| VMware SASE 5.4.0 | 2023 年 11 月 16 日
各リリース ノートで、追加および更新された機能をご確認ください。 |
リリース ノートの概要
このリリース ノートには、次のトピックが含まれています。
- 対象ユーザー
- 互換性
- Orchestrator、Gateway、Edge のアップグレード パス
- SASE の新機能と拡張機能
- SD-WAN の新機能および拡張機能
- 重要な注意事項
- 使用可能な言語
- Orchestrator API の変更点
- ドキュメントの改訂履歴
対象ユーザー
リリース 5.4.0 で初めて利用可能になった機能を必要とする、すべてのカスタマーに今回のリリースをお勧めします。
重要:
リリース 5.4.0 には、5.2.0 リリース ノートに記載されている 5.2.0.2 バージョンまでのすべての Edge および Gateway の修正、5.2.0 リリース ノートに記載されている 5.2.0.3 バージョンまでのすべての Orchestrator の修正、5.3.0 リリース ノートに記載されている 5.3.0.2 バージョンまでのすべての Orchestrator の修正が含まれています。
互換性
リリース 5.4.0 の Orchestrator、Gateway、およびハブ Edge では、VMware SD-WAN Edge の以前のバージョンのうちリリース 4.2.0 以降がすべてサポートされます。
次の相互運用性の組み合わせは、明示的にテストされています。
| Orchestrator |
Gateway |
Edge |
|
| ハブ |
ブランチ/スポーク |
||
| 5.4.0 |
4.2.2 |
4.2.2 |
4.2.2 |
| 5.4.0 |
5.4.0 |
4.2.2 |
4.2.2 |
| 5.4.0 |
5.4.0 |
5.4.0 |
4.2.2 |
| 5.4.0 |
5.4.0 |
4.2.2 |
5.4.0 |
| 5.4.0 |
4.3.2 |
4.3.2 |
4.3.2 |
| 5.4.0 |
5.4.0 |
4.3.2 |
4.3.2 |
| 5.4.0 |
5.4.0 |
5.4.0 |
4.3.2 |
| 5.4.0 |
5.4.0 |
4.3.2 |
5.4.0 |
| 5.4.0 |
4.5.2 |
4.5.2 |
4.5.2 |
| 5.4.0 |
5.4.0 |
4.5.2 |
4.5.2 |
| 5.4.0 |
5.4.0 |
5.4.0 |
4.5.2 |
| 5.4.0 |
5.4.0 |
4.5.2 |
5.4.0 |
| 5.4.0 |
5.0.1.3 |
5.0.1.3 |
5.0.1.3 |
| 5.4.0 |
5.4.0 |
5.0.1.3 |
5.0.1.3 |
| 5.4.0 |
5.4.0 |
5.4.0 |
5.0.1.3 |
| 5.4.0 |
5.4.0 |
5.0.1.3 |
5.4.0 |
| 5.4.0 |
5.1.0.3 |
5.1.0.2 |
5.1.0.2 |
| 5.4.0 |
5.4.0 |
5.1.0.2 |
5.1.0.2 |
| 5.4.0 |
5.4.0 |
5.4.0 |
5.1.0.2 |
| 5.4.0 |
5.4.0 |
5.1.0.2 |
5.4.0 |
| 5.4.0 |
5.2.0.1 |
5.2.0.1 |
5.2.0.1 |
| 5.4.0 |
5.4.0 |
5.2.0.1 |
5.2.0.1 |
| 5.4.0 |
5.4.0 |
5.4.0 |
5.2.0.1 |
| 5.4.0 |
5.4.0 |
5.2.0.1 |
5.4.0 |
| 5.4.0 |
5.4.0 |
5.4.0 |
5.4.0 |
注:
上記の表は、SD-WAN サービスを使用しているカスタマーに対してのみ完全に有効です。VMware Cloud Web Security または VMware Secure Access へのアクセスが必要なカスタマーは、Edge をリリース 4.5.0 以降にアップグレードする必要があります。
重要:
VMware SD-WAN リリース 4.0.x のサポート期間が終了しました。リリース 4.2.x および 4.3.x は、Gateway および Orchestrator のサポート期間が終了しました。4.5.x は、Gateway および Orchestrator のサポート終了に近づいています。
-
リリース 4.0.x は、2022 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となり、2022 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えました。
-
リリース 4.2.x の Orchestrator および Gateway は、2022 年 12 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 3 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。
-
リリース 4.2.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。
-
