VMware SASE 5.2.2 | 2024 年 1 月 10 日

  • VMware SASE™ Orchestrator バージョン R5220-20231214-GA

  • VMware SD-WAN™ Gateway バージョン R5220-20240104-GA-134893

  • VMware SD-WAN™ Edge バージョン R5220-20240104-GA-134893

各リリース ノートで、追加および更新された機能をご確認ください。

リリース ノートの概要

このリリース ノートには、次のトピックが含まれています。

5.2.1 バージョンに関する注意事項

リリース 5.2.1 は、次期 SD-WAN Edge モデル 710 に同梱される製造イメージとして作成されました。このモデルを工場出荷状態にリセットし、他のコンテキストではない場合、ユーザーはこの Edge ソフトウェア バージョンを確認します。

その結果、SASE および SD-WAN リリース 5.2.2 は、5.2.0 の最初のメンテナンス リリースになります。

対象ユーザー

本リリースは、リリース 5.2.0 で初めて提供された機能を必要とするすべてのカスタマー、およびリリース 5.2.0 以降に解決された以下の問題の影響を受けるカスタマーに推奨されます。

重要:

リリース 5.2.2 には、5.2.0 リリース ノートに記載されているすべての Edge、Gateway、および Orchestrator の修正が含まれています。

互換性

リリース 5.2.2 の Orchestrator、Gateway、およびハブ Edge では、VMware SD-WAN Edge の以前のバージョンのうちリリース 4.2.0 以降がすべてサポートされます。

次の相互運用性の組み合わせは、明示的にテストされています。

Orchestrator

Gateway

Edge

ハブ

ブランチ/スポーク

5.2.2

4.5.2

4.2.2

4.2.2

5.2.2

5.2.2

4.2.2

4.2.2

5.2.2

5.2.2

5.2.2

4.2.2

5.2.2

5.2.0

4.2.2

5.2.2

5.2.2

4.5.2

4.2.2

5.2.2

5.2.2

4.3.2

4.3.2

4.3.2

5.2.2

5.2.2

4.3.2

4.3.2

5.2.2

5.2.2

5.2.2

4.3.2

5.2.2

5.2.2

4.3.2

5.2.2

5.2.2

4.3.2

4.3.2

5.2.2

5.2.2

4.5.2

4.5.2

4.5.2

5.2.2

5.2.2

4.5.2

4.5.2

5.2.2

5.2.2

5.2.2

4.5.2

5.2.2

5.2.2

4.5.2

5.2.2

5.2.2

4.5.2

4.3.2

5.2.2

5.2.2

5.0.1

5.0.1

5.0.1

5.2.2

5.2.2

5.0.1

5.0.1

5.2.2

5.2.2

5.2.2

5.0.1

5.2.2

5.2.2

5.0.1

5.2.2

5.2.2

5.0.1

5.2.2

5.0.1

5.2.2

5.1.0

5.1.0

5.1.0

5.2.2

5.2.2

5.1.0

5.1.0

5.2.2

5.2.2

5.2.2

5.1.0

5.2.2

5.2.2

5.1.0

5.2.2

5.2.2

5.1.0

5.1.0

5.2.2

5.2.2

5.2.2

5.2.2

5.2.2

5.3.0

5.2.2

4.5.2

4.5.2

5.3.0

5.2.2

5.2.2

4.5.2

5.3.0

5.2.2

4.5.2

5.2.2

5.4.0

5.2.2

4.5.2

4.5.2

5.4.0

5.2.2

5.0.1

5.0.1

5.4.0

5.2.2

5.1.0

5.1.0

5.4.0

5.4.0

5.2.2

5.2.2

5.4.0

5.2.2

5.2.2

5.2.2

注:

上記の表は、SD-WAN サービスを使用しているカスタマーに対してのみ完全に有効です。VMware Cloud Web Security または VMware Secure Access へのアクセスが必要なカスタマーは、Edge をリリース 4.5.0 以降にアップグレードする必要があります。

重要:

VMware SD-WAN リリース 4.0.x のサポート期間が終了しました。リリース 4.2.x および 4.3.x は、Gateway および Orchestrator のサポート期間が終了しました。4.5.x は、Gateway および Orchestrator のサポート終了に近づいています。

  • リリース 4.0.x は、2022 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となり、2022 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えました。 

  • リリース 4.2.x の Orchestrator および Gateway は、2022 年 12 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 3 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • リリース 4.2.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • リリース 4.3.x の Orchestrator および Gateway は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。

  • リリース 4.3.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • リリース 4.5.x の Orchestrator および Gateway は、2023 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2023 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。

  • 詳細については、ナレッジベースの記事を参照してください。お知らせ:VMware SD-WAN リリース 4.x のサポート期間の終了 (88319)

Orchestrator、Gateway、Edge のアップグレード パス

Orchestrator、Gateway、または Edge を旧リリースからリリース 5.2.2 にアップグレードする場合のパスを次に示します。

Orchestrator

リリース 4.2.0 以降を使用している Orchestrator は、リリース 5.2.2 にアップグレードできます。 

Gateway

リリース 4.2.0 以降を使用した Gateway のリリース 5.2.2 へのアップグレードは、すべての Gateway タイプで完全にサポートされています。

重要:

5.2.2 を使用して新しい Gateway を展開する場合、VMware ESXi インスタンスがバージョン 6.7 Update 3 以降、バージョン 7.0 以前である必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.2.2 以降の実行時に Gateway のデータプレーン サービスが失敗します。

重要:

Gateway を 5.2.2 にアップグレードする前に、ESXi インスタンスをバージョン 6.7 Update 3 以降、バージョン 7.0 以前にアップグレードする必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.2.2 以降の実行時に Gateway のデータプレーン サービスが失敗します。

Edge

Edge は、任意のリリース 4.x 以降からリリース 5.2.2 に直接アップグレードできます。

重要な注意事項

LAN 側 NAT の動作変更

LAN 側 NAT がポート アドレス変換 (PAT) を使用して多対 1 変換用に設定されている場合、反対方向から開始されたトラフィックにより、外部マスクと元の IP アドレスに基づいて固定アドレスへの予期しないアクセスが許可される可能性があります。この新しい動作は、宛先 NAT (DNAT)、送信元 NAT (SNAT)、および送信元と宛先 NAT (S+D NAT) のルールに適用されます。

たとえば、内部ネットワークが 192.168.1.0/24 で外部アドレスが 10.1.1.100/32 の SNAT ルールでは、192.168.1.100 への外部から内部への変換が許可されます。

この新しい動作に対処するために、SD-WAN は、PAT の逆方向で接続が開始されたときにトラフィックをブロックするようになりました。

元の動作をリストアするには、元のルール(SNAT、DNAT、S+D NAT)と同じタイプの 2 つのルールを特定の順序で設定する必要があります。たとえば、以前の SNAT シナリオを使用する場合は、次のように設定する必要があります。

  1. 内部ネットワークが 192.168.1.100/32 で、外部アドレスが 10.1.1.100/32 の SNAT ルール

  2. 内部ネットワークが 192.168.1.0/24 で、外部アドレスが 10.1.1.100/32 の SNAT ルール

元のルールが DNAT または S+D NAT の場合、同じ構造と順序を持つ 2 つの DNAT または S+D NAT ルールが必要になります。

リリース 4.5.0 以降では、診断バンドルの dispcnt ログでカウンタ lan_side_nat_reverse_pat_drop を検索して、このタイプのトラフィックに対してフローがドロップされているかどうかを判断できます。

ハブまたはクラスタの相互接続を引き続き早期アクセスとして提供

ハブまたはクラスタ相互接続はリリース 5.1.0 で導入されましたが、次の注意事項があります。

「ハブまたはクラスタの相互接続を有効にすると、パケットがネットワークの複数のホップを通過できるようにする VMware SD-WAN ルーティング プロトコルに対して、基本的な変更が導入されます。この変更は代表的なトポロジでテストされていますが、遠隔ルートの分散を許可するような変更を行うときに発生する可能性のあるすべてのルーティング シナリオをテストすることはできません。そのため、VMware はこの機能を早期アクセスとしてリリースし、有効にされている展開の予期しないルーティング動作を詳細に監視します。」

この注意事項は、すべてのリリース 5.2.x バージョンのこの機能に対して有効であり、リリース 5.4.0 でのみ完全に GA になります。

Edge および Gateway 上の BGP over IPsec、および Azure Virtual WAN の自動化の制限事項

Edge および Gateway 上の BGP over IPsec 機能は、Edge または Gateway からの Azure Virtual WAN の自動化と互換性がありません。Edge または Gateway から Azure vWAN への接続を自動化するときには、スタティック ルートのみがサポートされます。

VMware SD-WAN Edge モデル 520、540、620、640、680、3400、3800、および 3810 で自動ネゴシエーションを無効にする場合の制限事項

ユーザーが、VMware SD-WAN Edge モデル 620、640 または 680 のポート GE1 〜 GE4 で、または Edge 3400、3800 または 3810 のポート GE3 または GE4 で、あるいは銅線インターフェイスを備えた SFP がポート SFP1 または SFP2 で使用されている場合は Edge 520/540 で、速度とデュプレックスをハードコーディングするために自動ネゴシエーションを無効にすると、再起動してもリンクが起動しない場合があります。

これは、Intel Ethernet Controller i350 を使用するリストされた各 Edge モデルが原因で発生します。これらのモデルには、自動ネゴシエーションがリンクの両側で使用されない場合、送受信する適切なケーブルを動的に検出 (Auto MDIX) することができないという制限があります。接続の両側で送受信に同じケーブルが使用されている場合、リンクは検出されません。ピア側も自動ネゴシエーションなしの Auto MDIX をサポートせず、リンクがストレート ケーブルを使用して起動されていない場合は、リンクを起動するためにクロスオーバー イーサネット ケーブルが必要になります。

詳細については、ナレッジベースの記事「Limitation When Deactivating Autonegotiation on VMware SD-WAN Edge Models 520, 540, 620, 640, 680, 3400, 3800, and 3810 (87208)」を参照してください。

Orchestrator API の変更点

5.2.0 以降の Orchestrator API の変更

VMware SASE Orchestrator ポータル API(「API v1」)の変更

問題 #125082

症状:VLAN DHCP と OSPF の Edge 固有のルール設定が失われ、代わりにプロファイル設定が適用されます。ユーザーは個々のセクション、特に VLAN 設定内の DHCP と OSPF をオプションで上書きすることはできません。

説明: 新しい Orchestrator UI では、VLAN 設定の設計で一般的な/親上書きボタンのみが許可され、DHCP や OSPF などの VLAN 内の個々のセクションをオプションで上書きする機能が削除されました。

その結果、API は新しい UI 設計との互換性を持ち、バックエンド コードでも、VLAN 設定で DHCP や OSPF などの個々のセクションをオプションで上書きする機能が削除されました。API を介して個々の上書きを設定しようとすると、親上書き(つまり、VLAN 設定の上書きフラグ)が最初に有効になるまで、設定が上書きされません。

解決策:この問題は 5.2.2 で修正されました。VLAN DHCP と OSPF の Edge 固有のルール設定を使用するために、親上書きボタンが有効になります。

VMware SASE Orchestrator API v2 への変更

API v2 のプロファイル レベルと Edge レベルの deviceSettings の後方互換性は、上記で詳しく説明した「問題 #125082」が原因で機能しません。動作の変更は次のとおりです。

ユーザーが VLAN の OSPF および DHCP 設定で override フラグを使用して次のエンドポイントに対して API v2 呼び出しを行うと、「要求では override フィールドは許可されていません (override field is not allowed in the request)」という ValidationError が発生します。

  • /api/sdwan/v2/enterprises/{enterpriseLogicalId}/profiles/{profileLogicalId}/deviceSettings

  • /api/sdwan/v2/enterprises/{enterpriseLogicalId}/edges/{edgeLogicalId}/deviceSettings

開発者向けドキュメント

すべての VMware SASE/SD-WAN API ドキュメントは、https://developer.vmware.com/apis の開発者ドキュメント ポータルにあります。

使用可能な言語

バージョン 5.2.2 を使用する VMware SASE Orchestrator は、次の言語にローカライズされています。チェコ語、英語、欧州ポルトガル語、フランス語、ドイツ語、ギリシャ語、イタリア語、スペイン語、日本語、韓国語、簡体字中国語、繁体字中国語。

ドキュメントの改訂履歴

2024 年 1 月 10 日。第 3 版。

  • Edge/Gateway で解決した問題」セクションに新しい Edge/Gateway ホットフィックス ビルド R5220-20240104-GA-134893 を追加しました。これはリリース 5.4.0 の新しい Edge/Gateway GA ビルドです。

  • Edge/Gateway ホットフィックス ビルド R5220-20240104-GA-134893 は、問題 #134893 の修正を含んでいて、このセクションで文書化されています。

    重要:
    • リリース 5.2.0/5.2.2 Edge および Gateway の以前のビルドはすべて廃止され、R5220-20240104-GA-134893 が優先されます。

    • Edge または Gateway を 5.2.2 にアップグレードする場合は、R5220-20240104-GA-134893 にのみアップグレードする必要があります。

  • GA Orchestrator ビルド R5220-20231214-GA の「Orchestrator で解決した問題」セクションに解決した問題 #131789 を追加しました。この問題は、リリース ノートの第 1 版から誤って除外されました。

2023 年 12 月 22 日。第 2 版。

  • Orchestrator API の変更点」セクションを改訂し、API v2 を使用しているカスタマーの後方互換性の問題を追加しました。これは、上書きフラグを使用して VLAN の DHCP および OSPF を設定する場合に API v1 ユーザーに影響する問題と同じ問題です。

  • Orchestrator の既知の問題」セクションに未解決の問題 #131997 を追加しました。

2023 年 12 月 15 日。第 1 版。

Edge および Gateway で解決した問題

Edge/Gateway バージョン R5220-20240104-GA-134893 で解決した問題

Edge/Gateway ビルド R5220-20240104-GA-134893 は 2024 年 1 月 10 日にリリースされた、リリース 5.2.2 のホットフィックス ビルドです。

この Edge/Gateway ホットフィックス ビルドは、元の GA ビルド、R5220-20231213-GA 以降の以下の重大な問題に対処します。

重要:
  • リリース 5.2.0/5.2.2 Edge および Gateway の以前のビルドはすべて廃止され、R5220-20240104-GA-134893 が優先されます。

  • Edge または Gateway を 5.2.2 にアップグレードする場合は、R5220-20240104-GA-134893 にのみアップグレードする必要があります。

  • 解決した問題 134893:接続された Gateway がバージョン 5.4.0 を使用している場合、Gateway を通過するクラウド/インターネット トラフィックが失敗することがあります。

    この状況では、Gateway の使用時にクラウド/インターネット トラフィック(つまりマルチパス トラフィック)が失敗しても、Edge 間トラフィックは引き続き正常に機能します。

    SD-WAN ソフトウェアには、バージョン 5.2.2 以前とバージョン 5.2.2 以降の SD-WAN ソフトウェア バージョン間の ICMP 処理の違いを処理するフロー互換性処理が含まれています。この問題では、1 台以上の Edge がバージョン 5.2.1 以前を使用し、ICMP トラフィックを送信し、5.2.2 以降を使用する Gateway に接続されている場合、ICMP 処理では、SD-WAN Gateway と Edge フローを適切なクリーンアップなしで解放できます。その結果、Gateway 上の古い NAT エントリが削除されず、NAT テーブルが容量に達して空きエントリがなくなります。空き NAT エントリがないため、影響を受ける Gateway をプライマリとして展開した Edge クラウド/インターネット トラフィックが失敗します。

    前述のように、この問題は、5.2.1 以前を使用している Edge があり、5.2.2 以降を使用している Gateway に接続しているときに ICMP トラフィックも送信する場合にのみ発生します。すべての Edge がバージョン 5.2.2 以降を使用しているか、ICMP トラフィックを送信しない場合、この問題は発生しません。

    注:

    現場で見つかった問題は SD-WAN Gateway に関するものであるため、修正は主にこのコンポーネントに対して行われます。ただし、この問題が Edge で発生し、ローカル ユーザーのトラフィックに影響を与える可能性があります。そのため、カスタマーは Edge をホットフィックス ビルドにアップグレードし、サイトでこの問題のリスクを軽減することもできます。

Edge/Gateway バージョン R5220-20231213-GA で解決した問題

Edge/Gateway バージョン R5220-20231213-GA は 2023 年 12 月 14 日にリリースされ、Edge バージョン R5202-20231107-GA-125647 および Gateway バージョン R5202-20230725-GA 以降の次の問題に対処しています。つまり、5.2.0 リリース ノートに記載されている Edge または Gateway の問題に対する修正は、すべてのリリース 5.2.2 ビルドに含まれています。

  • 解決した問題 67001:ステートフル ファイアウォールが有効になっているカスタマー エンタープライズで、ファイアウォールが有効なチャレンジ ACK パケットをブロックします。

    チャレンジ ACK メッセージに対して TCP RST を送信することが業界標準であっても、ステートフル ファイアウォールはチャレンジ ACK パケットをドロップし、ログに記録しません。

    このソフトウェア アップデートにより、ステートフル ファイアウォールで有効な TCP RST パケットが許可され、無効な(リプレイやスプーフィングなど)TCP RST メッセージがブロックされます。 

  • 解決した問題 69641:レート制限を含む 1 つ以上のビジネス ポリシーを使用しているカスタマー エンタープライズの場合、レート制限されたビジネス ポリシー フローとは関係のないフローや、他のセグメントやピアのフローなど、すべてのフローでパケット ドロップが発生することがあります。

    レート制限されたビジネス ポリシーを設定し、多数のフローを含む需要の多い(制限を超える)トラフィックを送信すると、ネット スケジューラ バッファの制限に達して、他のフロー(他のセグメントやピアのフローも含む)からのパケットがドロップされます。

    Edge でこの問題を修正していないエンタープライズでは、回避策としてレート制限の設定を削除し、代わりに可能な限り低い値(低、一括)でルールに一致するトラフィックを再分類します。

  • 解決した問題 74422:高可用性の場合、スタンバイ Edge でのみ WAN リンクが稼動し、有効な IP アドレスがある場合、Edge がオフラインになることがあります。

    この問題は、WAN リンクで DHCP が有効になっていて、スタンバイ Edge のみが WAN リンクを使用できる場合に発生します。スタンバイ WAN リンクは、DHCP サーバから IP アドレスを受信すると、インターフェイスの詳細をアクティブ Edge に送信します。アクティブ Edge は IP アドレスをルートとして追加する呼び出しを行います。ただし、この機能はルートを Linux カーネルに追加しません。Edge 機能は、ルートを FIB(転送情報ベース)にのみ追加します。その結果、Linux カーネル ルート テーブルにパケットを終了するためのルートがなく、サイトが実質的にオフラインであるため、Edge の管理プロセスでエラーが発生します。

  • 解決した問題 87304:VMware SASE Orchestrator ユーザー インターフェイスを使用して VMware SD-WAN Edge で LAN インターフェイスを無効にしても、インターフェイスは SNMP によって「稼動中」として報告されます。

    インターフェイス出力の主要なデバッグ プロセスに、Edge LAN インターフェイス(GE1 や GE2 など)の物理ポートの詳細が含まれていません。その結果、SNMP がそれらのインターフェイスをポーリングすると、インターフェイスの設定に関係なく、稼動中という結果が常に返されます。

  • 解決した問題 96334:IP アドレスが頻繁に変更される VMware SASE Orchestrator では、VMware SD-WAN Edge が Orchestrator と通信できなくなり、オフラインとして報告されることがあります。

    Orchestrator の IP アドレスが頻繁に変更されるこのシナリオでは、Orchestrator がループバック インターフェイスを送信元として排他的に使用するように設定されている場合でも、管理トラフィックの送信元をループバック インターフェイスから GE1 ポートの IP アドレスに変更することで、Edge は Orchestrator の IP アドレスの各変更に応答します。その結果、Edge は Orchestrator との接続を失います。カスタマーのトラフィックには影響しませんが、この問題により、設定の更新と監視が期待どおりに動作しなくなります。

  • 解決した問題 101935:設定によってアクセスが拒否されている場合でも、起動中に SSH 経由で VMware SD-WAN Edge にアクセスできる場合があります。

    Edge を再起動すると、SSH 経由で 10 ~ 15 秒間アクセスできます。SSH は、設定に従って、この時間が経過した後にのみブロックされます。

  • 解決した問題 103049:SNMPv3 が設定されている場合、SNMP を介した VMware SD-WAN Edge のポーリングが機能しないことがあります。

     ユーザーが Edge をアクティベーションする前に、Orchestrator を介して SNMP をオンにして SNMPv3 ユーザー認証情報を設定した場合、ユーザーが SNMP を介して Edge をポーリングしようとすると、Edge が応答しません。

