VMware SASE 5.2.0 | 2023 年 12 月 23 日

  • VMware SASE™ Orchestrator バージョン R5204-20230831-GA

  • VMware SD-WAN™ Gateway バージョン R5202-20230725-GA

  • VMware SD-WAN™ Edge バージョン R5202-20231107-GA-125647

各リリース ノートで、追加および更新された機能をご確認ください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

対象ユーザー

今回のリリースで初めて利用可能になった機能を必要とする、すべてのカスタマーにこのリリース 5.2.0 をお勧めします。

互換性

リリース 5.2.0 の Orchestrator、Gateway、およびハブ Edge では、VMware SD-WAN Edge の以前のバージョンのうちリリース 4.2.0 以降がすべてサポートされます。

次の相互運用性の組み合わせは、明示的にテストされています。

Orchestrator

Gateway

Edge

ハブ

ブランチ/スポーク

5.2.0

4.2.1

4.2.2

4.2.2

5.2.0

5.2.0

4.2.2

4.2.2

5.2.0

5.2.0

5.2.0

4.2.2

5.2.0

5.2.0

4.2.2

5.2.0

5.2.0

4.3.1

4.3.1

4.3.1

5.2.0

5.2.0

4.3.1

4.3.1

5.2.0

5.2.0

5.2.0

4.3.1

5.2.0

5.2.0

4.3.1

5.2.0

5.2.0

4.3.2

4.3.2

4.3.2

5.2.0

5.2.0

4.3.2

4.3.2

5.2.0

5.2.0

5.2.0

4.3.2

5.2.0

5.2.0

4.3.2

5.2.0

5.2.0

4.5.1

4.5.1

4.5.1

5.2.0

5.2.0

4.5.1

4.5.1

5.2.0

5.2.0

5.2.0

4.5.1

5.2.0

5.2.0

4.5.1

5.2.0

5.2.0

5.0.1.2

5.0.1.2

5.0.1.2

5.2.0

5.2.0

5.0.1.2

5.0.1.2

5.2.0

5.2.0

5.2.0

5.0.1.2

5.2.0

5.2.0

5.0.1.2

5.2.0

5.2.0

5.1.0

5.1.0

5.1.0

5.2.0

5.2.0

5.1.0

5.1.0

5.2.0

5.2.0

5.2.0

5.1.0

5.2.0

5.2.0

5.1.0

5.2.0

5.2.0

5.2.0

5.2.0

5.2.0

注:

上記の表は、SD-WAN サービスを使用しているカスタマーに対してのみ完全に有効です。VMware Cloud Web Security または VMware Secure Access へのアクセスが必要なカスタマーは、Edge をリリース 4.5.0 以降にアップグレードする必要があります。

重要:

VMware SD-WAN リリース 4.0.x のサポート期間が終了しました。リリース 4.2.x および 4.3.x は、Gateway および Orchestrator のサポート期間が終了しました。4.5.x は、Gateway および Orchestrator のサポート終了に近づいています。

  • リリース 4.0.x は、2022 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となり、2022 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えました。 

  • リリース 4.2.x の Orchestrator および Gateway は、2022 年 12 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 3 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • リリース 4.2.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • リリース 4.3.x の Orchestrator および Gateway は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • リリース 4.3.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • リリース 4.5.x の Orchestrator および Gateway は、2023 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2023 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • 詳細については、ナレッジベースの記事を参照してください。お知らせ:VMware SD-WAN リリース 4.x のサポート期間の終了 (88319)

Orchestrator、Gateway、Edge のアップグレード パス

Orchestrator、Gateway、または Edge を旧リリースからリリース 5.2.0 にアップグレードする場合のパスを次に示します。

Orchestrator

リリース 4.2.0 以降を使用している Orchestrator は、リリース 5.2.0 にアップグレードできます。 

Gateway

リリース 4.2.0 以降を使用した Gateway のリリース 5.2.0 へのアップグレードは、すべての Gateway タイプで完全にサポートされています。

重要:

5.2.0 を使用して新しい Gateway を展開する場合、VMware ESXi インスタンスがバージョン 6.7 Update 3 以降、バージョン 7.0 以前である必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.2.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。

重要:

Gateway を 5.2.0 にアップグレードする前に、ESXi インスタンスをバージョン 6.7 Update 3 以降、バージョン 7.0 以前にアップグレードする必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.2.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。

Edge

Edge は、任意のリリース 4.x 以降からリリース 5.2.0 に直接アップグレードできます。

SD-WAN の新機能

遅延に対するカスタマイズ可能な Quality of Experience (QoE)

以前は、高遅延リンク (サテライト リンクや LTE リンクなど) の遅延値は静的なものでした。その結果、QoE ページには遅延と全体的な品質の両方について赤いグラフが表示されました。これは、パートナーやカスタマーが高遅延リンクを考慮しようとしても、SD-WAN サービスはそのリンクをリンク選択プロセスから除外することを意味していました。

リリース 5.2.0 では、ユーザーは、カスタマイズ可能な QoE 機能を通じて、ビデオ、音声、トランザクション トラフィック タイプの遅延のしきい値を変更できるようになりました。これは、カスタマーが高遅延リンクを選択プロセスの一部として含めることができ、Orchestrator が新しい値を QoE 監視ページに適用することを意味します。

[監視 (Monitor)] > [ネットワークの概要 (Network Overview)] ページでのリンク ダウンの可視性に対するエンタープライズ制御

以前は、カスタマーは、Orchestrator が [監視 (Monitor)] > [ネットワークの概要 (Network Overview)] ページでダウンした WAN リンクを表示する時間を制御できませんでした。WAN リンクが 24 時間以上継続的にダウンしている場合、Orchestrator はこの WAN リンクの表示を停止し、リンクがダウンしている間は表示できませんでした。リリース 5.2.0 では、カスタマーは、Orchestrator がダウンした WAN リンクの表示を停止するまで、最大で連続 365 日間カスタマイズされた時間を設定するオプションを利用できます。カスタマーは、[サービス設定 (Service Settings)] > [Edge 管理 (Edge Management)] > [Edge リンク ダウン制限 (Edge Link Down Limit)] でこの設定を設定します。

LAN インターフェイスでの GRE/BGP サポート

トランジット Virtual Private Cloud (VPC) 内の Edge は、Generic Routing Encapsulation (GRE)/BGP および Connect アタッチメントを使用して AWS Transit Gateway (TGW) に接続できます。Connect アタッチメントと Connect ピアは、両方とも TGW への VPC アタッチメントを介して設定されます。GRE は、GRE トンネル経由で 2 つの BGP ネイバーが設定されたルーティング LAN(非 WAN)インターフェイスに割り当てられたプライベート IP アドレスを使用します。

ルート集約

ルート集約(ルート アグリゲーションまたはスーパーネットとも呼ばれます)は、選択されたルート プレフィックスを 1 つのルートの広報に統合することにより、ルーターがネイバーに広報するルートの数を最小限に抑えることで、SD-WAN デバイスのスケール制限に対処します。

BGP を使用する場合、カスタマーは [詳細設定 (Advanced Settings)] でこの機能を設定します。OSPF を使用する場合、カスタマーはメイン設定ページでルート集約を設定します。

注:

[ルート集約 (Route Summarization)] 機能を使用するには、Orchestrator、Gateway、Edge をすべてリリース 5.2.0 以降にアップグレードする必要があります。

自己修復ルーティング

ハブとクラスタを含む大規模なデータセンターベースの展開では、ルートの欠落によりトラフィックが停止する可能性があります。リリース 5.2.0 より前のリリースでは、VMware エンジニアリング部門またはサポート部門がこれらの欠落したルートをリストアしていましたが、そのアクション自体が中断を伴うものでした。VMware SD-WAN では、同期の問題によりデータセンター展開においてルートの欠落が発生するリスクを減らすため、自己修復ルーティング機能が導入されています。

自己修復ルーティングは監査メカニズムとして実装され、Gateway がスポーク Edge とハブ/クラスタ データセンター Edge のルート数を比較し、スポーク サイトとデータセンター サイトのルート数の差異がデフォルトのしきい値を超えた場合にルートの再同期を自動的にトリガします。この機能は、すべての 5.2.0 展開(5.2.0 を使用する Orchestrator、Gateway、および Edge)に自動的に実装され、設定は必要ありません。

SIM の自動切り替え

Edge 610-LTE は Dual SIM Single Standby (DSSS) をサポートしていますが、カスタマーは Orchestrator を通じてアクティブ SIM からスタンバイ SIM に手動で切り替える必要がありました。バージョン 5.2.0 では、Edge 610-LTE の自動切り替えを使用するオプションがあります。

カスタマーが自動切り替えを設定すると、Edge 610-LTE はプライマリ LTE 接続が失敗したかどうかを自動的に検出し、スタンバイ SIM との接続を開始します。この機能には設定可能な切り替えタイマーが含まれているため、カスタマーはスタンバイ SIM にフェイルオーバーするまでに Edge が待機する時間を指定できます。[監視 (Monitor)] > [Edge (Edges)] > [概要 (Overview)] > [リンク状態 (Links Status)] ページには、SIM 切り替えの詳細を含む新しい [自動デュアル モード SIM (Auto Dual-Mode SIM)] 列が追加されました。

注:

自動切り替えは、Edge 610-LTE モデルでのみ利用できます。この機能は、Edge 510-LTE モデルでは利用できません。

Trusted Platform Module (TPM)

Trusted Platform Module (TPM) は、ハードウェアベースのセキュリティ機能です。これは、一方向の「ハードウェア ボールト」による物理層の保護を介して、暗号化キー、パスワード、証明書などの機密情報の安全なストレージ領域を提供します。

VMware は、SD-WAN ハードウェア Edge(510、520、540、610、620、640、680、3000、3100、3400、および 3800)のすべてのバリエーション(LTE、-N など)に TPM を含めています。カスタマーは、Orchestrator ユーザー インターフェイスから [設定 (Configure)] > [Edge] > [概要 (Overview)] に移動し、[デバイス シークレットの暗号化 (Encrypt Device Secrets)] のチェックボックスをオンにして、この機能を有効にします。

注:

仮想 Edge は現在 TPM をサポートしていません。

MAC フィルタリングを使用した Wi-Fi アクセス制御

カスタマーは、ワイヤレス ネットワークの追加のセキュリティ層として Wi-Fi アクセス制御を使用できます。有効にすると、SD-WAN は既知の承認済み MAC アドレスのみをベース ステーションに関連付けることを許可します。

SD-WAN の新しい機能強化

Gateway の BGP ネイバー状態

以前は、Edge が電源喪失によりオフラインになった場合、古い状態を使用し続けたため、Orchestrator は BGP ネイバーシップの状態を正確にマークしませんでした。リリース 5.2.0 では、Orchestrator はこのシナリオで BGP ネイバーシップの状態を「使用不可 (UNAVAILABLE)」として正しくマークします。

拡張ファイアウォール サービス (EFS)

新しい拡張ファイアウォール サービス (EFS) は、SD-WAN Edge と統合された高度なファイアウォール機能です。VMware は、最新の高度なサイバー脅威から組織のブランチ ネットワークを保護し、より高いセキュリティを提供するようにこのサービスを設計しました。カスタマーは、VMware SD-WAN へのアドオン ライセンスを介して拡張ファイアウォール サービス (EFS) を取得できます。このサービスはすべての SD-WAN Edge モデル(ハードウェアおよび仮想)でサポートされます。

リリース 5.2.0 の拡張ファイアウォール サービス (EFS) の初期リリースには、次の機能があります。

  • 侵入検知システム (IDS)/侵入防止システム (IPS) は、受賞歴のある VMware の VMware NSX Security コンポーネントにより提供され、暗号化トラフィックと非暗号化トラフィックのサポートが含まれています。 NSX Security の機能と VMware SD-WAN Edge プラットフォームを組み合わせることで、カスタマーは、セキュリティを犠牲にすることなくブランチのレガシー ファイアウォールを安心して排除できます。また、VMware の脅威インテリジェンスへの投資を活用しながら、簡素化されたネットワークおよびセキュリティ運用のメリットも享受できます。

  • VMware ホスト型 Edge ファイアウォールのログ作成は、Edge からファイアウォールと脅威のログ(許可ルールと拒否ルール)を収集するためのホスト型ログ ストレージを提供します。5.2.0 の初期リリースでは、デフォルトで Orchestrator はカスタマー テナントごとに 15 GB 分または 7 日分(いずれかに到達するまでの)のログを保持し、それ以降にログは上書きされます。このサービスは有効な VMware SD-WAN ライセンスに含まれています。今後のリリースでは、ログの保持期間延長の購入オプションが追加される予定です。

外部認証局

外部認証局の実装のフェーズ 3 では、リリース 5.2.0 Orchestrator ユーザー インターフェイスに中間 CA の設定のサポートが含まれています。

Orchestrator のファイアウォール ログ

以前は、カスタマーがファイアウォール ログを保存して表示する唯一の方法は、Syslog サーバに転送することでした。リリース 5.2.0 では、Orchestrator にファイアウォール ログを保存するオプションがあり、Orchestrator ユーザー インターフェイスで表示、並べ替え、検索を実行できます。詳細については、「プロファイルのファイアウォールの設定」、「Edge ファイアウォールの設定」、および「ファイアウォール ログの監視」を参照してください。

高可用性の機能強化

リリース 5.2.0 には、Edge のペアを備えた高可用性トポロジを使用して展開されたサイトに対する複数の改善が含まれています。次の改善が含まれています。

  • HA の安定性の向上により、HA サイトでの不要なフェイルオーバーやアクティブ/アクティブの「スプリット ブレイン」状態が減少します。

  • イベント

    • WAN、LAN、および HA リンクの状態変化に対して生成される新しいイベント。

    • シリアル番号や HA モードなどの追加のメタデータにより、イベントの有用性が強化されます。

  • 監視

    • [HA スタンバイ (HA Standby)] タブは、CPU とメモリの使用率を報告するスタンバイ Edge の新しいダッシュボードで、[監視 (Monitor)] > [Edge (Edges)] ページにあります。

    • すべての [監視 (Monitor)] > [Edge (Edges)] ダッシュボードに「フェイルオーバー バー」が表示されるようになりました。これらは、HA フェイルオーバーがいつどこで発生したかを示すグラフ上の垂直マーカーです。

    • すべての [監視 (Monitor)] > [Edge (Edges)] グラフには HA Edge のシリアル番号が記載されたボックスが含まれているため、カスタマーは特定の期間にどの HA Edge がアクティブであったかを監視グラフ上で一目で確認できます。

  • 高可用性のための新しい設定オプション

    • [HA フェイルオーバー検出時間の乗数 (HA Failover Detection Time Multiplier)] は、より長い高可用性しきい値を設定するために使用されます。タイマーは、スタンバイ Edge がアクティブになる前にアクティブ Edge からのハートビート パケットを待機する時間を表し、一部のシナリオでは、トラフィック負荷が高い HA Edge でのアクティブ/アクティブの「スプリット ブレイン」状態を防ぐことができます。

    • [設定可能な HA インターフェイス (Configurable HA Interface)] では、カスタマーは、HA インターフェイス(同期のためにアクティブ Edge とスタンバイ Edge を接続するインターフェイス)として使用する Edge スイッチ ポートを設定できます。以前は、SD-WAN は HA インターフェイスをその Edge モデルのデフォルト インターフェイス(つまり、LAN1 または GE1)に制限していました。

    • 設定可能な HA インターフェイスの追加の機能強化により、カスタマーは 1G/10G SFP ポートを HA インターフェイスとして選択できます。

  • スタンバイ Edge の HA インターフェイスのパケット キャプチャ:管理者は、スタンバイ Edge の HA インターフェイスのパケット キャプチャを要求するオプションを備えた追加の HA トラブルシューティング ツールを使用できるようになりました。

プラットフォームのファームウェアまたは工場出荷時のイメージの高可用性アップグレードのサポート

以前は、HA サイトのプラットフォームのファームウェアまたは工場出荷時のイメージのアップグレードはユーザーが手動で実行する必要があり、時間がかかり、中断が発生していました。新しいプラットフォームのファームウェアまたは工場出荷時のイメージを使用してオペレータ プロファイルが HA サイトに適用されると、リリース 5.2.0 Orchestrator は、以前の HA Edge ソフトウェアの場合と同様に、SD-WAN Edge の高可用性で工場出荷時のイメージとプラットフォームのファームウェアを両方とも自動的に更新できます。

IPv6 の機能強化

リリース 5.2.0 には、次の IPv6 の機能強化が含まれています。

  • OSPFv3

    • アンダーレイ IPv6 ルート学習。

    • オーバーレイ/BGP への OSPFv3 ルートの再配送(またはその逆)。

    • オーバーレイ フロー制御 (OFC) のサポート。

    • OSPFv3 リモート診断のフルスイート。

  • Edge での DHCPv6 リレー エージェントのサポート

    • ローカル/リモート/クラウド DHCP サーバのユースケース

    • 複数のリレー エージェントとして機能

  • Edge 経由の Non SD-WAN IPv6 Destination

    • サポートされているトンネル フェイルオーバー シナリオ:

      • アクティブ/アクティブ

      • アクティブ/スタンバイ

      • アクティブ/ホット スタンバイ

    • フローベースのリンク選択。

    • Orchestrator ユーザー インターフェイスには、トンネル監視、イベント、アラートが含まれます。

VLAN 上の 802.1x の RADIUS MAC アドレス バイパス (MAB)

リリース 5.1.0 では、802.1x 用の RADIUS MAB が導入されましたが、ルーティング インターフェイスに限定されていました。リリース 5.2.0 では、カスタマーは Edge のスイッチ ポートに割り当てることができる VLAN に対してこの機能を使用することもできます。

注:

MAB 機能がスイッチ ポートで使用する VLAN に対して設定されている場合、次の制限があります。

  • L2 トラフィックは RADIUS MAB トリガしません。

  • L2 トラフィックは、ルーティング トラフィックが確認されるまで、Linux ベースのスイッチで転送されません。ハードウェア スイッチはすでにピュア L2 トラフィックをフィルタリングしていないため、この制限は変更されません。

  • ルーティング トラフィックが観察されず、RADIUS MAB がタイムアウトすると(デフォルトは 30 分)、L2 トラフィックは再びブロックされます。

  • 802.1x が有効な場合、自分自身宛てのパケットの 802.1x 状態をチェックする追加のフックにより、パフォーマンスが低下する可能性があります。

  • 自分自身宛ての、Linux によって完全に管理されるトラフィックは、802.1x 認証(DHCP、DNS、ssh など)の前にフィルタリングされなくなります。

Gateway のルートの可視性の強化

これらの機能強化は、カスタマーとパートナーが Gateway のルーティング テーブルをより詳細に把握できるようにするというニーズに対応するもので、以下が含まれます。

  • カスタマーの Orchestrator の [監視 (Monitor)] > [ルーティング (Routing)] ページの [Gateway ルート テーブル (Gateway Route Table)] タブ。

  • ネイバーごとの BGP 広報ルートおよび受信ルートが表示されるカスタマーの [監視 (Monitor)] > [ルーティング (Routing)] ページの [Gateway の BGP ネイバー状態 (BGP Gateway Neighbor State)] タブ。

  • 特定のルート プレフィックスの完全な情報。

  • ルート プレフィックスに基づくフィルタリング。

  • Gateway ルート テーブルをエクスポートするオプション。

Trusted Platform Module (TPM)

Trusted Platform Module (TPM) は、ハードウェアベースのセキュリティ機能です。これは、一方向の「ハードウェア ボールト」による物理層の保護を介して、暗号化キー、パスワード、証明書などの機密情報の安全なストレージ領域を提供します。

VMware SD-WAN では、SD-WAN ハードウェア Edge(510、520、540、610、620、640、680、3000、3100、3400、および 3800)のすべてのバリエーション(LTE、-N など)に TPM が含まれています。カスタマーは、Orchestrator ユーザー インターフェイスから [設定 (Configure)] > [Edge] > [概要 (Overview)] に移動し、[デバイス シークレットの暗号化 (Encrypt Device Secrets)] のチェックボックスをオンにして、この機能を有効にします。

注:

このリリースでは、仮想 Edge は TPM をサポートしていません。

重要な注意事項

ユーザー インターフェイス ビルド

リリース 5.2.0.4 以降、VMware は Orchestrator のユーザー インターフェイス ビルドを導入します。ユーザー インターフェイス ビルドには、Orchestrator のユーザー インターフェイスの使用方法に影響するユーザー インターフェイスの問題に対する修正のみが含まれています。ユーザー インターフェイス ビルドには、標準の Orchestrator ビルドと違って、Orchestrator の基盤となる機能に影響する管理プレーン/制御プレーンの問題の修正は含まれていません。

ユーザー インターフェイス ビルドは既存の Orchestrator リリースに追加され、Orchestrator ビルド名の下にリストされている一意のビルド バージョンによって区別されます。ユーザー インターフェイス ビルドは、Orchestrator のバージョンを識別するのと同じように、Orchestrator ユーザー インターフェイス画面の右上隅にある ? アイコンをクリックして確認できます。たとえば、ビルド R5204-20230831-GA を使用してバージョン 5.2.0.4 を実行している Orchestrator がユーザー インターフェイス ビルド バージョン R5204-20230914-GA で更新された場合、Orchestrator ビルドの直下に「ユーザー インターフェイス ビルド (UI Build)」という名前で表示されます。Orchestrator にユーザー インターフェイス ビルドがない場合、Orchestrator ビルドのみが表示されます。

Orchestrator は、次のようにユーザー インターフェイス ビルドにアップグレードされます。

  • VMware オペレーション チームは、Orchestrator がすでに最新の Orchestrator リリースを使用している場合、ビルドのリリースから 1 週間以内に、最新のユーザー インターフェイス ビルドを使用して、ホスト型の共有 Orchestrator とホスト型のプライベート Orchestrator の両方をアップグレードします。

  • 専用の Orchestrator を使用しているパートナーは、最新の Orchestrator リリースを使用していることを条件として、サポートにチケットを発行して、オペレーション チームにユーザー インターフェイス ビルドを使用して Orchestrator をアップグレードするように依頼する必要があります。

注:

オンプレミスの Orchestrator を展開するカスタマーは、ユーザー インターフェイス ビルドを使用できません。

ユーザー インターフェイス ビルドの詳細については、ナレッジベースの記事「VMware SD-WAN ソフトウェア アップグレードに関する FAQ (67152)」および「VMware SD-WAN の Orchestrator と Gateway のソフトウェア リリース タイプおよびソフトウェア アップグレード戦略 (89609)」を参照してください。

LAN 側 NAT の動作変更

LAN 側 NAT がポート アドレス変換 (PAT) を使用して多対 1 変換用に設定されている場合、反対方向から開始されたトラフィックにより、外部マスクと元の IP アドレスに基づいて固定アドレスへの予期しないアクセスが許可される可能性があります。この新しい動作は、宛先 NAT (DNAT)、送信元 NAT (SNAT)、および送信元と宛先 NAT (S+D NAT) のルールに適用されます。

たとえば、内部ネットワークが 192.168.1.0/24 で外部アドレスが 10.1.1.100/32 の SNAT ルールでは、192.168.1.100 への外部から内部への変換が許可されます。

この新しい動作に対処するために、SD-WAN は、PAT の逆方向で接続が開始されたときにトラフィックをブロックするようになりました。

元の動作をリストアするには、元のルール(SNAT、DNAT、S+D NAT)と同じタイプの 2 つのルールを特定の順序で設定する必要があります。たとえば、以前の SNAT シナリオを使用する場合は、次のように設定する必要があります。

  1. 内部ネットワークが 192.168.1.100/32 で、外部アドレスが 10.1.1.100/32 の SNAT ルール

  2. 内部ネットワークが 192.168.1.0/24 で、外部アドレスが 10.1.1.100/32 の SNAT ルール

元のルールが DNAT または S+D NAT の場合、同じ構造と順序を持つ 2 つの DNAT または S+D NAT ルールが必要になります。

リリース 4.5.0 以降では、診断バンドルの dispcnt ログでカウンタ lan_side_nat_reverse_pat_drop を検索して、このタイプのトラフィックに対してフローがドロップされているかどうかを判断できます。

SASE Orchestrator での従来のユーザー インターフェイスの廃止

リリース 5.2.0 では、すべての設定タスクと監視タスクのための新しいユーザー インターフェイスが完成しました。その結果、従来のユーザー インターフェイスはデフォルトで非表示になり、使用できなくなります。また今後は、SASE のエンジニアリング部門が従来のユーザー インターフェイス固有の問題を修正することはりません。

ホスト型 Orchestrator の Greenfield Direct カスタマーが IdP としてクラウド サービス プラットフォーム (CSP) に自動的に割り当てられる

リリース 5.2.0 のホスト型 Orchestrator で作成された Greenfield Direct カスタマー(パートナーに割り当てられていない)は、CSP を IdP として使用する SSO 用に自動的に設定されます。結果:

  • 新しい管理者は、CSP ポータルを介してスーパー ユーザー ロールを持つ管理者によって作成されます。

  • CSP が停止した場合、カスタマーには 1 つの「緊急アクセス用 (break glass)」管理者アカウントが許可され、ローカル認証(ユーザー名/パスワード)を使用してポータルにアクセスできます。

  • 新しい Direct カスタマーは、API アクセスにトークンベースの認証を使用する必要があります。ユーザーの作成が CSP に移行するため、Cookie ベースの認証は使用できなくなります。

注:

オンプレミス Orchestrator は CSP 要件の対象ではないため、そのカスタマーは引き続き Orchestrator ベースの認証を使用します。

ハブまたはクラスタの相互接続を引き続き早期アクセスとして提供

ハブまたはクラスタ相互接続はリリース 5.1.0 で導入されましたが、次の注意事項があります。

「ハブまたはクラスタの相互接続を有効にすると、パケットがネットワークの複数のホップを通過できるようにする VMware SD-WAN ルーティング プロトコルに対して、基本的な変更が導入されます。この変更は代表的なトポロジでテストされていますが、遠隔ルートの分散を許可するような変更を行うときに発生する可能性のあるすべてのルーティング シナリオをテストすることはできません。そのため、VMware はこの機能を早期アクセスとしてリリースし、有効にされている展開の予期しないルーティング動作を詳細に監視します。」

リリース 5.2.0 においても、この注意事項はこの機能に引き続き適用されます。

Edge および Gateway 上の BGP over IPsec、および Azure Virtual WAN の自動化の制限事項

Edge および Gateway 上の BGP over IPsec 機能は、Edge または Gateway からの Azure Virtual WAN の自動化と互換性がありません。Edge または Gateway から Azure vWAN への接続を自動化するときには、スタティック ルートのみがサポートされます。

VMware SD-WAN Edge モデル 520、540、620、640、680、3400、3800、および 3810 で自動ネゴシエーションを無効にする場合の制限事項

ユーザーが、VMware SD-WAN Edge モデル 620、640 または 680 のポート GE1 〜 GE4 で、または Edge 3400、3800 または 3810 のポート GE3 または GE4 で、あるいは銅線インターフェイスを備えた SFP がポート SFP1 または SFP2 で使用されている場合は Edge 520/540 で、速度とデュプレックスをハードコーディングするために自動ネゴシエーションを無効にすると、再起動してもリンクが起動しない場合があります。

これは、Intel Ethernet Controller i350 を使用するリストされた各 Edge モデルが原因で発生します。これらのモデルには、自動ネゴシエーションがリンクの両側で使用されない場合、送受信する適切なケーブルを動的に検出 (Auto MDIX) することができないという制限があります。接続の両側で送受信に同じケーブルが使用されている場合、リンクは検出されません。ピア側も自動ネゴシエーションなしの Auto MDIX をサポートせず、リンクがストレート ケーブルを使用して起動されていない場合は、リンクを起動するためにクロスオーバー イーサネット ケーブルが必要になります。

詳細については、ナレッジベースの記事「Limitation When Deactivating Autonegotiation on VMware SD-WAN Edge Models 520, 540, 620, 640, 680, 3400, 3800, and 3810 (87208)」を参照してください。

使用可能な言語

バージョン 5.2.0 を使用する VMware SASE Orchestrator は、次の言語にローカライズされています。チェコ語、英語、欧州ポルトガル語、フランス語、ドイツ語、ギリシャ語、イタリア語、スペイン語、日本語、韓国語、簡体字中国語、繁体字中国語。

Orchestrator API の変更点

5.1.0 以降の Orchestrator API の変更

VMware SASE Orchestrator ポータル API(「API v1」)の変更

5.1.0 から 5.2.0 への API v1 の変更はありません。参照用として、完全な API 変更ログは、developer.vmware.com からダウンロードできます(「VMware SD-WAN Orchestrator API v1」を参照)。

VMware SASE Orchestrator API v2 への変更

このリリースでは、プロファイルと Edge レベルのサービス品質 (QoS) モジュールの設定がサポートされるようになりました。このリリースでは、ファイアウォールの統計情報と NNI メトリックを返す API も追加されています。

リリース 5.2.0 では、次の新しい API 操作が導入されています。

  • プロファイルおよび Edge レベルの QoS モジュール

    • GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/qos

    • PUT /api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/qos

    • PATCH /api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/qos

    • GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos

    • POST /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos

    • PUT /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos

    • PATCH /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/qos

  • エンタープライズ レベルと Edge レベルの強化されたファイアウォール統計情報

    • GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/firewallIdpsStats

    • GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/firewallIdpsStats

    • GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/firewallIdpsStats/timeSeries

  • エンタープライズ レベルの Gateway NNI メトリック

    • GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/nniStats

    • GET /api/sdwan/v2/enterprises/{enterpriseLogicalId}/nniStats/timeSeries

開発者向けドキュメント

すべての VMware SASE/SD-WAN API ドキュメントは、https://developer.vmware.com/apis の開発者ドキュメント ポータルにあります。

ドキュメントの改訂履歴

2023 年 12 月 22 日。第 26 版。

2023 年 12 月 18 日。第 25 版。

  • 元の Edge/Gateway ビルド R5200-20230530-GA の「Edge/Gateway で解決した問題」セクションに解決した問題 #93141 および #95565 を追加しました。これらの問題は、リリース ノートの第 1 版から誤って除外されました。

  • Orchestrator の既知の問題」セクションに未解決の問題 #118501、#122193、#129232、#129412、#129662、#129958、#131299、#133201、および #133642 を追加しました。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #125274 および #134374 を追加しました。

2023 年 12 月 4 日。第 24 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231201-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 12 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231201-GA には、#126695、#128921#129662、#131224#131631#132047#132384、および #133008 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

