD) 之间的 IKE 重新加密,并且在该重新加密期间 IKE 链路关闭或由于任何原因无法建立隧道,网关将无法重新触发新的 IPsec 隧道,因为触发逻辑假定应该具有安全策略 ID。结果,即使发送了数据流量,也不会重新建立隧道。如果未进行该修复,恢复隧道的唯一方法是,在 VMware SD-WAN Orchestrator 上更改 NSD 配置以重新建立隧道。

解决的网关问题

版本 R420-20210106-GA 中解决的问题

从网关 R420-20201218-GA 版本开始,已解决了以下问题。

  • 修复的问题 53439:在几次尝试失败后,VMware SD-WAN 网关将停止尝试对 VPN 进行 IKE 重新加密。

    此问题可能会影响使用通过网关的非 SD-WAN 目标(此类目标基于策略)的客户(基于路由的 VPN 不受影响)。对于基于策略的 VPN(例如,Cisco ASA、通用防火墙),不论是出于何种原因删除了先前的安全关联 (SA),通过该 VPN 发送的用户流量都必须启动新的安全关联。如果发生这种情况,IKE 重新加密操作会使用错误的流量选择器,而这会导致无法创建新的 SA。在这种情况下,流向非 SD-WAN 目标的流量将无限期中断,直到从 VMware SD-WAN Orchestrator 推送新的配置更改为止。如果在进行重新加密时未删除先前的 SA,则不会出现任何问题,也就是说,并非所有客户和所有重新加密操作都将受此问题的影响。

解决的 Edge/网关问题

版本 R420-20201218-GA 中解决的问题

从 Edge 版本 R401-20201110-GA 和网关版本 R401-20201124-GA-53090 开始,解决了以下问题。

  • 修复的问题 37807:将 VMware SD-WAN Edge 的 DHCP 接口的 IP 地址移动到另一个子网范围时,不会移除与以前子网范围对应的默认路由和本地路由

    Edge 充当 DHCP 客户端,并从 DHCP 服务器接收 IP 地址。在收到 IP 地址后,它将为该 IP 地址安装路由。现在,如果将 DHCP 服务器移动到不同的子网,Edge 将请求更新 DHCP 并且该操作失败,因为该服务器已移动到不同的范围并导致 DHCP 超时。在到达 DHCP 超时时间后,Edge 将发送另一个 DHCP 请求,该请求从新子网中获取 IP 地址,但问题是 Edge 不会删除它为旧子网安装的路由。

  • 修复的问题 44270:VMware SD-WAN Edge MIB sysObjID (.1.3.6.1.2.1.1.2.0) 报告 net-snmp (1.3.6.1.4.1.8072.3.2.10) 的 OID 子树,而不是 VMware SD-WAN 子树 (.1.3.6.1.4.1.45346.1.1)。

    配置 snmpd 时,Edge 无法将 sysObjID 明确设置为 SD-WAN 指定的子树,因此,snmpd 会使用默认子树。

  • 修复的问题 45258:在“远程诊断”(Remote Diagnostics) 页面中,“BGP 故障排除 - 显示每个前缀的路由”(Troubleshoot BGP- Show Routes per Prefix) 显示整个路由表。

    配置 BGP 并转到远程诊断 (Remote Diagnostics) > BGP 故障排除 - 显示每个前缀的路由 将显示整个路由表,而不是仅显示前缀路由,这与运行诊断的目的不符。

  • 修复的问题 46628:如果 VMware SD-WAN Edge 620/640/680 上的 GE5 和 GE6 端口配置了 100 Mbps 和双工,这些端口检测不到链路。

    这是 Edge 固件问题,而不是 VMware 软件问题。该问题的修复程序仅适用于新生产的 Edge 6x0 型号,这些型号附带提供了已通过 Dell 认证的新 BIOS。  已部署的现有 Edge 6x0 型号将继续出现该问题,唯一的解决办法是使用端口 GE1-GE4(如果需要使用 10/100Mbs 速度)。  在将来的版本中,VMware 将能够升级 Edge 固件,只有这样,现有的 Edge 6x0 才能解决该问题。

  • 修复的问题 48502:在某些情况下,由于未正确处理回传返回数据包,用于回传 Internet 流量的 VMware SD-WAN Hub Edge 可能会发生数据平面服务故障。

     发生数据平面服务故障的原因是,通过 Hub Edge 回传云流量时,Hub Edge 上的内存损坏。对此问题的修复解决了此场景中内存损坏的原因。

  • 修复的问题 50067:如果在子接口上启用了“NAT 直接”,而在父接口上禁用了“NAT 直接”,通过子接口路由的流量将跳过 NAT。

    始终检查父接口的“NAT 直接”配置,以确定是否将 NAT 应用于通过子接口路由的流量。如果在子接口上启用了“NAT 直接”,而在父接口上禁用了“NAT 直接”,子接口“NAT 直接”配置对流量无效,将在没有进行 NAT 处理的情况下传出流量。

  • 修复的问题 50231:对于为 VMware SD-WAN Edge 生成特殊管理 IP 的企业客户(即,为要求使用全局分段环回的客户启用 Edge 管理 IP),没有将 Edge 管理 IP 地址重新分发给 BGP/OSPF。 

    没有将 Edge 的本地/远程管理 IP 地址重新分发给底层网络 BGP/OSPF 协议。这会影响依靠访问 Edge 的管理 IP 进行监控的客户。

  • 修复的问题 50782:VMware SD-WAN Edge 接口统计信息不包括子接口统计信息。

    通过子接口传输的流量(具有 VLAN 标头)将计入主接口而不是子接口,这会导致在使用 SNMP 提取子接口数据时得到不正确的结果。

  • 修复的问题 50920:在连接的隧道数量达到 VMware SD-WAN Edge 的硬件定义限制的 60% 时,该 Edge 型号不发送警告。

    在连接的隧道数量达到 Edge 硬件限制时,它发出警告,指出“建立的隧道数量超过设备容量”(Established tunnel count exceeds the device capacity)。在达到该限制后,在拆除现有隧道之前,Edge 不允许建立额外的动态隧道。不过,不会发送中间警告以提醒客户可能会达到该隧道限制,从而没有为客户留出足够的时间以管理其网络。

  • 已修复问题 51092:配置了 OSPF 并启用了出站筛选的 VMware SD-WAN Edge 可能会遇到内存泄漏,从而导致内核崩溃和 Edge 重新引导。