リリース 4.3.x の Orchestrator および Gateway は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となり、2023 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) となりました。
-
リリース 4.3.x の Edge は、2023 年 6 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2025 年 9 月 30 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。
-
リリース 4.5.x の Orchestrator および Gateway は、2023 年 9 月 30 日にジェネラル サポートの終了 (EOGS) となりました。また、2023 年 12 月 31 日にテクニカル ガイダンスの終了 (EOTG) を迎えます。
-
詳細については、ナレッジベースの記事を参照してください。お知らせ:VMware SD-WAN リリース 4.x のサポート期間の終了 (88319)。
Orchestrator、Gateway、Edge のアップグレード パス
Orchestrator、Gateway、または Edge を旧リリースからリリース 5.4.0 にアップグレードする場合のパスを次に示します。
Orchestrator
リリース 4.3.0 以降を使用している Orchestrator は、リリース 5.4.0 にアップグレードできます。
Gateway
リリース 4.3.0 以降を使用した Gateway のリリース 5.4.0 へのアップグレードは、すべての Gateway タイプで完全にサポートされています。
重要:
5.4.0 を使用して新しい Gateway を展開する場合、VMware ESXi インスタンスがバージョン 6.7 Update 3 以降、バージョン 7.0 以前である必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.4.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。
重要:
Gateway を 5.4.0 にアップグレードする前に、ESXi インスタンスをバージョン 6.7 Update 3 以降、バージョン 7.0 以前にアップグレードする必要があります。これより前の ESXi インスタンスを使用すると、リリース 5.4.0 以降の実行時に Gateway のデータプレーン サービスが失敗します。
Edge
Edge は、任意のリリース 4.x 以降からリリース 5.4.0 に直接アップグレードできます。
SASE の新機能と拡張機能
Bastion Orchestrator、フェーズ 2
リリース 4.3.0 で初めて導入された VMware SASE は、リリース 5.4.0 の Bastion Orchestrator に大きな改善を提供します。フェーズ 2 の改善点は次のとおりです。
-
Edge がアクティベーション状態の場合の SD-WAN Edge ソフトウェア アップデート。
-
Edge の昇格に失敗した場合の最後の既知の良好な設定への復帰。
-
昇格されていない Edge からのイベントは、プライベート VMware SASE Orchestrator に送信されます。
-
昇格されていない Edge の診断バンドルの生成。
-
Bastion VMware SASE Orchestrator のエンタープライズ ファームウェアのアップデート。
VMware SASE Orchestrator と統合された SD-WAN クライアント
VMware SD-WAN Client は、VMware SASE Orchestrator を介して管理できるようになりました。ネットワーク、セキュリティ、およびリモート アクセス ソリューションを管理するための統合管理コンソールを提供します。
SD-WAN の新機能および拡張機能
FTPv6 の Edge ファイアウォールのサポート
リリース 5.4.0 では、VMware SD-WAN の詳細なパケット インスペクション (DPI) を使用する場合の FTPv4/FTPv6 アクティブ モードとパッシブ モードの両方のアプリケーション ID が強化されています。この向上した DPI は、パッシブ FTPv6 モードを使用するカスタマーに特に役立ちます。このモードでは、データ転送にランダムなポート番号が割り当てられ、FTP トラフィックは標準ポート 20 および 21 を使用しないため、識別が困難になります。
ファイアウォール サービスの表示と検索機能の強化
拡張ファイアウォール サービスには、ファイアウォール テーブル ビューにコメント フィールドと、ファイアウォール ルールとオブジェクトの検索機能が追加され、最適なユーザー エクスペリエンスを提供できるようになりました。
拡張ファイアウォール サービスのシグネチャ ビュー (IDS/IPS)
拡張ファイアウォール サービスには、強化されたシグネチャ ビュー (IDS/IPS) が含まれています。これにより、VMware SD-WAN Edge にインストールされている侵入検知システム (IDS) および侵入防止システム (IPS) のシグネチャを、インストールされているバージョン、データ、および時刻とともに簡単に表示できます。
高可用性の強化、フェーズ 2
