2021 年 10 月 25 日更新

VMware SD-WAN™ Edge バージョン R440-20210701-GA-61583

各リリース ノートへの追加および更新を定期的にご確認ください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

対象ユーザー

今回のリリースで初めて利用可能になった機能を必要とする、すべてのカスタマーにこのリリース 4.4.0 をお勧めします。

互換性

VMware SASE を使用するには、すべてのコンポーネントでリリース 4.4.0 以上が必要です。


注:リリース 4.4.0 は、新しい展開でのみ使用できます。既存のネットワーク展開でリリース 4.3.x 以前を使用している場合、このリリースにアップグレードすることはできません。

重要な注意事項

VMware SASE™

リリース 4.4.0 以降、VMware は、業界をリードする VMware のソリューションを統合する包括的なクラウド配信の Secure Access Service Edge (「SASE」) プラットフォームを提供します。この変革の一環として、VMware のソリューションによって提供される SASE サービスの幅広いセットを反映するようにリリース名を VMware SD-WAN リリースから VMware SASE リリースに変更します。

VMware Secure Access Service Edge (SASE) はクラウド ホスト型のソリューションであり、あらゆるデバイスのユーザーが、あらゆる場所で、セキュリティが強化されたクラウド アプリケーションへの信頼性、効率性に優れた最適なアクセスを実行できます。拡張可能なソリューションとして、VMware SASE は、VMware SASE PoP (Point of Presence) のグローバル ネットワークを使用してネットワークおよびセキュリティ サービスを提供します。VMware SASE は、単一の管理ペインを使用して、これらのサービスを設定、管理、および監視します。このソリューションは、エンドユーザーと IoT デバイスの運用環境に関する実用的な洞察を提供します。

このソリューションは、クラウド サービス ノードのグローバル ネットワークを活用して、管理対象サービスまたは DIY として利用できます。    

VMware SASE は、次の 4 つのソリューションで構成されています。 

  • VMware SD-WAN™ は、業界をリードする Software-Defined WAN であり、クラウドまたはハイブリッド環境全体で簡単に展開および管理できるように、高性能で信頼性の高いブランチ アクセスを提供します。

  • VMware Cloud Web Security™ は、SaaS およびインターネット アプリケーションにアクセスするユーザーとインフラストラクチャを脅威から保護し、可視性、制御、およびコンプライアンスを提供するクラウド ホスト型サービスです。 

  • VMware Secure Access™ は、ゼロ トラスト ネットワーク アクセス (ZTNA) フレームワークをベースとするリモート アクセス ソリューションです。クラウド ホスト型ソリューションは、従来の VPN ソリューションと比べて複数のメリットを提供することで、ユーザーは一貫性のある、セキュアで最適なクラウド アプリケーション アクセスができるようになります。 

  • VMware Edge Network Intelligence™ は、エンタープライズ Edge に焦点を当てたベンダーに依存しない AIOps ソリューションであり、これらのデバイスからのトラフィックが無線/有線 LAN、SD-WAN、および SASE を通過することで、エンド ユーザーと IoT(モノのインターネット)クライアントの安全な運用を保証します。

ロールアウトに関する注意事項

  • VMware SASE Point of Presence (PoP) はリリース 4.4.0 で展開されています。最寄りの PoP については、VMware 営業担当者にお問い合わせください。 
  • VMware SASE サービスを利用するために既存の SD-WAN のお客様の移行を予定しているパートナーは、VMware 営業担当者にお問い合わせください。

AS-PATH プリペンドの BGPv4 フィルタ設定の区切り文字の変更

リリース 3.x 以降では、AS-PATH プリペンドの VMware SD-WAN BGPv4 フィルタ設定で、カンマ ベースとスペース ベースの両方の区切り文字が使用できました。ただし、リリース 4.0.0 以降では、VMware SD-WAN では、AS-PATH プリペンド設定でスペース ベースの区切り文字のみを使用できます。
リリース 4.4.0 のネットワークを展開していて、以前にリリース 3.x のみを使用していたカスタマーは、誤った BGP の最適なルート選択を防ぐために、AS-PATH プリペンド設定で区切り文字にスペースのみを使用するようにする必要があります。

新機能

VMware Cloud Web Security

VMware Cloud Web Security は、SaaS およびインターネット アプリケーションにアクセスするユーザーとインフラストラクチャを内部および外部の脅威の変化する状況から保護し、可視性、制御を提供し、コンプライアンスを保証するクラウド ホスト型サービスです。 

Cloud Web Security は、VMware SASE PoP (Points-of-Presence) のグローバル ネットワークを通じて提供され、ユーザーがどこにいても任意のデバイスを介して接続し、アプリケーションに安全で一貫した最適なアクセスができるようにします。Cloud Web Security は、セキュリティ サービスの管理を簡素化し、IT がユーザーの生産性のバランスを取りながら、セキュリティ状態を強化するのに役立ちます。   

Cloud Web Security により、IT チームは、次のメリットを活用してコンプライアンスのニーズに準拠しながら、強力なセキュリティ状態を維持するために必要な可視性と制御を確保できます。   

  • 俊敏性に優れたセキュリティ体制。クラウド ホスト型サービスとして、Cloud Web Security によって検出された脅威は、どこでもクラウドネイティブ プロパティを利用しているすべてのカスタマーに対して即座にブロックされます。  
  • 従業員がどこにいても、セキュアでシームレスなアクセスが可能。Cloud Web Security は、VMware SASE POP のグローバル ネットワークを利用して、ユーザーにインターネットおよび SaaS アプリケーションに対するセキュアで最適なアクセスを提供します。  
  • 運用の簡素化。Cloud Web Security は、VMware SD-WAN Orchestrator を使用した一元管理ペインを使用してネットワーク サービスとセキュリティ サービスを提供し、分散ワークプレイスの展開と運用を簡素化します。  
  • 運用コストの削減。Cloud Web Security は、オンプレミスで展開された物理アプライアンスまたは仮想アプライアンスのライフサイクル管理や更新サイクルの管理によるコスト削減を実現します。  

リリース 4.4.0 で提供される機能

VMware Cloud Web Security を使用すると、IT 管理者は URL フィルタリングとコンテンツ フィルタリングを使用して、攻撃対象領域を減らすことができます。URL フィルタリングを使用すると、従業員がアクセスできる Web サイトを制御できます。コンテンツ フィルタリングを使用すると、ユーザーがアクセスできるコンテンツの種類を制限できます。コンテンツは、最新の脅威インテリジェンスを使用して既知のウイルスからのマルウェア攻撃が検査されます。このソリューションは、封じ込められた環境でコンテンツが検査されるサンドボックス サポートにより、ゼロデイ マルウェアから保護します。Cloud Web Security には、現在 SSL で暗号化されている Web アプリケーションの大部分を検査するための復号化を備えた SSL プロキシのサポートが含まれています。また、セキュリティ ダッシュボードと Web ログを通じて、トラフィックと脅威を詳細に可視化できます。

VMware Cloud Web Security は、次の 2 つのエディションでお客様に提供されます。  

1.Standard Edition 
2.Advanced Edition 

リリース 4.4.0 は、Cloud Web Security Standard Edition パッケージと共にリリースされます。また、リリースの開始時にアドバンスト サンドボックス (Advanced Sandbox) 機能をアクティブにします。アドバンスト サンドボックス (Advanced Sandbox) 機能は Cloud Web Security Advanced Edition パッケージの一部ですが、お客様は Cloud Web Security Advanced Edition をリリースするまでの期間限定で機能をプレビューできます。  

ここでは、Standard Edition と Advanced Edition で利用できる Cloud Web Security の機能の概要を示します。強調表示されたセルは、リリース 4.4.0 の GA で利用できる機能です。 

エディション

Standard

Advanced

URL フィルタリング

             X            

X

SSL インスペクション (SSL Inspection)