    通过查看 VMware SD-WAN Orchestrator UI 中 Edge 的“监控”(Monitor) >“系统”(System) 页面,可以观察到泄露。触发内核崩溃的关键内存使用率阈值为 90% 或更高。  在进行路由恢复时,如果启用了 OSPF 出站筛选,则会发生内存泄漏问题。发生导致 Edge 重新引导的内核崩溃时,所有客户流量将中断 2-3 分钟。如果未进行该修复,则客户只能选择启用路由通告选项,这样做将可以缓解内存泄漏问题。  此外,要在不进行此修复的情况下清除内存泄露,客户还可以从 Orchestrator 的远程操作 (Remote Actions) 页面执行重新启动服务 (Restart Service)。  重新启动 Edge 服务只应在维护时段进行。

  • 修复的问题 51291:在日本部署的 VMware SD-WAN Edge 3400 或 3800 可能会锁定并自行重新引导。

    Edge 3400 和 3800 在系统的底板管理控制器 (BMC) 中设置了不正确的电压警告阈值(100 伏),这恰好与日本的 100 伏电源匹配。Edge 3400 或 3800 在该区域中产生的结果是连续出现一系列电源警报;如果出现的警报过于频繁,Edge 将锁定并重新引导。

  • 修复的问题 51583:可能会错误地将 SMB 应用程序流量划分为 BITS 应用程序流量。

    VMware SD-WAN 使用的深度数据包检查 (DPI) 引擎有时错误地将 SMB 应用程序流量划分为 BITS 流量。该问题影响在 SMB 或 BITS 应用程序流量中使用严格防火墙或业务策略规则的客户。纠正了 4.2.0 默认应用程序库(和所有后续应用程序库),以便包括端口 445 以作为 SMB 应用程序流量的标准应用程序端口,并指示 DPI 不要减慢发现 BITS 应用程序流量的速度。

  • 修复的问题 52253:从辅助 IP 子网上的客户端运行 traceroute 以跟踪到 VMware SD-WAN Edge 的路由时,辅助接口 IP 子网将第一跃点显示为 Edge 的主接口 IP,而不是辅助 IP。

    从辅助 IP 子网中的客户端执行 traceroute 时,Edge 使用主 IP 而不是辅助 IP 进行响应,因此,traceroute 将第一个下一跃点显示为主 IP。该问题还会导致 ICMP 错误消息,旨在获取要与主接口的 IP 地址一起发送的辅助接口 IP 地址。

  • 修复的问题 52342:VMware SD-WAN Orchestrator UI 上的“远程诊断”(Remote Diagnostics) 页面可能无法加载。

    对于 4.x 版本,VMware 引入了 WebSocket 以替代以前在“远程诊断”(Remote Diagnostics) 中使用的实时检测信号。不过,VMware SD-WAN Edge 将 WebSocket 连接源指定为默认 WAN IP,从而导致随机丢弃中间件或 Edge 本身的流量。将 WebSocket 与 VMware 指定的 IP 绑定在一起可以解决该问题。

  • 修复的问题 52628:允许来自 VMware SD-WAN Edge 的 LAN 接口的未知来源的数据包。 

    由于存在该问题,允许来自与 LAN 子网不同的子网的数据包通过 Edge。这是未启用反向路径转发 (RPF) 的 Edge LAN 接口引起的。该修复程序在所有 Edge LAN 接口上启用 RPF;只有在来自 LAN 接口的数据包来自配置的 LAN 子网时,才允许这些数据包。

  • 修复的问题 53090:在 IKE 阶段 1 重新加密后或者在隧道关闭并且必须重新启动 IKE 阶段 1 时,到通过网关的非 SD-WAN 站点的隧道可能会失败。

    在 VMware SD-WAN 网关启动到非 SD-WAN 站点的隧道时,安全关联 (SA) 涉及源端口和目标端口。在建立 SA 后,需要正确填充这两个端口,以确保正确重新创建 IKE 阶段 1 SA。  正如 VMware SD-WAN 4.0.0 版本发行说明中所述,VMware SD-WAN 4.0.0 版本将 IPsec 库替换为与 FIPS 140-2 兼容的 IPsec 库。作为该替换的一部分,在给定对等站点的第二次和后续协商尝试中无意中错误地设置了 SA 目标端口。  

    对于某些非 SD-WAN 站点,对等站点丢弃该无效端口,并返回正确的流量选择器 (TS)。对于无法解决该问题的对等站点,对等站点使用无效的端口在 TS 中进行响应,VMware SD-WAN 网关拒绝该端口,这会导致网关隧道在重新加密时或者隧道关闭并且必须重新启动 IKE 阶段 1 时失败。

    如果未正确配置非 SD-WAN 站点(例如,在对等站点使用 IKEv2 时,将该站点配置为使用 IKEv1),客户很可能会遇到该问题。

  • 修复的问题 53260:HP 5510 或使用源端口验证的等效交换机丢弃 BFD 数据包。

    VMware SD-WAN Edge 发送 BFD 数据包时使用的源端口违反 RFC 5881 要求。  如果对等交换机根据 RFC 5881 配置了源端口验证,则该交换机将 VMware BFD 数据包视为无效而丢弃。 

  • 修复的问题 53426:在 VMware SD-WAN Edge 的转发信息库 (FIB) 中,本地底层网络 BGP 路由未相对于来自 Hub Edge 的 BGP 路由进行正确排序,并且 Edge 上的覆盖网络首选路由未正确重新分发给底层网络 BGP。

    如果启用了 DCC 标记,将更改路由的首选项和通告值,但在 Edge FIB 中未正确对底层网络路由进行重新排序。此外,如果在 Edge FIB 中最初首选底层网络 BGP 路由,然后首选覆盖网络 BGP 路由而不是本地学习的路由,由于重新分发逻辑问题,覆盖网络路由未正确重新分发给底层网络 BGP。如果未进行该修复,必须根据需要强制 Edge 重新学习底层网络或覆盖网络 BGP 路由。

解决的 Orchestrator 问题

Orchestrator 版本 R420-20211220-GA

Orchestrator 版本 R420-20211220-GA 于 2021 年 12 月 20 日发布。此 Orchestrator 内部版本通过更新到 Log4j 版本 2.16.0,修复了 CVE-2021-44228(Apache Log4j 漏洞)。有关 Apache Log4j 漏洞的详细信息,请参阅 VMware 安全公告 VMSA-2021-0028.5

