VMware SASE 5.2.2 リリースノート

VMware SASE 5.2.2 \| 2024 年 1 月 10 日 VMware SASE™ Orchestrator バージョン R5220-20231214-GA VMware SD-WAN™ Gateway バージョン R5220-20240104-GA-134893 VMware SD-WAN™ Edge バージョン R5220-20240104-GA-134893 各リリースノートで、追加および更新された機能をご確認ください。

VMware SASE 5.2.2 | 2024 年 1 月 10 日

VMware SASE™ Orchestrator バージョン R5220-20231214-GA
VMware SD-WAN™ Gateway バージョン R5220-20240104-GA-134893
VMware SD-WAN™ Edge バージョン R5220-20240104-GA-134893

各リリースノートで、追加および更新された機能をご確認ください。

リリースノートの概要

このリリースノートには、次のトピックが含まれています。

5.2.1 バージョンに関する注意事項
対象ユーザー
互換性
Orchestrator、Gateway、Edge のアップグレードパス
重要な注意事項
Orchestrator API の変更点
使用可能な言語
ドキュメントの改訂履歴

5.2.1 バージョンに関する注意事項

リリース 5.2.1 は、次期 SD-WAN Edge モデル 710 に同梱される製造イメージとして作成されました。このモデルを工場出荷状態にリセットし、他のコンテキストではない場合、ユーザーはこの Edge ソフトウェアバージョンを確認します。

その結果、SASE および SD-WAN リリース 5.2.2 は、5.2.0 の最初のメンテナンスリリースになります。

対象ユーザー

本リリースは、リリース 5.2.0 で初めて提供された機能を必要とするすべてのカスタマー、およびリリース 5.2.0 以降に解決された以下の問題の影響を受けるカスタマーに推奨されます。

重要：

リリース 5.2.2 には、5.2.0 リリースノートに記載されているすべての Edge、Gateway、および Orchestrator の修正が含まれています。

互換性

リリース 5.2.2 の Orchestrator、Gateway、およびハブ Edge では、VMware SD-WAN Edge の以前のバージョンのうちリリース 4.2.0 以降がすべてサポートされます。

次の相互運用性の組み合わせは、明示的にテストされています。

Orchestrator	Gateway	Edge
Orchestrator	Gateway	ハブ	ブランチ/スポーク
5.2.2	4.5.2	4.2.2	4.2.2
5.2.2	5.2.2	4.2.2	4.2.2
5.2.2	5.2.2	5.2.2	4.2.2
5.2.2	5.2.0	4.2.2	5.2.2
5.2.2	4.5.2	4.2.2	5.2.2
5.2.2	4.3.2	4.3.2	4.3.2
5.2.2	5.2.2	4.3.2	4.3.2
5.2.2	5.2.2	5.2.2	4.3.2
5.2.2	5.2.2	4.3.2	5.2.2
5.2.2	4.3.2	4.3.2	5.2.2
5.2.2	4.5.2	4.5.2	4.5.2
5.2.2	5.2.2	4.5.2	4.5.2
5.2.2	5.2.2	5.2.2	4.5.2
5.2.2	5.2.2	4.5.2	5.2.2
5.2.2	4.5.2	4.3.2	5.2.2
5.2.2	5.0.1	5.0.1	5.0.1
5.2.2	5.2.2	5.0.1	5.0.1
5.2.2	5.2.2	5.2.2	5.0.1
5.2.2	5.2.2	5.0.1	5.2.2
5.2.2	5.0.1	5.2.2	5.0.1
5.2.2	5.1.0	5.1.0	5.1.0
5.2.2	5.2.2	5.1.0	5.1.0
5.2.2	5.2.2	5.2.2	5.1.0
5.2.2	5.2.2	5.1.0	5.2.2
5.2.2	5.1.0	5.1.0	5.2.2
5.2.2	5.2.2	5.2.2	5.2.2
5.3.0	5.2.2	4.5.2	4.5.2
5.3.0	5.2.2	5.2.2	4.5.2
5.3.0	5.2.2	4.5.2	5.2.2
5.4.0	5.2.2	4.5.2	4.5.2
5.4.0	5.2.2	5.0.1	5.0.1
5.4.0	5.2.2	5.1.0	5.1.0
5.4.0	5.4.0	5.2.2	5.2.2
5.4.0	5.2.2	5.2.2	5.2.2

注：

上記の表は、SD-WAN サービスを使用しているカスタマーに対してのみ完全に有効です。VMware Cloud Web Security または VMware Secure Access へのアクセスが必要なカスタマーは、Edge をリリース 4.5.0 以降にアップグレードする必要があります。

重要：

VMware SD-WAN リリース 4.0.x のサポート期間が終了しました。リリース 4.2.x および 4.3.x は、Gateway および Orchestrator のサポート期間が終了しました。4.5.x は、Gateway および Orchestrator のサポート終了に近づいています。

リリース 4.0.x は、2022 年 9 月 30 日にジェネラルサポートの終了 (EOGS) となり、2022 年 12 月 31 日にテクニカルガイダンスの終了 (EOTG) を迎えました。
リリース 4.2.x の Orchestrator および Gateway は、2022 年 12 月 30 日にジェネラルサポートの終了 (EOGS) となり、2023 年 3 月 30 日にテクニカルガイダンスの終了 (EOTG) となりました。
リリース 4.2.x の Edge は、2023 年 6 月 30 日にジェネラルサポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカルガイダンスの終了 (EOTG) を迎えます。
リリース 4.3.x の Orchestrator および Gateway は、2023 年 6 月 30 日にジェネラルサポートの終了 (EOGS) となり、2023 年 9 月 30 日にテクニカルガイダンスの終了 (EOTG) となりました。
リリース 4.3.x の Edge は、2023 年 6 月 30 日にジェネラルサポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカルガイダンスの終了 (EOTG) を迎えます。
リリース 4.5.x の Orchestrator および Gateway は、2023 年 9 月 30 日にジェネラルサポートの終了 (EOGS) となりました。また、2023 年 12 月 31 日にテクニカルガイダンスの終了 (EOTG) を迎えます。
詳細については、ナレッジベースの記事を参照してください。お知らせ：VMware SD-WAN リリース 4.x のサポート期間の終了 (88319)。

Orchestrator、Gateway、Edge のアップグレードパス

Orchestrator、Gateway、または Edge を旧リリースからリリース 5.2.2 にアップグレードする場合のパスを次に示します。

Orchestrator

リリース 4.2.0 以降を使用している Orchestrator は、リリース 5.2.2 にアップグレードできます。

Gateway

リリース 4.2.0 以降を使用した Gateway のリリース 5.2.2 へのアップグレードは、すべての Gateway タイプで完全にサポートされています。

重要：

5.2.2 を使用して新しい Gateway を展開する場合、VMware ESXi インスタンスがバージョン 6.7 Update 3 以降、バージョン 7.0 以前である必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.2.2 以降の実行時に Gateway のデータプレーンサービスが失敗します。

重要：

Gateway を 5.2.2 にアップグレードする前に、ESXi インスタンスをバージョン 6.7 Update 3 以降、バージョン 7.0 以前にアップグレードする必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.2.2 以降の実行時に Gateway のデータプレーンサービスが失敗します。

Edge

Edge は、任意のリリース 4.x 以降からリリース 5.2.2 に直接アップグレードできます。

重要な注意事項

LAN 側 NAT の動作変更

LAN 側 NAT がポートアドレス変換 (PAT) を使用して多対 1 変換用に設定されている場合、反対方向から開始されたトラフィックにより、外部マスクと元の IP アドレスに基づいて固定アドレスへの予期しないアクセスが許可される可能性があります。この新しい動作は、宛先 NAT (DNAT)、送信元 NAT (SNAT)、および送信元と宛先 NAT (S+D NAT) のルールに適用されます。

たとえば、内部ネットワークが 192.168.1.0/24 で外部アドレスが 10.1.1.100/32 の SNAT ルールでは、192.168.1.100 への外部から内部への変換が許可されます。

この新しい動作に対処するために、SD-WAN は、PAT の逆方向で接続が開始されたときにトラフィックをブロックするようになりました。

元の動作をリストアするには、元のルール（SNAT、DNAT、S+D NAT）と同じタイプの 2 つのルールを特定の順序で設定する必要があります。たとえば、以前の SNAT シナリオを使用する場合は、次のように設定する必要があります。

内部ネットワークが 192.168.1.100/32 で、外部アドレスが 10.1.1.100/32 の SNAT ルール
内部ネットワークが 192.168.1.0/24 で、外部アドレスが 10.1.1.100/32 の SNAT ルール

元のルールが DNAT または S+D NAT の場合、同じ構造と順序を持つ 2 つの DNAT または S+D NAT ルールが必要になります。

リリース 4.5.0 以降では、診断バンドルの dispcnt ログでカウンタ lan_side_nat_reverse_pat_drop を検索して、このタイプのトラフィックに対してフローがドロップされているかどうかを判断できます。

ハブまたはクラスタの相互接続を引き続き早期アクセスとして提供

ハブまたはクラスタ相互接続はリリース 5.1.0 で導入されましたが、次の注意事項があります。

「ハブまたはクラスタの相互接続を有効にすると、パケットがネットワークの複数のホップを通過できるようにする VMware SD-WAN ルーティングプロトコルに対して、基本的な変更が導入されます。この変更は代表的なトポロジでテストされていますが、遠隔ルートの分散を許可するような変更を行うときに発生する可能性のあるすべてのルーティングシナリオをテストすることはできません。そのため、VMware はこの機能を早期アクセスとしてリリースし、有効にされている展開の予期しないルーティング動作を詳細に監視します。」

この注意事項は、すべてのリリース 5.2.x バージョンのこの機能に対して有効であり、リリース 5.4.0 でのみ完全に GA になります。

Edge および Gateway 上の BGP over IPsec、および Azure Virtual WAN の自動化の制限事項

Edge および Gateway 上の BGP over IPsec 機能は、Edge または Gateway からの Azure Virtual WAN の自動化と互換性がありません。Edge または Gateway から Azure vWAN への接続を自動化するときには、スタティックルートのみがサポートされます。

VMware SD-WAN Edge モデル 520、540、620、640、680、3400、3800、および 3810 で自動ネゴシエーションを無効にする場合の制限事項

ユーザーが、VMware SD-WAN Edge モデル 620、640 または 680 のポート GE1 〜 GE4 で、または Edge 3400、3800 または 3810 のポート GE3 または GE4 で、あるいは銅線インターフェイスを備えた SFP がポート SFP1 または SFP2 で使用されている場合は Edge 520/540 で、速度とデュプレックスをハードコーディングするために自動ネゴシエーションを無効にすると、再起動してもリンクが起動しない場合があります。

これは、Intel Ethernet Controller i350 を使用するリストされた各 Edge モデルが原因で発生します。これらのモデルには、自動ネゴシエーションがリンクの両側で使用されない場合、送受信する適切なケーブルを動的に検出 (Auto MDIX) することができないという制限があります。接続の両側で送受信に同じケーブルが使用されている場合、リンクは検出されません。ピア側も自動ネゴシエーションなしの Auto MDIX をサポートせず、リンクがストレートケーブルを使用して起動されていない場合は、リンクを起動するためにクロスオーバーイーサネットケーブルが必要になります。

詳細については、ナレッジベースの記事「Limitation When Deactivating Autonegotiation on VMware SD-WAN Edge Models 520, 540, 620, 640, 680, 3400, 3800, and 3810 (87208)」を参照してください。

Orchestrator API の変更点

5.2.0 以降の Orchestrator API の変更

VMware SASE Orchestrator ポータル API（「API v1」）の変更

問題 #125082	症状：VLAN DHCP と OSPF の Edge 固有のルール設定が失われ、代わりにプロファイル設定が適用されます。ユーザーは個々のセクション、特に VLAN 設定内の DHCP と OSPF をオプションで上書きすることはできません。説明: 新しい Orchestrator UI では、VLAN 設定の設計で一般的な/親上書きボタンのみが許可され、DHCP や OSPF などの VLAN 内の個々のセクションをオプションで上書きする機能が削除されました。その結果、API は新しい UI 設計との互換性を持ち、バックエンドコードでも、VLAN 設定で DHCP や OSPF などの個々のセクションをオプションで上書きする機能が削除されました。API を介して個々の上書きを設定しようとすると、親上書き（つまり、VLAN 設定の上書きフラグ）が最初に有効になるまで、設定が上書きされません。解決策：この問題は 5.2.2 で修正されました。VLAN DHCP と OSPF の Edge 固有のルール設定を使用するために、親上書きボタンが有効になります。

問題 #125082

症状：VLAN DHCP と OSPF の Edge 固有のルール設定が失われ、代わりにプロファイル設定が適用されます。ユーザーは個々のセクション、特に VLAN 設定内の DHCP と OSPF をオプションで上書きすることはできません。

説明: 新しい Orchestrator UI では、VLAN 設定の設計で一般的な/親上書きボタンのみが許可され、DHCP や OSPF などの VLAN 内の個々のセクションをオプションで上書きする機能が削除されました。

その結果、API は新しい UI 設計との互換性を持ち、バックエンドコードでも、VLAN 設定で DHCP や OSPF などの個々のセクションをオプションで上書きする機能が削除されました。API を介して個々の上書きを設定しようとすると、親上書き（つまり、VLAN 設定の上書きフラグ）が最初に有効になるまで、設定が上書きされません。

解決策：この問題は 5.2.2 で修正されました。VLAN DHCP と OSPF の Edge 固有のルール設定を使用するために、親上書きボタンが有効になります。

VMware SASE Orchestrator API v2 への変更

API v2 のプロファイルレベルと Edge レベルの deviceSettings の後方互換性は、上記で詳しく説明した「問題 #125082」が原因で機能しません。動作の変更は次のとおりです。

ユーザーが VLAN の OSPF および DHCP 設定で override フラグを使用して次のエンドポイントに対して API v2 呼び出しを行うと、「要求では override フィールドは許可されていません (override field is not allowed in the request)」という ValidationError が発生します。

/api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/deviceSettings
/api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/deviceSettings

開発者向けドキュメント

すべての VMware SASE/SD-WAN API ドキュメントは、https://developer.vmware.com/apis の開発者ドキュメントポータルにあります。

使用可能な言語

バージョン 5.2.2 を使用する VMware SASE Orchestrator は、次の言語にローカライズされています。チェコ語、英語、欧州ポルトガル語、フランス語、ドイツ語、ギリシャ語、イタリア語、スペイン語、日本語、韓国語、簡体字中国語、繁体字中国語。

ドキュメントの改訂履歴

2024 年 1 月 10 日。第 3 版。

「Edge/Gateway で解決した問題」セクションに新しい Edge/Gateway ホットフィックスビルド R5220-20240104-GA-134893 を追加しました。これはリリース 5.4.0 の新しい Edge/Gateway GA ビルドです。
Edge/Gateway ホットフィックスビルド R5220-20240104-GA-134893 は、問題 #134893 の修正を含んでいて、このセクションで文書化されています。
重要：
- リリース 5.2.0/5.2.2 Edge および Gateway の以前のビルドはすべて廃止され、R5220-20240104-GA-134893 が優先されます。
- Edge または Gateway を 5.2.2 にアップグレードする場合は、R5220-20240104-GA-134893 にのみアップグレードする必要があります。
GA Orchestrator ビルド R5220-20231214-GA の「Orchestrator で解決した問題」セクションに解決した問題 #131789 を追加しました。この問題は、リリースノートの第 1 版から誤って除外されました。

2023 年 12 月 22 日。第 2 版。

「Orchestrator API の変更点」セクションを改訂し、API v2 を使用しているカスタマーの後方互換性の問題を追加しました。これは、上書きフラグを使用して VLAN の DHCP および OSPF を設定する場合に API v1 ユーザーに影響する問題と同じ問題です。
「Orchestrator の既知の問題」セクションに未解決の問題 #131997 を追加しました。

2023 年 12 月 15 日。第 1 版。

Edge および Gateway で解決した問題

Edge/Gateway バージョン R5220-20240104-GA-134893 で解決した問題
Edge/Gateway バージョン R5220-20231213-GA で解決した問題

Edge/Gateway バージョン R5220-20240104-GA-134893 で解決した問題

Edge/Gateway ビルド R5220-20240104-GA-134893 は 2024 年 1 月 10 日にリリースされた、リリース 5.2.2 のホットフィックスビルドです。

この Edge/Gateway ホットフィックスビルドは、元の GA ビルド、R5220-20231213-GA 以降の以下の重大な問題に対処します。

重要：

リリース 5.2.0/5.2.2 Edge および Gateway の以前のビルドはすべて廃止され、R5220-20240104-GA-134893 が優先されます。
Edge または Gateway を 5.2.2 にアップグレードする場合は、R5220-20240104-GA-134893 にのみアップグレードする必要があります。

解決した問題 134893：接続された Gateway がバージョン 5.4.0 を使用している場合、Gateway を通過するクラウド/インターネットトラフィックが失敗することがあります。

この状況では、Gateway の使用時にクラウド/インターネットトラフィック（つまりマルチパストラフィック）が失敗しても、Edge 間トラフィックは引き続き正常に機能します。

SD-WAN ソフトウェアには、バージョン 5.2.2 以前とバージョン 5.2.2 以降の SD-WAN ソフトウェアバージョン間の ICMP 処理の違いを処理するフロー互換性処理が含まれています。この問題では、1 台以上の Edge がバージョン 5.2.1 以前を使用し、ICMP トラフィックを送信し、5.2.2 以降を使用する Gateway に接続されている場合、ICMP 処理では、SD-WAN Gateway と Edge フローを適切なクリーンアップなしで解放できます。その結果、Gateway 上の古い NAT エントリが削除されず、NAT テーブルが容量に達して空きエントリがなくなります。空き NAT エントリがないため、影響を受ける Gateway をプライマリとして展開した Edge クラウド/インターネットトラフィックが失敗します。

前述のように、この問題は、5.2.1 以前を使用している Edge があり、5.2.2 以降を使用している Gateway に接続しているときに ICMP トラフィックも送信する場合にのみ発生します。すべての Edge がバージョン 5.2.2 以降を使用しているか、ICMP トラフィックを送信しない場合、この問題は発生しません。

注：
現場で見つかった問題は SD-WAN Gateway に関するものであるため、修正は主にこのコンポーネントに対して行われます。ただし、この問題が Edge で発生し、ローカルユーザーのトラフィックに影響を与える可能性があります。そのため、カスタマーは Edge をホットフィックスビルドにアップグレードし、サイトでこの問題のリスクを軽減することもできます。

Edge/Gateway バージョン R5220-20231213-GA で解決した問題

Edge/Gateway バージョン R5220-20231213-GA は 2023 年 12 月 14 日にリリースされ、Edge バージョン R5202-20231107-GA-125647 および Gateway バージョン R5202-20230725-GA 以降の次の問題に対処しています。つまり、5.2.0 リリースノートに記載されている Edge または Gateway の問題に対する修正は、すべてのリリース 5.2.2 ビルドに含まれています。

解決した問題 67001：ステートフルファイアウォールが有効になっているカスタマーエンタープライズで、ファイアウォールが有効なチャレンジ ACK パケットをブロックします。

チャレンジ ACK メッセージに対して TCP RST を送信することが業界標準であっても、ステートフルファイアウォールはチャレンジ ACK パケットをドロップし、ログに記録しません。

このソフトウェアアップデートにより、ステートフルファイアウォールで有効な TCP RST パケットが許可され、無効な（リプレイやスプーフィングなど）TCP RST メッセージがブロックされます。
解決した問題 69641：レート制限を含む 1 つ以上のビジネスポリシーを使用しているカスタマーエンタープライズの場合、レート制限されたビジネスポリシーフローとは関係のないフローや、他のセグメントやピアのフローなど、すべてのフローでパケットドロップが発生することがあります。

レート制限されたビジネスポリシーを設定し、多数のフローを含む需要の多い（制限を超える）トラフィックを送信すると、ネットスケジューラバッファの制限に達して、他のフロー（他のセグメントやピアのフローも含む）からのパケットがドロップされます。

Edge でこの問題を修正していないエンタープライズでは、回避策としてレート制限の設定を削除し、代わりに可能な限り低い値（低、一括）でルールに一致するトラフィックを再分類します。
解決した問題 74422：高可用性の場合、スタンバイ Edge でのみ WAN リンクが稼動し、有効な IP アドレスがある場合、Edge がオフラインになることがあります。