             X            

X

コンテンツ フィルタリング

             X            

X

ファイル ハッシュ チェック

             X            

X

アンチウイルス

             X            

X

認証 (Authentication)

             X            

X

ベーシック サンドボックス (Basic Sandbox)

             X            

X

アドバンスト サンドボックス (Advanced Sandbox)*

             X            

X

SIEM ログ作成**

             X            

X

インライン CASB

可視性

可視性と制御

インライン DLP

 

X

Microsoft MCAS との連携

X

X

* Cloud Web Security Advanced Edition パッケージの一部は、初期プレビュー版としてご利用いただけます。 

** SIEM ログ作成は最初は使用可能な機能としてリストされていましたが、SIEM ログ作成の実装に必要な API は開発中のため、この機能はリリース 4.4.0 では実質的に使用できません。必要な SIEM ログ作成 API の実装は、今後のリリースで利用可能になります。

ベーシック サンドボックス (Basic Sandbox) とアドバンスト サンドボックス (Advanced Sandbox) は、検査できるコンテンツのタイプが異なります。  次の表に、ベーシック サンドボックス (Basic Sandbox) とアドバンスト サンドボックス (Advanced Sandbox) の機能の違いを示します。 

 

 

ベーシック サンドボックス (Basic Sandbox)

アドバンスト サンドボックス (Advanced Sandbox)

ドキュメント タイプ

エンジニアリング アプリケーション

 

X

生産性向上アプリケーション

 

X

ワープロ

 

X

スプレッドシート

 

X

プレゼンテーション ツール

 

X

ファイル タイプ

スクリプトと実行可能ファイル

X

X

アーカイブおよび圧縮パッケージ

X

X

マルチメディア

 

X

カレンダー

 

X

VMware Secure Access

VMware Secure Access ソリューションは、世界中のマネージド サービス ノードのネットワークを介して、リモート ユーザーとモバイル ユーザーに一貫性のある、最適でセキュアなクラウド アプリケーション アクセスを提供します。このソリューションはゼロ トラスト ネットワーク アクセス (ZTNA) アーキテクチャに基づいており、従来の VPN ソリューションに比べて、次のような複数のメリットがあります。

  • VMware Secure Access はクラウド ホスト型であり、企業はコストのかかるリモート アクセス ソリューションの展開、メンテナンス、拡張の負荷を軽減し、IT の効率を向上させることができます。
  • VMware Secure Access は、VPN を使用したネットワーク ベースのアクセスと比較して、ユーザー中心およびアプリケーション中心のアクセスを提供します。ユーザー ID とエンドデバイスの構成に基づいてアクセスが許可され、ユーザーが必要とするアプリケーションにのみアクセスできるため、攻撃対象領域が大幅に減少します。
  • 場所に依存しないため、ユーザーがどこからアクセスするかに関係なく、一貫したアクセス ポリシーを持つことができます。

このソリューションは、VMware のグローバルな PoP (Points of Presence) フットプリントを活用し、トラフィック処理機能を最適化して遅延を低減し、アプリケーションのパフォーマンスを向上させるため、お客様はリモート ワーカーに対してブランチ オフィスのような環境を提供できます。

リリース 4.4.0 で提供される機能

VMware SASE リリース 4.4.0 では、以前に利用可能だった VMware Workspace ONE 管理対象デバイスに加えて、リモート ユーザーが個人所有デバイスの持ち込み (BYOD) またはサードパーティの管理対象デバイスを使用して VMware Secure Access 経由でアプリケーションに接続することもできます。このリリースでは、700 の最小ユーザー数と 5 GB のデータ制限が解除され、カスタマーは、VMware のサポートなしでセキュア アクセスをセルフプロビジョニングできます。

リリース 4.3.x 以降の Orchestrator API の変更

ポータル API (「APIv1」) の利用者は、包括的な変更ログを code.vmware.com からダウンロードできます。

リリース 4.4.0 は、SD-WAN APIv2 には影響を与えません。

このリリースでは、Cloud Web Security REST API と Secure Access REST API という 2 つの新しい Orchestrator API が導入されています。これらの API は、お客様およびパートナーが使用するための安定性があると宣言されているため、これらの API のドキュメントを developer.vmware.com で公開する予定です。

両方の API が公開されると、リリース ノートが改訂され、そのドキュメントへのハイパーリンクとともに再公開されます。  このセクションのアップデート情報を定期的に確認してください。

ドキュメントの改訂履歴

2021 年 6 月 10 日。第 1 版

2021 年 6 月 22 日。第 2 版

  • 新しい Edge リリース バージョン R440-20210617-GA を「解決した問題」セクションに追加し、そのリリースに関連する修正済みの問題 #59509 を追加しました。

2021 年 7 月 2 日。第 3 版

  • 「解決した問題」セクションに新しい Edge GA ビルド R440-20210701-GA-61583 を追加しました。この Edge は、新しく解決された問題 #61583 に対処します。

2021 年 8 月 27 日。第 4 版

  • 4.4.0 はグリーンフィールド展開専用であることを明記しました。つまり、以前のリリースから 4.4.0 にアップグレードすることはできません。4.4.0 を使用する新しいエンタープライズ設定として展開する必要があります。

9 月 16 日。第 5 版

  • リリース 4.4.0 で SIEM ログ作成が提供されていないことを示すために、Cloud Web Security 機能の可用性の表を改訂しました。SIEM ログ作成は最初は使用可能な機能としてリストされていましたが、SIEM ログ作成の実装に必要な API は開発中のため、この機能はリリース 4.4.0 では実質的に使用できません。
  • 重要な注意事項」に次の注意事項を追加:AS-PATH プリペンドの BGPv4 フィルタ設定の区切り文字の変更

10 月 25 日。第 6 版

  • 4.2.x で解決した未解決の問題 #52104 と、このリリースの前に終了した未解決の問題 #52483 を削除しました。

解決した問題

解決した問題は、以下のとおり分類されています。

Edge で解決した問題

バージョン R440-20210702-GA-61583 で解決した問題

Edge バージョン R440-20210617-GA 以降で解決した問題は次のとおりです。

  • 解決した問題 61583:サイトの高可用性を有効にすると、VMware SD-WAN Edge がオフラインになってサイトが停止し、すべてのカスタマーのトラフィックが中断します。

    HA を有効にすると、Edge は少なくとも約 5 分間オフラインになります。その間、カスタマーのトラフィックが中断されます。Edge は約 5 分後に以前の設定にロールバックして操作を再開できる可能性があります。しかし、その Edge は引き続き HA を使用できないスタンドアローンとして動作します。  ただし、Edge が直前の設定に正常にロールバックされない場合は、ローカル ユーザーが工場出荷時の設定にリセットし、そのサイトで接続をリストアするために(HA を有効にせず)RMA の再アクティベーションを実行するまで停止します。

    詳細については、ナレッジベースの記事「Enabling High Availability on a VMware SD-WAN Edge using Release 4.3.0 GA or 4.4.0 GA may cause the Edge to go offline」を参照してください。(84396)

Edge で解決した問題

Edge リリース R440-20210617-GA で解決した問題

Edge バージョン R440-20210610-GA 以降で解決した問題は次のとおりです。

  • 解決した問題 59509:VMware SD-WAN Edge は、その Edge に割り当てられた Edge ライセンスを正しく解釈しません。

    SASE PoP に接続するとき、Edge は Edge に割り当てられたライセンス タイプと一致しない機能を使用している可能性があります。

SD-WAN Edge/Gateway で解決した問題

Edge リリース R440-20210610-GA で解決した問題。Gateway リリースはありません。

Edge バージョン R430-20210528-GA および Gateway バージョン R430-20210605-GA 以降に解決した新しい問題はありません。

    Orchestrator で解決した問題

    Orchestrator バージョン R430-20210527-GA 以降に解決した新しい問題はありません。

      既知の問題

      リリース 4.4.0 での未解決の問題

      既知の問題は、以下のとおり分類されています。

      SD-WAN Edge/Gateway の既知の問題
      • 問題 14655:

        SFP アダプタを接続または取り外すと、Edge 540、Edge 840、Edge 1000 でデバイスが応答を停止し、物理的な再起動が必要になる場合があります。

        回避策:Edge を物理的に再起動する必要があります。  これは、Orchestrator で [リモート アクション (Remote Actions)] > [Edge の再起動 (Reboot Edge)] を使用するか、Edge の電源を入れ直すことで実行できます。

      • 問題 25504:

        コストが 255 より大きいスタティック ルートで、ルートの順序設定が予期しない結果になる可能性があります。  

        回避策:0 と 255 の間のルート コストを使用します。

      • 問題 25595:

        WAN オーバーレイ上の静的 SLA への変更を適切に機能させるために、再起動が必要になる場合があります。  

        回避策:WAN オーバーレイからの静的 SLA の追加と削除後、Edge を再起動します。

      • 問題 25742:

        VMware SD-WAN Gateway に対する最大容量が Gateway に接続されていないプライベート WAN リンクの容量よりも少ない場合でも、アンダーレイが考慮されたトラフィックの上限がこの最大容量に制限されます。  

      • 問題 25758:

        USB WAN リンクが、ある USB ポートから別の USB ポートにスイッチされると、VMware SD-WAN Edge が再起動されるまで、正常に更新されない場合があります。  

        回避策:1 つのポートから別のポートに USB WAN リンクを移動した後に Edge を再起動します。

      • 問題 25855:

        Partner Gateway(200 BGP が設定された VRF など)で大規模な設定の更新があると、VMware SD-WAN Gateway を経由する一部のトラフィックで遅延が約 2 ~ 3 秒増加する可能性があります。

        回避策:回避策はありません。

      • 問題 25921:

        ハブに 3,000 個のブランチ Edge が接続されている場合、VMware SD-WAN ハブの高可用性のフェイルオーバーにかかる時間が予想よりも長くなります(最大 15 秒)。  

      • 問題 25997:

        スイッチ ポートに変換されたルーティング インターフェイスでトラフィックを適切に渡すために、VMware SD-WAN Edge で再起動が必要になる場合があります。  

        回避策:設定を変更した後で、Edge を再起動します。

      • 問題 26421:

        クラスタへのトンネルを確立するには、すべてのブランチ サイトのプライマリ Partner Gateway も VMware SD-WAN ハブ クラスタに割り当てる必要があります。  

      • 問題 28175:

        NAT IP アドレスが VMware SD-WAN Gateway インターフェイスの IP アドレスと重複していると、ビジネス ポリシー NAT が失敗します。  

      • 問題 31210:

        VRRP:ARP が VRRP の仮想 IP アドレスに対して LAN クライアントで解決されません。これは、VMware SD-WAN Edge がプライマリで LAN インターフェイスでグローバルでない CDE セグメントが実行されている場合に発生します。 

      • 問題 32731:

        ルートをオフにすると、OSPF 経由で広報された条件付きデフォルト ルートが正しく戻されないことがあります。ルートを再度有効にして無効にすると、正常に取り消されます。 

      • 問題 32960:

        アクティベーション済みの VMware SD-WAN Edge のローカル Web ユーザー インターフェイスで、インターフェイスの「自動ネゴシエーション」と「速度」のステータスが誤って表示されることがあります。

      • 問題 32981:

        DPDK が設定されたポートのハードコーディングの速度とデュプレックスで、DPDK を無効にする必要があるため、設定を有効にするために VMware SD-WAN Edge の再起動が必要になる場合があります。

      • 問題 34254:

        Zscaler CSS が作成され、グローバル セグメントで FQDN/PSK が設定されている場合、これらの設定が非グローバル セグメントにコピーされて、IPsec トンネルが Zscaler CSS に形成されます。

      • 問題 35778:

        1 つのインターフェイス上に複数のユーザー定義 WAN リンクがある場合、これらの WAN リンクのうちの 1 つのみが Zscaler への GRE トンネルを持つことができます。 

        回避策:Zscaler への GRE トンネルを構築する必要がある WAN リンクごとに、異なるインターフェイスを使用します。

      • 問題 35807:

        インターフェイスが最初にアクティベーション解除されていて、VMware SD-WAN Orchestrator から再アクティベーションされると、DPDK ルーティング インターフェイスが完全にアクティベーション解除されます。 

      • 問題 36923:

        ハブとしてクラスタに接続されている VMware SD-WAN Edge の NetFlow インターフェイスの説明で、そのクラスタ名が正しく更新されない場合があります。

      • 問題 38682:

        DPDK が設定されたインターフェイスで DHCP サーバとして動作している VMware SD-WAN Edge が、接続されているすべてのクライアントに対して「新しいクライアント デバイス」イベントを適切に生成しないことがあります。

      • 問題 38767:

        Zscaler に GRE トンネルが設定されている WAN オーバーレイが自動検出からユーザー定義に変更されると、次に再起動するまで、古いトンネルが残ることがあります。

        回避策:Edge を再起動して、古いトンネルをクリアします。

      • 問題 39134:

        VMware SD-WAN Edge の [監視 (Monitor)] > [Edge] > [システム (System)] と、VMware SD-WAN Gateway の [監視 (Monitor)] > [Gateway] で、システムの健全性統計情報 [CPU の割合 (CPU Percentage)] が正しく報告されない場合があります。

        回避策:Edge キャパシティを監視するために、ユーザーが CPU の割合ではなくハンドオフ キューのドロップを使用する必要があります。

      • 問題 39608:

        リモート診断「Ping テスト」の出力で、正しい結果が表示される前に、無効な内容が一時的に表示されることがあります。

      • 問題 39624:

        親インターフェイスが PPPoE で設定されている場合、サブインターフェイス経由の ping が失敗することがあります。

      • 問題 39659:

        高可用性を強化するように設定されたサイトで、各 VMware SD-WAN Edge に 1 つの WAN リンクがあり、スタンバイ Edge には PPPoE しか接続されておらず、アクティブには非 PPPoE 接続がある場合に、HA ケーブルで障害が発生するとスプリット ブレイン状態(アクティブ/アクティブ)が可能になることがあります。

      • 問題 39753:

        動的なブランチ間 VPN を無効にすると、現在、動的なブランチ間を使用して送信されている既存のフローが停止する可能性があります。

      • 問題 40096:

        アクティベーション済みの VMware SD-WAN Edge 840 が再起動された場合、リンク ライトと VMware SD-WAN Orchestrator でポートが「稼動中」と表示されていても、Edge に接続されている SFP モジュールがトラフィックの通過を停止する可能性があります。 

        回避策:SFP モジュールを取り外して、ポートに再度接続します。

      • 問題 40421:

        スイッチ ポートとして設定されたインターフェイスを使用して VMware SD-WAN Edge を通過するときに、traceroute でパスが表示されません。

      • 問題 42278:

        特定のタイプのピアの設定ミスにより、VMware SD-WAN Gateway が IKE 初期化メッセージを非 SD-WAN ピアに継続的に送信することがあります。この問題により、Gateway へのユーザー トラフィックが中断されることはありません。ただし、Gateway のログに IKE エラーが大量に記録されて、有用なログ エントリが確認しづらくなる可能性があります。

      • 問題 42388:

        VMware SD-WAN Edge 540 で、VMware SD-WAN Orchestrator からインターフェイスを無効にして再度有効にすると、SFP ポートが検出されません。

      • 問題 42488:

        VRRP がオンになっているスイッチ ポートを持つ VMware SD-WAN Edge で、ケーブルが切断されて Edge サービスが再起動された場合、LAN に接続されたルートが広報されます。

        回避策:この問題の回避策はありません。

      • 問題 42872:

        ハブ クラスタが関連付けられているハブ プロファイルでプロファイルの隔離を有効にしても、ルーティング情報ベース (RIB) からハブ ルートが取り消されません。

      • 問題 43373:

        複数の VMware SD-WAN Edge から同じ BGP ルートを学習していて、このルートをオーバーレイ フロー制御で優先から対象終了に移動すると、その Edge が広報 リストから削除されず、広報されたままになります。

        回避策:VMware SD-WAN Orchestrator の分散コスト計算をオンにします。

      • 問題 44526:2 つの異なるサイトが高可用性トポロジを使用しながら VMware SD-WAN Edge をハブとして展開し、各サイトがプロファイル内のハブとして、他のハブ サイトを使用する企業の場合。  ハブ サイトの 1 つが HA フェイルオーバーをトリガした場合、両方のハブ Edge が相互にトンネルを再確立するのに最大 30 分かかる場合があります。 

        HA フェイルオーバーでは、両方のハブ Edge が同時に互いにトンネルを開始しようとし、どちらもピアに応答せず、両方のハブ間のパケット交換が発生しますが、IKE は成功しません。これにより、デッドロックが発生し、自然に解決するには最大 30 分かかることが確認されています。この問題は断続的であり、HA フェイルオーバーのたびに発生するわけではありません。 

        回避策:この問題の発生を防ぐには、2 つの HA ハブ サイトの一方のみを設定し、もう一方のハブ サイトをハブとして使用する必要があります。  たとえば、Hub1 と Hub2 の 2 つの HA ハブ サイトがある場合、Hub1 はそのプロファイルで Hub2 をそれ自体のハブとして持つことができますが、Hub2 はそのプロファイルで Hub1 をハブとして使用することはできません。

      • 問題 44995:

        ルートがハブ クラスタから戻された場合に、OSPF ルートが VMware SD-WAN Gateway および VMware SD-WAN スポーク Edge から取り消されません。

      • 問題 45189:

        送信元 LAN 側 NAT が設定されている場合、NAT サブネットのスタティック ルートを設定しなくても、VMware SD-WAN スポーク Edge からハブ Edge へのトラフィックが許可されます。

      • 問題 45302:

        VMware SD-WAN ハブ クラスタで、1 つのハブが、そのハブとその割り当てられているスポーク Edge の間で共通のすべての VMware SD-WAN Gateway への接続が 5 分より長い間失われた場合、まれに、スポークがハブ ルートを 5 分後に保持できなくなるという状態になることがあります。この問題は、ハブが Gateway との接続を回復したときに自動的に解消されます。

      • 問題 46053:

        ネイバーがアップリンク ネイバーに変更されても、BGP プリファレンスがオーバーレイ ルートに対して自動修正されません。

        回避策:Edge サービスを再起動すると、この問題は修正されます。

      • 問題 46137:

        3.4.x ソフトウェアを実行している VMware SD-WAN Edge で、Edge が GCM 用に設定されていても、AES-GCM 暗号化を使用したトンネルが開始されません。

      • 問題 46216:

        ピアが AWS インスタンスの Gateway または Edge 経由の Non SD-WAN Destination で、フェーズ 2 の再キー化をピアが開始すると、フェーズ 1 の IKE も削除されて再キー化が強制されます。  これは、トンネルが破棄されてから再構築されることを意味し、その結果トンネルの再構築中にパケット ロスが発生します。

        回避策:トンネルの破棄を回避するには、Gateway または Edge 経由の Non SD-WAN Destination または CSS IPsec の再キー化タイマーを 60 分未満に設定します。  これにより、AWS が再キー化を開始できなくなります。

      • 問題 46391:

        VMware SD-WAN Edge 3800 の場合、SFP1 および SFP2 のインターフェイスそれぞれにマルチレート SFP (1/10G) の問題があり、これらのポートで使用できなくなります。

        回避策:ナレッジベースの記事「VMware SD-WAN Supported SFP Module List (79270)」に従って、単一レートの SFP を使用してください。  マルチレート SFP は、SFP3 と SFP4 で使用できます。

      • 問題 46918:

        3.4.2 リリースを使用する VMware SD-WAN スポーク Edge で、クラスタ ハブ ノードのプライベート ネットワーク ID が適切に更新されません。

      • 問題 47084:

        4,000 個のスポーク Edge が接続されている場合に、VMware SD-WAN ハブ Edge が、750 個を超える PIM(プロトコルに依存しないマルチキャスト)ネイバーを確立できません。

      • 問題 47355:

        同じルートがローカルのアンダーレイ BGP、ハブ BGP を経由して学習された場合、または Partner Gateway で静的に設定されている場合、またはそのすべての状況で、ルートのソート順序が、アンダーレイ BGP で優先されるハブ BGP と一致しません。

      • 問題 47681:

        VMware SD-WAN Edge の LAN 側のホストが、Edge の WAN インターフェイスと同じ IP アドレスを使用している場合、LAN ホストから WAN への接続が機能しません。

      • 問題 47787:

        ハブ Edge から、バックホール ビジネス ポリシーで設定された VMware SD-WAN スポーク Edge にフローが開始された場合、このスポーク Edge が VMware SD-WAN Gateway パスを経由してトラフィックを誤って送信します。

      • 問題 48166:

        Ciena の仮想化 OS を使用している場合、KVM 上の VMware SD-WAN 仮想 Edge がサポートされず、Edge では、データプレーン サービスの障害が繰り返し発生します。

      • 問題 48175:

        非グローバル セグメントにグローバル セグメントで設定されたインターフェイスと同じ IP アドレス範囲で設定されているインターフェイスがある場合、リリース 3.4.2 を実行している VMware SD-WAN Edge が、非グローバル セグメントに OSPF の隣接関係を形成します。

      • 問題 48502:

        一部のシナリオで、インターネット トラフィックのバックホールに使用されている VMware SD-WAN ハブ Edge で、バックホールのリターン パケットの誤った処理が原因でデータプレーン サービスの障害が発生することがあります。

      • 問題 48530:

        VMware SD-WAN Edge 6x0 モデルで、3 つの速度 (10/100/1000 Mbps) の Copper SFP の自動ネゴシエーションが実行されません。

        回避策:Edge 520/540 は 3 つの速度の Copper SFP をサポートしていますが、このモデルは 2021 年の第 1 四半期に販売終了としてマークされています。

      • 問題 48597:ピアへの 2 つのパスのいずれかが停止した場合、マルチホップ BGP ネイバーシップは稼動状態ではなくなります。

        複数のパスがあり、そのうちの 1 つが停止しているピアを持つマルチホップ BGP ネイバーシップがある場合、ユーザーは BGP ネイバーシップが停止して、他の使用可能なパスを使用していないことに気付きます。これには、ローカルの IP ループバック ネイバーシップも含まれます。

        回避策:この問題の回避策はありません。

      • 問題 48666:

        IPsec を使用した Gateway パス MTU の計算で、61 バイトの IPsec オーバーヘッドが考慮されていないため、LAN クライアントに対する MTU 広報が多くなり、その後 IPsec パケットの断片化が発生します。

        回避策:この問題の回避策はありません。

      • 問題 49172:

        2 つの異なる VMware SD-WAN Edge に同じ NAT サブネットを使用して設定されたポリシー ベースの NAT ルールが機能しません。

      • 問題 49738:

        状況によっては、VMware SD-WAN スポーク Edge が複数のハブ Edge を使用するように設定されている場合に、ハブ リストで設定されたハブの 1 つに対して、スポーク Edge がトンネルを形成しないことがあります。

      • 問題 50518:

        PKI がオンなっている VMware SD-WAN Gateway で、6,000 個より多い PKI トンネルが Gateway に接続しようとすると、受信 SA が削除されないため一部のトンネルが起動しない場合があります。

        注:プリシェアード キー (PSK) 認証を使用するトンネルには、この問題はありません。

      • 問題 51036:SNMP 経由で Edge をポーリングすると、ifSpeed が動作中の VMware SD-WAN Edge インターフェイスに対して 0 の値をレポートします。