リリース 5.4.0 には、Edge のペアを備えた高可用性トポロジを使用して展開されたサイトに対する追加の改善が含まれています。次の改善が含まれています。
-
[アラート (Alerts)]:新しいアラート「Edge HA が失敗しました (Edge HA Failed)」が [サービス設定 (Service Settings)] > [アラートと通知 (Alerts & Notifications)] ページのリストに追加されています。「Edge HA が失敗しました (Edge HA Failed)」アラートは、スタンバイ Edge がアクティブ Edge へのハートビートに失敗し、アクティブ Edge によってダウンとしてマークされるとトリガされます。このアラートは、スタンバイ Edge もカスタマー トラフィックを渡す拡張 HA 展開で特に役立ちます。
-
Wi-Fi および Wi-Fi 非対応 Edge の互換性:Edge リリース 5.4.0 より前のバージョンでは、Wi-Fi モジュールを含まない Edge モデル(510N、610N、620N、640N、および 680N)は、HA 環境の対応する Wi-Fi 対応デバイスとともに使用できませんでした。たとえば、Edge 640 と Edge 640N は高可用性ペアとしてサポートされていませんでした。リリース 5.4.0 以降では、このペアリングがサポートされるようになりました。
注:
Wi-Fi Edge と Wi-Fi 非対応 Edge が一致しないシナリオでは、Orchestrator は Edge の不一致を検出し、Wi-Fi 対応の Edge で Wi-Fi 機能を自動的に無効にします。不一致ログは、カスタマーの [イベント (Events)] に表示されます。
-
HA Wi-Fi 機能の不一致が特定され、Wi-Fi が無効になりました(Edge の Wi-Fi の不一致が特定され、Wi-Fi 対応の Edge で Wi-Fi が無効になっています)。
-
HA Wi-Fi 機能の不一致がなくなり、Wi-Fi が元に戻されました(両方の Edge が同じ Wi-Fi タイプとして検出され、以前に無効化されていた Wi-Fi Edge で Wi-Fi 機能がリストアされました)。
ハブまたはクラスタの相互接続は GA です
SD-WAN リリース 5.1.0 でアーリー アクセス機能として初めて導入された ハブまたはクラスタの相互接続は、リリース 5.4.0 では完全に GA になりました。このソリューションにより、カスタマーはクラウド、リージョン、データセンターのハブ間で完全な SD-WAN オーバーレイ接続を使用して階層的でスケーラブルなアーキテクチャを構築し、完全な動的マルチパス最適化(Dynamic Multipath Optimization、DMPO)保護、エンドツーエンドの可視性、信頼性を提供できます。
この機能の完全なサポートに加えて、以前のホップ数の制限である 2 は 4 ホップの認定数に引き上げられました。
IPv6 DHCPv6 プレフィックス委任
リリース 5.4.0 では、委任ルーターがクラウド ホスティングの一部またはリモートの場所にある場合、またはカスタマーの ISP が IP アドレスを割り当てるシナリオで、DHCPv6 プレフィックス委任のサポートが追加されています。DHCPv6 プレフィックス委任には IPv6 の新しいアドレス タイプが含まれており、プライマリ トポロジとバックアップ トポロジを許可する 2 台の ISP プレフィックス委任サーバがサポートされます。
重要:
プレフィックス委任機能を使用するには、Orchestrator、Gateway、Edge がすべて 5.4.0 以降のソフトウェア バージョンを使用している必要があります。5.2.0 以前を使用する Edge でプレフィックス委任を使用することはできません。リリース 5.2.0 以前を使用する Edge がプレフィックス委任に設定されている場合、この機能は期待どおりに動作しません。
また、プレフィックス委任で設定された 5.2.0 以前を使用する Edge を 5.4.0 にアップグレードすることはできません。したがって、5.2.0 以前の Edge を 5.4.0 以降にアップグレードする場合は、その Edge でプレフィックス委任が使用されていないことを確認してください。
Microsoft Azure Virtual Edge の Mellanox Bifurcated ドライバのサポート
VMware SD-WAN は、Microsoft Azure Virtual Edge の高速ネットワーク (SR-IOV) サポートを提供し、Mellanox ConnectX-4 および ConnectX-5 NIC のサポートを含みます。Azure Virtual Edge インターフェイスで SR-IOV を有効にすると、Edge で拡張機能が自動的に有効になります。
ネットワークの高速化は、Azure ポータル、Azure CLI、または Azure PowerShell を使用して有効または無効にできます。
注:
この拡張機能には、Mellanox ConnectX-3 NIC のサポートは含まれていません。
Edge での Run-To-Completion FastPath、フェーズ 3