  • 次の「既知の問題 #83166」を削除しました:「IPv6 オプションを選択した AWS ポータルの AWS c5.4xlarge インスタンス タイプを使用して VMware SD-WAN Gateway を新規に展開するときに、IPv6 ルートまたはデフォルト ルートが設定されないため、AWS Gateway IPv6 管理トンネルが形成されません。」この問題は修正されません。その代わりに、ユーザーのドキュメントには、VMware SD-WAN が Gateway 側で DHCP をサポートしていないために Gateway のインターフェイスでは IPv4/IPv6 アドレス割り当ての静的モードのみを使用するという要件が追加されます。

2023 年 11 月 22 日。第 23 版。R5204-20231201-GA

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231121-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 11 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231121-GA には、#128017、#129695#130810、#131138、および #132524 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

注:

問題 #131118 は、ユーザー インターフェイス ビルド R5204-20231109-GA で修正済みとしてリストされていました。ただし、問題は完全には修正されておらず、このビルドでのみ完全に修正されました。

  • 元の Edge/Gateway ビルド R5200-20230530-GA の「Edge/Gateway で解決した問題」セクションに解決した問題 #104513 および #106331 を追加しました。これらの問題は、リリース ノートの第 1 版から誤って除外されました。

2023 年 11 月 16 日。第 22 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231115-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 10 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231115-GA には、#123078#123718#128330#128765#130877 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

2023 年 11 月 14 日。第 21 版。

  • 「Edge/Gateway で解決した問題」セクションに更新された Edge ロールアップ ビルド R5202-20231107-GA-125647 を追加しました。これは 2 番目の Edge ロールアップ ビルド R5202-20230725-GA の更新で、リリース 5.2.0 の新しいデフォルトの Edge/Gateway GA ビルドです。

  • Edge ビルド R5202-20231107-GA-125647 には、問題 #125647 の修正が含まれています。これについては、このセクションで説明します。

重要:
  • リリース 5.2.0 Edge の以前のビルドはすべて廃止され、R5202-20231107-GA-125647 が優先されます。

  • 5.2.0 にアップグレードする場合は、R5202-20231107-GA-125647 にのみアップグレードする必要があります。

  • 5.2.0.x Edge ビルドをすでに正常に使用しているユーザーは、Edge を R5202-20231107-GA-125647 にアップグレードする必要はありません。

2023 年 11 月 10 日。第 20 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231109-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 9 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231109-GA には、#123387#123640#127727、#129584#130153#131138 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

2023 年 11 月 2 日。第 19 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231101-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 8 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231101-GA には、#123001#127904、#128753#129061#129494#129662#129765#129894 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

2023 年 10 月 31 日。第 18 版。

  • 「Edge/Gateway で解決した問題」セクションの「解決した問題 #110484」の文言を改訂して、このチケットではチケットに対してリストされている症状が解決されず、その代わりに、Edge ソフトウェアには記載された症状の実際の修正をエンジニアリング部門が提供するのに役立つ強化されたログが含まれていることを明確にしました。

2023 年 10 月 27 日。第 17 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231027-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 7 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231027-GA には、#125964#126602#127904#128279#128357#129413#129926 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

2023 年 10 月 20 日。第 16 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231019-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 6 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231019-GA には、#127021、#128706#129049#129271#129560 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #125421 を追加しました。

  • 元の Edge/Gateway ビルド R5200-20230530-GA の「Edge/Gateway で解決した問題」セクションに解決した問題 #110406 を追加しました。この問題は、リリース ノートの第 1 版から誤って除外されました。

  • 新しい注意事項「LAN 側 NAT の動作の変更」を「重要な注意事項」セクションに追加しました。

2023 年 10 月 13 日。第 15 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231013-0631-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 5 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231013-0631-GA には、#120419、#127035#127636#127774#128371#128620、および #129253 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #125647 を追加しました。

2023 年 10 月 4 日。第 14 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20231003-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 4 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20231003-GA には、#117923、#123070#127037#128628#128667 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

2023 年 9 月 28 日。第 13 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20230927-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 3 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20230927-GA には、#126967#127006#127843#127849#127871#128277 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

  • 「Orchestrator の既知の問題」セクションに次のチケットを追加しました:#125082#125504#125663#126257#126421#126425#126465#126695, #127037#127152#127636#128070

  • 元の Edge/Gateway ビルド R5200-20230530-GA の「Edge/Gateway で解決した問題」セクションに解決した問題 #110484 を追加しました。この問題は、リリース ノートの第 1 版から誤って除外されました。

2023 年 9 月 21 日。第 12 版。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20230920-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の 2 番目のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20230920-GA には、#106191#113254#117941#117993#121469#126503#126257 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

  • 重要な注意事項」の「ユーザー インターフェイス ビルド」エントリを改訂し、ユーザー インターフェイス ビルドを次の 4 つのそれぞれの Orchestrator タイプに追加する方法に関する情報を追加しました:ホスト型共有、プライベート共有、専用、およびオンプレミス。このエントリには、オンプレミスの Orchestrator を使用しているカスタマーはユーザー インターフェイス ビルドを使用できないという注意事項が含まれています。

2023 年 9 月 15 日。第 11 版。

  • 重要な注意事項」に「ユーザー インターフェイス ビルド」という新しいエントリを追加しました。ユーザー インターフェイス ビルドは、ユーザー インターフェイスの問題の修正のみを含む新しいタイプの Orchestrator ソフトウェア リリースで、既存の Orchestrator リリースに追加されます。

  • R5204-20230831-GA の「Orchestrator で解決した問題」セクションに新しい Orchestrator ユーザー インターフェイス ビルド R5204-20230914-GA を追加しました。これは、Orchestrator ロールアップ ビルド R5204-20230831-GA の最初のユーザー インターフェイス ビルドです。

  • ユーザー インターフェイス ビルド R5204-20230914-GA には、#108125#122918#123619#123927#124801#125309#125393#125710#126403#127007 のユーザー インターフェイスの問題の修正が含まれています。これらのそれぞれについて、「R5204-20230831-GA」セクション内の個別の表で説明します。

2023 年 9 月 1 日。第 10 版。

  • Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5204-20230831-GA を追加しました。これは 3 番目の Orchestrator ロールアップ ビルドで、リリース 5.2.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5204-20230831-GA には、#65668#104775#118728#120398#121118#121526#122113#123002#123053#123150#123346#123551#123749#124073#124129#124273#124315#124778#124798#125456 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #117037 および #121606 を追加しました。

  • 未解決の問題 #62701 はリリース 5.1.0 で修正されたため、「Edge/Gateway の既知の問題」セクションから削除されました。

  • ドキュメントの改訂履歴」は、ユーザー エクスペリエンスを向上させるために新しい項目から古い項目の順に読めるように再編成されました。

2023 年 8 月 9 日。第 9 版。

  • Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5203-20230809-GA を追加しました。これは 3 番目の Orchestrator ロールアップ ビルドで、リリース 5.2.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5203-20230809-GA には、#121118#121884#122132#122797#123384#123609 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • 元の Orchestrator ビルド R5200-20230530-GA の「Orchestrator で解決した問題」セクションに解決した問題 #105861 を追加しました。この問題は、リリース ノートの第 1 版から誤って除外されました。

  • VMware SASE 5.2.0 Orchestrator がローカライズされる言語を明確にするために、「使用可能な言語」セクションを追加しました。

2023 年 8 月 2 日。第 8 版。

  • Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5202-20230729-GA を追加しました。これは 2 番目の Orchestrator ロールアップ ビルドで、リリース 5.2.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5202-20230729-GA には、#116666#117772#117822#118544#118733#120070#120606#120774#121441#121472#121751#121835#121858#121993#122010#122271#122520#122866#122977 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • Orchestrator の既知の問題」セクションに未解決の問題 #121118 を追加しました。

2023 年 7 月 31 日。第 7 版。

  • 「Edge/Gateway で解決した問題」セクションに新しい Edge/Gateway ロールアップ ビルド R5202-20230725-GA を追加しました。これは 2 番目の Edge/Gateway ロールアップ ビルドで、リリース 5.2.0 の新しいデフォルトの Edge/Gateway GA ビルドです。

    Edge/Gateway ビルド R5202-20230725-GA には、#106865、#117775、および #121368 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

  • 解決した問題 #82095 を未解決の問題として再分類し、チケットを「Orchestrator の既知の問題」セクションに移動しました。

  • Edge/Gateway の既知の問題」セクションに未解決の問題 #117314 および #121998 を追加しました。

  • 未解決の問題 #53359 は 4.3.x ビルドで修正されたため、「Edge/Gateway の既知の問題」セクションから削除されました。

2023 年 7 月 12 日。第 6 版。

  • 元の Edge ビルド R5200-20230530-GA の「Edge/Gateway で解決した問題」セクションに解決した問題 #86994#90044#98223#101753#105433#110456#106123#116086 を追加しました。これらの問題は、リリース ノートの第 1 版から誤って除外されました。

  • 元の Orchestrator ビルド R5200-20230530-GA の「Orchestrator で解決した問題」セクションに解決した問題 #114546 を追加しました。この問題は、リリース ノートの第 1 版から誤って除外されました。

2023 年 7 月 5 日。第 5 版。

  • Orchestrator のファイアウォール ログを「SD-WAN の新しい機能強化」のリストに追加しました。この機能強化は、リリース ノートの第 1 版から誤って除外されました。

  • 元の GA ビルドの「Edge/Gateway で解決した問題」セクションに解決した問題 #107317 を追加しました。

2023 年 6 月 26 日。第 4 版。

  • 「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5201-20230623-GA を追加しました。これは 1 番目の Orchestrator ロールアップ ビルドで、リリース 5.2.0 の新しいデフォルトの Orchestrator GA ビルドです。

  • Orchestrator ビルド R5201-20230623-GA には、#112333#113254#115411#115624#116141#116790#117527#117800#117993#118071#118574#118673#119551#119733 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

重要:

オンプレミスの Orchestrator に 5.2.0.0 ビルドを使用している場合は、Orchestrator を 5.2.0.1 にアップグレードすることを強くお勧めします。

2023 年 6 月 22 日。第 3 版。

  • 「Edge/Gateway で解決した問題」セクションに新しい Edge/Gateway ロールアップ ビルド R5201-20230619-GA を追加しました。これは 1 番目の Edge/Gateway ロールアップ ビルドで、リリース 5.2.0 の新しいデフォルトの Edge/Gateway GA ビルドです。

  • Edge/Gateway ビルド R5201-20230619-GA には、#115150 および #117638 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。

重要:

Edge または Gateway に 5.2.0.0 ビルドを使用している場合は、Edge または Gateway を 5.2.0.1 にアップグレードすることを強くお勧めします。

2023 年 6 月 7 日。第 2 版。

  • 元の Edge ビルド R5200-20230530-GA の「Edge および Gateway で解決した問題」セクションに解決した問題 #105933 および #109963 を追加しました。これらの問題は、リリース ノートの第 1 版から誤って除外されました。

2023 年 5 月 31 日。第 1 版。

Edge および Gateway で解決した問題

Edge バージョン R5202-20231107-GA-125647 で解決した問題

Edge ビルド R5202-20231107-GA-125647 は 2023 年 11 月 13 日にリリースされた、リリース 5.2.0 の 2 番目の Edge ロールアップです。

この更新された Edge ビルドは、元の 2 番目の Edge ロールアップ R5202-20230725-GA 以降の重大な問題に対処します。

重要:
  • リリース 5.2.0 Edge の以前のビルドはすべて廃止され、R5202-20231107-GA-125647 が優先されます。

  • 5.2.0 にアップグレードする場合は、R5202-20231107-GA-125647 にのみアップグレードする必要があります。

  • 5.2.0.x Edge ビルドをすでに正常に使用しているユーザーは、Edge を R5202-20231107-GA-125647 にアップグレードする必要はありません。

  • 解決した問題 125647:Edge モデル 520 または 540 で展開されたサイトの場合、Edge を 5.2.0 バージョンにアップグレードすると、LAN ポートを介して Edge に接続されたクライアント ユーザーの接続が完全に失われることがあります。

    Edge 520/540 を再起動するか、5.2.0 バージョンにアップグレードされた後に Edge を古いソフトウェア バージョンにダウングレードしても、問題は解決されません。Orchestrator の [ファイアウォール (Firewall)] 設定ページの [Edge のセキュリティ (Edge Security)] > [コンソール アクセス (Console Access)] 設定で Edge のコンソールが無効になっている(すべての Edge のデフォルト設定)と、Edge 520 または 540 の LAN1 ~ LAN8 ポートを管理するドライバが自分自身を適切に設定せず、これらのポートがまったく作成されません。

    この問題の修正が適用されていない Edge でこの問題の発生を防ぐ、または影響を受ける Edge の LAN ポートで接続をリストアするには、[設定 (Configure)] > [Edge/プロファイル (Edge/Profile)] > [ファイアウォール (Firewall)] > [Edge のセキュリティ (Edge Security)] に移動し、[コンソール アクセス (Console Access)][有効 (Enable)] および [変更の保存 (Save Changes)] をクリックします。

    注:

    この設定を変更するには、Edge の再起動が必要です。完了するまでに約 2 ~ 3 分かかります。可能であれば、この変更はメンテナンス期間中に実行します。

Edge/Gateway バージョン R5202-20230725-GA で解決した問題

Edge および Gateway ビルド R5202-20230725-GA は 2023 年 7 月 31 日にリリースされた、リリース 5.2.0 の 2 番目の Edge/Gateway ロールアップです。

この Edge/Gateway ロールアップ ビルドは、1 番目の Edge/Gateway ロールアップ、R5201-20230619-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 106865:Edge Network Intelligence サービスを使用し、エンタープライズで分析を有効にしているカスタマーの場合、IP 以外のトラフィック(RADIUS 認証など)がドロップされることがあります。

    分析が有効になっている場合、SD-WAN Edge インターフェイスで IP 以外のフレームを受信すると、Edge が誤ってこれらを IPv4 フラグメントとして処理し、フラグメント レコード リークを引き起こす場合があります。時間の経過とともに、すべてのフラグメント処理が停止し、このようなパケットがすべてドロップされる可能性があります。RADIUS 認証を使用しているカスタマーの場合、すべての Edge で認証が同時に機能しなくなることがあります。

    修正されたビルドを使用していないエンタープライズでは、唯一の回避策は、すべての Edge を再起動することです。

  • 解決した問題 117775:Gateway 経由の Non SD-WAN Destination (NSD) で、断続的に、IPsec トンネルが常にフラップする(破棄されて再構築される)状態になる場合があります。

    カスタマーは、トンネルが数秒間稼動し、その後数秒間ダウンして、再び稼動状態に戻り、このサイクルを繰り返して自然に停止することを確認します。この問題はタイミングベースであるため、サイクルが数日にわたって、あるいは無限に繰り返される場合があります。この問題は、多数の IKE フェーズ 2 接続を含む NSD トンネルが起動中で、完全に起動する前に、Gateway がこれらの IKE フェーズ 2 接続の 1 つで転送しようとしているトラフィックがある場合、競合状態に基づいて発生します。その結果、トンネル全体が破棄されてから再構築され、このサイクルが繰り返されます。

    この問題を修正した Gateway を使用していないサイトでは、これはタイミングベースの問題であるため、回避策のオプションは制限されます。考えられる回避策の 1 つは、NSD トンネルを小さなバッチで設定して、ネゴシエートを高速化し、トンネルの準備ができる前にトラフィックが到着する期間が発生しないようにすることです。

  • 解決した問題 121368:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、その結果再起動することがあります。

    この問題は、Gateway を介してインターネット/クラウドにアクセスするリモート アクセス ユーザーによってトリガされます。インターネット/クラウド エンドポイントがフラグメント化を必要とする大きなパケットで応答すると、パケットのフラグメント化中に Gateway サービスが失敗します。

Edge/Gateway バージョン R5201-20230619-GA で解決した問題

Edge ビルド R5201-20230619-GA は 2023 年 6 月 22 日にリリースされた、リリース 5.2.0 の 1 番目の Edge ロールアップです。

この Edge/Gateway ロールアップ ビルドは、元の GA ビルド、R5200-20230530-GA 以降の以下の重大な問題に対処します。

重要:

Edge または Gateway 5.2.0.0 ビルドを使用している場合は、Edge または Gateway を 5.2.0.1 にアップグレードすることを強くお勧めします。

  • 解決した問題 115150:カスタマーが Zscaler タイプの Non SD-WAN Destination (NSD) またはクラウド セキュリティ サービス (CSS) を展開したときに L7 健全性チェックがオンになっていると、L7 健全性チェックの失敗が原因で 1 つ以上のトンネルがダウンすることがあります。

    この問題は、プライマリ トンネルまたはセカンダリ トンネルのいずれかで発生する場合があります。VMware SD-WAN Gateway が複数の L7 健全性チェックを管理している場合、L7 健全性チェック プローブによって発生した NAT リークによって NSD/CSS トンネルの障害が発生します。これは Gateway を再起動しないとリカバリできません。

  • 解決した問題 117638:ユーザーが [監視 (Monitor)] > [Edge] > [リンク (Links)] に移動し、リリース 5.2.0 を使用する VMware SD-WAN Edge のライブ モードをオンにすると、SASE Orchestrator はリアルタイムの統計情報を提供しません。

    また、「Edge 応答を待機中... (Waiting for Edge ...)」というメッセージが表示され、これは最終的にタイムアウトになります。この問題は、5.2.0 Edge ビルドが LTE/USB リンク統計情報を Orchestrator にアップロードするときに、統計情報を処理する方法が原因で Edge で発生します。

Edge/Gateway バージョン R5200-20230530-GA で解決した問題

Edge および Gateway ビルド R5200-20230530-GA は 2023 年 5 月 31 日にリリースされ、Edge および Gateway ビルド R5102-20230310-GA 以降の次の問題に対処しています。

注:

リリース 5.2.0 には、5.0.0 および 5.0.1 リリース ノートに記載されているすべての Edge および Gateway の修正と、上記のビルドまでの 5.1.0 リリース ノートのすべての Edge および Gateway の修正が含まれています。

  • 解決した問題 48032:ディスク障害が発生した場合に、VMware SD-WAN Edge のディスクの読み取りおよび書き込みに関する統計情報を追跡して分析する方法がありません。

    /velocloud/log 内のディスクに書き込まれた量を追跡する現在の方法では、書き込み数ではなく、書き込まれる全体的なデータのみを追跡するため、データに粒度がありません。このチケットによって、リモート診断の「システム情報」の下に「ディスク統計情報」が追加されるため、VMware エンジニアリング部門は、ディスクベースの Edge RMA が発生した場合にこれらの統計情報を参照できます。

  • 解決した問題 54573:ルート テーブルのダンプを実行すると、特定のコネクト ルートに対して誤ったメトリック値が出力に表示されることがあります。

    この問題は、Edge サービスが Edge カーネルからインターフェイス ルートの追加に関する適切な通知を受信しなかったために発生します。

  • 解決した問題 57170:BGP、プライベート リンク、および Partner Gateway を使用しているカスタマー エンタープライズでは、Partner Gateway の背後にあるクライアントから VMware SD-WAN Edge の背後にあるサーバへの接続が失われる可能性があります。

    インターネット トラフィックは、NAT ハンドオフ プロセスの代わりに MPLS ネットワークを使用します。

  • 解決した問題 58244:カスタマーが BGP と Partner Gateway を使用している場合、PG を使用しているトラフィックの接続の問題が発生する可能性があります。

    この問題は、PSBR ルートがインストールされていないことが原因で発生し、ルート テーブル ダンプを見ることで確認できます。この問題の原因は、Gateway が削除されて再度追加され、ルート イベントが「セグメント 1 のルート キューが見つかりません (route queue not found for segment 1)」というエラーでドロップされたことです。

  • 解決した問題 68748:Windows OS を使用しているクライアント デバイスが VMware SD-WAN Edge に接続されている場合、「新しいクライアント デバイスが検出されました (New Client Device Seen)」のイベント レポートが誤った OS バージョンになります。

    Edge が dhcp_fingerprints.json ファイルの説明を切り詰めるので、カスタマーは接続されたそのクライアント デバイスの正しい OS を維持することができません。

  • 解決した問題 82808:クラウド セキュリティ サービス (CSS) を使用している、L7 健全性チェックをオンにした VMware SD-WAN Edge では、VMware SASE Orchestrator が CSS トンネルを稼動中としてマークし続けている場合でも、それらのトンネルを使用するトラフィックが失敗することがあります。

    L7 プローブが 4XX HTTP エラーで失敗しても、VMware SD-WAN Gateway はその障害を認識せず、Orchestrator に CSS トンネルをダウンとしてマークするように通知しません。

  • 解決した問題 84235:VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。

    Edge が断片化された IKEv2 パケットを解放し(PKI が有効なモード)、同時にトンネル フラップが発生すると、「二重の空き」状態が発生し、Edge のサービスで例外がトリガされ、失敗と再起動を引き起こす可能性がわずかながらあります。

  • 解決した問題 86994:動的なブランチ間が有効になっているカスタマー エンタープライズで、このエンタープライズ内の VMware SD-WAN Edge のトラブルシューティングを試みると、dispcnt デバッグ コマンドが機能しません。

    dispcnt デバッグ コマンドはすべてのカウンタ値を提供するわけではないので、Domain (null) does not exist で失敗します。これは、Edge 診断バンドル内の関連するログを参照するときにも失敗します。これは、カスタマー ネットワークの問題のトラブルシューティングの大きな妨げになります。

    この問題は、各ピアに対して大量のトンネルが作成および破棄されることが原因で、動的なブランチ間が有効になったエンタープライズで発生します。ピアのさまざまなメトリックを格納するカウンタは共有メモリに格納され、時間の経過とともに競合が原因でこれらの共有メモリ セグメントが不良な状態になり、カウンタは dispcnt コマンドで取得されません。

    この問題の修正を適用しない場合、ユーザーは影響を受ける Edge のサービス再起動を実行することによってのみ状態をクリアできます。

  • 解決した問題 89332:VMware SD-WAN Edge の /velocloud ディレクトリがいっぱいになっている場合や、書き込むことができない場合に、カスタマーがその状態を [イベント (Events)] で認識できません。

    Edge が追加のイベントを投稿していなかったことに、カスタマーは数日後になってから気付く可能性があります。Orchestrator へのイベントのレポートは、ファイルを /velocloud ディレクトリに書き込むことによって発生します。ディレクトリがいっぱいになった場合や、読み取り専用モードになったりなどディスクに問題が発生した場合、それを警告するイベントやログがないため、カスタマーと VMware エンジニアリング/サポートはそれを知る方法がありません。

    この問題の修正により、別のフォルダに書き込まれる新しいログ エントリが追加され、次のように何が発生しているかが明確に示されます。

    • edge:b1-edge1:~# cat /var/log/log_eventgen.log

    • 2023-05-19 13:03:46,628 Unable to create event save file: [Errno 30] Read-only file system: '/velocloud/events/client/event.1684501426626.mgp7kfvg'

    • 2023-05-19 13:03:46,634 events.EventPackage failure, queing to MGD

  • 解決した問題 90044:VMware SD-WAN Gateway が ICMP プローブを使用して設定され、Gateway が再起動されると、ICMP プローブはリカバリされず、ダウンしたままになります。

    debug.py --icmp の ICMP プローブ状態は、Gateway の再起動後に「ダウン (DOWN)」と表示されます。

    この問題が修正されていない Gateway では、回避策として ICMP プローブを無効にしてから再度有効にします。

  • 解決した問題 92142:VMware SD-WAN Edge の背後にあるデバイスが、VLAN またはサブインターフェイスが設定されたルーティング インターフェイス経由で Edge に直接接続されているデバイスと通信しようとすると、通信が失敗する場合があります。

    NAT ダイレクトがルーティング インターフェイスで設定されている場合、そのインターフェイスを介して(アンダーレイで)直接送信されるすべてのトラフィックは、ルーティング インターフェイスの IP アドレスを使用して NAT されることが想定されます。ただし、ルーティング インターフェイスがサブインターフェイスであるか、VLAN を使用している場合、ルーティング インターフェイスと同じサブネット内の他の IP アドレス間のトラフィックには NAT は適用されません。宛先が 1 ホップ以上離れている場合、Edge は NAT ダイレクトを適用しておらず、トラフィックは機能するため、この障害は発生しません(Edge が修正バージョンを使用した場合の影響については、以下の注記を参照してください)。

    注:

    古いバージョンの SASE Orchestrator が、VLAN またはサブインターフェイスが設定されているメイン インターフェイスで誤って NAT ダイレクトに設定されている可能性があります。そのインターフェイスが 1 ホップ以上離れたところにダイレクト トラフィックを送信している場合、NAT ダイレクト設定が適用されていないため、カスタマーに問題は発生しません。ただし、この問題が修正された 5.2.0 以降に Edge をアップグレードすると、この特定のユースケースは以前のリリースで実装されなかったものであるため、ルーティングの動作が変更されます。

    つまり、5.2.0 Edge はすべてのユースケースに対して予期された方法で NAT ダイレクトを実装するようになり、以前に機能していたトラフィック(NAT ダイレクトが不具合ごとに適用されなかったため)が失敗するようになることがあります。これは、VLAN またはサブインターフェイスが設定されたインターフェイスに対して NAT ダイレクトがチェックされていることをカスタマーがまったく認識していなかったためです。

    そのため、Edge をリリース 5.2.0 以降にアップグレードするカスタマーは、まずプロファイルと Edge インターフェイスの設定を調べて、明示的に必要な場合にのみ NAT ダイレクトが設定されていることを確認し、必要でない場合はこの設定を無効にする必要があります(インターフェイスに VLAN またはサブインターフェイスが設定されている場合)。

  • 解決した問題 92927:VMware SD-WAN Edge インターフェイスが無効になった場合、インターフェイスは接続されたデバイスとのリンクを引き続き維持します。

    インターフェイスが Orchestrator を介して無効になるように選択されると、Edge の DPDK コントロールから削除され、Edge のカーネル ドライバの制御下に配置されます。ただし、この変換を行うスクリプトは、インターフェイス上でカーネル管理者を設定するため、インターフェイスが接続されている場合、接続されたデバイスとの自動ネゴシエーションを試みます。

  • 解決した問題 92400:高可用性トポロジで設定され、Edge インターフェイスがサブインターフェイスで設定されているカスタマー サイトでは、HA フェイルオーバー後にスタンバイ Edge が収束するまで時間がかかります。

    Gratuitous ARP と Nexthop ARP の両方がサブインターフェイスから送信されず、その結果収束時間が想定されていた 1 秒以内よりも長くなります。 

  • 解決した問題 93141:高可用性トポロジを使用して展開されたサイトで、HA Edge ペアのアップストリームにある L2 スイッチを使用しているカスタマーの場合、実際のループがないにもかかわらず、スイッチ ログに L2 トラフィック ループの証拠が記録されることがあります。

    この問題は、HA Edge がインターフェイスの実際の MAC アドレスではなく仮想 MAC アドレスで HA インターフェイス ハートビートを Orchestrator に送信することが原因です。これは、HA Edge がその MAC ファイルに仮想 MAC アドレスを格納するために発生します。その結果、接続された L2 スイッチは、2 つの異なる Edge インターフェイスの同じ送信元 MAC アドレスからのトラフィックを検出し、L2 ループとしてログに記録します。この問題は、実際の L2 ループがなく、この問題に起因するカスタマーのトラフィックの中断や Orchestrator との通信の切断がないため、ログ レベルでは表示上の問題に過ぎません。そのため、カスタマーに影響はなく、Edge の HA インターフェイス(通常は GE1)で発生したアップストリーム スイッチからの L2 ループ検出イベントを無視できます。

  • 解決した問題 93965:VMware SD-WAN Edge で、データプレーン サービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

    コアを確認すると、Edge サービスが SIGXCPU シグナルで終了していることが分かります。Edge オペレーティング システムには、スレッド間のインターフェイス イベント通信のキューとして使用される Unix ソケットがあります。この問題の原因は、ソケットの深さが小さすぎるためにスレッドがブロックされ、SIGXCPU シグナルが発生することです。

  • 解決した問題 95399:VMware SD-WAN Edge のルーティング インターフェイスが物理的に接続または取り外されたときに、ユーザーは VMware SASE Orchestrator で Edge インターフェイス稼動中イベントまたはインターフェイス ダウン イベントを確認できません。

    この問題は、最初に Edge リリース 4.5.1 に追加され、それ以降のすべてのビルド(5.0.x、5.1.x)に含まれている dhclient が原因で発生します。dhclient は、インターフェイスの稼動中またはダウン イベントを Orchestrator に送信するように設定されていませんでした。

  • 解決した問題 95565:高可用性トポロジを使用しているサイトで、VMware SD-WAN アクティブ Edge のデータプレーン サービスの障害が発生し、コアが生成されて高可用性フェイルオーバーがトリガされることがあります。

    この問題は、アクティブ Edge の WAN リンクが 1 回以上フラップ(ダウンして、すぐに起動する)し、そのときに SNMP クエリが頻繁に発生する SNMP を使用している場合にトリガされます。インターフェイスが稼動状態に戻るのと同時に SNMP クエリが発生するというタイミングの問題によりデッドロックがトリガされることが原因で、データプレーン サービスが失敗してコアが生成されます。1 回の WAN リンク フラップのみでこの問題が引き起こされる可能性がありますが、WAN リンク フラップの頻度が高いほど、この問題が発生する可能性が高まります。

    修正が適用されていない HA Edge ペアでこの問題が発生する場合、回避策は SNMP を無効にすることです。これはタイミングの問題であり、これによってリスクが軽減されるためです。

  • 解決した問題 95950:128 個のセグメントが設定されている場合、ユーザーが VMware SD-WAN Edge のインターフェイスを設定すると、Edge でデータプレーン サービスの障害が発生し、コアが生成され、再起動する場合があります。

    Edge に 128 個のセグメントが設定されている場合、iptable ルールのアプリケーションが完了するのに時間がかかりすぎるため、ミューテックス モニターの例外が発生し、Edge サービスに障害が発生します。

  • 解決した問題 95850:OSPF が使用されているカスタマー エンタープライズで、ユーザーが VMware SD-WAN Edge の診断バンドルを生成すると、バンドルの生成中に OSPF ルートがフラップし、その結果カスタマー トラフィックが中断することがあります。

    診断バンドルの生成の一環として、コマンド vcdbgdump -r remote-routes および vcdbgdump -r remote_routes が実行されます。これらのコマンドの実行には、カスタマー環境で 40 秒より長い時間がかかるため、イベント ディスパッチャ スレッドのキューに登録されていた OSPF Hello は処理されませんでした。このため、OSPF ネイバーシップがフラップすることにより、ネットワークが停止します。

    この問題に対する修正を行わない Edge では、メンテナンス期間以外では診断バンドルを生成しないようにするか、一時的に問題が発生しないようにする内部ツールを持っている VMware SD-WAN サポートにバンドルの生成を依頼する必要があります。