        これは、DPDK が設定されたポートで想定される動作です。現在、DPDK が設定されたポートの速度値を取得する唯一の方法は、「debug.py --dpdk_ports」コマンドを使用することです。ただし、Edge で実行されている SNMP モジュールは、DPDK が設定されたポートの速度値を抽出するためにこのコマンドに依存しません。SNMP はカーネル インターフェイス経由でのみクエリを実行しますが、残念ながら dpdk_ports の速度値は入力されません。

      • 問題 51428:マルチキャスト トラフィックの損失が、VMware SD-WAN Edge に PIM で設定されたサブインターフェイスがあるサイトで発生する場合があります。

        PIM を使用して設定されたサブインターフェイスをオンザフライであるセグメントから別のセグメントに移動すると、pimd (PIM を管理するプロセス)が再起動し、サイトで断続的なマルチキャスト トラフィックの損失が発生する可能性があります。

        回避策:最初にサブインターフェイスをアクティベーション解除してから、サブインターフェイスを別のセグメントに移動します。移動したら、サブインターフェイスを再アクティベーションします。

      • 問題 52955:ステートフル DHCP で DAD 障害が発生した後、Edge から DHCP の拒否が送信されず、DHCP の再バインドが再開されません。

        DHCPv6 サーバが、DAD チェック中にカーネルによって重複として検出されたアドレスを割り当てた場合、DHCPv6 クライアントは拒否を送信しません。これにより、インターフェイス アドレスが DAD チェックの失敗としてマークされ、使用されないため、トラフィックのドロップが発生します。これにより、ネットワーク内でトラフィックがループすることはありませんが、トラフィックのブラックホールが発生します。

        回避策:この問題の回避策はありません。

      • 問題 53147:ルーター広報で広報されたデフォルト以外のホップ制限値は、VMware SD-WAN Edge に適用されません。トンネルのホップ制限値は常に 64 に設定されます。

        ホップ制限のデフォルト値は 64 です。デフォルト以外のホップ制限値をルーター広報を通じて広報しようとすると、Edge はパケット内のホップ制限フィールドを処理せず、値は 64 のままになります。

        回避策:この問題の回避策はありません。

      • 問題 53219:VMware SD-WAN ハブ クラスタの再調整後、いくつかのスポーク Edge で RPF インターフェイス/IIF が正しく設定されていない場合があります。

        影響を受けるスポーク Edge では、マルチキャスト トラフィックが影響を受けます。クラスタの再調整後、一部のスポーク Edge が PIM join の送信に失敗します。

        回避策:この問題は、影響を受けるスポーク Edge が、Edge サービスを再起動するまで続きます。

      • 問題 53337:スループットが 3200 Mbps を超えると、VMware SD-WAN Gateway の AWS インスタンスでパケットのドロップが発生することがあります。

        トラフィックが 3200 Mbps 以上のスループットを超過し、パケット サイズが 1300 バイトの場合、RX および IPv4 BH ハンドオフでパケットのドロップが発生します。

        回避策:この問題の回避策はありません。

      • 問題 53359:一部の DDoS 攻撃のシナリオで、BGP/BFD セッションが失敗することがあります。

        経路指定されたインターフェイスに接続されているクライアントから LAN クライアントにトラフィックが集中している場合、BGP/BFD セッションが失敗することがあります。また、優先順位の高いリアルタイム トラフィックがオーバーレイの宛先に集中している場合、BGP/BFD セッションが失敗することがあります。

        回避策:この問題の回避策はありません。

      • 問題 53687:VMware SD-WAN スポーク Edge に IPv6/v4 トンネルの優先度がある場合、優先されない v4/v6 トンネルの MTU は、優先されるトンネルで見られる MTU にも影響します。

        Edge(スポークまたはハブ)は、すべてのリンク MTU の最小値であるシステム レベルの MTU を維持し、この MTU は広報された MTU として交換されます。非優先リンクの MTU は、システム レベルの MTU を決定するために引き続き考慮されるため、実際のパス MTU よりも低い MTU を広報できます。

        回避策:この問題の回避策はありません。

      • 問題 53830:VMware SD-WAN Edge では、DCC フラグがオンになっている場合、BGP ビューの一部のルートに正しい設定および広報値がなく、Edge の FIB で誤った並べ替え順序が発生する場合があります。

        Edge 上に多数のルートがあるスケーリングされたシナリオで分散コスト計算 (DCC) がオンになっている場合、ログ bgp_view の Edge 診断バンドルを確認すると、一部のルートが設定および広報値で適切に更新されていないことがあります。  この問題は、検出されるとすれば、大規模なエンタープライズ(ハブ Edge またはハブ クラスタに接続された 100 以上のスポーク Edge)の一部であるいくつかの Edge で検出されます。  

        回避策:この問題を解決するには、アンダーレイ BGP ルートを再学習するか、影響を受けるルートの VMware SD-WAN Orchestrator の [OFC] ページで [更新] オプションを実行します。ルートの [更新] を実行すると、エンタープライズ内のすべての Edge からルートが再学習されることに注意してください。

      • 問題 53934:VMware SD-WAN ハブ クラスタが設定されているエンタープライズで、プライマリ ハブに LAN 側のマルチホップ BGP ネイバーシップが含まれていると、LAN 側で障害が発生した場合、またはすべてのセグメントで BGP がオフになっている場合、カスタマーはスポーク Edge でトラフィックのドロップを経験することがあります。

        ハブ クラスタでは、プライマリ ハブにピア デバイスとのマルチホップ BGP ネイバーシップがあり、ルートを学習します。BGP ネイバーシップが確立されているハブの物理インターフェイスが停止した場合、BGP ビューが空になっているにもかかわらず BGP LAN ルートがゼロにならない場合があります。これにより、ハブ クラスタの再調整が行われなくなる可能性があります。この問題は、BGP がすべてのセグメントでオフになっていて、1 つ以上のマルチホップ BGP ネイバーシップがある場合にも発生する可能性があります。

        回避策:LAN 側に障害がある(または BGP がオフになっている)ハブを再起動します。

      • 問題 54099:断片化された IPv6 パケットが VMware SD-WAN Edge によってドロップされます。

        断片化された IPv6 パケットはすべて Edge によってドロップされます。

        回避策:この問題の回避策はありません。

      • 問題 54378:NA ドロップが原因で、IPv6 静的アドレスが設定されたインターフェイスの重複アドレス検出 (DAD) チェックが失敗します。 

        静的アドレスの DAD チェックは行われず、設定された静的アドレスに対してネットワーク内に重複アドレスがある場合、それは検出されません。

        回避策:この問題の回避策はありません。

      • 問題 54536:VMware SD-WAN Edge の再起動後に、重複アドレス検出 (DAD) チェックがトリガされません。

         ネットワークに重複アドレスがあっても、再起動後にこの DAD チェックが実行されないと検出されません。

        回避策:この問題の回避策はありません。

      • 問題 54687:サーバに T2 より大きい T1 値の設定が提供された後、DHCPv6 要請メッセージが VMware SD-WAN Edge によって送信されません。

        DHCPv6 サーバが最初に T2 より大きい T1 値を提供した場合、Edge は提供されたプレフィックスを受け入れませんが、サーバ上でこの設定が修正された後、3 回試行しても Edge は DHCPv6 要請メッセージを送信しません。  その時点で、Edge のデータプレーン サービスが再起動された場合にのみ、問題が解決されます。

        回避策:Edge のサービスを再起動します。

      • 問題 54731:ユーザーがサーバの IPv6 アドレス範囲の値を変更すると、再バインド時間 (T2) に達するまで、更新メッセージが高い頻度で送信されます。

        VMware SD-WAN Edge に割り当てられた IP アドレスがサーバによって提供される有効なアドレス範囲から削除されると、クライアントは T2 時間に達するまでサーバに更新メッセージを送信し続けます。これにより、カスタマー ユーザーは大量の DHCPv6 トラフィックを確認することがあります。