この問題は、WAN リンクで DHCP が有効になっていて、スタンバイ Edge のみが WAN リンクを使用できる場合に発生します。スタンバイ WAN リンクは、DHCP サーバから IP アドレスを受信すると、インターフェイスの詳細をアクティブ Edge に送信します。アクティブ Edge は IP アドレスをルートとして追加する呼び出しを行います。ただし、この機能はルートを Linux カーネルに追加しません。Edge 機能は、ルートを FIB（転送情報ベース）にのみ追加します。その結果、Linux カーネルルートテーブルにパケットを終了するためのルートがなく、サイトが実質的にオフラインであるため、Edge の管理プロセスでエラーが発生します。
解決した問題 87304：VMware SASE Orchestrator ユーザーインターフェイスを使用して VMware SD-WAN Edge で LAN インターフェイスを無効にしても、インターフェイスは SNMP によって「稼動中」として報告されます。

インターフェイス出力の主要なデバッグプロセスに、Edge LAN インターフェイス（GE1 や GE2 など）の物理ポートの詳細が含まれていません。その結果、SNMP がそれらのインターフェイスをポーリングすると、インターフェイスの設定に関係なく、稼動中という結果が常に返されます。
解決した問題 96334：IP アドレスが頻繁に変更される VMware SASE Orchestrator では、VMware SD-WAN Edge が Orchestrator と通信できなくなり、オフラインとして報告されることがあります。

Orchestrator の IP アドレスが頻繁に変更されるこのシナリオでは、Orchestrator がループバックインターフェイスを送信元として排他的に使用するように設定されている場合でも、管理トラフィックの送信元をループバックインターフェイスから GE1 ポートの IP アドレスに変更することで、Edge は Orchestrator の IP アドレスの各変更に応答します。その結果、Edge は Orchestrator との接続を失います。カスタマーのトラフィックには影響しませんが、この問題により、設定の更新と監視が期待どおりに動作しなくなります。
解決した問題 101935：設定によってアクセスが拒否されている場合でも、起動中に SSH 経由で VMware SD-WAN Edge にアクセスできる場合があります。

Edge を再起動すると、SSH 経由で 10 ～ 15 秒間アクセスできます。SSH は、設定に従って、この時間が経過した後にのみブロックされます。
解決した問題 103049：SNMPv3 が設定されている場合、SNMP を介した VMware SD-WAN Edge のポーリングが機能しないことがあります。

ユーザーが Edge をアクティベーションする前に、Orchestrator を介して SNMP をオンにして SNMPv3 ユーザー認証情報を設定した場合、ユーザーが SNMP を介して Edge をポーリングしようとすると、Edge が応答しません。

この問題の修正が適用されていない Edge では、回避策として、SNMPv3 設定（ユーザーの追加や更新など）を変更してから、元の設定に戻します。
解決した問題 105160：VMware SD-WAN Edge のソフトウェアのアップグレードに失敗し、Edge がアップグレードを再試行しない場合があります。

この問題が発生すると、Edge のアップグレードプロセスで例外が発生し、Edge ソフトウェアアップグレードの設定バージョンが更新されますが、Edge は実際にはアップグレードされません。その結果、Edge はターゲットバージョンにアップグレードされたものと判断し、実際には失敗したアップグレードを再試行しません。

この状態の Edge を修正する唯一の方法は、Edge のバージョンを変更し（ユーザーの判断でダウングレードまたはアップグレード）、その Edge ソフトウェアの更新後に、Edge の目的のアップグレードを再試行することです。
解決した問題 106160：Edge が DNS サーバとして設定され、ネクストホップがクライアントが DNS サーバにクエリを実行する Edge インターフェイスに対して定義された Gateway である場合、応答はありません。

DNS 要求パケットは、Edge DNS サーバによって期待どおりに受信されます。ただし、応答パケットは iptables 接続トラッキングに基づいてルートテーブルルックアップを行い、ネクストホップ Gateway の IP アドレスを検出して MAC アドレスを解決します。その結果、DNS 応答パケットは送信者ではなく Gateway の MAC アドレスを使用します。
解決した問題 107550：Gateway 経由の Non SD-WAN Destination が展開されているカスタマーエンタープライズの場合、IPsec 暗号化パケットの一部がパスでドロップされることがあります。

現在の実装では、内部 IP ヘッダーの Time to Live (TTL) 値が使用されており、RFC 要件と一致しません。その結果、TTL 値を構成する必要があります。パケットの送信元が低い TTL 値を使用している場合、このパケットが宛先に到達しない可能性があります。
解決した問題 109906：VMware SD-WAN Gateway で、データプレーンサービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

この問題は、破損した帯域外メッセージを受信した場合に発生する可能性があります。これにより、配列インデックスがオーバーフローし、Gateway のサービスで例外と障害が発生します。
解決した問題 111592：ビジネスポリシーがインターネットバックホールを使用するように設定されているハブ/スポークトポロジを使用しているカスタマーエンタープライズの場合、バックホールルールを使用するインターネットトラフィックが低速になるか、まったく機能しない場合があります。

フローの作成中に、DPI（詳細なパケットインスペクション）情報が更新され、ビジネスポリシーの一致が変更される場合があります。これにより、パケットをバックホールするはずのハブ Edge または Non SD-WAN Destination の論理 ID が失われる場合があります。
解決した問題 112115：CPU 負荷の高い VMware SD-WAN Edge でデータプレーンサービスの障害が発生し、リカバリのために再起動する場合があります。

CPU 負荷が高い場合、デバッグリングロックを取得する優先順位の低いスレッドが原因で、ミューテックス監視によってトリガされる複数のサービス障害が発生する可能性があります。この問題の解決策は、特定のスレッドをロックなしと待機なしの両方の状態にするようにデータプレーンを機能強化することです。
解決した問題 112826：カスタマーが Orchestrator ユーザーインターフェイスを介してアラートのリストを CSV ファイルにエクスポートすると、512 個のアイテムのみが取得されます。

API を使用して同じエクスポートを実行すると、最大 2,048 個のアラートを配信できます。これは、Orchestrator ユーザーインターフェイスのエクスポートでも想定される数です。512 個の制限は、指定された期間のアラートの数が 512 個の制限を超える場合にアラートをエクスポートするユーザーに影響します。
解決した問題 114562：SSH フローでレート制限が機能しない場合があります。

中継 SSH フローをレート制限するためにビジネスポリシーを作成すると、ビジネスポリシーが正常に適用されているにもかかわらず、レート制限の設定は適用されません。これは、SSH が Edge 用ではなく、一部のリモートデバイス用であっても、これらのフローが制御フローとみなされるためです。
解決した問題 114988：ICMPv6 メッセージ「パケットが大きすぎます (Packet Too Big)」が、VMware SD-WAN Gateway から、または VMware SD-WAN Gateway を経由して受信されません。

Gateway データパスは、すべての ICMPv6 の「パケットが大きすぎます (Packet Too Big)」メッセージをローカルで使用します。この修正により、Gateway は適切な宛先に確実に送信します。
解決した問題 115262：セカンダリ IP アドレスを持つ BGP ネイバーシップが VMware SD-WAN Edge で起動しない場合があります。

ユーザーが最初に BGP ネイバーを設定して、VLAN インターフェイスで対応するセカンダリ IP アドレスを設定すると、BGP セッションが起動しないことがあります。これは、VLAN インターフェイスでセカンダリ IP アドレスの削除/追加を実行しても、Edge が BGP が設定されたインターフェイスを更新しないことが原因で発生します。
解決した問題 115604：VMware SD-WAN Edge または Gateway でデータプレーンサービスの障害が発生し、ログにアサートを含むコアが生成される場合があります。

Edge または Gateway が破損したパケットを処理すると、ソフトウェアは実際のユーザーパケットの長さが内部パケットバッファよりも長いアサートにヒットする場合があります。Gateway はこの種のパケットをドロップして Edge に送信されないようにすることが想定されますが、代わりにパケットを処理するため、サービスが失敗して再起動されます。
解決した問題 115869：アップグレードプロセスの途中で、VMware SD-WAN Gateway へのトンネルが再確立されます。

Gateway に接続するトンネルとピアが数千ある大規模な環境では、Gateway をアップグレードすると、トラフィックは設計上セカンダリ Gateway に切り替わります。これにより、ダウンタイムが短くなり、トラフィックフローが迅速に再開されます。アップグレードスクリプトがアップグレード中（4.5.1 から 5.2.0、5.0.1 から 5.2.0、または 5.1.0 から 5.2.0）の Gateway で実行されている場合、アップグレードスクリプトの実行中にトンネルがアップグレード中の Gateway で稼動状態に戻り、トラフィックがセカンダリ Gateway からアップグレード中の Gateway に再度切り替わります。スクリプトが終了すると、Gateway の再起動が必要になり、トラフィックがセカンダリ Gateway に再度切り替わります。これにより、Gateway を使用するマルチパスタイプのトラフィックでカスタマーのトラフィックに重大な中断が発生することがあります。

この問題の修正が適用されていない Gateway では、回避策として vc_proc_mon restart をインストール後のスクリプトからアップグレードの完了後に移動することです。
解決した問題 115904：ユーザーが VMware SASE Orchestrator を使用して VMware SD-WAN Edge の診断バンドルをトリガすると、Edge でデータプレーンサービスの障害が発生し、コアが生成され、再起動してリカバリが行われる場合があります。

ユーザーは、[SD-WAN] > [診断 (Diagnostics)] > [診断バンドル (Diagnostic Bundle)] ページで Edge 診断バンドルを生成できます。このアクションを実行すると、dns_name_cache（追加または削除）と DNS 名キャッシュの間で競合状態が発生し、Edge サービスが使用中または削除済みの要素にアクセスしようとして、SIGSEGV または SIGBUS の理由でサービス障害が発生する可能性があります。
解決した問題 116049：バックアップとして設定された WAN リンクの VPN 状態が、想定される STANDBY 状態ではなく DEAD 状態になる場合があります。

バックアップ WAN リンク機能（他のパスがダウンしたときにアクティブになるリンク）は影響を受けないため、カスタマーへの影響は軽減されます。ただし、WAN リンクのユーザーインターフェイスステータスが DEAD と表示されると、カスタマーに混乱が生じる可能性があり、この問題が発生した場合は、バックアップ WAN リンクが実際にダウンしていても [Edge] > [監視 (Monitor)] ページを介して確認できません。

この問題は、エンタープライズが Partner Gateway に接続されていて、設定された BGP ハンドオフ IP アドレスがそのセグメントの Edge インターフェイスの IP アドレスでない場合に発生することがあります。このシナリオでは、Edge のバックアップリンクチェックメッセージがドロップされる可能性があります。その結果、Edge のバックアップとして設定された WAN リンクは、リンクが起動している場合でも、STANDBY ではなく DEAD としてマークされます。
解決した問題 116257：リモートサーバに対して NAT ハンドオフが設定されている Partner Gateway を介して接続された VMware SD-WAN Edge の場合、Edge へのリターントラフィックがそのサーバからドロップすることがあります。

Edge からリモートサーバへのトラフィックが最初に暗号化されず、後で暗号化されたフラグで更新された場合、ルートが更新されると、ルートルックアップエラーが原因で Edge でリバーストラフィックがドロップされます。

この問題は、影響を受ける Edge でフローをフラッシュすることで一時的に解決できます。
解決した問題 116368：VMware SD-WAN Gateway のルーティングログがキャパシティに達し、追加のエントリが蓄積されないことがあります。

この問題は、Gateway のルーティングソフトウェアでログローテーション設定が欠落しているために発生します。これは、新しいログエントリを追加できるように、キャパシティに到達する前にルーティングログをローテーションすることを目的としています。この設定がないと、ルーティングログがローテーションされず、オペレータとパートナーが Gateway の重要なログエントリを失う可能性があります。
解決した問題 116428：複数のセグメントが設定され、非グローバルの各セグメントにカスタム名があるカスタマーの展開では、[リモート診断 (Remote Diagnostics)] > [ping テスト (Ping Test)] を実行するときに、インターフェイスを選択するドロップダウンメニューに各セグメントのカスタム名が表示されません。

非グローバルの各セグメントのカスタム名の代わりに、「セグメント 1」、「セグメント 2」のように数字を含む汎用名が表示されます。これは、Edge が非グローバルの各セグメントのセグメント名をハードコーディングした結果です。
解決した問題 116578：VMware SD-WAN Edge にローカルで接続された FTPv6 サーバを実行している場合、フローダンプを確認したときに FTP データチャネルが分類されていないことがあります。

送信元と宛先の IPv6 アドレスが非常に似ている場合、Edge によってフローが誤って識別されることがあります。
解決した問題 116827：VMware SD-WAN Edge でデータプレーンサービスの障害が発生し、障害の状態からのリカバリのために再起動する場合があります。

Edge の起動中に競合状態が発生し、未初期化のデータが原因で Edge サービスが失敗するため、Edge でこの問題が発生する場合があります。
解決した問題 117037：複数の WAN リンクを使用してスポーク Edge とハブ Edge の間のトラフィックを送受信するハブ/スポークトポロジを使用しているカスタマーの場合、WAN リンクが WAN リンクの帯域幅を集約していないため、ビジネスポリシーによってステアリングされるトラフィックのパフォーマンスが想定よりも低くなる場合があります。

SD-WAN はカウンタを使用して、再シーケンスキューにバッファされたパケット数を計算します。このカウンタはピアごとに管理され、ピアごとに 4K パケットのみがバッファされるようにするために使用されます。状況によっては、このカウンタが負の値になる場合があります。リリース 4.2.x より前のリリースでは、このカウンタが負の値になると、再シーケンスキュー内のパケットをフラッシュした直後に、各カウンタが 0 にリセットされました。ただし、リリース 4.3.x 以降では、このカウンタは自動的に更新され、カウンタが想定された範囲内に留まるようにしています。

この動作の変更の結果、カウンタの計算が正しくないため、再シーケンスキューの数値が非常に高くなり、SD-WAN が各パケットをフラッシュすることによって応答することがあります。このアクションにより、帯域幅の集約が妨げられるだけでなく、単一のリンク上にあるはずのフローの効率が低下する場合があります。

この問題を修正していない Edge では、回避策として、一致するトラフィックを単一の必須リンクにステアリングするビジネスポリシーを設定します。
解決した問題 117314：送信元と宛先の IP アドレスペアの間に ICMP フローがすでに存在する場合、オブジェクトグループ/サービスグループ（タイプとコード）を使用して ICMP パケットをフィルタリングするファイアウォールルールが機能しないことがあります。

ファイアウォール機能のリビジョンの一環として、ICMP タイプとコードのキャッシュのために導入された変更が元に戻されました。これは、ICMP タイプとコード（ICMP リダイレクトタイプ 5 とコード 0 など）を持つサービスグループを使用するファイアウォールルールに影響しました。送信元 IP アドレスと宛先 IP アドレスの間にフローがすでに存在する場合、このフローのルールに一致する ICMP トラフィックは適用されず、セッションの最初のパケットのみがファイアウォールルールに一致します。この問題は、IPv4 または IPv6 のいずれかの ICMP フローに影響します。

フローをフラッシュして新しい ICMP フローを作成すると、問題が一時的に修正されます。
解決した問題 117320：ステートフルファイアウォールが有効で Syslog がオンになっているカスタマーの場合、LAN 側の NAT ルールに一致するトラフィックの Syslog メッセージに送信元 IP アドレスが含まれません。

任意のトラフィックに対する完全な Syslog メッセージには、特に NAT されたトラフィックの送信元 IP アドレスが含まれていることが想定されます。
解決した問題 117565：Partner Gateway で設定されたカスタマーエンタープライズのユーザーの環境で、マルチパストラフィック（VMware SD-WAN Gateway を通過するトラフィック）がドロップすることがあります。

インターネット/クラウドに直接送信されるトラフィックまたはハブからスポークへのトラフィックは、Gateway を使用しないため影響を受けません。この問題は、Gateway のパートナーハンドオフが無効になっている場合にトリガされ、その結果、カスタマーエンタープライズへの Gateway のすべての Gateway IPsec (VCMP) トンネルがダウンします。この問題は、ハンドオフが無効になった後も Gateway ハンドオフ IP アドレスがクリアされず、Gateway がこの無効なハンドオフ IP アドレスで同じサブネットチェックを引き続き実行することが原因で発生します。

Gateway を再起動すると、問題の特定のインスタンスは解決されますが、同じ条件下での繰り返しは回避されません。
解決した問題 117638：ユーザーが [監視 (Monitor)] > [Edge] > [リンク (Links)] に移動し、リリース 5.2.0 を使用する VMware SD-WAN Edge のライブモードをオンにすると、SASE Orchestrator はリアルタイムの統計情報を提供しません。

また、「Edge 応答を待機中... (Waiting for Edge ...)」というメッセージが表示され、これは最終的にタイムアウトになります。この問題は、5.2.0 Edge ビルドが LTE/USB リンク統計情報を Orchestrator にアップロードするときに、統計情報を処理する方法が原因で Edge で発生します。
解決した問題 117775：Gateway 経由の Non SD-WAN Destination (NSD) で、断続的に、IPsec トンネルが常にフラップする（破棄されて再構築される）状態になる場合があります。

カスタマーは、トンネルが数秒間稼動し、その後数秒間ダウンして、再び稼動状態に戻り、このサイクルを繰り返して自然に停止することを確認します。この問題はタイミングベースであるため、サイクルが数日にわたって、あるいは無限に繰り返される場合があります。この問題は、多数の IKE フェーズ 2 接続を含む NSD トンネルが起動中で、完全に起動する前に、Gateway がこれらの IKE フェーズ 2 接続の 1 つで転送しようとしているトラフィックがある場合、競合状態に基づいて発生します。その結果、トンネル全体が破棄されてから再構築され、このサイクルが繰り返されます。

この問題を修正した Gateway を使用していないサイトでは、これはタイミングベースの問題であるため、回避策のオプションは制限されます。考えられる回避策の 1 つは、NSD トンネルを小さなバッチで設定して、ネゴシエートを高速化し、トンネルの準備ができる前にトラフィックが到着する期間が発生しないようにすることです。
解決した問題 117838：VMware SD-WAN Edge で、データプレーンサービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

この問題は、ike_ds と比較したときにバージョンが一致しない ike パケットを Edge が受信したときに発生する場合があります。この問題は、Edge サービスがバージョンの一致しないパケットを処理していて、ike_ds の Cookie 値を変更するためにミューテックスロックを取得するときに発生しますが、バージョンの不一致が発生すると、Edge は Security Association (SA) の削除をトリガし、同じ ike_ds 上でミューテックスを再度取得しようとします。その結果、Edge のデッドロックとサービス障害が発生し、再起動が発生します。
解決した問題 118097：VMware SD-WAN Gateway をデバッグするときに、オペレータまたはパートナーユーザーの環境で、debug.py --path コマンドが結果を返さない場合があります。

この問題は、一時的なトンネルが存在する場合に未処理のキーが原因で発生し、その結果、Gateway が一時的なパスを処理中に debug.py --path コマンドが中断されます。
解決した問題 118333：高可用性トポロジを使用して展開されたカスタマーサイトで、HA Edge ペアがモデル 520、540、または 610 のいずれかである場合、サイトでアクティブ/アクティブ（スプリットブレイン）状態が発生しているため、複数の HA フェイルオーバーが発生することがあります。

VMware SD-WAN Edge 520、540、および 610 は Marvel によって作成されたスイッチを使用します。ここで、インターネットバックホールが設定されている場合、アクティブ Edge を降格しないときにスタンバイ Edge もアクティブになる状況がトリガされる可能性があります。アクティブ/アクティブ状態はスタンバイ Edge を再起動することで解決され、これは Edge イベントに記録されます。
解決した問題 118591：拡張された高可用性トポロジを使用して展開されたカスタマーサイトの場合、スタンバイロールの VMware SD-WAN Edge で WAN インターフェイスのフラップが頻繁に発生する場合があります。

拡張 HA では、多数のフローが送信されるか、多数のルートがインストールされると、スタンバイ Edge WAN インターフェイスの状態が「稼動」から「ダウン」に移行し、再び「稼動」に戻る場合があります。
解決した問題 118938：NTP トラフィックが VMware SD-WAN Edge によってドロップされることがあります。

この問題は、Edge が segnat テーブルの更新中に宛先 IP アドレスの厳密なチェックを実行し、その結果 NTP トラフィックがブロックされることが原因で発生します。この問題の修正により、segnat テーブルの更新中に NTP トラフィックに例外が追加されます。
解決した問題 119491：Edge Network Intelligence 分析が有効になっている VMware SD-WAN Edge の場合、Edge でのメモリ使用量が徐々に増加する場合があります。

具体的なシナリオは、分析が有効で、RADIUS トラフィックも受信している Edge です。この場合、Edge メモリリークが発生する場合があります。メモリリークが十分な期間継続し、Edge のメモリ使用量が利用可能な RAM の 70% というクリティカルしきい値を超えると、Edge は防御的にサービスを再起動してリークを解消します。これにより、カスタマートラフィックが 10 ～ 15 秒中断される場合があります。
解決した問題 119544：VMware SD-WAN Edge のループバックインターフェイスで ICMP エコー応答がオフになっている場合、L7 健全性チェックが失敗し、L7 健全性チェックが設定されている CSS トンネルの破棄が Edge によってトリガされます。