  • 解決した問題 96710:カスタマー サイトが高可用性トポロジで設定され、HA Edge インターフェイスで Loss of Signal (LoS) 検出がオンになっている場合、アクティブ Edge インターフェイスで接続が失われてスタンバイに降格され、後でインターフェイス接続がリストアされると、スタンバイ Edge はリストアされた接続を検出しません。

    Edge がアクティブだったときにインターフェイス上で LoS が検出されてスタンバイになると、Edge がスタンバイ状態になってしばらくしてから接続がリストアされても、スタンバイ Edge では LoS 監視を実行できないため、SD-WAN はリストアされた接続を検出できません。インターフェイスは、最後に認識された LoS 状態に従ってダウンしていると見なされます。

    この修正を適用しない HA Edge では、HA フェイルオーバーが強制されると、スタンバイ(現在はアクティブ)Edge がインターフェイスを ARP プローブし、リストアされた接続を確認します。

  • 解決した問題 97953:オペレータまたはパートナー ユーザーには、VMware SD-WAN Gateway の ARP キャッシュをクリアするオプションがありません。

    リリース 5.2.0 以降を使用している Gateway では、ユーザーはコマンド debug.py --clear_arp_cache を使用して ARP キャッシュをクリアできます。

  • 解決した問題 98223:VMware SD-WAN Edge で Edge Network Intelligence 分析が有効になっている場合、Edge が VMware SASE Orchestrator と通信できなくなり、Orchestrator ユーザー インターフェイスで Edge がダウンとマークされる場合があります。

    分析が有効になっている場合、分析バックエンドとの Edge 通信が Orchestrator との Edge 通信と混在することがあります。その結果、Orchestrator との通信が失われ、Orchestrator は Edge がダウンしていないにもかかわらずダウンしていると宣言します。

  • 解決した問題 98359:サブインターフェイスも使用する Edge インターフェイスでの Loss of Signal (LoS) 検出をカスタマーがオンにすると、LoS はサブインターフェイスでの接続障害を検出しません。

    以前のリリースでは、サブインターフェイスでの LoS 検出はサポートされていません。このため、サブインターフェイスでの接続の切断は検出されません。

  • 解決した問題 98634:複数のリンクを持つ Edge の [Edge] > [監視 (Monitor)] > [トランスポート (Transport)] を確認すると、2 つのリンク間でリンク メトリックの不一致が見つかる場合があります。

    この問題は、WAN リンクの論理 ID が複数の Edge 間で重複しているために発生し、その結果リンクの統計情報が不正確になります。

  • 解決した問題 98694:カスタマー エンタープライズに冗長スタティック ルートが設定されている場合、プライマリ ルートがダウンすると、代替ルートは広報されず、トラフィックがドロップされます。

    VMware SD-WAN Edge でインターフェイスがダウンすると、インターフェイス経由でルートに到達できなくなっているにもかかわらず、代替ルートが VMware SD-WAN Gateway にアドバタイズされません。Edge 上のこれらのプレフィックスの他のインターフェイスを介した代替ルートがある場合でも、プレフィックスのルートは Gateway に存在しません。この問題は、SD-WAN サービスが、インターフェイスのダウンを処理中に到達可能な代替スタティック ルートがあるかどうかを確認せずにルート削除を送信するために発生します。

  • 解決した問題 99193:スポーク Edge として設定され、IPv6 をアクティブに使用する VMware SD-WAN Edge の場合、この Edge がリリース 5.x を実行していて、リリース 4.5.x 以下にダウングレードされると、スポーク Edge を宛先とする IPv6 トラフィックがドロップします。代替 IPv6 ルートがある場合、トラフィックはそれらを経由せず、ダウングレードされたスポーク Edge に向かって進み続け、そこでドロップするため、パケット ロスが発生します。

    スポーク Edge が 5.x から 4.5.x 以下にダウングレードされてダウンすると、ハブ Edge はそのスポーク Edge としてネクストホップを持つ IPv6 ルートを転送情報ベース (FIB) から削除しますが、ルーティング情報ベース (RIB) には保持します。その後ダウングレードされたスポーク Edge が起動すると、Hub は FIB 内の IPv6 ルートをリストアし、それらのプレフィックスのトラフィックがスポーク Edge に送信され、そこでドロップされます。この問題は、古い更新タイマーが作動を開始して、5 分後に v6 ルートがフラッシュされるまで続きます。

  • 解決した問題 99215:VMware SD-WAN Edge モデル 610、620、640、および 680 では、ユーザーが SFP1 インターフェイスを無効にするか、スイッチとして設定すると、SFP2 インターフェイスがパケットの受信を停止することがあります。

    これらの Edge モデルでは、SFP1 がルーティングとして設定されていて、SFP1 を無効にするか SFP1 をスイッチとして再設定することを選択した場合、SFP2 インターフェイスがパケットの受信を停止することがあります。

  • 解決した問題 100010:IPv4 と IPv6 の両方に設定されたプライベート WAN リンクを使用して展開された VMware SD-WAN Edge の場合、ユーザーが診断バンドルを生成するか、リモート診断の [パスの一覧表示 (List Paths)] を実行すると、Edge でメモリ リークが発生することがあります。

    トラフィックがプライベート リンクを介して実行される場合、SD-WAN は最初に IPv4 アドレスが設定されているかを確認し、設定されている場合は値が JSON に保存されます。さらに SD-WAN は、IPv6 アドレスが設定されているかについても確認します。IPv6 アドレスがある場合、SD-WAN は以前に保存した値を上書きしてから JSON 配列に追加し、メモリ リークを引き起こします。Edge によって処理されるトラフィックの規模が大きいほど、トリガ アクションの実行時のメモリ リークが大きくなります。

  • 解決した問題 100172:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

    ユーザーが Gateway 経由で Edge に SSH でアクセスし、その SSH セッションで FRAG_NEEDED ICMP エラー メッセージが生成されると、この問題が発生することがあります。Gateway はローカル gwd1 インターフェイス経由でパケットを受信したため、pkt_in->skb->vc_sk->raw が NULL になり、サービス障害とコアがトリガされます。

  • 解決した問題 100237:Partner Gateway が使用され、PG が VMware SD-WAN Gateway への安全なデフォルト ルートをアドバタイズしているカスタマー エンタープライズの場合、クライアント ユーザーはインターネットからファイルを直接ダウンロードできないことがあります。

    完全なシナリオには複数の WAN リンクを使用する Edge が含まれ、[セキュアなデフォルト ルートの上書き (Secure Default Route Override)] が設定され、ネットワーク サービス パラメータが [ダイレクト (Direct)] に設定されているビジネス ポリシーが作成されます。このシナリオでは、このビジネス ポリシーを使用するトラフィックのフローは、毎回異なる WAN IP アドレスを代わりとして選択でき、ダウンロードは失敗します。

    この問題に対する修正を行わない場合、ユーザーはビジネス ポリシーを設定して、1 つの WAN リンクを必須としてマークし、すべてのトラフィックをそのリンクに制限する必要があります。

  • 解決した問題 100359:サマリ ルートをドロップするように OSPFv2 送信フィルタが設定されている場合、Edge は引き続きこれらのルートを広報します。

    特定のインターフェイスの OSPF の [ルートの広報 (Route Advertisement)] で [無視 (Ignore)] を設定した後でも、OSPFv2 ルートがアドバタイズされます。

  • 解決した問題 101102:最初にホスト型 Gateway に割り当てられた VMware SD-WAN Edge が Partner Gateway に再割り当てされると、Gateway を介した Edge への SSH 接続は動作を停止します。

    Partner Gateway に再割り当てすると、Edge は vce1 IP アドレスを失い、その結果、Gateway を介した SSH は動作しません。

    この問題の修正が適用されていない Edge では、ユーザーが Edge サービスの再起動を開始して問題を修正します。

  • 解決した問題 101144:VMware SD-WAN Gateway では、順不同のパケットがあるとパケット リークが発生する可能性があります。

    これらのリークは vcdbgdump -r dpdk-leak-dump を実行すると発生する可能性があり、リークは pkt_path_alloc および pkt_path_ooo にあります。パケットは VCMP reseq リング キューで停止し、処理されません。

  • 解決した問題 101753:VMware SD-WAN Edge は、稼動中でトラフィックを渡していても、VMware SASE Orchestrator 上でオフラインと表示される場合があります。

    この問題は、Edge が使用できなくなった IP アドレスから Orchestrator にトラフィックを送信し続け、結果としてリターン トラフィックがドロップされるために発生します。

  • 解決した問題 102607:Gateway または Edge 経由の Non SD-WAN Destination を使用しており、NSD 経由の BGP も設定されている場合、VMware SD-WAN Edge でデータプレーン サービスの障害が発生することがあります。

    この問題は、NSD データセンター ルートと Edge 間ルートで同じプレフィックスが使用されている場合に発生する可能性があります。このシナリオでは、DC を宛先として暗号化されたパケットが SD-WAN 管理トンネルに到達し、メモリ リークやサービス障害が発生する可能性があります。

  • 解決した問題 102655:ルーティングに BGP が使用されているカスタマー エンタープライズの場合、非グローバル セグメントの BGP は Edge のサブインターフェイスで起動しません。

    この問題は、グローバル セグメントの Edge のメイン インターフェイスと非グローバル セグメントのサブインターフェイスの IP アドレスが同じで、WAN オーバーレイがメイン インターフェイスでも設定されている場合にトリガされます。BGP が起動しない問題は、Edge の再起動またはサービスの再起動後に発生する可能性が高くなります。

    この問題の修正が適用されていない Edge では、サブインターフェイスの IP アドレスと BGP 関連の設定を削除し、一意の IP アドレスを使用して再設定します。

  • 解決した問題 102693:高可用性トポロジで設定されたサイトで、VMware SD-WAN HA Edge が使用しているソフトウェア バージョンと工場出荷時のビルドを確認しようとすると、VMware SASE Orchestrator 上でこれらのフィールドが空として表示されることがあります。

    Edge のペアで HA が有効になっている場合、Edge は最初のハートビートで工場出荷時のソフトウェアとビルド バージョンを Orchestrator に送信せず、その結果 Orchestrator に表示できないことがあります。

  • 解決した問題 103558:Edge Network Intelligence を使用しているカスタマー エンタープライズで、VMware SD-WAN Edge の分析が有効になっている場合、ENI ダッシュボードには、その Edge の「管理 IP アドレスが割り当てられていない (No Management IP Assigned)」と表示されることがあります。

    分析を有効にすると、まれに Edge が管理 IP アドレスを Edge Network Intelligence バックエンドに送信しないことがあります。

  • 解決した問題 103700:mustNotPerformDpi(詳細なパケット インスペクション (DPI) を実行しない)で設定されたアプリケーション マップ内のアプリケーションは、カスタマーが大規模な展開を行っている場合に DPI を介して分類を取得することがあります。

    アプリケーションが誤って分類されると、クライアント ユーザーがアプリケーションや Web サイトにアクセスできなくなる可能性があります。

    アプリケーション分類の高速データベース キャッシュに約 8,000 のエントリがある大規模なカスタマー エンタープライズでは、アプリケーションの検索中に競合が発生する可能性があります。競合が発生した場合、アプリケーションは mustNotperformDpi で設定されていますが、DPI を介して分類されます。

    この問題に対する修正を行わないエンタープライズでは、回避策として、アプリケーションまたはドメインのサブネットを使用してダイレクトまたはインターネット バックホール経由でトラフィックをステアリングするビジネス ポリシーを設定します。

  • 解決した問題 103708:BGP フィルタ設定に新しいルールが追加されると、VMware SD-WAN Edge によって予期しない BGP ルートが送受信される可能性があります。

    Orchestrator から BGP フィルタに新しいルールが追加されると、古いエントリを削除することなく、Edge のルーティング設定にプレフィックス リストが追加されます。この動作により、古いルート プレフィックス リストと予期しないフィルタリング動作が発生します。

  • 解決した問題 103962:OSPFv3 または BGPv6 に再配分された IPv6 および IPv4 コネクト ルートに異なるメトリックがあるため、IPv6 と IPv4 のトラフィックのルーティングが異なる可能性があります。

    現在、ルーティング インターフェイスに対応する IPv6 コネクト ルートは、同じインターフェイス上の IPv4 コネクト ルートとは異なるメトリックでインストールされています。これは、IPv4 ルートと IPv6 ルートでは Edge OS カーネルによって異なるメトリックが提供されるためです。OSPF/BGP などの動的プロトコルに再配分すると、IPv4/IPv6 メトリックの違いが伝達されます。

  • 解決した問題 104046:高可用性トポロジを使用して展開されたカスタマー サイトの場合、VMware SASE Orchestrator でスタンバイ Edge が実際にダウンしていても、稼動中と表示されることがあります。

    この問題が発生するシナリオは、HA インターフェイス ケーブルが HA Edge 間で切断されているか、スタンバイ Edge がダウンしている場合です。この問題の原因は、アクティブ Edge の管理プロセスによるチェックが、HA が設定されているかどうかのみを参照し、スタンバイ Edge の実際の状態を無視してしまい、スタンバイ Edge がダウンしているのに HA アクティブ Edge がアクティブ状態を送信することです。

  • 解決した問題 104513:BGP を使用して Partner Gateway に接続され、ICMP プローブを展開するエンタープライズの場合、ICMP プローブがダウンすると、クライアント ユーザーの環境でトラフィックがドロップし、リカバリしないことがあります。

    ICMP プローブがダウンすると、Partner Gateway BGP ルートの到達可能性状態が false になり、それらのルートを使用するすべてのトラフィックが失敗します。この問題は、Gateway が BGP ルートを含むすべての PG ハンドオフ ルートの ICMP プローブ状態をチェックした結果です。ICMP プローブの状態が「ダウン」の場合、PG は BGP ルートも「ダウン」とマークします。

    Gateway でこの問題を修正しない場合の唯一の回避策は、ICMP プローブを無効にすることです。ただし、同じ Partner Gateway を使用している他のカスタマーの作業が中断する可能性があるため、その点に注意してください。

  • 解決した問題 105433:拡張された高可用性トポロジを使用しているサイトの場合、スタンバイ Edge の WAN インターフェイスがフラップすると、VMware SD-WAN HA Edge が VMware SASE Orchestrator でオフラインになる場合があります。

    インターフェイスの状態が変更され、その結果 HA Edge サイトと Orchestrator 間の接続が失敗した場合、スタンバイ Edge は動的 IP アドレスの更新をアクティブ Edge に同期しません。これは管理トラフィックにのみ影響し、カスタマー トラフィックには影響しません。

  • 解決した問題 105440:DHCP オプション 43 のデータ タイプが「テキスト」に設定され、「値」が数字で始まるテキスト文字列として設定されている場合、オプションは無視され、エラーが報告されます。

    この問題の一般的な例は、オプション 43 の値が IP アドレスとして設定されている場合です。ユーザーには、メッセージ「"messages" : "dhcp.py:527: Invalid value for option 43: <text string configured>, ignored"」があるイベントが表示されます。

  • 解決した問題 105492:VMware SD-WAN Edge の L2 MAC アドレスに送信されない IPv6 ベースの L2 パケットがドロップされずに、不要な処理が実行されます。

    Edge のインターフェイス MAC アドレスと一致しない宛先の MAC アドレスへの IPv6 パケット ユニキャストはドロップされることが想定されます。

  • 解決した問題 105686:82599 SR-IOV 上の VMware SD-WAN Gateway を Gateway ビルド 5.0.1.2 にアップグレードしても、SR-IOV NIC インターフェイスが起動しません。

    ixgbevf ドライバは、カーネル 4.15.0-201-generic を実行している Gateway ビルドでは使用できませんでした。Ubuntu カーネル セキュリティ ロールアップ(バージョン 4.15.0.159 以降)にはメインライン カーネルからのバックポートがあり、カーネル ヘッダーで skb_frag_off が使用できるようになったため、ixgbevf ドライバ独自の skb_frag_off 定義は必要ありません。

    82599 SRIOV インターフェイスが使用されている場合、オペレータは Gateway リリース 5.0.1.2 をアップグレードする必要はありません。

  • 解決した問題 105933:ユーザーは、ルーティング インターフェイスを介して VMware SD-WAN Edge モデル 610/610-LTE または 520/540 に SSH 接続できません。

    影響を受ける Edge の OS で使用される af-pkt ドライバを介して発信される重複する SSH パケットのドロップ ルールはありません。このため、Edge カーネルは 2 つの SSH パケットを受信します。1 つは vce1 インターフェイス経由のパケット、もう 1 つはドライバの性質による直接 SSH パケットです。これにより、2 つの SSH 要求に対して Edge カーネルが応答し、SSH クライアントを混乱させ、SSH の障害が発生します。

    この問題に対する修正を行わない Edge の場合、ユーザーは IP テーブル ルールを追加して、vce1 以外のインターフェイスから受信した SSH パケットをドロップできます。

  • 解決した問題 106017:VMware SD-WAN Gateway OVA を vSphere に展開すると、仮想マシンに VMware Tools がインストールされていても、インストールされていないという警告が表示されることがあります。

    完全なメッセージは次のようになります。「Tools が GuestOS にインストールされていません。最新バージョンの open-vm-tools または VMware Tools をインストールして GuestCustomization を有効にしてください。(Tools is not installed in the GuestOS. Please install the latest version of open-vm-tools or VMware Tools to enable GuestCustomization.)」このメッセージは偽りで、実際にはツールは Gateway イメージにインストールされています。ただしバージョン属性が見つからないため、エラーがトリガされます。この偽りのエラー メッセージの影響を受ける設定機能はありません。

  • 解決した問題 106123:DPI(詳細なパケット インスペクション)エンジンが最新のビルドでないため、VMware SD-WAN がパケットを誤って分類することがあります。

    Edge または Gateway がパケットを誤って分類すると、SD-WAN カスタマーに多くの問題が発生する場合があります。この修正により、Edge と Gateway の DPI エンジンが最新のビルドにアップグレードされ、SD-WAN サービスがカスタマー トラフィックをより高い精度で分類できるようになります。

  • 解決した問題 106225:WAN リンクがダウンすると、サブインターフェイスに関連する接続されたスタティック ルートがリモート VMware SD-WAN Edge から削除されます。

    サブインターフェイスのコネクト ルートを広報する際、SD-WAN は配列インデックスの代わりにサブインターフェイス ID を使用します。これにより、間違ったインターフェイスで広報フラグがチェックされます。その結果、リモート ノードではインターフェイス フラップの追加/削除イベントが欠落します。

    この問題の修正が適用されていない Edge では、カスタマーはこの問題を防ぐためにすべてのインターフェイスで広報を設定する必要があります。

  • 解決した問題 106331:BGP を使用して Partner Gateway に接続され、ICMP プローブを展開するエンタープライズの場合、ICMP プローブが Partner Gateway でダウンすると、クライアント ユーザーの環境でトラフィックがドロップし、リカバリしないことがあります。

    この問題は、VMware SD-WAN Edge が PG スタティック ハンドオフ ルートだけでなく、BGP ルートの ICMP プローブ状態もチェックした結果です。また、プローブの状態が「ダウン」の場合、Edge はスタティック ハンドオフ ルートと BGP ルートの両方を「ダウン」としてマークし、カスタマー トラフィックが中断します。

  • 解決した問題 106913:ハブの外部ルートは、VMware SD-WAN Gateway 上の BGP 経由で Gateway 経由の Non SD-WAN Destination に広報されません。

    この問題は、Partner Gateway の BGP から継承された動作の結果です。ハンドオフ BGP がループを回避するために OSPF HUB の外部ルートを PG BGP に再配布しないようにするのは意図された動作であり、NSD BGP はこの動作を PG BGP から継承しました。

  • 解決した問題 107114:VMware SD-WAN Edge のシリアル コンソールが VMware SASE Orchestrator のファイアウォール設定で無効にされても、ユーザーは引き続きシリアル コンソールでルーチン メッセージを表示できます。

    SD-WAN は、シリアル コンソールが Orchestrator で無効にされている場合でも、コンソールからのルーチン メッセージを抑制しません。ここでの修正により、シリアル コンソールがファイアウォール設定で無効にされた場合、Edge は重要なメッセージ(CRIT、ALERT、EMERG)のみをシリアル コンソールに出力します。

  • 解決した問題 107216:リモート診断「インターフェイスの状態 (Interface Status)」を実行すると、出力に不正確なリンク速度が表示されます。

    インターフェイスが自動ネゴシエーション「オフ (off)」に選択されている場合、インターフェイスはシリコン ドライバーを使用した DPDK で実行されなくなります。DPDK で使用される新しいドライバーは「af_packet」で、基礎となるカーネル ドライバーを利用します。新しい手動の速度が、DPDK からカーネルへの PCI バインド解除後に設定されません。その結果、「インターフェイスの状態」で使用される ethtool debug コマンドを実行するときのリンク速度の結果は不正確になります。

  • 解決した問題 107309:カスタマーが 4.x Orchestrator 上で Edge 経由の Non SD-WAN Destination の L7 健全性チェックを設定し、Orchestrator がリリース 5.x にアップグレードされると、カスタマーが L7 プローブの再試行の値を変更しても、Edge は新しい値を適用しません。

    たとえば、L7 健全性チェック プローブの再試行の値が 3 の場合(トンネルはプローブが 3 回失敗するとダウンとマークされます)、カスタマーがこの値を 1 に変更しても、L7 健全性チェックは再試行回数として元の値 3 を使用し続け、その後トンネルがダウンとマークされます。

  • 解決した問題 107317:サーバがインターネット上にある SNMP を使用しているカスタマーの場合、一部の VMware SD-WAN Edge インターフェイスでは SNMP ウォークが成功し、他のインターフェイスではタイムアウトで失敗することがあります。

    SNMP ウォークが失敗すると、SNMP 要求は 1 つのインターフェイスに入りますが、別のインターフェイスを終了し、これらの応答パケットは SNMP サーバに到達しません。この問題は、Edge が SNMP トラフィックを誤って分類し、受信に使用されるインターフェイスに関係なく、これらのパケットを応答パケット用の別のインターフェイスにステアリングすることが原因で発生します。そのため、Edge が SNMP 応答用に指定したインターフェイスでは SNMP ウォークが機能しますが、他のすべてのインターフェイスでは失敗します。

  • 解決した問題 107708:SD-WAN オーバーレイのレート制限が設定されている VMware SD-WAN Edge では、ダウンストリーム トラフィックがインターネットから Edge に送信されるときに、SD-WAN Gateway が制限を正確に遵守しない場合があります。

    インターネットから Edge に送信されるトラフィックは、Gateway によって設定どおりにレート制限されません。SD-WAN オーバーレイの制限を数 Mbps 超えています。これは、Gateway でレート制限を計算する際に VCMP(管理)オーバーヘッドが考慮されていないために発生します。

  • 解決した問題 107994:権限のある Secure Edge Access ユーザーがプロビジョニングされると、Orchestrator からのリモート診断「HA 情報」の実行やピア HA Edge へのログインなどの高可用性関連の操作が失敗します。

    権限のある Secure Edge Access ユーザーがプロビジョニングされると、root アカウントは完全にブロックされます。これに関する問題は、HA 操作が root としてのピア Edge との通信に依存していることです。これにより、問題発生の後で実行される HA 操作が機能しなくなります。

    この問題に対する修正を行わない HA Edge のペアでは、カスタマーはパスワードベースの認証に戻り、権限のあるすべての Secure Access Edge ユーザーを削除するか、基本ユーザーに変更する必要があります。

  • 解決した問題 108374:動的なブランチ間を使用し、LAN 側 NAT ルールを設定しているカスタマー エンタープライズの場合、ルート変更によりリモート LAN へのトラフィックが失敗する場合があります。

    動的なブランチ間トンネルなどのルート変更では、LAN 側 NAT が既存のフローに対して適切に再計算されない可能性があり、これによりフローが中断され、ピア Edge LAN サブネット宛てのトラフィックに影響が及びます。

  • 解決した問題 108473:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、サービスをリカバリするために再起動することがあります。

    Gateway ではシーケンス番号オーバーフローが発生し、それによってすべての SA (IPsec Security Association) の削除がトリガされる場合があります。すべての SA を削除しようとすると、Gateway プロセスはトンネル ID に基づいてトンネルを見つけようとしますが、トンネルが存在しないため、Gateway サービスに障害が発生します。

  • 解決した問題 108610:ファイアウォールが有効になっているカスタマー エンタープライズの場合、Edge が 3.x リリースから 4.x リリースにアップグレードされると、ファイアウォールは、これまでブロックされていなかったトラフィックをブロックします。

    Orchestrator を 4.2.2 に移行する際に、3.4.4、4.0.0、4.0.2、4.2.2 の順に行うと、アドレス グループ設定は、3.4.4 Edge リリースから 4.2.2 Edge リリースに移動されたその Orchestrator に接続されている Edge に反映されません。これは、Edge が 3.4.4 および 4.2.2 では異なるバージョンのアドレス グループ JSON ファイルを想定しており、上記の手順でアップグレードした Orchestrator は、設定の変更が発生するまで新しい形式の JSON ファイルを Edge に送信しないためです。その結果、アドレス グループの設定が機能しません。

  • 解決した問題 108982:ICMP プローブが設定されている VMware SD-WAN Edge の場合、Edge プローブが INIT 状態で動作を停止する場合があります。

    ICMP プローブ タイマーが破損し、プローブ ステート マシンが INIT 状態でスタックする場合があります。タイマーの破損は、複数のスレッドがタイマーの追加/削除/期限切れの処理を試行したときの競合状態が原因です。

  • 解決した問題 109500:LAN 側 NAT が内部と外部で同じ定義を使用する場合、直接フローの最初のパケットはドロップされます。

    問題は、元の NAT テーブルの一致情報が、最初の LAN 側 NAT 変換と直接 NAT 変換で同じであることです。これにより、テーブル内で競合が発生し、最初のパケットがドロップされます。

  • 解決した問題 109511:VMware SD-WAN Edge で最大トンネル数に達すると、VMware SASE Orchestrator で EDGE_TUNNEL_CAP_WARNING イベントが表示されない場合があります。

    24 時間以内に初めて問題が発生した場合、Edge はトンネル キャップ警告のメッセージを Orchestrator に送信しません。

  • 解決した問題 109963:ユーザーが VMware SD-WAN 仮想 Edge に SSH 接続できません。

    すべての仮想 Edge タイプ(Azure、AWS など)がこの問題の影響を受けます。SSH 接続を試みると、仮想 Edge は 2 つの SSH パケットを受信します。その結果、Edge カーネルは 2 つの SSH 要求に応答し、SSH クライアントを混乱させ、SSH の障害が発生します。

  • 解決した問題 110406:高可用性トポロジで展開されたカスタマー サイトで、HA Edge ペアが以前のソフトウェア バージョンにダウングレードされると、アクティブ Edge がダウングレードを完了しないことがあります。

    この問題が発生すると、スタンバイ Edge のみが指定されたソフトウェア バージョンに正常にダウングレードされ、アクティブ Edge はダウングレードされません。つまり、サイトは実質的にスタンドアローン サイトになり、HA ではなくなります。

    この問題が修正されていない HA サイトでは、回避策として、HA を無効にし、以前のアクティブ Edge をスタンドアローンとしてダウングレードして、両方の Edge を同じダウングレードされたバージョンにしてから、HA を再度有効化します。

  • 解決した問題 110456:ICMP リクエスト コード フィールドが 0 でない場合、Partner Gateway または Cloud Gateway から直接接続されたデバイスへの ICMP プローブはパケットをドロップする場合があります。

    ベンダーによっては、ICMP 要求パケットのコード フィールドを検査し、フィールドが 0 でない場合は正しくないと判断する場合があります。

  • 解決した問題 110473:BGP を使用しているカスタマー エンタープライズの場合、BGP ネイバーが削除されると、予期しないルートが瞬間的に送受信され、フローが間違ったビジネス ポリシーに一致する可能性があります。

    BGP ネイバーが Orchestrator から削除されると、関連付けられているインバウンド/アウトバウンド ルートマップが最初に削除され、次にネイバーが Edge ルーティング設定から削除されます。これにより、これらのルートマップによって拒否されたルートの一時的なリークが発生します。これは、リークしたルートを使用してフローが作成された場合、ビジネス ポリシーの動作に影響します。

    この問題の修正が適用されていない Edge では、ユーザーはリモート診断「フローのフラッシュ」を実行して問題を修正できます。

  • 解決した問題 110484:パス MTU 検出がオフになっている WAN リンクにパスが関連付けられている場合、Orchestrator の [Edge] > [監視 (Monitor)] > [パス (Paths)] ページで誤ったパスの状態が表示されることがあります。

    パスの Edge エンドポイントの [監視 (Monitor)] > [パス (Paths)] を確認すると、同じパスに対して 2 つの異なるパスの状態が表示される場合もあります。この動作は、自動検出された WAN オーバーレイに関して、パス MTU 検出リンクの設定が期待どおりに機能しなかった結果です。Edge はこれらの種類のリンクを使用する Orchestrator のリンク設定をトリガするため、この設定は通常、設定の更新機能で処理されます。ただし、更新の呼び出し中に PMTU 設定が更新されなかったために、この問題が発生しました。

    注:

    この問題の症状はこのチケットでは解決されず、上記で説明するように問題が発生する可能性があります。このチケットを含むビルドでは、エンジニアリング部門が実際の修正を提供するのに役立つログの機能強化が追加されています。

  • 解決した問題 110564:高可用性トポロジに展開されたカスタマー サイトの場合、アクティブ Edge とスタンバイ Edge 間のデータ同期に使用される TCP セッションがダウンすることがあります。その結果、拡張 HA の展開では WAN リンク トラフィックはスタンバイ Edge で転送されません。

    標準 HA または拡張 HA のいずれかの展開では、子プロセスがアクティブ Edge とスタンバイ Edge 間の TCP セッション用のポートを使用するシナリオが考えられます。このシナリオでは、バインド エラーが原因でアクティブ Edge が TCP サーバを起動できず、スタンバイ Edge のインターフェイス状態が交換されません。拡張 HA 展開の場合、トラフィックの転送に WAN リンクを使用できないという結果になります。

  • 解決した問題 111073:リリース 4.5.1 を使用する VMware SD-WAN Edge は、誤ったインターフェイス速度を SNMP に報告する場合があります。

    ifSpeed は 32 ビット値であり、Edge によってビット/秒 (bps) 単位で指定される速度の値に対応できない場合は、値を Mbps 単位で指定する ifHighSpeed を参照することをお勧めします。

  • 解決した問題 111162:Partner Gateway を使用し、高可用性で Edge を展開するカスタマー エンタープライズでは、セカンダリ Partner Gateway を経由する PG ルートが最適なルートとして選択されると、HA Edge のルーティングが最適にならない場合があります。