        回避策:この問題の回避策はありません。

      • 問題 56218:高可用性トポロジを使用して展開されたカスタマー サイトの場合や HA が設定されている場合、Edge を 3.2.x から 3.4.x にアップグレードすると、スタンバイ Edge がダウンする場合があります。

        ローカル ユーザー インターフェイスを使用して WAN を設定した後、HA が設定されているか、HA Edge が 3.2.2 から 3.4.x にアップグレードされると、HA インターフェイス(Edge モデルに応じて LAN1 や GE1 など)がスタンバイ Edge から削除され、VMware SD-WAN Orchestrator の高可用性の状態が HA_FAILED に設定されます。

        回避策:スタンバイ Edge を再起動してリカバリします。

      • 問題 56454:インターフェイスで IPv4 リンクと IPv6 リンクの両方を自動検出リンクとして設定すると、非優先リンクを介してトンネルが形成されます。リンク統計情報には、IPv4 および IPv6 リンクの統合情報は表示されません。

        インターフェイスに IPv4 と IPv6 の両方のオーバーレイが自動検出オーバーレイとして設定され、両方のリンク上でトンネルが形成されている場合、リンクの統計情報には優先リンクの状態のみが反映されます。非優先リンクのトラフィック情報や状態は正しく反映されません。その結果、帯域幅とスループットを含む [Edge] > [監視 (Monitoring)] ページのリンクに表示される統計情報は、優先 IP アドレス ファミリのみで形成されたトンネルのパフォーマンスを測定するためのガイドラインとして使用する必要があります。

        回避策:この問題の回避策はありません。

      • 問題 57957:DPDK インターフェイスが「Autonegotiate=on」から「Autonegotiate=off」に変更された場合、Edge は KNI ドライバをアンロードし、Edge サービスの再起動シーケンス中にそのインターフェイスの Linux ドライバを(vc_dpdk.py から)ロードします。

        新しい Linux インターフェイスをロードして名前を付けた後、vc_dpdk.py は「set_interface_neg.py」を呼び出して自動ネゴシエーション設定を適用する必要もあります。ただし、新しい自動ネゴシエーション設定と Linux ドライバの再ロードにより、ベア メタル インターフェイスは DPDK で制御されなくなりました。

      • 問題 58453:一部の Office365 パケットが、VMware SD-WAN Edge によって SSL パケットとして誤って分類されます。

        VMware SD-WAN の詳細なパケット インスペクション (DPI) エンジンは、正しくは Office365 として分類されるべきパケットを誤って SSL として分類することがあります。  その結果の影響として、これらのフローが Office365 フローではなく SSL フローとして扱われます。つまり、より低い優先順位で扱われ、ユーザー エクスペリエンスに影響を与える可能性があります。

      • 問題 59970:プライマリ Gateway からセカンダリ Gateway に切り替えるときに、Zscaler IaaS を介して VMware SD-WAN Edge からデータセンターに送信されるトラフィックでドロップが確認されます。

        プライマリ Gateway が停止し、Orchestrator がセカンダリ Gateway に切り替わると、現在のトラフィック フローの Zscaler Enforcement Noted (ZEN) からのリバース パスが機能しません。

        回避策:回避策として、すべてのトラフィック フローを開始し直します。Zscaler はこの問題について通知を受け、リバース トラフィック パスが適切に機能していないことを確認しました。

      • 問題 61882:VMware SD-WAN Orchestrator からセキュリティ パラメータ設定の変更(たとえば、SA 有効期間の変更)が行われると、一定期間にわたってトラフィック ドロップが確認されます。

        これは、ハブ/スポーク トポロジに 1,000 台を超える Edge がある大規模な環境で確認されています。セキュリティ パラメータ(有効期間、暗号化アルゴリズム、認証モード)を変更すると、現在のトンネルが停止し、再構築されます。大規模な環境では、トラフィックの安定性の問題が発生する可能性があります。レスポンダ側(ハブ Edge)はすべてのトンネルを時間内に処理できず、トラフィック ドロップが発生する場合があります。最終的にトンネルが確立されますが、既存のトンネルの数によっては時間がかかる場合があります。 

        回避策:既存のトンネル数に基づいた復旧時間が不明であるため、メンテナンス時間帯に設定変更を実行することをお勧めします。

      • 問題 62685:LAN 側の NAT が、NAT タイプを送信元とする異なる LAN サブネットに対して同じ外部 IP を使用して設定されている場合、クラウドに向かうトラフィックが機能しません。

        LAN 側の NAT ルールで使用される外部 IP については、スタティック ルートを設定し、それをリモート ブランチに広報します。リターン トラフィックが正しい LAN サブネットにルーティングされるようにするには、スタティック ルートのネクスト ホップではなく、LAN 側の NAT ルールで設定された内部 IP に基づいてルート参照を実行する必要があります。ただし、クラウドからのリターン トラフィックの場合、ルート参照はスタティック ルートのネクスト ホップに基づいて行われ、トラフィックが間違った LAN サブネットにルーティングされる場合があります。

        回避策:LAN サブネットごとに異なる外部 IP アドレスを使用します。

      • 問題 62725:BGP を使用するネットワーク内の VMware SD-WAN Edge では、特定のまれな条件下でメモリ使用率が高くなる場合があります。

        Edge がピア IP アドレスとは異なるネクスト ホップ IP アドレスを持つ BGP ルートを学習する場合、Edge のネクスト ホップ トラッキング (NHT) モジュールによって、ネクスト ホップの到達可能性が追跡されます。Edge 上で追跡された IP アドレスに到達できないときに BGP がオフになっていると、追跡された NHT エントリが削除されない場合があります。古い NHT エントリが大量にあるまれなケースでは、Edge のメモリ使用率が高くなることがあります。

        回避策:Edge を再起動して、メモリ リークが発生している NHT エントリを削除します。 

      • 問題 62897:デバッグ コマンド tcpdump が、VMware SD-WAN Gateway で正しく機能しません。

        Gateway の eth0 または eth1 インターフェイスで tcpdump コマンドを実行すると正しく出力されません。tcpdump.sh と vctcdump も機能しません。修正が試みられ、tcpdump が vctcpdump の制限を継承できるようにする(tcpdump プロファイルに基づく)vctcpdump の AppArmor complain プロファイルが追加されましたが、tcpdump はまだ機能していません。基本的に、AppArmor は tcpdump に対する stdout の動作を停止します。これは AppArmor の既知の問題です。

        回避策:cat への tcpdump 出力をパイプ処理します。例:tcpdump -nnplei eth0 | cat

      • 問題 63125:VMware SD-WAN ハブ Edge のインターフェイス/リンクの MTU が増加しても、スポーク Edge のパス MTU にそれが反映されません(そのハブ Edge を持つパスの場合)。

        ユーザーがハブのインターフェイスまたはリンクの MTU を増やした場合、スポーク Edge パスは変更された MTU 設定を取得しません。

        回避策:スポーク Edge を再起動すると、増加した MTU がスポークのパス MTU に反映されます。

      • 問題 63362:拡張された高可用性トポロジを使用するサイトでは、VMware SD-WAN スタンバイ Edge を再起動するか電源を入れ直すと、DHCP/PPPoE が設定されているインターフェイスがトラフィックの送信を停止します。

        拡張された HA 設定では、プロキシ インターフェイスで DHCP/PPPoE が設定されている場合(つまり、HA リンク状態が USE_PEER に設定されている場合)、スタンバイ Edge の再起動または電源の入れ直し後にサーバからアドレスを取得できません。

        回避策:動的アドレスを静的アドレス タイプに変更するか、HA の強制フェイルオーバーを実行してサーバから IP アドレスを取得します。

      • 問題 64736:インターフェイスをルーティングからスイッチに設定した後、DHCPv6 IP アドレスが VMware SD-WAN Edge インターフェイスからフラッシュされない場合があります。