また、管理トラフィックがダイレクトになると、Edge から Orchestrator への通信も失われます。

Edge が L7 健全性チェックリクエスト（HTTP SYN パケット）を送信しようとすると、ループバックインターフェイスに到達します。[ICMP エコー応答 (ICMP Echo Response)] がオフになっているため、その結果 HTTP パケットがドロップされます。L7 健全性チェックで送信した SYN パケットの ACK が取得されない場合、L7 健全性チェックは失敗し、CSS トンネルが破棄されます。

同様に、Edge が Orchestrator に HTTPS パケットを送信しようとすると、ループバックインターフェイスに到達します。[ICMP エコー応答 (ICMP Echo Response)] がオフになっているため、HTTPS ACK パケットがドロップされます。
解決した問題 119853：高可用性トポロジで展開されたカスタマーサイトで、アクティブ Edge とスタンバイ Edge の間に TCP フラップがある場合、その HA Edge のクライアントユーザーにトラフィックの損失が発生します。

アクティブ Edge とスタンバイ Edge 間でトリガされた TCP フラップでは、HA Edge はリンク状態をリセットします。これにより、そのリンクを使用するパスも破棄されて再構築され、その HA Edge インターフェイスを使用するユーザートラフィックのトラフィックが失われます。
解決した問題 120173：高可用性トポロジで設定されたカスタマーエンタープライズサイトの場合、スタンバイ Edge でデータプレーンサービスの障害が発生し、再起動することがあります。

フロー同期パケットがスタンバイ Edge で受信されたときに破損している場合があります。Edge サービスがこのパケットからフィールドを読み取るときに、無効なデータが存在すると例外がトリガされ、再起動が発生します。
解決した問題 120308：5.4.x ソフトウェアリリースを使用する VMware SASE Orchestrator に展開された 5.2.x 以前のソフトウェアリリースを使用する VMware SD-WAN Edge は、プレフィックス委任機能を使用するように設定できます。

プレフィックス委任機能は 5.4.0 以降でのみサポートされているため、Orchestrator では、5.4.x ソフトウェアバージョンを使用する Edge に対してのみこの機能を設定できるようにする必要があります。

この問題には、Edge がプレフィックス委任用に設定されている場合、5.2.x 以前の Edge を 5.4.x ソフトウェアバージョンにアップグレードできないという別の影響もあります。
解決した問題 121024：VMware SD-WAN Edge でインターネットトラフィックに一致するビジネスポリシーが設定されている場合、リモートアクセスサービス (RAS) トラフィックが失敗します。

Edge でインターネットトラフィックに一致するビジネスポリシーが設定されていて、アクションによってこのトラフィックが直接ステアリングされる場合、この Edge に到達するリモートアクセスサービストラフィックでは、リターントラフィックがこのビジネスポリシーに一致し、Edge でドロップされます。

唯一の回避策は、RAS サブネットに一致するより具体的なビジネスポリシーを設定し、マルチパスで（Gateway 経由で）送信するようにアクションを設定することです。
解決した問題 121031：高可用性トポロジを使用して展開されたカスタマーエンタープライズサイトで、ユーザーが HA Edge デバイス設定を変更して変更を保存すると、ビジネスポリシールールによってステアリングされる新しく設定されたセグメントへのトラフィックが失敗することがあります。

HA Edge では、新しいセグメントが作成され、Edge インターフェイスに接続されると、ビジネスポリシールールの問題が原因で、この新しいセグメントに向かうトラフィックが影響を受けます。

この問題を修正しない HA Edge では、ユーザーは新しく作成されたセグメントに対するダミールールを追加したり、既存のビジネスポリシールールを変更したりできます。
解決した問題 121281：高可用性トポロジを使用して展開されたカスタマーエンタープライズサイトの場合、まれに、スタンバイ Edge でデータプレーンサービスの障害が発生し、コアが生成され、リカバリのために再起動されることがあります。

スタンバイ Edge の再起動を示すイベントが発生し、ユーザーが「HA 失敗 (HA Failed)」アラートを設定している場合、このイベントが通知されます。この問題は、アクティブ Edge とスタンバイ Edge 間でルートが同期され、ルート同期メッセージの処理中にスタンバイ Edge サービスがメモリの破損が原因で失敗するというまれなシナリオで発生します。
解決した問題 121338：WAN リンクがホットスタンバイとして設定されているサイトの場合、VMware SD-WAN Edge には、使用可能な帯域幅の一部としてそのリンクが含まれます。

ホットスタンバイ WAN リンクは設計上アイドル状態であるため、Edge の使用可能な帯域幅に含めないようにする必要があります。ホットスタンバイが含まれているため、Edge は使用可能な帯域幅の合計について不正確な計算を行い、パケットロスが発生する可能性があります。
解決した問題 121368：VMware SD-WAN Gateway で、データプレーンサービスの障害が発生してコアを生成し、その結果再起動することがあります。

この問題は、Gateway を介してインターネット/クラウドにアクセスするリモートアクセスユーザーによってトリガされます。インターネット/クラウドエンドポイントがフラグメント化を必要とする大きなパケットで応答すると、パケットのフラグメント化中に Gateway サービスが失敗します。
解決した問題 121513：Gateway で [セキュア BGP ルート (Secure BGP Routes)] オプションが有効になっている Partner Gateway を使用しているカスタマーエンタープライズの場合、クライアントユーザーはトラフィック品質の問題に遭遇することがあります。

[セキュア BGP ルート (Secure BGP Routes)] が設定されている場合、Partner Gateway の背後で BGP ピアの IP アドレスを送信元として使用してトラフィックが開始されると、Edge でトラフィックがドロップされることがあります。これは、トラフィックが BGP エンドポイントを送信元として開始されると、Gateway にセキュアでないフローが作成されるためです。送信元ルートのタイプが BGP-Peer の場合、セキュアな設定処理が行われません。ただし、Edge の送信元のルートルックアップが安全なルートを返す場合、受信トラフィックとルートルックアップのセキュア設定に不一致が生じます。これにより、Edge での送信元のルートルックアップに失敗します。
解決した問題 121998：ハブ/スポークトポロジでステートフルファイアウォールを使用しているカスタマーの場合、スポークとハブの間のトラフィック用に設定されたファイアウォールルール（送信元 VLAN が含まれている）に一致するトラフィックがドロップされる場合があります。

アプリケーション分類、ビジネスポリシーテーブル、またはファイアウォールポリシーテーブルのバージョンが変更されると、SD-WAN は次のパケットでフローのファイアウォール参照を実行します。タイミングの問題により、そのパケットは管理トラフィック (VCMP) 側のパケットになる可能性があります。その結果、ファイアウォールポリシーの参照キーの作成中に、SD-WAN はスポーク Edge VLAN をハブ Edge VLAN とスワップするため、ルールと一致せず、そのトラフィックをドロップします。

この問題の修正が適用されていない Edge の場合、カスタマーは [送信元 (Source)] を Edge VLAN から「任意」に変更できます。
解決した問題 122029：VMware SD-WAN Edge が 5.2.x リリースを使用している場合、GRE 自動化によって展開されたクラウドセキュリティサービス（通常は Zscaler）が機能しません。

この問題は、Orchestrator がトンネルの設定状態を Edge に送信するために必要なローカル IP アドレスとパブリック IP アドレスの両方の情報が送信されていないために発生します。Orchestrator が自動化 GRE 設定を送信するには、トンネルが保留状態になっている必要があります。

この問題は 5.2.x Edge に制限されています。この問題の唯一の回避策は、Edge を 5.1.x 以前のリリースにダウングレードし、トンネルを起動してから 5.2 以降のリリースにアップグレードすることです。
解決した問題 122167：WAN リンクがバックアップとして設定されている VMware SD-WAN Edge の場合、バックアップリンクがダウンしても、Edge によって生成され、Orchestrator に送信される「リンクダウン」イベントはありません。

この問題は、インターフェイスがダウンしているときに Edge がリンク状態の遷移を適切に処理しないことが原因で発生します。
解決した問題 122416：高可用性トポロジを使用して展開された大規模なカスタマーエンタープライズサイトに多数のブランチ間ルートがある場合、フェイルオーバーがトリガされると、トンネルが確立されたときに欠落しているルートを再学習する必要があるため、クライアントユーザーの環境ではトラフィックの損失が発生することがあります。

大規模なエンタープライズとはブランチ Edge の数が約 4,000 台のエンタープライズを指し、ルート数が多いとは、ルート数が約 8,000 以上であることを意味します。

この問題は、ハブ Edge 設定の受信に予期しない遅延が発生した結果です。
解決した問題 122426：DPDK を使用するように設定された VMware SD-WAN Edge インターフェイスに対して SNMP クエリを実行すると、結果の取得に予想以上の遅延が発生することがあります。

この遅延は、適切に最適化されていないインターフェイスデータを収集するためのバックエンドスクリプトによって発生します。
解決した問題 122528：ICMP プローブが設定された WAN スタティックルートを使用しているカスタマーエンタープライズの場合、ICMP プローブは複数の VMware SD-WAN Edge で一度に機能を停止し、これらのルートを使用するすべてのトラフィックがドロップすることがあります。

各 Edge には、反復の数が最大 65,535 回の ICMP プローブシーケンスカウンタがあります。このカウンタが 65,535 回の反復の後にロールオーバーすると、プローブが失敗します。

この問題が修正されていない Edge では、回避策として、ICMP プローブを削除し、Edge サービスを再起動してから、プローブをリストアします。
解決した問題 123128：高可用性トポロジで設定されたカスタマーサイトで、HA Edge が Edge モデル 520、540、610、または 620 である場合、スタンバイ Edge が複数回再起動することがあります。

この問題は [イベント (Events)] で確認できます。また、スタンバイ Edge もトラフィックを渡す拡張 HA トポロジが使用されている場合、スタンバイ Edge の WAN リンクを使用するクライアントユーザートラフィックも影響を受けます。

この問題は、リストされた Edge モデルでのみ発生します。各モデルは、そのカーネルサービスを使用してトラフィックを転送し、カーネルスレッドはより低い優先順位で実行され、パケットはカーネルスレッドで 700 ミリ秒以上キューに入れられます。パケットが 700 ミリ秒を超えてキューに入っている場合、スタンバイ Edge は HA ハートビートを失い、その結果、スタンバイ Edge がアクティブになり、スタンバイ Edge が再起動して状態をリカバリするアクティブ/アクティブ状態がトリガされます。
解決した問題 123144：Orchestrator ユーザーインターフェイスの [監視 (Monitor)] > [Edge] > [宛先 (Destinations)] ページで、無効な宛先ドメイン名が表示されます。

DNS ホスト名の検証の失敗が原因で、Edge は Orchestrator のユーザーインターフェイスに表示される IP:ポートなどの無効な宛先名を送信します。
解決した問題 123237：リリース 5.2.x を実行し、インターフェイスが IPv6 のみで設定されている VMware SD-WAN Edge の場合、[診断 (Diagnostics)] > [リモート診断 (Remote Diagnostics)] ページがロードされません。

IPv6 のみの Edge インターフェイスが IPv4 設定を無効にして設定されている場合、キースクリプトで例外がスローされ、[診断 (Diagnostics)] > [リモート診断 (Remote Diagnostics)] ページがロードされません。

回避策として、ダミー設定で IPv4 設定を有効にします。
解決した問題 123267：VMware SD-WAN Edge 6x0 モデル（620、640、または 680）を 5.x ビルドにアップグレードすると、Edge がオフラインになり、リカバリするために追加の再起動が必要になる場合があります。

この問題が発生すると、Edge 6x0 インターフェイス GE1 ～ GE4 はアップグレード後にオフラインになり、期待どおりにリカバリされません。カスタマーが LAN および WAN 接続に GE1 ～ GE4 のみを使用している場合、Edge は完全にオフラインになり、再起動のためにローカルで電源を入れ直す必要があります。

この問題に対する修正を行わない Edge での回避策は、GE5、GE6、SFP1、または SFP2 への LAN または少なくとも 1 つの WAN 接続を見つけることです。これらのインターフェイスは稼動したままであり、Orchestrator を介してリモートで実行される再起動でも Edge に到達可能な状態が維持されます。
解決した問題 123475：送信元 + 宛先 LAN 側 NAT ルールに一致する接続されたスタティックルート (CSR) タイプのフローがドロップすることがあります。

送信元 + 宛先 LAN 側 NAT ルールは、フローの最初のパケットに宛先 NAT のみを不適切に適用し、CSR → CSR フローの戻りパケットで NAT 競合を観察することがあります。

注：
CSR → CSR トラフィックでは、送信元 NAT ルールと送信元 + 宛先 NAT ルールはサポートされていません。
解決した問題 123593：高可用性トポロジを使用しているカスタマーサイトで、カスタマーが分析をオンにした状態で Edge Network Intelligence も使用している場合、まれに、VMware SD-WAN HA Edge が Edge Network Intelligence バックエンドから分析設定を取得しないことがあります。

アクティブ Edge とスタンバイ Edge の両方が Edge Network Intelligence バックエンドからトークンを取得できます。スタンバイ Edge がアクティブ Edge の後にトークンを取得すると、アクティブ Edge のトークンが古くなり、このシナリオが発生します。
解決した問題 123594：高可用性トポロジで設定されたカスタマーエンタープライズサイトの場合、VMware SD-WAN HA Edge が下位のビルドにダウングレードされると、スタンバイ Edge がアクティブ Edge と同期するまでに最大 1 時間かかる場合があります。

この問題は、Edge の PIC ウォッチドッグタイマーが Edge の再起動プロセス中にリアームされず、タイムアウトが短すぎるため、インターフェイスが停止した場合に追加の Edge 再起動をトリガできなくなることが原因で発生します。
解決した問題 123956：5.2.x リリースを使用する VMware SD-WAN Edge のローカルユーザーインターフェイスにアクセスできません。

ユーザーのブラウザページが 404 エラーでロードされません。この問題は、リモート診断とローカルユーザーインターフェイススクリプトの両方で例外がスローされた結果です。
解決した問題 124106：LAN 側 NAT がポートアドレス変換 (PAT) を使用して多対 1 変換用に設定されている場合、反対方向から開始されたトラフィックにより、外部マスクと元の IP アドレスに基づいて固定アドレスへの予期しないアクセスが許可される可能性があります。

LAN 側 NAT ルールでは、1 対多方向のトラフィックを防止する明確な方法がなくても、多対 1 ルールの両方向で接続を開始できます。現在、1 対多の変換がブロックされ、ユーザーはトラフィックを有効にするために明示的な 1:1 の NAT ルールを作成する必要があります。

この問題は、「重要な注意事項：LAN 側 NAT の動作変更」で詳しく説明されています。
解決した問題 124162：VMware SD-WAN Edge インターフェイスでパケットキャプチャを実行すると、破損しているように見えるパケットが表示されることがあります。

実際のパケットの破損はありません。パケットは PCAP ファイルで破損しているように見えるだけです。この問題は、Edge がパケットキャプチャインターフェイスにパケットを書き込む方法の欠陥が原因で、VLAN タグ付きパケットが誤って書き込まれ、PCAP ファイルに破損したパケット (invalid ether-type) として表示されることがあります。
解決した問題 124180：VMware SD-WAN Gateway でデータプレーンサービスの障害が発生し、リカバリのために再起動する場合があります。

この問題は、eth0/eth1 インターフェイスが割り当てられた IP アドレスで設定されていない不適切な展開シナリオで発生する可能性があります。
解決した問題 124263：IPv6 ネイバー検出 (ND) および L2 カプセル化パケットの処理中に、VMware SD-WAN Edge で CPU 使用率が高くなる場合があります。

Edge のトラブルシューティングでは、api - vc_ip6_host_addr_to_network_addr プロセスでの CPU の消費率が高いことが指摘されます。
解決した問題 124784：4 コア仮想マシンを使用して展開された VMware SD-WAN Gateway で、Edge クラスタリングを使用する複数のカスタマーエンタープライズが接続されている場合、データプレーンサービスの障害が発生し、コアが生成され、リカバリのために再起動することがあります。

自己修復ルーティングも設定された複数のクラスタが有効になっている場合、Gateway でこの問題が発生することがあります。このシナリオでは、スポーク Edge とハブクラスタから受信した統計情報のセットごとに、Gateway は DCE 情報の繰り返しを試みます。その結果、CPU が 90 秒以上ホールドされ、Gateway サービスの障害がトリガされます。
解決した問題 125035：カスタマーが Fortinet 6.4.x VNF を展開すると、Edge の管理 IP アドレスにアクセスできません。

Fortinet は 6.4.x で変更を加えたため、FortiLink と透過モードは連携しません。SD-WAN は FortiLink を使用しないため、この問題の解決策は、VNF の展開中に透過モードを設定する前に FortiLink を無効にすることです。
解決した問題 125377：ユーザーがサイトで高可用性を有効にすると、VMware SD-WAN HA Edge でデータプレーンサービスの障害が発生し、リカバリのために再起動する場合があります。

この問題は、HA ステートマシンの競合状態が原因で発生し、その結果 Edge サービスに障害が発生し、HA Edge が起動しないことがあります。
解決した問題 125421：VMware SASE Orchestrator ユーザーインターフェイスの [監視とイベント (Monitoring and Events)] ページで VMware SD-WAN Edge の WAN リンクが断続的にダウン状態になってから再度稼動状態になり、Edge が応答しなくなって手動で再起動されるまでトラフィックの通過に失敗したり、Edge でデータプレーンサービスの障害が発生して再起動したりする場合があります。
これは、Edge データプレーンサービスが共有メモリを開けず、古い PI を引き起こすときに発生する Edge メモリリークの問題です。これにより、開いているファイル記述子が枯渇し、最初に WAN リンクに影響します。ただし、この問題がさらに進行して Edge メモリが枯渇すると、Edge は次の状態になることがあります。
1. 応答しなくなり、Orchestrator を介してアクセスできなくなるため、オンサイトでの再起動/電源の入れ直しが必要になります。
2. Edge サービスの障害をトリガし、コアファイルが生成され、リカバリのために Edge が再起動します。
解決した問題 125467：リリース 5.1.0 以降を実行している VMware SD-WAN Gateway で Non SD-WAN Destination (NSD) トンネルが設定されていて、NSD トンネルの形成に失敗すると、Gateway データプレーンサービスの障害がトリガされ、Gateway が再起動することがあります。

Gateway が NSD を使用して IPsec トンネルを形成しようとすると、Gateway プロセスがトンネルを二重に削除できるタイミングシナリオが発生する可能性があり、これが Gateway サービスで例外をトリガし、障害が発生する原因となります。
解決した問題 125487：ARP 解決の問題により、ブランチ間のトラフィックフローが中断する場合があります。

この問題が発生すると、Edge はサブインターフェイス IP アドレスではなくプライマリインターフェイスの IP アドレスを使用して ARP 要求をネクストホップ IP アドレスに転送します。この問題は、接続されていないルートを使用して宛先に到達するときにフローの作成中にトリガされ、Edge のサブインターフェイスがその接続に使用されている場合、Edge はサブインターフェイスケースの送信元 IP アドレスを適切に入力しません。
解決した問題 125514：標準の高可用性トポロジを使用して展開されたサイトで、HA インターフェイスがダウンしていると、Orchestrator ユーザーインターフェイスでスタンバイ Edge の状態が「不明 (Unknown)」と報告されることがあります。

WAN HA ハートビートはピアの到達可能性に関して考慮されず、その結果、スタンバイ Edge に到達可能な場合でも、スタンバイ Edge は不明な状態に移行します。
解決した問題 125647：Edge モデル 520 または 540 で展開されたサイトの場合、Edge を 5.2.0 バージョンにアップグレードすると、LAN ポートを介して Edge に接続されたクライアントユーザーの接続が完全に失われることがあります。

Edge 520/540 を再起動するか、5.2.0 バージョンにアップグレードされた後に Edge を古いソフトウェアバージョンにダウングレードしても、問題は解決されません。Orchestrator の [ファイアウォール (Firewall)] 設定ページの [Edge のセキュリティ (Edge Security)] > [コンソールアクセス (Console Access)] 設定で Edge のコンソールが無効になっている（すべての Edge のデフォルト設定）と、Edge 520 または 540 の LAN1 ～ LAN8 ポートを管理するドライバが自分自身を適切に設定せず、これらのポートがまったく作成されません。

この問題の修正が適用されていない Edge でこの問題の発生を防ぐ、または影響を受ける Edge の LAN ポートで接続をリストアするには、[設定 (Configure)] > [Edge/プロファイル (Edge/Profile)] > [ファイアウォール (Firewall)] > [Edge のセキュリティ (Edge Security)] に移動し、[コンソールアクセス (Console Access)] で [有効 (Enable)] および [変更の保存 (Save Changes)] をクリックします。
解決した問題 126349：VMware SD-WAN Edge の CPU 使用率が 90% 以上の状態が一定期間表示されることがあります。