    この問題の修正が適用されていない Edge では、回避策として、SNMPv3 設定(ユーザーの追加や更新など)を変更してから、元の設定に戻します。

  • 解決した問題 105160:VMware SD-WAN Edge のソフトウェアのアップグレードに失敗し、Edge がアップグレードを再試行しない場合があります。

    この問題が発生すると、Edge のアップグレード プロセスで例外が発生し、Edge ソフトウェア アップグレードの設定バージョンが更新されますが、Edge は実際にはアップグレードされません。その結果、Edge はターゲット バージョンにアップグレードされたものと判断し、実際には失敗したアップグレードを再試行しません。

    この状態の Edge を修正する唯一の方法は、Edge のバージョンを変更し(ユーザーの判断でダウングレードまたはアップグレード)、その Edge ソフトウェアの更新後に、Edge の目的のアップグレードを再試行することです。

  • 解決した問題 106160:Edge が DNS サーバとして設定され、ネクスト ホップがクライアントが DNS サーバにクエリを実行する Edge インターフェイスに対して定義された Gateway である場合、応答はありません。

    DNS 要求パケットは、Edge DNS サーバによって期待どおりに受信されます。ただし、応答パケットは iptables 接続トラッキングに基づいてルート テーブル ルックアップを行い、ネクスト ホップ Gateway の IP アドレスを検出して MAC アドレスを解決します。その結果、DNS 応答パケットは送信者ではなく Gateway の MAC アドレスを使用します。

  • 解決した問題 107550:Gateway 経由の Non SD-WAN Destination が展開されているカスタマー エンタープライズの場合、IPsec 暗号化パケットの一部がパスでドロップされることがあります。

    現在の実装では、内部 IP ヘッダーの Time to Live (TTL) 値が使用されており、RFC 要件と一致しません。その結果、TTL 値を構成する必要があります。パケットの送信元が低い TTL 値を使用している場合、このパケットが宛先に到達しない可能性があります。

  • 解決した問題 109906:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

    この問題は、破損した帯域外メッセージを受信した場合に発生する可能性があります。これにより、配列インデックスがオーバーフローし、Gateway のサービスで例外と障害が発生します。

  • 解決した問題 111592:ビジネス ポリシーがインターネット バックホールを使用するように設定されているハブ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、バックホール ルールを使用するインターネット トラフィックが低速になるか、まったく機能しない場合があります。

    フローの作成中に、DPI(詳細なパケット インスペクション)情報が更新され、ビジネス ポリシーの一致が変更される場合があります。これにより、パケットをバックホールするはずのハブ Edge または Non SD-WAN Destination の論理 ID が失われる場合があります。

  • 解決した問題 112115:CPU 負荷の高い VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。

    CPU 負荷が高い場合、デバッグ リング ロックを取得する優先順位の低いスレッドが原因で、ミューテックス監視によってトリガされる複数のサービス障害が発生する可能性があります。この問題の解決策は、特定のスレッドをロックなしと待機なしの両方の状態にするようにデータプレーンを機能強化することです。 

  • 解決した問題 112826:カスタマーが Orchestrator ユーザー インターフェイスを介してアラートのリストを CSV ファイルにエクスポートすると、512 個のアイテムのみが取得されます。

    API を使用して同じエクスポートを実行すると、最大 2,048 個のアラートを配信できます。これは、Orchestrator ユーザー インターフェイスのエクスポートでも想定される数です。512 個の制限は、指定された期間のアラートの数が 512 個の制限を超える場合にアラートをエクスポートするユーザーに影響します。

  • 解決した問題 114562:SSH フローでレート制限が機能しない場合があります。

    中継 SSH フローをレート制限するためにビジネス ポリシーを作成すると、ビジネス ポリシーが正常に適用されているにもかかわらず、レート制限の設定は適用されません。これは、SSH が Edge 用ではなく、一部のリモート デバイス用であっても、これらのフローが制御フローとみなされるためです。

  • 解決した問題 114988:ICMPv6 メッセージ「パケットが大きすぎます (Packet Too Big)」が、VMware SD-WAN Gateway から、または VMware SD-WAN Gateway を経由して受信されません。

    Gateway データ パスは、すべての ICMPv6 の「パケットが大きすぎます (Packet Too Big)」メッセージをローカルで使用します。この修正により、Gateway は適切な宛先に確実に送信します。

  • 解決した問題 115262:セカンダリ IP アドレスを持つ BGP ネイバーシップが VMware SD-WAN Edge で起動しない場合があります

    ユーザーが最初に BGP ネイバーを設定して、VLAN インターフェイスで対応するセカンダリ IP アドレスを設定すると、BGP セッションが起動しないことがあります。これは、VLAN インターフェイスでセカンダリ IP アドレスの削除/追加を実行しても、Edge が BGP が設定されたインターフェイスを更新しないことが原因で発生します。

  • 解決した問題 115604:VMware SD-WAN Edge または Gateway でデータプレーン サービスの障害が発生し、ログにアサートを含むコアが生成される場合があります。

    Edge または Gateway が破損したパケットを処理すると、ソフトウェアは実際のユーザー パケットの長さが内部パケット バッファよりも長いアサートにヒットする場合があります。Gateway はこの種のパケットをドロップして Edge に送信されないようにすることが想定されますが、代わりにパケットを処理するため、サービスが失敗して再起動されます。

  • 解決した問題 115869:アップグレード プロセスの途中で、VMware SD-WAN Gateway へのトンネルが再確立されます。

    Gateway に接続するトンネルとピアが数千ある大規模な環境では、Gateway をアップグレードすると、トラフィックは設計上セカンダリ Gateway に切り替わります。これにより、ダウンタイムが短くなり、トラフィック フローが迅速に再開されます。アップグレード スクリプトがアップグレード中(4.5.1 から 5.2.0、5.0.1 から 5.2.0、または 5.1.0 から 5.2.0)の Gateway で実行されている場合、アップグレード スクリプトの実行中にトンネルがアップグレード中の Gateway で稼動状態に戻り、トラフィックがセカンダリ Gateway からアップグレード中の Gateway に再度切り替わります。スクリプトが終了すると、Gateway の再起動が必要になり、トラフィックがセカンダリ Gateway に再度切り替わります。これにより、Gateway を使用するマルチパス タイプのトラフィックでカスタマーのトラフィックに重大な中断が発生することがあります。

    この問題の修正が適用されていない Gateway では、回避策として vc_proc_mon restart をインストール後のスクリプトからアップグレードの完了後に移動することです。

  • 解決した問題 115904:ユーザーが VMware SASE Orchestrator を使用して VMware SD-WAN Edge の診断バンドルをトリガすると、Edge でデータプレーン サービスの障害が発生し、コアが生成され、再起動してリカバリが行われる場合があります。

    ユーザーは、[SD-WAN] > [診断 (Diagnostics)] > [診断バンドル (Diagnostic Bundle)] ページで Edge 診断バンドルを生成できます。このアクションを実行すると、dns_name_cache(追加または削除)と DNS 名キャッシュの間で競合状態が発生し、Edge サービスが使用中または削除済みの要素にアクセスしようとして、SIGSEGV または SIGBUS の理由でサービス障害が発生する可能性があります。

  • 解決した問題 116049:バックアップとして設定された WAN リンクの VPN 状態が、想定される STANDBY 状態ではなく DEAD 状態になる場合があります。

    バックアップ WAN リンク機能(他のパスがダウンしたときにアクティブになるリンク)は影響を受けないため、カスタマーへの影響は軽減されます。ただし、WAN リンクのユーザー インターフェイス ステータスが DEAD と表示されると、カスタマーに混乱が生じる可能性があり、この問題が発生した場合は、バックアップ WAN リンクが実際にダウンしていても [Edge] > [監視 (Monitor)] ページを介して確認できません。

    この問題は、エンタープライズが Partner Gateway に接続されていて、設定された BGP ハンドオフ IP アドレスがそのセグメントの Edge インターフェイスの IP アドレスでない場合に発生することがあります。このシナリオでは、Edge のバックアップ リンク チェック メッセージがドロップされる可能性があります。その結果、Edge のバックアップとして設定された WAN リンクは、リンクが起動している場合でも、STANDBY ではなく DEAD としてマークされます。

  • 解決した問題 116257:リモート サーバに対して NAT ハンドオフが設定されている Partner Gateway を介して接続された VMware SD-WAN Edge の場合、Edge へのリターン トラフィックがそのサーバからドロップすることがあります。

    Edge からリモート サーバへのトラフィックが最初に暗号化されず、後で暗号化されたフラグで更新された場合、ルートが更新されると、ルート ルックアップ エラーが原因で Edge でリバース トラフィックがドロップされます。

    この問題は、影響を受ける Edge でフローをフラッシュすることで一時的に解決できます。

  • 解決した問題 116368:VMware SD-WAN Gateway のルーティング ログがキャパシティに達し、追加のエントリが蓄積されないことがあります。

    この問題は、Gateway のルーティング ソフトウェアでログ ローテーション設定が欠落しているために発生します。これは、新しいログ エントリを追加できるように、キャパシティに到達する前にルーティング ログをローテーションすることを目的としています。この設定がないと、ルーティング ログがローテーションされず、オペレータとパートナーが Gateway の重要なログ エントリを失う可能性があります。

  • 解決した問題 116428:複数のセグメントが設定され、非グローバルの各セグメントにカスタム名があるカスタマーの展開では、[リモート診断 (Remote Diagnostics)] > [ping テスト (Ping Test)] を実行するときに、インターフェイスを選択するドロップダウン メニューに各セグメントのカスタム名が表示されません。

    非グローバルの各セグメントのカスタム名の代わりに、「セグメント 1」、「セグメント 2」のように数字を含む汎用名が表示されます。これは、Edge が非グローバルの各セグメントのセグメント名をハードコーディングした結果です。

  • 解決した問題 116578:VMware SD-WAN Edge にローカルで接続された FTPv6 サーバを実行している場合、フロー ダンプを確認したときに FTP データ チャネルが分類されていないことがあります。

    送信元と宛先の IPv6 アドレスが非常に似ている場合、Edge によってフローが誤って識別されることがあります。

  • 解決した問題 116827:VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、障害の状態からのリカバリのために再起動する場合があります。

    Edge の起動中に競合状態が発生し、未初期化のデータが原因で Edge サービスが失敗するため、Edge でこの問題が発生する場合があります。

  • 解決した問題 117037:複数の WAN リンクを使用してスポーク Edge とハブ Edge の間のトラフィックを送受信するハブ/スポーク トポロジを使用しているカスタマーの場合、WAN リンクが WAN リンクの帯域幅を集約していないため、ビジネス ポリシーによってステアリングされるトラフィックのパフォーマンスが想定よりも低くなる場合があります。

    SD-WAN はカウンタを使用して、再シーケンス キューにバッファされたパケット数を計算します。このカウンタはピアごとに管理され、ピアごとに 4K パケットのみがバッファされるようにするために使用されます。状況によっては、このカウンタが負の値になる場合があります。リリース 4.2.x より前のリリースでは、このカウンタが負の値になると、再シーケンス キュー内のパケットをフラッシュした直後に、各カウンタが 0 にリセットされました。ただし、リリース 4.3.x 以降では、このカウンタは自動的に更新され、カウンタが想定された範囲内に留まるようにしています。

    この動作の変更の結果、カウンタの計算が正しくないため、再シーケンス キューの数値が非常に高くなり、SD-WAN が各パケットをフラッシュすることによって応答することがあります。このアクションにより、帯域幅の集約が妨げられるだけでなく、単一のリンク上にあるはずのフローの効率が低下する場合があります。

    この問題を修正していない Edge では、回避策として、一致するトラフィックを単一の必須リンクにステアリングするビジネス ポリシーを設定します。

  • 解決した問題 117314:送信元と宛先の IP アドレス ペアの間に ICMP フローがすでに存在する場合、オブジェクト グループ/サービス グループ(タイプとコード)を使用して ICMP パケットをフィルタリングするファイアウォール ルールが機能しないことがあります。

    ファイアウォール機能のリビジョンの一環として、ICMP タイプとコードのキャッシュのために導入された変更が元に戻されました。これは、ICMP タイプとコード(ICMP リダイレクト タイプ 5 とコード 0 など)を持つサービス グループを使用するファイアウォール ルールに影響しました。送信元 IP アドレスと宛先 IP アドレスの間にフローがすでに存在する場合、このフローのルールに一致する ICMP トラフィックは適用されず、セッションの最初のパケットのみがファイアウォール ルールに一致します。この問題は、IPv4 または IPv6 のいずれかの ICMP フローに影響します。

    フローをフラッシュして新しい ICMP フローを作成すると、問題が一時的に修正されます。

  • 解決した問題 117320:ステートフル ファイアウォールが有効で Syslog がオンになっているカスタマーの場合、LAN 側の NAT ルールに一致するトラフィックの Syslog メッセージに送信元 IP アドレスが含まれません。

    任意のトラフィックに対する完全な Syslog メッセージには、特に NAT されたトラフィックの送信元 IP アドレスが含まれていることが想定されます。

  • 解決した問題 117565:Partner Gateway で設定されたカスタマー エンタープライズのユーザーの環境で、マルチパス トラフィック(VMware SD-WAN Gateway を通過するトラフィック)がドロップすることがあります。

    インターネット/クラウドに直接送信されるトラフィックまたはハブからスポークへのトラフィックは、Gateway を使用しないため影響を受けません。この問題は、Gateway のパートナー ハンドオフが無効になっている場合にトリガされ、その結果、カスタマー エンタープライズへの Gateway のすべての Gateway IPsec (VCMP) トンネルがダウンします。この問題は、ハンドオフが無効になった後も Gateway ハンドオフ IP アドレスがクリアされず、Gateway がこの無効なハンドオフ IP アドレスで同じサブネット チェックを引き続き実行することが原因で発生します。

    Gateway を再起動すると、問題の特定のインスタンスは解決されますが、同じ条件下での繰り返しは回避されません。

  • 解決した問題 117638:ユーザーが [監視 (Monitor)] > [Edge] > [リンク (Links)] に移動し、リリース 5.2.0 を使用する VMware SD-WAN Edge のライブ モードをオンにすると、SASE Orchestrator はリアルタイムの統計情報を提供しません。

    また、「Edge 応答を待機中... (Waiting for Edge ...)」というメッセージが表示され、これは最終的にタイムアウトになります。この問題は、5.2.0 Edge ビルドが LTE/USB リンク統計情報を Orchestrator にアップロードするときに、統計情報を処理する方法が原因で Edge で発生します。

  • 解決した問題 117775:Gateway 経由の Non SD-WAN Destination (NSD) で、断続的に、IPsec トンネルが常にフラップする(破棄されて再構築される)状態になる場合があります。

    カスタマーは、トンネルが数秒間稼動し、その後数秒間ダウンして、再び稼動状態に戻り、このサイクルを繰り返して自然に停止することを確認します。この問題はタイミングベースであるため、サイクルが数日にわたって、あるいは無限に繰り返される場合があります。この問題は、多数の IKE フェーズ 2 接続を含む NSD トンネルが起動中で、完全に起動する前に、Gateway がこれらの IKE フェーズ 2 接続の 1 つで転送しようとしているトラフィックがある場合、競合状態に基づいて発生します。その結果、トンネル全体が破棄されてから再構築され、このサイクルが繰り返されます。

    この問題を修正した Gateway を使用していないサイトでは、これはタイミングベースの問題であるため、回避策のオプションは制限されます。考えられる回避策の 1 つは、NSD トンネルを小さなバッチで設定して、ネゴシエートを高速化し、トンネルの準備ができる前にトラフィックが到着する期間が発生しないようにすることです。

  • 解決した問題 117838:VMware SD-WAN Edge で、データプレーン サービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

    この問題は、ike_ds と比較したときにバージョンが一致しない ike パケットを Edge が受信したときに発生する場合があります。この問題は、Edge サービスがバージョンの一致しないパケットを処理していて、ike_ds の Cookie 値を変更するためにミューテックス ロックを取得するときに発生しますが、バージョンの不一致が発生すると、Edge は Security Association (SA) の削除をトリガし、同じ ike_ds 上でミューテックスを再度取得しようとします。その結果、Edge のデッドロックとサービス障害が発生し、再起動が発生します。

  • 解決した問題 118097:VMware SD-WAN Gateway をデバッグするときに、オペレータまたはパートナー ユーザーの環境で、debug.py --path コマンドが結果を返さない場合があります。

    この問題は、一時的なトンネルが存在する場合に未処理のキーが原因で発生し、その結果、Gateway が一時的なパスを処理中に debug.py --path コマンドが中断されます。

  • 解決した問題 118333:高可用性トポロジを使用して展開されたカスタマー サイトで、HA Edge ペアがモデル 520、540、または 610 のいずれかである場合、サイトでアクティブ/アクティブ(スプリット ブレイン)状態が発生しているため、複数の HA フェイルオーバーが発生することがあります。

    VMware SD-WAN Edge 520、540、および 610 は Marvel によって作成されたスイッチを使用します。ここで、インターネット バックホールが設定されている場合、アクティブ Edge を降格しないときにスタンバイ Edge もアクティブになる状況がトリガされる可能性があります。アクティブ/アクティブ状態はスタンバイ Edge を再起動することで解決され、これは Edge イベントに記録されます。

  • 解決した問題 118591:拡張された高可用性トポロジを使用して展開されたカスタマー サイトの場合、スタンバイ ロールの VMware SD-WAN Edge で WAN インターフェイスのフラップが頻繁に発生する場合があります。

    拡張 HA では、多数のフローが送信されるか、多数のルートがインストールされると、スタンバイ Edge WAN インターフェイスの状態が「稼動」から「ダウン」に移行し、再び「稼動」に戻る場合があります。

  • 解決した問題 118938:NTP トラフィックが VMware SD-WAN Edge によってドロップされることがあります。

    この問題は、Edge が segnat テーブルの更新中に宛先 IP アドレスの厳密なチェックを実行し、その結果 NTP トラフィックがブロックされることが原因で発生します。この問題の修正により、segnat テーブルの更新中に NTP トラフィックに例外が追加されます。

  • 解決した問題 119491:Edge Network Intelligence 分析が有効になっている VMware SD-WAN Edge の場合、Edge でのメモリ使用量が徐々に増加する場合があります。

    具体的なシナリオは、分析が有効で、RADIUS トラフィックも受信している Edge です。この場合、Edge メモリ リークが発生する場合があります。メモリ リークが十分な期間継続し、Edge のメモリ使用量が利用可能な RAM の 70% というクリティカルしきい値を超えると、Edge は防御的にサービスを再起動してリークを解消します。これにより、カスタマー トラフィックが 10 ~ 15 秒中断される場合があります。

  • 解決した問題 119544:VMware SD-WAN Edge のループバック インターフェイスで ICMP エコー応答がオフになっている場合、L7 健全性チェックが失敗し、L7 健全性チェックが設定されている CSS トンネルの破棄が Edge によってトリガされます。

    また、管理トラフィックがダイレクトになると、Edge から Orchestrator への通信も失われます。

    Edge が L7 健全性チェック リクエスト(HTTP SYN パケット)を送信しようとすると、ループバック インターフェイスに到達します。[ICMP エコー応答 (ICMP Echo Response)] がオフになっているため、その結果 HTTP パケットがドロップされます。L7 健全性チェックで送信した SYN パケットの ACK が取得されない場合、L7 健全性チェックは失敗し、CSS トンネルが破棄されます。

    同様に、Edge が Orchestrator に HTTPS パケットを送信しようとすると、ループバック インターフェイスに到達します。[ICMP エコー応答 (ICMP Echo Response)] がオフになっているため、HTTPS ACK パケットがドロップされます。

  • 解決した問題 119853:高可用性トポロジで展開されたカスタマー サイトで、アクティブ Edge とスタンバイ Edge の間に TCP フラップがある場合、その HA Edge のクライアント ユーザーにトラフィックの損失が発生します。

    アクティブ Edge とスタンバイ Edge 間でトリガされた TCP フラップでは、HA Edge はリンク状態をリセットします。これにより、そのリンクを使用するパスも破棄されて再構築され、その HA Edge インターフェイスを使用するユーザー トラフィックのトラフィックが失われます。

  • 解決した問題 120173:高可用性トポロジで設定されたカスタマー エンタープライズ サイトの場合、スタンバイ Edge でデータプレーン サービスの障害が発生し、再起動することがあります。

    フロー同期パケットがスタンバイ Edge で受信されたときに破損している場合があります。Edge サービスがこのパケットからフィールドを読み取るときに、無効なデータが存在すると例外がトリガされ、再起動が発生します。