    ___________________________________________________________________

    版本 R420-20210306-GA 中解决的问题

    从 Orchestrator 版本 R420-20210122-GA 开始,解决了以下问题。

    • 修复的问题 56436:连接到通过网关的非 SD-WAN 目标 (NSD) 的隧道可能每 30 秒关闭并快速启动(即“抖动”)一次。

      如果 VMware SD-WAN Orchestrator 正好在检查 VMware SD-WAN 网关检测信号的同时发送 NSD 配置更改,则会导致出现此问题。  发生这种情况时,将无法识别配置更改,之后,会随每个检测信号重新发送 NSD 配置更改,而每个更改同样无法被识别。在网关上收到配置更改时,连接会重新启动,通常这是一个一次性事件,但此时连接会重置,并且 NSD 隧道会在每次检查网关检测信号时关闭。  网关检测信号间隔为 30 秒,因此,此问题会导致 NSD 隧道每 30 秒抖动一次。

    • 修复的问题 58627:VMware SD-WAN Orchestrator 标记为“关闭”(Down) 的 WAN 链路在 Orchestrator UI 的“监控”(Monitor) 页面上仍显示为“开启”(Up),这可能还会导致 Orchestrator 发出错误的“链路开启”(Link Up) 警示。

      即使在某个 WAN 链路只有第 1 层连接且没有任何链路统计信息时,VMware SD-WAN Edge 仍会继续将该 WAN 链路的链路统计信息发送到 Orchestrator。Orchestrator 会错误地将这些空统计信息解读为该 WAN 链路已开启,并在“监控”(Monitor) 页面上错误地标记该链路,同时还会发送“链路开启”(Link Up) 警示(如果客户已配置为发送此类警示)。此问题会误导监控企业的客户认为已关闭的 WAN 链路实际上已开启。此问题不会影响“事件”(Events)。

    ______________________________________

    版本 R420-20210122-GA 中解决的问题

    从 Orchestrator 版本 R420-20201216-GA 开始,解决了以下问题。

    • 修复的问题 56033:合作伙伴管理员无法在 VMware SD-WAN Orchestrator 的“配置客户”(Configure Customer)页面上配置客户的合作伙伴网关切换。

      在具有此问题的 Orchestrator 上,使用合作伙伴网关的合作伙伴无法有效置备新客户端。出现此问题的原因是,新添加的验证不允许合作伙伴使用在全局范围提供的 gatewayLogicalIds 配置网关切换。

    ______________________________________

    版本 R420-20201216-GA 中解决的问题

    从 Orchestrator 版本 R401-20201214-GA 开始,解决了以下问题。

    • 修复的问题 46281:VMware SD-WAN Orchestrator 允许用户配置具有 5 个八位字节的无效 BGP 子网。

      Orchestrator 不会对无效的 BGP 配置执行验证检查,并允许用户保存配置。  例如,由于存在该问题,用户可能会配置 BGP 筛选器 0.0.0.0.0/0,而 Orchestrator 不会阻止这样做。

    • 修复的问题 48793:如果添加了无效的 VLAN segmentId,Edge deviceSettings 页面不会完全加载,并在应包含信息的位置显示空白内容。

      API configuration/updateConfigurationModule 不检查调用中指定的 segmentId 以确保有效,从而导致可能指定了错误的 segmentId。这种无效的 segmentId 导致页面损坏。该修复程序确保,在通过 API 添加新的 VLAN 时指定的 segmentId 是现有的有效 segmentId。

    • 修复的问题 48084:VMware SD-WAN Orchestrator 允许 API 调用“insertOrUpdateEnterpriseGatewayHandoff”插入无效或错误的“segmentLogicaltId”或“gatewayLogicalId”。

      网关切换配置验证不会捕获与分段元数据参数有关的错误。通过使用该修复程序,无效的网关逻辑 ID 和无效的分段逻辑 ID 将引发错误,而不会应用于配置。

    • 修复的问题 48895:将 VMware SD-WAN Orchestrator 升级到 3.4.x 或 4.x 后,无法修改不包含 VLAN1 的配置文件。 

      由于存在该问题,只能在 VMware Edge 型号的接口设置中使用 ID 为 1 的 VLAN。在移除 ID 为 1 的 VLAN 并添加新的 VLAN 时,将会出现该问题。在这种情况下,在配置文件中新启用 Edge 型号时,不会在 Edge 的接口设置中设置 VLAN。

    • 修复的问题 50119:在“管理”(Administration) >“系统设置”(System Settings) 页面上,未准确说明“向 <Partner_Name> 支持人员授予访问权限”(Grant access to <Partner_Name> Support) 设置的用途。

      如果客户管理员超级用户根据说明禁用了该设置,他们是希望合作伙伴管理员无法再编辑和配置其企业或对其进行故障排除。  相反,该设置实际是为了控制合作伙伴查看和管理企业用户以及用户可识别流量统计信息的能力。 

    • 修复的问题 52271:在将 VMware SD-WAN Orchestrator 升级到 4.0.0 版本时,如果在客户企业中的任何 VMware SD-WAN Edge 上存在使用 Edge 覆盖的云安全服务 (CSS) 的业务策略,则用户无法更改 CSS 配置。

      用户将会在“配置”(Configure) >“Edge”>“设备”(Device) 的“云安全服务”(Cloud Security Service) 部分中遇到该问题。该问题影响客户,因为用户无法更改 CSS 提供程序。该问题是在 4.0.0 上添加的 UI 验证造成的,该验证旨在防止用户更改 Edge 覆盖的 CSS 提供程序(如果该 CSS 用于同一 Edge 的任何 Edge 级业务策略)。不过,Orchestrator 检查客户企业中的所有 Edge,而不是将检查限制为配置的 Edge 的业务策略。

    • 修复的问题 52491:在 VMware SD-WAN Orchestrator 中添加新的端口转发规则时,无法保存配置。

      在删除几个分段后,将分段映射到端口转发规则时,将会出现该问题。用户无法保存防火墙配置,并显示“无法读取未定义的‘logicalId’属性”(Cannot read property 'logicalId' of undefined) 错误。

    • 修复的问题 52571:在 VMware SD-WAN Orchestrator 上的“监控”(Monitor) >“Edge”页面和“监控”(Monitor) >“Edge 概览”(Edge Overview) 页面上显示不同的 VMware SD-WAN Edge 链路状态。

      如果网络的对等端断开连接,并且 Edge 向 Orchestrator 发送“DISCONNECT”事件,同时还启用了“实时模式”(Live Mode),则 Orchestrator 可能会认为该链路实际并未中断,因为 Edge 继续向 Orchestrator 发送值为 0 的链路数据。  最终结果是,在监控 (Monitor) > Edge 屏幕和监控 (Monitor) > Edge 概览 (Edge Overview) 屏幕上显示不一致的 Edge 链路状态。