    HA Edge では、A-A または A-S 移行がある場合、セカンダリ Partner Gateway からの PG ルートの順序が 4 に設定され、それによって最適なルートになる場合があります。通常、プライマリ Partner Gateway ルートの順序の値の方が高くなります。

  • 解決した問題 111314:動的コスト計算が有効なカスタマー エンタープライズでは、トラフィックがドロップすることがあります。

    この問題は、Edge の 1 つが、オフラインになる前に特定ルートをエンタープライズ内のすべての Edge に広報した場合に発生する場合があります。この Edge がオフラインになると、ルートは他のすべての Edge FIB(転送情報ベース)に「到達可能性 (Reachability) = False」のまま残り、その結果としてパケット ドロップが発生します。

    この問題の修正が適用されていない Edge では、Orchestrator の [リモート アクション (Remote Actions)] メニューから Edge サービスの再起動を手動で開始することで問題を修正できます。

  • 解決した問題 111646:CPU 負荷の高い VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。

    ユーザーが Gateway で生成されたコアを参照すると、ミューテックス監視例外が発生し、「Program terminated with signal SIGXCPU, CPU time limit exceeded message」というメッセージが表示されます。この問題は、優先度の低いスレッド ロックを解放する Gateway プロセスに関連しています。

  • 解決した問題 111840:ハブとして設定された 8 台を超える VMware SD-WAN Edge を使用しているカスタマー エンタープライズの場合、最適ではないルーティングが原因でトラフィック パフォーマンスが低下する可能性があります。

    スポーク Edge が複数のハブ Edge で設定されている場合、ハブを経由するルートがブランチ間のダイレクト ルートよりも優先されるため、最適ではないルーティングが発生します。

    この問題に対する修正を行わない Edge では、ブランチからハブへのサイト リストに最初にハブ Edge を設定し、次に VPN ハブ Edge を設定します。

  • 解決した問題 111888:4 コアで展開され、2,000 を超えるトンネルが接続された VMware SD-WAN Gateway で CPU 使用率が高くなり、Gateway に接続されているトンネルが不安定になる場合があります。

    Gateway スレッドの 1 つが 4 コア Gateway で CPU キャパシティを過剰に使用しているため、安定したトンネルを維持する Gateway の機能が妨げられます。

  • 解決した問題 111924:VMware SD-WAN Edge の Gateway へのトンネルが稼動して安定しているにもかかわらず、すべてのサイトでマルチパス トラフィック(つまり、VMware SD-WAN Gateway を通過するトラフィック)がドロップされる場合があります。

    ゲートウェイが VCMP パケット(SD-WAN の管理プロトコル)を再送信できる最大回数に制限はなく、そのような再送信により低帯域幅リンクが過負荷状態になる場合があります。また、Edge に低帯域幅リンクがある場合、再送信を十分な速度でドレインできないため、これらの再送信はスケジューラ上でのパケットの蓄積を引き起こします。最終的に、スケジューラのキューがいっぱいになり、スケジューラはすべての Edge からのパケットをドロップするようになります。Gateway を使用しないダイレクト トラフィックは、この問題の影響を受けません。

    この問題の修正が適用されていない Gateway でこの問題を回避する唯一の方法は、オペレータ ユーザーが debug.py --qos_dump_net コマンドを使用してスケジューラ上でパケットの蓄積を引き起こしている Edge を特定し、影響を受ける Gateway 内でブロックすることです。

  • 解決した問題 111935:ハブとして設定された VMware SD-WAN Edge は、リモート サイトからルートを学習できない場合があります。

    2 つの Edge が互いをハブとしてポイントしている場合、一方の Edge が他方の Edge のルートを学習する可能性があります。

    この問題に対する修正を行わない Edge では、メッシュ ハブ設定を解除し、Cloud VPN のみを有効にしてすべてのハブ Edge を 1 つのプロファイルに含めることでこの問題を回避できます。

  • 解決した問題 112016:VMware SD-WAN Gateway では、Gateway の再起動が開始された後、生成されたコアで複数のデータプレーン サービス障害が発生する場合があります。

    コアを調べると、オペレータは各障害がミューテックス監視の問題によってトリガされたことを確認できます。VCMP(SD-WAN の管理プロトコル)を管理するスレッドで実行された VCMP の処理に要する時間が目立って増加しています。これにより、Gateway の起動中、VCMP スレッドが長時間(60 秒以上)100% で実行され続け、複数のミューテックス監視関連の Gateway サービス障害が発生します。

  • 解決した問題 112017:オペレータは、4 コアで展開された VMware SD-WAN Gateway の負荷が高くなり、その結果 1 つ以上のデータプレーン サービスの障害に遭遇することがあります。

     Gateway コア ログは、サービス障害をトリガするミューテックス監視を指摘します。上記の症状に対処するチケットがいくつかありますが、この場合の原因は、VCMP(管理プロトコル)スレッドが 4 コアの Gateway の CPU プロセスを最大限まで使い切り、ミューテックス監視をトリガすることにあります。このチケットにより、オペレータ ユーザーは VCMP ハーフオープン接続の制限である 20 を設定できるようになります。これは、debug.py を使用して Gateway のコマンド ライン インターフェイス (CLI) を通じて行うか、静的設定ファイルを使用して行うことができます。

  • 解決した問題 112019:VMware SD-WAN Gateway で CPU 負荷の高い状態でデータプレーン サービスの障害が発生し、リカバリのためにサービスが 再起動する場合があります。

    5.1.0.3 ロールアップ ビルドの他の Gateway サービス障害チケットと同様に、オペレータまたはパートナーは、コア ファイルでミューテックス監視トリガが発生していることを確認します。このチケットでの修正方法は、NAT デバッグ ログを NAT テーブル ロックの範囲外に移動して問題の原因の 1 つを防ぐことです。

  • 解決した問題 112020:CPU 負荷の高い 4 コアで展開された VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、その結果再起動することがあります。

    Gateway コア ファイルを参照すると、トンネル数が多いために CPU が最大キャパシティで実行され、Gateway プロセスを実行できないことが原因で、ミューテックス監視の障害が発生していることがわかります。

  • 解決した問題 112452:高可用性のために設定された VMware SD-WAN Edge の WAN インターフェイス上で L2 ループが発生している場合があります。

    インターフェイスがスイッチングからルーティングに移行すると、origmacs ファイル内の MAC アドレスに問題が発生します。インターフェイスの仮想 MAC アドレスが保存されている場合、またはファイルに保存されているインターフェイスの元の MAC アドレスがない場合、Edge は仮想 MAC アドレスを使用して WAN ハートビートを送信するため、L2 ループが検出されます。

    この問題に対する修正を行わない HA Edge の場合の回避策は、サポートに依頼して origmacs ファイルを削除し、最初にスタンバイ HA Edge、次にアクティブ HA Edge を再起動することです。

  • 解決した問題 112800:VMware SD-WAN Gateway を使用している場合、トンネルやルートの収束に時間がかかるなど、パフォーマンスが低下することがあります。

    Gateway の監視を確認すると、Gateway が古いフロー ディスパッチャのフローのフラッシュに失敗していることにより、データ プレーン コア (dp-cores) が 100% で実行されていることがわかります。

  • 解決した問題 112882:VMware SD-WAN Edge がリリース 5.1.0.3 にアップグレードされると、SNMP が Edge で動作しなくなる場合があります。

    エントリ SNMP segnat テーブルへの変更には、対応する「更新」API 呼び出しがありませんでした。これは、対応する宛先 IP アドレス/ポートがスタックする原因となっていました。

  • 解決した問題 113153:高可用性トポロジを使用して展開されたカスタマー エンタープライズの場合、スタンバイ Edge が再開または再起動されると、アクティブ ロールの VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、HA フェイルオーバーがトリガされる場合があります。

    アクティブ Edge でデータプレーン サービスの障害が発生した場合も、HA フェイルオーバーがトリガされます。この問題は、HA サイトが大量のトラフィックを転送している場合に発生する可能性があります。

  • 解決した問題 114004:Edge で SNMP が設定されている場合、VMware SD-WAN Edge でメモリ リークが発生する場合があります。

    Edge のメモリ リークは低速ですが、これが対処されない場合、メモリ使用率が重大レベルに達してしまい、その結果として Edge が防御的にサービスの再起動をトリガしてメモリをクリアします。この再起動により、Edge が回復するまでの 15 ~ 30 秒間、カスタマーのトラフィックが中断される場合があります。この問題を修正しないと、単にメモリ リークが再び発生します。

  • 解決した問題 114052:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、その結果再起動することがあります。

    この問題は、Gateway の IPsec プロセスのスレッドがタイムアウトし、Gateway サービスの障害をトリガすることが原因で発生します。

  • 解決した問題 114084:VMware SD-WAN Edge の L7 健全性チェックを使用して Zscaler タイプのクラウド セキュリティ サービス (CSS) を設定したカスタマーの場合、VMware SASE Orchestrator で Zscaler クラウド サーバを更新すると、更新された詳細が Edge に適用されません。

    Orchestrator に新しい Zscaler クラウド サーバの設定が表示されているにもかかわらず、Edge と Gateway はこの新しいサーバではなく、古い Zscaler サーバを介してトラフィックまたは L7 プローブを送信します。

  • 解決した問題 114282:4 コアで展開された VMware SD-WAN Gateway が再起動されると、接続されたカスタマー エンタープライズの約 3,000 のトンネルが収束するまでに最大 20 分かかる場合があります。

    Gateway で約 3,000 のトンネルが収束するのにかかる時間は 5 分程度と考えられていますが、この問題では 20 分もかかっています。処理速度が遅いと、トンネルが完全にリストアされるまでの間、カスタマー トラフィックが中断されることになります。収束が遅くなるのは、このチケットで修正された Security Association とキーを管理する Gateway の IPsec プロセスの設定に原因があります。

  • 解決した問題 114511:自動検出された WAN リンクの場合、[パス MTU 検出 (Path MTU Discovery)] オプションのチェックボックスをオフにする操作が機能せず、Edge は引き続き機能を実装し、MTU のサイズ変更を行います。

    設定は自動検出されたリンクの更新中に処理されますが、このパス MTU の特定の設定は、設定の更新中に処理されませんでした。

  • 解決した問題 114932:VMware SD-WAN Gateway に接続すると、トラフィックのパフォーマンスが劣化することがあります。

    トンネル数がサポートされている制限内であっても、オペレータ ユーザーの Gateway で CPU 使用率が高いことが確認されます。CPU 使用率が高くなる原因は、IKE テーブルに古い IKE SA (Security Association) が長時間保持され、トンネルの収束に時間がかかることです。そのため、Gateway を通過するカスタマー トラフィックでトラフィックのドロップが増え、パスが不安定になります。

  • 解決した問題 115078:ユーザー数が約 16,000 で、ハブ Edge のフロー作成速度が 1 秒あたり約 2,000 の大規模カスタマー エンタープライズでは、遅延が大きいためトラフィック品質が低下する可能性があります。

    多数のピアで開始されたフローが作成されると、Gateway の詳細なパケット インスペクション (DPI) エンジンがハブ Edge で過負荷状態になる場合があります。これは、ポート キャッシュに、これらのピア フローの宛先 IP アドレスとポート番号ではなく送信元 IP アドレスとポート番号が入力されていることが原因です。

  • 解決した問題 115132:Edge リリース 5.1.0.2 を使用する VMware SD-WAN Edge の場合、ユーザーがリモート診断「NAT テーブルのダンプ (NAT Table Dump)」を実行すると、結果が空の値になる場合があります。

    この問題により、ユーザーは 5.1.0.2 リリースを使用して Edge で NAT の問題をデバッグできなくなります。以前のリリースを使用している Edge は期待どおりに動作します。

  • 解決した問題 115692:オペレータは、メモリの枯渇とメモリをクリアするための防御的なサービスの再起動を引き起こす可能性のある、VMware SD-WAN Gateway でのメモリ使用量の増大に遭遇することがあります。

    この場合、ピア サイトの証明書を更新している Gateway から IKE メモリ リークが発生しています。

    この問題の修正を行わない場合、オペレータができる対応は、Gateway のメモリ使用量を監視すること、および Gateway を使用するカスタマー サイトの中断を最小限にするためにメンテナンス期間中に Gateway をプロアクティブに再起動することに限られます。

  • 解決した問題 116086:5.0.x または 5.1.x バージョン(アクティベーション前またはアクティベーション後の工場出荷時のイメージ)を使用する VMware SD-WAN Edge の場合、ローカル ユーザー インターフェイスを使用するときに、VLAN ID を使用してルーティング インターフェイスを設定するオプションが存在しません。

    この問題により、Edge が 5.0.x または 5.1.x 工場出荷時のイメージを使用している場合、または Edge がアクティベーションされ、5.0.x または 5.1.x トレイン内の Edge リリースを使用している場合、ユーザーは、Edge をアクティベーションする前にルーティング インターフェイスで VLAN を設定できなくなります。5.2.0 以降の工場出荷時のイメージにのみ、アクティベーションの前にこの修正が適用されます。

  • 解決した問題 116182:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、その結果として再起動することがあります。

    この問題は、接続された SD-WAN Edge が Gateway 経由の Non SD-WAN Destination (NSD) 宛ての IPv6 または IPv4/IPv6 混合モードのいずれかを使用するインターネット バックホール ポリシーで設定されている、Gateway で発生します。このシナリオでは、IPv4 を使用する NSD 宛ての IPv6 パケットを Gateway が受信することにより、Gateway サービスの失敗がトリガされます。

  • 解決した問題 116589:VMware SD-WAN Edge がリリース 3.x からリリース 4.x 以降にアップグレードされると、設定されたアドレス グループが解析されない場合があります。

    リリース 3.x には、isakmpLifeMins および ipsecLifeMins の設定はありません。そのため、Orchestrator が 3.x を実行している場合、isakmpLifeMins と ipsecLifeMins を含まない Edge プロパティ設定ファイルが送信されます。

    Orchestrator が 4.x 以降にアップグレードされると、フィールド isakmpLifeMins と ipsecLifeMins が追加されますが、この設定は Edge 3.x Edge にプッシュされません。Edge も 3.x から 4.x 以降にアップグレードされると、Edge は直近の正常な設定(isakmpLifeMins と ipsecLifeMins を含まない設定)を使用して起動します。

    Edge が起動すると、必須パラメータである isakmpLifeMins と ipsecLifeMins が存在しないことを認識し、Edge プロパティ設定ファイルの処理は停止します。つまり、この特定の設定の後は、アドレス グループなど、これらのファイル内の他の設定は一切処理されません。その結果、アドレス グループの設定は存在しません。

  • 解決した問題 116641:VMware SD-WAN Edge ログには、ルートのルックアップの失敗ログがエラー理由「なし (None)」で含まれています。

    トラフィックに障害が発生すると、エラー理由「なし (None)」でルートのルックアップの失敗ログが表示されることがありますが、これは問題のトラブルシューティングには価値がありません。この修正により、ユーザーが問題のトラブルシューティングを行う際に役立つ実際の理由が提供されます。

    たとえば、以前は失敗ログが次のようになっていました。

    20:40:41.796089,856|7|6825/10072|edged_ipv4_route_lookup_vcmp_transit:6880 Route lookup failure for tuple src_ip=10.0.1.25 dst_ip=169.254.6.18 segment_id=0 lookup failed due to [None]

    リリース 4.5.2 では、次のようになります(太字部分が変更された箇所)。

    04:07:35.464563,968|7|9720/1917413|edged_ipv4_route_lookup_vcmp_transit:6958 Route lookup failure for tuple src_ip=10.0.1.25 dst_ip=169.254.6.18 segment_id=0 sroute=(nil) droute=(nil) lookup failed due to [No src and dst route]

Orchestrator で解決した問題

Orchestrator バージョン R5204-20230831-GA で解決した問題

Orchestrator ビルド R5204-20230831-GA は 2023 年 9 月 1 日にリリースされた、リリース 5.2.0 の 4 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、3 番目の Orchestrator ロールアップ、R5203-20230809-GA 以降の以下の重大な問題に対処します。

  • ユーザー インターフェイス ビルド R5204-20231201-GA は 2023 年 12 月 4 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 12 番目のユーザー インターフェイス ビルドです。 

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #126695

    ユーザー インターフェイスの [SD-WAN] > [設定 (Settings)] > [アラート (Alerts)] > [Webhook (Webhooks)] ページで、ユーザーがアラート用 Webhook を設定している場合、[ペイロード テンプレートの設定 (Configure Payload Template)] ボタンをクリックしてもメニューが表示されません。

    解決した問題 #128921

    パートナーまたはエンタープライズ スーパー ユーザーが [SD-WAN] > [エンタープライズ (Enterprise)] > [サービス設定 (Service Settings)] ページに移動すると、Edge ライセンスを表示するオプションが表示されません。

    解決した問題 #131224

    ユーザー インターフェイスの [設定 (Configure)] > [デバイス (Device)] > [VPN サービス (VPN Services)] ページで、[Zscaler] サービスを設定すると、サブロケーション名「その他 (Other)」が編集可能になり、Orchestrator で設定が無効とマークされ、「Zscaler サブロケーションに 0 という名前を付けることはできません (Zscaler sublocations cannot be named as 0)」および「変更を保存できません。設定に 1 つ以上のエラーがあります (Cannot save changes. There is one or more errors within your configuration)」というエラー メッセージが表示されます。「その他 (Other)」サブロケーションは編集しないでください。この問題は、Zscaler サービスを無効にしてから再度有効した場合にのみ発生します。

    解決した問題 #131631

    [監視 (Monitor)] > [Edge] > [宛先 (Destination)] ページでは、ユーザー インターフェイスにオプションが表示されないため [アプリケーション (Applications)] 別にフィルタリングできません。

    解決した問題 #132047

    ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページでユーザーが VLAN DHCP オプション 2([時間オフセット (Time Offset)])を選択したときに、整数であっても負の値を入力できません。想定される動作は、ユーザー インターフェイスで正と負の両方の整数を許可することです。

    解決した問題 #132384

    プロファイル レベルで VLAN の設定を変更した後、設定で Edge 固有のルールを使用すると、そのプロファイルを使用する Edge の DHCP または OSPF に関連するすべてのデータが失われます。

    解決した問題 #133008

    ユーザー インターフェイスの [監視 (Monitor)] > [ネットワークの概要 (Network Overview)] ページでEdge がリンク状態別([リンク ダウン (Links down)]、[リンクが安定 (Links stable)]、[リンクの劣化 (Links degraded)] など)に並べ替えられている場合に、[自動更新 (Auto-Refresh)] オプションが機能せず、すべての監視情報がユーザー インターフェイスに表示されなくなります。

  • ユーザー インターフェイス ビルド R5204-20231121-GA は 2023 年 11 月 22 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 11 番目のユーザー インターフェイス ビルドです。

     次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #128017

    [設定 (Configure)] > [Edge] > [デバイス (Device)] ページに移動しても、ページが読み込まれないことがあります。これは、ユーザー インターフェイスが誤って Orchestrator データベースから Edge 設定の参照を削除したためです。これらの参照を削除すると、リストアできなくなります。

    解決した問題 #129695

    パートナー ユーザーが WLAN インターフェイスで Edge の Wi-Fi パスワードを変更し、変更を保存すると、オペレータ ユーザーが同じ Edge の WLAN インターフェイスを確認したときに古い Wi-Fi パスワードが表示されます。

    解決した問題 #130810

    BGP フィルタ ルールを、これらのルールのリストの先頭あるいはルールとルールの間に挿入することはできません。BGP フィルタ ルールは、リストの最後にのみ追加できます。

    解決した問題 #131138

    ユーザー インターフェイスの [設定 (Configure)] > [デバイス (Device)] > [VPN] > [クラウド VPN (Cloud VPN)] ページで、ハブが設定されていない場合は、[ブランチから VPN ハブ (Branch to VPN Hubs)] オプションへの変更を保存できます。これにより、設定ファイルが破損しているため、ユーザー インターフェイスですべてのクラウド VPN 設定が削除されます。

    解決した問題 #132524

    ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] > [スタティック ルート設定 (Static Route Settings)] ページでスタティック ルートのネクスト ホップ IP アドレスが VLAN ネットワークの同じサブネット内にある Edge にスタティック ルートを追加すると、ローカル ルートの [インターフェイス (Interface)] 設定が [該当なし (N/A)] に変更されるはずですが、ユーザー インターフェイスに Edge インターフェイスが表示されます。

  • ユーザー インターフェイス ビルド R5204-20231115-GA は 2023 年 11 月 16 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 10 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #123078

    [監視 (Monitor)] > [Edge] > [概要 (Overview)] ページに移動すると、[デバイス シリアル番号 (Device Serial Number)] 列に情報が入力されないため、列が適切に整列されず、読みやすさの問題が発生します。

    解決した問題 #123718

    ユーザーが Orchestrator ユーザー インターフェイスでビジネス ポリシー ルールを編集するときに、ユーザー インターフェイスの [VLAN] オプションがテキスト ボックス入力ではなく VLAN インターフェイスのドロップダウン リストであるため、ユーザーはビジネス ポリシーのカスタム VLAN ID を入力できません。

    解決した問題 #128330

    Gateway 経由の Non SD-WAN Destination (NSD) ネットワーク サービスを使用しているエンタープライズの場合、ユーザー インターフェイスは、グローバル セグメントに関連付けられているビジネス ポリシー ルールを含むプロファイルから Gateway 経由の NSD を削除することを許可します。その結果、ビジネス ポリシー ルールが無効になり、そのルールに一致するトラフィックは期待どおりにステアリングされません。

    解決した問題 #128765

    [BGP フィルタ (BGP Filters)] ページで、ユーザーがページを変更すると [送信 (Submit)] ボタンにアクセスできなくなることがあります。ユーザーが [BGP フィルタ (BGP Filters)] テーブルを編集し、現在のページに無効な設定状態がある間に別のページに移動すると、ユーザーがその行の正しい情報を入力した場合でも、戻った後もユーザー インターフェイス コントロールは灰色で表示され、アクセスできなくなります。この問題の修正が適用されていない Orchestrator では、ユーザーは [BGP フィルタ (BGP Filters)] テーブルのページを表示し、すべての設定が正しいことを確認してから移動するか、無効な行を削除して後で再度追加する必要があります。

    解決した問題 #130877

    ユーザーが Orchestrator ユーザー インターフェイスを使用して Edge にスタティック ルートを追加すると、その Edge のクライアント ユーザーは、一部のローカル ルートでトラフィックが失敗することを確認できます。ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] > [スタティック ルート設定 (Static Route Settings)] で、スタティック ルートのネクスト ホップ IP アドレスが VLAN ネットワークの同じサブネット内にある場合、[ローカル ルート (Local Routes)] のインターフェイス設定が [N/A] に変更され、編集できません。インターフェイスが設定されていないと、これらのルートにアクセスできなくなります。

  • ユーザー インターフェイス ビルド R5204-20231109-GA は 2023 年 11 月 10 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 9 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #123387

    ユーザーは、既存の IP アドレスを持つ Zscaler タイプの Gateway 経由の Non SD-WAN Destination (NSD) を追加できません。Orchestrator の検証により、別の Gateway 経由の NSD ですでに使用されているプライマリまたはセカンダリ IP アドレスを持つ Zscaler を追加できなくなります。

    注:

    このチケットは、ユーザー インターフェイス ビルド R5204-20231013-0631-GA で修正済みとしてリストされていましたが、修正は不完全であり、この問題はこのユーザー インターフェイス ビルドでのみ完全に解決されています。

    解決した問題 #123640

    ユーザーが Edge のスタティック ルートを設定し、[スタティック ルート (Static Routes)] セクションの [追加 (Add)] ボタンをクリックすると、新しい空の行がテーブルに追加されるが、ユーザー インターフェイスの画面下部に「変更を保存できません (Cannot save changes)」というエラー メッセージが表示されます。

    解決した問題 #127727

    新しいクラウド セキュリティ サービス (CSS) を作成するときに、ユーザーが [ドメスティック プリファレンス (Domestic Preference)] チェック ボックスを有効にして設定を保存すると、Orchestrator は認証情報を検証し、「変更が正常に保存されました! (Changes saved successfully!)」というメッセージを表示します。ただし、保存後 CSS プロファイルを再度開くと、[ドメスティック プリファレンス (Domestic Preference)] チェック ボックスが選択されていません

    解決した問題 #129584

    [設定 (Configure)] > [Edge (Edges)] > [ビジネス ポリシー (Business Policy)] ページで、ユーザーが既存のビジネス ポリシー ルールを編集しても、ユーザー インターフェイスは変更を保存した後も [宛先 (Destination)] フィールドの再設定された値を更新しません。たとえば、[宛先 (Destination)][IP アドレス (IP Address)] に設定されている既存のビジネス ポリシー ルールの場合、ユーザーが [宛先 (Destination)] の値を [任意 (Any)] に変更し、変更を保存すると、ルールの [宛先 (Destination)] フィールドに加えられた変更がユーザー インターフェイスに反映されません。ルールに [任意 (Any)] ではなく [IP アドレス (IP Address)] に設定された [宛先 (Destination)] フィールドが引き続き表示されます。

    解決した問題 #130153

    サポート ロールを持つエンタープライズ ユーザーの場合、[監視 (Monitor)] > [Edge (Edges)] > [Edge の選択 (Select Edge)] > [ショートカット (Shortcuts)] > [リモート アクション (Remote Actions)] メニューで [サービスの再起動 (Restart Service)] オプションを使用できません。これにより、ユーザーは [監視 (Monitor)] > [Edge (Edges)] ページの [ショートカット (Shortcuts)] メニューから Edge サービスを再起動できません。

  • ユーザー インターフェイス ビルド R5204-20231101-GA は 2023 年 11 月 2 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 8 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #123001

    高可用性 (HA) を有効にして設定を保存した後、ユーザーが VMware SD-WAN Edge の VNF 設定を試みると、[セキュリティ VNF の設定 (Configure Security VNF)] ウィンドウには、プライマリ仮想マシン (VM-1) のフィールドのみが表示され、セカンダリ仮想マシン (VM-2) のフィールドは表示されません。そのため、ユーザーは VNF 設定ウィンドウを手動で更新して、セカンダリ IP アドレスを VNF 設定に追加する必要があります。

    解決した問題 #127904

    ユーザーがスタティック ルートと ICMP プローブを同じ行に作成すると、ユーザー インターフェイスは、ネクスト ホップの IP アドレスと送信元 IP アドレスの値を、空の文字列ではなく null として Edge に送信するため、Edge は ICMP プローブをインストールせず、解析エラーを表示します。

    解決した問題 #128753

    カスタマーがアドレス指定に DHCP を使用するサブインターフェイスを設定し、ユーザー定義の WAN オーバーレイを作成すると、ユーザーは送信元 IP アドレスとネクストホップの IP アドレスを設定せずに設定を保存できません。

    解決した問題 #129061

    [カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [追加の設定 (Additional Configuration)] > [Gateway プール (Gateway Pool)] 画面で [パートナー ハンドオフ (Partner Hand off)] が有効化されているカスタマーの場合、Gateway の [ハンドオフ インターフェイス (Hand Off Interface)][IPv6] セクションで、[プライベート トンネルに使用 (Use for Private Tunnels)] および [BGP 経由のローカル IP アドレスの広報 (Advertise Local IP Address via BGP)] チェック ボックスをクリックできません。これにより、ユーザーはハンドオフ インターフェイスの IPv6 プライベート トンネルを無効にできなくなります。

    解決した問題 #129494

    [カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [サービス設定 (Service Configuration)] > [SD-WAN] ページで、ユーザーがサービス設定を編集するときに、シングル サインオン (SSO) 認証または Edge Network Intelligence (ENI) がカスタマー向けに設定されていない場合でも、毎回ドメイン名を追加する必要があります。

    解決した問題 #129765

    VMware SD-WAN Edge のルーティング インターフェイスを編集するときに、ユーザー インターフェイスで dhcpServer.options のデフォルト値が誤って入力されます。たとえば、ユーザーが「GE3」ルーティング インターフェイスを編集してデバイス設定データを保存すると、「dhcpServer」の下の「options」フィールドの値が空の配列ではなく null として送信されます。

    解決した問題 #129894

    オペレータ ポータルで、[Gateway 管理 (Gateway Management)] > [Gateway (Gateways)] > [概要 (Overview)] > [カスタマー使用状況 (Customer Usage)] 画面を確認すると、一部の Edge クライアント トンネルの詳細が見つからないことがあります。この問題は、Edge 名、Gateway プール名、および Gateway タイプが同じ場合に発生する可能性があります。

  • ユーザー インターフェイス ビルド R5204-20231027-GA は 2023 年 10 月 27 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 7 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #125964

    Gateway 経由の Non SD-WAN Destination (NSD) を展開しているカスタマーの場合、[設定 (Configure)] > [ネットワーク サービス (Network Services)] > [Gateway 経由の NSD (NSD via Gateway)] > [汎用 IKEv2 (Generic IKEv2)] ページに移動し、カスタム サイト サブネットを追加した後に [保存 (Save)] をクリックすると、NSD 設定の変更が保存されません。この問題は、[プライマリ VPN Gateway (Primary VPN Gateway)] セクションのフィールド([IKE SA の有効期間 (分) (IKE SA Lifetime (min))] および [IPsec SA の有効期間 (分) (IPsec SA Lifetime(min))])が無効であるために発生します。

    解決した問題 #126602

    カスタマーは、既存のパートナー設定の Gateway プールに Gateway プールを追加できません。既存の管理対象プール ID がユーザー インターフェイスによって削除されないため、パートナー設定の Gateway プールに管理対象プールがある場合、追加しようとするとエラーが返されます。

    解決した問題 #127904

    ユーザーがスタティック ルートを作成し、このルートに ICMP プローブを追加すると、Edge は ICMP プローブをインストールせず、解析エラーを表示します。この問題は、Orchestrator から Edge に、ネクスト ホップの IP アドレスと送信元 IP アドレスの値を空の文字列ではなく null として送信することが原因で発生します。

    解決した問題 #128279

    [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] > [ルートのリスト (Routes List)] ページには、最大 256 個のルートが表示され、クリックしてルートの追加ページに移動するオプションがありません。256 ルートというハード制限があり、ページネーションがないということは、256 のハード制限をはるかに超える多数のルートを含む大規模企業のカスタマーに影響します。

    解決した問題 #128357

    ルーティングに OSPFv2 または OSPFv3 を使用し、[デフォルト ルート (Default Route)] リストから [OE1] を選択するカスタマー エンタープライズでは、[広報 (Advertise)] リストに無効なオプション [なし (None)] が表示されます。[広報 (Advertise)] の有効なオプションは、[常時 (Always)][条件付き (Conditional)] のみです。

    解決した問題 #129413

    ユーザーが Edge レベルで VLAN を設定していて、デフォルトの DHCP 開始アドレスを変更して変更を保存しようとすると、DHCP 開始アドレスは上書きされず、Orchestrator ユーザー インターフェイスによって VLAN の古いアドレスが再び入力されます。