        インターフェイスがルーティングからスイッチに変換された場合、IPv6 は LAN でサポートされないので、IPv6 IP アドレスをインターフェイスからフラッシュする必要があります。ただし、場合によっては、IPv6 IP アドレスがスイッチに変換された後にフラッシュされないことがあります。これらの IP アドレスは、インターフェイスがバウンスされた場合でも存続します。この問題は、インターフェイスが変換されるたびに発生するわけではありません。

        回避策:Edge を再起動して、新しく変換されたスイッチ インターフェイスから IPv6 IP アドレスをクリアします。

      • 問題 64909:Gateway IP アドレスを変更すると、Gateway 経由の Non SD-WAN Destination のデータセンター ルートが false に設定されます。

        NSD のプライマリ Gateway の IP アドレスを変更すると、トンネルが起動しますが、Gateway でルートがチェックされている場合、データセンター/ピアへのルートは False に設定されます。

        回避策:Gateway サービスが再起動すると、データセンターのルートが起動します。これは、ウィンドウで実行する必要があります。

      Orchestrator の既知の問題
      • 問題 19566:

        高可用性のフェイルオーバー後、スタンバイ VMware SD-WAN Edge のシリアル番号が Orchestrator でアクティブなシリアル番号として表示されることがあります。

      • 問題 21342:

        セグメントごとに Partner Gateway を割り当てると、VMware SD-WAN Edge の監視リストで、ゲートウェイ割り当ての適切なリストがオペレータ オプションのゲートウェイの [表示 (View)] に表示されない場合があります。

      • 問題 24269:

        観測された WAN リンクの損失が、QoE グラフには反映されても、[監視 (Monitor)] > [トランスポート (Transport)] > [ロス (Loss)] に反映されません。 

      • 問題 25932:

        VMware SD-WAN Orchestrator で、使用中であっても VMware SD-WAN Gateway を Gateway プールから削除できます。

      • 問題 32335:

        ユーザーが契約に同意しようとすると、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) ページでエラーが発生します。

        回避策:エンタープライズ名の先頭または末尾にスペースが含まれていないことを確認してください。

      • 問題 32435:

        ポリシーベースの NAT 設定に対する VMware SD-WAN Edge のオーバーライドが、すでにプロファイル レベルで設定されているタプルで許可されます(その逆も可能)。

      • 問題 32856:

        ハブ クラスタを使用してインターネット トラフィックをバックホールするようにビジネス ポリシーが設定されていても、リリース 3.2.1 からリリース 3.3.x にアップグレードされた VMware SD-WAN Orchestrator 上のプロファイルから、ユーザーがハブ クラスタを選択解除できます。

      • 問題 32913:

        高可用性を有効にした後、VMware SD-WAN Edge のマルチキャストの詳細が [監視 (Monitoring)] ページに表示されません。フェイルオーバーにより、この問題は解決されます。

      • 問題 34828:

        リリース 2.x を使用する VMware SD-WAN スポーク Edge と、リリース 3.3.1 を使用するハブ Edge の間で、トラフィックを送受信できません。

      • 問題 35658:

        あるプロファイルから CSS 設定が異なる別のプロファイルに VMware SD-WAN Edge が移動されたときに(例:プロファイル 1 は IPsec で、プロファイル 2 は GRE)、Edge レベルの CSS 設定が、以前の CSS 設定(例:IPsec と GRE)を引き続き使用します。 

        回避策:問題を解決するには、Edge レベルで GRE をオフにしてから再度オンにします。

      • 問題 35667:

        あるプロファイルから、CSS 設定は同じでも GRE CSS 名は異なる(同じエンドポイントの)別のプロファイルに VMware SD-WAN Edge が移動されたときに、一部の GRE トンネルが監視に表示されません。

        回避策:問題を解決するには、Edge レベルで GRE をオフにしてから再度オンにします。

      • 問題 36665:

        VMware SD-WAN Orchestrator がインターネットにアクセスできない場合、Google Maps API へのアクセスを必要とするユーザー インターフェイスのページが完全にはロードされない場合があります。

      • 問題 38056:

        Edge ライセンスの export.csv ファイルにリージョン データが表示されません。

      • 問題 38843:

        アプリケーション マップをプッシュするときに、オペレータ イベントがなく、Edge イベントは制限付きのユーティリティになります。

      • 問題 39633:

        ユーザーが Super Gateway として代替 Gateway を割り当てた後、Super Gateway のハイパー リンクが機能しません。

      • 問題 39790:

        VMware SD-WAN Orchestrator を使用すると、サポートされている 32 個のサブインターフェイスを超えてユーザーが VMware SD-WAN Edge のルーティング インターフェイスを設定できます。これにより、ユーザーは、インターフェイス上で 33 個以上のサブインターフェイスを設定できるようになり、Edge のデータプレーン サービスの障害を引き起こす可能性があります。

      • 問題 40341:

        Skype アプリケーションがリアルタイム トラフィックとしてバックエンドで適切に分類されていても、VMware SD-WAN Orchestrator で Skype ビジネス ポリシーを編集すると、サービス クラスで誤って [トランザクション (Transactional)] と表示されることがあります。

      • 問題 41691:

        [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで DHCP プールが枯渇していないにもかかわらず、ユーザーが [アドレスの数 (Number of addresses)] フィールドを変更できません。

      • 問題 43276:

        VMware SD-WAN Edge またはプロファイルに Partner Gateway が設定されている場合に、ユーザーがセグメント タイプを変更できません。

      • 問題 44153:

        VMware SD-WAN Orchestrator が、[アラートと通知 (Alerts and Notifications)] セクションで設定されたメール アドレスに、アラートの E メールを継続して送信しません。

      • 問題 47269:

        LTE インターフェイスがサポートされていない Edge モデルに、VMware SD-WAN 510-LTE インターフェイスが表示されることがあります。

      • 問題 47713:

        クラウド VPN がオフに設定されているときにビジネス ポリシー ルールが設定された場合、クラウド VPN を有効にするときに NAT を再設定する必要があります。

      • 問題 47820:

        プロファイル レベルで VLAN が DHCP オフで設定されていて、また、DHCP がオンに設定されている Edge 上でこの VLAN に対する Edge のオーバーライドを行い、DNS サーバのフィールドに「なし」(IP アドレスが設定されていない)に設定されているエントリがある場合、ユーザーが [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで変更を行うことができません。また、実際の問題を説明または指摘していない、「無効な IP アドレス [] (invalid IP address [])」というエラー メッセージが表示されます。

      • 問題 48085:

        VMware SD-WAN Orchestrator で、ユーザーがインターフェイスに関連付けられている VLAN を削除することが許可されます。

      • 問題 48737:

        リリース 4.0.0 の新しいユーザー インターフェイスを使用している VMware SD-WAN Orchestrator で、ユーザーが [監視 (Monitor)] ページを表示して開始時刻と終了時刻の間隔を変更してから、タブ間を移動すると、Orchestrator で開始時刻と終了時刻の間隔が新しい値に更新されません。

      • 問題 49225:

        VMware SD-WAN Orchestrator で、合計 32 個の VLAN の制限が適用されません。

      • 問題 49790:

        VMware SD-WAN Edge のリリース 4.0.0 をアクティベートするときに、[イベント (Events)] にアクティベーションが 2 回投稿されます。

        回避策:重複イベントは無視してください。

      • 問題 50531:

        異なる権限を持つ 2 人のオペレータが、VMware SD-WAN Orchestrator の 4.0.0 リリース バージョンの新しいユーザー インターフェイスにアクセスする際に同じブラウザ ウィンドウを使用する場合、権限の低いオペレータが権限の高いオペレータの後にログインしようとすると、権限の低いオペレータに「ユーザーが権限を持っていない」ことを示すエラーが複数回表示されます。

        注:権限が低いオペレーターの権限の昇格はなく、エラー メッセージの表示のみが行われます。

        回避策:エラーが表示されないようにするために、次のオペレータがログインの前にそのページを更新するか、それぞれのオペレータが別のブラウザ ウィンドウを使用して、この表示の問題を回避できます。