    • 修复的问题 52682:对于在灾难恢复 (DR) 拓扑中部署的 VMware SD-WAN Orchestrator,备用 Orchestrator 可能会不断尝试复制它已从活动 VMware SD-WAN Edge 和网关复制的报告和 Orchestrator 诊断包,并且 Edge 和网关持续报告从备用 Orchestrator 收到“新的管理平面配置”。

      Edge 和网关报告频繁收到“新的管理平面配置”,并且 Orchestrator 灾难恢复反复执行以下过程:进行同步并失败,然后重新进行同步,原因是备用 Orchestrator 不断尝试打开 SSH 连接,以便在连接处于活动状态时复制它已复制的文件。

    • 修复的问题 52949:VMware SD-WAN Orchestrator 的“监控”(Monitor) >“Edge 概览”(Edge Overview) 页面上的 WAN 链路状态可能不正确。

      Orchestrator 没有从正确的 API 中提取 WAN 链路状态,这可能会导致显示不正确的 WAN 链路状态。

    • 修复的问题 53199:对于 Palo Alto 类型的通过网关的非 SD-WAN 目标,VMware SD-WAN Orchestrator 和 VMware SD-WAN 网关显示的 IKE 和 IPsec 生命周期值存在差异。

      这只是显示问题,对通过网关的非 SD-WAN 目标功能没有影响。Orchestrator 将阶段 1 的生命周期显示为 8 小时,将阶段 2 的生命周期显示为 1 小时,而网关(使用 debug.py -v ike)将阶段 1 的生命周期显示为 24 小时,将阶段 2 的生命周期显示为 8 小时。实际上,对于 Palo Alto 类型的通过网关的非 SD-WAN 目标,Orchestrator 和网关将 24 小时作为阶段 1 的 IKE 和 IPsec 生命周期默认值,将 8 小时作为阶段 2 的 IKE 和 IPsec 生命周期默认值。

    • 修复的问题 53411:在为 VMware SD-WAN Edge 接口配置 PPPOE 寻址类型时,可以通过 Orchestrator UI 或 API 正确查看配置的“username”,但传播到 Edge 的 username 具有“null”值。

      这是由于以下原因造成的:从寻址类型对象中选择属性以添加为向下发送到 Edge 的组合配置的一部分时,一部分代码使用“name”而不是“username”。由于“name”键在该对象上不存在,“username”将添加为“null”。

    已知问题

    4.2.0 版本中的未解决问题

    已知问题分为以下几类。

    Edge/网关已知问题
    • 问题 14655:

      插入或拔出 SFP 适配器可能会导致设备在 Edge 540、Edge 840 和 Edge 1000 上停止响应,并需要进行实际重新引导。

      解决办法:必须实际重新引导 Edge。  可以在 Orchestrator 上使用远程操作 (Remote Actions) > 重新引导 Edge (Reboot Edge) 以完成该操作,也可以关闭再打开 Edge 电源以完成该操作。

    • 问题 25504:

      大于 255 的静态路由成本可能会导致无法预测的路由排序。  

      解决办法:使用 0 到 255 之间的路由成本。

    • 问题 25595:

      可能需要重新启动,以使对 WAN 覆盖网络上的静态 SLA 的更改正常工作。  

      解决办法:在 WAN 覆盖网络中添加和移除静态 SLA 后,重新启动 Edge。

    • 问题 25742:

      底层网络产生的流量限制为发送到 VMware SD-WAN 网关的最大容量,即使该流量小于未连接到该网关的专用 WAN 链路的容量。  

    • 问题 25758:

      从一个 USB 端口切换到另一个 USB 端口时,可能未正确更新 USB WAN 链路,直到重新引导了 VMware SD-WAN Edge。  

      解决办法:将 USB WAN 链路从一个端口移动到另一个端口后,重新引导 Edge。

    • 问题 25855:

      对于通过 VMware SD-WAN 网关的某些流量,合作伙伴网关上的较大配置更新(例如,200 个启用了 BGP 的 VRF)可能会导致延迟大约增加 2-3 秒。

      解决办法:没有可用的解决办法。

    • 问题 25921:

      在将 3,000 个分支 Edge 连接到 VMware SD-WAN Hub 时,Hub 高可用性故障切换所需的时间比预期时间长(最多 15 秒)。  

    • 问题 25997:

      VMware SD-WAN Edge 可能需要重新引导,才能在转换为交换端口的路由接口上正确传输流量。  

      解决办法:在进行配置更改后,重新引导 Edge。

    • 问题 26421:

      还必须将任何分支站点的主合作伙伴网关分配给 VMware SD-WAN Hub 集群,才能建立到该集群的隧道。  

    • 问题 28175:

      在 NAT IP 与 VMware SD-WAN 网关接口 IP 重叠时,业务策略 NAT 将会失败。  

    • 问题 31210:

      VRRP:如果 VMware SD-WAN Edge 是主节点并在 LAN 接口上运行非全局 CDE 分段,则无法在 LAN 客户端中为 VRRP 虚拟 IP 地址解析 ARP。 

    • 问题 32731:

      在关闭了路由时,可能未正确撤消通过 OSPF 通告的条件默认路由。重新启用并禁用路由将成功撤消该路由。 

    • 问题 32960:

      在激活的 VMware SD-WAN Edge 的本地 Web UI 上,可能会错误地显示接口“自动协商”和“速度”状态。

    • 问题 32981:

      启用了 DPDK 的端口上的硬编码速度和双工可能需要重新引导 VMware SD-WAN Edge 以使配置生效,因为它需要禁用 DPDK。

    • 问题 34254:

      如果创建 Zscaler CSS 并且全局分段配置了 FQDN/PSK 设置,这些设置将复制到非全局分段以建立到 Zscaler CSS 的 IPsec 隧道。

    • 问题 35778:

      如果在单个接口上具有多个用户定义的 WAN 链路,只能有一个 WAN 链路具有到 Zscaler 的 GRE 隧道。 

      解决办法:对于需要建立到 Zscaler 的 GRE 隧道的每个 WAN 链路,请使用不同的接口。

    • 问题 35807:

      如果从 VMware SD-WAN Orchestrator 中禁用并重新启用 DPDK 路由接口,将完全禁用该接口。 

    • 问题 36923:

      在作为 Hub 连接到集群的 VMware SD-WAN Edge 的 NetFlow 接口说明中,可能未正确更新该集群名称。

    • 问题 38682:

      在启用了 DPDK 的接口上充当 DHCP 服务器的 VMware SD-WAN Edge 可能没有为所有连接的客户端正确生成“新客户端设备”(New Client Device) 事件。

    • 问题 38767:

      将配置了到 Zscaler 的 GRE 隧道的 WAN 覆盖网络从自动检测更改为用户定义时,可能会保留过时的隧道,直到下次重新启动。

      解决办法:重新启动 Edge 以清除过时的隧道。

    • 问题 39134:

      在 VMware SD-WAN Edge 的“监控”(Monitor) >“Edge”>“系统”(System) 以及 VMware SD-WAN 网关的“监控”(Monitor) >“网关”(Gateways) 上,可能未正确报告系统运行状况统计信息“CPU 百分比”(CPU Percentage)。

      解决办法:用户应使用切换队列丢弃以监控 Edge 容量而不是 CPU 百分比。

    • 问题 39374:

      更改分配给 VMware SD-WAN Edge 的 VMware SD-WAN 合作伙伴网关顺序可能未正确地将网关 1 设置为用于带宽测试的本地网关。

    • 问题 39608:

      在显示正确的结果之前,远程诊断“Ping 测试”(Ping Test) 的输出可能会短暂显示无效的内容。

    • 问题 39624:

      在为父接口配置 PPPoE 时,通过子接口执行 Ping 操作可能会失败。

    • 问题 39659:

      在配置了增强高可用性的站点上(在每个 VMware SD-WAN Edge 上具有一个 WAN 链路),在备用 Edge 仅连接了 PPPoE 而活动 Edge 仅连接了非 PPPoE 时,如果 HA 电缆发生故障,则可能会出现脑裂状态(活动/活动)。

    • 问题 39753:

      禁用动态分支到分支 VPN 可能会导致当前使用动态分支到分支发送的现有流量停止。

    • 问题 40096:

      如果重新引导激活的 VMware SD-WAN Edge 840,插入到 Edge 的 SFP 模块可能会停止传输流量,即使链路指示灯和 VMware SD-WAN Orchestrator 将端口显示为“启动”。 

      解决办法:拔下 SFP 模块,然后将其重新插入到端口中。

    • 问题 40421:

      在通过 VMware SD-WAN Edge 传输并将接口配置为交换端口时,traceroute 不显示路径。

    • 问题 42278:

      对于特定类型的对等体配置错误,VMware SD-WAN 网关可能会不断向非 SD-WAN 对等体发送 IKE 初始化消息。该问题不会中断到网关的用户流量;但在网关日志中填充 IKE 错误,这可能会掩盖有用的日志条目。

    • 问题 42388:

      在 VMware SD-WAN Edge 540 上,从 VMware SD-WAN Orchestrator 中禁用并重新启用接口后,检测不到 SFP 端口。

    • 问题 42488:

      在为交换端口或路由端口启用了 VRRP 的 VMware SD-WAN Edge 上,如果断开电缆与端口的连接并重新启动 Edge 服务,则将通告 LAN 连接的路由。

      解决办法:没有该问题的解决办法。

    • 问题 42872:

      在与 Hub 集群关联的 Hub 配置文件上启用配置文件隔离时,不会从路由信息库 (RIB) 中撤消 Hub 路由。

    • 问题 43373:

      如果从多个 VMware SD-WAN Edge 中学习相同的 BGP 路由,并且在“覆盖网络流量控制”(Overlay Flow Control) 中将该路由从“首选出口”(Preferred Exit) 移动到“符合条件的出口”(Eligible Exit),不会在通告列表中移除该 Edge,而是继续通告该 Edge。

      解决办法:在 VMware SD-WAN Orchestrator 上启用分布式成本计算。

    • 问题 44526:对于如下企业:两个不同站点将其 VMware SD-WAN Edge 部署为 Hub,同时还使用高可用性拓扑,并且每个站点在其配置文件中将另一个 Hub 站点用作 Hub。  如果其中一个 Hub 站点触发 HA 故障切换,则两个 Hub Edge 最多可能需要 30 分钟才能彼此重新建立隧道。 

      在发生 HA 故障切换时,两个 Hub Edge 同时尝试启动彼此之间的隧道,并且均不回复对方,这两个 Hub 之间会发生数据包交换,但 IKE 永远不会成功。这会导致出现死锁,据观察,最多需要 30 分钟才能自行解决死锁。该问题是间歇性的,并不是在每次 HA 故障切换后都会出现该问题。 

      解决办法:为防止出现该问题,客户应当只将两个 HA Hub 站点中的一个站点配置为使用另一个 Hub 站点作为自己的 Hub。  例如,如果有两个 HA Hub 站点(Hub1 和 Hub2),Hub1 可以在其配置文件中将 Hub2 作为自己的 Hub,但 Hub2 不得在其配置文件中使用 Hub1 作为 Hub。

    • 问题 44832:

      在 VMware SD-WAN Edge 上丢弃从一个通过 Edge 的非 SD-WAN 目标到另一个通过 Edge 的非 SD-WAN 目标的流量(即“回流”或“NAT 环回”)。

    • 问题 44995:

      从 Hub 集群中撤消 OSPF 路由时,不会从 VMware SD-WAN 网关和 VMware SD-WAN 分支 Edge 中撤消这些路由。

    • 问题 45189:

      在配置了源 LAN 端 NAT 的情况下,允许从 VMware SD-WAN 分支 Edge 到 Hub Edge 的流量,即使没有为 NAT 子网配置静态路由。

    • 问题 45302:

      在 VMware SD-WAN Hub 集群中,如果一个 Hub 到所有 VMware SD-WAN 网关(它自身和为其分配的分支 Edge 之间的通用网关)的连接中断超过 5 分钟,在极少数情况下,分支可能在 5 分钟后无法保留 Hub 路由。在 Hub 重新与网关建立连接时,将自行解决该问题。

    • 问题 46053:

      在邻居更改为上行链路邻居时,不会为覆盖网络路由自动更正 BGP 首选项。

      解决办法:Edge 服务重新启动将纠正该问题。

    • 问题 46137:

      即使为运行 3.4.x 软件的 VMware SD-WAN Edge 配置了 GCM,该 Edge 也不会启动具有 AES-GCM 加密的隧道。

    • 问题 46216:

      在通过网关或 Edge 的非 SD-WAN 目标(对等体是 AWS 实例)上,在对等体启动第 2 阶段重新加密时,还会删除第 1 阶段 IKE 并强制进行重新加密。  这意味着,将拆除并重建隧道,从而导致在隧道重建期间丢失数据包。

      解决办法:为了避免拆除隧道,请将通过网关/Edge 的非 SD-WAN 目标或 CSS IPsec 重新加密定时器配置为少于 60 分钟。  这可防止 AWS 启动重新加密。

    • 问题 46391:

      对于 VMware SD-WAN Edge 3800,SFP1 和 SFP2 接口在多速率 SFP(即 1/10G)中均出现问题,因此,不应在这些端口中使用这些接口。

      解决办法:请按照知识库文章 VMware SD-WAN 支持的 SFP 模块列表 (79270) 中的说明使用单速率 SFP。  多速率 SFP 可以与 SFP3 和 SFP4 一起使用。

    • 问题 46918:

      使用 3.4.2 版本的 VMware SD-WAN 分支 Edge 未正确更新集群 Hub 节点的专用网络 ID。

    • 问题 47084:

      在连接了 4000 个分支 Edge 时,VMware SD-WAN Hub Edge 无法建立超过 750 个 PIM(与协议无关的多播)邻居。

    • 问题 47244:

      在启用了 DPDK 的已激活 VMware SD-WAN Edge 6x0(部署了一些铜质 SFP)上,即使未插入任何电缆,该 Edge 在 VMware SD-WAN Orchestrator UI 上也将链路显示为“启动”。

      解决办法:插入并拔出电缆将会移除虚假状态。

    • 问题 47355:

      在通过本地底层网络 BGP、Hub BGP 和/或在合作伙伴网关上静态配置的 BGP 学习相同的路由时,路由的排序顺序不正确,其中 Hub BGP 优先于底层网络 BGP。

    • 问题 47664:

      在禁用了通过 Hub 的分支到分支 VPN 的 Hub 和分支配置中,尝试使用 L3 交换机/路由器上的汇聚路由回转分支到分支的流量将导致路由环路。

      解决办法:配置云 VPN 以启用分支到分支 VPN,然后选择“将 Hub 用于 VPN”(Use Hubs for VPN)。

    • 问题 47681:

      在 VMware SD-WAN Edge 的 LAN 端上的主机使用与该 Edge 的 WAN 接口相同的 IP 时,从 LAN 主机到 WAN 的连接无法正常工作。

    • 问题 47787:

      如果从 Hub Edge 启动到配置了回传业务策略的 VMware SD-WAN 分支 Edge 的流量,该分支 Edge 将错误地通过 VMware SD-WAN 网关路径发送流量。

    • 问题 48166:

      使用 Ciena 虚拟化操作系统时,不支持 KVM 上的 VMware SD-WAN 虚拟 Edge,并且 Edge 将反复发生数据平面服务故障。

    • 问题 48175:

      在以下情况下,运行 3.4.2 版本的 VMware SD-WAN Edge 在非全局分段上建立 OSPF 邻接关系:非全局分段配置的接口的 IP 范围与在全局分段上配置的接口相同。

    • 问题 48530:

      VMware SD-WAN Edge 6x0 型号不会为三速 (10/100/1000 Mbps) 铜质 SFP 执行自动协商。

      解决办法:Edge 520/540 支持三速铜质 SFP,但该型号已标记为在 2021 年第一季度“终止销售”。

    • 问题 48597:如果到对等体的两条路径之一断开,则不会保持多跳 BGP 邻居关系

      如果与对等体之间具有多跳 BGP 邻居关系,存在多条到对等体的路径,其中的一条路径断开,用户将会注意到 BGP 邻居关系中断,并且不会使用其他可用的路径建立 BGP 邻居关系。这也包括本地 IP 环回邻居关系。

      解决办法:没有该问题的解决办法。

    • 问题 48666:

      面向 IPsec 的网关路径 MTU 计算不考虑 61 字节 IPsec 开销,从而导致向 LAN 客户端通告较高的 MTU 并随后进行 IPsec 数据包分片。

      解决办法:没有该问题的解决办法。

    • 问题 49172:

      为两个不同 VMware SD-WAN Edge 配置相同 NAT 子网的基于策略的 NAT 规则不起作用。

    • 问题 49738:

      在某些情况下,将 VMware SD-WAN 分支 Edge 配置为使用多个 Hub Edge 时,分支 Edge 可能无法建立到 Hub 列表中配置的某个 Hub 的隧道。

    • 问题 50518:

      在启用了 PKI 的 VMware SD-WAN 网关上,如果超过 6000 个 PKI 隧道尝试连接到该网关,这些隧道可能不会全部启动,因为没有删除入站 SA。

      注意:使用预共享密钥 (PSK) 身份验证的隧道不存在该问题。

    • 问题 51428:在 VMware SD-WAN Edge 的子接口配置了 PIM 的站点上,可能会观察到多播流量丢失。

      在将配置了 PIM 的子接口从一个分段动态移动到另一个分段时,pimd(管理 PIM 的进程)可能会重新启动,并且站点出现间歇性的多播流量丢失问题。

      解决办法:先禁用子接口,然后将子接口移动到另一个分段。在移动后,重新启用子接口。

    • 问题 51436:对于使用增强的高可用性拓扑的站点,在部署使用 LTE 调制解调器的 VMware SD-WAN Edge 时,如果站点进入“脑裂”状态,HA 故障切换需要大约 5-6 分钟的时间。

      从脑裂状态中恢复期间,将在活动 Edge 上关闭 LAN 端口,这会在端口关闭期间影响 LAN 流量,直到可以恢复站点为止。

      解决办法:没有该问题的解决办法。

    • 问题 52102:对于使用 Hub/分支拓扑的企业,从给定元组的 Hub Edge 故障切换中恢复时,将在 VMware SD-WAN 分支 Edge 上丢弃现有流量。

      在主 Hub Edge 从故障切换中恢复时,下列事件将会导致该问题:
      1.在主 Hub Edge 发生故障时,将从该主 Hub Edge 的 FIB 中移除路由,同时在 RIB 中保留路由。
      2.现在,现有流量将切换到辅助 Hub Edge。
      3.在主 Hub 恢复运行时,将立即在分支 Edge 和主 Hub 之间建立隧道。
      4.扫描 RIB 中以前通过网关从主 Hub 中学习的路由,并在指向该主 Hub 的 FIB 中安装路由。
      5.流量将切换回主 Hub,而主 Hub 没有从其 BGP 邻居中学习路由。
      6.这导致路由查找与默认路由匹配,并使用回传标记对返回流量进行标记。
      7.分支 Edge 没有料到会收到设置了回传标记的返回流量,这会导致丢弃流量。 