    解決した問題 #129926

    ユーザーがシリアル番号のない Edge をプロビジョニングすると、Edge のアクティベーションに失敗します。

  • ユーザー インターフェイス ビルド R5204-20231019-GA は 2023 年 10 月 20 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 6 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #127021

    Edge 経由の Non SD-WAN Destination を自動化 API を使用して設定すると、自動化スクリプトでデータ破損の問題が発生するため、この設定はユーザー インターフェイスに表示されません。

    解決した問題 #128706

    [監視 (Monitor)] > [Edge (Edges)] > [システム (System)] ページで、ユーザーがチャートにズームインしようとすると、黒いトレースのみが表示され、ズームは実行されません。チャートはページ上部の時間範囲セレクタに対して引き続き応答するため、回避策として使用できます。

    解決した問題 #129049

    [Edge 固有のルール (Edge Override)] がオフの場合、Edge 設定の VLAN 広報オプションは、プロファイル設定からプッシュされた広報値を使用しません。VLAN 広報オプションがプロファイル レベルで「false」に設定されている場合でも、上書きオプションがオフの場合、Edge 広報オプションはプロファイル広報値を使用しません。

    解決した問題 #129271

    システム プロパティvco.enterprise.authentication.passwordPolicy にパラメータ disallowUsernameCharacters = 3 を使用すると、期待どおりに動作しません。たとえば、ユーザー名が [email protected] の場合、ユーザー インターフェイスはサブストリング(visish...t.c.co、com)を確認しますが、これらはすべて想定どおりです。問題は、ユーザー インターフェイスが omm もチェックすることです。その結果、ユーザー インターフェイスでは有効なはずのパスワードに対してエラーがスローされます。回避策として、disallowUsernameCharacters をデフォルト値 (-1) に戻します。

    解決した問題 #129560

    [サービス設定 (Service Settings)] > [アラートと通知 (Alerts & Notification)] ページで、パートナー ユーザーとエンタープライズ ユーザーは [エンタープライズ アラートの有効化 (Enable Enterprise Alerts)] 設定を変更できません。

  • ユーザー インターフェイス ビルド R5204-20231013-0631-GA は 2023 年 10 月 13 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 5 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #120419

    ユーザーは、最初に Edge 固有のルールを確認してから、プロファイルによって割り当てられたアドレスの数を変更しないと、Edge レベルで VLAN の DHCP 開始アドレスを設定することはできません。

    解決した問題 #127035

    [設定 (Configure)] > [Edge] > [デバイス (Device)] > [高可用性 (High Availability)] で、[クラスタ (Cluster)] を作成して変更を保存した後、クラスタが正常に作成された場合でも、ユーザー インターフェイス ページには引き続きデフォルト値の [なし (None)] が表示されます。これは表示上の問題であり、ユーザー インターフェイス ページを更新すると正しい設定が表示されます。

    解決した問題 #127636

    ユーザー インターフェイスの [監視 (Monitor)] > [Edge] > [送信元 (Sources)] ページで、新しいユーザー インターフェイスを使用すると、FQDN による送信元の検索が期待どおりに動作せず、標準の方法を使用して送信元を見つけることができません。これには、部分的な文字列で検索するオプションを使用できないことも含まれます。

    解決した問題 #127774

    [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [ループバック インターフェイス (Loopback Interfaces)] で、ユーザーが Edge のループバック インターフェイスを設定して変更を保存すると、設定は適用されず、ユーザー インターフェイス ページに表示されません。また、ユーザー インターフェイスにはこの失敗のエラーが表示されず、設定変更の成功についてユーザーに誤解を与えます。

    解決した問題 #128371

    Edge 経由の Non SD-WAN Destination またはクラウド セキュリティ サービス(Zscaler など)がプロファイル レベルで無効になっている場合、Orchestrator は、ユーザーが Edge レベルのビジネス ポリシーを修正できるように、NSD/CSS に関連付けられたビジネス ポリシーがあることを警告する必要があります。しかし、ユーザーが Edge レベルに移動してルールを編集すると、[Edge 経由の Non SD-WAN Destination (Non SD-WAN Destination via Edge)]/[クラウド セキュリティ サービス (Cloud Security Service)] フィールドが空になります。

    解決した問題 #128620

    [設定 (Configure)] > [デバイス (Device)] > [VPN サービス (VPN Services)] を見ると、ブランチ Edge がハブに接続している場合でも([監視 (Monitor)] > [パス (Paths)] で確認可能)、新しいユーザー インターフェイスのクラウド VPN の設定画面の [プロファイル (Profiles )] と [Edge Edges)] の両方で、接続されたハブが表示されません。

    解決した問題 #129253

    [サービス設定 (Service Settings)] > [アラートと通知 (Alerts & Notifications)] > [アラート (Alerts)] > [通知 (Notifications)] で、スライダ ボタンが灰色表示になっているため、通知方法として SMS を無効にすることができません。

  • ユーザー インターフェイス ビルド R5204-20231003-GA は 2023 年 10 月 4 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 4 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #117923

    ユーザーが Edge をプロビジョニングして [説明 (Description)] フィールドにテキストを入力すると、Orchestrator ユーザー インターフェイスはこれを [カスタム情報 (Custom Info)] フィールドに保存します。この新しくプロビジョニングされた Edge を確認すると、[説明 (Description)] フィールドが空として表示されます。

    解決した問題 #123070

    ハブ/スポーク トポロジを持つカスタマー エンタープライズの場合、[インターネット バックホール (Internet Backhaul)] が選択されているビジネス ポリシーを設定するときに、バックホール ハブを選択するオプションがないため、そのルールに対してバックホールが機能しません。

    解決した問題 #127037

    ユーザーが [監視 (Monitor)] > [Edge] > [送信元 (Sources)] タブに移動すると、クライアントのホスト名を変更できません。[編集 (Edit)] アイコンをクリックし、[ホスト名の変更 (Change Hostname)] ボックスを開いたときに、クライアントのホスト名を変更するオプションが表示されます。[ホスト名の変更 (Change Hostname)] フィールドにテキストを入力できますが、[変更の保存 (Save Changes)] をクリックしても、新しいホスト名は適用されません。

    解決した問題 #128628

    [カスタマーの管理 (Manage Customers)] ページで CSV のダウンロードのエクスポートが機能せず、API を使用して情報をダウンロードし、CSV 形式に変換する以外に、この情報を取得する方法がありません。

    解決した問題 #128667

    Orchestrator のカスタマーの数が多い場合、またはパートナーの下に多数のカスタマーが存在する場合、[カスタマーの管理 (Manage Customers)] または [パートナー カスタマーの管理 (Manage Partner Customers)] ページのロードに最大 1 分かかることがあります。

  • ユーザー インターフェイス ビルド R5204-20230927-GA は 2023 年 9 月 28 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 3 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #126967

    OSPF がプロファイルで有効になると、ルーティング インターフェイスの [OSPF の詳細 (OSPF Advanced)] 設定の [インバウンド ルートの学習 (Inbound Route Learning)] および [ルートの広報 (Route Advertisement)] にアクセスできなくなり、必要な詳細を入力するフィールドが表示されなくなります。

    解決した問題 #127006

    サポート ロールを持つオペレータ ユーザーが [SD-WAN] > [ネットワーク サービス (Network Services)] ページに移動し、[Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destination via Gateway)] をクリックすると、[+新規 (+NEW)] をクリックして新しい NSD を作成および設定できます。サポート ロールのオペレータには、[ネットワーク サービス (Network Services)] ページで読み取り専用の権限が与えられ、新しい Gateway 経由の NSD を作成できないはずです。

    解決した問題 #127843

    イタリア語にローカライズすると、ユーザー インターフェイスが正しく表示されず、一部のナビゲーション タブが互いに重複します。

    解決した問題 #127849

    [Edge] > [設定 (Configuration)] > [概要 (Overview)] 画面で [証明書の表示 (View Certificate)] ボタンは灰色で表示され、クリックできないため、ユーザーは Edge 証明書を表示できません。ユーザー インターフェイスを修正しない場合、ユーザーは [設定 (Configuration)] タブの Edge リストに移動し、目的の Edge を検索して Edge 証明書を表示できます。

    解決した問題 #127871

    [ネットワークの概要 (Network Overview)] ページが自動的に更新されず、自動更新を有効にするオプションも表示されません。その結果、ユーザーは最新のデータを表示するためにページを手動で更新する必要があります。

    解決した問題 #128277

    パートナーまたはエンタープライズのネイティブ ユーザー(ユーザー名とパスワードを使用して Orchestrator にログインするユーザー)が期限切れのパスワードでログインしようとすると、ユーザー インターフェイスがループに入り、空白の画面が表示されます。

  • ユーザー インターフェイス ビルド R5204-20230920-GA は 2023 年 9 月 21 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 2 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #106191

    Edge インターフェイスがプロファイル レベルで静的 IP アドレスを使用して設定されている場合、ユーザーは Edge への追加の変更を実行できません

    解決した問題 #113254

    権限の制約により、パートナー ユーザーはカスタマーのソフトウェア イメージを変更できません。

    解決した問題 #117941

    VLAN の [広報 (Advertise)] チェックボックスは常にオフの状態で表示されます。チェックボックスをオンにしてから変更を保存した後でも、Angular ユーザー インターフェイスの VLAN の [広報 (Advertise)] チェックボックスはオフの状態に戻ります。

    解決した問題 #117993

    管理者がエンタープライズ ユーザーまたはパートナー ユーザーのパスワードをリセットしようとすると、要求が失敗し、「ユーザーにはアクセスするために必要な権限がありません (user does not have privileges required to access)」というエラーが表示されます。

    解決した問題 #121469

    [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] ページで、ユーザーがロック解除されていてログインできる状態でも、[ユーザー概要 (User Overview)] ページに常にロック アラートのバナーが表示されます。

    解決した問題 #126503

    任意のタイプの Gateway 経由の Non SD-WAN Destination (NSD) を使用しているエンタープライズの場合、ユーザーが NSD の PSK 値を編集して保存すると、Orchestrator ユーザー インターフェイスは変更を無視して元のデフォルト値に戻します。

    解決した問題 #126257

    極端に大きな値が多数ある場合、[監視 (Monitor)] > [Edge] > [リンク (Links)] ページの上位の値がユーザーに表示されません。これは、チャートの高さが以前に小さい値を使用して合計されたため、チャートが不正確になり、スケールに合わせることができないことが原因です。

  • ユーザー インターフェイス ビルド R5204-20230914-GA は 2023 年 9 月 15 日にリリースされた、Orchestrator リリース 5.2.0.4 に追加された 1 番目のユーザー インターフェイス ビルドです。

    次の表に、このユーザー インターフェイス ビルドのすべての修正と、各問題の症状の説明を示します。

    チケット

    症状/説明

    解決した問題 #108125

    [監視 (Monitor)] > [Edge] > [アプリケーション (Application)] ページで、ユーザーがチャート上のポイントをクリックして詳細を取得し、チャートをもう一度クリックすると、詳細ウィンドウが正しく開かず、機能的に使用することができません。

    解決した問題 #122918

    ブランチからハブへのトポロジを使用しているエンタープライズの場合、ユーザー インターフェイスの [設定 (Configure)] > [デバイス (Device)] > [VPN サービス (VPN Services)] > [クラウド VPN (Cloud VPN)] セクションに移動し、[ブランチからハブ サイト (Branch to Hub Site)] または [ブランチ間 VPN (Branch to Branch VPN)] 設定のいずれかを変更しようとすると、ハブが使用中であることが示されてユーザーはブロックされます。この問題は、他のサービスがビジネス ポリシーで使用されていて、ユーザー インターフェイスがバックホールの使用量を計算するときにそれらを誤って考慮し、変更をブロックするために発生する可能性があります。

    解決した問題 #123619

    Orchestrator がインターネットにアクセスできない場合(たとえばオンプレミスの場合)、[監視 (Monitor)] > [Edge] > [概要 (Overview)] ページは空で、情報は表示されません。

    解決した問題 #123927

    VLAN に OSPF が設定されている場合、パッシブ OSPF モードが唯一のサポートされたモードでも、ユーザーは Edge の [パッシブ インターフェイス (Passive Interface)] VLAN 設定を無効にできます。

    解決した問題 #124801

    オペレータ ユーザーがシステム プロパティ「Session.options.enableEdgeLicensing」を「False」に設定した場合でも、ユーザーは最初に Edge ライセンスを選択して Edge を作成する必要があります。このシステム プロパティを「False」に設定すると、パートナー制御の Orchestrator は、Edge プロビジョニング プロセスに Edge ライセンスを必要としない場合に、Edge ライセンスの手順をバイパスできます。ただし、この問題が発生すると、ユーザーはライセンスを選択する必要があります。

    解決した問題 #125309

    ユーザーが [設定 (Configure)] > [デバイス (Device)] > [IPv6 設定 (IPv6 Settings)] で Edge レベルで IPv6 を無効にしても、IPv6 の OSPF オプションの編集、有効化、保存を実行できます。

    解決した問題 #125393

    プロファイル レベルで [設定 (Configure)] > [デバイス (Device)] > [VLAN] テーブルを確認すると、OSPF 列が表示されません。

    解決した問題 #125710

    ブランチからハブへのトポロジを使用しているエンタープライズの場合、クラウド VPN で使用されている Edge がエンタープライズから削除されると、ユーザーは後でブランチ間 VPN で使用されているハブ Edge を削除できなくなり、デバイス設定の編集がブロックされます。

    解決した問題 #126403

    5.2.0.4 ソフトウェア イメージの問題が原因で、ユーザー インターフェイスで [パートナーの概要 (Partner Overview)] ページのロードに失敗することがあります。

    解決した問題 #127007

    ハブ/スポーク トポロジを使用しているエンタープライズの場合、ユーザーがプロファイルの [設定 (Configure)] > [デバイス (Device)] ページの設定を変更すると、ハブの順序が自動的にデフォルトに変更され、このプロファイルを使用しているすべての Edge に影響します。

  • 解決した問題 65668:Cloud Web Security サービスにサブスクライブしているカスタマーは、[Gateway の割り当て (Gateway Assignment)] ページを表示しても、どの VMware SD-WAN Gateway が Cloud Web Security トラフィックを管理するために割り当てられているかを確認できません。

    カスタマーは、Cloud Web Security を処理する Gateway(SASE PoP とも呼ばれる)のプライマリ割り当てとセカンダリ割り当てが何であるかを確認する必要があります。

  • 解決した問題 104775:ユーザーが VMware SD-WAN Edge で以前アクティブだった WAN リンクをバックアップとして設定すると、VMware SASE Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge (Edges)] > [概要 (Overview)] に状態が正しく表示されません。

    バックアップ リンクの状態には、灰色の状態ドットで「スタンバイ (Standby)」および「アイドル (Idle)」と表示されるはずですが、リンクの状態にはリンク タイプまたはバックアップ状態が表示されません。WAN リンクがバックアップとしての役割を果たしているため、これは表示上の問題です。

  • 解決した問題 118728:パートナー ポータルまたはカスタマー エンタープライズでは、一部のユーザーが VMware SASE Orchestrator へのログインを許可されない場合があります。

    ユーザーがログインするための適切な権限を持っていても、「ユーザーに [enterpriseProxy/getEnterpriseProxy] にアクセスするために必要な権限 [READ:PROXY] がありません (user does not have privilege [READ:PROXY] required to access [enterpriseProxy/getEnterpriseProxy])」というエラーが表示されることがあります。これは、ネイティブ認証と 2 要素認証に当てはまります。このエラーは実際にはパスワードの期限切れが原因ですが、Orchestrator はこれがログインできない本当の理由であることをユーザーに知らせず、ユーザーはログインできないためパスワードをリセットできません。

    この問題が修正されていない Orchestrator では、適切なロールを持つパートナーまたはカスタマー管理者が、影響を受けるユーザーにパスワード リセットの E メールを送信してパスワードをリセットできます。

  • 解決した問題 120398:パートナー ユーザーは、管理しているカスタマー エンタープライズの新しい設定プロファイルを作成できません。

     パートナー ユーザーがカスタマーの設定プロファイルを作成しようとすると、Orchestrator は、「オペレータ プロファイルのプロキシ エンタープライズ コンテキストが無効です (invalid proxy enterprise context for operator profile)」というエラーをスローします。この問題は、設定権限を持つパートナー ロールで発生します。

  • 解決した問題 121118:エンタープライズ ユーザーには、VMware SASE Orchestrator で診断バンドルを生成するオプションや、パケット キャプチャを生成してダウンロードするオプションがありません。

    これは、すべてのエンタープライズ ユーザー ロール(スーパー ユーザーを含む)に当てはまります。エンタープライズ ユーザーには [SD-WAN] > [診断 (Diagnostics)] で次のオプションが表示されることが想定されます。

    1. 診断バンドルを生成する(ただしダウンロードはしない)。

    2. パケット キャプチャを生成してダウンロードする。

    しかし、表示されるオプションは [リモート診断 (Remote Diagnostics)][リモート アクション (Remote Actions)] のみです。

    この問題に対する修正を行わない Orchestrator ビルドでこの問題が発生した場合は、SD-WAN サポートに問い合わせて、診断バンドルの生成を依頼します。

  • 解決した問題 121526:エンタープライズ読み取り専用ロールを持つユーザーは、VMware SASE Orchestrator ユーザー インターフェイスで [監視 (Monitor)] > [Edge (Edges)] で QoE グラフを表示することはできません。

    QoE グラフを表示しようとすると、「ユーザーに [event/getEnterpriseEventsList] にアクセスするために必要な権限 [READ:ENTERPRISE_EVENT] がありません (user does not have privilege [READ:ENTERPRISE_EVENT] required to access [event/getEnterpriseEventsList])」というエラー バナーが表示されます。

  • 解決した問題 122113:ユーザーは、VMware SASE Orchestrator ユーザー インターフェイスの [イベント (Events)] ページでイベント「DNS_CACHE_LIMIT_REACHED」を検索できません。

    このイベントは、トリガされるとカスタマー エンタープライズの [監視 (Monitor)] > [イベント (Events)] ページに投稿されますが、検索機能を使用しようとしたときに検索可能な値として表示されません。その結果、ユーザーは、このイベントが一定期間に投稿された回数を確認できません。

  • 解決した問題 123002:接続が途中で終了する前にソフトウェアが部分的にしかダウンロードされないため、VMware SD-WAN Edge のアップグレードに失敗することがあります。

    この問題は、VMware SASE Orchestrator のダウンロード タイムアウト値が間違っており、ダウンロードが完了する前に一部のダウンロード セッションが終了することが原因で発生します。この修正は正しいタイムアウト値をリストアし、ダウンロードが完了できるようにします。

  • 解決した問題 123053:ユーザーが SNMP v3 名を設定するとき、VMware SASE Orchestrator ユーザー インターフェイスは英数字以外の文字を含む名前を拒否し、エラーを返します。

    [設定 (Configure)] > [デバイス (Device)] > [テレメトリ (Telemetry)] > [SNMP] で SNMP バージョン 3 の名前を編集する場合、Orchestrator は [@\'"/,#%&*(){}_=`:?[]§;|><] などの英数字以外の文字を拒否します。つまり、「User_23」のような名前は受け入れられず、「このフィールドでは使用できない文字 (Characters not allowed in this field)」というエラー メッセージが表示されます。そのため、ユーザーが SNMP v3 名に使用できる文字が制限されます。

  • 解決した問題 123150:高可用性トポロジを使用しているカスタマー エンタープライズ サイトの場合、カスタマーが VNF を設定して VNF 挿入を有効にすると、VMware SASE Orchestrator に VNF 挿入が成功したことが表示されず、VNF の状態が HA Edge に表示されません。

    この問題は、[設定 (Configure)] > [Edge] > [インターフェイス (Interface)] 設定で VNF 挿入がオンになっているインターフェイスがある場合でも、Orchestrator がインターフェイス挿入の VNF 設定を誤って「False」として送信するために発生します。このフィールドは Orchestrator 設定で「False」として送信されるため、HA Edge はどのインターフェイスでも VNF 挿入を有効にしません。

    この問題が修正されていない Orchestrator では、回避策として、そのサイトの HA を無効にし、HA Edge をスタンドアローン Edge に変更してから、各 VNF を再設定し、VNF 挿入を有効にします。設定が成功したら、サイトの HA を再度有効にすることができます。

  • 解決した問題 123346:既存のカスタマー エンタープライズは、VMware SASE Orchestrator バージョン 5.2.0 で「Orchestrator のファイアウォールのログ作成」機能を有効にできません。

    VMware ホスト型 Edge のファイアウォールのログ作成はリリース 5.2.0 の機能として追加されましたが、Orchestrator が 5.2.0 にアップグレードされる前に作成されたカスタマーには、アップグレード後にこの機能をオンにするオプションが表示されませんでした。

  • 解決した問題 123551:ユーザーが VMware SD-WAN Edge Wi-Fi インターフェイスのパスワードを作成または編集するときに、Orchestrator ユーザー インターフェイスでは 10 文字のパスワードが要求されますが、実際には 8 文字でなければなりません。

    10 文字の要件は、Wi-Fi プロセスの誤分類によりリリース 5.1.0 Orchestrator で誤って作成されたもので、このビルドでは正しい 8 文字に戻されました。

  • 解決した問題 123749:エンタープライズ管理者またはエンタープライズ サポート ユーザーは、表示できるようにロールがカスタマイズされている場合でも、VMware SASE Orchestrator ユーザー インターフェイスの [診断 (Diagnostics)] 画面で [診断バンドル (Diagnostic Bundles)] オプションを表示できません。

    デフォルトでは、これらのロールはユーザー インターフェイスの [診断 (Diagnostics)] > [診断バンドル (Diagnostic Bundles)] オプションを表示できませんが、ロールのカスタマイズにより、診断バンドルと PCAP の権限をいずれかのロールに追加できます。それによって、[診断バンドル (Diagnostic Bundles)] 画面が追加されます。

  • 解決した問題 124073:AES-256 暗号化付きの冗長 Gateway トンネルを使用して Gateway 経由の Non SD-WAN Destination を設定すると、スタンバイ冗長 Gateway トンネルは引き続き AES-128 暗号化を使用します。

    ユーザーが Orchestrator ユーザー インターフェイスで [設定 (Configure)] > [ネットワーク サービス (Network Services)] に移動して、冗長トンネルを持つ NSD の暗号化アルゴリズムを AES-256 に変更する場合があります。API 応答に基づいて、冗長トンネルは引き続き AES-128 を使用します。これはトンネル暗号化の変更を処理する API の不具合の結果です。

  • 解決した問題 124129:拡張ファイアウォール サービス (EFS) の可用性を制御するシステム プロパティが True に設定されている場合、VMware SASE Orchestrator に追加された新しいカスタマー エンタープライズでは、デフォルトで EFS が有効になっています。

    システム プロパティ enterprise.capability.enableATP は、以前の 5.2.0 ビルドではデフォルトで True に設定されていました。このプロパティが True に設定されている場合、新しいカスタマー エンタープライズの [グローバル カスタマー (Global Customer)] 設定を確認すると、EFS がデフォルトで有効になっています。すべての新しいカスタマー エンタープライズで想定される動作は、EFS がデフォルトで有効にならないことです。その場合、この機能を明示的なアクションとして有効にする必要があります。

    5.2.0.4 ビルドでは、enterprise.capability.enableATP プロパティをデフォルトで False に設定することでこの問題を修正しました。

  • 解決した問題 124273:オペレータ ユーザーが VMware SASE Orchestrator を 5.1.x または 5.2.x ビルドにアップグレードしようとすると失敗することがあります。

    この問題が発生すると、ログは次のようになります。

    • fatal: [vcoxxx]: FAILED! => changed=true
    • ...
    • UPGRADE - DEBUG - Starting VCO software update preinstall
    • UPGRADE - WARNING - E: Unable to locate package linux-image-unsigned-x.x.x
    • UPGRADE - WARNING - E: Couldn't find any package by glob 'linux-image-unsigned-x.x.x-xxx'
    • UPGRADE - WARNING - E: Couldn't find any package by regex 'linux-image-unsigned-x.x.x-xxx'
    • UPGRADE - WARNING - E: No packages found
    • UPGRADE - ERROR - installer failed with return code 100.See /var/log/vco_software_update.log for details
    • UPGRADE - WARNING - Verification key does not exist: xxx
  • 解決した問題 124315:ユーザーには、Orchestrator ユーザー インターフェイスを使用してプロファイル レベルで作成された BGP フィルタを Edge レベルで編集するオプションがあるように見えます。

    ユーザーは、Edge 固有のルールを使用していつでも Edge のプロファイル設定を上書きできますが、実際のプロファイル設定を編集することはできません。この場合、ユーザー インターフェイスは、プロファイルからプッシュ ダウンされた BGP フィルタを編集できるように見えます。これは表示上の問題であり、ユーザーがプロファイルの BGP フィルタに対して行う操作は、その Edge にもその他の Edge にも適用されません。

  • 解決した問題 124778:カスタマーが [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] に移動すると、セキュリティ ポリシーを設定するオプションが表示されません。

    [セキュリティ ポリシー (Security Policy)] セクションでは、暗号化、DH グループなどの [Edge IPsec プロポーザル (Edge IPsec Proposal)] を設定できます。このオプションは従来のユーザー インターフェイスに表示されますが、リリース 5.2.0 以降の Orchestrator のデフォルト インターフェイスである新しいユーザー インターフェイスには表示されません。

  • 解決した問題 124798:ユーザーは、VMware SASE Orchestrator ユーザー インターフェイスで VMware SD-WAN Edge のシリアル番号を編集できません。

    プロビジョニングされた、または RMA が実行された Edge がまだアクティベーションされていない場合、[SD-WAN] > [設定 (Configure)] > [Edge] > [概要 (Overview)] 画面に移動すると、[Edge の状態 (Edge Status)] の下に Edge の [シリアル番号 (Serial Number)] が表示されますが、読み取り専用のテキストで編集できません。これが問題なのは、一部のカスタマーは、サイトに配信されるまで、アクティベーションする Edge のシリアル番号がわからない場合があり、配信された Edge と一致するようにこのフィールドを編集するオプションが必要であるためです。

  • 解決した問題 125456:VNF が使用されているカスタマー エンタープライズの場合、ユーザーが Edge デバイスの設定を変更しようとすると、変更を保存しようとしたときに VMware SASE Orchestrator は変更を拒否します。

    設定の変更は、既存の静的ルートにコメントを追加する程度の軽微なものである場合があり、VNF が有効になっている場合、Orchestrator ユーザー インターフェイスは変更を保存しません。ユーザー インターフェイス画面の下部に「スクリプト挿入エラー (Script injection error)」バナーが表示されることがあります。

    この問題が修正されていない Orchestrator では、回避策として、VNF を一時的に無効にしてから設定の変更を保存することです。変更が正常に保存されると、ユーザーは VNF を再度有効にできます。

Orchestrator バージョン R5203-20230809-GA で解決した問題

Orchestrator ビルド R5203-20230809-GA は 2023 年 8 月 9 日にリリースされた、リリース 5.2.0 の 3 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、2 番目の Orchestrator ロールアップ、R5202-20230729-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 121118:エンタープライズ ユーザーには、VMware SASE Orchestrator で診断バンドルを生成するオプションや、パケット キャプチャを生成してダウンロードするオプションがありません。

    これは、すべてのエンタープライズ ユーザー ロール(スーパー ユーザーを含む)に当てはまります。エンタープライズ ユーザーには [SD-WAN] > [診断 (Diagnostics)] で次のオプションが表示されることが想定されます。

    1. 診断バンドルを生成する(ただしダウンロードはしない)。

    2. パケット キャプチャを生成してダウンロードする。

    しかし、表示されるオプションは [リモート診断 (Remote Diagnostics)][リモート アクション (Remote Actions)] のみです。

  • 解決した問題 121884:VMware SASE Orchestrator はファイアウォール ログ ファイルの処理と保存を続行する場合があります(このアクションのシステム プロパティが「false」に設定されていても)。

    システム プロパティ storage.firewall.logs.file.enable が「false」に設定されている場合、Orchestrator がファイアウォール ログ ファイルの処理と保存をグローバル レベルで停止することが想定される動作です。カスタマー エンタープライズは、独自のエンタープライズ レベルの設定に関係なく、新しいファイアウォール ログを取得することはできません。このプロパティは、ファイアウォール ログの処理に関連する可能性のある Orchestrator パフォーマンスの問題をトラブルシューティングするためのツールとして使用されます。Orchestrator リリース 5.2.0.1 および 5.2.0.2 では、この設定は無視されます。

  • 解決した問題 122132:拡張ファイアウォール サービスを使用しているカスタマーは、侵入検知システム (IDS) および侵入防止システム (IPS) 機能の更新された定義をダウンロードできない場合があります。

    この問題は、リリース 5.2.0 オペレータ プロファイルに atpMetadata モジュールが含まれていないことが原因です。5.2.0 オペレータ プロファイルを使用している Edge は、IDS/IPS を適用するための IDPS シグネチャ バンドルをダウンロードできないため、拡張ファイアウォール サービスから期待される保護レベルを取得できません。

  • 解決した問題 122797:ユーザーは、ハブ Edge で使用されるプロファイルで [[ブランチ間 VPN] の有効化 (Enable Branch to Branch VPN)] 設定を有効にできません。

    画面上で [設定 (Configure)] > [プロファイル (Profile)] > [デバイス (Device)] > [VPN サービス (VPN Services)] に移動すると、Orchestrator ユーザー インターフェイスでは、[[ブランチ間 VPN] の有効化 (Enable Branch to Branch VPN)] チェックボックスをオンにできますが、設定を保存しようとすると、Orchestrator ユーザー インターフェイスには「変更を保存できません。設定に 1 つ以上のエラーがあります (Cannot save changes. There is one or more errors within your configuration)」というエラー メッセージが表示されます。このエラーは、実際のエラーの内容をユーザーに伝えるものではありません。この問題は、リリース 5.2.x のデフォルトのユーザー インターフェイスである新しいユーザー インターフェイスでのみ発生します。

  • 解決した問題 123384:VMware SASE Orchestrator の [SD-WAN] > [設定 (Configure)] > [Edge (Edges)] ページ、または [SD-WAN] > [監視 (Monitor)] > [Edge (Edges)] ページにアクセスするときに、ユーザーがオペレータ プロファイル、設定プロファイル、または分析のいずれかで並べ替えるためのフィルタを追加すると、ページでは結果が返されず、エラーが表示されます。

    「データのロードに失敗しました (Failed to Load Data)」というページが表示され、ブラウザのコンソールを表示すると、「API エラー (API Error)」エントリも表示されています。