  • 解決した問題 120308:5.4.x ソフトウェア リリースを使用する VMware SASE Orchestrator に展開された 5.2.x 以前のソフトウェア リリースを使用する VMware SD-WAN Edge は、プレフィックス委任機能を使用するように設定できます。

    プレフィックス委任機能は 5.4.0 以降でのみサポートされているため、Orchestrator では、5.4.x ソフトウェア バージョンを使用する Edge に対してのみこの機能を設定できるようにする必要があります。

    この問題には、Edge がプレフィックス委任用に設定されている場合、5.2.x 以前の Edge を 5.4.x ソフトウェア バージョンにアップグレードできないという別の影響もあります。

  • 解決した問題 121024:VMware SD-WAN Edge でインターネット トラフィックに一致するビジネス ポリシーが設定されている場合、リモート アクセス サービス (RAS) トラフィックが失敗します。

    Edge でインターネット トラフィックに一致するビジネス ポリシーが設定されていて、アクションによってこのトラフィックが直接ステアリングされる場合、この Edge に到達するリモート アクセス サービス トラフィックでは、リターン トラフィックがこのビジネス ポリシーに一致し、Edge でドロップされます。

    唯一の回避策は、RAS サブネットに一致するより具体的なビジネス ポリシーを設定し、マルチパスで(Gateway 経由で)送信するようにアクションを設定することです。

  • 解決した問題 121031:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトで、ユーザーが HA Edge デバイス設定を変更して変更を保存すると、ビジネス ポリシー ルールによってステアリングされる新しく設定されたセグメントへのトラフィックが失敗することがあります。

    HA Edge では、新しいセグメントが作成され、Edge インターフェイスに接続されると、ビジネス ポリシー ルールの問題が原因で、この新しいセグメントに向かうトラフィックが影響を受けます。

    この問題を修正しない HA Edge では、ユーザーは新しく作成されたセグメントに対するダミー ルールを追加したり、既存のビジネス ポリシー ルールを変更したりできます。

  • 解決した問題 121281:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、まれに、スタンバイ Edge でデータプレーン サービスの障害が発生し、コアが生成され、リカバリのために再起動されることがあります。

    スタンバイ Edge の再起動を示すイベントが発生し、ユーザーが「HA 失敗 (HA Failed)」アラートを設定している場合、このイベントが通知されます。この問題は、アクティブ Edge とスタンバイ Edge 間でルートが同期され、ルート同期メッセージの処理中にスタンバイ Edge サービスがメモリの破損が原因で失敗するというまれなシナリオで発生します。

  • 解決した問題 121338:WAN リンクがホット スタンバイとして設定されているサイトの場合、VMware SD-WAN Edge には、使用可能な帯域幅の一部としてそのリンクが含まれます。

    ホット スタンバイ WAN リンクは設計上アイドル状態であるため、Edge の使用可能な帯域幅に含めないようにする必要があります。ホット スタンバイが含まれているため、Edge は使用可能な帯域幅の合計について不正確な計算を行い、パケット ロスが発生する可能性があります。

  • 解決した問題 121368:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、その結果再起動することがあります。

    この問題は、Gateway を介してインターネット/クラウドにアクセスするリモート アクセス ユーザーによってトリガされます。インターネット/クラウド エンドポイントがフラグメント化を必要とする大きなパケットで応答すると、パケットのフラグメント化中に Gateway サービスが失敗します。

  • 解決した問題 121513:Gateway で [セキュア BGP ルート (Secure BGP Routes)] オプションが有効になっている Partner Gateway を使用しているカスタマー エンタープライズの場合、クライアント ユーザーはトラフィック品質の問題に遭遇することがあります。

    [セキュア BGP ルート (Secure BGP Routes)] が設定されている場合、Partner Gateway の背後で BGP ピアの IP アドレスを送信元として使用してトラフィックが開始されると、Edge でトラフィックがドロップされることがあります。これは、トラフィックが BGP エンドポイントを送信元として開始されると、Gateway にセキュアでないフローが作成されるためです。送信元ルートのタイプが BGP-Peer の場合、セキュアな設定処理が行われません。ただし、Edge の送信元のルート ルックアップが安全なルートを返す場合、受信トラフィックとルート ルックアップのセキュア設定に不一致が生じます。これにより、Edge での送信元のルート ルックアップに失敗します。

  • 解決した問題 121998:ハブ/スポーク トポロジでステートフル ファイアウォールを使用しているカスタマーの場合、スポークとハブの間のトラフィック用に設定されたファイアウォール ルール(送信元 VLAN が含まれている)に一致するトラフィックがドロップされる場合があります。

    アプリケーション分類、ビジネス ポリシー テーブル、またはファイアウォール ポリシー テーブルのバージョンが変更されると、SD-WAN は次のパケットでフローのファイアウォール参照を実行します。タイミングの問題により、そのパケットは管理トラフィック (VCMP) 側のパケットになる可能性があります。その結果、ファイアウォール ポリシーの参照キーの作成中に、SD-WAN はスポーク Edge VLAN をハブ Edge VLAN とスワップするため、ルールと一致せず、そのトラフィックをドロップします。

    この問題の修正が適用されていない Edge の場合、カスタマーは [送信元 (Source)] を Edge VLAN から「任意」に変更できます。

  • 解決した問題 122029:VMware SD-WAN Edge が 5.2.x リリースを使用している場合、GRE 自動化によって展開されたクラウド セキュリティ サービス(通常は Zscaler)が機能しません。

    この問題は、Orchestrator がトンネルの設定状態を Edge に送信するために必要なローカル IP アドレスとパブリック IP アドレスの両方の情報が送信されていないために発生します。Orchestrator が自動化 GRE 設定を送信するには、トンネルが保留状態になっている必要があります。

    この問題は 5.2.x Edge に制限されています。この問題の唯一の回避策は、Edge を 5.1.x 以前のリリースにダウングレードし、トンネルを起動してから 5.2 以降のリリースにアップグレードすることです。

  • 解決した問題 122167:WAN リンクがバックアップとして設定されている VMware SD-WAN Edge の場合、バックアップ リンクがダウンしても、Edge によって生成され、Orchestrator に送信される「リンク ダウン」イベントはありません。

    この問題は、インターフェイスがダウンしているときに Edge がリンク状態の遷移を適切に処理しないことが原因で発生します。

  • 解決した問題 122416:高可用性トポロジを使用して展開された大規模なカスタマー エンタープライズ サイトに多数のブランチ間ルートがある場合、フェイルオーバーがトリガされると、トンネルが確立されたときに欠落しているルートを再学習する必要があるため、クライアント ユーザーの環境ではトラフィックの損失が発生することがあります。

    大規模なエンタープライズとはブランチ Edge の数が約 4,000 台のエンタープライズを指し、ルート数が多いとは、ルート数が約 8,000 以上であることを意味します。

    この問題は、ハブ Edge 設定の受信に予期しない遅延が発生した結果です。

  • 解決した問題 122426:DPDK を使用するように設定された VMware SD-WAN Edge インターフェイスに対して SNMP クエリを実行すると、結果の取得に予想以上の遅延が発生することがあります。

    この遅延は、適切に最適化されていないインターフェイス データを収集するためのバックエンド スクリプトによって発生します。

  • 解決した問題 122528:ICMP プローブが設定された WAN スタティック ルートを使用しているカスタマー エンタープライズの場合、ICMP プローブは複数の VMware SD-WAN Edge で一度に機能を停止し、これらのルートを使用するすべてのトラフィックがドロップすることがあります。

    各 Edge には、反復の数が最大 65,535 回の ICMP プローブ シーケンス カウンタがあります。このカウンタが 65,535 回の反復の後にロールオーバーすると、プローブが失敗します。

    この問題が修正されていない Edge では、回避策として、ICMP プローブを削除し、Edge サービスを再起動してから、プローブをリストアします。

  • 解決した問題 123128:高可用性トポロジで設定されたカスタマー サイトで、HA Edge が Edge モデル 520、540、610、または 620 である場合、スタンバイ Edge が複数回再起動することがあります。

    この問題は [イベント (Events)] で確認できます。また、スタンバイ Edge もトラフィックを渡す拡張 HA トポロジが使用されている場合、スタンバイ Edge の WAN リンクを使用するクライアント ユーザー トラフィックも影響を受けます。

    この問題は、リストされた Edge モデルでのみ発生します。各モデルは、そのカーネル サービスを使用してトラフィックを転送し、カーネル スレッドはより低い優先順位で実行され、パケットはカーネル スレッドで 700 ミリ秒以上キューに入れられます。パケットが 700 ミリ秒を超えてキューに入っている場合、スタンバイ Edge は HA ハートビートを失い、その結果、スタンバイ Edge がアクティブになり、スタンバイ Edge が再起動して状態をリカバリするアクティブ/アクティブ状態がトリガされます。

  • 解決した問題 123144:Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge] > [宛先 (Destinations)] ページで、無効な宛先ドメイン名が表示されます。

    DNS ホスト名の検証の失敗が原因で、Edge は Orchestrator のユーザー インターフェイスに表示される IP:ポートなどの無効な宛先名を送信します。

  • 解決した問題 123237:リリース 5.2.x を実行し、インターフェイスが IPv6 のみで設定されている VMware SD-WAN Edge の場合、[診断 (Diagnostics)] > [リモート診断 (Remote Diagnostics)] ページがロードされません。

    IPv6 のみの Edge インターフェイスが IPv4 設定を無効にして設定されている場合、キー スクリプトで例外がスローされ、[診断 (Diagnostics)] > [リモート診断 (Remote Diagnostics)] ページがロードされません。

    回避策として、ダミー設定で IPv4 設定を有効にします。

  • 解決した問題 123267:VMware SD-WAN Edge 6x0 モデル(620、640、または 680)を 5.x ビルドにアップグレードすると、Edge がオフラインになり、リカバリするために追加の再起動が必要になる場合があります。

    この問題が発生すると、Edge 6x0 インターフェイス GE1 ~ GE4 はアップグレード後にオフラインになり、期待どおりにリカバリされません。カスタマーが LAN および WAN 接続に GE1 ~ GE4 のみを使用している場合、Edge は完全にオフラインになり、再起動のためにローカルで電源を入れ直す必要があります。

    この問題に対する修正を行わない Edge での回避策は、GE5、GE6、SFP1、または SFP2 への LAN または少なくとも 1 つの WAN 接続を見つけることです。これらのインターフェイスは稼動したままであり、Orchestrator を介してリモートで実行される再起動でも Edge に到達可能な状態が維持されます。

  • 解決した問題 123475:送信元 + 宛先 LAN 側 NAT ルールに一致する接続されたスタティック ルート (CSR) タイプのフローがドロップすることがあります。

    送信元 + 宛先 LAN 側 NAT ルールは、フローの最初のパケットに宛先 NAT のみを不適切に適用し、CSR → CSR フローの戻りパケットで NAT 競合を観察することがあります。

    注:

    CSR → CSR トラフィックでは、送信元 NAT ルールと送信元 + 宛先 NAT ルールはサポートされていません。

  • 解決した問題 123593:高可用性トポロジを使用しているカスタマー サイトで、カスタマーが分析をオンにした状態で Edge Network Intelligence も使用している場合、まれに、VMware SD-WAN HA Edge が Edge Network Intelligence バックエンドから分析設定を取得しないことがあります。

    アクティブ Edge とスタンバイ Edge の両方が Edge Network Intelligence バックエンドからトークンを取得できます。スタンバイ Edge がアクティブ Edge の後にトークンを取得すると、アクティブ Edge のトークンが古くなり、このシナリオが発生します。

  • 解決した問題 123594:高可用性トポロジで設定されたカスタマー エンタープライズ サイトの場合、VMware SD-WAN HA Edge が下位のビルドにダウングレードされると、スタンバイ Edge がアクティブ Edge と同期するまでに最大 1 時間かかる場合があります。

    この問題は、Edge の PIC ウォッチドッグ タイマーが Edge の再起動プロセス中にリアームされず、タイムアウトが短すぎるため、インターフェイスが停止した場合に追加の Edge 再起動をトリガできなくなることが原因で発生します。

  • 解決した問題 123956:5.2.x リリースを使用する VMware SD-WAN Edge のローカル ユーザー インターフェイスにアクセスできません。

    ユーザーのブラウザ ページが 404 エラーでロードされません。この問題は、リモート診断とローカル ユーザー インターフェイス スクリプトの両方で例外がスローされた結果です。

  • 解決した問題 124106:LAN 側 NAT がポート アドレス変換 (PAT) を使用して多対 1 変換用に設定されている場合、反対方向から開始されたトラフィックにより、外部マスクと元の IP アドレスに基づいて固定アドレスへの予期しないアクセスが許可される可能性があります。

    LAN 側 NAT ルールでは、1 対多方向のトラフィックを防止する明確な方法がなくても、多対 1 ルールの両方向で接続を開始できます。現在、1 対多の変換がブロックされ、ユーザーはトラフィックを有効にするために明示的な 1:1 の NAT ルールを作成する必要があります。

    この問題は、「重要な注意事項:LAN 側 NAT の動作変更」で詳しく説明されています。

  • 解決した問題 124162:VMware SD-WAN Edge インターフェイスでパケット キャプチャを実行すると、破損しているように見えるパケットが表示されることがあります。

    実際のパケットの破損はありません。パケットは PCAP ファイルで破損しているように見えるだけです。この問題は、Edge がパケット キャプチャ インターフェイスにパケットを書き込む方法の欠陥が原因で、VLAN タグ付きパケットが誤って書き込まれ、PCAP ファイルに破損したパケット (invalid ether-type) として表示されることがあります。

  • 解決した問題 124180:VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。

    この問題は、eth0/eth1 インターフェイスが割り当てられた IP アドレスで設定されていない不適切な展開シナリオで発生する可能性があります。

  • 解決した問題 124263:IPv6 ネイバー検出 (ND) および L2 カプセル化パケットの処理中に、VMware SD-WAN Edge で CPU 使用率が高くなる場合があります。

    Edge のトラブルシューティングでは、api - vc_ip6_host_addr_to_network_addr プロセスでの CPU の消費率が高いことが指摘されます。

  • 解決した問題 124784:4 コア仮想マシンを使用して展開された VMware SD-WAN Gateway で、Edge クラスタリングを使用する複数のカスタマー エンタープライズが接続されている場合、データプレーン サービスの障害が発生し、コアが生成され、リカバリのために再起動することがあります。

    自己修復ルーティングも設定された複数のクラスタが有効になっている場合、Gateway でこの問題が発生することがあります。このシナリオでは、スポーク Edge とハブ クラスタから受信した統計情報のセットごとに、Gateway は DCE 情報の繰り返しを試みます。その結果、CPU が 90 秒以上ホールドされ、Gateway サービスの障害がトリガされます。

  • 解決した問題 125035:カスタマーが Fortinet 6.4.x VNF を展開すると、Edge の管理 IP アドレスにアクセスできません。

    Fortinet は 6.4.x で変更を加えたため、FortiLink と透過モードは連携しません。SD-WAN は FortiLink を使用しないため、この問題の解決策は、VNF の展開中に透過モードを設定する前に FortiLink を無効にすることです。

  • 解決した問題 125377:ユーザーがサイトで高可用性を有効にすると、VMware SD-WAN HA Edge でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。

    この問題は、HA ステート マシンの競合状態が原因で発生し、その結果 Edge サービスに障害が発生し、HA Edge が起動しないことがあります。

  • 解決した問題 125421:VMware SASE Orchestrator ユーザー インターフェイスの [監視とイベント (Monitoring and Events)] ページで VMware SD-WAN Edge の WAN リンクが断続的にダウン状態になってから再度稼動状態になり、Edge が応答しなくなって手動で再起動されるまでトラフィックの通過に失敗したり、Edge でデータプレーン サービスの障害が発生して再起動したりする場合があります。

    これは、Edge データプレーン サービスが共有メモリを開けず、古い PI を引き起こすときに発生する Edge メモリ リークの問題です。これにより、開いているファイル記述子が枯渇し、最初に WAN リンクに影響します。ただし、この問題がさらに進行して Edge メモリが枯渇すると、Edge は次の状態になることがあります。

    1. 応答しなくなり、Orchestrator を介してアクセスできなくなるため、オンサイトでの再起動/電源の入れ直しが必要になります。

    2. Edge サービスの障害をトリガし、コア ファイルが生成され、リカバリのために Edge が再起動します。

  • 解決した問題 125467:リリース 5.1.0 以降を実行している VMware SD-WAN Gateway で Non SD-WAN Destination (NSD) トンネルが設定されていて、NSD トンネルの形成に失敗すると、Gateway データプレーン サービスの障害がトリガされ、Gateway が再起動することがあります。

    Gateway が NSD を使用して IPsec トンネルを形成しようとすると、Gateway プロセスがトンネルを二重に削除できるタイミング シナリオが発生する可能性があり、これが Gateway サービスで例外をトリガし、障害が発生する原因となります。

  • 解決した問題 125487:ARP 解決の問題により、ブランチ間のトラフィック フローが中断する場合があります。

    この問題が発生すると、Edge はサブインターフェイス IP アドレスではなくプライマリ インターフェイスの IP アドレスを使用して ARP 要求をネクスト ホップ IP アドレスに転送します。この問題は、接続されていないルートを使用して宛先に到達するときにフローの作成中にトリガされ、Edge のサブインターフェイスがその接続に使用されている場合、Edge はサブインターフェイス ケースの送信元 IP アドレスを適切に入力しません。

  • 解決した問題 125514:標準の高可用性トポロジを使用して展開されたサイトで、HA インターフェイスがダウンしていると、Orchestrator ユーザー インターフェイスでスタンバイ Edge の状態が「不明 (Unknown)」と報告されることがあります。

    WAN HA ハートビートはピアの到達可能性に関して考慮されず、その結果、スタンバイ Edge に到達可能な場合でも、スタンバイ Edge は不明な状態に移行します。

  • 解決した問題 125647:Edge モデル 520 または 540 で展開されたサイトの場合、Edge を 5.2.0 バージョンにアップグレードすると、LAN ポートを介して Edge に接続されたクライアント ユーザーの接続が完全に失われることがあります。

    Edge 520/540 を再起動するか、5.2.0 バージョンにアップグレードされた後に Edge を古いソフトウェア バージョンにダウングレードしても、問題は解決されません。Orchestrator の [ファイアウォール (Firewall)] 設定ページの [Edge のセキュリティ (Edge Security)] > [コンソール アクセス (Console Access)] 設定で Edge のコンソールが無効になっている(すべての Edge のデフォルト設定)と、Edge 520 または 540 の LAN1 ~ LAN8 ポートを管理するドライバが自分自身を適切に設定せず、これらのポートがまったく作成されません。

    この問題の修正が適用されていない Edge でこの問題の発生を防ぐ、または影響を受ける Edge の LAN ポートで接続をリストアするには、[設定 (Configure)] > [Edge/プロファイル (Edge/Profile)] > [ファイアウォール (Firewall)] > [Edge のセキュリティ (Edge Security)] に移動し、[コンソール アクセス (Console Access)][有効 (Enable)] および [変更の保存 (Save Changes)] をクリックします。

  • 解決した問題 126349:VMware SD-WAN Edge の CPU 使用率が 90% 以上の状態が一定期間表示されることがあります。

    多数のフローで Edge の補正が必要なジッターが発生している場合、CPU 使用率が 90% を超える異常な状態が続きます。リアルタイム フローの場合、損失の多いリンクでジッターの補正が有効になります。多数のフローでジッター補正が有効になっている場合、ジッター バッファリングに使用される内部タイマーには大量の CPU サイクルがかかります。これにより、パフォーマンスの低下の問題が発生する可能性があります。

  • 解決した問題 126458:高可用性トポロジを使用して展開されたカスタマー サイトで、HA Edge が Edge モデル 520/540 である場合、アクティブ/アクティブ状態の結果として複数の HA フェイルオーバーが発生することがあります。

    この状態は、同時フローの数が 300,000 を超えると、HA が設定された 520/540 Edge でトリガされます。

    この問題の修正が適用されていない Edge 520/540 HA Edge では、回避策として、[設定 (Configure)] > [Edge] > [デバイス (Device)] ページで HA フェイルオーバー時間を 700 ミリ秒から 7,000 ミリ秒に増やします。これにより、アクティブ/アクティブ状態の変更が減少します。

  • 解決した問題 126520:アクティブなアプリケーションが多数あるエンタープライズでは、ビジネス ポリシー ルールに一致するトラフィックが必ずしも適切にステアリングされません。

    多くのアクティブなアプリケーションがある環境では、Edge DNS キャッシュがいっぱいになり、DNS エントリが失われたというアラートが 10 分ごとにトリガされます。また、DNS キャッシュがいっぱいになると、この問題はビジネス ポリシーに基づく最初のパケット ルーティングにも影響する可能性があります。