Run-To-Completion はソフトウェア最適化機能であり、Edge と Gateway のパフォーマンスを向上させ、SD-WAN ソリューションの全体的な効率を向上させます。
重要な注意事項
LAN 側 NAT の動作変更
リリース 4.5 以降、LAN 側 NAT がポート アドレス変換 (PAT) を使用して多対 1 変換用に設定されている場合、反対方向から開始されたトラフィックにより、外部マスクと元の IP アドレスに基づいて固定アドレスへの予期しないアクセスが許可される可能性があります。この新しい動作は、宛先 NAT (DNAT)、送信元 NAT (SNAT)、および送信元と宛先 NAT (S+D NAT) のルールに適用されます。
たとえば、内部ネットワークが 192.168.1.0/24 で外部アドレスが 10.1.1.100/32 の SNAT ルールでは、192.168.1.100 への外部から内部への変換が許可されます。
この新しい動作に対処するために、SD-WAN は、PAT の逆方向で接続が開始されたときにトラフィックをブロックするようになりました。
元の動作をリストアするには、元のルール(SNAT、DNAT、S+D NAT)と同じタイプの 2 つのルールを特定の順序で設定する必要があります。たとえば、以前の SNAT シナリオを使用する場合は、次のように設定する必要があります。
-
内部ネットワークが 192.168.1.100/32 で、外部アドレスが 10.1.1.100/32 の SNAT ルール
-
内部ネットワークが 192.168.1.0/24 で、外部アドレスが 10.1.1.100/32 の SNAT ルール
元のルールが DNAT または S+D NAT の場合、同じ構造と順序を持つ 2 つの DNAT または S+D NAT ルールが必要になります。
リリース 4.5.0 ~ 5.2.0 では、診断バンドルの dispcnt ログでカウンタ lan_side_nat_reverse_pat_drop を検索して、このタイプのトラフィックに対してフローがドロップされているかどうかを判断できます。
リリース 5.4.0 以降では、ユーザーはログに 6 つの個別のカウンタを見つけることができます。
-
lan_side_nat_rev_pat_drop_snat1
-
lan_side_nat_rev_pat_drop_snat2
-
lan_side_nat_rev_pat_drop_dnat1
-
lan_side_nat_rev_pat_drop_dnat2
-
lan_side_nat_rev_pat_drop_sdnat1
-
lan_side_nat_rev_pat_drop_sdnat2
VMware SD-WAN Edge モデル 520、540、620、640、680、3400、3800、および 3810 で自動ネゴシエーションを無効にする場合の制限事項
ユーザーが、VMware SD-WAN Edge モデル 620、640 または 680 のポート GE1 〜 GE4 で、または Edge 3400、3800 または 3810 のポート GE3 または GE4 で、あるいは銅線インターフェイスを備えた SFP がポート SFP1 または SFP2 で使用されている場合は Edge 520/540 で、速度とデュプレックスをハードコーディングするために自動ネゴシエーションを無効にすると、再起動してもリンクが起動しない場合があります。
これは、Intel Ethernet Controller i350 を使用するリストされた各 Edge モデルが原因で発生します。これらのモデルには、自動ネゴシエーションがリンクの両側で使用されない場合、送受信する適切なケーブルを動的に検出 (Auto MDIX) することができないという制限があります。接続の両側で送受信に同じケーブルが使用されている場合、リンクは検出されません。ピア側も自動ネゴシエーションなしの Auto MDIX をサポートせず、リンクがストレート ケーブルを使用して起動されていない場合は、リンクを起動するためにクロスオーバー イーサネット ケーブルが必要になります。
詳細については、ナレッジベースの記事「Limitation When Deactivating Autonegotiation on VMware SD-WAN Edge Models 520, 540, 620, 640, 680, 3400, 3800, and 3810 (87208)」を参照してください。
使用可能な言語
バージョン 5.4.0 を使用する VMware SASE Orchestrator は、次の言語にローカライズされています。チェコ語、英語、欧州ポルトガル語、フランス語、ドイツ語、ギリシャ語、イタリア語、スペイン語、日本語、韓国語、簡体字中国語、繁体字中国語。
Orchestrator API の変更点
5.3.0 以降の Orchestrator API の変更
VMware SASE Orchestrator ポータル API(「API v1」)の変更
API v1 ユーザーに影響する問題は次のとおりです。
| チケット |
症状/説明 |
|---|---|
| 既知の問題 #118684 |
APIv1 は、ユーザー参照用のペイロードに増分 ID を含めません。新しいデータベース管理システムへの継続的な移行の一環として、VMware SD-WAN は edgeId などの一部の増分 ID を論理 ID に置き換えました。ほとんどのインターフェイスで論理 ID が使用されるため、この変更が必要です。これは単なる表示上の問題であり、呼び出し側の edgeId を返す側の edgeLogicalId に安全にマッピングできます。 |