  • 解決した問題 123609:10 を超える BGP フィルタ ルールがある場合、ユーザーは変更を BGP フィルタ リストに保存できません。

     ユーザーは、Orchestrator の [SD-WAN] > [設定 (Configure)] > [プロファイル/Edge (Profile/Edges)] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] > [BGP] ページに BGP フィルタを追加します。ユーザーがフィルタ リストに新しいフィルタ ルールを追加して合計が 10 を超えると、この設定の保存は失敗し、Orchestrator ユーザー インターフェイスに「変更を保存できません。設定に 1 つ以上のエラーがあります (Cannot save changes. There is one or more errors within your configuration)」というエラー メッセージが表示されます。

    この問題は、新しいユーザー インターフェイス(リリース 5.2.x のデフォルトのユーザー インターフェイス)が BGP フィルタ ルール テーブルで誤ったインデックス設定を使用し、ページネーションの 2 番目のページ(11 以上のルール)から開始することが原因で発生します。

Orchestrator バージョン R5202-20230729-GA で解決した問題

Orchestrator ビルド R5202-20230729-GA は 2023 年 8 月 2 日にリリースされた、リリース 5.2.0 の 2 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、1 番目の Orchestrator ロールアップ、R5201-20230623-GA 以降の以下の重大な問題に対処します。

  • 解決した問題 116666:スーパー ユーザー ロールを持つパートナーには、サポートされているカスタマー エンタープライズの 1 つに対して拡張ファイアウォール サービスを有効にするオプションがありません。

    このオプションは、パートナー スーパー ユーザーが VMware SASE Orchestrator で [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] に移動したときに使用できる必要があります。

  • 解決した問題 117772:エンタープライズ カスタマーの VMware SASE Orchestrator の [監視 (Monitor)] > [ネットワークの概要 (Network Overview)] 画面を表示しているときに、10 個を超える WAN リンクが監視されている場合、状態が「劣化 (Degraded)」または「ダウン (Down)」の WAN リンクが [リンク状態 (Link status)] 画面に表示されないことがあります。

    この問題は、[劣化 (Degraded)] または [ダウン (Down)] 状態の WAN リンクを考慮しないフロントエンドの問題であるため、新しい Orchestrator ユーザー インターフェイスに限定されます。監視は従来のユーザー インターフェイスで期待どおりに動作します。

  • 解決した問題 117822:カスタマーが [監視 (Monitor)] > [Edge (Edges)] > [QoE] を確認すると、QoE グラフに Edge の WAN リンクに関する問題で説明されていないギャップが生じることがあります。

    このギャップは、リンク データの内部ジョブ キューが失われ、リンク データがバックフィルされない Orchestrator データベースの問題の結果です。

  • 解決した問題 118544:オペレータ プロファイルがロードされず、アクセス不能であるため、カスタマー エンタープライズに割り当てることができない場合があります。

    Orchestrator データベースに問題があり、オペレータ プロファイルは存在しますが、カスタマー エンタープライズが削除されると誤った論理 ID が設定モジュールに追加され、プロファイルをロードできなくなります。

  • 解決した問題 118733:VMware SASE Orchestrator の新しいユーザー インターフェイスを使用しているときに、ユーザーがビジネス ポリシーまたはファイアウォール ルールをプロファイル レベルで設定し、Edge レベルで上書きすると、[設定 (Configure)] > [Edge (Edges)] > [Edge をリスト (List Edges)] 画面では、上書きされた Edge のアイコンがデバイス、ビジネス、ファイアウォールに対して正しく表示されません。

    リリース 5.2.0 のデフォルトのユーザー インターフェイスである新しいユーザー インターフェイスを使用すると、[Edge 固有のルール (Edge Override)] がオンになっているアイコンは単色で表示される必要がありますが、代わりに空白で表示されます。従来の Orchestrator は、特定のカテゴリに対して Edge 固有のルールが設定されている場合、アイコンを単色で正しく表示します。

  • 解決した問題 120070:[クラウド サービスの展開を自動化 (Automate Cloud Service Deployment)] が有効になっている Zscaler タイプのクラウド セキュリティ サービス (CSS) を展開しているカスタマーの場合、ユーザーが [監視 (Monitor)] > [ネットワーク サービス (Network Services)] > [クラウド セキュリティ サービス (Cloud Security Services)] > [展開状態 (Deployment Status)] に移動すると、その CSS の状態を表示するオプションが表示されません。

    この監視画面と [展開状態 (Deployment Status)] は特に、自動化された Zscaler CSS を展開するカスタマーにとって重要です。

  • 解決した問題 120606:[カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] > [新しいロール (New Role)] で新しいロールを作成しようとすると、エラーが発生し、権限がロードされません。

    この問題が発生すると、新しいロールの作成中にユーザー インターフェイス ページに「メソッド エラー (method error)」が表示され、権限がロードされなくなります。

  • 解決した問題 120774:Gateway 経由の Non SD-WAN Destination (NSD) を展開しているカスタマーの場合、[監視 (Monitor)] > [ネットワーク サービス (Network Services)] または > [設定 (Configure)] > [ネットワーク サービス (Network Services)] に移動し、NSD をクリックすると、NSD トンネルの IKE 設定が表示されないことがあります。

    ユーザーは「未定義のプロパティを読み取ることができません ('clearDontFragmentBit' を読み取ります) (Cannot read Properties of undefined (reading 'clearDontFragmentBit'))」というエラーを受け取り、何も表示されません。

  • 解決した問題 121441:カスタマーが VMware SD-WAN Edge の VLAN で VNF 挿入を有効にすると、Edge は VNF を削除してから再展開します。そのため、VNF はその Edge で使用できなくなります。

    VLAN 上で VNF 挿入が有効になると、[監視 (Monitor)] > [イベント (Events)] ページで VNF の削除と再展開イベントが発生し、「(VNF_VM_DELETED) / 不明なベンダー VNF が Edge <Edge 名> で削除されました ((VNF_VM_DELETED) / Unknown vendor VNF was deleted on the edge <Edge Name>)」というメッセージを含む電子メールを受信します。この問題は、VLAN で VNF 挿入が有効になったときに Orchestrator が新しい UUID (Universally Unique IDentifier) を送信することが原因で発生します。Edge は、この UUID の変更を VNF を削除して再展開するトリガとして解釈します。その結果、VNF はその Edge で使用できなくなります。

    この問題は、5.2.0 Orchestrator のデフォルトのユーザー インターフェイスである新しいユーザー インターフェイスでのみ発生します。その結果、修正がない場合にこのバージョンを使用する場合の回避策はありません。

  • 解決した問題 121472:カスタマー エンタープライズで 2 要素認証 (2FA) が有効になっている場合、個々のユーザー アカウントに 2FA を無効にするオプションがありません。

    2FA がカスタマーに対して有効になっている場合は、ユーザーのアカウントの詳細をクリックするときに 2FA を無効にするまたは要求するチェックボックスが表示される必要があります。この修正により、2FA の切り替えオプションが追加され、そのユーザーの 2FA 状態が明確になります。

  • 解決した問題 121751:オペレータまたはパートナー ユーザーは、VMware SASE Orchestrator ユーザー インターフェイスを使用するときに、Gateway 経由の Non SD-WAN Destination (NSD) で使用される VMware SD-WAN Gateway を別の Gateway に再割り当てすることができません。

    オペレータまたはパートナー スーパー ユーザーが [Gateway (Gateways)] > [Gateway 管理 (Gateway Management)] に移動すると、Gateway 経由の NSD が使用する Gateway を別の Gateway に再割り当てすることができません(これらは、セキュア VPN Gateway のロールを持つように設定された Gateway です)。ユーザーは別の Gateway をクリックできますが、Orchestrator ユーザー インターフェイスでは、再割り当てを完了するために [Gateway の割り当て (Assign Gateway)] ボタンをクリックすることはできません。

  • 解決した問題 121835:ユーザーがループバック インターフェイスで広報機能をオンにしようとすると、[保存 (Save)] ポップアップ ボックスが表示されず、Edge デバイス設定の設定データを保存するオプションが表示されません。

    ユーザーが [設定 (Configure)] > [Edge] > [デバイス (Device)] でループバック インターフェイスを編集しようとすると、[編集 (Edit)] ダイアログが正しく読み込まれません。これは、ユーザー インターフェイスがグローバル セグメント以外のセグメントで OSPF パラメータを想定しているのに対し、OSPF 設定はグローバル セグメントでのみ許可されているために発生します。この問題は、以前のリリースから 5.2.0 にアップグレードされた SASE Orchestrator 上のエンタープライズでのみ、また、エンタープライズに複数のセグメントのループバック インターフェイスが含まれている場合にのみ発生します。

    カスタマー エンタープライズがこの問題を修正していない Orchestrator にある場合の唯一の回避策は、API 呼び出しを使用してデバイス設定を変更することです。

  • 解決した問題 121858:ディザスタ リカバリ (DR) トポロジに展開された VMware SASE Orchestrator の場合、Orchestrator を 5.2.0.1 ロールアップ ビルドにアップグレードすると、Orchestrator のフェイルオーバー後に DR 同期が失敗し、データに大きなギャップが生じることがあります。

    Orchestrator ソフトウェアのアップグレードの一環として、ClickHouse データベース管理システム (DBMS) が 20.3.19.4 から 22.3.13.80 にアップグレードされます。アップグレード中、DBMS プロセスはすべてのグループ権限を削除し、データ ディレクトリへのアクセスを DBMS のみに制限します。この動作により、rsync ベースのレプリケーション プロセスが中断され、アクティブ Orchestrator とスタンバイ Orchestrator 間で DBMS データの同期に失敗します。

    Orchestrator ビルド 5.2.0.1 の場合、オペレータは次のコマンドを使用して、アクティブな Orchestrator の権限の問題を修正できます:chmod g+rx /store3/clickhouse

  • 解決した問題 121993:VMware SASE Orchestrator ユーザー インターフェイスで、VMware SD-WAN Edge の VLAN プロパティを編集するオプションがない場合があります。

    この問題は、Edge で使用されているすべての VLAN に影響するわけではありませんが、問題が発生すると、ユーザー インターフェイスで VLAN をクリックしても何も起こりません。

    この問題が修正されていない Orchestrator でこの問題が発生している場合は、SD-WAN サポートにお問い合わせください。

  • 解決した問題 122010:オペレータが Orchestrator ビルド 5.2.0.1 を実行している VMware SASE Orchestrator のシステム プロパティに移動し、検索を試みると、ページがロードされないことがあります。

    この問題は、1 つ以上のシステム プロパティに NULL 値がある場合(つまり、値が定義されていない場合)にトリガされます。

  • 解決した問題 122271:カスタマーが、VMware SASE Orchestrator の新しいユーザー インターフェイスを使用してプロファイルに LAN 側 NAT ルールを追加すると、これらのルールに一致するすべてのトラフィックがそのプロファイルを使用する Edge で失敗することがあります。

    新しいユーザー インターフェイスが、内部アドレス プレフィックスから LAN 側 NAT 外部マスクを誤って計算します。内部プレフィックスと外部プレフィックスが同じ(つまり、1:1)になるようにルールが記述されていない場合、ユーザーが新しいユーザー インターフェイスから LAN 側 NAT ルールを変更すると、ルールの動作が変更され、機能しなくなる場合があります。新しいユーザー インターフェイスはリリース 5.2.0 Orchestrator のデフォルトのユーザー インターフェイスであるため、この問題には回避策はありません。

  • 解決した問題 122520:ルーティングに OSPF を使用し、ループバック インターフェイスも使用しているカスタマー エンタープライズでは、ループバック インターフェイスが開かない場合があります。

    この問題は、OSPF が設定されているときに VMware SASE Orchestrator がループバック インターフェイスに OSPF をロードしないことが原因で発生します。

  • 解決した問題 122866:ユーザーが 1 つの Partner Gateway から BGP ハンドオフを削除すると、VMware SASE Orchestrator も同じ Gateway プール内の他のすべての Partner Gateway から同じ BGP ハンドオフを削除します。

    この問題は、ユーザーがオペレータかパートナーかに関係なく発生し、リリース 5.2.0 Orchestrator のデフォルト ユーザー インターフェイスである新しいユーザー インターフェイスでのみ発生します。

    回避策は、BGP ハンドオフを削除する必要がある Partner Gateway を、Gateway プールから一時的に削除して隔離することです。これを行うと、他の Partner Gateway が影響を受けなくなります。BGP ハンドオフが削除されると、ユーザーはその Partner Gateway を元の Gateway プールにリストアできます。

  • 解決した問題 122977:VMware SASE Orchestrator ユーザー インターフェイスで拡張ファイアウォール サービスを有効にするオプションがない場合があります。

    このオプションは、通常、次の 3 つの場所に表示されます。

    • [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [SD-WAN 設定 (SD-WAN Settings)] > [機能アクセス (Feature Access)][ステートフル ファイアウォール (Stateful Firewall)] オプションのすぐ下に表示されます。

    • [ファイアウォールの状態 (Firewall Status)] を [オン (On)] に設定した後に、オプションとして [設定 (Configure)] > [プロファイル (Profile)] > [ファイアウォール (Firewall)] に表示されます。

    • [ファイアウォールの状態 (Firewall Status)] を [オン (On)] に設定した後に、オプションとして [設定 (Configure)] > [Edge] > [ファイアウォール (Firewall)] に表示されます。

    このオプションは、どのインスタンスにも表示されません。

    この問題は、カスタマー エンタープライズが拡張ファイアウォール サービスと互換性があるにも関わらず、Orchestrator が誤って互換性がないと判断していることが原因で発生します。

Orchestrator バージョン R5201-20230623-GA で解決した問題

Orchestrator ビルド R5201-20230623-GA は 2023 年 6 月 26 日にリリースされた、リリース 5.2.0 の 1 番目の Orchestrator ロールアップです。

この Orchestrator ロールアップ ビルドは、元の GA ビルド、R5200-20230529-GA 以降の以下の重大な問題に対処します。

重要:

5.2.0.0 ビルドのオンプレミス Orchestrator を使用しているカスタマーの場合は、5.2.0.1 にアップグレードすることを強くお勧めします。

  • 解決した問題 112333:約 6,000 個のトンネルと継続的なトラフィック フローを持つ約 4,000 台の VMware SD-WAN Edge を処理する VMware SASE Orchestrator が、約 4 日間不安定になり、ユーザーをランダムにログアウトし始める場合があります。

    ストレスが発生すると、Orchestrator のデータベースに障害が発生し、「connect ECONNREFUSED」というエラーが発生し、その後に Orchestrator の IP アドレスが表示されます。この問題はスケール テスト環境でのみ発生し、フィールド展開では発生しません。

  • 解決した問題 113254:スーパー ユーザーまたは標準ロールを持つパートナー管理者の場合、管理下のカスタマーのデフォルトのオペレータ プロファイルを変更できません。

    同じパートナー管理者がリリース 5.2.0 では使用できない従来のユーザー インターフェイスを使用する場合は、このアクションを実行できます。

  • 解決した問題 115411:バージョン 5.1.0 以降を使用する VMware SASE Orchestrator をディザスタ リカバリ トポロジを使用して展開すると、データベースの問題が原因で同期が失敗する場合があります。

    失敗する特定のプロセスは dr_utils.js ですが、これはリリース 5.1.0 以降で検出された Orchestrator のデータベース ソフトウェアの最新バージョンでこのプロセスが廃止されたことが原因です。

  • 解決した問題 115624:VMware SASE Orchestrator でポータル サービスを再起動すると、CPU 使用率が高くなって不安定になり、ユーザー インターフェイスの [デバイス設定 (Device Settings)] および [ネットワーク設定 (Network Settings)] ページの読み込みが遅くなることがあります。

    この問題は、約 2,000 個の接続された Edge を持つ Orchestrator で同時にクラウド セキュリティ サービス (CSS) も使用している場合に発生しました。接続された Edge の数がこの数以上の場合に、この問題が発生することがあります。この問題は、Edge、プロファイル、およびネットワーク設定に関連するいくつかの Orchestrator プロセスが Edge から Orchestrator にアップロードされ、完了に予想以上に時間がかかる(約 60 秒以上)ことが原因で発生します。

  • 解決した問題 116141:ユーザーが設定プロファイル上でデバイス設定を変更すると、VMware SASE Orchestrator が変更を検証するのに最大で 1 分かかる場合があります。

    各変更での検証と適用には数秒しかかからないはずですが、最大で 1 分かかることがあります。この問題は、そのプロファイルに関連付けられたすべての Edge 設定レコードの数を取得するだけでなく、不必要で Orchestrator CPU に負担のかかる各レコードのデコードと解析も行う Orchestrator プロセスに起因します。この修正により、プロセスはレコードの数のみを取得します。

  • 解決した問題 116790:VMware SASE Orchestrator がリリース 5.1.x 以降にアップグレードされると、カスタマーの VMware SD-WAN Edge が、Edge が使用するように設定されているバージョンよりも古い Edge バージョンに誤ってダウングレードされる場合があります。

     この問題は、Orchestrator からカスタマー エンタープライズが削除され、削除されたエンタープライズが Orchestrator データベース内の論理 ID によってオペレータ プロファイルに関連付けられていた場合にトリガされます。エンタープライズが削除されると、オペレータ プロファイルも削除されます。[Edge イメージ管理 (Edge Image Management)] が設定済みで、複数のオペレータ プロファイルが使用可能で、この削除されたオペレータ プロファイルをデフォルトとして割り当てていたカスタマーには、[Edge イメージ管理 (Edge Image Management)] メニューで引き続き使用可能なオペレータ プロファイルが割り当てられます。

    その結果、カスタマーにはかなり古い Edge リリースを含むオペレータ プロファイルが割り当てられ、このオペレータ プロファイルが割り当てられた Edge のソフトウェアが変更され、変更後の Edge ソフトウェアのバージョンが大幅に低い場合はダウングレードされる可能性があります。カスタマーが使用している機能をサポートしていない古いリリースを Edge が実行している場合、これはネットワーク障害などの混乱を及ぼす可能性があります。

  • 解決した問題 117527:ユーザーがプロファイル レベルで BGP を設定しているときに、多数のルールが設定されていると、ブラウザが応答しなくなることがあります。

    この問題は、5.2.0 Orchestrator では使用できない従来のユーザー インターフェイスを使用している場合には発生しません。

  • 解決した問題 117800:VMware SASE Orchestrator がリリース 4.x から 5.1.x 以降にアップグレードされると、バックエンド プロセスの再起動後に、正常に実行されたにもかかわらず同じ upgradeSchema.sql ファイルが作成される場合があります。

    この問題はアップグレード後のスキーマ更新で発生し、スキーマ後のスクリプトが実行されると upgradeSchema.sql ファイルは再度生成されません。

  • 解決した問題 117993:カスタマー エンタープライズを管理し、ネイティブ認証(つまりユーザー名/パスワード)を使用しているパートナー ユーザー、またはエンタープライズ ユーザーがエンタープライズ ユーザーのパスワードをリセットしようとすると、失敗します。

    次のエラーが表示されます:ユーザーには [enterpriseUser/sendEnterpriseUserPasswordResetEMail] にアクセスするために必要な権限がありません (user does not have privileges required to access [enterpriseUser/sendEnterpriseUserPasswordResetEMail])。この問題は、5.2.0 のデフォルトのユーザー インターフェイスである新しいユーザー インターフェイスでのみ発生します。原因は要求パラメータが見つからないことです。

  • 解決した問題 118071:複数の VMware SD-WAN Gateway がカスタマーに割り当てられ、そのすべてに約 2,000 台以上の Edge が割り当てられている場合、ユーザーが [設定 (Configure)] > [プロファイル (Profile)] > [デバイス (Device)] で VPN 設定を変更しようとすると、エラーが発生して失敗することがあります。

    Orchestrator エラーは「変更の検証中にエラーが発生しました (Error validating changes)」と表示されます。API が 10,000 行を超える行を返すデータベース クエリを待機しているため、VMware SASE Orchestrator は VPN 設定の更新に失敗します。これは、Orchestrator が大規模に動作している場合に発生する可能性があります。この問題は、Edge にプライマリ Gateway のみをレポートさせる必要があるときに、Orchestrator がタイプ(プライマリとセカンダリ)に関係なくすべての Gateway を取得することが原因で発生します。これにより、返されるレコードの数が大幅に増加し、クエリが大規模にオーバーフローする可能性があります。

  • 解決した問題 118574:拡張ファイアウォール サービスを使用しているカスタマー エンタープライズの場合、影響スコアが高い場合でも、アラートが「情報」の重要度で送信される場合があります。

    重要度の説明が不正確な場合、カスタマー ユーザーの誤解を招き、アラートに対する対応を妨げる場合があります。この問題は、シグネチャが正しく分類されていないことが原因です。

  • 解決した問題 118673:VMware SD-WAN Edge が別のプロファイルに切り替えられると、プロセスが完了するまでに最大 60 秒かかり、完全にタイムアウトになる場合があります。

    あるプロファイルから別のプロファイルへの切り替えが完了するまでにかかる時間は数秒ですが、API が適切に最適化されていないため、Orchestrator がこのタスクを完了するのにはさらに長い時間がかかります。

  • 解決した問題 119551:VMware Cloud Web Security サービスを使用しているカスタマーの場合、ユーザーが [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] で Cloud Web Security の設定を変更しようとすると、エラーが発生して失敗します。

    ユーザーが [更新 (Update)] をクリックすると、Orchestrator は「無効なサービスの詳細 (Invalid Service details)」というエラーをスローします。これは、たとえば Cloud Web Security ライセンス タイプを変更しようとすると発生する場合があります。

  • 解決した問題 119733:VMware SASE Orchestrator のデータベースで障害が発生し、リカバリするために Orchestrator の再起動が必要になる場合があります。

    この問題は、データベースが最新バージョンの MySQL にないために発生し、Orchestrator リリース 5.2.0.1 では、更新された MySQL バージョンを使用してその欠陥を修正します。

Orchestrator バージョン R5200-20230529-GA で解決した問題

Orchestrator バージョン R5200-20230529-GA は 2023 年 5 月 31 日にリリースされ、Orchestrator バージョン R5104-20230426-GA 以降の次の問題に対処しています。

注:

リリース 5.2.0 には、5.0.0 または 5.0.1 リリース ノート に記載されているすべての Orchestrator 修正と、上記のビルドまでの 5.1.0 リリース ノートのすべての Orchestrator の修正が含まれています。

  • 解決した問題 50480:新しい Edge 経由の Non SD-WAN Destination のドロップダウン メニューのテキストが正しくありません。

    [新しい Edge 経由の Non SD-WAN Destination (New Non SD-WAN Destination via Edge)] のドロップダウンに次の情報が表示されます。

    • 汎用 IKEv1 ルーター (ルーター ベースの VPN)

    • 汎用 IKEv2 ルーター (ルーター ベースの VPN)

    これは、適切なスペースを入れて「ルート ベース VPN (Route Based VPN)」と表示される必要があります。

  • 解決した問題 78572:オペレータ ユーザーは無効な FQDN を使用してオペレータ プロファイルを設定でき、エラーはスローされません。

    Orchestrator は FQDN 値の検証を実行する必要があります。FQDN が有効でない場合は、エラーをスローしてオペレータに警告する必要があります。この検証を行わないと、Edge にオペレータ プロファイルが割り当てられたときに Orchestrator への Edge 接続が失われる可能性が生じます。

  • 解決した問題 78602:ユーザーがプロファイルで Syslog を設定し、そのプロファイルを使用している VMware SD-WAN Edge をチェックすると、Syslog レベルが正しく表示されないことがあります。

    Syslog 設定がプロファイルから有効であるにもかかわらず、Orchestrator ユーザー インターフェイスは Syslog レベルを示す代わりに「エラー」のみを表示します。

  • 解決した問題 81514:Gateway 経由の Non SD-WAN Destination を 4.x Orchestrator で設定し、その後 Orchestrator が 5.x にアップグレードされると、新しいユーザー インターフェイスの [設定 (Configure)] > [デバイス設定 (Device Settings)] ページに NSD が表示されません。

    この問題は、NSD を 4.x Orchestrator で設定し、新しいユーザー インターフェイスを使用している場合に限定されます。5.x Orchestrator で設定された NSD には、この問題はありません。

  • 解決した問題 83607:ユーザーがオブジェクト グループを作成、更新、または削除しても、VMware SASE Orchestrator はこれらのアクションのイベントを生成しません。

    オブジェクト グループが変更されたときには、ユーザーがイベントを表示して、変更を行ったユーザーと他のカスタマー管理者の両方が検証および監査できるようにする必要があります。

  • 解決した問題 88661:Edge 経由の Non SD-WAN Destination を設定する場合、ユーザーが無効な PSK 値を設定し、トンネルが形成される可能性があります。

    Orchestrator では、PSK に対してどのような値でも入力可能で、1 文字でも 100 文字でもエラーはスローされません。

  • 解決した問題 93930:VMware SASE Orchestrator の新しいユーザー インターフェイスでは、AS-Path プリペンドに無効な値を使用できます。

    パートナー ハンドオフを設定し、AS-Path プリペンドを使用して BGP と BGP フィルタを設定すると、ユーザーは無効な値を設定でき、新しいユーザー インターフェイスは値を検証しないか、エラーをスローしません。

  • 解決した問題 94610:ユーザーが [リモート アクション (Remote Actions)] > [HA フェイルオーバーを強制的に行います (Force HA Failover)] を使用して HA の強制フェイルオーバーを開始すると、VMware SASE Orchestrator が HA フェイルオーバーのアラートを生成および送信しない場合があります。

    HA フェイルオーバーは Orchestrator によって強制されるため、アクティブ Edge とスタンバイ Edge の両方がフェイルオーバーを予測し、そのために HA_GOING_ACTIVE と HA_READY の両方のメッセージが HA Edge によって同じハートビートで送信される可能性があります。ハートビートで送信される「HA 状態」が「準備完了」と表示される場合、「準備完了」メッセージのみが表示され、「アクティブ化」メッセージが表示されないため、Orchestrator はフェイルオーバーについて警告を生成しないように誤認させられます。

  • 解決した問題 97014:VMware SASE Orchestrator の新しいユーザー インターフェイスを使用し、カスタマー エンタープライズの [監視 (Monitor)] > [ネットワークの概要 (Network Overview)] に移動したときに、[Bastion の状態 (Bastion State)] 列を使用できません。

    [Gateway モニター (Gateway Monitor)] ページにも [Bastion の状態 (Bastion State)] は表示されません。どちらの場合も従来のユーザー インターフェイスに表示されます。

  • 解決した問題 98241:ユーザーが [カスタマー設定 (Customer Configuration)] ページで Edge Network Intelligence サービスをオンまたはオフにすると、アクションが有効であっても、VMware SASE Orchestrator はエラーをスローします。

    次のようなエラーが表示されます。「分析機能の場合、分析 URL はシステム プロパティ (service.analytics.apiUrl) で設定する必要があります (Analytics Url must be set in system property (service.analytics.apiUrl) for analytics feature)」。エラー メッセージは偽の内容であり、実際には変更は正常に保存されました。

  • 解決した問題 99065:VMware SASE Orchestrator の新しいユーザー インターフェイスにおいて、ユーザーは [Edge セキュリティ VNF (Edge Security VNF)] ページで新しい VNF サービスを作成することができません。

    ユーザーは [ネットワーク サービス (Network Services)] ページを使用して新しい VNF サービスを作成できますが、この修正により、ユーザーは [Edge セキュリティ VNF (Edge Security VNF)] ページでも作成できるようになります。

  • 解決した問題 99080:Apple Safari ブラウザで VMware SASE Orchestrator の新しいユーザー インターフェイスを表示している場合、[セキュリティ VNF の設定 (Configure Security VNF)] ページでは、ドロップダウン オプション メニューに空のオプションが表示されます。

    これは、Safari ブラウザのみの問題で、Chromium ベースのブラウザは想定どおりに動作します。

  • 解決した問題 99353:VMware SASE Orchestrator では、ユーザーが複数の NetFlow コレクタ設定に対して同じサーバ IP アドレスを設定できます。

    Orchestrator は、NetFlow 設定で重複する IP アドレスを検証し、すでに存在するサーバ IP アドレスを拒否する必要があります。

  • 解決した問題 99891:パートナー管理者が VMware SASE Orchestrator にログインして新しいユーザー インターフェイスを使用することになり、[パートナー カスタマーの管理 (Manage Partner Customer)] ページで [カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] を選択すると、エラーが表示されます。

    パートナー管理者がカスタマー設定にアクセスしようとすると、そのページに対する完全な権限がある場合でも、「メソッドに対して許可されていません (not allowed to method)」というエラー メッセージが表示されます。

  • 解決した問題 100148:オペレータ スーパー ユーザーは、最初に説明を変更しないとオペレータ ロールを編集することができません。

    オペレータ スーパー ユーザーは、説明を変更することなく、オペレータ ロールの機能ロールを変更できる必要があります。

  • 解決した問題 101129:エンタープライズ SSH キー セクションは、オペレータ サポート、パートナー スーパー ユーザー、カスタマー スーパー ユーザーに表示されます。

    リストされたユーザー ロールには、この情報を表示する権限がないため、表示できません。

  • 解決した問題 103066:ビジネス ポリシーがアプリケーション マップ内のアプリケーションに関連付けられており、そのアプリケーションが後でアプリケーション マップから削除されると、ユーザーはそのビジネス ポリシーをそれ以上編集できなくなります。

    ポリシーに関連付けられたアプリケーションがアプリケーション マップから削除されている場合でも、ユーザーはビジネス ポリシーを編集できる必要があります。

  • 解決した問題 103620:VMware SASE Orchestrator の新しいユーザー インターフェイスで、[インターフェイス設定 (Interface Settings)] > [OSPF] > [詳細設定 (Advanced Settings)] > [受信ルート学習 (Inbound Route Learning)] を設定すると、実際には [False] に設定されていても、[完全一致 (Exact Match)] オプションに [True] 値が表示されます。

    これにより混乱が生じ、ユーザーは重要な OSPF 設定を正反対に誤認してしまい、ルーティングの問題を引き起こす可能性があります。

  • 解決した問題 104667:VMware SASE Orchestrator の新しいユーザー インターフェイスで、[監視 (Monitor)] > [Edge] > [リンク状態 (Link Status)] を確認すると、リンクが [不安定 (Unstable)] とマークされている場合の日付情報が正しくありません。

    ユーザーがそのリンクの情報バブルをクリックすると、リンクが稼動状態で、ただし劣化している場合、概要に「リンクがダウンしています: 53 年前 (Link Down: 53 years ago)」と報告されることがあります。

  • 解決した問題 105580:FIPS モードが設定されている VMware SASE Orchestrator の場合、Orchestrator にディザスタ リカバリ (DR) を設定すると失敗することがあります。