    Edge DNS キャッシュをクリアすると、この問題が一時的に軽減されます。

  • 解決した問題 127127:VMware SD-WAN Gateway がリリース 5.1.x 以降にアップグレードされると、VMware SD-WAN Edge はハブ Edge からルートを学習しません。

    Edge がハブ経由のブランチ間で設定されていて、リストに同じ Edge のみが含まれ、Gateway が 5.1.x 以降のバージョンを実行している場合、ルートは Gateway から Edge に広報されません。

    唯一の回避策は、ハブ経由のブランチ間設定から Edge を削除することです。

  • 解決した問題 127254:一部のシナリオでは、デフォルト ルートが OSPFv3 によって発信されません。

    最初に、OSPFv3 へのオーバーレイ ルートの再配布が無効になり、「default-information originate always」が IPv6 デフォルト ルートを広報するようにプロファイル レベルで設定されます。また、リモート Edge から IPv6 オーバーレイのデフォルト ルートを受信します。ここで cmd「default-information originate always」のメトリック タイプ (OE1/OE2) が Orchestrator で変更されると、OSPFv3 でオーバーレイ ルートの再配布が無効になっているため、その cmd 用に作成された LSA も予期せず削除されます。

    修正をインストールする前にこの問題が発生した場合の回避策は、プロファイル レベルで OSPFv3 のデフォルトの発信元を無効にしてから有効にすることです。

  • 解決した問題 127403:Orchestrator ユーザー インターフェイスの [テストとトラブルシューティング (Test & Troubleshoot)] > [リモート診断 (Remote Diagnostics)] ページでリモート診断「OSPF のトラブルシューティング - OSPF 再分散ルートの一覧表示 (Troubleshoot OSPF - List OSPF Redistributed Routes)」または「BGP のトラブルシューティング - BGP 再分散ルートの一覧表示 (TroubleshootBGP - List BGP Redistributed Routes)」を実行すると、データなしでエラーが返されます。

    いずれかの診断を実行すると、Orchestrator ユーザー インターフェイスに次のエラーが表示されます:「テスト用のデータの読み取りエラー (Error reading data for test)」

  • 解決した問題 127443:2 コア設定で展開された VMware SD-WAN 仮想 Edge でデータプレーン サービスの障害が発生し、SIGXCPU を持つコアが生成され、リカバリするために再起動することがあります。

    2 コア仮想 Edge プラットフォームでは、BGP/OSPF ワーカー スレッドで処理(再配布)された大量のイベントがある場合、イベントは Edge ルーティング プロセス クライアント (BGP/OSPF) に送信され、これらは非 RR のスレッドとして実行され、データを同じ速度で読み取るために十分な CPU サイクルを取得できない場合があります。その結果、Edge は永続的な送信再試行ループ状態になり、他のスレッドを枯渇させ、SIGXCPU 終了としてログに記録される障害を引き起こします。

  • 解決した問題 127799:オペレータまたはパートナー ユーザーが vcdbgdump コマンドを使用して VMware SD-WAN Gateway をデバッグしようとすると、コマンドが失敗することがあります。

    この問題は、AppArmor ルールの適用がオンになっている Gateway で発生する可能性があります。

  • 解決した問題 128132:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、ユーザーが HA Edge ペアを 5.2.2 から 5.2.1 以前にダウングレードしようとすると、スタンバイ Edge のダウングレードに失敗します。

    この問題が発生すると、サイトで異なるソフトウェア バージョンを実行している Edge のセットが一致しません。この問題は、スタンバイ Edge のダウングレード パスの例外によってトリガされます。

  • 解決した問題 128377:ルーティングに BGP を使用しているカスタマー エンタープライズの場合、BGP の障害が原因でユーザー トラフィックが中断することがあります。

    self_mac_hash の無効なメモリ アクセスが原因で、クリーンアップ中に BGP プロセスが失敗することがあります。

    bgp_master のクリーンアップの一環として、self_mac_hash はすでにクリーンアップされています。ただし、クリーンアップが発生した後でメッセージを処理しているときに、BGP は削除されたハッシュにアクセスし、障害が発生します。

  • 解決した問題 128741:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコア ファイルを生成し、リカバリするために再起動することがあります。

    Non SD-WAN Destination IPsec トンネルまたは GENEVE インターフェイスで有効な管理パケットが予期せず到達すると、そのパケットの処理中に Gateway でエラーが発生し、Gateway サービス プロセスが失敗することがあります。

  • 解決した問題 129359:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、まれに、アクティブ Edge とスタンバイ Edge の両方が同じ MAC アドレスを持つ WAN リンクでハートビート パケットを送信している場合があります。

    この問題が発生すると、アップストリーム スイッチに影響が及びます。スイッチは、同じ MAC アドレスを持つ 2 つの異なるフローを受信したことに関連するアラートを送信する場合があります。この問題は、スタンバイ Edge の MAC ファイルが作成されず、スタンバイ Edge がアクティブ Edge と一致するようにインターフェイスの MAC アドレスを誤って更新することでこの状況から回復しようとするタイミング条件によって発生する可能性があり。

    この問題が発生した場合、スタンバイ Edge を無効にしてデフォルトの工場出荷時の設定に戻し、HA セットアップで再度有効にして MAC ファイルをリストアする必要があります。

  • 解決した問題 129923:クライアント ユーザーの環境で、宛先プレフィックスに再帰的なスタティック ルートを使用するフローのトラフィックがドロップすることがあります。

    最初のトラフィック フローでは、再帰的な解決の後に宛先プレフィックスにスタティック ルートを使用します。ただし、その再帰ルートの送信インターフェイスを使用する後続のトラフィックはダウンします。送信インターフェイスを使用する他のルートで再帰的なルート解決が可能な場合でも、再帰的な解決は更新されません。これにより、パスが使用可能な場合でもトラフィックがドロップします。

    この問題に対する修正を行わない Edge では、フローで使用されるスタティック ルートを削除して再追加します。

  • 解決した問題 130011:オペレータまたはパートナー ユーザーが tcpdump.sh を使用して VMware SD-WAN Gateway をデバッグしようとすると、コマンドはファイルに出力されると機能しますが、stdout の場合は失敗します。

    これは、Apparmor が強制モードで /dev/pts/* ターミナルへのアクセスをブロックした結果です。これにより、vctcpdump プロセスが終了し、tcpdump.sh は stdout で情報をキャプチャしませんでした。

    この問題の修正が適用されていない Gateway では、stdout ではなくファイルに tcpdump.sh を実行するか、/etc/apparmor.d/opt.vc.bin.vctcpdump プロファイルを complain モードに設定します。

  • 解決した問題 130284:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、メモリ使用率が時間の経過とともに増加し、低下しないことがあります。

    これはメモリ リークであり、十分なメモリが蓄積されると、Edge データプレーン サービスでメモリ割り当てエラーがトリガされ、防御的な再起動/フェイルオーバーによってメモリがリカバリされる場合があります。この問題は、重複アドレス検出 (DAD) がすでに進行中の場合にすばやく連続してトリガされるか、または HA 同期が原因で発生する場合があります。

    この問題の修正が適用されていない HA Edge で、Edge の [監視 (Monitor)] > [システム (System)] ページでメモリ使用率が増え続ける場合は、メンテナンス期間内に Edge サービスの再起動を開始して、Edge のメモリを一時的にリカバリします。

  • 解決した問題 130368:「トランスポート グループ」を使用した「使用可能な」リンク ステアリングが設定されているビジネス ポリシー ルールに一致するダイレクト トラフィックが、目的のリンクが不安定な状態にあると期待どおりに動作しません。

    WAN リンクは通常、損失が大きい場合に「不安定」としてマークされますが、不安定な状態を引き起こす要因であればすべてこの問題に対して同様に当てはまります。この問題は、「トランスポート グループ」を使用した「使用可能な」オプションに対する Edge のリンク選択コードが原因で発生します。「使用可能な」オプションは、リンクが稼動していることのみを要求し、良好な品質であることを要求しませんが、このコードによってトラフィックを良好な品質のリンクにステアリングします。

  • 解決した問題 130573:VMware SD-WAN Edge モデル 520/540 または 610/610-LTE を使用しているカスタマー サイトの場合、VLAN が設定されたスイッチ ポートがトラフィックを相互に渡さない場合があります。

    リストされているすべての Edge モデルは、同じメーカーのスイッチ ポート ボードを使用します。ユーザーが Edge 上の 1 つ以上の VLAN を使用してスイッチ ポートを設定すると、ポートは ARP パケットを送信できないため、これらのポート間でトラフィックを渡すことができません。

    この問題の修正により、Edge モデル 610/610-LTE の正しい VLAN スイッチングがリストアされます。

    Edge モデル 520/540 は、LAN1-LAN4 用と LAN5-LAN8 用の 2 つのスイッチ ポート ボードを使用します。これらの Edge モデルでは、この修正により、同じスイッチ ポート グループのポート間で VLAN スイッチングがリストアされます。ただし、2 つの異なるスイッチ ポート グループのスイッチ ポート間の VLAN スイッチングは依然として適切に動作しません。たとえば、LAN2 と LAN6 間の VLAN スイッチングは期待どおりに動作せず、LAN2 と LAN4、または LAN6 と LAN8 間のスイッチングは期待どおりに動作します。

  • 解決した問題 130833:ルート ベースのタイプの Gateway 経由の Non SD-WAN Destination が設定されているカスタマー エンタープライズの場合、クライアント ユーザーの環境では IKE SA の再キー化中にピア サイトに送信されるトラフィックがドロップされる場合があります。

    Phase1 の再キー化が行われると、新しく作成された Phase1 の Dead Peer Detection (DPD) メッセージに VCG が応答しないことがあります。これにより、トンネルが中断し、BGP トンネルのフラッピングが発生する可能性があります。ピア (VMware Cloud on AWS) がオンデマンド DPD で設定されている場合、Phase1 SA の再キー化後、新しく作成された Phase1 SA にアグレッシブな DPD リクエストが送信され、Gateway はこれらのリクエストに応答しません。これにより、ピア側で新しく作成された Phase1 SA が削除され、新しい Phase1 SA が開始されます。Gateway が常にイニシエータであるため、これも失敗します。

    回避策として、Phase1 SA を手動で削除するか、Gateway から新しい Phase1 が開始されるまで待機します。

  • 解決した問題 130901:「CSS 経由のバックホール」から「ダイレクト」に切り替えようとするフローで、ユーザー トラフィックがドロップすることがあります。

    フローが別のパス/ルートを経由するようにステアリングする別のビジネス ポリシー ルールに一致する場合、Edge はトラフィック パスの切り替えを許可しません。この処理は、「CSS 経由のバックホール」で始まるフローでは見つかりませんでした。

    この問題に対する修正を行わない Edge では、宛先 IP アドレスを使用してトラフィックをステアリングするようにビジネス ポリシーを設定できます。

  • 解決した問題 130907:ipAddrTable 上の SNMP ウォークでは、テーブル全体が取得されません。

    ipAddrTable 上で SNMP ウォークを実行すると IP アドレスのみを取得します。物理 LAN インターフェイスのデータが破損しているため、残りのフィールドは取得されません。

  • 解決した問題 130931:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、IPv6 アドレスは、DHCP アドレス指定を使用して IPv6 対応インターフェイス上で削除でき、Edge でルートの広報 (RA) が受信されるまでリストアされません。

    有効期間が切れる前に Edge で RA パケットを受信しないと、IPv6 アドレスが削除されます。

  • 解決した問題 130998:まれに、VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。

    Edge サービスは、Surfshark VPN アプリケーションに一致するパケットを処理および分類しているという比較的まれな状況で失敗する可能性があります。

  • 解決した問題 131085:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。

    特に、インターフェイスのローカルで生成されたパケット(正確には malloc を実行した skb)を送信する Gateway が関与する場合、Gateway サービスは skb 内の mbuf メンバー ポインタにアクセスしようとします(これは null の場合があります)。これにより、例外とサービス障害がトリガされます。この修正により、mbuf へのアクセスは、mbuf が malloc を実行した skb を dpdk skb に変換することによって正しく更新された後にのみ実行されます。

  • 解決した問題 131302:Partner Gateway ハンドオフ セクションでマルチホップ外部 BGP が設定されている場合、MPLS バックホール経由の SD-WAN トンネルが起動しません。

    Partner Gateway でマルチホップ EBGP が設定されている場合、ARP の解決中にトンネル開始要求に対する SD-WAN トンネル応答が失敗します。これは、ARP がネクスト ホップ IP アドレスではなく BGP ピア IP アドレスで誤って開始されるためです。マルチホップ BGP が設定されているため、ピア IP アドレスは直接のネクスト ホップではなく、ARP は失敗します。その結果、MPLS トンネルを介してピアに送信される SD-WAN トンネル パケットが Gateway から送信されることはありません。

    回避策として、可能であればシングル ホップの外部 BGP ピアを使用します。

  • 解決した問題 131891:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、HA Edge でデータプレーン サービスの障害が発生した結果、HA フェイルオーバーが発生することがあります。

    この問題は、HA Edge が大量のトラフィック負荷を処理し、DPI(詳細なパケット インスペクション)エンジンが 32 バイトを超えるサーバ名識別子の名前文字列を含む HTTPs トラフィックの処理で継続的にビジー状態になると発生することがあります。

Orchestrator で解決した問題

Orchestrator バージョン R5220-20231214-GA で解決した問題

Orchestrator バージョン R5220-20231214-GA は 2023 年 12 月 14 日にリリースされ、Orchestrator バージョン R5204-20230831-GA およびユーザー インターフェイス ビルド R5204-20231121-GA 以降の次の問題に対処しています。つまり、これらのリストされたビルドまでの 5.2.0 リリース ノートに記載されている Orchestrator の問題に対する修正は、すべてのリリース 5.2.2 ビルドに含まれています。

  • 解決した問題 48230:[監視 (Monitor)] > [Edge (Edges)] ページで、「モデル」を使用した Edge の検索結果が完全に正確ではありません。

    ユーザーがモデル番号でフィルタリングすると、Orchestrator は追加の Edge を返します。

  • 解決した問題 48609:[監視 (Monitor)] > [ルーティング (Routing)] ページで、マルチキャスト ルート テーブルのセグメント名を並べ替えることができません。

    リリース 5.4.0 では、API が拡張され、セグメント名が並べ替えパラメータとして受け入れられ、セグメント名を並べ替えるのに役立ちます。

  • 解決した問題 82095:Edge の接続に重大な問題を引き起こすことがある、Edge VLAN に対する無効なデバイス設定をユーザーが行う可能性があります。

    Orchestrator では、デバイス設定の検証を試みません。具体的には、空のテーブルを持つスイッチ ポートの VLAN 設定などです。一部の設定がエラーだらけになり、Edge の管理プロセスが失敗する可能性があります。

    この問題の修正が適用されていない Orchestrator では、カスタマーはすべての VLAN デバイス設定を確認し、これらの設定が有効であることを確認する必要があります。これは Orchestrator ではチェックされません。

  • 解決した問題 92766:[監視 (Monitor)] > [ルーティング (Routing)] ページで、ページネーション情報が正しくありません。

    ユーザーが [次へ (Next)] ボタンをクリックすると、フィルタ ロジックが正しく適用されず、表示されるページ番号が正しくないため、最後のページに到達した後でもユーザー インターフェイス ページが停止しません。

  • 解決した問題 102121:Orchestrator ユーザー インターフェイスの使用中に Edge のファイアウォール設定を更新せずに Edge の Secure Access 設定を複数回更新すると、Secure Access 設定の更新が Edge に送信されないことがあります。

    この問題は、エンジニアリング部門がファイアウォールの更新なしで多数の Secure Access 更新を意図的に強制するテストで最も頻繁に発生します。ただし、まれに現場のカスタマーが原因で発生する場合があります。

    修正されていない Orchestrator でこの問題が発生した場合、ユーザーはユーザー インターフェイスから Edge のファイアウォール設定を 1 回だけ手動で更新できます。ファイアウォールの手動更新後、ユーザーはユーザー インターフェイスから Edge Secure Access 設定の変更をやり直すことができます。Orchestrator は Edge Secure Access 設定の変更をユーザー インターフェイスから Edge にプッシュします。

  • 解決した問題 104843:[設定 (Configure)] > [Edge (Edges)] ページで、すべての検索オプションを見つけることができません。

    これには、プロファイル、オペレータ プロファイル、分析による検索が含まれます。

  • 解決した問題 108285:Orchestrator ユーザー インターフェイスでプロファイルを設定するときに、ユーザーが Edge インターフェイスをスイッチングからルーティングに変更すると、Orchestrator は新しいルーティング インターフェイスを適切なインデックスに挿入するのではなく、ルーティングの最後に追加します。

    プロファイル設定のルーティング インターフェイスの順序が正しくないと、ユーザーがそのルーティング インターフェイスの参照を使用してスタティック ルートを追加するときに、検証の問題が発生します。

  • 解決した問題 113466:ユーザー インターフェイスの [設定 (Configure)] > [ネットワーク サービス (Network Services)] ページで、ユーザーが Gateway 経由の Non SD-WAN Destination に [Cisco ASA] を選択すると、ユーザー インターフェイスは「o.fragmentationAvoidance is undefined」エラーを返します。

    Orchestrator ユーザー インターフェイスには、IKE/IPsec 設定のサンプル テンプレートが表示されるはずですが、代わりに上記のエラーが発生します。

  • 解決した問題 114444:VMware SASE Orchestrator をバージョン 5.1.x 以降にアップグレードすると、冗長トンネルがすでに設定されている Gateway 経由の Non SD-WAN Destination の設定の変更を保存できません。

    ユーザーは [Gateway 経由の NSD (NSD via Gateway)] ページで設定を保存できず、冗長 NSD の Gateway でパケット ドロップが発生する可能性があります。

    この問題の回避策は、冗長 BGP ネイバーの [Gateway 経由の NSD (NSD via Gateway)] ユーザー インターフェイスで最大ホップ数を 2 に更新し、変更を保存することです。

  • 解決した問題 115441:[グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] ページで SD-WAN のタイルを設定すると、ソフトウェア イメージとファームウェア イメージはアクティブな場合にのみ表示されます。

    ソフトウェア イメージとファームウェア イメージは、状態に関係なく常にユーザーに表示される必要があります。

  • 解決した問題 115695:[監視 (Monitor)] > [Edge (Edges)] ページの [Edge のリスト (Edge List)] テーブルで、カスタマーは Edge を説明で検索できません。

    Edge の説明の特定の単語(「アクティベーション済み」あるいは Edge の場所など)は、同様の説明を持つすべての Edge を検索する場合に役立ちます。

  • 解決した問題 116524:Edge Network Intelligence にサブスクライブし、分析を有効にしているカスタマーの場合、[監視(Monitor)] ページの左側のリンク リストを確認すると、名前は異なるがまったく同じ重複する分析のリンクが 2 つ表示されます。

    Edge Network Intelligence には、[アプリケーション分析 (Application Analytics)][ブランチ分析 (Branch Analytics)] の 2 つのリンクがあり、両方とも ENI の同じ場所に移動します。これは、左側の [Edge Network Intelligence] という 1 つのリンクに修正されました。

  • 解決した問題 116531:少なくとも 1 つの Edge の説明またはアプリケーションにカンマ (,) が含まれている VMware SASE Orchestrator でレポートを生成しようとすると、レポートが適切にフォーマットされないことがあります。

    Edge の説明またはアプリケーション名にカンマが含まれている場合(次のスクリーンショットに示すように)、Orchestrator のレポート サービスに混乱が生じ、想定どおりに Edge の [説明 (Description)] 列にテキスト文字列全体が含まれるのではなく、各カンマの後のテキストがレポートの次の列に分割されます。

    そのため、[転送バイト数 (Bytes Transmitted)] に関連付けられた値が表示されるのではなく、最初のカンマの後のテキストが表示され、[受信バイト数 (Bytes Received)] に 2 番目のカンマ(存在する場合)の後のテキストが表示されます(その後も同様)。レポートには引き続き [転送バイト数 (Bytes Transmitted)] と [受信バイト数 (Bytes Received)] のデータが含まれますが、右側にプッシュされ、正しい列に整列されません。

    この問題が修正されていない Orchestrator では、Edge の説明またはアプリケーションにカンマが使用されていないことを確認する必要があります。

  • 解決した問題 116633:Safari または Firefox を使用して VMware SASE Orchestrator にログインするときに、ユーザーがプロファイル レベルで無効な VLAN("" など)を設定し、VMware SD-WAN Edge で有効な VLAN 値を設定すると、呼び出しは引き続き実行されますが、エラーが表示されます。

    値が設定されていないインターフェイス値は null にする必要がありますが、代わりに vlanID = "" になります。ユーザーが Chromium ベースのブラウザで Orchestrator にログインする場合、この問題は発生しません。