多数のフローで Edge の補正が必要なジッターが発生している場合、CPU 使用率が 90% を超える異常な状態が続きます。リアルタイムフローの場合、損失の多いリンクでジッターの補正が有効になります。多数のフローでジッター補正が有効になっている場合、ジッターバッファリングに使用される内部タイマーには大量の CPU サイクルがかかります。これにより、パフォーマンスの低下の問題が発生する可能性があります。
解決した問題 126458：高可用性トポロジを使用して展開されたカスタマーサイトで、HA Edge が Edge モデル 520/540 である場合、アクティブ/アクティブ状態の結果として複数の HA フェイルオーバーが発生することがあります。

この状態は、同時フローの数が 300,000 を超えると、HA が設定された 520/540 Edge でトリガされます。

この問題の修正が適用されていない Edge 520/540 HA Edge では、回避策として、[設定 (Configure)] > [Edge] > [デバイス (Device)] ページで HA フェイルオーバー時間を 700 ミリ秒から 7,000 ミリ秒に増やします。これにより、アクティブ/アクティブ状態の変更が減少します。
解決した問題 126520：アクティブなアプリケーションが多数あるエンタープライズでは、ビジネスポリシールールに一致するトラフィックが必ずしも適切にステアリングされません。

多くのアクティブなアプリケーションがある環境では、Edge DNS キャッシュがいっぱいになり、DNS エントリが失われたというアラートが 10 分ごとにトリガされます。また、DNS キャッシュがいっぱいになると、この問題はビジネスポリシーに基づく最初のパケットルーティングにも影響する可能性があります。

Edge DNS キャッシュをクリアすると、この問題が一時的に軽減されます。
解決した問題 127127：VMware SD-WAN Gateway がリリース 5.1.x 以降にアップグレードされると、VMware SD-WAN Edge はハブ Edge からルートを学習しません。

Edge がハブ経由のブランチ間で設定されていて、リストに同じ Edge のみが含まれ、Gateway が 5.1.x 以降のバージョンを実行している場合、ルートは Gateway から Edge に広報されません。

唯一の回避策は、ハブ経由のブランチ間設定から Edge を削除することです。
解決した問題 127254：一部のシナリオでは、デフォルトルートが OSPFv3 によって発信されません。

最初に、OSPFv3 へのオーバーレイルートの再配布が無効になり、「default-information originate always」が IPv6 デフォルトルートを広報するようにプロファイルレベルで設定されます。また、リモート Edge から IPv6 オーバーレイのデフォルトルートを受信します。ここで cmd「default-information originate always」のメトリックタイプ (OE1/OE2) が Orchestrator で変更されると、OSPFv3 でオーバーレイルートの再配布が無効になっているため、その cmd 用に作成された LSA も予期せず削除されます。

修正をインストールする前にこの問題が発生した場合の回避策は、プロファイルレベルで OSPFv3 のデフォルトの発信元を無効にしてから有効にすることです。
解決した問題 127403：Orchestrator ユーザーインターフェイスの [テストとトラブルシューティング (Test & Troubleshoot)] > [リモート診断 (Remote Diagnostics)] ページでリモート診断「OSPF のトラブルシューティング - OSPF 再分散ルートの一覧表示 (Troubleshoot OSPF - List OSPF Redistributed Routes)」または「BGP のトラブルシューティング - BGP 再分散ルートの一覧表示 (TroubleshootBGP - List BGP Redistributed Routes)」を実行すると、データなしでエラーが返されます。

いずれかの診断を実行すると、Orchestrator ユーザーインターフェイスに次のエラーが表示されます：「テスト用のデータの読み取りエラー (Error reading data for test)」。
解決した問題 127443：2 コア設定で展開された VMware SD-WAN 仮想 Edge でデータプレーンサービスの障害が発生し、SIGXCPU を持つコアが生成され、リカバリするために再起動することがあります。

2 コア仮想 Edge プラットフォームでは、BGP/OSPF ワーカースレッドで処理（再配布）された大量のイベントがある場合、イベントは Edge ルーティングプロセスクライアント (BGP/OSPF) に送信され、これらは非 RR のスレッドとして実行され、データを同じ速度で読み取るために十分な CPU サイクルを取得できない場合があります。その結果、Edge は永続的な送信再試行ループ状態になり、他のスレッドを枯渇させ、SIGXCPU 終了としてログに記録される障害を引き起こします。
解決した問題 127799：オペレータまたはパートナーユーザーが vcdbgdump コマンドを使用して VMware SD-WAN Gateway をデバッグしようとすると、コマンドが失敗することがあります。

この問題は、AppArmor ルールの適用がオンになっている Gateway で発生する可能性があります。
解決した問題 128132：高可用性トポロジを使用して展開されたカスタマーエンタープライズサイトの場合、ユーザーが HA Edge ペアを 5.2.2 から 5.2.1 以前にダウングレードしようとすると、スタンバイ Edge のダウングレードに失敗します。

この問題が発生すると、サイトで異なるソフトウェアバージョンを実行している Edge のセットが一致しません。この問題は、スタンバイ Edge のダウングレードパスの例外によってトリガされます。
解決した問題 128377：ルーティングに BGP を使用しているカスタマーエンタープライズの場合、BGP の障害が原因でユーザートラフィックが中断することがあります。

self_mac_hash の無効なメモリアクセスが原因で、クリーンアップ中に BGP プロセスが失敗することがあります。

bgp_master のクリーンアップの一環として、self_mac_hash はすでにクリーンアップされています。ただし、クリーンアップが発生した後でメッセージを処理しているときに、BGP は削除されたハッシュにアクセスし、障害が発生します。
解決した問題 128741：VMware SD-WAN Gateway で、データプレーンサービスの障害が発生してコアファイルを生成し、リカバリするために再起動することがあります。

Non SD-WAN Destination IPsec トンネルまたは GENEVE インターフェイスで有効な管理パケットが予期せず到達すると、そのパケットの処理中に Gateway でエラーが発生し、Gateway サービスプロセスが失敗することがあります。
解決した問題 129359：高可用性トポロジを使用して展開されたカスタマーエンタープライズサイトの場合、まれに、アクティブ Edge とスタンバイ Edge の両方が同じ MAC アドレスを持つ WAN リンクでハートビートパケットを送信している場合があります。

この問題が発生すると、アップストリームスイッチに影響が及びます。スイッチは、同じ MAC アドレスを持つ 2 つの異なるフローを受信したことに関連するアラートを送信する場合があります。この問題は、スタンバイ Edge の MAC ファイルが作成されず、スタンバイ Edge がアクティブ Edge と一致するようにインターフェイスの MAC アドレスを誤って更新することでこの状況から回復しようとするタイミング条件によって発生する可能性があり。

この問題が発生した場合、スタンバイ Edge を無効にしてデフォルトの工場出荷時の設定に戻し、HA セットアップで再度有効にして MAC ファイルをリストアする必要があります。
解決した問題 129923：クライアントユーザーの環境で、宛先プレフィックスに再帰的なスタティックルートを使用するフローのトラフィックがドロップすることがあります。

最初のトラフィックフローでは、再帰的な解決の後に宛先プレフィックスにスタティックルートを使用します。ただし、その再帰ルートの送信インターフェイスを使用する後続のトラフィックはダウンします。送信インターフェイスを使用する他のルートで再帰的なルート解決が可能な場合でも、再帰的な解決は更新されません。これにより、パスが使用可能な場合でもトラフィックがドロップします。

この問題に対する修正を行わない Edge では、フローで使用されるスタティックルートを削除して再追加します。
解決した問題 130011：オペレータまたはパートナーユーザーが tcpdump.sh を使用して VMware SD-WAN Gateway をデバッグしようとすると、コマンドはファイルに出力されると機能しますが、stdout の場合は失敗します。

これは、Apparmor が強制モードで /dev/pts/* ターミナルへのアクセスをブロックした結果です。これにより、vctcpdump プロセスが終了し、tcpdump.sh は stdout で情報をキャプチャしませんでした。

この問題の修正が適用されていない Gateway では、stdout ではなくファイルに tcpdump.sh を実行するか、/etc/apparmor.d/opt.vc.bin.vctcpdump プロファイルを complain モードに設定します。
解決した問題 130284：高可用性トポロジを使用して展開されたカスタマーエンタープライズサイトの場合、メモリ使用率が時間の経過とともに増加し、低下しないことがあります。

これはメモリリークであり、十分なメモリが蓄積されると、Edge データプレーンサービスでメモリ割り当てエラーがトリガされ、防御的な再起動/フェイルオーバーによってメモリがリカバリされる場合があります。この問題は、重複アドレス検出 (DAD) がすでに進行中の場合にすばやく連続してトリガされるか、または HA 同期が原因で発生する場合があります。

この問題の修正が適用されていない HA Edge で、Edge の [監視 (Monitor)] > [システム (System)] ページでメモリ使用率が増え続ける場合は、メンテナンス期間内に Edge サービスの再起動を開始して、Edge のメモリを一時的にリカバリします。
解決した問題 130368：「トランスポートグループ」を使用した「使用可能な」リンクステアリングが設定されているビジネスポリシールールに一致するダイレクトトラフィックが、目的のリンクが不安定な状態にあると期待どおりに動作しません。

WAN リンクは通常、損失が大きい場合に「不安定」としてマークされますが、不安定な状態を引き起こす要因であればすべてこの問題に対して同様に当てはまります。この問題は、「トランスポートグループ」を使用した「使用可能な」オプションに対する Edge のリンク選択コードが原因で発生します。「使用可能な」オプションは、リンクが稼動していることのみを要求し、良好な品質であることを要求しませんが、このコードによってトラフィックを良好な品質のリンクにステアリングします。
解決した問題 130573：VMware SD-WAN Edge モデル 520/540 または 610/610-LTE を使用しているカスタマーサイトの場合、VLAN が設定されたスイッチポートがトラフィックを相互に渡さない場合があります。

リストされているすべての Edge モデルは、同じメーカーのスイッチポートボードを使用します。ユーザーが Edge 上の 1 つ以上の VLAN を使用してスイッチポートを設定すると、ポートは ARP パケットを送信できないため、これらのポート間でトラフィックを渡すことができません。

この問題の修正により、Edge モデル 610/610-LTE の正しい VLAN スイッチングがリストアされます。

Edge モデル 520/540 は、LAN1-LAN4 用と LAN5-LAN8 用の 2 つのスイッチポートボードを使用します。これらの Edge モデルでは、この修正により、同じスイッチポートグループのポート間で VLAN スイッチングがリストアされます。ただし、2 つの異なるスイッチポートグループのスイッチポート間の VLAN スイッチングは依然として適切に動作しません。たとえば、LAN2 と LAN6 間の VLAN スイッチングは期待どおりに動作せず、LAN2 と LAN4、または LAN6 と LAN8 間のスイッチングは期待どおりに動作します。
解決した問題 130833：ルートベースのタイプの Gateway 経由の Non SD-WAN Destination が設定されているカスタマーエンタープライズの場合、クライアントユーザーの環境では IKE SA の再キー化中にピアサイトに送信されるトラフィックがドロップされる場合があります。

Phase1 の再キー化が行われると、新しく作成された Phase1 の Dead Peer Detection (DPD) メッセージに VCG が応答しないことがあります。これにより、トンネルが中断し、BGP トンネルのフラッピングが発生する可能性があります。ピア (VMware Cloud on AWS) がオンデマンド DPD で設定されている場合、Phase1 SA の再キー化後、新しく作成された Phase1 SA にアグレッシブな DPD リクエストが送信され、Gateway はこれらのリクエストに応答しません。これにより、ピア側で新しく作成された Phase1 SA が削除され、新しい Phase1 SA が開始されます。Gateway が常にイニシエータであるため、これも失敗します。

回避策として、Phase1 SA を手動で削除するか、Gateway から新しい Phase1 が開始されるまで待機します。
解決した問題 130901：「CSS 経由のバックホール」から「ダイレクト」に切り替えようとするフローで、ユーザートラフィックがドロップすることがあります。

フローが別のパス/ルートを経由するようにステアリングする別のビジネスポリシールールに一致する場合、Edge はトラフィックパスの切り替えを許可しません。この処理は、「CSS 経由のバックホール」で始まるフローでは見つかりませんでした。

この問題に対する修正を行わない Edge では、宛先 IP アドレスを使用してトラフィックをステアリングするようにビジネスポリシーを設定できます。
解決した問題 130907：ipAddrTable 上の SNMP ウォークでは、テーブル全体が取得されません。

ipAddrTable 上で SNMP ウォークを実行すると IP アドレスのみを取得します。物理 LAN インターフェイスのデータが破損しているため、残りのフィールドは取得されません。
解決した問題 130931：高可用性トポロジを使用して展開されたカスタマーエンタープライズサイトの場合、IPv6 アドレスは、DHCP アドレス指定を使用して IPv6 対応インターフェイス上で削除でき、Edge でルートの広報 (RA) が受信されるまでリストアされません。

有効期間が切れる前に Edge で RA パケットを受信しないと、IPv6 アドレスが削除されます。
解決した問題 130998：まれに、VMware SD-WAN Edge でデータプレーンサービスの障害が発生し、リカバリのために再起動する場合があります。

Edge サービスは、Surfshark VPN アプリケーションに一致するパケットを処理および分類しているという比較的まれな状況で失敗する可能性があります。
解決した問題 131085：VMware SD-WAN Gateway で、データプレーンサービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

特に、インターフェイスのローカルで生成されたパケット（正確には malloc を実行した skb）を送信する Gateway が関与する場合、Gateway サービスは skb 内の mbuf メンバーポインタにアクセスしようとします（これは null の場合があります）。これにより、例外とサービス障害がトリガされます。この修正により、mbuf へのアクセスは、mbuf が malloc を実行した skb を dpdk skb に変換することによって正しく更新された後にのみ実行されます。
解決した問題 131302：Partner Gateway ハンドオフセクションでマルチホップ外部 BGP が設定されている場合、MPLS バックホール経由の SD-WAN トンネルが起動しません。

Partner Gateway でマルチホップ EBGP が設定されている場合、ARP の解決中にトンネル開始要求に対する SD-WAN トンネル応答が失敗します。これは、ARP がネクストホップ IP アドレスではなく BGP ピア IP アドレスで誤って開始されるためです。マルチホップ BGP が設定されているため、ピア IP アドレスは直接のネクストホップではなく、ARP は失敗します。その結果、MPLS トンネルを介してピアに送信される SD-WAN トンネルパケットが Gateway から送信されることはありません。

回避策として、可能であればシングルホップの外部 BGP ピアを使用します。
解決した問題 131891：高可用性トポロジを使用して展開されたカスタマーエンタープライズサイトの場合、HA Edge でデータプレーンサービスの障害が発生した結果、HA フェイルオーバーが発生することがあります。

この問題は、HA Edge が大量のトラフィック負荷を処理し、DPI（詳細なパケットインスペクション）エンジンが 32 バイトを超えるサーバ名識別子の名前文字列を含む HTTPs トラフィックの処理で継続的にビジー状態になると発生することがあります。

Orchestrator で解決した問題

Orchestrator バージョン R5220-20231214-GA で解決した問題

Orchestrator バージョン R5220-20231214-GA で解決した問題

Orchestrator バージョン R5220-20231214-GA は 2023 年 12 月 14 日にリリースされ、Orchestrator バージョン R5204-20230831-GA およびユーザーインターフェイスビルド R5204-20231121-GA 以降の次の問題に対処しています。つまり、これらのリストされたビルドまでの 5.2.0 リリースノートに記載されている Orchestrator の問題に対する修正は、すべてのリリース 5.2.2 ビルドに含まれています。

解決した問題 48230：[監視 (Monitor)] > [Edge (Edges)] ページで、「モデル」を使用した Edge の検索結果が完全に正確ではありません。

ユーザーがモデル番号でフィルタリングすると、Orchestrator は追加の Edge を返します。
解決した問題 48609：[監視 (Monitor)] > [ルーティング (Routing)] ページで、マルチキャストルートテーブルのセグメント名を並べ替えることができません。

リリース 5.4.0 では、API が拡張され、セグメント名が並べ替えパラメータとして受け入れられ、セグメント名を並べ替えるのに役立ちます。
解決した問題 82095：Edge の接続に重大な問題を引き起こすことがある、Edge VLAN に対する無効なデバイス設定をユーザーが行う可能性があります。

Orchestrator では、デバイス設定の検証を試みません。具体的には、空のテーブルを持つスイッチポートの VLAN 設定などです。一部の設定がエラーだらけになり、Edge の管理プロセスが失敗する可能性があります。

この問題の修正が適用されていない Orchestrator では、カスタマーはすべての VLAN デバイス設定を確認し、これらの設定が有効であることを確認する必要があります。これは Orchestrator ではチェックされません。
解決した問題 92766：[監視 (Monitor)] > [ルーティング (Routing)] ページで、ページネーション情報が正しくありません。

ユーザーが [次へ (Next)] ボタンをクリックすると、フィルタロジックが正しく適用されず、表示されるページ番号が正しくないため、最後のページに到達した後でもユーザーインターフェイスページが停止しません。
解決した問題 102121：Orchestrator ユーザーインターフェイスの使用中に Edge のファイアウォール設定を更新せずに Edge の Secure Access 設定を複数回更新すると、Secure Access 設定の更新が Edge に送信されないことがあります。

この問題は、エンジニアリング部門がファイアウォールの更新なしで多数の Secure Access 更新を意図的に強制するテストで最も頻繁に発生します。ただし、まれに現場のカスタマーが原因で発生する場合があります。

修正されていない Orchestrator でこの問題が発生した場合、ユーザーはユーザーインターフェイスから Edge のファイアウォール設定を 1 回だけ手動で更新できます。ファイアウォールの手動更新後、ユーザーはユーザーインターフェイスから Edge Secure Access 設定の変更をやり直すことができます。Orchestrator は Edge Secure Access 設定の変更をユーザーインターフェイスから Edge にプッシュします。
解決した問題 104843：[設定 (Configure)] > [Edge (Edges)] ページで、すべての検索オプションを見つけることができません。

これには、プロファイル、オペレータプロファイル、分析による検索が含まれます。
解決した問題 108285：Orchestrator ユーザーインターフェイスでプロファイルを設定するときに、ユーザーが Edge インターフェイスをスイッチングからルーティングに変更すると、Orchestrator は新しいルーティングインターフェイスを適切なインデックスに挿入するのではなく、ルーティングの最後に追加します。

プロファイル設定のルーティングインターフェイスの順序が正しくないと、ユーザーがそのルーティングインターフェイスの参照を使用してスタティックルートを追加するときに、検証の問題が発生します。
解決した問題 113466：ユーザーインターフェイスの [設定 (Configure)] > [ネットワークサービス (Network Services)] ページで、ユーザーが Gateway 経由の Non SD-WAN Destination に [Cisco ASA] を選択すると、ユーザーインターフェイスは「o.fragmentationAvoidance is undefined」エラーを返します。

Orchestrator ユーザーインターフェイスには、IKE/IPsec 設定のサンプルテンプレートが表示されるはずですが、代わりに上記のエラーが発生します。
解決した問題 114444：VMware SASE Orchestrator をバージョン 5.1.x 以降にアップグレードすると、冗長トンネルがすでに設定されている Gateway 経由の Non SD-WAN Destination の設定の変更を保存できません。

ユーザーは [Gateway 経由の NSD (NSD via Gateway)] ページで設定を保存できず、冗長 NSD の Gateway でパケットドロップが発生する可能性があります。

この問題の回避策は、冗長 BGP ネイバーの [Gateway 経由の NSD (NSD via Gateway)] ユーザーインターフェイスで最大ホップ数を 2 に更新し、変更を保存することです。
解決した問題 115441：[グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] ページで SD-WAN のタイルを設定すると、ソフトウェアイメージとファームウェアイメージはアクティブな場合にのみ表示されます。

ソフトウェアイメージとファームウェアイメージは、状態に関係なく常にユーザーに表示される必要があります。
解決した問題 115695：[監視 (Monitor)] > [Edge (Edges)] ページの [Edge のリスト (Edge List)] テーブルで、カスタマーは Edge を説明で検索できません。

Edge の説明の特定の単語（「アクティベーション済み」あるいは Edge の場所など）は、同様の説明を持つすべての Edge を検索する場合に役立ちます。
解決した問題 116524：Edge Network Intelligence にサブスクライブし、分析を有効にしているカスタマーの場合、[監視(Monitor)] ページの左側のリンクリストを確認すると、名前は異なるがまったく同じ重複する分析のリンクが 2 つ表示されます。