    FIPS が設定された DR セットアップには MySQL バージョン 8.0.28 以降を使用した Orchestrator ビルドが含まれており、DR COPYING_DP フェーズ中に「SSL_CTX_new failed when trying to connect」というエラーが発生して失敗します。

  • 解決した問題 105861:WAN リンクが数分間ダウンして復帰すると、[監視 (Monitor)] の QoE グラフに実際のリンク状態が反映されません。

    リンクがダウンしている間は QoE が赤で表示され、リンクがリストアされると元の色(良好な品質の場合は緑色)に戻るはずですが、そのようにならず、ユーザーが混乱します。この問題は、VMware SASE Orchestrator のデータベースがリンクのダウン イベントを正しく記録しないことが原因で発生します。

  • 解決した問題 106295:AWS タイプの Non SD-WAN Destination の場合、プライマリ Gateway とセカンダリ Gateway がそれぞれ BGP を設定してセットアップされていると、VMware SASE Orchestrator は冗長セカンダリ トンネルが稼動していても、ダウンとして表示する場合があります。

    AWS 側にはプライマリ トンネルとセカンダリ トンネルの両方が「稼動中」とレポートされますが、Orchestrator の [監視 (Monitor)] > [ネットワーク サービス (Network Services)] ページではセカンダリが「ダウン」と表示されます。これは、厳密には表示上の問題です。

  • 解決した問題 106554:VMware SASE Orchestrator の新しいユーザー インターフェイスでは、新しい VMware SD-WAN Edge を作成するときに、ユーザーが [サービス設定 (Service Settings)] > [Edge 管理 (Edge Management)] で [デフォルトの証明書 (Default Certificate)] をどのように設定したかに関係なく、常に [デフォルトの Edge 認証 (Default Edge Authentication)] を [証明書の取得 (Certificate Acquire)] に設定して Edge が作成されます。

    ユーザーが [デフォルトの証明書 (Default Certificate)] を [証明書は不要 (Certificate Deactivated)] または 証明書の非アクティブ化または [証明書が必要 (Certificate Required)] のいずれかに設定すると、新しいユーザー インターフェイスはこれらのグローバル設定を無視し、新しい Edge を [証明書の取得 (Certficate Acquire)] として設定します。従来のユーザー インターフェイスではこの問題は発生しません。

  • 解決した問題 107858:VMware SASE Orchestrator で使用する API を設定しているカスタマーの場合、Swagger では、inside ha および device_settings_dhcp_relay の JSON キーが欠落しています。

    リリース 5.2.0 以降には、欠落している JSON キー inside ha および device_settings_dhcp_relay プロパティが含まれています。

  • 解決した問題 109710:パートナーの管理者が VMware SASE Orchestrator でパートナー ハンドオフを設定できないことがあります。

    パートナーの管理者ユーザーは、Gateway ごとのレベルで設定されている場合にパートナー ハンドオフでスタティック ルートを設定すると、「未定義のプロパティ v6Detail を設定できません (cannot set property v6Detail of undefined)」というエラー メッセージを受け取ります。オペレータ ユーザーは、問題なく変更を行うことができます。

  • 解決した問題 112912:新しいユーザー インターフェイスを備えた VMware SASE Orchestrator で、ユーザーが「エンタープライズ サポート」ロールでログインして Edge の「リモート アクション」を実行すると、[再起動 (Reboot)] オプションがグレー表示になります。

    エンタープライズ サポート ユーザーは、従来のユーザー インターフェイスを使用して Edge をリモートで再起動できますが、新しいユーザー インターフェイスでも同様に実行できる必要があります。

  • 解決した問題 113209:Edge が「劣化 (Degraded)」状態にある場合、ユーザーは VMware SD-WAN Edge を SASE Orchestrator から削除できません。

    Orchestrator は、「劣化した Edge と接続された Edge は削除できません (Degraded edges and connected edges cannot be deleted)」というエラー メッセージをスローします。ユーザーは接続されている Edge を削除できませんが、劣化した Edge を削除できる必要があります。

  • 解決した問題 114224:VMware SASE Orchestrator で新しいユーザー インターフェイスを使用しているときに、オペレータが Orchestrator のシステム プロパティから Google Maps の統合を削除しても、新しいユーザー インターフェイスには引き続き Google Maps が表示されます。

    ユーザーがシステム プロパティ service.client.googleMapsApi.enable を false に変更してオンプレミスのカスタマーの Google Maps 統合を削除する場合、Google Maps 統合は新しいユーザー インターフェイスから削除される必要があります。実際には、変更は従来のユーザー インターフェイスにのみ適用されます。

  • 解決した問題 114564:ユーザーは、VMware SASE Orchestrator の新しいユーザー インターフェイスの Edge インターフェイスのオプションの設定で [802.1P 設定 (802.1P Setting)] を設定できません。

    この設定は従来の Orchestrator でオプションの設定として表示されますが、このパラメータはリリース 5.2.0 のデフォルトのユーザー インターフェイスである新しいユーザー インターフェイスには表示されません。

  • 解決した問題 114900:[Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] タブが、エンタープライズ読み取り専用ユーザーには表示されません。

    この問題は、エンタープライズ読み取り専用ロールの権限が正しく設定されていないことが原因で発生します。

  • 解決した問題 115527:ユーザーが Zscaler タイプの Edge 経由の Non SD-WAN Destination を設定すると、VMware SASE Orchestrator の新しいユーザー インターフェイスで [監視 (Monitor)] > [Edge (Edges)] を確認してもトンネルの状態が表示されません。

    Edge トンネル レコードを取得するために新しいユーザー インターフェイスが使用される API は、Edge ソフトウェア バージョンが常に「x.x.x」の形式に従うという誤った想定をしているため、バージョンがこの形式に従っていない Edge(5.1.0.3 など)からのトンネルの状態データを除外します。

  • 解決した問題 115719:プロファイル レベルで [デバイス設定 (Device Settings)] に変更が加えられると、インターネット バックホール ルールはビジネス ポリシー ルールに保持されません。

    Orchestrator は、[プロファイル (Profile)] の [デバイス設定 (Device Settings)] セクションの変更時にバックホール ルールを誤って削除します。

  • 解決した問題 116958:VMware SASE Orchestrator の新しいユーザー インターフェイスを使用しているときに、オペレータ ユーザーが [オペレータ イベント (Operator Events)] ページに移動すると、API エラー メッセージが表示される場合があります。

    この問題は、フィルタのイベント キャッシュがクリアされず、すべての [イベント (Events)] ページで共有されることが原因で発生します。[エンタープライズ イベント (Enterprise Events)] ページには、[オペレータ (Operator)] と [パートナー (Partner)] ページで禁止されている値を設定する必要があります。

  • 解決した問題 116976:VMware SASE Orchestrator の API ユーザーの場合、パラメータ {"detailed": true} を指定して API が呼び出され、呼び出し元がパートナーの管理者である場合、getEnterpriseEdgeLInkStatus は 24 時間以上切断されたリンクを示す応答を返さないことがあります。

    4.0.0 リリースに導入されたリグレッションがあり、パートナーの管理者のログインに対して最近のリンクのみを返すように API の動作が変更されました。この問題は、オペレータまたはエンタープライズ管理者のログインには影響しません。

既知の問題

リリース 5.2.0 での未解決の問題。

Edge/Gateway の既知の問題

  • 問題 14655:

    SFP アダプタを接続または取り外すと、Edge 540、Edge 840、Edge 1000 でデバイスが応答を停止し、物理的な再起動が必要になる場合があります。

    回避策:Edge を物理的に再起動する必要があります。これは、Orchestrator で [リモート アクション (Remote Actions)] > [Edge の再起動 (Reboot Edge)] を使用するか、Edge の電源を入れ直すことで実行できます。

  • 問題 25504:

    コストが 255 より大きいスタティック ルートで、ルートの順序設定が予期しない結果になる可能性があります。

    回避策:0 と 255 の間のルート コストを使用します。

  • 問題 25595:

    WAN オーバーレイ上の静的 SLA への変更を適切に機能させるために、再起動が必要になる場合があります。

    回避策:WAN オーバーレイからの静的 SLA の追加と削除後、Edge を再起動します。

  • 問題 25742:

    VMware SD-WAN Gateway に対する最大容量が Gateway に接続されていないプライベート WAN リンクの容量よりも少ない場合でも、アンダーレイが考慮されたトラフィックの上限がこの最大容量に制限されます。

  • 問題 25758:

    USB WAN リンクが、ある USB ポートから別の USB ポートにスイッチされると、VMware SD-WAN Edge が再起動されるまで、正常に更新されない場合があります。

    回避策:1 つのポートから別のポートに USB WAN リンクを移動した後に Edge を再起動します。

  • 問題 25885:

    Partner Gateway(200 BGP が設定された VRF など)で大規模な設定の更新があると、VMware SD-WAN Gateway を経由する一部のトラフィックで遅延が約 2 ~ 3 秒増加する可能性があります。

    回避策:回避策はありません。

  • 問題 25921:

    ハブに 3,000 個のブランチ Edge が接続されている場合、VMware SD-WAN ハブの高可用性のフェイルオーバーにかかる時間が予想よりも長くなります(最大 15 秒)。

    回避策:回避策はありません。

  • 問題 25997:

    スイッチ ポートに変換されたルーティング インターフェイスでトラフィックを適切に渡すために、VMware SD-WAN Edge で再起動が必要になる場合があります。

    回避策:設定を変更した後で、Edge を再起動します。

  • 問題 26421:

    クラスタへのトンネルを確立するには、すべてのブランチ サイトのプライマリ Partner Gateway も VMware SD-WAN ハブ クラスタに割り当てる必要があります。

    回避策:回避策はありません。

  • 問題 28175:

    NAT IP アドレスが VMware SD-WAN Gateway インターフェイスの IP アドレスと重複していると、ビジネス ポリシー NAT が失敗します。

    回避策:回避策はありません。

  • 問題 31210:

    VRRP:ARP が VRRP の仮想 IP アドレスに対して LAN クライアントで解決されません。これは、VMware SD-WAN Edge がプライマリで LAN インターフェイスでグローバルでない CDE セグメントが実行されている場合に発生します。

    回避策:回避策はありません。

  • 問題 32731:

    ルートを無効にすると、OSPF 経由で広報された条件付きデフォルト ルートが正しく戻されないことがあります。

    回避策:ルートを再度有効にしてから再度無効にすると、正常に取り消されます。

  • 問題 32960:

    有効化された VMware SD-WAN Edge のローカル Web ユーザー インターフェイスで、インターフェイスの「自動ネゴシエーション」と「速度」の状態が誤って表示されることがあります。

    回避策:Orchestrator ユーザー インターフェイスで [リモート診断 (Remote Diagnostics)] > [インターフェイスの状態 (Interface Status)] を参照してください。

  • 問題 32981:

    DPDK が設定されたポートのハードコーディングの速度とデュプレックスで、DPDK をオフにする必要があるため、設定を有効にするために VMware SD-WAN Edge の再起動が必要になる場合があります。

    回避策:この問題の回避策はありません。

  • 問題 34254:

    Zscaler CSS が作成され、グローバル セグメントで FQDN/PSK が設定されている場合、これらの設定が非グローバル セグメントにコピーされて、IPsec トンネルが Zscaler CSS に形成されます。

  • 問題 35778:

    1 つのインターフェイス上に複数のユーザー定義 WAN リンクがある場合、これらの WAN リンクのうちの 1 つのみが Zscaler への GRE トンネルを持つことができます。

    回避策:Zscaler への GRE トンネルを構築する必要がある WAN リンクごとに、異なるインターフェイスを使用します。

  • 問題 36923:

    ハブとしてクラスタに接続されている VMware SD-WAN Edge の NetFlow インターフェイスの説明で、そのクラスタ名が正しく更新されない場合があります。

  • 問題 38682:

    DPDK が設定されたインターフェイスで DHCP サーバとして動作している VMware SD-WAN Edge が、接続されているすべてのクライアントに対して「新しいクライアント デバイス」イベントを適切に生成しないことがあります。

  • 問題 38767:

    Zscaler に GRE トンネルが設定されている WAN オーバーレイが自動検出からユーザー定義に変更されると、次に再起動するまで、古いトンネルが残ることがあります。

    回避策:Edge を再起動して、古いトンネルをクリアします。

  • 問題 39374:

    VMware SD-WAN Edge に割り当てられた VMware SD-WAN Partner Gateway の順序を変更すると、帯域幅のテストに使用されるローカル ゲートウェイとしてゲートウェイ 1 が正しく設定されない場合があります。

  • 問題 39608:

    リモート診断「Ping テスト」の出力で、正しい結果が表示される前に、無効な内容が一時的に表示されることがあります。

    回避策:この問題の回避策はありません。

  • 問題 39624:

    親インターフェイスが PPPoE で設定されている場合、サブインターフェイス経由の ping が失敗することがあります。

    回避策:この問題の回避策はありません。

  • 問題 39753:

    動的なブランチ間 VPN をオフに切り替えると、現在、動的なブランチ間を使用して送信されている既存のフローが停止する可能性があります。

    回避策:メンテナンス期間中にのみ動的なブランチ間 VPN を無効にしてください。

  • 問題 40421:

    スイッチ ポートとして設定されたインターフェイスを使用して VMware SD-WAN Edge を通過するときに、traceroute でパスが表示されません。

  • 問題 40096:

    アクティベーション済みの VMware SD-WAN Edge 840 が再起動された場合、リンクが点灯し、VMware SD-WAN Orchestrator でポートが「稼動中」と表示されていても、Edge に接続されている SFP モジュールがトラフィックの通過を停止する可能性があります。

    回避策:SFP モジュールを取り外して、ポートに再度接続します。

  • 問題 42278:

    特定のタイプのピアの設定ミスにより、VMware SD-WAN Gateway が IKE 初期化メッセージを非 SD-WAN ピアに継続的に送信することがあります。この問題により、Gateway へのユーザー トラフィックが中断されることはありません。ただし、Gateway のログに IKE エラーが大量に記録されて、有用なログ エントリが確認しづらくなる可能性があります。

  • 問題 42872:

    ハブ クラスタが関連付けられているハブ プロファイルでプロファイルの隔離を有効にしても、ルーティング情報ベース (RIB) からハブ ルートが取り消されません。

  • 問題 43373:

    複数の VMware SD-WAN Edge から同じ BGP ルートを学習していて、このルートをオーバーレイ フロー制御で優先から対象終了に移動すると、その Edge が広報 リストから削除されず、広報されたままになります。

    回避策:VMware SD-WAN Orchestrator の分散コスト計算を有効にします。

  • 問題 44995:

    ルートがハブ クラスタから戻された場合に、OSPF ルートが VMware SD-WAN Gateway および VMware SD-WAN スポーク Edge から取り消されません。

  • 問題 45189:

    送信元 LAN 側 NAT が設定されている場合、NAT サブネットのスタティック ルートを設定しなくても、VMware SD-WAN スポーク Edge からハブ Edge へのトラフィックが許可されます。

  • 問題 45302:

    VMware SD-WAN ハブ クラスタで、1 つのハブが、そのハブとその割り当てられているスポーク Edge の間で共通のすべての VMware SD-WAN Gateway への接続が 5 分より長い間失われた場合、まれに、スポークがハブ ルートを 5 分後に保持できなくなるという状態になることがあります。この問題は、ハブが Gateway との接続を回復したときに自動的に解消されます。

  • 問題 46053:

    ネイバーがアップリンク ネイバーに変更されても、BGP プリファレンスがオーバーレイ ルートに対して自動修正されません。

    回避策:Edge サービスを再起動すると、この問題は修正されます。

  • 問題 46137:

    3.4.x ソフトウェアを実行している VMware SD-WAN Edge で、Edge が GCM 用に設定されていても、AES-GCM 暗号化を使用したトンネルが開始されません。

    回避策:カスタマーが AES-256 を使用している場合は、Edge を 4.x リリースにアップグレードする前に、Orchestrator から GCM を明示的に無効にする必要があります。すべての Edge で 4.x リリースが実行されている状態になったら、カスタマーは AES-256-GCM または AES-256-CBC を選択できます。

  • 問題 46216:

    ピアが AWS インスタンスの Gateway または Edge 経由の Non SD-WAN Destination で、フェーズ 2 の再キー化をピアが開始すると、フェーズ 1 の IKE も削除されて再キー化が強制されます。これは、トンネルが破棄されてから再構築されることを意味し、その結果トンネルの再構築中にパケット ロスが発生します。

    回避策:トンネルの破棄を回避するには、Gateway または Edge 経由の Non SD-WAN Destination または CSS IPsec の再キー化タイマーを 60 分未満に設定します。これにより、AWS が再キー化を開始できなくなります。

  • 問題 46391:

    VMware SD-WAN Edge 3800 の場合、SFP1 および SFP2 のインターフェイスそれぞれにマルチレート SFP (1/10G) の問題があり、これらのポートで使用できなくなります。

    回避策:ナレッジベースの記事VMware SD-WAN SupportedSFP Module List (79270)に従って、単一レートの SFP を使用してください。マルチレート SFP は、SFP3 と SFP4 で使用できます。

  • 問題 47664:

    ハブを介したブランチ間 VPN が設定されていないハブとスポークの設定では、L3 スイッチ/ルーターのサマリ ルートを使用してブランチ間トラフィックを戻そうとすると、ルーティング ループが発生します。

    回避策:ブランチ間 VPN を有効にするようにクラウド VPN を設定し、[VPN にハブを使用 (Use Hubs for VPN)] を選択します。

  • 問題 47681:

    VMware SD-WAN Edge の LAN 側のホストが、Edge の WAN インターフェイスと同じ IP アドレスを使用している場合、LAN ホストから WAN への接続が機能しません。

  • 問題 48530:

    VMware SD-WAN Edge 6x0 モデルで、3 つの速度 (10/100/1000 Mbps) の Copper SFP の自動ネゴシエーションが実行されません。

    回避策:Edge 520/540 は 3 つの速度の Copper SFP をサポートしていますが、このモデルは 2021 年の第 1 四半期に販売終了としてマークされています。

  • 問題 48597:ピアへの 2 つのパスのいずれかが停止した場合、マルチホップ BGP ネイバーシップは稼動状態ではなくなります。

    複数のパスがあり、そのうちの 1 つがダウンしているピアを持つマルチホップ BGP ネイバーシップがある場合、ユーザーは BGP ネイバーシップがダウンして、他の使用可能なパスを使用して起動しないことに気付きます。これには、ローカルの IP ループバック ネイバーシップも含まれます。

    回避策:この問題の回避策はありません。

  • 問題 50518:

    PKI が設定された VMware SD-WAN Gateway で、6,000 個を超える PKI トンネルが Gateway に接続しようとすると、受信 SA が削除されないため一部のトンネルが起動しない場合があります。

    注:

    プリシェアード キー (PSK) 認証を使用するトンネルには、この問題はありません。

  • 問題 51436:LTE モデムを使用して VMware SD-WAN Edge を展開しているときに、拡張された高可用性トポロジを使用しているサイトでは、サイトが「スプリット ブレイン」状態になった場合、高可用性のフェイルオーバーに 5~6 分かかります。

    スプリット ブレイン状態からのリカバリの一環として、アクティブ Edge 上で LAN ポートが停止し、ポートが停止している間、およびサイトがリカバリできるようになるまで LAN トラフィックに影響が生じます。

    回避策:この問題の回避策はありません。

  • 問題 52955:ステートフル DHCP で DAD 障害が発生した後、Edge から DHCP の拒否が送信されず、DHCP の再バインドが再開されません。

    DHCPv6 サーバが、DAD チェック中にカーネルによって重複として検出されたアドレスを割り当てた場合、DHCPv6 クライアントは拒否を送信しません。これにより、インターフェイス アドレスが DAD チェックの失敗としてマークされ、使用されないため、トラフィックのドロップが発生します。これにより、ネットワーク内でトラフィックがループすることはありませんが、トラフィックのブラックホールが発生します。

    回避策:この問題の回避策はありません。

  • 問題 53219:VMware SD-WAN ハブ クラスタの再調整後、いくつかのスポーク Edge で RPF インターフェイス/IIF が正しく設定されていない場合があります。

    影響を受けるスポーク Edge では、マルチキャスト トラフィックが影響を受けます。クラスタの再調整後、一部のスポーク Edge が PIM join の送信に失敗します。

    回避策:この問題は、影響を受けるスポーク Edge が、Edge サービスを再起動するまで続きます。

  • 問題 53934:VMware SD-WAN ハブ クラスタが設定されているエンタープライズで、プライマリ ハブに LAN 側のマルチホップ BGP ネイバーシップが含まれている場合、LAN 側で障害が発生すると、またはすべてのセグメントで BGP が設定されていないと、カスタマーはスポーク Edge でトラフィックのドロップを経験することがあります。

    ハブ クラスタでは、プライマリ ハブにピア デバイスとのマルチホップ BGP ネイバーシップがあり、ルートを学習します。BGP ネイバーシップが確立されているハブの物理インターフェイスが停止した場合、BGP ビューが空になっているにもかかわらず BGP LAN ルートがゼロにならない場合があります。これにより、ハブ クラスタの再調整が行われなくなる可能性があります。この問題は、BGP がすべてのセグメントで設定されておらず、1 つ以上のマルチホップ BGP ネイバーシップがある場合にも発生する可能性があります。

    回避策:LAN 側に障害がある(または BGP が有効化されていない)ハブを再起動します。

  • 問題 57210:VMware SD-WAN Edge が正常に動作していて、インターネットにアクセスできる場合でも、ローカル ユーザー インターフェイスの [概要 (Overview)] ページの LED が「赤色」で表示されます。

    Edge のローカル ユーザー インターフェイスは、Google の DNS リゾルバ (8.8.8.8) を介して既知の名前を解決できるかどうかによって Edge の接続を決定します。何らかの理由で実行できない場合は、オフラインと見なされ、LED が赤色で表示されます。

    回避策:8.8.8.8 への DNS トラフィックが宛先に到達し、正常に解決されることを確認する以外に、この問題の回避策はありません。

  • 問題 61543:複数の 1:1 NAT ルールが同じ内部 IP を持つ異なるインターフェイス上で設定されている場合、インバウンド トラフィックは 1 つのインターフェイスで受信でき、同じフローの送信パケットは異なるインターフェイス経由でルーティングできます。

    外部から内部への NAT フローの場合、1:1 NAT ルールは、パケットが受信される外部 IP およびインターフェイスに対して照合されます。同じフローの送信パケットの場合、VMware SD-WAN Edge は、内部 IP を比較して NAT ルールを再度照合しようとします。送信トラフィックは、「送信トラフィック」が設定されている最初の一致したルールで設定されたインターフェイスを介してルーティングできます。

    回避策:特定の内部 IP アドレスを使用して 1:1 NAT ルールを 1 つのみ設定する以外に、この問題の回避策はありません。

  • 問題 65560:カスタマーから PE(プロバイダ Edge)デバイスへのトラフィックが失敗します。

    ハンドオフ設定でタグ タイプが「なし」と選択されている場合、Partner Gateway とプロバイダ Edge 間の BGP ネイバーシップが確立されません。これは、タグ タイプが「なし」の場合、Orchestrator のハンドオフ設定ではなく、/etc/config/gatewayd から ctag、stag 値が選択されるためです。

    回避策:/etc/config/gatewayd の vrf_vlan->tag_info で、ctag、stag の値をそれぞれ 0 に更新します。vc_procmon を再起動します。

  • 問題 67879:ユーザーが WAN インターフェイス設定で WAN オーバーレイ設定を自動検出からユーザー定義に変更すると、クラウド セキュリティ サービス (CSS) トンネルが削除されます。

    変更を保存した後、カスタマーがトンネルをダウンしてから、再び起動するまで、CSS トンネルは起動しません。WAN 設定を変更すると、CSS トンネルがダウンし、CSS セットアップが再度解析されます。ただし、場合によっては、nvs_config>num_gre_links が 0 になり、CSS トンネルが起動に失敗することがあります。

    回避策:CSS 設定を無効にしてから再度有効にすると、CSS トンネルが起動します。

  • 問題 68057:DHCPv6 リリース パケットは、WAN インターフェイス アドレス モードが DHCP ステートフルから静的 IPv6 アドレスに変更されても、VMware SD-WAN Edge から送信されず、リースは有効期限に達するまでアクティブのままになります。

    DHCPv6 クライアントは、設定の変更が行われたときに解放されないリースを所有しています。リースは、DHCPv6 サーバで有効期間が切れて削除されるまで有効なままです。

    回避策:リースは有効期間までアクティブなままとなり、この問題を修正する方法はありません。

  • 問題 68851:VMware SD-WAN Edge と VMware SD-WAN Gateway にそれぞれ同じ TCP Syslog サーバが設定されている場合、Edge から Syslog サーバへの TCP 接続は確立されません。

    Edge と Gateway がそれぞれ同じ TCP サーバを持ち、Edge からの Syslog パケットが Gateway 経由でルーティングされる場合、Syslog サーバは TCP リセットを Edge に送信します。

    回避策:Gateway 経由でルーティングする代わりに、Edge から直接 Syslog パケットを送信するか、Edge と Gateway に別の Syslog サーバを設定します。

  • 問題 69284:Edge が HA 設定で VNF をデプロイし、リリース 4.x を使用している高可用性トポロジを使用しているサイトで、これらの HA Edge が HA VNF がサポートされていない 3.4.x リリースにダウングレードされてから 4.5.0 にアップグレードされた場合、HA VNF が再度有効化されると、スタンバイ Edge VNF が起動しません。

    HA VNF ペアが、VNF-HA をサポートするバージョン(リリース 4.0 以降)から、Orchestrator で VNF が設定されていて、VNF-HA(リリース 4.0 以降)をサポートしないリリースにダウングレードされた場合、スタンバイ Edge の VNF 状態は、SNMP を介してダウンと通知されます。この問題は、Edge が VNF-HA をサポートするバージョンにアップグレードされ、Orchestrator で再度設定されている場合に発生します。

    回避策:Edge が VNF をサポートしていないバージョンにダウングレードされている HA 設定の場合は、まず VNF を無効にする必要があります。

  • 問題 72358:VMware SD-WAN Orchestrator DNS 名の IP アドレスが変更されると、VMware SD-WAN Gateway の管理プレーン プロセスで DNS 名が正しく解決されず、Gateway は Orchestrator に接続できなくなります。

    Gateway の管理プロセスは、Orchestrator の DNS 名の DNS 解決を定期的にチェックし、

    最近変更されたかどうかを確認することで、Gateway が正しいホストに接続できるようにします。DNS 解決コードに問題があるため、これらの解決チェックはすべて失敗し、Gateway は古いアドレスを引き続き使用するため、Orchestrator に接続できなくなります。

    回避策:この問題が解決されるまで、オペレータ ユーザーは Orchestrator の IP アドレスを変更しないでください。Orchestrator の IP アドレスを変更する必要がある場合は、その Orchestrator に接続しているすべての Gateway を再度有効化する必要があります。

  • 問題 77541:IPv6 をサポートする USB モデムを取り外して、VMware SD-WAN Edge USB インターフェイスに再挿入すると、IPv6 アドレスが USB インターフェイスにプロビジョニングされないことがあります。

    これは、ModemManager アプリケーションで管理される USB モデムではなく、IP ベースの USB モデムに影響します。ほとんどの Inseego モデムは IP ベースであり、Inseego は VMware SASE が推奨するモデム メーカーであるため、これは重要です。IP ベースではなく、ModemManager を使用し、IPv6 をサポートする USB モデムは、プラグ アウトとプラグ インのシナリオでは問題ありません。

    回避策:USB モデムが Edge の USB ポートに再挿入された後、Edge を再起動する(または電源を切って入れ直す)必要があります。再起動後、Edge はモデムの IPv6 アドレスを取得します。

  • 問題 81852:L7 健全性チェックをオンにした GRE トンネルを使用する Zscaler タイプのクラウド セキュリティ サービス (CSS) を使用している VMware SD-WAN Edge の場合、その Edge をリリース 5.0.0 にアップグレードすると、場合によっては L7 健全性チェック エラーが発生することがあります。

    これは通常、ソフトウェアのアップグレード中または起動時に発生します。GRE トンネルを使用した CSS の L7 健全性チェックがオンになっている場合、ソケットの getaddress エラーに関連するエラー メッセージが表示されることがあります。観察されたエラーは断続的に発生し、一貫性がありません。このため、L7 健全性チェックのプローブ メッセージは送信されません。

    回避策:この修正を行わない場合、問題を修正するには、ユーザーが L7 健全性チェックの設定をオフにしてから再度オンにする必要があり、これにより、この機能は想定どおりに動作します。

  • 問題 82184:Edge リリース 5.0.0 を実行している VMware SD-WAN Edge で、Edge の br-network IPv4/IPv6 アドレスに対して traceroute または traceroute6 を実行すると、UDP プローブを使用したときに traceroute が適切に終了しません。

    デフォルト モード(UDP プローブ)が使用されている場合、Edge の br-network IPv4/IPv6 アドレスへの traceroute または traceroute6 が適切に機能しません。

    回避策:traceroute および traceroute6 で -I オプションを使用して ICMP プローブを使用すれば、br-network IPv4/IPv6 アドレスへの traceroute が想定どおりに動作します。

  • 問題 85402:Partner Gateway が設定された BGP を使用しているカスタマー エンタープライズの場合、一部の BGP ネイバーシップがダウンし、カスタマー トラフィックの問題が発生する場合があります。

    カスタマーが Edge および Gateway との BGP ピアリングを持つルーター上で最大プレフィックスを設定している場合、BGP セッションがルーターによってドロップされる場合があります。

    たとえば、ルーターの BGP が最大「n」個のプレフィックスのみを受信するように設定されているが、Edge と Gateway にはフィルタが存在しない場合に広報される「n」個を超えるプレフィックスがある場合です。Orchestrator で BGP フィルタ設定が変更された場合、アウトバウンド方向で許可されるプレフィックスの総数が「n」個未満であっても、フィルターが適用される前に「n」個を超えるプレフィックスがピアに送信される問題が発生します。これにより、ルーターがセッションを破棄します。

    回避策:この問題(プレフィックスの最大数に到達)が原因で BGP がダウンした場合は、CLI を使用してピアで BGP をフラップします(FRR/Cisco の場合は、「neighbor x shut」に続いて「no neighbor x shut」)。BGP は、ピアに広報される必要な数のプレフィックスのみを生成します。

  • 問題 92481:VMware SD-WAN Edge の WAN インターフェイスが VMware SASE Orchestrator で無効化されている場合でも、SNMP はインターフェイスを「稼動中 (UP)」として報告します。

    インターフェイス出力の主要なデバッグ プロセスに、Edge WAN インターフェイス(Edge 6x0 または 3x00 モデルの GE3 や GE4 など)の物理ポートの詳細が含まれていません。その結果、SNMP がそれらのインターフェイスをポーリングすると、インターフェイスの設定に関係なく、稼動中という結果が常に返されます。