  • 解決した問題 116790:VMware SASE Orchestrator がリリース 5.1.x 以降にアップグレードされると、カスタマーの VMware SD-WAN Edge が、Edge が使用するように設定されているバージョンよりも古い Edge バージョンに誤ってダウングレードされる場合があります。

     この問題は、Orchestrator からカスタマー エンタープライズが削除され、削除されたエンタープライズが Orchestrator データベース内の論理 ID によってオペレータ プロファイルに関連付けられていた場合にトリガされます。エンタープライズが削除されると、オペレータ プロファイルも削除されます。[Edge イメージ管理 (Edge Image Management)] が設定済みで、複数のオペレータ プロファイルが使用可能で、この削除されたオペレータ プロファイルをデフォルトとして割り当てていたカスタマーには、[Edge イメージ管理 (Edge Image Management)] メニューで引き続き使用可能なオペレータ プロファイルが割り当てられます。その結果、カスタマーに古い Edge リリースを含むオペレータ プロファイルが割り当てられることがあり、このオペレータ プロファイルが割り当てられた Edge でソフトウェアが変更され、ダウングレードされる可能性があります。Edge がカスタマーが使用している機能をサポートしていない古いリリースを実行している場合は、ネットワーク障害などによって中断が発生する可能性があります。

  • 解決した問題 117138:Zscaler Automation を使用して Zscaler クラウド セキュリティ サービス (CSS) を作成するときに、Edge から Zscaler CSS への IPsec トンネルが作成されないことがあります。

    Orchestrator は、Edge ごとに 1 つのアクションのみをキューに登録します。ただし、1 つのアクションが [通知済み (NOTIFIED)] 状態で停止すると、後続のすべてのアクションは実行されず、IPsec トンネルは構築されません。

    この問題の修正が適用されていない Orchestrator では、オペレータ ユーザーは Orchestrator データベースから古い Edge アクションを手動で削除する必要があります。

  • 解決した問題 117573:[設定 (Configure)] > [デバイス (Device)] > [VPN] > [クラウド VPN (Cloud VPN)] ページで、ユーザーがブランチからハブへのサイトを設定しようとすると、フィルタリング アイコンを使用してハブをフィルタリングできません。

    カスタマー エンタープライズに複数のハブが設定されている場合、フィルタリング機能がないと、ブランチからハブへの VPN を設定することは困難になります。

  • 解決した問題 117614:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [プロファイル (Profile)] ページの [ショートカット (Shortcuts)] ボックスにいくつかのアクションが表示されません。

    表示されないショートカットは、[プロファイルの移行 (Migrate Profile)][プロファイルの複製 (Duplicate Profile)][プロファイルの変更 (Modify Profile)][プロファイルの削除 (Delete Profile)] です。これらのアクションは [プロファイル (Profile)] のリスト ページにありますが、カスタマーはこれらのアクションにより簡単にアクセスできる必要があります。

  • 解決した問題 117988:VMware SD-WAN インターフェイスで OSPF 用に設定された [完全一致 (Exact Match)] チェックボックスをオンにした [インバウンド ルートの学習 (Inbound Route Learning)] は、VMware SASE Orchestrator の従来のユーザー インターフェイスと新しいユーザー インターフェイスの値を比較した場合、Edge で設定されているものと一致しません。

    [完全一致 (Exact Match)] オプションを使用すると、新しいユーザー インターフェイスを確認するときに Edge のデータベースに正しく保存されていても正しい値が表示されません。

  • 解決した問題 117993:カスタマー エンタープライズを管理し、ネイティブ認証(つまりユーザー名/パスワード)を使用しているパートナー ユーザー、またはエンタープライズ ユーザーがエンタープライズ ユーザーのパスワードをリセットしようとすると、失敗します。

    次のエラーが表示されます:ユーザーには [enterpriseUser/sendEnterpriseUserPasswordResetEMail] にアクセスするために必要な権限がありません (user does not have privileges required to access [enterpriseUser/sendEnterpriseUserPasswordResetEMail])。この問題は、5.3.0 のデフォルトのユーザー インターフェイスである新しいユーザー インターフェイスでのみ発生します。原因は要求パラメータが見つからないことです。

  • 解決した問題 118074:VMware SASE Orchestrator の新しいユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで、一部のデバイス設定を開くことができない場合があります。

    アクセスできない設定には、インターフェイス、IPv6、クラウド VPN、Non SD-WAN Destination (NSD)、クラウド セキュリティ サービス (CSS) などがあります。この問題はパブリック IP アドレスを必要とする WAN 設定にトレースされ、このアドレスがない場合は、新しいユーザー インターフェイスでエラーがスローされ、これらの設定へのアクセスがブロックされます。

  • 解決した問題 118297:[設定 (Configure)] > [Edge] ページで、Orchestrator ユーザー インターフェイスに一部の並べ替え機能が表示されません。

    これには、プロファイル、オペレータ プロファイル、分析、論理 ID、HA Edge、ライセンスによる Edge の並べ替えが含まれます。

  • 解決した問題 118302:[監視 (Monitor)] > [Edge] ページで、Orchestrator ユーザー インターフェイスのリンク状態で Edge をフィルタリングすることができません。

    大規模企業のカスタマーは、リンクがダウンした Edge をフィルタリングして、トラブルシューティング リソースをどこに向けるかを確認できる必要があります。

  • 解決した問題 118501:[監視 (Monitor)] > [Edge (Edges)] ページで、ユーザーが CSV をクリックしてすべての SD-WAN Edge のリストをダウンロードすると、Orchestrator は最大 2,048 台の Edge しかダウンロードしません。

    これは、エンタープライズ内に 2,048 台を超える Edge を持つカスタマーが、すべての Edge の完全なリストをダウンロードする必要がある場合に影響します。

  • 解決した問題 118757:Orchestrator ユーザー インターフェイスの [Edge のプロビジョニング (Provision an Edge)] 画面では、多くの有効なライセンス オプションをフィルタリングできないドロップダウン メニューを使用するため、Edge ライセンスの選択が難しい場合があります。

    [Edge ライセンス (Edge License)] フィールドのドロップダウン メニューに多くのライセンス オプションが含まれている場合、リストではユーザーがアイテムをフィルタリングできないため、目的のオプションを効率的に選択することが難しい場合があります。Orchestrator リリース 5.3.0 以降では、ドロップダウン メニューがすべてのライセンスの完全なリストに置き換えられ、目的のライセンスを効率的に選択できるようになりました。

  • 解決した問題 118761:[Edge のリスト (Edge Listings)] ページで [ソフトウェア イメージの割り当て (Assign Software Image)] の更新中に項目をフィルタリングすることができません。

    [ソフトウェア イメージの割り当て (Assign Software Image)] ドロップダウンでは、ユーザーが項目をフィルタリングできないため、ドロップダウンに多数の項目がある場合に選択プロセスが困難になります。

  • 解決した問題 118770:[設定 (Configure)] > [Edge (Edges)] 画面に [Edge へのインベントリの割り当て (Assign Inventory to Edge)] オプションがありません

    このオプションは新しいユーザー インターフェイスには存在しません。リストア時には、Edge オプションの数が数百または数千になる可能性のあるドロップダウン メニューは使用しないでください。代わりに、ユーザー インターフェイスでは Edge をフィルタリングできるリスト表示を使用する必要があります。

  • 解決した問題 119811:カスタマーの [イベント (Events)] リストで、1 日に複数の MGD_WEBSOCKET_INIT および MGD_WEBSOCKET_CLOSE イベントが表示されます。

    Orchestrator の [イベント (Event)] リストに、カスタマー アクションなしで複数の MGD_WEBSOCKET_INIT イベントと MGD_WEBSOCKET_CLOSE イベントが表示される場合があります。

    これらのイベント メッセージは誤りであり、重要度は「情報」レベルであるため、無視しても問題ありません。

  • 解決した問題 119938:Zscalar トンネルの自動化を使用しているカスタマーの場合、VMware SD-WAN Edge から Zscaler への自動 IPsec トンネルの作成に長い時間がかかることがあります。

    カスタマーが [Edge] > [デバイス設定 (Device Settings)] で Zscaler のサブロケーションを設定すると、これらの設定が Zscaler クラウドと同期するのに長い時間がかかる場合があります。これは、Zscaler クラウドが各サブロケーションのレコードを更新する必要があり、時間のかかるプロセスになる可能性があるためです。

    この問題は、Orchestrator の自動化フレームワークによって、IPsec トンネルの作成アクションとサブロケーションの作成アクションが自動化キューに登録されるために発生します。また、Edge WAN IP アドレスが変更されたときに、更新アクションを自動化キューに登録します。ただし、更新アクションの数が多いため、キュー内の項目の待機時間が長くなります。一部のカスタマー展開環境では、Edge WAN IP アドレスが 1 日で最大 4,000 回変更される場合があります(モバイル WAN リンクなど)。

  • 解決した問題 120398:パートナー ユーザーは、管理しているカスタマー エンタープライズの新しい設定プロファイルを作成できません。

    パートナー ユーザーがカスタマーの設定プロファイルを作成しようとすると、Orchestrator は、「オペレータ プロファイルのプロキシ エンタープライズ コンテキストが無効です (invalid proxy enterprise context for operator profile)」というエラーをスローします。この問題は、設定権限を持つパートナー ロールで発生します。

  • 解決した問題 121085:パートナー管理者が [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] > [サービス権限 (Service Permissions)] ページにアクセスしている場合、[システムのデフォルトにリセット (Reset to System Default)] オプションが想定どおりに動作しません。

    ユーザー ロールの権限のデフォルト設定がリストアされるため、[システムのデフォルトにリセット (Reset to System Default)] が選択されている場合に想定される動作は、すべてのカスタム ロールの権限パッケージが「非公開 (Unpublished)」状態に戻ることです。しかし、実際には、1 つ以上のカスタム パッケージが「公開 (Published)」状態のままになり、パートナー ユーザーは「公開 (Published)」状態のパッケージを変更または削除することができません。

  • 解決した問題 121118:エンタープライズ ユーザーには、VMware SASE Orchestrator で診断バンドルを生成するオプションや、パケット キャプチャを生成してダウンロードするオプションがありません。

    これは、すべてのエンタープライズ ユーザー ロール(スーパー ユーザーを含む)に当てはまります。エンタープライズ ユーザーには [SD-WAN] > [診断 (Diagnostics)] で次のオプションが表示されることが想定されます。

    1. 診断バンドルを生成する(ただしダウンロードはしない)。

    2. パケット キャプチャを生成してダウンロードする。

    しかし、表示されるオプションは [リモート診断 (Remote Diagnostics)][リモート アクション (Remote Actions)] のみです。

    この問題に対する修正を行わない Orchestrator でこの問題が発生した場合は、SD-WAN サポートに問い合わせて、診断バンドルの生成を依頼します。

  • 解決した問題 121336:Edge またはプロファイルの [設定 (Configure)] > [デバイス (Device)] ページで [Partner Gateway の割り当て (Partner Gateway Assignment)] が設定されていて、API 呼び出しを介して変更が行われた場合、「プロファイルの更新 (Profile Update)」イベントには常に Gateway が削除済みとして表示されます。

    これは単に表面的な問題であり、機能上の影響はありません。この問題は、[Gateway (Gateways)] フィールドが設定で廃止されたために発生します。

  • 解決した問題 121993:VMware SASE Orchestrator ユーザー インターフェイスで、VMware SD-WAN Edge の VLAN プロパティを編集するオプションがない場合があります。

    この問題は、Edge で使用されているすべての VLAN に影響するわけではありませんが、問題が発生すると、ユーザー インターフェイスで VLAN をクリックしても何も起こりません。

    この問題が修正されていない Orchestrator でこの問題が発生している場合は、SD-WAN サポートにお問い合わせください。

  • 解決した問題 121995:Orchestrator の [設定 (Configure)] > [アラート (Alerts)] ページで HA フェイルオーバー アラートがオフになっていても、カスタマーはこれらのアラートを受け取ります。

    エンタープライズ アラートが有効でも、HA フェイルオーバー アラートが有効になっていない場合、HA フェイルオーバー アラートがエンタープライズ ユーザーに送信されます。

  • 解決した問題 122193:[設定 (Configure)] > [Edge (Edges)] > [ファイアウォール (Firewall)] ページで、Edge のファイアウォール ルールを設定するときに、[ファイアウォール アクション (Firewall Action)] に対してユーザーは [許可 (Allow)] のみを選択できます。

    ユーザーが [ファイアウォール アクション (Firewall Action)] をクリックすると、ドロップダウン メニューが一瞬表示され、すぐに消えるため、ユーザーはデフォルトの [許可 (Allow)] から他のオプションに変更できません。

  • 解決した問題 122347:VMware SASE Orchestrator の新しいユーザー インターフェイスのサービス権限機能が設計どおりに動作しません。エンタープライズ ユーザーのサービス権限の一部として削除された権限が期待どおりに機能しませんでした。また、ユーザーが新しいサービスを作成しようとすると、モジュールに関連付けられていない権限が表示されます。

    エンタープライズ ユーザーのサービス権限の一部として削除された権限が期待どおりに機能しませんでした。たとえば、[リモート診断 (Remote Diagnostics)] > [フローのフラッシュ (Flush Flows)] は、権限がエンタープライズ ユーザーから削除された場合でも機能します。

    2 つ目の問題は、ユーザーが新しいサービスを作成しようとすると、モジュールに属していない権限がユーザー インターフェイスに表示される点です。たとえば、[SD-WAN] > [グローバル設定 (Global Settings)] を選択すると、ユーザーはほぼ同じオプションを受け取ります。

    2 つ目の問題に対しては、ユーザーはユーザー インターフェイスから必要な権限を手動で選択できます。

  • 解決した問題 122519:[設定 (Configure)] > [Edge/プロファイル (Edge/Profile)] > [デバイス (Device)] > [接続 (Connectivity)] ページで、ユーザーが VLAN を編集できない場合があります。

    設定でセグメント名が null であるため、VLAN エディタが開きません。これは、後方互換性の問題を回避するために、API でセグメント名を null にできるようにした結果です。しかし、新しいユーザー インターフェイスではこのセグメント名が想定されるため、エラーが発生します。この修正により、セグメント データから実際のセグメント名が取得され、セグメント名の問題が解決されました。

  • 解決した問題 123867:リンク メトリックとシリーズ API がエラーを返します。

    リンク メトリックまたはシリーズ API がメトリックのリストなしで呼び出されると、API は該当するすべてのメトリックを応答に追加する代わりに誤ってエラーを返します。

    この問題の修正が適用されていない Orchestrator では、返されるメトリック フィールドのリストを指定して API 要求を送信する必要があります。 

  • 解決した問題 124073:AES-256 暗号化付きの冗長 Gateway トンネルを使用して Gateway 経由の Non SD-WAN Destination を設定すると、スタンバイ冗長 Gateway トンネルは引き続き AES-128 暗号化を使用します。

    ユーザーが Orchestrator ユーザー インターフェイスで [設定 (Configure)] > [ネットワーク サービス (Network Services)] に移動して、冗長トンネルを持つ NSD の暗号化アルゴリズムを AES-256 に変更する場合があります。API 応答に基づいて、冗長トンネルは引き続き AES-128 を使用します。これはトンネル暗号化の変更を処理する API の不具合の結果です。

  • 解決した問題 124092:[オーバーレイ フロー制御 (Overlay Flow Control)] 画面にセグメント名が表示されません。

    セグメント名をフィルタリングしようとしても、結果の一部としてセグメント名が入力されません。

  • 解決した問題 124129:拡張ファイアウォール サービス (EFS) の可用性を制御するシステム プロパティが True に設定されている場合、VMware SASE Orchestrator に追加された新しいカスタマー エンタープライズでは、デフォルトで EFS が有効になっています。

    システム プロパティ enterprise.capability.enableATP は、以前の 5.2.0 ビルドではデフォルトで True に設定されていました。このプロパティが True に設定されている場合、新しいカスタマー エンタープライズの [グローバル カスタマー (Global Customer)] 設定を確認すると、EFS がデフォルトで有効になっています。すべての新しいカスタマー エンタープライズで想定される動作は、EFS がデフォルトで有効にならないことです。その場合、この機能を明示的なアクションとして有効にする必要があります。

    この問題は、enterprise.capability.enableATP プロパティをデフォルトで False に設定することで修正されました。

  • 解決した問題 124568:ディザスタ リカバリ (DR) トポロジを使用して展開された VMware SASE Orchestrator の場合、まれにオペレータ ユーザーは DR が停止し、アクティブ Orchestrator とスタンバイ Orchestrator 間のレプリケーションが一時的に失われていることに気付くことがあります。

    この問題は DR のみに限定されているため、ユーザー エクスペリエンスには影響しません。[DR] ページには、STANDBY_RUNNING ではなくエラー状態が表示されます。これは断続的なエラーで、自動的に復旧します。

  • 解決した問題 125082:ユーザーが VLAN 上で上書きされた DNS サーバの IP アドレスを使用して VMware SD-WAN Edge を設定し、Edge が使用しているプロファイルのインターフェイス設定を変更すると、Edge VLAN に DNS サーバの IP アドレスが存在しなくなります。

    ユーザー インターフェイスは DHCP セクション内で上書きフラグを送信しないため、プロファイルの変更によって DHCP セクションの上書きがトリガされます。

  • 解決した問題 125456:VNF が使用されているカスタマー エンタープライズの場合、ユーザーが Edge デバイスの設定を変更しようとすると、変更を保存しようとしたときに VMware SASE Orchestrator は変更を拒否します。

    設定の変更は、既存の静的ルートにコメントを追加する程度の軽微なものである場合があり、VNF が有効になっている場合、Orchestrator ユーザー インターフェイスは変更を保存しません。ユーザー インターフェイス画面の下部に「スクリプト挿入エラー (Script injection error)」バナーが表示されることがあります。

    この問題が修正されていない Orchestrator では、回避策として、VNF を一時的に無効にしてから設定の変更を保存することです。変更が正常に保存されると、ユーザーは VNF を再度有効にできます。

  • 解決した問題 127281:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] ページで、ルーティングされたサブインターフェイスのスタティック設定が OFC ページにコネクト ルートとして表示されません。

    ルーティングされた非 WAN インターフェイスまたはサブインターフェイスでスタティック設定が行われる場合、コネクト ルートとして OFC ページに表示されることが期待されます。ただし、これはサブインターフェイスの親インターフェイスでも IPv6 が有効になっていない IPv6 設定を使用するサブインターフェイスでは機能しません。

  • 解決した問題 127727:新しいクラウド セキュリティ サービス (CSS) を作成する場合、ユーザーは [ドメスティック プリファレンス (Domestic Preference)] オプションを設定できません。

    ユーザーが [ドメスティック プリファレンス (Domestic Preference)] チェック ボックスを有効にして設定を保存すると、Orchestrator は認証情報を検証し、「変更が正常に保存されました! (Changes saved successfully!)」というメッセージを表示します。ただし、保存後 CSS プロファイルを再度開くと、[ドメスティック プリファレンス (Domestic Preference)] チェック ボックスが選択されていません。

  • 解決した問題 128310:VMware SASE Orchestrator ユーザーの環境で、Orchestrator のデータベース サービスの問題により、全体的な速度低下と一部の API の障害が発生する可能性があります。その他の副次的な影響としては、ユーザー インターフェイスに SD-WAN Gateway/Edge がオフラインで表示されたり、Orchestrator ユーザー インターフェイスを介して行われた設定の変更がターゲット SD-WAN Edge にプッシュされなかったり、レポート機能が失われたりすることがあります。

    この問題はすべて、Orchestrator のデータベース サービスが「開いているファイルが多すぎます (too many open files)」というエラーで失敗するために発生します。このエラーは、VMware SASE Orchestrator のオペレータ ユーザーがログを介して確認できます。ユーザー インターフェイスを介して VMware SASE Orchestrator にアクセスしているエンタープライズ ユーザーまたはパートナー ユーザーの環境で、速度の低下と断続的な API 障害が発生し、ユーザー インターフェイスにエラー メッセージが表示されます。

  • 解決した問題 128652:ディザスタ リカバリ (DR) トポロジを使用して展開された VMware SASE Orchestrator の場合、Orchestrator をアップグレードすると、DR がすぐに失敗します。

    スタンバイ Orchestrator のレプリケーション設定に、アクティブ Orchestrator との同期に不可欠な複数のデータベースがないため、アップグレード後に DR が失敗します。

  • 解決した問題 128753:カスタマーがアドレス指定に DHCP を使用するサブインターフェイスを設定し、ユーザー定義の WAN オーバーレイを作成すると、ユーザーは送信元 IP アドレスとネクストホップの IP アドレスを設定せずに設定を保存できません。