Edge Network Intelligence には、[アプリケーション分析 (Application Analytics)] と [ブランチ分析 (Branch Analytics)] の 2 つのリンクがあり、両方とも ENI の同じ場所に移動します。これは、左側の [Edge Network Intelligence] という 1 つのリンクに修正されました。
解決した問題 116531：少なくとも 1 つの Edge の説明またはアプリケーションにカンマ (,) が含まれている VMware SASE Orchestrator でレポートを生成しようとすると、レポートが適切にフォーマットされないことがあります。

Edge の説明またはアプリケーション名にカンマが含まれている場合（次のスクリーンショットに示すように）、Orchestrator のレポートサービスに混乱が生じ、想定どおりに Edge の [説明 (Description)] 列にテキスト文字列全体が含まれるのではなく、各カンマの後のテキストがレポートの次の列に分割されます。

そのため、[転送バイト数 (Bytes Transmitted)] に関連付けられた値が表示されるのではなく、最初のカンマの後のテキストが表示され、[受信バイト数 (Bytes Received)] に 2 番目のカンマ（存在する場合）の後のテキストが表示されます（その後も同様）。レポートには引き続き [転送バイト数 (Bytes Transmitted)] と [受信バイト数 (Bytes Received)] のデータが含まれますが、右側にプッシュされ、正しい列に整列されません。

この問題が修正されていない Orchestrator では、Edge の説明またはアプリケーションにカンマが使用されていないことを確認する必要があります。
解決した問題 116633：Safari または Firefox を使用して VMware SASE Orchestrator にログインするときに、ユーザーがプロファイルレベルで無効な VLAN（"" など）を設定し、VMware SD-WAN Edge で有効な VLAN 値を設定すると、呼び出しは引き続き実行されますが、エラーが表示されます。

値が設定されていないインターフェイス値は null にする必要がありますが、代わりに vlanID = "" になります。ユーザーが Chromium ベースのブラウザで Orchestrator にログインする場合、この問題は発生しません。
解決した問題 116790：VMware SASE Orchestrator がリリース 5.1.x 以降にアップグレードされると、カスタマーの VMware SD-WAN Edge が、Edge が使用するように設定されているバージョンよりも古い Edge バージョンに誤ってダウングレードされる場合があります。

この問題は、Orchestrator からカスタマーエンタープライズが削除され、削除されたエンタープライズが Orchestrator データベース内の論理 ID によってオペレータプロファイルに関連付けられていた場合にトリガされます。エンタープライズが削除されると、オペレータプロファイルも削除されます。[Edge イメージ管理 (Edge Image Management)] が設定済みで、複数のオペレータプロファイルが使用可能で、この削除されたオペレータプロファイルをデフォルトとして割り当てていたカスタマーには、[Edge イメージ管理 (Edge Image Management)] メニューで引き続き使用可能なオペレータプロファイルが割り当てられます。その結果、カスタマーに古い Edge リリースを含むオペレータプロファイルが割り当てられることがあり、このオペレータプロファイルが割り当てられた Edge でソフトウェアが変更され、ダウングレードされる可能性があります。Edge がカスタマーが使用している機能をサポートしていない古いリリースを実行している場合は、ネットワーク障害などによって中断が発生する可能性があります。
解決した問題 117138：Zscaler Automation を使用して Zscaler クラウドセキュリティサービス (CSS) を作成するときに、Edge から Zscaler CSS への IPsec トンネルが作成されないことがあります。

Orchestrator は、Edge ごとに 1 つのアクションのみをキューに登録します。ただし、1 つのアクションが [通知済み (NOTIFIED)] 状態で停止すると、後続のすべてのアクションは実行されず、IPsec トンネルは構築されません。

この問題の修正が適用されていない Orchestrator では、オペレータユーザーは Orchestrator データベースから古い Edge アクションを手動で削除する必要があります。
解決した問題 117573：[設定 (Configure)] > [デバイス (Device)] > [VPN] > [クラウド VPN (Cloud VPN)] ページで、ユーザーがブランチからハブへのサイトを設定しようとすると、フィルタリングアイコンを使用してハブをフィルタリングできません。

カスタマーエンタープライズに複数のハブが設定されている場合、フィルタリング機能がないと、ブランチからハブへの VPN を設定することは困難になります。
解決した問題 117614：Orchestrator ユーザーインターフェイスの [設定 (Configure)] > [プロファイル (Profile)] ページの [ショートカット (Shortcuts)] ボックスにいくつかのアクションが表示されません。

表示されないショートカットは、[プロファイルの移行 (Migrate Profile)]、[プロファイルの複製 (Duplicate Profile)]、[プロファイルの変更 (Modify Profile)]、[プロファイルの削除 (Delete Profile)] です。これらのアクションは [プロファイル (Profile)] のリストページにありますが、カスタマーはこれらのアクションにより簡単にアクセスできる必要があります。
解決した問題 117988：VMware SD-WAN インターフェイスで OSPF 用に設定された [完全一致 (Exact Match)] チェックボックスをオンにした [インバウンドルートの学習 (Inbound Route Learning)] は、VMware SASE Orchestrator の従来のユーザーインターフェイスと新しいユーザーインターフェイスの値を比較した場合、Edge で設定されているものと一致しません。

[完全一致 (Exact Match)] オプションを使用すると、新しいユーザーインターフェイスを確認するときに Edge のデータベースに正しく保存されていても正しい値が表示されません。
解決した問題 117993：カスタマーエンタープライズを管理し、ネイティブ認証（つまりユーザー名/パスワード）を使用しているパートナーユーザー、またはエンタープライズユーザーがエンタープライズユーザーのパスワードをリセットしようとすると、失敗します。

次のエラーが表示されます：ユーザーには [enterpriseUser/sendEnterpriseUserPasswordResetEMail] にアクセスするために必要な権限がありません (user does not have privileges required to access [enterpriseUser/sendEnterpriseUserPasswordResetEMail])。この問題は、5.3.0 のデフォルトのユーザーインターフェイスである新しいユーザーインターフェイスでのみ発生します。原因は要求パラメータが見つからないことです。
解決した問題 118074：VMware SASE Orchestrator の新しいユーザーインターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで、一部のデバイス設定を開くことができない場合があります。

アクセスできない設定には、インターフェイス、IPv6、クラウド VPN、Non SD-WAN Destination (NSD)、クラウドセキュリティサービス (CSS) などがあります。この問題はパブリック IP アドレスを必要とする WAN 設定にトレースされ、このアドレスがない場合は、新しいユーザーインターフェイスでエラーがスローされ、これらの設定へのアクセスがブロックされます。
解決した問題 118297：[設定 (Configure)] > [Edge] ページで、Orchestrator ユーザーインターフェイスに一部の並べ替え機能が表示されません。

これには、プロファイル、オペレータプロファイル、分析、論理 ID、HA Edge、ライセンスによる Edge の並べ替えが含まれます。
解決した問題 118302：[監視 (Monitor)] > [Edge] ページで、Orchestrator ユーザーインターフェイスのリンク状態で Edge をフィルタリングすることができません。

大規模企業のカスタマーは、リンクがダウンした Edge をフィルタリングして、トラブルシューティングリソースをどこに向けるかを確認できる必要があります。
解決した問題 118501：[監視 (Monitor)] > [Edge (Edges)] ページで、ユーザーが CSV をクリックしてすべての SD-WAN Edge のリストをダウンロードすると、Orchestrator は最大 2,048 台の Edge しかダウンロードしません。

これは、エンタープライズ内に 2,048 台を超える Edge を持つカスタマーが、すべての Edge の完全なリストをダウンロードする必要がある場合に影響します。
解決した問題 118757：Orchestrator ユーザーインターフェイスの [Edge のプロビジョニング (Provision an Edge)] 画面では、多くの有効なライセンスオプションをフィルタリングできないドロップダウンメニューを使用するため、Edge ライセンスの選択が難しい場合があります。

[Edge ライセンス (Edge License)] フィールドのドロップダウンメニューに多くのライセンスオプションが含まれている場合、リストではユーザーがアイテムをフィルタリングできないため、目的のオプションを効率的に選択することが難しい場合があります。Orchestrator リリース 5.3.0 以降では、ドロップダウンメニューがすべてのライセンスの完全なリストに置き換えられ、目的のライセンスを効率的に選択できるようになりました。
解決した問題 118761：[Edge のリスト (Edge Listings)] ページで [ソフトウェアイメージの割り当て (Assign Software Image)] の更新中に項目をフィルタリングすることができません。

[ソフトウェアイメージの割り当て (Assign Software Image)] ドロップダウンでは、ユーザーが項目をフィルタリングできないため、ドロップダウンに多数の項目がある場合に選択プロセスが困難になります。
解決した問題 118770：[設定 (Configure)] > [Edge (Edges)] 画面に [Edge へのインベントリの割り当て (Assign Inventory to Edge)] オプションがありません。

このオプションは新しいユーザーインターフェイスには存在しません。リストア時には、Edge オプションの数が数百または数千になる可能性のあるドロップダウンメニューは使用しないでください。代わりに、ユーザーインターフェイスでは Edge をフィルタリングできるリスト表示を使用する必要があります。
解決した問題 119811：カスタマーの [イベント (Events)] リストで、1 日に複数の MGD_WEBSOCKET_INIT および MGD_WEBSOCKET_CLOSE イベントが表示されます。

Orchestrator の [イベント (Event)] リストに、カスタマーアクションなしで複数の MGD_WEBSOCKET_INIT イベントと MGD_WEBSOCKET_CLOSE イベントが表示される場合があります。

これらのイベントメッセージは誤りであり、重要度は「情報」レベルであるため、無視しても問題ありません。
解決した問題 119938：Zscalar トンネルの自動化を使用しているカスタマーの場合、VMware SD-WAN Edge から Zscaler への自動 IPsec トンネルの作成に長い時間がかかることがあります。

カスタマーが [Edge] > [デバイス設定 (Device Settings)] で Zscaler のサブロケーションを設定すると、これらの設定が Zscaler クラウドと同期するのに長い時間がかかる場合があります。これは、Zscaler クラウドが各サブロケーションのレコードを更新する必要があり、時間のかかるプロセスになる可能性があるためです。

この問題は、Orchestrator の自動化フレームワークによって、IPsec トンネルの作成アクションとサブロケーションの作成アクションが自動化キューに登録されるために発生します。また、Edge WAN IP アドレスが変更されたときに、更新アクションを自動化キューに登録します。ただし、更新アクションの数が多いため、キュー内の項目の待機時間が長くなります。一部のカスタマー展開環境では、Edge WAN IP アドレスが 1 日で最大 4,000 回変更される場合があります（モバイル WAN リンクなど）。
解決した問題 120398：パートナーユーザーは、管理しているカスタマーエンタープライズの新しい設定プロファイルを作成できません。

パートナーユーザーがカスタマーの設定プロファイルを作成しようとすると、Orchestrator は、「オペレータプロファイルのプロキシエンタープライズコンテキストが無効です (invalid proxy enterprise context for operator profile)」というエラーをスローします。この問題は、設定権限を持つパートナーロールで発生します。
解決した問題 121085：パートナー管理者が [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] > [サービス権限 (Service Permissions)] ページにアクセスしている場合、[システムのデフォルトにリセット (Reset to System Default)] オプションが想定どおりに動作しません。

ユーザーロールの権限のデフォルト設定がリストアされるため、[システムのデフォルトにリセット (Reset to System Default)] が選択されている場合に想定される動作は、すべてのカスタムロールの権限パッケージが「非公開 (Unpublished)」状態に戻ることです。しかし、実際には、1 つ以上のカスタムパッケージが「公開 (Published)」状態のままになり、パートナーユーザーは「公開 (Published)」状態のパッケージを変更または削除することができません。
解決した問題 121118：エンタープライズユーザーには、VMware SASE Orchestrator で診断バンドルを生成するオプションや、パケットキャプチャを生成してダウンロードするオプションがありません。
これは、すべてのエンタープライズユーザーロール（スーパーユーザーを含む）に当てはまります。エンタープライズユーザーには [SD-WAN] > [診断 (Diagnostics)] で次のオプションが表示されることが想定されます。
1. 診断バンドルを生成する（ただしダウンロードはしない）。
2. パケットキャプチャを生成してダウンロードする。
しかし、表示されるオプションは [リモート診断 (Remote Diagnostics)] と [リモートアクション (Remote Actions)] のみです。

この問題に対する修正を行わない Orchestrator でこの問題が発生した場合は、SD-WAN サポートに問い合わせて、診断バンドルの生成を依頼します。
解決した問題 121336：Edge またはプロファイルの [設定 (Configure)] > [デバイス (Device)] ページで [Partner Gateway の割り当て (Partner Gateway Assignment)] が設定されていて、API 呼び出しを介して変更が行われた場合、「プロファイルの更新 (Profile Update)」イベントには常に Gateway が削除済みとして表示されます。

これは単に表面的な問題であり、機能上の影響はありません。この問題は、[Gateway (Gateways)] フィールドが設定で廃止されたために発生します。
解決した問題 121993：VMware SASE Orchestrator ユーザーインターフェイスで、VMware SD-WAN Edge の VLAN プロパティを編集するオプションがない場合があります。

この問題は、Edge で使用されているすべての VLAN に影響するわけではありませんが、問題が発生すると、ユーザーインターフェイスで VLAN をクリックしても何も起こりません。

この問題が修正されていない Orchestrator でこの問題が発生している場合は、SD-WAN サポートにお問い合わせください。
解決した問題 121995：Orchestrator の [設定 (Configure)] > [アラート (Alerts)] ページで HA フェイルオーバーアラートがオフになっていても、カスタマーはこれらのアラートを受け取ります。

エンタープライズアラートが有効でも、HA フェイルオーバーアラートが有効になっていない場合、HA フェイルオーバーアラートがエンタープライズユーザーに送信されます。
解決した問題 122193：[設定 (Configure)] > [Edge (Edges)] > [ファイアウォール (Firewall)] ページで、Edge のファイアウォールルールを設定するときに、[ファイアウォールアクション (Firewall Action)] に対してユーザーは [許可 (Allow)] のみを選択できます。

ユーザーが [ファイアウォールアクション (Firewall Action)] をクリックすると、ドロップダウンメニューが一瞬表示され、すぐに消えるため、ユーザーはデフォルトの [許可 (Allow)] から他のオプションに変更できません。
解決した問題 122347：VMware SASE Orchestrator の新しいユーザーインターフェイスのサービス権限機能が設計どおりに動作しません。エンタープライズユーザーのサービス権限の一部として削除された権限が期待どおりに機能しませんでした。また、ユーザーが新しいサービスを作成しようとすると、モジュールに関連付けられていない権限が表示されます。

エンタープライズユーザーのサービス権限の一部として削除された権限が期待どおりに機能しませんでした。たとえば、[リモート診断 (Remote Diagnostics)] > [フローのフラッシュ (Flush Flows)] は、権限がエンタープライズユーザーから削除された場合でも機能します。

2 つ目の問題は、ユーザーが新しいサービスを作成しようとすると、モジュールに属していない権限がユーザーインターフェイスに表示される点です。たとえば、[SD-WAN] > [グローバル設定 (Global Settings)] を選択すると、ユーザーはほぼ同じオプションを受け取ります。

2 つ目の問題に対しては、ユーザーはユーザーインターフェイスから必要な権限を手動で選択できます。
解決した問題 122519：[設定 (Configure)] > [Edge/プロファイル (Edge/Profile)] > [デバイス (Device)] > [接続 (Connectivity)] ページで、ユーザーが VLAN を編集できない場合があります。

設定でセグメント名が null であるため、VLAN エディタが開きません。これは、後方互換性の問題を回避するために、API でセグメント名を null にできるようにした結果です。しかし、新しいユーザーインターフェイスではこのセグメント名が想定されるため、エラーが発生します。この修正により、セグメントデータから実際のセグメント名が取得され、セグメント名の問題が解決されました。
解決した問題 123867：リンクメトリックとシリーズ API がエラーを返します。

リンクメトリックまたはシリーズ API がメトリックのリストなしで呼び出されると、API は該当するすべてのメトリックを応答に追加する代わりに誤ってエラーを返します。

この問題の修正が適用されていない Orchestrator では、返されるメトリックフィールドのリストを指定して API 要求を送信する必要があります。
解決した問題 124073：AES-256 暗号化付きの冗長 Gateway トンネルを使用して Gateway 経由の Non SD-WAN Destination を設定すると、スタンバイ冗長 Gateway トンネルは引き続き AES-128 暗号化を使用します。

ユーザーが Orchestrator ユーザーインターフェイスで [設定 (Configure)] > [ネットワークサービス (Network Services)] に移動して、冗長トンネルを持つ NSD の暗号化アルゴリズムを AES-256 に変更する場合があります。API 応答に基づいて、冗長トンネルは引き続き AES-128 を使用します。これはトンネル暗号化の変更を処理する API の不具合の結果です。
解決した問題 124092：[オーバーレイフロー制御 (Overlay Flow Control)] 画面にセグメント名が表示されません。

セグメント名をフィルタリングしようとしても、結果の一部としてセグメント名が入力されません。
解決した問題 124129：拡張ファイアウォールサービス (EFS) の可用性を制御するシステムプロパティが True に設定されている場合、VMware SASE Orchestrator に追加された新しいカスタマーエンタープライズでは、デフォルトで EFS が有効になっています。

システムプロパティ enterprise.capability.enableATP は、以前の 5.2.0 ビルドではデフォルトで True に設定されていました。このプロパティが True に設定されている場合、新しいカスタマーエンタープライズの [グローバルカスタマー (Global Customer)] 設定を確認すると、EFS がデフォルトで有効になっています。すべての新しいカスタマーエンタープライズで想定される動作は、EFS がデフォルトで有効にならないことです。その場合、この機能を明示的なアクションとして有効にする必要があります。

この問題は、enterprise.capability.enableATP プロパティをデフォルトで False に設定することで修正されました。
解決した問題 124568：ディザスタリカバリ (DR) トポロジを使用して展開された VMware SASE Orchestrator の場合、まれにオペレータユーザーは DR が停止し、アクティブ Orchestrator とスタンバイ Orchestrator 間のレプリケーションが一時的に失われていることに気付くことがあります。

この問題は DR のみに限定されているため、ユーザーエクスペリエンスには影響しません。[DR] ページには、STANDBY_RUNNING ではなくエラー状態が表示されます。これは断続的なエラーで、自動的に復旧します。
解決した問題 125082：ユーザーが VLAN 上で上書きされた DNS サーバの IP アドレスを使用して VMware SD-WAN Edge を設定し、Edge が使用しているプロファイルのインターフェイス設定を変更すると、Edge VLAN に DNS サーバの IP アドレスが存在しなくなります。

ユーザーインターフェイスは DHCP セクション内で上書きフラグを送信しないため、プロファイルの変更によって DHCP セクションの上書きがトリガされます。
解決した問題 125456：VNF が使用されているカスタマーエンタープライズの場合、ユーザーが Edge デバイスの設定を変更しようとすると、変更を保存しようとしたときに VMware SASE Orchestrator は変更を拒否します。

設定の変更は、既存の静的ルートにコメントを追加する程度の軽微なものである場合があり、VNF が有効になっている場合、Orchestrator ユーザーインターフェイスは変更を保存しません。ユーザーインターフェイス画面の下部に「スクリプト挿入エラー (Script injection error)」バナーが表示されることがあります。

この問題が修正されていない Orchestrator では、回避策として、VNF を一時的に無効にしてから設定の変更を保存することです。変更が正常に保存されると、ユーザーは VNF を再度有効にできます。
解決した問題 127281：Orchestrator ユーザーインターフェイスの [設定 (Configure)] > [オーバーレイフロー制御 (Overlay Flow Control)] ページで、ルーティングされたサブインターフェイスのスタティック設定が OFC ページにコネクトルートとして表示されません。

ルーティングされた非 WAN インターフェイスまたはサブインターフェイスでスタティック設定が行われる場合、コネクトルートとして OFC ページに表示されることが期待されます。ただし、これはサブインターフェイスの親インターフェイスでも IPv6 が有効になっていない IPv6 設定を使用するサブインターフェイスでは機能しません。
解決した問題 127727：新しいクラウドセキュリティサービス (CSS) を作成する場合、ユーザーは [ドメスティックプリファレンス (Domestic Preference)] オプションを設定できません。

ユーザーが [ドメスティックプリファレンス (Domestic Preference)] チェックボックスを有効にして設定を保存すると、Orchestrator は認証情報を検証し、「変更が正常に保存されました! (Changes saved successfully!)」というメッセージを表示します。ただし、保存後 CSS プロファイルを再度開くと、[ドメスティックプリファレンス (Domestic Preference)] チェックボックスが選択されていません。
解決した問題 128310：VMware SASE Orchestrator ユーザーの環境で、Orchestrator のデータベースサービスの問題により、全体的な速度低下と一部の API の障害が発生する可能性があります。その他の副次的な影響としては、ユーザーインターフェイスに SD-WAN Gateway/Edge がオフラインで表示されたり、Orchestrator ユーザーインターフェイスを介して行われた設定の変更がターゲット SD-WAN Edge にプッシュされなかったり、レポート機能が失われたりすることがあります。