      • 問題 51722:リリース 4.0.0 の VMware SD-WAN Orchestrator では、[監視 (Monitor)] > [Edge (Edge)] タブの統計情報の時間範囲セレクタは 2 週間以内です。

        一連の統計情報の保持期間が 2 週間よりはるかに長い場合でも、時間範囲セレクタの [監視 (Monitor)] > [Edge (Edge)] タブに [過去 2 週間 (Past 2 Weeks)] を超えるオプションは表示されません。  たとえば、フローとリンクの統計情報はデフォルトで 365 日間保持されますが(設定可能)、パスの統計情報はデフォルトで 2 週間のみ保持されます(これも設定可能です)。  この問題により、すべての [監視 (Monitor)] タブが統計情報の最も低い保持タイプに従うのに対し、ユーザーはその統計情報の保持期間に一致する期間を選択できます。

        回避策:ユーザーは、時間範囲セレクタの [カスタム (Custom)] オプションを使用して、2 週間以上のデータを表示できます。

      • 問題 63726:Zscaler タイプを使用して Gateway 経由の Non SD-WAN Destination (NSD) を設定し、それをグローバル セグメントに割り当てたサイトで、ユーザーが割り当てられた Zscaler NSD をグローバル セグメントから非グローバル セグメントに変更すると、ピアへの 0.0.0.0/0 ルートが VMware Edges で欠落します。

        VMware Gateway にはルートが存在しますが、Edge には予期されたデータセンター ルートが存在しません。Orchestrator は、新しく割り当てられた非グローバル セグメントの Edge にルートを割り当てません。

        回避策:親セグメントからデータセンター設定を削除し、設定を保存します。イベントを確認してトンネルが完全に破棄されるのを待ちます。  次に、新しいデータセンター設定を新しい非グローバル セグメントに割り当て、設定を保存します。  新しいルートが新しい非グローバル セグメントに割り当てられます。

      • 問題 64716:ユーザーが VMware SD-WAN Orchestrator でレポートを生成できません。

        ユーザーがレポートを生成しようとすると失敗し、[レポート (Reports)] ページの [ステータス (Status)] 列に「Error」と表示されます。

        回避策:この問題の回避策はありません。

      • 問題 64847:ブラウザのロケールが英語以外の言語に設定されている VMware SD-WAN Orchestrator UI で、[新しい UI (New UI)] を使用すると、[トップ レベル メニュー (Top Level Menu)] ペインにすべてのオプションが表示されません。

        [新しい UI (New UI)] では、画面の右上隅に「3 本の線」のアイコンが表示されます。ユーザーが「3 本の線」のアイコンをクリックすると、[トップ レベル メニュー (Top Level Menu)] ペインが開きます。これらのアイコンでは、目的のページに移動できない場合があります。

        回避策:ページを再ロードして、目的のページを強制的に表示します。

      Cloud Web Security の問題
      • 問題 62934:VMware Cloud Web Security を使用している企業の場合、クライアント ユーザーがシークレット モードで Chrome ブラウザを開いて、ファイルをダウンロードしようとすると、ダウンロードに失敗する場合があります。

        シークレット モードを使用するには、サードパーティの Cookie を有効にする必要があります。サードパーティの Cookie をオンにして、操作をやり直してください。ダウンロードが失敗すると、ユーザーには「Error occurred contact your administrator」というエラーが表示されるか、またはカスタム Web サーバからのファイルの場合、「This page is not working」というエラーが表示されます。一部の Web サーバまたはファイルでは、ファイル署名に差異があり、Cloud Web Security Service が認識できない場合があるため、この問題が発生することがあります。

        回避策:サードパーティの Cookie を許可する設定をオンにしてから、再試行してください。シークレット モードのウィンドウを使用している場合、この問題の既知の回避策はありません。

      • 問題 62978:VMware Cloud Web Security を使用している企業の場合、クライアント ユーザーがシークレット モードで Chrome ブラウザを開いて、ファイルをダウンロードしようとすると、ダウンロードに失敗し、VMware ブランディングのないエラー画面が表示される場合があります。

        上記のシナリオでは、ファイルのダウンロードが失敗する場合(問題 #62934 で説明)、エラー画面「Error occurred contact your administrator」には VMware ロゴが表示されるはずですが、表示されません。ユーザーがこのエラーを確認した場合、これは予期される結果ではないことを理解する必要があります。

        回避策:ブラウザでサードパーティの Cookie を許可します。

      • 問題 63149:お客様の展開でプロファイル内に重複するサブネットがあり、VMware Cloud Web Security ポリシーのサブネットを設定し、Cloud Web Security ポリシーをプロファイルとセグメントに関連付けると、そのサブネット上の Edge クライアントはインターネットに接続できなくなります。
        監視トラフィックに障害が発生した場合、クライアントはインターネットにアクセスできません。

        同じセグメント内の VMware SD-WAN Edge の背後にある LAN セグメントに重複するサブネットが設定されている場合、Edge の背後にあるリソースには、インターネットにバインドされたトラフィックに Cloud Web Security ポリシーを適用できません。これは、インターネットから Cloud Web Security へのリターン トラフィックの宛先 Edge を一意に識別する方法がないためです。

        回避策:Edge で LAN 側 NAT をオンにし、Edge の背後にあるリソースから送信されるトラフィックを表す一意のサブネットを設定します。

      • 問題 64429:インターネット バックホールを使用して Cloud Web Security ポリシーが設定され、適用されている、VMware Cloud Web Security を使用するお客様の企業では、インターネット内のサーバへの UDP 転送は、Edge の背後にあるクライアントによって開始され、DF ビットが設定されていると、UDP 転送は失敗します。

        Cloud Web Security は MTU サイズのパケットを受信しますが、DF (Do Not Fragment) ビットが設定されていることが原因で断片化が許可されないため、ICMP 到達不能メッセージを送信者に返す必要があります。Cloud Web Security が DNAT (Destination Network Address Translation) を誤った送信元 IP アドレスに実行し、「ICMP unreachable fragmentation needed」というメッセージをサーバに送信する代わりにクライアントに送信しています。

        回避策:TCP が機能するか、DF ビットが設定されていない UDP を使用することが想定されています。

      • 問題 65001:VMware Cloud Web Security を使用しているお客様の場合、VMware Orchestrator を使用してファイル ハッシュ チェックをオン/オフにするようにインスペクション エンジンを設定することはできません。

        ユーザーが Orchestrator を使用して、「不明なファイルのダウンロードに対するアクション」と「不明なドキュメントのダウンロードに対するアクション」のいずれかに対して Cloud Web Security インスペクション エンジンのファイル ハッシュ チェック パラメータを設定している場合、これらの変更はインスペクション エンジンに送信されず、適用されません。

        回避策:この問題の回避策はありません。

      • 問題 65115:VMware Cloud Web Security を使用しているカスタマーで、SAML 認証が設定されている場合、ユーザーは Web サイトにアクセスできない可能性があります。

        SAML (Security Assertion Markup Language) 認証をオンにすると、ユーザーが任意の Web サイトにアクセスした場合に、認証ループが発生し、IdP (Identify Provider) 自体へのアクセスに認証が必要になり、失敗します。

        回避策:認証なしで IdP ログイン URL へのアクセスを許可するには、セキュリティ ポリシーに SSL 例外を追加します。

      Secure Access の問題
      • 問題 64541:VMware Secure Access を使用しているカスタマーの場合、Workspace ONE UEM 設定のオプションを使用して組織グループ内のトンネル ホスト名を設定するときに、ユーザーが [はい (Yes)] を選択すると、ホスト名は手動で設定されるのではなく、UEM Console で自動的に作成されます。

        ユーザーには、ホスト名を自動的に作成するだけでなく、手動で設定するオプションが必要です。  

        回避策:回避策として、UEM Console で手動で設定します。

      check-circle-line exclamation-circle-line close-line
      Scroll to top icon