    これにより、必須ではない送信元とネクスト ホップの IP アドレスも設定しない限り、別の WAN オーバーレイを追加できなくなります。

  • 解決した問題 129232:ユーザーは、VMware SASE Orchestrator でパスワードの自己リセットを実行できません。

    ユーザーがブラウザでパスワードの自己リセット リンクに直接アクセスしようとすると、パスワードのリセット ページではなくログイン ページにリダイレクトされます。

  • 解決した問題 129412:ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページの [IPv4 DHCP サーバ (IPv4 DHCP Server)] セクションで、表示されるアドレスの数が正確でない場合があります。

    この動作は、ユーザーが後で元の DHCP 値を編集してアドレスの数を増やし、ユーザー インターフェイスには少ない古いアドレス数が表示され続ける場合に発生します。

  • 解決した問題 129494:[カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [サービス設定 (Service Configuration)] > [SD-WAN] ページで、ユーザーがサービス設定を編集するときに、シングル サインオン (SSO) 認証または Edge Network Intelligence (ENI) がカスタマー向けに設定されていない場合でも、毎回ドメイン名を追加する必要があります。

    カスタマーに対してシングル サインオン (SSO) 認証または Edge Network Intelligence (ENI) が設定されていない場合でも、この操作を実行する必要があります。カスタマーが ENI または SSO を使用していない場合、ドメイン名は必須ではありません。

  • 解決した問題 129522:[グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [BGP と BFD の設定 (Configure BGP and BFD)] ページで、31 ビット プレフィックスを持つアドレスをハンドオフ インターフェイスのローカル IP アドレス値として使用することができません。

    この問題は、Orchestrator が RFC 3021 ネットワーク(/31 ネットワーク)をサポートしていないために発生します。

  • 解決した問題 129584:[設定 (Configure)] > [Edge (Edges)] > [ビジネス ポリシー (Business Policy)] ページで、ユーザーが既存のビジネス ポリシー ルールを編集しても、Orchestrator ユーザー インターフェイスは変更を保存した後でも [宛先 (Destination)] フィールドの再設定された値を更新しません。

    たとえば、[宛先 (Destination)] が [IP アドレス (IP Address)] に設定されている既存のビジネス ポリシー ルールの場合、ユーザーが宛先の値を [任意 (ANY)] に変更し、変更を保存すると、ルールの [宛先 (Destination)] フィールドに加えられた変更はユーザー インターフェイスに反映されません。ルールに [任意 (Any)] ではなく [IP アドレス (IP Address)] に設定された [宛先 (Destination)] フィールドが引き続き表示されます。

  • 解決した問題 129662:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [インターフェイス (Interfaces)] ページを見ても、VMware SD-WAN インターフェイスが有効か無効かを確認できません。

    VMware SASE Orchestrator ユーザー インターフェイスでは、有効化されたインターフェイスと無効化されたインターフェイスの色が区別されないため、カスタマーは無効化されたサブインターフェイスを特定できません。

  • 解決した問題 129926:ユーザーがシリアル番号のない Edge をプロビジョニングすると、Edge のアクティベーションに失敗します。

    ユーザーがシリアル番号なしで Edge をプロビジョニングし、Orchestrator がそれを自動検出できるようにする必要があります。

  • 解決した問題 129958:ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページの [IPv4 DHCP サーバ (IPv4 DHCP Server)] セクションで、最初に一般 VLAN を上書きしない限り、アドレスの数を変更することができません。

    以前は、DHCP や OSPF などの Edge VLAN のサブセクションを上書きし、プロファイルから残りの設定を受け入れることができました。現在の場合は、ユーザーは VLAN 全体を上書きして、DHCP の部分を編集できるようにする必要があります。

  • 解決した問題 130153:サポート ロールを持つエンタープライズ ユーザーの場合、[監視 (Monitor)] > [Edge (Edges)] > [Edge の選択 (Select Edge)] > [ショートカット (Shortcuts)] > [リモート アクション (Remote Actions)] メニューで [サービスの再起動 (Restart Service)] オプションを使用できません。

    これにより、[監視 (Monitor)] > [Edge (Edges)] ページのショートカット メニューからサポート ロール ユーザーが Edge サービスの再起動を実行できなくなります。

  • 解決した問題 130732:ルートのリストの [SD-WAN] > [オーバーレイ フロー制御 (Overlay Flow Control)] で、サブネットの「アドレスを含む (contains address)」フィルタが適用されると、エラーがスローされる場合があります。

    次のようなエラーが表示されます。「フィルタの適用中にエラーが発生しました (Error occurred while applying filters)」。このエラーは、「アドレスを含む (contains address)」フィルタが適用され、他のフィルタが選択されていない場合に頻繁に発生します。

    回避策として、「サブネットにアドレスを含む (subnet contains address)」フィルタとともに「segmentId」フィルタも選択します。

  • 解決した問題 131299:ユーザー インターフェイスの [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] ページで、スタティック ルートを使用する Gateway 経由の Non SD-WAN Destination のセグメントを変更すると、OFC テーブルに更新されたスタティック ルートが表示されません。

    代わりに、OFC テーブルには、以前に選択したセグメントを使用した結果が表示されます。そのため、実際には適用された設定の変更が、適用されなかったとユーザーが誤解する可能性があります。

  • 解決した問題 131544:[監視 (Monitor)] > [Edge] > [リンク (Links)] で LTE モデムを使用する Edge を確認すると、このリンク タイプにギャップが生じていることがあります。

    LTE モデムがダウンすると、LTE リンク統計シグナル強度フィールドで「エラー:モデムが見つかりません (error: couldn't find modem)」エラーが生成され、この文字列が Orchestrator への転送用に変換されるときに Edge で例外が発生します。Edge 管理サービスはこれを Orchestrator に送信しようとしますが、Orchestrator はこの文字列を解釈できず、エラーをスローします。その結果、Orchestrator はこの期間のリンク統計情報を表示しません。

  • 解決した問題 131789:組織のシングル サインオン (SSO) を設定するときに、ID プロバイダ (IdP) の応答にロール情報が含まれている場合でも、ユーザーが Orchestrator にログインできません。

    IdP がネストされた JSON 構造でロール情報を送信する場合、Orchestrator はシングル サインオン (SSO) 経由でログインするユーザーのロールを照合できません。バージョン 5.2.2.0 以降では、ネストされた JSON 構造に存在する場合でも、Orchestrator は SSO ユーザーのロールを参照して、照合することができます。

    この問題の修正が適用されていない Orchestrator でこの問題が発生した場合の回避策は、ネストされた構造ではなく、ロールの詳細を即時レベルで送信するように IdP を設定することです。

  • 解決した問題 133201:Orchestrator ユーザー インターフェイスの [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] ページで、ユーザーがカスタム ロールを作成または編集し、PCAP バンドル権限の「Delete」パラメータを変更しようとすると、ユーザー インターフェイスによって PCAP バンドルの他のすべてのパラメータも変更されます。

    たとえば、ユーザーが PCAP バンドルの Deletion を無効にすることを選択した場合、ユーザー インターフェイスでは、ReadUpdate、および Create パラメータも無効になります(ユーザーがそれらのパラメータを有効のままにしたい場合でも)。

  • 解決した問題 133642:ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [VLAN] ページで、Edge の VLAN がデフォルトで自動的に [上書き (Override)] に設定され、ユーザーはこの設定を無効にできません。

    想定される動作として、プロファイル レベルで VLAN を作成した場合、[Edge 固有のルール (Edge Override)] 設定がデフォルトで無効になり、ユーザーは Edge ごとに [Edge 固有のルール (Edge Override)] を有効にすることを選択する必要があります。

既知の問題

リリース 5.2.0 での未解決の問題。

Edge/Gateway の既知の問題

  • 問題 14655:

    SFP アダプタを接続または取り外すと、Edge 540、Edge 840、Edge 1000 でデバイスが応答を停止し、物理的な再起動が必要になる場合があります。

    回避策:Edge を物理的に再起動する必要があります。これは、Orchestrator で [リモート アクション (Remote Actions)] > [Edge の再起動 (Reboot Edge)] を使用するか、Edge の電源を入れ直すことで実行できます。

  • 問題 25504:

    コストが 255 より大きいスタティック ルートで、ルートの順序設定が予期しない結果になる可能性があります。

    回避策:0 と 255 の間のルート コストを使用します。

  • 問題 25595:

    WAN オーバーレイ上の静的 SLA への変更を適切に機能させるために、再起動が必要になる場合があります。

    回避策:WAN オーバーレイからの静的 SLA の追加と削除後、Edge を再起動します。

  • 問題 25742:

    VMware SD-WAN Gateway に対する最大容量が Gateway に接続されていないプライベート WAN リンクの容量よりも少ない場合でも、アンダーレイが考慮されたトラフィックの上限がこの最大容量に制限されます。

  • 問題 25758:

    USB WAN リンクが、ある USB ポートから別の USB ポートにスイッチされると、VMware SD-WAN Edge が再起動されるまで、正常に更新されない場合があります。

    回避策:1 つのポートから別のポートに USB WAN リンクを移動した後に Edge を再起動します。

  • 問題 25885:

    Partner Gateway(200 BGP が設定された VRF など)で大規模な設定の更新があると、VMware SD-WAN Gateway を経由する一部のトラフィックで遅延が約 2 ~ 3 秒増加する可能性があります。

    回避策:回避策はありません。

  • 問題 25921:

    ハブに 3,000 個のブランチ Edge が接続されている場合、VMware SD-WAN ハブの高可用性のフェイルオーバーにかかる時間が予想よりも長くなります(最大 15 秒)。

    回避策:回避策はありません。

  • 問題 25997:

    スイッチ ポートに変換されたルーティング インターフェイスでトラフィックを適切に渡すために、VMware SD-WAN Edge で再起動が必要になる場合があります。

    回避策:設定を変更した後で、Edge を再起動します。

  • 問題 26421:

    クラスタへのトンネルを確立するには、すべてのブランチ サイトのプライマリ Partner Gateway も VMware SD-WAN ハブ クラスタに割り当てる必要があります。

    回避策:回避策はありません。

  • 問題 28175:

    NAT IP アドレスが VMware SD-WAN Gateway インターフェイスの IP アドレスと重複していると、ビジネス ポリシー NAT が失敗します。

    回避策:回避策はありません。

  • 問題 31210:

    VRRP:ARP が VRRP の仮想 IP アドレスに対して LAN クライアントで解決されません。これは、VMware SD-WAN Edge がプライマリで LAN インターフェイスでグローバルでない CDE セグメントが実行されている場合に発生します。

    回避策:回避策はありません。

  • 問題 32731:

    ルートを無効にすると、OSPF 経由で広報された条件付きデフォルト ルートが正しく戻されないことがあります。

    回避策:ルートを再度有効にしてから再度無効にすると、正常に取り消されます。

  • 問題 32960:

    有効化された VMware SD-WAN Edge のローカル Web ユーザー インターフェイスで、インターフェイスの「自動ネゴシエーション」と「速度」の状態が誤って表示されることがあります。

    回避策:Orchestrator ユーザー インターフェイスで [リモート診断 (Remote Diagnostics)] > [インターフェイスの状態 (Interface Status)] を参照してください。

  • 問題 32981:

    DPDK が設定されたポートのハードコーディングの速度とデュプレックスで、DPDK をオフにする必要があるため、設定を有効にするために VMware SD-WAN Edge の再起動が必要になる場合があります。

    回避策:この問題の回避策はありません。

  • 問題 34254:

    Zscaler CSS が作成され、グローバル セグメントで FQDN/PSK が設定されている場合、これらの設定が非グローバル セグメントにコピーされて、IPsec トンネルが Zscaler CSS に形成されます。

  • 問題 35778:

    1 つのインターフェイス上に複数のユーザー定義 WAN リンクがある場合、これらの WAN リンクのうちの 1 つのみが Zscaler への GRE トンネルを持つことができます。

    回避策:Zscaler への GRE トンネルを構築する必要がある WAN リンクごとに、異なるインターフェイスを使用します。

  • 問題 36923:

    ハブとしてクラスタに接続されている VMware SD-WAN Edge の NetFlow インターフェイスの説明で、そのクラスタ名が正しく更新されない場合があります。

  • 問題 38682:

    DPDK が設定されたインターフェイスで DHCP サーバとして動作している VMware SD-WAN Edge が、接続されているすべてのクライアントに対して「新しいクライアント デバイス」イベントを適切に生成しないことがあります。

  • 問題 38767:

    Zscaler に GRE トンネルが設定されている WAN オーバーレイが自動検出からユーザー定義に変更されると、次に再起動するまで、古いトンネルが残ることがあります。

    回避策:Edge を再起動して、古いトンネルをクリアします。

  • 問題 39374:

    VMware SD-WAN Edge に割り当てられた VMware SD-WAN Partner Gateway の順序を変更すると、帯域幅のテストに使用されるローカル ゲートウェイとしてゲートウェイ 1 が正しく設定されない場合があります。

  • 問題 39608:

    リモート診断「Ping テスト」の出力で、正しい結果が表示される前に、無効な内容が一時的に表示されることがあります。

    回避策:この問題の回避策はありません。

  • 問題 39624:

    親インターフェイスが PPPoE で設定されている場合、サブインターフェイス経由の ping が失敗することがあります。

    回避策:この問題の回避策はありません。

  • 問題 39753:

    動的なブランチ間 VPN をオフに切り替えると、現在、動的なブランチ間を使用して送信されている既存のフローが停止する可能性があります。

    回避策:メンテナンス期間中にのみ動的なブランチ間 VPN を無効にしてください。

  • 問題 40421:

    スイッチ ポートとして設定されたインターフェイスを使用して VMware SD-WAN Edge を通過するときに、traceroute でパスが表示されません。

  • 問題 40096:

    アクティベーション済みの VMware SD-WAN Edge 840 が再起動された場合、リンクが点灯し、VMware SD-WAN Orchestrator でポートが「稼動中」と表示されていても、Edge に接続されている SFP モジュールがトラフィックの通過を停止する可能性があります。

    回避策:SFP モジュールを取り外して、ポートに再度接続します。

  • 問題 42278:

    特定のタイプのピアの設定ミスにより、VMware SD-WAN Gateway が IKE 初期化メッセージを非 SD-WAN ピアに継続的に送信することがあります。この問題により、Gateway へのユーザー トラフィックが中断されることはありません。ただし、Gateway のログに IKE エラーが大量に記録されて、有用なログ エントリが確認しづらくなる可能性があります。

  • 問題 42872:

    ハブ クラスタが関連付けられているハブ プロファイルでプロファイルの隔離を有効にしても、ルーティング情報ベース (RIB) からハブ ルートが取り消されません。

  • 問題 43373:

    複数の VMware SD-WAN Edge から同じ BGP ルートを学習していて、このルートをオーバーレイ フロー制御で優先から対象終了に移動すると、その Edge が広報 リストから削除されず、広報されたままになります。

    回避策:VMware SD-WAN Orchestrator の分散コスト計算を有効にします。

  • 問題 44995:

    ルートがハブ クラスタから戻された場合に、OSPF ルートが VMware SD-WAN Gateway および VMware SD-WAN スポーク Edge から取り消されません。

  • 問題 45189:

    送信元 LAN 側 NAT が設定されている場合、NAT サブネットのスタティック ルートを設定しなくても、VMware SD-WAN スポーク Edge からハブ Edge へのトラフィックが許可されます。

  • 問題 45302:

    VMware SD-WAN ハブ クラスタで、1 つのハブが、そのハブとその割り当てられているスポーク Edge の間で共通のすべての VMware SD-WAN Gateway への接続が 5 分より長い間失われた場合、まれに、スポークがハブ ルートを 5 分後に保持できなくなるという状態になることがあります。この問題は、ハブが Gateway との接続を回復したときに自動的に解消されます。

  • 問題 46053:

    ネイバーがアップリンク ネイバーに変更されても、BGP プリファレンスがオーバーレイ ルートに対して自動修正されません。

    回避策:Edge サービスを再起動すると、この問題は修正されます。

  • 問題 46137:

    3.4.x ソフトウェアを実行している VMware SD-WAN Edge で、Edge が GCM 用に設定されていても、AES-GCM 暗号化を使用したトンネルが開始されません。

    回避策:カスタマーが AES-256 を使用している場合は、Edge を 4.x リリースにアップグレードする前に、Orchestrator から GCM を明示的に無効にする必要があります。すべての Edge で 4.x リリースが実行されている状態になったら、カスタマーは AES-256-GCM または AES-256-CBC を選択できます。

  • 問題 46216:

    ピアが AWS インスタンスの Gateway または Edge 経由の Non SD-WAN Destination で、フェーズ 2 の再キー化をピアが開始すると、フェーズ 1 の IKE も削除されて再キー化が強制されます。これは、トンネルが破棄されてから再構築されることを意味し、その結果トンネルの再構築中にパケット ロスが発生します。

    回避策:トンネルの破棄を回避するには、Gateway または Edge 経由の Non SD-WAN Destination または CSS IPsec の再キー化タイマーを 60 分未満に設定します。これにより、AWS が再キー化を開始できなくなります。

  • 問題 46391:

    VMware SD-WAN Edge 3800 の場合、SFP1 および SFP2 のインターフェイスそれぞれにマルチレート SFP (1/10G) の問題があり、これらのポートで使用できなくなります。

    回避策:ナレッジベースの記事VMware SD-WAN SupportedSFP Module List (79270)に従って、単一レートの SFP を使用してください。マルチレート SFP は、SFP3 と SFP4 で使用できます。

  • 問題 47664:

    ハブを介したブランチ間 VPN が設定されていないハブとスポークの設定では、L3 スイッチ/ルーターのサマリ ルートを使用してブランチ間トラフィックを戻そうとすると、ルーティング ループが発生します。

    回避策:ブランチ間 VPN を有効にするようにクラウド VPN を設定し、[VPN にハブを使用 (Use Hubs for VPN)] を選択します。

  • 問題 47681:

    VMware SD-WAN Edge の LAN 側のホストが、Edge の WAN インターフェイスと同じ IP アドレスを使用している場合、LAN ホストから WAN への接続が機能しません。

  • 問題 48530:

    VMware SD-WAN Edge 6x0 モデルで、3 つの速度 (10/100/1000 Mbps) の Copper SFP の自動ネゴシエーションが実行されません。

    回避策:Edge 520/540 は 3 つの速度の Copper SFP をサポートしていますが、このモデルは 2021 年の第 1 四半期に販売終了としてマークされています。

  • 問題 48597:ピアへの 2 つのパスのいずれかが停止した場合、マルチホップ BGP ネイバーシップは稼動状態ではなくなります。

    複数のパスがあり、そのうちの 1 つがダウンしているピアを持つマルチホップ BGP ネイバーシップがある場合、ユーザーは BGP ネイバーシップがダウンして、他の使用可能なパスを使用して起動しないことに気付きます。これには、ローカルの IP ループバック ネイバーシップも含まれます。

    回避策:この問題の回避策はありません。

  • 問題 50518:

    PKI が設定された VMware SD-WAN Gateway で、6,000 個を超える PKI トンネルが Gateway に接続しようとすると、受信 SA が削除されないため一部のトンネルが起動しない場合があります。

    注:

    プリシェアード キー (PSK) 認証を使用するトンネルには、この問題はありません。

  • 問題 51436:LTE モデムを使用して VMware SD-WAN Edge を展開しているときに、拡張された高可用性トポロジを使用しているサイトでは、サイトが「スプリット ブレイン」状態になった場合、高可用性のフェイルオーバーに 5~6 分かかります。

    スプリット ブレイン状態からのリカバリの一環として、アクティブ Edge 上で LAN ポートが停止し、ポートが停止している間、およびサイトがリカバリできるようになるまで LAN トラフィックに影響が生じます。

    回避策:この問題の回避策はありません。

  • 問題 52955:ステートフル DHCP で DAD 障害が発生した後、Edge から DHCP の拒否が送信されず、DHCP の再バインドが再開されません。

    DHCPv6 サーバが、DAD チェック中にカーネルによって重複として検出されたアドレスを割り当てた場合、DHCPv6 クライアントは拒否を送信しません。これにより、インターフェイス アドレスが DAD チェックの失敗としてマークされ、使用されないため、トラフィックのドロップが発生します。これにより、ネットワーク内でトラフィックがループすることはありませんが、トラフィックのブラックホールが発生します。

    回避策:この問題の回避策はありません。

  • 問題 53219:VMware SD-WAN ハブ クラスタの再調整後、いくつかのスポーク Edge で RPF インターフェイス/IIF が正しく設定されていない場合があります。

    影響を受けるスポーク Edge では、マルチキャスト トラフィックが影響を受けます。クラスタの再調整後、一部のスポーク Edge が PIM join の送信に失敗します。