この問題はすべて、Orchestrator のデータベースサービスが「開いているファイルが多すぎます (too many open files)」というエラーで失敗するために発生します。このエラーは、VMware SASE Orchestrator のオペレータユーザーがログを介して確認できます。ユーザーインターフェイスを介して VMware SASE Orchestrator にアクセスしているエンタープライズユーザーまたはパートナーユーザーの環境で、速度の低下と断続的な API 障害が発生し、ユーザーインターフェイスにエラーメッセージが表示されます。
解決した問題 128652：ディザスタリカバリ (DR) トポロジを使用して展開された VMware SASE Orchestrator の場合、Orchestrator をアップグレードすると、DR がすぐに失敗します。

スタンバイ Orchestrator のレプリケーション設定に、アクティブ Orchestrator との同期に不可欠な複数のデータベースがないため、アップグレード後に DR が失敗します。
解決した問題 128753：カスタマーがアドレス指定に DHCP を使用するサブインターフェイスを設定し、ユーザー定義の WAN オーバーレイを作成すると、ユーザーは送信元 IP アドレスとネクストホップの IP アドレスを設定せずに設定を保存できません。

これにより、必須ではない送信元とネクストホップの IP アドレスも設定しない限り、別の WAN オーバーレイを追加できなくなります。
解決した問題 129232：ユーザーは、VMware SASE Orchestrator でパスワードの自己リセットを実行できません。

ユーザーがブラウザでパスワードの自己リセットリンクに直接アクセスしようとすると、パスワードのリセットページではなくログインページにリダイレクトされます。
解決した問題 129412：ユーザーインターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページの [IPv4 DHCP サーバ (IPv4 DHCP Server)] セクションで、表示されるアドレスの数が正確でない場合があります。

この動作は、ユーザーが後で元の DHCP 値を編集してアドレスの数を増やし、ユーザーインターフェイスには少ない古いアドレス数が表示され続ける場合に発生します。
解決した問題 129494：[カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [サービス設定 (Service Configuration)] > [SD-WAN] ページで、ユーザーがサービス設定を編集するときに、シングルサインオン (SSO) 認証または Edge Network Intelligence (ENI) がカスタマー向けに設定されていない場合でも、毎回ドメイン名を追加する必要があります。

カスタマーに対してシングルサインオン (SSO) 認証または Edge Network Intelligence (ENI) が設定されていない場合でも、この操作を実行する必要があります。カスタマーが ENI または SSO を使用していない場合、ドメイン名は必須ではありません。
解決した問題 129522：[グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [BGP と BFD の設定 (Configure BGP and BFD)] ページで、31 ビットプレフィックスを持つアドレスをハンドオフインターフェイスのローカル IP アドレス値として使用することができません。

この問題は、Orchestrator が RFC 3021 ネットワーク（/31 ネットワーク）をサポートしていないために発生します。
解決した問題 129584：[設定 (Configure)] > [Edge (Edges)] > [ビジネスポリシー (Business Policy)] ページで、ユーザーが既存のビジネスポリシールールを編集しても、Orchestrator ユーザーインターフェイスは変更を保存した後でも [宛先 (Destination)] フィールドの再設定された値を更新しません。

たとえば、[宛先 (Destination)] が [IP アドレス (IP Address)] に設定されている既存のビジネスポリシールールの場合、ユーザーが宛先の値を [任意 (ANY)] に変更し、変更を保存すると、ルールの [宛先 (Destination)] フィールドに加えられた変更はユーザーインターフェイスに反映されません。ルールに [任意 (Any)] ではなく [IP アドレス (IP Address)] に設定された [宛先 (Destination)] フィールドが引き続き表示されます。
解決した問題 129662：Orchestrator ユーザーインターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [インターフェイス (Interfaces)] ページを見ても、VMware SD-WAN インターフェイスが有効か無効かを確認できません。

VMware SASE Orchestrator ユーザーインターフェイスでは、有効化されたインターフェイスと無効化されたインターフェイスの色が区別されないため、カスタマーは無効化されたサブインターフェイスを特定できません。
解決した問題 129926：ユーザーがシリアル番号のない Edge をプロビジョニングすると、Edge のアクティベーションに失敗します。

ユーザーがシリアル番号なしで Edge をプロビジョニングし、Orchestrator がそれを自動検出できるようにする必要があります。
解決した問題 129958：ユーザーインターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページの [IPv4 DHCP サーバ (IPv4 DHCP Server)] セクションで、最初に一般 VLAN を上書きしない限り、アドレスの数を変更することができません。

以前は、DHCP や OSPF などの Edge VLAN のサブセクションを上書きし、プロファイルから残りの設定を受け入れることができました。現在の場合は、ユーザーは VLAN 全体を上書きして、DHCP の部分を編集できるようにする必要があります。
解決した問題 130153：サポートロールを持つエンタープライズユーザーの場合、[監視 (Monitor)] > [Edge (Edges)] > [Edge の選択 (Select Edge)] > [ショートカット (Shortcuts)] > [リモートアクション (Remote Actions)] メニューで [サービスの再起動 (Restart Service)] オプションを使用できません。

これにより、[監視 (Monitor)] > [Edge (Edges)] ページのショートカットメニューからサポートロールユーザーが Edge サービスの再起動を実行できなくなります。
解決した問題 130732：ルートのリストの [SD-WAN] > [オーバーレイフロー制御 (Overlay Flow Control)] で、サブネットの「アドレスを含む (contains address)」フィルタが適用されると、エラーがスローされる場合があります。

次のようなエラーが表示されます。「フィルタの適用中にエラーが発生しました (Error occurred while applying filters)」。このエラーは、「アドレスを含む (contains address)」フィルタが適用され、他のフィルタが選択されていない場合に頻繁に発生します。

回避策として、「サブネットにアドレスを含む (subnet contains address)」フィルタとともに「segmentId」フィルタも選択します。
解決した問題 131299：ユーザーインターフェイスの [設定 (Configure)] > [オーバーレイフロー制御 (Overlay Flow Control)] ページで、スタティックルートを使用する Gateway 経由の Non SD-WAN Destination のセグメントを変更すると、OFC テーブルに更新されたスタティックルートが表示されません。

代わりに、OFC テーブルには、以前に選択したセグメントを使用した結果が表示されます。そのため、実際には適用された設定の変更が、適用されなかったとユーザーが誤解する可能性があります。
解決した問題 131544：[監視 (Monitor)] > [Edge] > [リンク (Links)] で LTE モデムを使用する Edge を確認すると、このリンクタイプにギャップが生じていることがあります。

LTE モデムがダウンすると、LTE リンク統計シグナル強度フィールドで「エラー：モデムが見つかりません (error: couldn't find modem)」エラーが生成され、この文字列が Orchestrator への転送用に変換されるときに Edge で例外が発生します。Edge 管理サービスはこれを Orchestrator に送信しようとしますが、Orchestrator はこの文字列を解釈できず、エラーをスローします。その結果、Orchestrator はこの期間のリンク統計情報を表示しません。
解決した問題 131789：組織のシングルサインオン (SSO) を設定するときに、ID プロバイダ (IdP) の応答にロール情報が含まれている場合でも、ユーザーが Orchestrator にログインできません。

IdP がネストされた JSON 構造でロール情報を送信する場合、Orchestrator はシングルサインオン (SSO) 経由でログインするユーザーのロールを照合できません。バージョン 5.2.2.0 以降では、ネストされた JSON 構造に存在する場合でも、Orchestrator は SSO ユーザーのロールを参照して、照合することができます。

この問題の修正が適用されていない Orchestrator でこの問題が発生した場合の回避策は、ネストされた構造ではなく、ロールの詳細を即時レベルで送信するように IdP を設定することです。
解決した問題 133201：Orchestrator ユーザーインターフェイスの [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] ページで、ユーザーがカスタムロールを作成または編集し、PCAP バンドル権限の「Delete」パラメータを変更しようとすると、ユーザーインターフェイスによって PCAP バンドルの他のすべてのパラメータも変更されます。

たとえば、ユーザーが PCAP バンドルの Deletion を無効にすることを選択した場合、ユーザーインターフェイスでは、Read、Update、および Create パラメータも無効になります（ユーザーがそれらのパラメータを有効のままにしたい場合でも）。
解決した問題 133642：ユーザーインターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページで、Edge の VLAN がデフォルトで自動的に [上書き (Override)] に設定され、ユーザーはこの設定を無効にできません。

想定される動作として、プロファイルレベルで VLAN を作成した場合、[Edge 固有のルール (Edge Override)] 設定がデフォルトで無効になり、ユーザーは Edge ごとに [Edge 固有のルール (Edge Override)] を有効にすることを選択する必要があります。

既知の問題

リリース 5.2.0 での未解決の問題。

Edge/Gateway の既知の問題
Orchestrator の既知の問題

Edge/Gateway の既知の問題

問題 14655：

SFP アダプタを接続または取り外すと、Edge 540、Edge 840、Edge 1000 でデバイスが応答を停止し、物理的な再起動が必要になる場合があります。

回避策：Edge を物理的に再起動する必要があります。これは、Orchestrator で [リモートアクション (Remote Actions)] > [Edge の再起動 (Reboot Edge)] を使用するか、Edge の電源を入れ直すことで実行できます。
問題 25504：

コストが 255 より大きいスタティックルートで、ルートの順序設定が予期しない結果になる可能性があります。

回避策：0 と 255 の間のルートコストを使用します。
問題 25595：

WAN オーバーレイ上の静的 SLA への変更を適切に機能させるために、再起動が必要になる場合があります。

回避策：WAN オーバーレイからの静的 SLA の追加と削除後、Edge を再起動します。
問題 25742：

VMware SD-WAN Gateway に対する最大容量が Gateway に接続されていないプライベート WAN リンクの容量よりも少ない場合でも、アンダーレイが考慮されたトラフィックの上限がこの最大容量に制限されます。
問題 25758：

USB WAN リンクが、ある USB ポートから別の USB ポートにスイッチされると、VMware SD-WAN Edge が再起動されるまで、正常に更新されない場合があります。

回避策：1 つのポートから別のポートに USB WAN リンクを移動した後に Edge を再起動します。
問題 25885：

Partner Gateway（200 BGP が設定された VRF など）で大規模な設定の更新があると、VMware SD-WAN Gateway を経由する一部のトラフィックで遅延が約 2 ～ 3 秒増加する可能性があります。

回避策：回避策はありません。
問題 25921：

ハブに 3,000 個のブランチ Edge が接続されている場合、VMware SD-WAN ハブの高可用性のフェイルオーバーにかかる時間が予想よりも長くなります（最大 15 秒）。

回避策：回避策はありません。
問題 25997：

スイッチポートに変換されたルーティングインターフェイスでトラフィックを適切に渡すために、VMware SD-WAN Edge で再起動が必要になる場合があります。

回避策：設定を変更した後で、Edge を再起動します。
問題 26421：

クラスタへのトンネルを確立するには、すべてのブランチサイトのプライマリ Partner Gateway も VMware SD-WAN ハブクラスタに割り当てる必要があります。

回避策：回避策はありません。
問題 28175：

NAT IP アドレスが VMware SD-WAN Gateway インターフェイスの IP アドレスと重複していると、ビジネスポリシー NAT が失敗します。

回避策：回避策はありません。
問題 31210：

VRRP：ARP が VRRP の仮想 IP アドレスに対して LAN クライアントで解決されません。これは、VMware SD-WAN Edge がプライマリで LAN インターフェイスでグローバルでない CDE セグメントが実行されている場合に発生します。

回避策：回避策はありません。
問題 32731：

ルートを無効にすると、OSPF 経由で広報された条件付きデフォルトルートが正しく戻されないことがあります。

回避策：ルートを再度有効にしてから再度無効にすると、正常に取り消されます。
問題 32960：

有効化された VMware SD-WAN Edge のローカル Web ユーザーインターフェイスで、インターフェイスの「自動ネゴシエーション」と「速度」の状態が誤って表示されることがあります。

回避策：Orchestrator ユーザーインターフェイスで [リモート診断 (Remote Diagnostics)] > [インターフェイスの状態 (Interface Status)] を参照してください。
問題 32981：

DPDK が設定されたポートのハードコーディングの速度とデュプレックスで、DPDK をオフにする必要があるため、設定を有効にするために VMware SD-WAN Edge の再起動が必要になる場合があります。

回避策：この問題の回避策はありません。
問題 34254：

Zscaler CSS が作成され、グローバルセグメントで FQDN/PSK が設定されている場合、これらの設定が非グローバルセグメントにコピーされて、IPsec トンネルが Zscaler CSS に形成されます。
問題 35778：

1 つのインターフェイス上に複数のユーザー定義 WAN リンクがある場合、これらの WAN リンクのうちの 1 つのみが Zscaler への GRE トンネルを持つことができます。

回避策：Zscaler への GRE トンネルを構築する必要がある WAN リンクごとに、異なるインターフェイスを使用します。
問題 36923：

ハブとしてクラスタに接続されている VMware SD-WAN Edge の NetFlow インターフェイスの説明で、そのクラスタ名が正しく更新されない場合があります。
問題 38682：

DPDK が設定されたインターフェイスで DHCP サーバとして動作している VMware SD-WAN Edge が、接続されているすべてのクライアントに対して「新しいクライアントデバイス」イベントを適切に生成しないことがあります。
問題 38767：

Zscaler に GRE トンネルが設定されている WAN オーバーレイが自動検出からユーザー定義に変更されると、次に再起動するまで、古いトンネルが残ることがあります。

回避策：Edge を再起動して、古いトンネルをクリアします。
問題 39374：

VMware SD-WAN Edge に割り当てられた VMware SD-WAN Partner Gateway の順序を変更すると、帯域幅のテストに使用されるローカルゲートウェイとしてゲートウェイ 1 が正しく設定されない場合があります。
問題 39608：

リモート診断「Ping テスト」の出力で、正しい結果が表示される前に、無効な内容が一時的に表示されることがあります。

回避策：この問題の回避策はありません。
問題 39624：

親インターフェイスが PPPoE で設定されている場合、サブインターフェイス経由の ping が失敗することがあります。

回避策：この問題の回避策はありません。
問題 39753：

動的なブランチ間 VPN をオフに切り替えると、現在、動的なブランチ間を使用して送信されている既存のフローが停止する可能性があります。

回避策：メンテナンス期間中にのみ動的なブランチ間 VPN を無効にしてください。
問題 40421：

スイッチポートとして設定されたインターフェイスを使用して VMware SD-WAN Edge を通過するときに、traceroute でパスが表示されません。
問題 40096：

アクティベーション済みの VMware SD-WAN Edge 840 が再起動された場合、リンクが点灯し、VMware SD-WAN Orchestrator でポートが「稼動中」と表示されていても、Edge に接続されている SFP モジュールがトラフィックの通過を停止する可能性があります。

回避策：SFP モジュールを取り外して、ポートに再度接続します。
問題 42278：

特定のタイプのピアの設定ミスにより、VMware SD-WAN Gateway が IKE 初期化メッセージを非 SD-WAN ピアに継続的に送信することがあります。この問題により、Gateway へのユーザートラフィックが中断されることはありません。ただし、Gateway のログに IKE エラーが大量に記録されて、有用なログエントリが確認しづらくなる可能性があります。
問題 42872：

ハブクラスタが関連付けられているハブプロファイルでプロファイルの隔離を有効にしても、ルーティング情報ベース (RIB) からハブルートが取り消されません。
問題 43373：

複数の VMware SD-WAN Edge から同じ BGP ルートを学習していて、このルートをオーバーレイフロー制御で優先から対象終了に移動すると、その Edge が広報リストから削除されず、広報されたままになります。

回避策：VMware SD-WAN Orchestrator の分散コスト計算を有効にします。
問題 44995：

ルートがハブクラスタから戻された場合に、OSPF ルートが VMware SD-WAN Gateway および VMware SD-WAN スポーク Edge から取り消されません。
問題 45189：

送信元 LAN 側 NAT が設定されている場合、NAT サブネットのスタティックルートを設定しなくても、VMware SD-WAN スポーク Edge からハブ Edge へのトラフィックが許可されます。
問題 45302：

VMware SD-WAN ハブクラスタで、1 つのハブが、そのハブとその割り当てられているスポーク Edge の間で共通のすべての VMware SD-WAN Gateway への接続が 5 分より長い間失われた場合、まれに、スポークがハブルートを 5 分後に保持できなくなるという状態になることがあります。この問題は、ハブが Gateway との接続を回復したときに自動的に解消されます。
問題 46053：

ネイバーがアップリンクネイバーに変更されても、BGP プリファレンスがオーバーレイルートに対して自動修正されません。

回避策：Edge サービスを再起動すると、この問題は修正されます。
問題 46137：

3.4.x ソフトウェアを実行している VMware SD-WAN Edge で、Edge が GCM 用に設定されていても、AES-GCM 暗号化を使用したトンネルが開始されません。

回避策：カスタマーが AES-256 を使用している場合は、Edge を 4.x リリースにアップグレードする前に、Orchestrator から GCM を明示的に無効にする必要があります。すべての Edge で 4.x リリースが実行されている状態になったら、カスタマーは AES-256-GCM または AES-256-CBC を選択できます。
問題 46216：

ピアが AWS インスタンスの Gateway または Edge 経由の Non SD-WAN Destination で、フェーズ 2 の再キー化をピアが開始すると、フェーズ 1 の IKE も削除されて再キー化が強制されます。これは、トンネルが破棄されてから再構築されることを意味し、その結果トンネルの再構築中にパケットロスが発生します。

回避策：トンネルの破棄を回避するには、Gateway または Edge 経由の Non SD-WAN Destination または CSS IPsec の再キー化タイマーを 60 分未満に設定します。これにより、AWS が再キー化を開始できなくなります。
問題 46391：

VMware SD-WAN Edge 3800 の場合、SFP1 および SFP2 のインターフェイスそれぞれにマルチレート SFP (1/10G) の問題があり、これらのポートで使用できなくなります。

回避策：ナレッジベースの記事VMware SD-WAN Supported SFP Module List (79270)に従って、単一レートの SFP を使用してください。マルチレート SFP は、SFP3 と SFP4 で使用できます。
問題 47664：

ハブを介したブランチ間 VPN が設定されていないハブとスポークの設定では、L3 スイッチ/ルーターのサマリルートを使用してブランチ間トラフィックを戻そうとすると、ルーティングループが発生します。

回避策：ブランチ間 VPN を有効にするようにクラウド VPN を設定し、[VPN にハブを使用 (Use Hubs for VPN)] を選択します。
問題 47681：

VMware SD-WAN Edge の LAN 側のホストが、Edge の WAN インターフェイスと同じ IP アドレスを使用している場合、LAN ホストから WAN への接続が機能しません。
問題 48530：

VMware SD-WAN Edge 6x0 モデルで、3 つの速度 (10/100/1000 Mbps) の Copper SFP の自動ネゴシエーションが実行されません。

回避策：Edge 520/540 は 3 つの速度の Copper SFP をサポートしていますが、このモデルは 2021 年の第 1 四半期に販売終了としてマークされています。
問題 48597：ピアへの 2 つのパスのいずれかが停止した場合、マルチホップ BGP ネイバーシップは稼動状態ではなくなります。

複数のパスがあり、そのうちの 1 つがダウンしているピアを持つマルチホップ BGP ネイバーシップがある場合、ユーザーは BGP ネイバーシップがダウンして、他の使用可能なパスを使用して起動しないことに気付きます。これには、ローカルの IP ループバックネイバーシップも含まれます。

回避策：この問題の回避策はありません。
問題 50518：

PKI が設定された VMware SD-WAN Gateway で、6,000 個を超える PKI トンネルが Gateway に接続しようとすると、受信 SA が削除されないため一部のトンネルが起動しない場合があります。

注：
プリシェアードキー (PSK) 認証を使用するトンネルには、この問題はありません。
問題 51436：LTE モデムを使用して VMware SD-WAN Edge を展開しているときに、拡張された高可用性トポロジを使用しているサイトでは、サイトが「スプリットブレイン」状態になった場合、高可用性のフェイルオーバーに 5～6 分かかります。

スプリットブレイン状態からのリカバリの一環として、アクティブ Edge 上で LAN ポートが停止し、ポートが停止している間、およびサイトがリカバリできるようになるまで LAN トラフィックに影響が生じます。

回避策：この問題の回避策はありません。
問題 52955：ステートフル DHCP で DAD 障害が発生した後、Edge から DHCP の拒否が送信されず、DHCP の再バインドが再開されません。