    回避策:この問題の回避策はありません。

  • 問題 95399:イーサネット リンクが物理的に VMware SD-WAN Edge インターフェイスから取り外された場合、または接続された場合、VMware SASE Orchestrator はその Edge からこのイベントの通知を受信せず、カスタマーのイベントには表示されません。

    カスタマーは Orchestrator がこれらのイベントを [イベント (Events)] ページで報告することに依存しています。これらのイベントが記録されていない場合は、さまざまなサイトの監視がより信頼できなくなります。

    回避策:この問題の回避策はありません。

  • 問題 97559:拡張高可用性トポロジを使用して展開されたカスタマー サイトで、スタンバイ ロールの VMware SD-WAN Edge に接続されている WAN リンクが、WAN リンクが接続されている Edge の WAN インターフェイスが稼動している場合でも、VMware SASE Orchestrator でダウンと表示され、カスタマー トラフィックを渡さないことがあります。

    tcpdump または診断バンドルのログを確認すると、ARP 要求を受信した後、ポートがブロックされているためにスタンバイ Edge が応答していないことがわかります。拡張 HA では、Edge がスタンバイのロールを引き受けると、次のイベントが順次発生します。

    1. スタンバイ Edge は、すべてのポートをブロックします。

    2. スタンバイ Edge は、拡張 HA に展開されていることを検出し、WAN ポートのブロックを解除してトラフィックを渡します。

    この問題が発生すると、イベント 1 として、初期のポート ブロッキングが完了するまでに予期せず長い時間がかかり、続くイベント 2 では、イベント 1 が完了する前にすべての WAN ポートのブロック解除が完了します。イベント 1 が完了すると、最終的な状態として、スタンバイ Edge ですべての WAN ポートがブロックされます。

    回避策:この問題を修正しない HA Edge では、回避策として、スタンバイ Edge をアクティブに昇格する HA フェイルオーバーを強制的に実行し、HA Edge の WAN リンクを起動します。

  • 問題 98136:動的なブランチ間 VPN が設定されているハブ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、SD-WAN スポーク Edge の背後のクライアント ユーザーの環境では、最適でないパスを使用するトラフィックによって一部のトラフィックに予期しない遅延が発生する場合があります。

    この問題が発生するスポーク Edge トラフィックで使用されるルートは、最初は、スポーク Edge が使用していたプロファイルに含まれていないハブ Edge のアップリンク以外のルートでした。トラフィックが他の無関係なプレフィックスに送信されるため、動的なブランチ間 VPN トンネルをスポーク Edge からハブ Edge に形成できます。この場合、アップリンク以外のルートがスポーク Edge にインストールされます。

    この非アップリンク ルートの結果として、このプレフィックスへのすべてのトラフィックがハブ Edge を通過し始め、

    非アップリンク ルートがアップリンクになります(コミュニティはアップリンク コミュニティに変更されます)。ただし、以前にインストールされた非アップリンク ルートは取り消されず、トラフィックは動的なブランチ間 VPN トンネルが稼動している限り、ハブ Edge パスを選択します。

    回避策:動的なブランチ間 VPN トンネルが破棄されるまで待機します。その後、ハブ Edge に向かう新しい動的なブランチ間 VPN トンネルが形成されると、アップリンク ルートはスポーク Edge にインストールされません。

  • 問題 106289:VMware SD-WAN ハブ Edge は、接続されたスポーク Edge へのフローまたはバックホール フローでパケットをドロップする場合があります。

    バックホール フロー フラグは、QoS 同期プロセス中に設定されます。コード内には、フローの作成中にフラグを設定する場所があります。Edge は、QoS 同期メッセージ処理の結果としてのみこのフラグを設定する必要があります。

    回避策:この問題に対する修正を行わないハブ Edge でこの問題が発生した場合は、ハブ Edge 上のフローをフラッシュして問題を一時的に修正します。

  • 問題 109771:VMware SD-WAN Edge は、間に NAT66 が適用されている場合、Cisco CSR/ASE タイプの Edge 経由の Non SD-WAN Destination とのトンネルを確立できない場合があります。

    2 つのピア間で送信元 IPv6 アドレス NAT が Cisco CSR/ASA に関係している場合、トンネルは確立されません。

    回避策:この問題の修正が適用されていない Edge では、唯一の回避策は、NAT66 over IPsec をサポートする Cisco ソフトウェアのバージョンに Cisco CSR/ASA をアップグレードすることです。

  • 問題 110561:トラフィックが停止してから再開すると、双方向トラフィックを持つ同じ VMware SD-WAN Edge のセット間で動的トンネルが起動しない場合があります。

    この問題は、Edge 間で大量の双方向トラフィックが送信される 6,000 個の動的トンネルがあるテスト環境で発生します。1,000 個の動的トンネルでより小規模のテストを行っても、すべてのトンネルが起動するわけではありません。

    回避策:この問題の回避策はありません。

  • 問題 111085:VMware SD-WAN Edge の WAN リンクが、Edge のループバック IP と同じネットワーク内の IP アドレスで設定されている場合、Edge は、Edge のループバック IP アドレスに対する ARP リクエストに応答する際に、WAN インターフェイスの MAC アドレスを使用します。

    これにより、ARP スプーフィングが発生し、その結果として管理 IP アドレスが廃止され、ネットワークが中断する可能性があります。

    回避策:この問題の回避策はありません。

  • 問題 113877:BGP/GRE LAN を設定しているカスタマーが TGW GRE を使用している場合、TGW GRE の BGP 設定がグローバル セグメントで変更されると、すべてのセグメントの TGW セカンダリ トンネルで BGP フラップとトラフィックの中断が発生します。

    カスタマーがグローバル セグメント上の TGW GRE の BGP 設定を変更すると、グローバル セグメントおよびその他のセグメントのセカンダリ トンネルがフラップし、BGP 接続のリセットと再コンバージェンスが発生し、トラフィックが中断します。BGP 接続が再形成され、トラフィックがリストアされます。

    回避策:この問題の回避策はありません。

  • 問題 117037:複数の WAN リンクを使用してスポーク Edge とハブ Edge の間のトラフィックを送受信するハブ/スポーク トポロジを使用しているカスタマーの場合、WAN リンクが WAN リンクの帯域幅を集約していないため、ビジネス ポリシーによってステアリングされるトラフィックのパフォーマンスが想定よりも低くなる場合があります。

    SD-WAN はカウンタを使用して、再シーケンス キューにバッファされたパケット数を計算します。このカウンタはピアごとに管理され、ピアごとに 4K パケットのみがバッファされるようにするために使用されます。状況によっては、このカウンタが負の値になる場合があります。リリース 4.2.x より前のリリースでは、このカウンタが負の値になると、再シーケンス キュー内のパケットをフラッシュした直後に、各カウンタが 0 にリセットされました。ただし、リリース 4.3.x 以降では、このカウンタは自動的に更新され、カウンタが想定された範囲内に留まるようにしています。

    この動作の変更の結果、カウンタの計算が正しくないため、再シーケンス キューの数値が非常に高くなり、SD-WAN が各パケットをフラッシュすることによって応答することがあります。このアクションにより、帯域幅の集約が妨げられるだけでなく、単一のリンク上にあるはずのフローの効率が低下する場合があります。

    回避策:この問題を修正していない Edge では、回避策として、一致するトラフィックを単一の必須リンクにステアリングするビジネス ポリシーを設定します。

  • 問題 117314:送信元と宛先の IP アドレス ペアの間に ICMP フローがすでに存在する場合、オブジェクト グループ/サービス グループ(タイプとコード)を使用して ICMP パケットをフィルタリングするファイアウォール ルールが機能しないことがあります。

    ファイアウォール機能のリビジョンの一環として、ICMP タイプとコードのキャッシュのために導入された変更が元に戻されました。これは、ICMP タイプとコード(ICMP リダイレクト タイプ 5 とコード 0 など)を持つサービス グループを使用するファイアウォール ルールに影響しました。送信元 IP アドレスと宛先 IP アドレスの間にフローがすでに存在する場合、このフローのルールに一致する ICMP トラフィックは適用されず、セッションの最初のパケットのみがファイアウォール ルールに一致します。この問題は、IPv4 または IPv6 のいずれかの ICMP フローに影響します。

    回避策:フローをフラッシュして新しい ICMP フローを作成すると、問題が一時的に修正されます。

  • 問題 117876:高可用性トポロジを使用しているカスタマー サイトで、ユーザーが拡張ファイアウォール サービスを有効または無効にすると、VMware SD-WAN HA Edge が複数回再起動することがあります。

    拡張ファイアウォール サービスが有効または無効になっている場合は、アクティブ Edge のデバイス設定のみがスタンバイ Edge とすぐに同期され、残りの設定同期はスタンバイ Edge のハートビートにのみ応答します。スタンバイ Edge からハートビートを受信する前にアクティブ Edge を再起動して最新の設定を適用すると、2 つの HA Edge 間で設定の不一致が発生し、設定の同期を完了するために再起動が複数回実行されます。

    回避策:回避策は、HA Edge のメンテナンス期間中に拡張ファイアウォール サービスをオンまたはオフにすることのみです。

  • 問題 121606:Partner Gateway を使用しているカスタマー エンタープライズでは、その Gateway を使用する Non SD-WAN Destination を含む一部のトラフィックでトラフィックがドロップすることがあります。

    リリース 5.1.0 以降の Partner Gateway は、IPsec インターフェイスあたり最大 64 個の IP アドレスをサポートします。Partner Gateway の場合、ハンドオフ IP アドレスがこの IPsec インターフェイスに無条件で追加されます。ハンドオフ IP アドレスの数が 64 の制限を超えると、IPsec プロセスで古い IP アドレスが上書きされ、上書きされた IP アドレスを使用するトンネルがダウンします。

    回避策:すべての Partner Gateway ハンドオフ IP アドレスが想定どおりに設定されている場合、これらのアドレスの一部を別の PG に移動する(たとえば、Gateway 経由の NSD を移動する)以外に回避策はありません。ただし、不要な PG ハンドオフ IP アドレスがある場合は、それらを削除してハンドオフ IP アドレスの合計が 63 以下になれば問題を解決できます。設定を変更した後、Gateway サービスを再起動する必要があります。

  • 問題 121998:ハブ/スポーク トポロジでステートフル ファイアウォールを使用しているカスタマーの場合、スポークとハブの間のトラフィック用に設定されたファイアウォール ルール(送信元 VLAN が含まれている)に一致するトラフィックがドロップされる場合があります。

    アプリケーション分類、ビジネス ポリシー テーブル、またはファイアウォール ポリシー テーブルのバージョンが変更されると、SD-WAN は次のパケットでフローのファイアウォール参照を実行します。タイミングの問題により、そのパケットは管理トラフィック (VCMP) 側のパケットになる可能性があります。その結果、ファイアウォール ポリシーの参照キーの作成中に、SD-WAN はスポーク Edge VLAN をハブ Edge VLAN とスワップするため、ルールと一致せず、そのトラフィックをドロップします。

    回避策:カスタマーは、[送信元 (Source)] を Edge VLAN から「任意」に変更できます。

  • 問題 125274:カスタマーが SNMP ウォークを実行すると、VMware SD-WAN Edge のループバック インターフェイスが検出されません。

    Edge ループバック インターフェイスは、Edge が WAN または LAN として分類しない一意のインターフェイス カテゴリです。その結果、ループバック インターフェイスは、snmp-request に対して処理するインターフェイスの許可リストに含まれません。

    回避策:この問題の回避策はありません。ループバック インターフェイスの状態は、Orchestrator ユーザー インターフェイスを介して個別に監視する必要があります。

  • 問題 125421:VMware SASE Orchestrator ユーザー インターフェイスの [監視とイベント (Monitoring and Events)] ページで VMware SD-WAN Edge の WAN リンクが断続的にダウン状態になってから再度稼動状態になり、Edge が応答しなくなって手動で再起動されるまでトラフィックの通過に失敗したり、Edge でデータプレーン サービスの障害が発生して再起動したりする場合があります。

    これは、Edge データプレーン サービスが共有メモリを開けず、古い PI を引き起こすときに発生する Edge メモリ リークの問題です。これにより、開いているファイル記述子が枯渇し、最初に WAN リンクに影響します。ただし、この問題がさらに進行して Edge メモリが枯渇すると、Edge は次の状態になることがあります。

    1. 応答しなくなり、Orchestrator を介してアクセスできなくなるため、オンサイトでの再起動/電源の入れ直しが必要になります。

    2. Edge サービスの障害をトリガし、コア ファイルが生成され、リカバリのために Edge が再起動します。

    回避策:この問題が最初に確認された場合は、問題が悪化する前に、メンテナンス期間中の Edge サービスの再起動をスケジュール設定します。

  • 問題 134374:VMware SD-WAN Edge CELL インターフェイスに関連付けられたインバウンド ファイアウォール ルールが、想定どおりに順番に適用されません。

    Edge CELL インターフェイスがまだ作成されていないか、起動していない場合(SIM カードが挿入されていないなど)、ファイアウォール設定が解析されると、ファイアウォール ルールの CELL インターフェイス値が正しく入力されず、トラフィックがルールと一致しません。

    回避策:ルールを削除し、CELL インターフェイスが起動したら再作成します。

Orchestrator の既知の問題

  • 問題 21342:

    セグメントごとに Partner Gateway を割り当てると、VMware SD-WAN Edge の監視リストで、ゲートウェイ割り当ての適切なリストがオペレータ オプションのゲートウェイの [表示 (View)] に表示されない場合があります。

  • 問題 24269:

    観測された WAN リンクの損失が、QoE グラフには反映されても、[監視 (Monitor)] > [トランスポート (Transport)] > [ロス (Loss)] に反映されません。 

  • 問題 25932:

    VMware SD-WAN Orchestrator で、使用中であっても VMware SD-WAN Gateway を Gateway プールから削除できます。

  • 問題 32335:

    ユーザーが契約に同意しようとすると、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) ページでエラーが発生します。

    回避策:エンタープライズ名の先頭または末尾にスペースが含まれていないことを確認してください。

  • 問題 32435:

    ポリシーベースの NAT 設定に対する VMware SD-WAN Edge 固有のルールが、すでにプロファイル レベルで設定されているタプルで許可されます(その逆も可能)。

  • 問題 32856:

    ハブ クラスタを使用してインターネット トラフィックをバックホールするようにビジネス ポリシーが設定されていても、リリース 3.2.1 からリリース 3.3.x にアップグレードされた VMware SD-WAN Orchestrator 上のプロファイルから、ユーザーがハブ クラスタを選択解除できます。

  • 問題 35658:

    あるプロファイルから CSS 設定が異なる別のプロファイルに VMware SD-WAN Edge が移動されたときに(例:プロファイル 1 は IPsec で、プロファイル 2 は GRE)、Edge レベルの CSS 設定が、以前の CSS 設定(例:IPsec と GRE)を引き続き使用します。 

    回避策:Edge レベルで GRE を無効化してから、GRE を再度有効にして問題を解決します。

  • 問題 35667:

    あるプロファイルから、CSS 設定は同じでも GRE CSS 名は異なる(同じエンドポイントの)別のプロファイルに VMware SD-WAN Edge が移動されたときに、一部の GRE トンネルが監視に表示されません。

    回避策:Edge レベルで GRE を無効化してから、GRE を再度有効化して問題を解決します。

  • 問題 36665:

    VMware SD-WAN Orchestrator がインターネットにアクセスできない場合、Google Maps API へのアクセスを必要とするユーザー インターフェイスのページが完全にはロードされない場合があります。

  • 問題 32913:

    高可用性を有効化した後、VMware SD-WAN Edge のマルチキャストの詳細が [監視 (Monitoring)] ページに表示されません。フェイルオーバーにより、この問題は解決されます。

  • 問題 33026:

    契約を削除した後、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) のページが適切に再ロードされません。

  • 問題 38056:

    Edge ライセンスの export.csv ファイルにリージョン データが表示されません。

  • 問題 38843:

    アプリケーション マップをプッシュするときに、オペレータ イベントがなく、Edge イベントは制限付きのユーティリティになります。

  • 問題 39633:

    ユーザーが Super Gateway として代替 Gateway を割り当てた後、Super Gateway のハイパーリンクが機能しません。

  • 問題 39790:

    VMware SD-WAN Orchestrator を使用すると、サポートされている 32 個のサブインターフェイスを超えてユーザーが VMware SD-WAN Edge のルーティング インターフェイスを設定できます。これにより、ユーザーは、インターフェイス上で 33 個以上のサブインターフェイスを設定できるようになり、Edge のデータプレーン サービスの障害を引き起こす可能性があります。

  • 問題 41691:

    [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで DHCP プールが枯渇していないのに、ユーザーが [アドレスの数 (Number of addresses)] フィールドを変更できません。

  • 問題 43276:

    VMware SD-WAN Edge またはプロファイルに Partner Gateway が設定されている場合に、ユーザーがセグメント タイプを変更できません。

    回避策:プロファイルまたは Edge から Partner Gateway 設定を一時的に削除して、セグメントをプライベートと通常の間で変更できるようにします。または、プロファイルからセグメントを削除し、そこから変更を加えることができます。

  • 問題 47713:

     クラウド VPN がオフにされているときにビジネス ポリシー ルールが設定された場合、クラウド VPN をオンにするときに NAT を再設定する必要があります。

  • 問題 47820:

    プロファイル レベルで DHCP がオフになっている状態で VLAN が設定されていて、同時に DHCP が有効になっている Edge 上でこの VLAN に対する Edge 固有のルールがある場合に、DNS サーバのフィールドが「なし」(IP アドレスが設定されていない)に設定されているエントリがあると、ユーザーは [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで変更を行うことができず、「無効な IP アドレス [] (invalid IP address [])」というエラー メッセージが表示されます。これは、実際の問題を説明または指摘していません。

  • 問題 48085:VMware SD-WAN Orchestrator で、ユーザーがインターフェイスに関連付けられている VLAN を削除することが許可されます。

    この問題が発生すると、「VLAN ID [xx] を削除できません。Edge [b1-edge1 (Gex-disabled)] によって使用されています (VLAN ID [xx] cannot be removed, in use by edge [b1-edge1 (GEx-disabled)])」のようなエラー メッセージが表示されます。

  • 問題 51722:VMware SASE Orchestrator では、[監視 (Monitor)] > [Edge] タブの統計情報の時間範囲セレクタは 2 週間以内です。

    一連の統計情報の保持期間が 2 週間よりはるかに長い場合でも、時間範囲セレクタの [監視 (Monitor)] > [Edge] タブに [過去 2 週間 (Past 2 Weeks)] を超えるオプションは表示されません。たとえば、フローとリンクの統計情報はデフォルトで 365 日間保持されますが(設定可能)、パスの統計情報はデフォルトで 2 週間のみ保持されます(これも設定可能です)。この問題により、すべての [監視 (Monitor)] タブが統計情報の最も低い保持タイプに従うことになり、ユーザーはその統計情報の保持期間に一致する期間を選択できません。

    回避策:ユーザーは、時間範囲セレクタの [カスタム (Custom)] オプションを使用して、2 週間以上のデータを表示できます。

  • 問題 60522:VMware SD-WAN Orchestrator ユーザー インターフェイスで、セグメントを削除しようとすると多数のエラー メッセージが表示されます。

    この問題は、1 つのセグメントをプロファイルに追加し、セグメントを複数の VMware SD-WAN Edge に関連付ける場合に発生する可能性があります。ユーザーが追加したセグメントをプロファイルから削除しようとすると、多数のエラー メッセージが表示されます。

    回避策:この問題の回避策はありません。

  • 問題 82095:Edge の接続に重大な問題を引き起こすことがある、Edge VLAN に対する無効なデバイス設定をユーザーが行う可能性があります。

    Orchestrator では、デバイス設定の検証を試みません。具体的には、空のテーブルを持つスイッチ ポートの VLAN 設定などです。一部の設定がエラーだらけになり、Edge の管理プロセスが失敗する可能性があります。

    回避策:すべての VLAN デバイス設定を確認し、これらの設定が有効であることを確認します。これは Orchestrator ではチェックされません。

  • 問題 82680:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI(クラウド間相互接続)を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにすると、Zscaler MT-GRE エントリが Zscaler ポータルから一貫して削除されないことがあります。

    CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。

    回避策:再試行する前に、Zscaler からリソースを手動で削除します。

  • 問題 82681:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI(クラウド間相互接続)を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにし、Zscaler クラウド セキュリティ サービスを使用する CCI が設定されている VMware SD-WAN Edge から CCI フラグを無効にすると、Zscaler MT-GRE エントリが Edge または Zscaler ポータルから削除されないことがあります。

    CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。

    回避策:再試行する前に、Zscaler からリソースを手動で削除します。

  • 問題 103769:オペレータは、大規模な展開の VMware SASE Orchestrator で、ディスク使用率が 100% になり、Orchestrator でログが蓄積されなくなるなどのパフォーマンスの問題に遭遇する場合があります。

    この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。

    回避策:スーパー ユーザー オペレータは Orchestrator にログインし、保留中のログをクリーンアップする必要があります。

  • 問題 117699:オペレータが 4.2.x VMware SD-WAN Orchestrator をリリース 5.2.0 SASE Orchestrator にアップグレードしようとすると、アップグレードが失敗することがあります。

    アップグレードは成功せず、「CWS サービスが起動するのを待機しています... (Waiting for the CWS service up...)」というメッセージで停止します。この問題が発生するのは、4.2.x Orchestrator に限られます。

    回避策:この問題の回避策は、まず 4.2.x Orchestrator を 4.5.1 にアップグレードしてから、リリース 5.2.0.0 にアップグレードすることです。

  • 問題 118501:[監視 (Monitor)] > [Edge (Edges)] ページで、ユーザーが CSV をクリックしてすべての SD-WAN Edge のリストをダウンロードすると、Orchestrator は最大 2,048 台の Edge しかダウンロードしません

    これは、エンタープライズ内に 2,048 台を超える Edge を持つカスタマーが、すべての Edge の完全なリストをダウンロードする必要がある場合に影響します。

    回避策:唯一の回避策は、Edge を並べ替えてダウンロードを複数の部分に分割することです。

  • 問題 122193:[設定 (Configure)] > [Edge (Edges)] > [ファイアウォール (Firewall)] ページで、Edge のファイアウォール ルールを設定するときに、[ファイアウォール アクション (Firewall Action)] に対してユーザーは [許可 (Allow)] のみを選択できます。

    ユーザーが [ファイアウォール アクション (Firewall Action)] をクリックすると、ドロップダウン メニューが一瞬表示され、すぐに消えるため、ユーザーはデフォルトの [許可 (Allow)] から他のオプションに変更できません。

    回避策:この問題の回避策はありません。

  • 問題 125082:ユーザーが VLAN 上で上書きされた DNS サーバの IP アドレスを使用して VMware SD-WAN Edge を設定し、Edge が使用しているプロファイルのインターフェイス設定を変更すると、Edge VLAN に DNS サーバの IP アドレスが存在しなくなります。

    ユーザー インターフェイスは DHCP セクション内で上書きフラグを送信しないため、プロファイルの変更によって DHCP セクションの上書きがトリガされます。

    回避策:プロファイルを変更した後、ユーザーは個々の Edge で上書きされた DHCP オプションを確認して修正する必要があります。

  • 問題 125504:スタティック ルートに、プロファイル レベルで IPv4/IPv6 アドレスを持つ VLAN としてネクスト ホップが設定された後、Edge レベルで上書きされ、IPv4/IPv6 アドレスが VLAN に追加された場合、スタティック ルートは「N/A」としてマークされず、VMware SASE Orchestrator はドロップダウン メニューでインターフェイスを要求します。

    スタティック ルートに IPv4/IPv6 アドレスを持つ VLAN としてネクスト ホップが設定されている場合、Orchestrator はインターフェイスを要求せず、ルートが「N/A」としてマークされることが想定されます。

    回避策:この問題の回避策はありません。

  • 問題 125663:ユーザーは、複数の Edge インターフェイスに同じ IPv4/IPv6 IP アドレスを設定できます。

    VMware SASE Orchestrator では、ユーザーが複数の WAN、LAN、またはサブ インターフェイスに同じ IP アドレスを設定できます。

    回避策:複数のインターフェイスに同じ IP アドレスを設定しないようにする以外に、この問題の回避策はありません。

  • 問題 126421:Partner Gateway を使用しているパートナーの場合、ハンドオフの詳細を設定すると、ユーザーの動作に関係なく、[プライベート トンネルに使用 (Use for Private Tunnels)] オプションが常にオンになります。

    Orchestrator は Partner Gateway ハンドオフに [プライベート トンネルに使用 (Use for Private Tunnels)] 設定を適用し、Partner Gateway を使用するカスタマーのトラフィックに影響を与える可能性があるため、これは表示上の問題ではありません。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 126425:プロファイル レベルで [設定 (Configure)] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] ページを見ると、OSPF の [オン/オフ (On/Off)] トグル ボタンが表示されません。

    OSPF の [オン/オフ (On/Off)] トグル ボタンは、プロファイル レベルで新しいユーザー インターフェイスに移行されず、Edge レベルでのみ表示されます。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 126465:VMware SASE Orchestrator ユーザー インターフェイスは、ユーザーが Edge クラスタを作成するために行った変更を適用していません。

    ユーザーがユーザー インターフェイスの [設定 (Configure)] > [Edge] > [高可用性 (High Availability)] セクションに移動し、クラスタ タイプの HA をオンにして、「xxxx」という名前のハブ クラスタを作成して変更を保存すると、保存後に [HA] セクションで [クラスタ (Cluster)] オプションが選択されず、「xxxx」という名前で作成されたハブ クラスタが存在しません。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 127152:VMware SASE Orchestrator ユーザー インターフェイスで、OSPF 設定で変更されたインターフェイスを保存できません。

    プロファイル レベルで OSPFv2 または OSPFv3 を設定すると、OSPF データを変更した後に [インターフェイスの編集 (Edit Interface)] ダイアログが無効になります。

    回避策:この問題が修正されていない Orchestrator では、MD5 認証を有効にし、キー ID を 1 から 255 の任意の値に変更してから、MD5 認証を無効にする必要があります。

  • 問題 128070:ユーザーが Edge レベルで VLAN の OSPFv3 を設定し、IPv6 設定を VLAN に追加しようとすると、VMware SASE Orchestrator ユーザー インターフェイスが変更を保存しません。

    Edge レベルで OSPF3 を使用する VLAN に IPv6 設定を追加しようとすると、[保存 (Save)] オプションが灰色で表示され、使用できません。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 129232:ユーザーは、VMware SASE Orchestrator でパスワードの自己リセットを実行できません。

    ユーザーがブラウザでパスワードの自己リセット リンクに直接アクセスしようとすると、パスワードのリセット ページではなくログイン ページにリダイレクトされます。

    回避策:パスワードをリセットする必要がある場合、組織内のエンタープライズ スーパー ユーザー、パートナー管理者(該当する場合)、または VMware SD-WAN サポートに連絡してパスワードをリセットする必要があります。

  • 問題 129412:ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページの [IPv4 DHCP サーバ (IPv4 DHCP Server)] セクションで、表示されるアドレスの数が正確でない場合があります。

    この動作は、ユーザーが後で元の DHCP 値を編集してアドレスの数を増やし、ユーザー インターフェイスには少ない古いアドレス数が表示され続ける場合に発生します。

    回避策:これは表示上の問題であり、実際の DHCP 値が適用されます。

  • 問題 129662:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [インターフェイス (Interfaces)] ページを見ても、VMware SD-WAN インターフェイスが有効か無効かを確認できません。

    VMware SASE Orchestrator ユーザー インターフェイスでは、有効化されたインターフェイスと無効化されたインターフェイスの色が区別されないため、カスタマーは無効化されたサブインターフェイスを特定できません。

    回避策:この問題の回避策はありません。

  • 問題 129958:ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページの [IPv4 DHCP サーバ (IPv4 DHCP Server)] セクションで、最初に一般 VLAN を上書きしない限り、アドレスの数を変更することができません。

    以前は、DHCP や OSPF などの Edge VLAN のサブセクションを上書きし、プロファイルから残りの設定を受け入れることができました。現在の場合は、ユーザーは VLAN 全体を上書きして、DHCP の部分を編集できるようにする必要があります。

    回避策:ユーザーができることは、VLAN 全体を上書きして、その中の設定を編集することのみです。

  • 問題 131299:ユーザー インターフェイスの [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] ページで、スタティック ルートを使用する Gateway 経由の Non SD-WAN Destination のセグメントを変更すると、OFC テーブルに更新されたスタティック ルートが表示されません。

    代わりに、OFC テーブルには、以前に選択したセグメントを使用した結果が表示されます。そのため、実際には適用された設定の変更が、適用されなかったとユーザーが誤解する可能性があります。

    回避策:回避策はありませんが、この問題は表示上の問題であり、スタティック ルートは実際に新しいセグメントに変更されます。

  • 問題 131997:ICMP プローブが 1 つのセグメントに対して設定され、別のセグメントに対しては設定されていない場合、誤ってダウンとマークされることがあります。

    Orchestrator は、NULL ICMP プローブ設定がセグメント内で設定されていない場合、その設定の送信に失敗します。その結果、別のセグメントの設定が再利用され、プローブが失敗します。

    回避策:この問題が修正されていない Orchestrator では、他のセグメントにダミー ICMP プローブを設定します。

  • 問題 133201:Orchestrator ユーザー インターフェイスの [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] ページで、ユーザーがカスタム ロールを作成または編集し、PCAP バンドル権限の「Delete」パラメータを変更しようとすると、ユーザー インターフェイスによって PCAP バンドルの他のすべてのパラメータも変更されます。

    たとえば、ユーザーが PCAP バンドルの Deletion を無効にすることを選択した場合、ユーザー インターフェイスでは、ReadUpdate、および Create パラメータも無効になります(ユーザーがそれらのパラメータを有効のままにしたい場合でも)。

    回避策:ユーザーは変更を念頭に置き、必要に応じて ReadUpdate、および Create パラメータを元に戻す必要があります。

  • 問題 133642:ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページで、Edge の VLAN がデフォルトで自動的に [上書き (Override)] に設定され、ユーザーはこの設定を無効にできません。

    想定される動作として、プロファイル レベルで VLAN を作成した場合、[Edge 固有のルール (Edge Override)] 設定がデフォルトで無効になり、ユーザーは Edge ごとに [Edge 固有のルール (Edge Override)] を有効にすることを選択する必要があります。

    回避策:唯一の回避策は、そのプロファイルを使用して各 Edge を検査し、必要に応じて [Edge 固有のルール (Edge Override)] を無効にすることです。

check-circle-line exclamation-circle-line close-line
Scroll to top icon