    回避策:この問題は、影響を受けるスポーク Edge が、Edge サービスを再起動するまで続きます。

  • 問題 53934:VMware SD-WAN ハブ クラスタが設定されているエンタープライズで、プライマリ ハブに LAN 側のマルチホップ BGP ネイバーシップが含まれている場合、LAN 側で障害が発生すると、またはすべてのセグメントで BGP が設定されていないと、カスタマーはスポーク Edge でトラフィックのドロップを経験することがあります。

    ハブ クラスタでは、プライマリ ハブにピア デバイスとのマルチホップ BGP ネイバーシップがあり、ルートを学習します。BGP ネイバーシップが確立されているハブの物理インターフェイスが停止した場合、BGP ビューが空になっているにもかかわらず BGP LAN ルートがゼロにならない場合があります。これにより、ハブ クラスタの再調整が行われなくなる可能性があります。この問題は、BGP がすべてのセグメントで設定されておらず、1 つ以上のマルチホップ BGP ネイバーシップがある場合にも発生する可能性があります。

    回避策:LAN 側に障害がある(または BGP が有効化されていない)ハブを再起動します。

  • 問題 57210:VMware SD-WAN Edge が正常に動作していて、インターネットにアクセスできる場合でも、ローカル ユーザー インターフェイスの [概要 (Overview)] ページの LED が「赤色」で表示されます。

    Edge のローカル ユーザー インターフェイスは、Google の DNS リゾルバ (8.8.8.8) を介して既知の名前を解決できるかどうかによって Edge の接続を決定します。何らかの理由で実行できない場合は、オフラインと見なされ、LED が赤色で表示されます。

    回避策:8.8.8.8 への DNS トラフィックが宛先に到達し、正常に解決されることを確認する以外に、この問題の回避策はありません。

  • 問題 61543:複数の 1:1 NAT ルールが同じ内部 IP を持つ異なるインターフェイス上で設定されている場合、インバウンド トラフィックは 1 つのインターフェイスで受信でき、同じフローの送信パケットは異なるインターフェイス経由でルーティングできます。

    外部から内部への NAT フローの場合、1:1 NAT ルールは、パケットが受信される外部 IP およびインターフェイスに対して照合されます。同じフローの送信パケットの場合、VMware SD-WAN Edge は、内部 IP を比較して NAT ルールを再度照合しようとします。送信トラフィックは、「送信トラフィック」が設定されている最初の一致したルールで設定されたインターフェイスを介してルーティングできます。

    回避策:特定の内部 IP アドレスを使用して 1:1 NAT ルールを 1 つのみ設定する以外に、この問題の回避策はありません。

  • 問題 65560:カスタマーから PE(プロバイダ Edge)デバイスへのトラフィックが失敗します。

    ハンドオフ設定でタグ タイプが「なし」と選択されている場合、Partner Gateway とプロバイダ Edge 間の BGP ネイバーシップが確立されません。これは、タグ タイプが「なし」の場合、Orchestrator のハンドオフ設定ではなく、/etc/config/gatewayd から ctag、stag 値が選択されるためです。

    回避策:/etc/config/gatewayd の vrf_vlan->tag_info で、ctag、stag の値をそれぞれ 0 に更新します。vc_procmon を再起動します。

  • 問題 67879:ユーザーが WAN インターフェイス設定で WAN オーバーレイ設定を自動検出からユーザー定義に変更すると、クラウド セキュリティ サービス (CSS) トンネルが削除されます。

    変更を保存した後、カスタマーがトンネルをダウンしてから、再び起動するまで、CSS トンネルは起動しません。WAN 設定を変更すると、CSS トンネルがダウンし、CSS セットアップが再度解析されます。ただし、場合によっては、nvs_config>num_gre_links が 0 になり、CSS トンネルが起動に失敗することがあります。

    回避策:CSS 設定を無効にしてから再度有効にすると、CSS トンネルが起動します。

  • 問題 68057:DHCPv6 リリース パケットは、WAN インターフェイス アドレス モードが DHCP ステートフルから静的 IPv6 アドレスに変更されても、VMware SD-WAN Edge から送信されず、リースは有効期限に達するまでアクティブのままになります。

    DHCPv6 クライアントは、設定の変更が行われたときに解放されないリースを所有しています。リースは、DHCPv6 サーバで有効期間が切れて削除されるまで有効なままです。

    回避策:リースは有効期間までアクティブなままとなり、この問題を修正する方法はありません。

  • 問題 68851:VMware SD-WAN Edge と VMware SD-WAN Gateway にそれぞれ同じ TCP Syslog サーバが設定されている場合、Edge から Syslog サーバへの TCP 接続は確立されません。

    Edge と Gateway がそれぞれ同じ TCP サーバを持ち、Edge からの Syslog パケットが Gateway 経由でルーティングされる場合、Syslog サーバは TCP リセットを Edge に送信します。

    回避策:Gateway 経由でルーティングする代わりに、Edge から直接 Syslog パケットを送信するか、Edge と Gateway に別の Syslog サーバを設定します。

  • 問題 69284:Edge が HA 設定で VNF をデプロイし、リリース 4.x を使用している高可用性トポロジを使用しているサイトで、これらの HA Edge が HA VNF がサポートされていない 3.4.x リリースにダウングレードされてから 4.5.0 にアップグレードされた場合、HA VNF が再度有効化されると、スタンバイ Edge VNF が起動しません。

    HA VNF ペアが、VNF-HA をサポートするバージョン(リリース 4.0 以降)から、Orchestrator で VNF が設定されていて、VNF-HA(リリース 4.0 以降)をサポートしないリリースにダウングレードされた場合、スタンバイ Edge の VNF 状態は、SNMP を介してダウンと通知されます。この問題は、Edge が VNF-HA をサポートするバージョンにアップグレードされ、Orchestrator で再度設定されている場合に発生します。

    回避策:Edge が VNF をサポートしていないバージョンにダウングレードされている HA 設定の場合は、まず VNF を無効にする必要があります。

  • 問題 72358:VMware SD-WAN Orchestrator DNS 名の IP アドレスが変更されると、VMware SD-WAN Gateway の管理プレーン プロセスで DNS 名が正しく解決されず、Gateway は Orchestrator に接続できなくなります。

    Gateway の管理プロセスは、Orchestrator の DNS 名の DNS 解決を定期的にチェックし、

    最近変更されたかどうかを確認することで、Gateway が正しいホストに接続できるようにします。DNS 解決コードに問題があるため、これらの解決チェックはすべて失敗し、Gateway は古いアドレスを引き続き使用するため、Orchestrator に接続できなくなります。

    回避策:この問題が解決されるまで、オペレータ ユーザーは Orchestrator の IP アドレスを変更しないでください。Orchestrator の IP アドレスを変更する必要がある場合は、その Orchestrator に接続しているすべての Gateway を再度有効化する必要があります。

  • 問題 77541:IPv6 をサポートする USB モデムを取り外して、VMware SD-WAN Edge USB インターフェイスに再挿入すると、IPv6 アドレスが USB インターフェイスにプロビジョニングされないことがあります。

    これは、ModemManager アプリケーションで管理される USB モデムではなく、IP ベースの USB モデムに影響します。ほとんどの Inseego モデムは IP ベースであり、Inseego は VMware SASE が推奨するモデム メーカーであるため、これは重要です。IP ベースではなく、ModemManager を使用し、IPv6 をサポートする USB モデムは、プラグ アウトとプラグ インのシナリオでは問題ありません。

    回避策:USB モデムが Edge の USB ポートに再挿入された後、Edge を再起動する(または電源を切って入れ直す)必要があります。再起動後、Edge はモデムの IPv6 アドレスを取得します。

  • 問題 81852:L7 健全性チェックをオンにした GRE トンネルを使用する Zscaler タイプのクラウド セキュリティ サービス (CSS) を使用している VMware SD-WAN Edge の場合、その Edge をリリース 5.0.0 にアップグレードすると、場合によっては L7 健全性チェック エラーが発生することがあります。

    これは通常、ソフトウェアのアップグレード中または起動時に発生します。GRE トンネルを使用した CSS の L7 健全性チェックがオンになっている場合、ソケットの getaddress エラーに関連するエラー メッセージが表示されることがあります。観察されたエラーは断続的に発生し、一貫性がありません。このため、L7 健全性チェックのプローブ メッセージは送信されません。

    回避策:この修正を行わない場合、問題を修正するには、ユーザーが L7 健全性チェックの設定をオフにしてから再度オンにする必要があり、これにより、この機能は想定どおりに動作します。

  • 問題 82184:Edge リリース 5.0.0 を実行している VMware SD-WAN Edge で、Edge の br-network IPv4/IPv6 アドレスに対して traceroute または traceroute6 を実行すると、UDP プローブを使用したときに traceroute が適切に終了しません。

    デフォルト モード(UDP プローブ)が使用されている場合、Edge の br-network IPv4/IPv6 アドレスへの traceroute または traceroute6 が適切に機能しません。

    回避策:traceroute および traceroute6 で -I オプションを使用して ICMP プローブを使用すれば、br-network IPv4/IPv6 アドレスへの traceroute が想定どおりに動作します。

  • 問題 85402:Partner Gateway が設定された BGP を使用しているカスタマー エンタープライズの場合、一部の BGP ネイバーシップがダウンし、カスタマー トラフィックの問題が発生する場合があります。

    カスタマーが Edge および Gateway との BGP ピアリングを持つルーター上で最大プレフィックスを設定している場合、BGP セッションがルーターによってドロップされる場合があります。

    たとえば、ルーターの BGP が最大「n」個のプレフィックスのみを受信するように設定されているが、Edge と Gateway にはフィルタが存在しない場合に広報される「n」個を超えるプレフィックスがある場合です。Orchestrator で BGP フィルタ設定が変更された場合、アウトバウンド方向で許可されるプレフィックスの総数が「n」個未満であっても、フィルターが適用される前に「n」個を超えるプレフィックスがピアに送信される問題が発生します。これにより、ルーターがセッションを破棄します。

    回避策:この問題(プレフィックスの最大数に到達)が原因で BGP がダウンした場合は、CLI を使用してピアで BGP をフラップします(FRR/Cisco の場合は、「neighbor x shut」に続いて「no neighbor x shut」)。BGP は、ピアに広報される必要な数のプレフィックスのみを生成します。

  • 問題 92481:VMware SD-WAN Edge の WAN インターフェイスが VMware SASE Orchestrator で無効化されている場合でも、SNMP はインターフェイスを「稼動中 (UP)」として報告します。

    インターフェイス出力の主要なデバッグ プロセスに、Edge WAN インターフェイス(Edge 6x0 または 3x00 モデルの GE3 や GE4 など)の物理ポートの詳細が含まれていません。その結果、SNMP がそれらのインターフェイスをポーリングすると、インターフェイスの設定に関係なく、稼動中という結果が常に返されます。

    回避策:この問題の回避策はありません。

  • 問題 93141:高可用性トポロジを使用して展開されたサイトで、HA Edge ペアのアップストリームにある L2 スイッチを使用しているカスタマーの場合、実際のループがないにもかかわらず、スイッチ ログに L2 トラフィック ループの証拠が記録されることがあります。

    この問題は、HA Edge がインターフェイスの実際の MAC アドレスではなく仮想 MAC アドレスで HA インターフェイス ハートビートを Orchestrator に送信することが原因です。これは、HA Edge がその MAC ファイルに仮想 MAC アドレスを格納するために発生します。その結果、接続された L2 スイッチは、2 つの異なる Edge インターフェイスの同じ送信元 MAC アドレスからのトラフィックを検出し、L2 ループとしてログに記録します。この問題は、実際の L2 ループがなく、この問題に起因するカスタマーのトラフィックの中断や Orchestrator との通信の切断がないため、ログ レベルでは表示上の問題に過ぎません。

    回避策:カスタマーは、Edge の HA インターフェイス(通常は GE1)で発生したアップストリーム スイッチからの L2 ループ検出イベントを無視できます。

  • 問題 95399:イーサネット リンクが物理的に VMware SD-WAN Edge インターフェイスから取り外された場合、または接続された場合、VMware SASE Orchestrator はその Edge からこのイベントの通知を受信せず、カスタマーのイベントには表示されません。

    カスタマーは Orchestrator がこれらのイベントを [イベント (Events)] ページで報告することに依存しています。これらのイベントが記録されていない場合は、さまざまなサイトの監視がより信頼できなくなります。

    回避策:この問題の回避策はありません。

  • 問題 95565:高可用性トポロジを使用しているサイトで、VMware SD-WAN アクティブ Edge のデータプレーン サービスの障害が発生し、コアが生成されて高可用性フェイルオーバーがトリガされることがあります。

    この問題は、アクティブ Edge の WAN リンクが 1 回以上フラップ(ダウンして、すぐに起動する)し、そのときに SNMP クエリが頻繁に発生する SNMP を使用している場合にトリガされます。インターフェイスが稼動状態に戻るのと同時に SNMP クエリが発生するというタイミングの問題によりデッドロックがトリガされることが原因で、データプレーン サービスが失敗してコアが生成されます。1 回の WAN リンク フラップのみでこの問題が引き起こされる可能性がありますが、WAN リンク フラップの頻度が高いほど、この問題が発生する可能性が高まります。

    回避策:修正が適用されていない HA Edge ペアでこの問題が発生する場合、回避策は SNMP を無効にすることです。これはタイミングの問題であり、これによってリスクが軽減されるためです。

  • 問題 97559:拡張高可用性トポロジを使用して展開されたカスタマー サイトで、スタンバイ ロールの VMware SD-WAN Edge に接続されている WAN リンクが、WAN リンクが接続されている Edge の WAN インターフェイスが稼動している場合でも、VMware SASE Orchestrator でダウンと表示され、カスタマー トラフィックを渡さないことがあります。

    tcpdump または診断バンドルのログを確認すると、ARP 要求を受信した後、ポートがブロックされているためにスタンバイ Edge が応答していないことがわかります。拡張 HA では、Edge がスタンバイのロールを引き受けると、次のイベントが順次発生します。

    1. スタンバイ Edge は、すべてのポートをブロックします。

    2. スタンバイ Edge は、拡張 HA に展開されていることを検出し、WAN ポートのブロックを解除してトラフィックを渡します。

    この問題が発生すると、イベント 1 として、初期のポート ブロッキングが完了するまでに予期せず長い時間がかかり、続くイベント 2 では、イベント 1 が完了する前にすべての WAN ポートのブロック解除が完了します。イベント 1 が完了すると、最終的な状態として、スタンバイ Edge ですべての WAN ポートがブロックされます。

    回避策:この問題を修正しない HA Edge では、回避策として、スタンバイ Edge をアクティブに昇格する HA フェイルオーバーを強制的に実行し、HA Edge の WAN リンクを起動します。

  • 問題 98136:動的なブランチ間 VPN が設定されているハブ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、SD-WAN スポーク Edge の背後のクライアント ユーザーの環境では、最適でないパスを使用するトラフィックによって一部のトラフィックに予期しない遅延が発生する場合があります。

    この問題が発生するスポーク Edge トラフィックで使用されるルートは、最初は、スポーク Edge が使用していたプロファイルに含まれていないハブ Edge のアップリンク以外のルートでした。トラフィックが他の無関係なプレフィックスに送信されるため、動的なブランチ間 VPN トンネルをスポーク Edge からハブ Edge に形成できます。この場合、アップリンク以外のルートがスポーク Edge にインストールされます。

    この非アップリンク ルートの結果として、このプレフィックスへのすべてのトラフィックがハブ Edge を通過し始め、

    非アップリンク ルートがアップリンクになります(コミュニティはアップリンク コミュニティに変更されます)。ただし、以前にインストールされた非アップリンク ルートは取り消されず、トラフィックは動的なブランチ間 VPN トンネルが稼動している限り、ハブ Edge パスを選択します。

    回避策:動的なブランチ間 VPN トンネルが破棄されるまで待機します。その後、ハブ Edge に向かう新しい動的なブランチ間 VPN トンネルが形成されると、アップリンク ルートはスポーク Edge にインストールされません。

  • 問題 106289:VMware SD-WAN ハブ Edge は、接続されたスポーク Edge へのフローまたはバックホール フローでパケットをドロップする場合があります。

    バックホール フロー フラグは、QoS 同期プロセス中に設定されます。コード内には、フローの作成中にフラグを設定する場所があります。Edge は、QoS 同期メッセージ処理の結果としてのみこのフラグを設定する必要があります。

    回避策:この問題に対する修正を行わないハブ Edge でこの問題が発生した場合は、ハブ Edge 上のフローをフラッシュして問題を一時的に修正します。

  • 問題 109771:VMware SD-WAN Edge は、間に NAT66 が適用されている場合、Cisco CSR/ASE タイプの Edge 経由の Non SD-WAN Destination とのトンネルを確立できない場合があります。

    2 つのピア間で送信元 IPv6 アドレス NAT が Cisco CSR/ASA に関係している場合、トンネルは確立されません。

    回避策:この問題の修正が適用されていない Edge では、唯一の回避策は、NAT66 over IPsec をサポートする Cisco ソフトウェアのバージョンに Cisco CSR/ASA をアップグレードすることです。

  • 問題 110561:トラフィックが停止してから再開すると、双方向トラフィックを持つ同じ VMware SD-WAN Edge のセット間で動的トンネルが起動しない場合があります。

    この問題は、Edge 間で大量の双方向トラフィックが送信される 6,000 個の動的トンネルがあるテスト環境で発生します。1,000 個の動的トンネルでより小規模のテストを行っても、すべてのトンネルが起動するわけではありません。

    回避策:この問題の回避策はありません。

  • 問題 111085:VMware SD-WAN Edge の WAN リンクが、Edge のループバック IP と同じネットワーク内の IP アドレスで設定されている場合、Edge は、Edge のループバック IP アドレスに対する ARP リクエストに応答する際に、WAN インターフェイスの MAC アドレスを使用します。

    これにより、ARP スプーフィングが発生し、その結果として管理 IP アドレスが廃止され、ネットワークが中断する可能性があります。

    回避策:この問題の回避策はありません。

  • 問題 113877:BGP/GRE LAN を設定しているカスタマーが TGW GRE を使用している場合、TGW GRE の BGP 設定がグローバル セグメントで変更されると、すべてのセグメントの TGW セカンダリ トンネルで BGP フラップとトラフィックの中断が発生します。

    カスタマーがグローバル セグメント上の TGW GRE の BGP 設定を変更すると、グローバル セグメントおよびその他のセグメントのセカンダリ トンネルがフラップし、BGP 接続のリセットと再コンバージェンスが発生し、トラフィックが中断します。BGP 接続が再形成され、トラフィックがリストアされます。

    回避策:この問題の回避策はありません。

  • 問題 117037:複数の WAN リンクを使用してスポーク Edge とハブ Edge の間のトラフィックを送受信するハブ/スポーク トポロジを使用しているカスタマーの場合、WAN リンクが WAN リンクの帯域幅を集約していないため、ビジネス ポリシーによってステアリングされるトラフィックのパフォーマンスが想定よりも低くなる場合があります。

    SD-WAN はカウンタを使用して、再シーケンス キューにバッファされたパケット数を計算します。このカウンタはピアごとに管理され、ピアごとに 4K パケットのみがバッファされるようにするために使用されます。状況によっては、このカウンタが負の値になる場合があります。リリース 4.2.x より前のリリースでは、このカウンタが負の値になると、再シーケンス キュー内のパケットをフラッシュした直後に、各カウンタが 0 にリセットされました。ただし、リリース 4.3.x 以降では、このカウンタは自動的に更新され、カウンタが想定された範囲内に留まるようにしています。

    この動作の変更の結果、カウンタの計算が正しくないため、再シーケンス キューの数値が非常に高くなり、SD-WAN が各パケットをフラッシュすることによって応答することがあります。このアクションにより、帯域幅の集約が妨げられるだけでなく、単一のリンク上にあるはずのフローの効率が低下する場合があります。

    回避策:この問題を修正していない Edge では、回避策として、一致するトラフィックを単一の必須リンクにステアリングするビジネス ポリシーを設定します。

  • 問題 117314:送信元と宛先の IP アドレス ペアの間に ICMP フローがすでに存在する場合、オブジェクト グループ/サービス グループ(タイプとコード)を使用して ICMP パケットをフィルタリングするファイアウォール ルールが機能しないことがあります。

    ファイアウォール機能のリビジョンの一環として、ICMP タイプとコードのキャッシュのために導入された変更が元に戻されました。これは、ICMP タイプとコード(ICMP リダイレクト タイプ 5 とコード 0 など)を持つサービス グループを使用するファイアウォール ルールに影響しました。送信元 IP アドレスと宛先 IP アドレスの間にフローがすでに存在する場合、このフローのルールに一致する ICMP トラフィックは適用されず、セッションの最初のパケットのみがファイアウォール ルールに一致します。この問題は、IPv4 または IPv6 のいずれかの ICMP フローに影響します。