DHCPv6 サーバが、DAD チェック中にカーネルによって重複として検出されたアドレスを割り当てた場合、DHCPv6 クライアントは拒否を送信しません。これにより、インターフェイスアドレスが DAD チェックの失敗としてマークされ、使用されないため、トラフィックのドロップが発生します。これにより、ネットワーク内でトラフィックがループすることはありませんが、トラフィックのブラックホールが発生します。

回避策：この問題の回避策はありません。
問題 53219：VMware SD-WAN ハブクラスタの再調整後、いくつかのスポーク Edge で RPF インターフェイス/IIF が正しく設定されていない場合があります。

影響を受けるスポーク Edge では、マルチキャストトラフィックが影響を受けます。クラスタの再調整後、一部のスポーク Edge が PIM join の送信に失敗します。

回避策：この問題は、影響を受けるスポーク Edge が、Edge サービスを再起動するまで続きます。
問題 53934：VMware SD-WAN ハブクラスタが設定されているエンタープライズで、プライマリハブに LAN 側のマルチホップ BGP ネイバーシップが含まれている場合、LAN 側で障害が発生すると、またはすべてのセグメントで BGP が設定されていないと、カスタマーはスポーク Edge でトラフィックのドロップを経験することがあります。

ハブクラスタでは、プライマリハブにピアデバイスとのマルチホップ BGP ネイバーシップがあり、ルートを学習します。BGP ネイバーシップが確立されているハブの物理インターフェイスが停止した場合、BGP ビューが空になっているにもかかわらず BGP LAN ルートがゼロにならない場合があります。これにより、ハブクラスタの再調整が行われなくなる可能性があります。この問題は、BGP がすべてのセグメントで設定されておらず、1 つ以上のマルチホップ BGP ネイバーシップがある場合にも発生する可能性があります。

回避策：LAN 側に障害がある（または BGP が有効化されていない）ハブを再起動します。
問題 57210：VMware SD-WAN Edge が正常に動作していて、インターネットにアクセスできる場合でも、ローカルユーザーインターフェイスの [概要 (Overview)] ページの LED が「赤色」で表示されます。

Edge のローカルユーザーインターフェイスは、Google の DNS リゾルバ (8.8.8.8) を介して既知の名前を解決できるかどうかによって Edge の接続を決定します。何らかの理由で実行できない場合は、オフラインと見なされ、LED が赤色で表示されます。

回避策：8.8.8.8 への DNS トラフィックが宛先に到達し、正常に解決されることを確認する以外に、この問題の回避策はありません。
問題 61543：複数の 1:1 NAT ルールが同じ内部 IP を持つ異なるインターフェイス上で設定されている場合、インバウンドトラフィックは 1 つのインターフェイスで受信でき、同じフローの送信パケットは異なるインターフェイス経由でルーティングできます。

外部から内部への NAT フローの場合、1:1 NAT ルールは、パケットが受信される外部 IP およびインターフェイスに対して照合されます。同じフローの送信パケットの場合、VMware SD-WAN Edge は、内部 IP を比較して NAT ルールを再度照合しようとします。送信トラフィックは、「送信トラフィック」が設定されている最初の一致したルールで設定されたインターフェイスを介してルーティングできます。

回避策：特定の内部 IP アドレスを使用して 1:1 NAT ルールを 1 つのみ設定する以外に、この問題の回避策はありません。
問題 65560：カスタマーから PE（プロバイダ Edge）デバイスへのトラフィックが失敗します。

ハンドオフ設定でタグタイプが「なし」と選択されている場合、Partner Gateway とプロバイダ Edge 間の BGP ネイバーシップが確立されません。これは、タグタイプが「なし」の場合、Orchestrator のハンドオフ設定ではなく、/etc/config/gatewayd から ctag、stag 値が選択されるためです。

回避策：/etc/config/gatewayd の vrf_vlan->tag_info で、ctag、stag の値をそれぞれ 0 に更新します。vc_procmon を再起動します。
問題 67879：ユーザーが WAN インターフェイス設定で WAN オーバーレイ設定を自動検出からユーザー定義に変更すると、クラウドセキュリティサービス (CSS) トンネルが削除されます。

変更を保存した後、カスタマーがトンネルをダウンしてから、再び起動するまで、CSS トンネルは起動しません。WAN 設定を変更すると、CSS トンネルがダウンし、CSS セットアップが再度解析されます。ただし、場合によっては、nvs_config>num_gre_links が 0 になり、CSS トンネルが起動に失敗することがあります。

回避策：CSS 設定を無効にしてから再度有効にすると、CSS トンネルが起動します。
問題 68057：DHCPv6 リリースパケットは、WAN インターフェイスアドレスモードが DHCP ステートフルから静的 IPv6 アドレスに変更されても、VMware SD-WAN Edge から送信されず、リースは有効期限に達するまでアクティブのままになります。

DHCPv6 クライアントは、設定の変更が行われたときに解放されないリースを所有しています。リースは、DHCPv6 サーバで有効期間が切れて削除されるまで有効なままです。

回避策：リースは有効期間までアクティブなままとなり、この問題を修正する方法はありません。
問題 68851：VMware SD-WAN Edge と VMware SD-WAN Gateway にそれぞれ同じ TCP Syslog サーバが設定されている場合、Edge から Syslog サーバへの TCP 接続は確立されません。

Edge と Gateway がそれぞれ同じ TCP サーバを持ち、Edge からの Syslog パケットが Gateway 経由でルーティングされる場合、Syslog サーバは TCP リセットを Edge に送信します。

回避策：Gateway 経由でルーティングする代わりに、Edge から直接 Syslog パケットを送信するか、Edge と Gateway に別の Syslog サーバを設定します。
問題 69284：Edge が HA 設定で VNF をデプロイし、リリース 4.x を使用している高可用性トポロジを使用しているサイトで、これらの HA Edge が HA VNF がサポートされていない 3.4.x リリースにダウングレードされてから 4.5.0 にアップグレードされた場合、HA VNF が再度有効化されると、スタンバイ Edge VNF が起動しません。

HA VNF ペアが、VNF-HA をサポートするバージョン（リリース 4.0 以降）から、Orchestrator で VNF が設定されていて、VNF-HA（リリース 4.0 以降）をサポートしないリリースにダウングレードされた場合、スタンバイ Edge の VNF 状態は、SNMP を介してダウンと通知されます。この問題は、Edge が VNF-HA をサポートするバージョンにアップグレードされ、Orchestrator で再度設定されている場合に発生します。

回避策：Edge が VNF をサポートしていないバージョンにダウングレードされている HA 設定の場合は、まず VNF を無効にする必要があります。
問題 72358：VMware SD-WAN Orchestrator DNS 名の IP アドレスが変更されると、VMware SD-WAN Gateway の管理プレーンプロセスで DNS 名が正しく解決されず、Gateway は Orchestrator に接続できなくなります。

Gateway の管理プロセスは、Orchestrator の DNS 名の DNS 解決を定期的にチェックし、

最近変更されたかどうかを確認することで、Gateway が正しいホストに接続できるようにします。DNS 解決コードに問題があるため、これらの解決チェックはすべて失敗し、Gateway は古いアドレスを引き続き使用するため、Orchestrator に接続できなくなります。

回避策：この問題が解決されるまで、オペレータユーザーは Orchestrator の IP アドレスを変更しないでください。Orchestrator の IP アドレスを変更する必要がある場合は、その Orchestrator に接続しているすべての Gateway を再度有効化する必要があります。
問題 77541：IPv6 をサポートする USB モデムを取り外して、VMware SD-WAN Edge USB インターフェイスに再挿入すると、IPv6 アドレスが USB インターフェイスにプロビジョニングされないことがあります。

これは、ModemManager アプリケーションで管理される USB モデムではなく、IP ベースの USB モデムに影響します。ほとんどの Inseego モデムは IP ベースであり、Inseego は VMware SASE が推奨するモデムメーカーであるため、これは重要です。IP ベースではなく、ModemManager を使用し、IPv6 をサポートする USB モデムは、プラグアウトとプラグインのシナリオでは問題ありません。

回避策：USB モデムが Edge の USB ポートに再挿入された後、Edge を再起動する（または電源を切って入れ直す）必要があります。再起動後、Edge はモデムの IPv6 アドレスを取得します。
問題 81852：L7 健全性チェックをオンにした GRE トンネルを使用する Zscaler タイプのクラウドセキュリティサービス (CSS) を使用している VMware SD-WAN Edge の場合、その Edge をリリース 5.0.0 にアップグレードすると、場合によっては L7 健全性チェックエラーが発生することがあります。

これは通常、ソフトウェアのアップグレード中または起動時に発生します。GRE トンネルを使用した CSS の L7 健全性チェックがオンになっている場合、ソケットの getaddress エラーに関連するエラーメッセージが表示されることがあります。観察されたエラーは断続的に発生し、一貫性がありません。このため、L7 健全性チェックのプローブメッセージは送信されません。

回避策：この修正を行わない場合、問題を修正するには、ユーザーが L7 健全性チェックの設定をオフにしてから再度オンにする必要があり、これにより、この機能は想定どおりに動作します。
問題 82184：Edge リリース 5.0.0 を実行している VMware SD-WAN Edge で、Edge の br-network IPv4/IPv6 アドレスに対して traceroute または traceroute6 を実行すると、UDP プローブを使用したときに traceroute が適切に終了しません。

デフォルトモード（UDP プローブ）が使用されている場合、Edge の br-network IPv4/IPv6 アドレスへの traceroute または traceroute6 が適切に機能しません。

回避策：traceroute および traceroute6 で -I オプションを使用して ICMP プローブを使用すれば、br-network IPv4/IPv6 アドレスへの traceroute が想定どおりに動作します。
問題 85402：Partner Gateway が設定された BGP を使用しているカスタマーエンタープライズの場合、一部の BGP ネイバーシップがダウンし、カスタマートラフィックの問題が発生する場合があります。

カスタマーが Edge および Gateway との BGP ピアリングを持つルーター上で最大プレフィックスを設定している場合、BGP セッションがルーターによってドロップされる場合があります。

たとえば、ルーターの BGP が最大「n」個のプレフィックスのみを受信するように設定されているが、Edge と Gateway にはフィルタが存在しない場合に広報される「n」個を超えるプレフィックスがある場合です。Orchestrator で BGP フィルタ設定が変更された場合、アウトバウンド方向で許可されるプレフィックスの総数が「n」個未満であっても、フィルターが適用される前に「n」個を超えるプレフィックスがピアに送信される問題が発生します。これにより、ルーターがセッションを破棄します。

回避策：この問題（プレフィックスの最大数に到達）が原因で BGP がダウンした場合は、CLI を使用してピアで BGP をフラップします（FRR/Cisco の場合は、「neighbor x shut」に続いて「no neighbor x shut」）。BGP は、ピアに広報される必要な数のプレフィックスのみを生成します。
問題 92481：VMware SD-WAN Edge の WAN インターフェイスが VMware SASE Orchestrator で無効化されている場合でも、SNMP はインターフェイスを「稼動中 (UP)」として報告します。

インターフェイス出力の主要なデバッグプロセスに、Edge WAN インターフェイス（Edge 6x0 または 3x00 モデルの GE3 や GE4 など）の物理ポートの詳細が含まれていません。その結果、SNMP がそれらのインターフェイスをポーリングすると、インターフェイスの設定に関係なく、稼動中という結果が常に返されます。

回避策：この問題の回避策はありません。
問題 93141：高可用性トポロジを使用して展開されたサイトで、HA Edge ペアのアップストリームにある L2 スイッチを使用しているカスタマーの場合、実際のループがないにもかかわらず、スイッチログに L2 トラフィックループの証拠が記録されることがあります。

この問題は、HA Edge がインターフェイスの実際の MAC アドレスではなく仮想 MAC アドレスで HA インターフェイスハートビートを Orchestrator に送信することが原因です。これは、HA Edge がその MAC ファイルに仮想 MAC アドレスを格納するために発生します。その結果、接続された L2 スイッチは、2 つの異なる Edge インターフェイスの同じ送信元 MAC アドレスからのトラフィックを検出し、L2 ループとしてログに記録します。この問題は、実際の L2 ループがなく、この問題に起因するカスタマーのトラフィックの中断や Orchestrator との通信の切断がないため、ログレベルでは表示上の問題に過ぎません。

回避策：カスタマーは、Edge の HA インターフェイス（通常は GE1）で発生したアップストリームスイッチからの L2 ループ検出イベントを無視できます。
問題 95399：イーサネットリンクが物理的に VMware SD-WAN Edge インターフェイスから取り外された場合、または接続された場合、VMware SASE Orchestrator はその Edge からこのイベントの通知を受信せず、カスタマーのイベントには表示されません。

カスタマーは Orchestrator がこれらのイベントを [イベント (Events)] ページで報告することに依存しています。これらのイベントが記録されていない場合は、さまざまなサイトの監視がより信頼できなくなります。

回避策：この問題の回避策はありません。
問題 95565：高可用性トポロジを使用しているサイトで、VMware SD-WAN アクティブ Edge のデータプレーンサービスの障害が発生し、コアが生成されて高可用性フェイルオーバーがトリガされることがあります。

この問題は、アクティブ Edge の WAN リンクが 1 回以上フラップ（ダウンして、すぐに起動する）し、そのときに SNMP クエリが頻繁に発生する SNMP を使用している場合にトリガされます。インターフェイスが稼動状態に戻るのと同時に SNMP クエリが発生するというタイミングの問題によりデッドロックがトリガされることが原因で、データプレーンサービスが失敗してコアが生成されます。1 回の WAN リンクフラップのみでこの問題が引き起こされる可能性がありますが、WAN リンクフラップの頻度が高いほど、この問題が発生する可能性が高まります。

回避策：修正が適用されていない HA Edge ペアでこの問題が発生する場合、回避策は SNMP を無効にすることです。これはタイミングの問題であり、これによってリスクが軽減されるためです。
問題 97559：拡張高可用性トポロジを使用して展開されたカスタマーサイトで、スタンバイロールの VMware SD-WAN Edge に接続されている WAN リンクが、WAN リンクが接続されている Edge の WAN インターフェイスが稼動している場合でも、VMware SASE Orchestrator でダウンと表示され、カスタマートラフィックを渡さないことがあります。
tcpdump または診断バンドルのログを確認すると、ARP 要求を受信した後、ポートがブロックされているためにスタンバイ Edge が応答していないことがわかります。拡張 HA では、Edge がスタンバイのロールを引き受けると、次のイベントが順次発生します。
1. スタンバイ Edge は、すべてのポートをブロックします。
2. スタンバイ Edge は、拡張 HA に展開されていることを検出し、WAN ポートのブロックを解除してトラフィックを渡します。
この問題が発生すると、イベント 1 として、初期のポートブロッキングが完了するまでに予期せず長い時間がかかり、続くイベント 2 では、イベント 1 が完了する前にすべての WAN ポートのブロック解除が完了します。イベント 1 が完了すると、最終的な状態として、スタンバイ Edge ですべての WAN ポートがブロックされます。
回避策：この問題を修正しない HA Edge では、回避策として、スタンバイ Edge をアクティブに昇格する HA フェイルオーバーを強制的に実行し、HA Edge の WAN リンクを起動します。
問題 98136：動的なブランチ間 VPN が設定されているハブ/スポークトポロジを使用しているカスタマーエンタープライズの場合、SD-WAN スポーク Edge の背後のクライアントユーザーの環境では、最適でないパスを使用するトラフィックによって一部のトラフィックに予期しない遅延が発生する場合があります。

この問題が発生するスポーク Edge トラフィックで使用されるルートは、最初は、スポーク Edge が使用していたプロファイルに含まれていないハブ Edge のアップリンク以外のルートでした。トラフィックが他の無関係なプレフィックスに送信されるため、動的なブランチ間 VPN トンネルをスポーク Edge からハブ Edge に形成できます。この場合、アップリンク以外のルートがスポーク Edge にインストールされます。

この非アップリンクルートの結果として、このプレフィックスへのすべてのトラフィックがハブ Edge を通過し始め、

非アップリンクルートがアップリンクになります（コミュニティはアップリンクコミュニティに変更されます）。ただし、以前にインストールされた非アップリンクルートは取り消されず、トラフィックは動的なブランチ間 VPN トンネルが稼動している限り、ハブ Edge パスを選択します。

回避策：動的なブランチ間 VPN トンネルが破棄されるまで待機します。その後、ハブ Edge に向かう新しい動的なブランチ間 VPN トンネルが形成されると、アップリンクルートはスポーク Edge にインストールされません。
問題 106289：VMware SD-WAN ハブ Edge は、接続されたスポーク Edge へのフローまたはバックホールフローでパケットをドロップする場合があります。

バックホールフローフラグは、QoS 同期プロセス中に設定されます。コード内には、フローの作成中にフラグを設定する場所があります。Edge は、QoS 同期メッセージ処理の結果としてのみこのフラグを設定する必要があります。

回避策：この問題に対する修正を行わないハブ Edge でこの問題が発生した場合は、ハブ Edge 上のフローをフラッシュして問題を一時的に修正します。
問題 109771：VMware SD-WAN Edge は、間に NAT66 が適用されている場合、Cisco CSR/ASE タイプの Edge 経由の Non SD-WAN Destination とのトンネルを確立できない場合があります。

2 つのピア間で送信元 IPv6 アドレス NAT が Cisco CSR/ASA に関係している場合、トンネルは確立されません。

回避策：この問題の修正が適用されていない Edge では、唯一の回避策は、NAT66 over IPsec をサポートする Cisco ソフトウェアのバージョンに Cisco CSR/ASA をアップグレードすることです。
問題 110561：トラフィックが停止してから再開すると、双方向トラフィックを持つ同じ VMware SD-WAN Edge のセット間で動的トンネルが起動しない場合があります。

この問題は、Edge 間で大量の双方向トラフィックが送信される 6,000 個の動的トンネルがあるテスト環境で発生します。1,000 個の動的トンネルでより小規模のテストを行っても、すべてのトンネルが起動するわけではありません。

回避策：この問題の回避策はありません。
問題 111085：VMware SD-WAN Edge の WAN リンクが、Edge のループバック IP と同じネットワーク内の IP アドレスで設定されている場合、Edge は、Edge のループバック IP アドレスに対する ARP リクエストに応答する際に、WAN インターフェイスの MAC アドレスを使用します。

これにより、ARP スプーフィングが発生し、その結果として管理 IP アドレスが廃止され、ネットワークが中断する可能性があります。

回避策：この問題の回避策はありません。
問題 113877：BGP/GRE LAN を設定しているカスタマーが TGW GRE を使用している場合、TGW GRE の BGP 設定がグローバルセグメントで変更されると、すべてのセグメントの TGW セカンダリトンネルで BGP フラップとトラフィックの中断が発生します。

カスタマーがグローバルセグメント上の TGW GRE の BGP 設定を変更すると、グローバルセグメントおよびその他のセグメントのセカンダリトンネルがフラップし、BGP 接続のリセットと再コンバージェンスが発生し、トラフィックが中断します。BGP 接続が再形成され、トラフィックがリストアされます。

回避策：この問題の回避策はありません。
問題 117037：複数の WAN リンクを使用してスポーク Edge とハブ Edge の間のトラフィックを送受信するハブ/スポークトポロジを使用しているカスタマーの場合、WAN リンクが WAN リンクの帯域幅を集約していないため、ビジネスポリシーによってステアリングされるトラフィックのパフォーマンスが想定よりも低くなる場合があります。

SD-WAN はカウンタを使用して、再シーケンスキューにバッファされたパケット数を計算します。このカウンタはピアごとに管理され、ピアごとに 4K パケットのみがバッファされるようにするために使用されます。状況によっては、このカウンタが負の値になる場合があります。リリース 4.2.x より前のリリースでは、このカウンタが負の値になると、再シーケンスキュー内のパケットをフラッシュした直後に、各カウンタが 0 にリセットされました。ただし、リリース 4.3.x 以降では、このカウンタは自動的に更新され、カウンタが想定された範囲内に留まるようにしています。

この動作の変更の結果、カウンタの計算が正しくないため、再シーケンスキューの数値が非常に高くなり、SD-WAN が各パケットをフラッシュすることによって応答することがあります。このアクションにより、帯域幅の集約が妨げられるだけでなく、単一のリンク上にあるはずのフローの効率が低下する場合があります。

回避策：この問題を修正していない Edge では、回避策として、一致するトラフィックを単一の必須リンクにステアリングするビジネスポリシーを設定します。
問題 117314：送信元と宛先の IP アドレスペアの間に ICMP フローがすでに存在する場合、オブジェクトグループ/サービスグループ（タイプとコード）を使用して ICMP パケットをフィルタリングするファイアウォールルールが機能しないことがあります。