      解决办法:在 Hub Edge 上,为给定的元组运行远程诊断刷新流量 (Flush Flows),将会恢复流量。

    • 问题 52483:如果为接口启用了底层网络记帐,则 VMware SD-WAN Edge 错误地将流量转发回相同的接口,而不是转发到覆盖网络。

      该行为是由底层网络记帐和递归路由解析问题引起的。

      解决办法:为受影响的接口禁用底层网络记帐。

    • 问题 53219:在 VMware SD-WAN Hub 集群重新均衡后,一些分支 Edge 可能未正确设置其 RPF 接口/IIF。

      在受影响的分支 Edge 上,多播流量将会受到影响。发生的情况是,在集群重新均衡后,某些分支 Edge 无法发送 PIM 加入。

      解决办法:该问题将一直存在,直到受影响的分支 Edge 重新启动 Edge 服务为止。

    • 问题 53337:在吞吐量高于 3200 Mbps 时,可能会在 VMware SD-WAN 网关的 AWS 实例中观察到数据包丢弃。

      在流量的吞吐量超过 3200 Mbps 并且数据包大小为 1300 字节时,将会在接收和 IPv4 BH 切换时观察到数据包丢弃。

      解决办法:没有该问题的解决办法。

    • 问题 53359:在某些 DDoS 攻击期间,BGP/BFD 会话可能会失败。

      如果从连接到路由接口的客户端到 LAN 客户端之间存在大量流量,BGP/BFD 会话可能会失败。同样,在具有到覆盖网络目标的大量实时高优先级流量时,BGP/BFD 会话也可能会失败。

      解决办法:没有该问题的解决办法。

    • 问题 53830:在 VMware SD-WAN Edge 上,在启用了 DCC 标记时,BGP 视图中的某些路由可能没有正确的首选项和通告值,从而导致在 Edge 的 FIB 中具有不正确的排序顺序。

      对于在 Edge 上具有大量路由的大型场景,如果启用了分布式成本计算 (DCC),在查看日志 bgp_view 的 Edge 诊断包时,可能未使用首选项和通告值正确更新某些路由。  该问题(如果发现)是在大型企业(100 多个分支 Edge 连接到 Hub Edge 或 Hub 集群)包含的一些 Edge 中发现的。  

      解决办法:可以重新学习底层网络 BGP 路由或在 VMware SD-WAN Orchestrator 的 OFC 页面上为受影响的路由执行“刷新”(Refresh) 选项以解决该问题。请注意,为路由执行“刷新”(Refresh) 将会从企业的所有 Edge 中重新学习路由。

    • 问题 53934:在配置了 VMware SD-WAN Hub 集群的企业中,如果主 Hub 在 LAN 端具有多跳 BGP 邻居关系,在 LAN 端发生故障或在所有分段上禁用 BGP 时,客户可能会在分支 Edge 上遇到流量丢弃问题。

      在 Hub 集群中,主 Hub 与对等设备之间具有多跳 BGP 邻居关系以学习路由。如果建立 BGP 邻居关系时使用的 Hub 上的物理接口发生故障,即使 BGP 视图是空的,BGP LAN 路由可能也不会变为零。这可能会导致不会进行 Hub 集群重新均衡。在为所有分段禁用 BGP 以及存在一个或多个多跳 BGP 邻居关系时,也可能会观察到该问题。

      解决办法:重新启动发生 LAN 端故障(或禁用了 BGP)的 Hub。

    • 问题 54107:对于在增强型高可用性拓扑中部署 VMware SD-WAN Edge 的客户,如果该拓扑还配置了动态分支到分支 VPN,则在发生 HA 故障切换时,客户可能会看到站点流量经过 VMware SD-WAN 网关,而不是更高效的分支 Edge 路径。 

      HA 故障切换后,并非总是重新建立动态分支到分支隧道,这导致分支到分支的流量在启动新流量之前会采用通过网关的路径。对客户的影响可能会体现在以下两方面之一:首先,如果到网关的路径丢失,则此影响会反映在该流量上;其次,如果网关距离站点发送和接收流量的对等分支 Edge 位置较远,则可能会发现该流量的延迟增加。  此问题出现在 HA 故障切换之前已存在的流量中,一旦在故障切换后创建了新流量,即会按预期构建分支到分支隧道,并将所有现有流都转向到该隧道。  

      解决办法:如果站点中不会频繁创建新流量,用户可以对部分或所有受影响的流量运行远程诊断“刷新流量”。 

    • 问题 84825:对于使用配置了 BGP 的高可用性拓扑部署的站点,如果站点配置的 BGPv4“匹配”和“设置”规则超过 512 个,客户可能会观察到 HA Edge 对持续进行故障切换,但一直不会恢复。

      BGPv4“匹配”和“设置”规则超过 512 个可以理解为客户在入站筛选器上配置了 256 个以上的此类规则,在出站筛选器上配置了 256 个以上规则。此问题会导致客户流量中断,因为重复故障切换将导致实时流量(例如语音通话)的流量持续丢弃并随后重新创建。当 HA Edge 遇到该问题时,同步 Edge CPU 线程的过程将失败,从而导致 Edge 重新引导以进行恢复,但升级的 Edge 也会遇到相同的问题,进而重新引导,但其不会在站点进行任何恢复。

      解决办法:如果未进行该修复,客户必须确保为 HA 站点配置的 BGPv4“匹配”和“设置”规则不超过 512 个。

      如果站点遇到此问题,并且配置了超过 512 个 BGP/v4 “匹配”和“设置”规则,则客户必须立即将规则数减少到 512 个或更少才能恢复站点。

      或者,如果客户必须具有 512 个以上的 BGPv4“匹配”和“设置”规则,他们可以将 HA Edge 降级到 3.4.6 版本,使用该版本将不会遇到该问题,但代价是牺牲更高版本中的 Edge 功能。仅当 3.4.6 版本支持客户的 Edge 型号,并且他们在降级之前进行了确认时,才能执行此操作。

    Orchestrator 已知问题
    • 问题 19566:

      在高可用性故障切换后,备用 VMware SD-WAN Edge 的序列号可能在 Orchestrator 中显示为活动 Edge 序列号。

    • 问题 20900:

      如果启用了 MaxMind 地理位置服务,并且该服务无法访问 MaxMind 服务器,新的 VMware SD-WAN Edge 激活将无法正常工作。

    • 问题 21342:

      在按分段分配合作伙伴网关时,在 VMware SD-WAN Edge 监控列表上的操作员选项“查看网关”(View Gateways) 下面可能未显示正确的网关分配列表。

    • 问题 24269:

      “监控”(Monitor) >“传输”(Transport) >“中断”(Loss) 未将观察到的 WAN 链路中断绘制图表,而 QoE 图表反映了这种中断。 

    • 问题 25932:

      VMware SD-WAN Orchestrator 允许将 VMware SD-WAN 网关从网关池中移除,即使正在使用这些网关。

    • 问题 32335:

      在用户尝试接受协议时,“最终用户服务协议”(EUSA) 页面抛出错误。

      解决办法:确保在企业名称中不包含前导或尾随空格。

    • 问题 32435:

      对于已在配置文件级别配置的元组,允许对基于策略的 NAT 配置进行 VMware SD-WAN Edge 覆盖,反之亦然。

    • 问题 32856:

      尽管将业务策略配置为使用 Hub 集群以回传 Internet 流量,但用户可以在 VMware SD-WAN Orchestrator(已从 3.2.1 版本升级到 3.3.x 版本)上从配置文件中取消选择 Hub 集群。

    • 问题 32913:

      在启用高可用性后,在“监控”(Monitoring) 页面上不显示 VMware SD-WAN Edge 的多播详细信息。故障切换将解决该问题。

    • 问题 33026:

      在删除协议后,“最终用户服务协议”(EUSA) 页面未正确重新加载。

    • 问题 34828:

      无法在使用 2.x 版本的 VMware SD-WAN 分支 Edge 和使用 3.3.1 版本的 Hub Edge 之间传输流量。

    • 问题 35658:

      在将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有不同 CSS 设置的配置文件(例如,从配置文件 1 中的 IPsec 移动到配置文件 2 中的 GRE)时,Edge 级别 CSS 设置将继续使用以前的 CSS 设置(例如,使用 IPsec 而不是 GRE)。 

      解决办法:在 Edge 级别禁用 GRE,然后重新启用以解决该问题。

    • 问题 35667:

      将 VMware SD-WAN Edge 从一个配置文件移动到另一个具有相同 CSS 设置但具有不同 GRE CSS 名称(相同端点)的配置文件时,在监控中不显示某些 GRE 隧道。

      解决办法:在 Edge 级别禁用 GRE,然后重新启用以解决该问题。

    • 问题 36665:

      如果 VMware SD-WAN Orchestrator 无法访问 Internet,需要访问 Google 地图 API 的用户界面页面可能无法完全加载。

    • 问题 38056:

      Edge-Licensing export.csv 文件不显示区域数据。

    • 问题 38843:

      在推送应用程序库时,没有操作员事件,并且 Edge 事件的用途有限。

    • 问题 39633:

      在用户将备用网关分配为超级网关后,超级网关超链接无法正常工作。

    • 问题 39790:

      VMware SD-WAN Orchestrator 允许用户将 VMware SD-WAN Edge 的路由接口配置为超过支持的 32 个子接口,从而产生用户可以在接口上配置 33 个或更多子接口的风险,这会导致 Edge 发生数据平面服务故障。

    • 问题 40341:

      尽管在后端将 Skype 应用程序正确划分为实时流量,但在 VMware SD-WAN Orchestrator 上编辑 Skype 业务策略时,服务类可能会错误地显示“事务”(Transactional)。

    • 问题 41691:

      虽然 DHCP 池未用完,但用户无法在配置 (Configure) > Edge > 设备 (Device) 页面上更改“地址数”(Number of addresses) 字段。

    • 问题 43276:

      在 VMware SD-WAN Edge 或配置文件配置了合作伙伴网关时,用户无法更改分段类型。

    • 问题 44153:

      VMware SD-WAN Orchestrator 未始终将警示电子邮件发送到“警示和通知”(Alerts and Notifications) 部分中配置的电子邮件地址。

    • 问题 46254:

      在激活 VMware SD-WAN Edge 期间,VMware SD-WAN Orchestrator 检测不到更改的 WAN 链路 MTU,或者检测不到 DHCP 配置的接口的 VLAN ID。

    • 问题 47269:

      对于不支持 LTE 接口的 Edge 型号,可能会显示 VMware SD-WAN 510-LTE 接口。

    • 问题 47713:

      如果在禁用了云 VPN 时配置业务策略规则,在启用云 VPN 后,必须重新配置 NAT 配置。

    • 问题 47820:

      如果在配置文件级别配置 VLAN 并禁用了 DHCP,同时还在启用了 DHCP 的 Edge 上为该 VLAN 配置 Edge 覆盖,并且 DNS 服务器字段的条目设置为“无”(None)(未配置任何 IP),用户将无法在“配置”(Configure) >“Edge”>“设备”(Device) 页面上进行任何更改,并收到“IP 地址 [] 无效”(invalid IP address []) 错误消息,该消息未解释或指出实际问题。

    • 问题 48085:

      VMware SD-WAN Orchestrator 允许用户删除与接口关联的 VLAN。

    • 问题 48737:

      在使用 4.0.0 版本的新用户界面的 VMware SD-WAN Orchestrator 上,如果用户位于“监控”(Monitor) 页面并更改开始和结束时间间隔,然后在选项卡之间导航,Orchestrator 没有将开始和结束间隔时间更新为新的值。

    • 问题 49225:

      VMware SD-WAN Orchestrator 不实施总共 32 个 VLAN 的限制。

    • 问题 49790:

      将 VMware SD-WAN Edge 激活为 4.0.0 版本时,激活在“事件”(Events) 中发布两次。

      解决办法:忽略重复的事件。

    • 问题 50531:

      在 VMware SD-WAN Orchestrator 4.0.0 版本上访问新的 UI 时,如果两个具有不同特权的操作员使用同一浏览器窗口,特权较低的操作员尝试在特权较高的操作员之后登录,特权较低的操作员将观察到多个错误,指出“用户没有特权”(user does not have privilege)。

      注意:特权较低的操作员没有进行特权升级,而仅显示错误消息。

      解决办法:下一个操作员可以在登录之前刷新该页面以防止看到这些错误,或者每个操作员可以使用不同的浏览器窗口以避免这种显示问题。

    • 问题 51722:在 4.0.0 版本 VMware SD-WAN Orchestrator 上,“监控”(Monitor) >“Edge”选项卡中的任何统计信息的时间范围选择器不超过两周。

      即使一组统计信息的保留期远超过 2 周,时间范围选择器在“监控”(Monitor) >“Edge”选项卡中也不会显示超过“过去 2 周”(Past 2 Weeks) 的选项。  例如,默认情况下,流量和链路统计信息保留 365 天(可以进行配置),而路径统计信息仅保留 2 周(也可以进行配置)。  该问题使所有“监控”(Monitor) 选项卡符合最低的统计信息保留类型,而不允许用户选择与该统计信息的保留期一致的时间段。

      解决办法:用户可以使用时间范围选择器中的“自定义”(Custom) 选项以查看超过 2 周的数据。

    check-circle-line exclamation-circle-line close-line
    Scroll to top icon