| 既知の問題 #123867 |
リンク メトリックとシリーズ API は、メトリックのリストなしで呼び出されるとエラーを返します。これは既知の問題であり、今後のリリースで修正されます。この問題を回避するには、返すメトリック フィールドのリストを含む API 要求を送信します。これにより、API がエラー メッセージを返す場合でも、必要なデータを確実に受信できます。 この問題は API の機能には影響しないため、それらを使用してデータを取得できます。 |
| 既知の問題 #127994 |
Swagger 仕様が、応答スキーマの additionalProperty: title が原因でスキーマ エラーを報告しています。これは表示上の問題で、API の機能に影響しません。この問題は今後のリリースで解決される予定です。Orchestrator がこのスキーマ エラーを受信した場合でも、API を使用してデータを取得できます。 |
| 解決した問題 #127995 |
応答スキーマの items フィールドのタイプが正しくないため、Swagger 仕様がスキーマ エラーを報告しています。これは表示上の問題であり、API によるデータ取得機能には影響しないため、このエラーは無視しても問題ありません。この問題は、リリース 5.4.0 で修正されました。 |
参照用として、完全な API 変更ログは、developer.vmware.com からダウンロードできます(「VMware SD-WAN Orchestrator API v1」を参照)。
VMware SASE Orchestrator API v2 への変更
リリース 5.3.0 以降、新しい API v2 API はありません。
5.3.0 から 5.4.0 への API v2 の変更は次のとおりです。
| チケット |
症状/説明 |
|---|---|
| 解決した問題 #116610 |
ユーザーは APIv2 を介して新しいループバック インターフェイスを追加できません。APIv2 のループバック インターフェイスのスキーマ構造では、インターフェイス ID で指定されたインターフェイスが許可されていませんでした。したがって、ループバック インターフェイスの更新に失敗します。 |
| 解決した問題 #129679 |
Edge のデバイス設定モジュールにサブインターフェイスが設定されている場合、APIv2 PATCH Edge デバイス設定を使用して Edge のデバイス設定モジュールを更新することはできません。Edge のデバイス設定モジュールでサブインターフェイスが設定されている場合、v2 PATCH Edge デバイス設定 API への API 呼び出しにより、要求が「承諾済み」状態で保留になり、最終的にタイムアウトになります。その結果、Orchestrator の Edge のデバイス設定モジュールに反映された変更は表示されません。 |
開発者向けドキュメント
すべての VMware SASE/SD-WAN API ドキュメントは、https://developer.vmware.com/apis の開発者ドキュメント ポータルにあります。
ドキュメントの改訂履歴
2023 年 11 月 16 日。第 2 版。
-
「Orchestrator で解決した問題」セクションに新しい Orchestrator ロールアップ ビルド R5401-20231115-GA を追加しました。これは 1 番目の Orchestrator ロールアップ ビルドで、リリース 5.4.0 の新しいデフォルトの Orchestrator GA ビルドです。
-
Orchestrator ビルド R5401-20231115-GA には、#117138、#123078、#123387、#125309、#125964、#126602、#127727、#127774、#127843、#127904、#128017、#128277、#128279、#128357、#128765、#129061、#129494、#129584、#129756、#129765、#129894、#130153、#130877、#131846 の問題の修正が含まれています。これらのそれぞれについて、このセクションで説明します。
-
「Edge/Gateway で解決した問題」セクションに更新された Edge ビルド R5400-20231108-GA-125647 を追加しました。これは、元の Edge GA ビルド R5400-20231009-GA のアップデートであり、リリース 5.4.0 の新しいデフォルトの Edge/Gateway GA ビルドです。
Edge ビルド R5400-20231108-GA-125647 には、問題 #125647 の修正が含まれています。これについては、このセクションで説明します。
重要:-
以前のリリース 5.4.0 Edge ビルドは廃止され、R5400-20231108-GA-125647 が優先されます。
-
5.4.0 にアップグレードする場合は、R5202-20231107-GA-125647 にのみアップグレードする必要があります。
-