ファイアウォール機能のリビジョンの一環として、ICMP タイプとコードのキャッシュのために導入された変更が元に戻されました。これは、ICMP タイプとコード（ICMP リダイレクトタイプ 5 とコード 0 など）を持つサービスグループを使用するファイアウォールルールに影響しました。送信元 IP アドレスと宛先 IP アドレスの間にフローがすでに存在する場合、このフローのルールに一致する ICMP トラフィックは適用されず、セッションの最初のパケットのみがファイアウォールルールに一致します。この問題は、IPv4 または IPv6 のいずれかの ICMP フローに影響します。

回避策：フローをフラッシュして新しい ICMP フローを作成すると、問題が一時的に修正されます。
問題 117876：高可用性トポロジを使用しているカスタマーサイトで、ユーザーが拡張ファイアウォールサービスを有効または無効にすると、VMware SD-WAN HA Edge が複数回再起動することがあります。

拡張ファイアウォールサービスが有効または無効になっている場合は、アクティブ Edge のデバイス設定のみがスタンバイ Edge とすぐに同期され、残りの設定同期はスタンバイ Edge のハートビートにのみ応答します。スタンバイ Edge からハートビートを受信する前にアクティブ Edge を再起動して最新の設定を適用すると、2 つの HA Edge 間で設定の不一致が発生し、設定の同期を完了するために再起動が複数回実行されます。

回避策：回避策は、HA Edge のメンテナンス期間中に拡張ファイアウォールサービスをオンまたはオフにすることのみです。
問題 121606：Partner Gateway を使用しているカスタマーエンタープライズでは、その Gateway を使用する Non SD-WAN Destination を含む一部のトラフィックでトラフィックがドロップすることがあります。

リリース 5.1.0 以降の Partner Gateway は、IPsec インターフェイスあたり最大 64 個の IP アドレスをサポートします。Partner Gateway の場合、ハンドオフ IP アドレスがこの IPsec インターフェイスに無条件で追加されます。ハンドオフ IP アドレスの数が 64 の制限を超えると、IPsec プロセスで古い IP アドレスが上書きされ、上書きされた IP アドレスを使用するトンネルがダウンします。

回避策：すべての Partner Gateway ハンドオフ IP アドレスが想定どおりに設定されている場合、これらのアドレスの一部を別の PG に移動する（たとえば、Gateway 経由の NSD を移動する）以外に回避策はありません。ただし、不要な PG ハンドオフ IP アドレスがある場合は、それらを削除してハンドオフ IP アドレスの合計が 63 以下になれば問題を解決できます。設定を変更した後、Gateway サービスを再起動する必要があります。
問題 121998：ハブ/スポークトポロジでステートフルファイアウォールを使用しているカスタマーの場合、スポークとハブの間のトラフィック用に設定されたファイアウォールルール（送信元 VLAN が含まれている）に一致するトラフィックがドロップされる場合があります。

アプリケーション分類、ビジネスポリシーテーブル、またはファイアウォールポリシーテーブルのバージョンが変更されると、SD-WAN は次のパケットでフローのファイアウォール参照を実行します。タイミングの問題により、そのパケットは管理トラフィック (VCMP) 側のパケットになる可能性があります。その結果、ファイアウォールポリシーの参照キーの作成中に、SD-WAN はスポーク Edge VLAN をハブ Edge VLAN とスワップするため、ルールと一致せず、そのトラフィックをドロップします。

回避策：カスタマーは、[送信元 (Source)] を Edge VLAN から「任意」に変更できます。
問題 125274：カスタマーが SNMP ウォークを実行すると、VMware SD-WAN Edge のループバックインターフェイスが検出されません。

Edge ループバックインターフェイスは、Edge が WAN または LAN として分類しない一意のインターフェイスカテゴリです。その結果、ループバックインターフェイスは、snmp-request に対して処理するインターフェイスの許可リストに含まれません。

回避策：この問題の回避策はありません。ループバックインターフェイスの状態は、Orchestrator ユーザーインターフェイスを介して個別に監視する必要があります。
問題 125421：VMware SASE Orchestrator ユーザーインターフェイスの [監視とイベント (Monitoring and Events)] ページで VMware SD-WAN Edge の WAN リンクが断続的にダウン状態になってから再度稼動状態になり、Edge が応答しなくなって手動で再起動されるまでトラフィックの通過に失敗したり、Edge でデータプレーンサービスの障害が発生して再起動したりする場合があります。
これは、Edge データプレーンサービスが共有メモリを開けず、古い PI を引き起こすときに発生する Edge メモリリークの問題です。これにより、開いているファイル記述子が枯渇し、最初に WAN リンクに影響します。ただし、この問題がさらに進行して Edge メモリが枯渇すると、Edge は次の状態になることがあります。
1. 応答しなくなり、Orchestrator を介してアクセスできなくなるため、オンサイトでの再起動/電源の入れ直しが必要になります。
2. Edge サービスの障害をトリガし、コアファイルが生成され、リカバリのために Edge が再起動します。
回避策：この問題が最初に確認された場合は、問題が悪化する前に、メンテナンス期間中の Edge サービスの再起動をスケジュール設定します。
問題 130777：ルーティングインターフェイスが、NAD ダイレクトがオフになっている LAN インターフェイスとして設定されている VMware SD-WAN Edge では、送信元/宛先インターフェイスと IP アドレスの使用に不一致があり、場合によっては、IP アドレスを使用してフィルタリングするときにパケットが許可され、インターフェイスを使用するとドロップされることがあります。その逆も同様です。

この問題について報告されたインスタンスで、特定の Edge インターフェイスにファイアウォールルールが指定されている場合、ステートフルファイアウォールはパケットをドロップしますが、ルールが IP アドレスを使用するように変更された場合、ルールは適用されず、トラフィックの通過が許可されます。

回避策：Edge が 5.2.x リリースを使用している場合は、IP アドレスを使用しないようにします。
問題 134374：VMware SD-WAN Edge CELL インターフェイスに関連付けられたインバウンドファイアウォールルールが、想定どおりに順番に適用されません。

Edge CELL インターフェイスがまだ作成されていないか、起動していない場合（SIM カードが挿入されていないなど）、ファイアウォール設定が解析されると、ファイアウォールルールの CELL インターフェイス値が正しく入力されず、トラフィックがルールと一致しません。

回避策：ルールを削除し、CELL インターフェイスが起動したら再作成します。

Orchestrator の既知の問題

問題 21342：

セグメントごとに Partner Gateway を割り当てると、VMware SD-WAN Edge の監視リストで、ゲートウェイ割り当ての適切なリストがオペレータオプションのゲートウェイの [表示 (View)] に表示されない場合があります。
問題 24269：

観測された WAN リンクの損失が、QoE グラフには反映されても、[監視 (Monitor)] > [トランスポート (Transport)] > [ロス (Loss)] に反映されません。
問題 25932：

VMware SD-WAN Orchestrator で、使用中であっても VMware SD-WAN Gateway を Gateway プールから削除できます。
問題 32335：

ユーザーが契約に同意しようとすると、[エンドユーザーサービス契約 (End User Service Agreement)] (EUSA) ページでエラーが発生します。

回避策：エンタープライズ名の先頭または末尾にスペースが含まれていないことを確認してください。
問題 32435：

ポリシーベースの NAT 設定に対する VMware SD-WAN Edge 固有のルールが、すでにプロファイルレベルで設定されているタプルで許可されます（その逆も可能）。
問題 32856：

ハブクラスタを使用してインターネットトラフィックをバックホールするようにビジネスポリシーが設定されていても、リリース 3.2.1 からリリース 3.3.x にアップグレードされた VMware SD-WAN Orchestrator 上のプロファイルから、ユーザーがハブクラスタを選択解除できます。
問題 35658：

あるプロファイルから CSS 設定が異なる別のプロファイルに VMware SD-WAN Edge が移動されたときに（例：プロファイル 1 は IPsec で、プロファイル 2 は GRE）、Edge レベルの CSS 設定が、以前の CSS 設定（例：IPsec と GRE）を引き続き使用します。

回避策：Edge レベルで GRE を無効化してから、GRE を再度有効にして問題を解決します。
問題 35667：

あるプロファイルから、CSS 設定は同じでも GRE CSS 名は異なる（同じエンドポイントの）別のプロファイルに VMware SD-WAN Edge が移動されたときに、一部の GRE トンネルが監視に表示されません。

回避策：Edge レベルで GRE を無効化してから、GRE を再度有効化して問題を解決します。
問題 36665：

VMware SD-WAN Orchestrator がインターネットにアクセスできない場合、Google Maps API へのアクセスを必要とするユーザーインターフェイスのページが完全にはロードされない場合があります。
問題 32913：

高可用性を有効化した後、VMware SD-WAN Edge のマルチキャストの詳細が [監視 (Monitoring)] ページに表示されません。フェイルオーバーにより、この問題は解決されます。
問題 33026：

契約を削除した後、[エンドユーザーサービス契約 (End User Service Agreement)] (EUSA) のページが適切に再ロードされません。
問題 38056：

Edge ライセンスの export.csv ファイルにリージョンデータが表示されません。
問題 38843：

アプリケーションマップをプッシュするときに、オペレータイベントがなく、Edge イベントは制限付きのユーティリティになります。
問題 39633：

ユーザーが Super Gateway として代替 Gateway を割り当てた後、Super Gateway のハイパーリンクが機能しません。
問題 39790：

VMware SD-WAN Orchestrator を使用すると、サポートされている 32 個のサブインターフェイスを超えてユーザーが VMware SD-WAN Edge のルーティングインターフェイスを設定できます。これにより、ユーザーは、インターフェイス上で 33 個以上のサブインターフェイスを設定できるようになり、Edge のデータプレーンサービスの障害を引き起こす可能性があります。
問題 41691：

[設定 (Configure)] > [Edge] > [デバイス (Device)] ページで DHCP プールが枯渇していないのに、ユーザーが [アドレスの数 (Number of addresses)] フィールドを変更できません。
問題 43276：

VMware SD-WAN Edge またはプロファイルに Partner Gateway が設定されている場合に、ユーザーがセグメントタイプを変更できません。

回避策：プロファイルまたは Edge から Partner Gateway 設定を一時的に削除して、セグメントをプライベートと通常の間で変更できるようにします。または、プロファイルからセグメントを削除し、そこから変更を加えることができます。
問題 47713：

クラウド VPN がオフにされているときにビジネスポリシールールが設定された場合、クラウド VPN をオンにするときに NAT を再設定する必要があります。
問題 47820：

プロファイルレベルで DHCP がオフになっている状態で VLAN が設定されていて、同時に DHCP が有効になっている Edge 上でこの VLAN に対する Edge 固有のルールがある場合に、DNS サーバのフィールドが「なし」（IP アドレスが設定されていない）に設定されているエントリがあると、ユーザーは [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで変更を行うことができず、「無効な IP アドレス [] (invalid IP address [])」というエラーメッセージが表示されます。これは、実際の問題を説明または指摘していません。
問題 48085：VMware SD-WAN Orchestrator で、ユーザーがインターフェイスに関連付けられている VLAN を削除することが許可されます。

この問題が発生すると、「VLAN ID [xx] を削除できません。Edge [b1-edge1 (Gex-disabled)] によって使用されています (VLAN ID [xx] cannot be removed, in use by edge [b1-edge1 (GEx-disabled)])」のようなエラーメッセージが表示されます。
問題 51722：VMware SASE Orchestrator では、[監視 (Monitor)] > [Edge] タブの統計情報の時間範囲セレクタは 2 週間以内です。

一連の統計情報の保持期間が 2 週間よりはるかに長い場合でも、時間範囲セレクタの [監視 (Monitor)] > [Edge] タブに [過去 2 週間 (Past 2 Weeks)] を超えるオプションは表示されません。たとえば、フローとリンクの統計情報はデフォルトで 365 日間保持されますが（設定可能）、パスの統計情報はデフォルトで 2 週間のみ保持されます（これも設定可能です）。この問題により、すべての [監視 (Monitor)] タブが統計情報の最も低い保持タイプに従うことになり、ユーザーはその統計情報の保持期間に一致する期間を選択できません。

回避策：ユーザーは、時間範囲セレクタの [カスタム (Custom)] オプションを使用して、2 週間以上のデータを表示できます。
問題 60522：VMware SD-WAN Orchestrator ユーザーインターフェイスで、セグメントを削除しようとすると多数のエラーメッセージが表示されます。

この問題は、1 つのセグメントをプロファイルに追加し、セグメントを複数の VMware SD-WAN Edge に関連付ける場合に発生する可能性があります。ユーザーが追加したセグメントをプロファイルから削除しようとすると、多数のエラーメッセージが表示されます。

回避策：この問題の回避策はありません。
問題 82095：Edge の接続に重大な問題を引き起こすことがある、Edge VLAN に対する無効なデバイス設定をユーザーが行う可能性があります。

Orchestrator では、デバイス設定の検証を試みません。具体的には、空のテーブルを持つスイッチポートの VLAN 設定などです。一部の設定がエラーだらけになり、Edge の管理プロセスが失敗する可能性があります。

回避策：すべての VLAN デバイス設定を確認し、これらの設定が有効であることを確認します。これは Orchestrator ではチェックされません。
問題 82680：MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI（クラウド間相互接続）を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにすると、Zscaler MT-GRE エントリが Zscaler ポータルから一貫して削除されないことがあります。

CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。

回避策：再試行する前に、Zscaler からリソースを手動で削除します。
問題 82681：MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI（クラウド間相互接続）を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにし、Zscaler クラウドセキュリティサービスを使用する CCI が設定されている VMware SD-WAN Edge から CCI フラグを無効にすると、Zscaler MT-GRE エントリが Edge または Zscaler ポータルから削除されないことがあります。

CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。

回避策：再試行する前に、Zscaler からリソースを手動で削除します。
問題 103769：オペレータは、大規模な展開の VMware SASE Orchestrator で、ディスク使用率が 100% になり、Orchestrator でログが蓄積されなくなるなどのパフォーマンスの問題に遭遇する場合があります。

この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。

回避策：スーパーユーザーオペレータは Orchestrator にログインし、保留中のログをクリーンアップする必要があります。
問題 117699：オペレータが 4.2.x VMware SD-WAN Orchestrator をリリース 5.2.0 SASE Orchestrator にアップグレードしようとすると、アップグレードが失敗することがあります。

アップグレードは成功せず、「CWS サービスが起動するのを待機しています... (Waiting for the CWS service up...)」というメッセージで停止します。この問題が発生するのは、4.2.x Orchestrator に限られます。

回避策：この問題の回避策は、まず 4.2.x Orchestrator を 4.5.1 にアップグレードしてから、リリース 5.2.0.0 にアップグレードすることです。
問題 125082：ユーザーが VLAN 上で上書きされた DNS サーバの IP アドレスを使用して VMware SD-WAN Edge を設定し、Edge が使用しているプロファイルのインターフェイス設定を変更すると、Edge VLAN に DNS サーバの IP アドレスが存在しなくなります。

新しいユーザーインターフェイスは DHCP セクション内で上書きフラグを送信しないため、プロファイルの変更によって DHCP セクションの上書きがトリガされます。

回避策：この問題の回避策はありません。
問題 125504：スタティックルートに、プロファイルレベルで IPv4/IPv6 アドレスを持つ VLAN としてネクストホップが設定された後、Edge レベルで上書きされ、IPv4/IPv6 アドレスが VLAN に追加された場合、スタティックルートは「N/A」としてマークされず、VMware SASE Orchestrator はドロップダウンメニューでインターフェイスを要求します。

スタティックルートに IPv4/IPv6 アドレスを持つ VLAN としてネクストホップが設定されている場合、Orchestrator はインターフェイスを要求せず、ルートが「N/A」としてマークされることが想定されます。

回避策：この問題の回避策はありません。
問題 125663：ユーザーは、複数の Edge インターフェイスに同じ IPv4/IPv6 IP アドレスを設定できます。

VMware SASE Orchestrator では、ユーザーが複数の WAN、LAN、またはサブインターフェイスに同じ IP アドレスを設定できます。

回避策：複数のインターフェイスに同じ IP アドレスを設定しないようにする以外に、この問題の回避策はありません。
問題 126421：Partner Gateway を使用しているパートナーの場合、ハンドオフの詳細を設定すると、ユーザーの動作に関係なく、[プライベートトンネルに使用 (Use for Private Tunnels)] オプションが常にオンになります。

Orchestrator は Partner Gateway ハンドオフに [プライベートトンネルに使用 (Use for Private Tunnels)] 設定を適用し、Partner Gateway を使用するカスタマーのトラフィックに影響を与える可能性があるため、これは表示上の問題ではありません。

回避策：新しいユーザーインターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
問題 126425：プロファイルレベルで [設定 (Configure)] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] ページを見ると、OSPF の [オン/オフ (On/Off)] トグルボタンが表示されません。

OSPF の [オン/オフ (On/Off)] トグルボタンは、プロファイルレベルで新しいユーザーインターフェイスに移行されず、Edge レベルでのみ表示されます。

回避策：新しいユーザーインターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
問題 126465：VMware SASE Orchestrator ユーザーインターフェイスは、ユーザーが Edge クラスタを作成するために行った変更を適用していません。

ユーザーがユーザーインターフェイスの [設定 (Configure)] > [Edge] > [高可用性 (High Availability)] セクションに移動し、クラスタタイプの HA をオンにして、「xxxx」という名前のハブクラスタを作成して変更を保存すると、保存後に [HA] セクションで [クラスタ (Cluster)] オプションが選択されず、「xxxx」という名前で作成されたハブクラスタが存在しません。

回避策：新しいユーザーインターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
問題 126695：ユーザーがアラート用 Webhook を設定している場合、[ペイロードテンプレートの設定 (Configure Payload Template)] ボタンをクリックしてもメニューが表示されません。

この問題は、ユーザーインターフェイスの [SD-WAN] > [設定 (Settings)] > [アラート (Alerts)] > [Webhook (Webhooks)] ページで Webhook を設定するときに発生します。ブラウザコンソールを見ると、次のメッセージも表示されます。ERROR TypeError: Cannot read properties of undefined (reading 'invalid')。

回避策：新しいユーザーインターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
問題 127152：VMware SASE Orchestrator ユーザーインターフェイスで、OSPF 設定で変更されたインターフェイスを保存できません。

プロファイルレベルで OSPFv2 または OSPFv3 を設定すると、OSPF データを変更した後に [インターフェイスの編集 (Edit Interface)] ダイアログが無効になります。

回避策：この問題が修正されていない Orchestrator では、MD5 認証を有効にし、キー ID を 1 から 255 の任意の値に変更してから、MD5 認証を無効にする必要があります。
問題 128070：ユーザーが Edge レベルで VLAN の OSPFv3 を設定し、IPv6 設定を VLAN に追加しようとすると、VMware SASE Orchestrator ユーザーインターフェイスが変更を保存しません。

Edge レベルで OSPF3 を使用する VLAN に IPv6 設定を追加しようとすると、[保存 (Save)] オプションが灰色で表示され、使用できません。

回避策：新しいユーザーインターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
問題 131997：ICMP プローブが 1 つのセグメントに対して設定され、別のセグメントに対しては設定されていない場合、誤ってダウンとマークされることがあります。

Orchestrator は、NULL ICMP プローブ設定がセグメント内で設定されていない場合、その設定の送信に失敗します。その結果、別のセグメントの設定が再利用され、プローブが失敗します。

回避策：この問題が修正されていない Orchestrator では、他のセグメントにダミー ICMP プローブを設定します。
問題 133198：RADIUS 認証を使用してログインするユーザーは、Orchestrator ユーザーインターフェイスの [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] セクションでカスタムロールを作成できません。

RADIUS で認証されたユーザーは、カスタマーロールを作成する手順を実行できますが、設定を保存しようとすると、ユーザーインターフェイスに「複合ロールの作成中にエラーが発生しました (Error occurred while creating composite role)」というエラーが表示され、設定は保存されません。
問題 134378：5.2.x ソフトウェアにアップグレードされた VMware SD-WAN Edge で連続的なデータプレーンサービスの障害が発生し、そのたびにリカバリのために再起動する場合があります。

この問題は、Edge の有効化に使用される Edge インターフェイスがサブインターフェイス上の VLAN も含む VLAN で設定され、両方に同じ VLAN ID が使用されている場合に発生する可能性があります。これは、ユーザーがローカルユーザーインターフェイスを介して VLAN を Edge に追加し、その Edge の Orchestrator を介して同じ ID を持つサブインターフェイス VLAN 用に Edge がすでに設定されている場合に発生する可能性があります。Orchestrator はローカルユーザーインターフェイスの設定と制御する設定を調和させず、Edge には破損した設定が提供され、サービス障害が繰り返し発生します。

回避策：カスタマーが Edge を 5.2.x にアップグレードする場合の回避策は、説明に記載されているように、Edge のインターフェイスとサブインターフェイスで VLAN ID が重複しないようにすることです。

リリース ノートの概要