    回避策:フローをフラッシュして新しい ICMP フローを作成すると、問題が一時的に修正されます。

  • 問題 117876:高可用性トポロジを使用しているカスタマー サイトで、ユーザーが拡張ファイアウォール サービスを有効または無効にすると、VMware SD-WAN HA Edge が複数回再起動することがあります。

    拡張ファイアウォール サービスが有効または無効になっている場合は、アクティブ Edge のデバイス設定のみがスタンバイ Edge とすぐに同期され、残りの設定同期はスタンバイ Edge のハートビートにのみ応答します。スタンバイ Edge からハートビートを受信する前にアクティブ Edge を再起動して最新の設定を適用すると、2 つの HA Edge 間で設定の不一致が発生し、設定の同期を完了するために再起動が複数回実行されます。

    回避策:回避策は、HA Edge のメンテナンス期間中に拡張ファイアウォール サービスをオンまたはオフにすることのみです。

  • 問題 121606:Partner Gateway を使用しているカスタマー エンタープライズでは、その Gateway を使用する Non SD-WAN Destination を含む一部のトラフィックでトラフィックがドロップすることがあります。

    リリース 5.1.0 以降の Partner Gateway は、IPsec インターフェイスあたり最大 64 個の IP アドレスをサポートします。Partner Gateway の場合、ハンドオフ IP アドレスがこの IPsec インターフェイスに無条件で追加されます。ハンドオフ IP アドレスの数が 64 の制限を超えると、IPsec プロセスで古い IP アドレスが上書きされ、上書きされた IP アドレスを使用するトンネルがダウンします。

    回避策:すべての Partner Gateway ハンドオフ IP アドレスが想定どおりに設定されている場合、これらのアドレスの一部を別の PG に移動する(たとえば、Gateway 経由の NSD を移動する)以外に回避策はありません。ただし、不要な PG ハンドオフ IP アドレスがある場合は、それらを削除してハンドオフ IP アドレスの合計が 63 以下になれば問題を解決できます。設定を変更した後、Gateway サービスを再起動する必要があります。

  • 問題 121998:ハブ/スポーク トポロジでステートフル ファイアウォールを使用しているカスタマーの場合、スポークとハブの間のトラフィック用に設定されたファイアウォール ルール(送信元 VLAN が含まれている)に一致するトラフィックがドロップされる場合があります。

    アプリケーション分類、ビジネス ポリシー テーブル、またはファイアウォール ポリシー テーブルのバージョンが変更されると、SD-WAN は次のパケットでフローのファイアウォール参照を実行します。タイミングの問題により、そのパケットは管理トラフィック (VCMP) 側のパケットになる可能性があります。その結果、ファイアウォール ポリシーの参照キーの作成中に、SD-WAN はスポーク Edge VLAN をハブ Edge VLAN とスワップするため、ルールと一致せず、そのトラフィックをドロップします。

    回避策:カスタマーは、[送信元 (Source)] を Edge VLAN から「任意」に変更できます。

  • 問題 125274:カスタマーが SNMP ウォークを実行すると、VMware SD-WAN Edge のループバック インターフェイスが検出されません。

    Edge ループバック インターフェイスは、Edge が WAN または LAN として分類しない一意のインターフェイス カテゴリです。その結果、ループバック インターフェイスは、snmp-request に対して処理するインターフェイスの許可リストに含まれません。

    回避策:この問題の回避策はありません。ループバック インターフェイスの状態は、Orchestrator ユーザー インターフェイスを介して個別に監視する必要があります。

  • 問題 125421:VMware SASE Orchestrator ユーザー インターフェイスの [監視とイベント (Monitoring and Events)] ページで VMware SD-WAN Edge の WAN リンクが断続的にダウン状態になってから再度稼動状態になり、Edge が応答しなくなって手動で再起動されるまでトラフィックの通過に失敗したり、Edge でデータプレーン サービスの障害が発生して再起動したりする場合があります。

    これは、Edge データプレーン サービスが共有メモリを開けず、古い PI を引き起こすときに発生する Edge メモリ リークの問題です。これにより、開いているファイル記述子が枯渇し、最初に WAN リンクに影響します。ただし、この問題がさらに進行して Edge メモリが枯渇すると、Edge は次の状態になることがあります。

    1. 応答しなくなり、Orchestrator を介してアクセスできなくなるため、オンサイトでの再起動/電源の入れ直しが必要になります。

    2. Edge サービスの障害をトリガし、コア ファイルが生成され、リカバリのために Edge が再起動します。

    回避策:この問題が最初に確認された場合は、問題が悪化する前に、メンテナンス期間中の Edge サービスの再起動をスケジュール設定します。

  • 問題 130777:ルーティング インターフェイスが、NAD ダイレクトがオフになっている LAN インターフェイスとして設定されている VMware SD-WAN Edge では、送信元/宛先インターフェイスと IP アドレスの使用に不一致があり、場合によっては、IP アドレスを使用してフィルタリングするときにパケットが許可され、インターフェイスを使用するとドロップされることがあります。その逆も同様です。

    この問題について報告されたインスタンスで、特定の Edge インターフェイスにファイアウォール ルールが指定されている場合、ステートフル ファイアウォールはパケットをドロップしますが、ルールが IP アドレスを使用するように変更された場合、ルールは適用されず、トラフィックの通過が許可されます。

    回避策:Edge が 5.2.x リリースを使用している場合は、IP アドレスを使用しないようにします。

  • 問題 134374:VMware SD-WAN Edge CELL インターフェイスに関連付けられたインバウンド ファイアウォール ルールが、想定どおりに順番に適用されません。

    Edge CELL インターフェイスがまだ作成されていないか、起動していない場合(SIM カードが挿入されていないなど)、ファイアウォール設定が解析されると、ファイアウォール ルールの CELL インターフェイス値が正しく入力されず、トラフィックがルールと一致しません。

    回避策:ルールを削除し、CELL インターフェイスが起動したら再作成します。

Orchestrator の既知の問題

  • 問題 21342:

    セグメントごとに Partner Gateway を割り当てると、VMware SD-WAN Edge の監視リストで、ゲートウェイ割り当ての適切なリストがオペレータ オプションのゲートウェイの [表示 (View)] に表示されない場合があります。

  • 問題 24269:

    観測された WAN リンクの損失が、QoE グラフには反映されても、[監視 (Monitor)] > [トランスポート (Transport)] > [ロス (Loss)] に反映されません。 

  • 問題 25932:

    VMware SD-WAN Orchestrator で、使用中であっても VMware SD-WAN Gateway を Gateway プールから削除できます。

  • 問題 32335:

    ユーザーが契約に同意しようとすると、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) ページでエラーが発生します。

    回避策:エンタープライズ名の先頭または末尾にスペースが含まれていないことを確認してください。

  • 問題 32435:

    ポリシーベースの NAT 設定に対する VMware SD-WAN Edge 固有のルールが、すでにプロファイル レベルで設定されているタプルで許可されます(その逆も可能)。

  • 問題 32856:

    ハブ クラスタを使用してインターネット トラフィックをバックホールするようにビジネス ポリシーが設定されていても、リリース 3.2.1 からリリース 3.3.x にアップグレードされた VMware SD-WAN Orchestrator 上のプロファイルから、ユーザーがハブ クラスタを選択解除できます。

  • 問題 35658:

    あるプロファイルから CSS 設定が異なる別のプロファイルに VMware SD-WAN Edge が移動されたときに(例:プロファイル 1 は IPsec で、プロファイル 2 は GRE)、Edge レベルの CSS 設定が、以前の CSS 設定(例:IPsec と GRE)を引き続き使用します。 

    回避策:Edge レベルで GRE を無効化してから、GRE を再度有効にして問題を解決します。

  • 問題 35667:

    あるプロファイルから、CSS 設定は同じでも GRE CSS 名は異なる(同じエンドポイントの)別のプロファイルに VMware SD-WAN Edge が移動されたときに、一部の GRE トンネルが監視に表示されません。

    回避策:Edge レベルで GRE を無効化してから、GRE を再度有効化して問題を解決します。

  • 問題 36665:

    VMware SD-WAN Orchestrator がインターネットにアクセスできない場合、Google Maps API へのアクセスを必要とするユーザー インターフェイスのページが完全にはロードされない場合があります。

  • 問題 32913:

    高可用性を有効化した後、VMware SD-WAN Edge のマルチキャストの詳細が [監視 (Monitoring)] ページに表示されません。フェイルオーバーにより、この問題は解決されます。

  • 問題 33026:

    契約を削除した後、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) のページが適切に再ロードされません。

  • 問題 38056:

    Edge ライセンスの export.csv ファイルにリージョン データが表示されません。

  • 問題 38843:

    アプリケーション マップをプッシュするときに、オペレータ イベントがなく、Edge イベントは制限付きのユーティリティになります。

  • 問題 39633:

    ユーザーが Super Gateway として代替 Gateway を割り当てた後、Super Gateway のハイパーリンクが機能しません。

  • 問題 39790:

    VMware SD-WAN Orchestrator を使用すると、サポートされている 32 個のサブインターフェイスを超えてユーザーが VMware SD-WAN Edge のルーティング インターフェイスを設定できます。これにより、ユーザーは、インターフェイス上で 33 個以上のサブインターフェイスを設定できるようになり、Edge のデータプレーン サービスの障害を引き起こす可能性があります。

  • 問題 41691:

    [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで DHCP プールが枯渇していないのに、ユーザーが [アドレスの数 (Number of addresses)] フィールドを変更できません。

  • 問題 43276:

    VMware SD-WAN Edge またはプロファイルに Partner Gateway が設定されている場合に、ユーザーがセグメント タイプを変更できません。

    回避策:プロファイルまたは Edge から Partner Gateway 設定を一時的に削除して、セグメントをプライベートと通常の間で変更できるようにします。または、プロファイルからセグメントを削除し、そこから変更を加えることができます。

  • 問題 47713:

     クラウド VPN がオフにされているときにビジネス ポリシー ルールが設定された場合、クラウド VPN をオンにするときに NAT を再設定する必要があります。

  • 問題 47820:

    プロファイル レベルで DHCP がオフになっている状態で VLAN が設定されていて、同時に DHCP が有効になっている Edge 上でこの VLAN に対する Edge 固有のルールがある場合に、DNS サーバのフィールドが「なし」(IP アドレスが設定されていない)に設定されているエントリがあると、ユーザーは [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで変更を行うことができず、「無効な IP アドレス [] (invalid IP address [])」というエラー メッセージが表示されます。これは、実際の問題を説明または指摘していません。

  • 問題 48085:VMware SD-WAN Orchestrator で、ユーザーがインターフェイスに関連付けられている VLAN を削除することが許可されます。

    この問題が発生すると、「VLAN ID [xx] を削除できません。Edge [b1-edge1 (Gex-disabled)] によって使用されています (VLAN ID [xx] cannot be removed, in use by edge [b1-edge1 (GEx-disabled)])」のようなエラー メッセージが表示されます。

  • 問題 51722:VMware SASE Orchestrator では、[監視 (Monitor)] > [Edge] タブの統計情報の時間範囲セレクタは 2 週間以内です。

    一連の統計情報の保持期間が 2 週間よりはるかに長い場合でも、時間範囲セレクタの [監視 (Monitor)] > [Edge] タブに [過去 2 週間 (Past 2 Weeks)] を超えるオプションは表示されません。たとえば、フローとリンクの統計情報はデフォルトで 365 日間保持されますが(設定可能)、パスの統計情報はデフォルトで 2 週間のみ保持されます(これも設定可能です)。この問題により、すべての [監視 (Monitor)] タブが統計情報の最も低い保持タイプに従うことになり、ユーザーはその統計情報の保持期間に一致する期間を選択できません。

    回避策:ユーザーは、時間範囲セレクタの [カスタム (Custom)] オプションを使用して、2 週間以上のデータを表示できます。

  • 問題 60522:VMware SD-WAN Orchestrator ユーザー インターフェイスで、セグメントを削除しようとすると多数のエラー メッセージが表示されます。

    この問題は、1 つのセグメントをプロファイルに追加し、セグメントを複数の VMware SD-WAN Edge に関連付ける場合に発生する可能性があります。ユーザーが追加したセグメントをプロファイルから削除しようとすると、多数のエラー メッセージが表示されます。

    回避策:この問題の回避策はありません。

  • 問題 82095:Edge の接続に重大な問題を引き起こすことがある、Edge VLAN に対する無効なデバイス設定をユーザーが行う可能性があります。

    Orchestrator では、デバイス設定の検証を試みません。具体的には、空のテーブルを持つスイッチ ポートの VLAN 設定などです。一部の設定がエラーだらけになり、Edge の管理プロセスが失敗する可能性があります。

    回避策:すべての VLAN デバイス設定を確認し、これらの設定が有効であることを確認します。これは Orchestrator ではチェックされません。

  • 問題 82680:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI(クラウド間相互接続)を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにすると、Zscaler MT-GRE エントリが Zscaler ポータルから一貫して削除されないことがあります。

    CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。

    回避策:再試行する前に、Zscaler からリソースを手動で削除します。

  • 問題 82681:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI(クラウド間相互接続)を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにし、Zscaler クラウド セキュリティ サービスを使用する CCI が設定されている VMware SD-WAN Edge から CCI フラグを無効にすると、Zscaler MT-GRE エントリが Edge または Zscaler ポータルから削除されないことがあります。

    CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。

    回避策:再試行する前に、Zscaler からリソースを手動で削除します。

  • 問題 103769:オペレータは、大規模な展開の VMware SASE Orchestrator で、ディスク使用率が 100% になり、Orchestrator でログが蓄積されなくなるなどのパフォーマンスの問題に遭遇する場合があります。

    この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。

    回避策:スーパー ユーザー オペレータは Orchestrator にログインし、保留中のログをクリーンアップする必要があります。

  • 問題 117699:オペレータが 4.2.x VMware SD-WAN Orchestrator をリリース 5.2.0 SASE Orchestrator にアップグレードしようとすると、アップグレードが失敗することがあります。

    アップグレードは成功せず、「CWS サービスが起動するのを待機しています... (Waiting for the CWS service up...)」というメッセージで停止します。この問題が発生するのは、4.2.x Orchestrator に限られます。

    回避策:この問題の回避策は、まず 4.2.x Orchestrator を 4.5.1 にアップグレードしてから、リリース 5.2.0.0 にアップグレードすることです。

  • 問題 125082:ユーザーが VLAN 上で上書きされた DNS サーバの IP アドレスを使用して VMware SD-WAN Edge を設定し、Edge が使用しているプロファイルのインターフェイス設定を変更すると、Edge VLAN に DNS サーバの IP アドレスが存在しなくなります。

    新しいユーザー インターフェイスは DHCP セクション内で上書きフラグを送信しないため、プロファイルの変更によって DHCP セクションの上書きがトリガされます。

    回避策:この問題の回避策はありません。

  • 問題 125504:スタティック ルートに、プロファイル レベルで IPv4/IPv6 アドレスを持つ VLAN としてネクスト ホップが設定された後、Edge レベルで上書きされ、IPv4/IPv6 アドレスが VLAN に追加された場合、スタティック ルートは「N/A」としてマークされず、VMware SASE Orchestrator はドロップダウン メニューでインターフェイスを要求します。

    スタティック ルートに IPv4/IPv6 アドレスを持つ VLAN としてネクスト ホップが設定されている場合、Orchestrator はインターフェイスを要求せず、ルートが「N/A」としてマークされることが想定されます。

    回避策:この問題の回避策はありません。

  • 問題 125663:ユーザーは、複数の Edge インターフェイスに同じ IPv4/IPv6 IP アドレスを設定できます。

    VMware SASE Orchestrator では、ユーザーが複数の WAN、LAN、またはサブ インターフェイスに同じ IP アドレスを設定できます。

    回避策:複数のインターフェイスに同じ IP アドレスを設定しないようにする以外に、この問題の回避策はありません。

  • 問題 126421:Partner Gateway を使用しているパートナーの場合、ハンドオフの詳細を設定すると、ユーザーの動作に関係なく、[プライベート トンネルに使用 (Use for Private Tunnels)] オプションが常にオンになります。

    Orchestrator は Partner Gateway ハンドオフに [プライベート トンネルに使用 (Use for Private Tunnels)] 設定を適用し、Partner Gateway を使用するカスタマーのトラフィックに影響を与える可能性があるため、これは表示上の問題ではありません。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 126425:プロファイル レベルで [設定 (Configure)] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] ページを見ると、OSPF の [オン/オフ (On/Off)] トグル ボタンが表示されません。

    OSPF の [オン/オフ (On/Off)] トグル ボタンは、プロファイル レベルで新しいユーザー インターフェイスに移行されず、Edge レベルでのみ表示されます。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 126465:VMware SASE Orchestrator ユーザー インターフェイスは、ユーザーが Edge クラスタを作成するために行った変更を適用していません。

    ユーザーがユーザー インターフェイスの [設定 (Configure)] > [Edge] > [高可用性 (High Availability)] セクションに移動し、クラスタ タイプの HA をオンにして、「xxxx」という名前のハブ クラスタを作成して変更を保存すると、保存後に [HA] セクションで [クラスタ (Cluster)] オプションが選択されず、「xxxx」という名前で作成されたハブ クラスタが存在しません。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 126695:ユーザーがアラート用 Webhook を設定している場合、[ペイロード テンプレートの設定 (Configure Payload Template)] ボタンをクリックしてもメニューが表示されません。

    この問題は、ユーザー インターフェイスの [SD-WAN] > [設定 (Settings)] > [アラート (Alerts)] > [Webhook (Webhooks)] ページで Webhook を設定するときに発生します。ブラウザ コンソールを見ると、次のメッセージも表示されます。ERROR TypeError: Cannot read properties of undefined (reading 'invalid')

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 127152:VMware SASE Orchestrator ユーザー インターフェイスで、OSPF 設定で変更されたインターフェイスを保存できません。

    プロファイル レベルで OSPFv2 または OSPFv3 を設定すると、OSPF データを変更した後に [インターフェイスの編集 (Edit Interface)] ダイアログが無効になります。

    回避策:この問題が修正されていない Orchestrator では、MD5 認証を有効にし、キー ID を 1 から 255 の任意の値に変更してから、MD5 認証を無効にする必要があります。

  • 問題 128070:ユーザーが Edge レベルで VLAN の OSPFv3 を設定し、IPv6 設定を VLAN に追加しようとすると、VMware SASE Orchestrator ユーザー インターフェイスが変更を保存しません。

    Edge レベルで OSPF3 を使用する VLAN に IPv6 設定を追加しようとすると、[保存 (Save)] オプションが灰色で表示され、使用できません。

    回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。

  • 問題 131997:ICMP プローブが 1 つのセグメントに対して設定され、別のセグメントに対しては設定されていない場合、誤ってダウンとマークされることがあります。

    Orchestrator は、NULL ICMP プローブ設定がセグメント内で設定されていない場合、その設定の送信に失敗します。その結果、別のセグメントの設定が再利用され、プローブが失敗します。

    回避策:この問題が修正されていない Orchestrator では、他のセグメントにダミー ICMP プローブを設定します。

  • 問題 133198:RADIUS 認証を使用してログインするユーザーは、Orchestrator ユーザー インターフェイスの [グローバル設定 (Global Settings)] > [ユーザー管理 (User Management)] セクションでカスタム ロールを作成できません。

    RADIUS で認証されたユーザーは、カスタマー ロールを作成する手順を実行できますが、設定を保存しようとすると、ユーザー インターフェイスに「複合ロールの作成中にエラーが発生しました (Error occurred while creating composite role)」というエラーが表示され、設定は保存されません。

  • 問題 134378:5.2.x ソフトウェアにアップグレードされた VMware SD-WAN Edge で連続的なデータプレーン サービスの障害が発生し、そのたびにリカバリのために再起動する場合があります。

    この問題は、Edge の有効化に使用される Edge インターフェイスがサブインターフェイス上の VLAN も含む VLAN で設定され、両方に同じ VLAN ID が使用されている場合に発生する可能性があります。これは、ユーザーがローカル ユーザー インターフェイスを介して VLAN を Edge に追加し、その Edge の Orchestrator を介して同じ ID を持つサブインターフェイス VLAN 用に Edge がすでに設定されている場合に発生する可能性があります。Orchestrator はローカル ユーザー インターフェイスの設定と制御する設定を調和させず、Edge には破損した設定が提供され、サービス障害が繰り返し発生します。

    回避策:カスタマーが Edge を 5.2.x にアップグレードする場合の回避策は、説明に記載されているように、Edge のインターフェイスとサブインターフェイスで VLAN ID が重複しないようにすることです。

check-circle-line exclamation-circle-line close-line
Scroll to top icon