元の 5.4.0 Edge ビルドをすでに正常に使用しているカスタマーは、Edge を R5400-20231108-GA-125647 にアップグレードする必要はありません。
-
2023 年 10 月 19 日。第 1 版。
Edge および Gateway で解決した問題
Edge バージョン R5400-20231108-GA-125647 で解決した問題
Edge ビルド R5400-20231108-GA-125647 は 2023 年 11 月 14 日にリリースされ、リリース 5.4.0 の Edge GA ビルドのアップデートです。
この更新された Edge ビルドは、元の GA ビルド、R5400-20231009-GA 以降の以下の重大な問題に対処します。
重要:
-
リリース 5.2.0 Edge の以前のビルドはすべて廃止され、R5202-20231107-GA-125647 が優先されます。
-
5.2.0 にアップグレードする場合は、R5202-20231107-GA-125647 にのみアップグレードする必要があります。
-
5.2.0.x Edge ビルドをすでに正常に使用しているユーザーは、Edge を R5202-20231107-GA-125647 にアップグレードする必要はありません。
-
解決した問題 125647:Edge モデル 520 または 540 で展開されたサイトの場合、Edge を 5.2.0 バージョンにアップグレードすると、LAN ポートを介して Edge に接続されたクライアント ユーザーの接続が完全に失われることがあります。
Edge 520/540 を再起動するか、5.2.0 バージョンにアップグレードされた後に Edge を古いソフトウェア バージョンにダウングレードしても、問題は解決されません。Orchestrator の [ファイアウォール (Firewall)] 設定ページの [Edge のセキュリティ (Edge Security)] > [コンソール アクセス (Console Access)] 設定で Edge のコンソールが無効になっている(すべての Edge のデフォルト設定)と、Edge 520 または 540 の LAN1 ~ LAN8 ポートを管理するドライバが自分自身を適切に設定せず、これらのポートがまったく作成されません。
この問題の修正が適用されていない Edge でこの問題の発生を防ぐ、または影響を受ける Edge の LAN ポートで接続をリストアするには、[設定 (Configure)] > [Edge/プロファイル (Edge/Profile)] > [ファイアウォール (Firewall)] > [Edge のセキュリティ (Edge Security)] に移動し、[コンソール アクセス (Console Access)] で [有効 (Enable)] および [変更の保存 (Save Changes)] をクリックします。
注:この設定を変更するには、Edge の再起動が必要です。完了するまでに約 2 ~ 3 分かかります。可能であれば、この変更はメンテナンス期間中に実行します。
Edge および Gateway バージョン R5400-20231009-GA で解決した問題
Edge および Gateway ビルド R5400-20231009-GA は 2023 年 10 月 23 日にリリースされ、Edge および Gateway ビルド R5202-20230725-GA 以降の次の問題に対処しています。
注:
リリース 5.4.0 には、5.2.0 リリース ノートに記載されている 5.2.0.2 バージョン (R5202-20230725-GA) までのすべての Edge および Gateway の修正が含まれています。
-
解決した問題 69641:レート制限を含む 1 つ以上のビジネス ポリシーを使用しているカスタマー エンタープライズの場合、レート制限されたビジネス ポリシー フローとは関係のないフローや、他のセグメントやピアのフローなど、すべてのフローでパケット ドロップが発生することがあります。
レート制限されたビジネス ポリシーを設定し、多数のフローを含む需要の多い(制限を超える)トラフィックを送信すると、ネット スケジューラ バッファの制限に達して、他のフロー(他のセグメントやピアのフローも含む)からのパケットがドロップされます。
Edge でこの問題を修正していないエンタープライズでは、回避策としてレート制限の設定を削除し、代わりに可能な限り低い値(低、一括)でルールに一致するトラフィックを再分類します。
-
解決した問題 74422:高可用性の場合、スタンバイ Edge でのみ WAN リンクが稼動し、有効な IP アドレスがある場合、Edge がオフラインになることがあります。
この問題は、WAN リンクで DHCP が有効になっていて、スタンバイ Edge のみが WAN リンクを使用できる場合に発生します。スタンバイ WAN リンクは、DHCP サーバから IP アドレスを受信すると、インターフェイスの詳細をアクティブ Edge に送信します。アクティブ Edge は IP アドレスをルートとして追加する呼び出しを行います。ただし、この機能はルートを Linux カーネルに追加しません。Edge 機能は、ルートを FIB(転送情報ベース)にのみ追加します。その結果、Linux カーネル ルート テーブルにパケットを終了するためのルートがなく、サイトが実質的にオフラインであるため、Edge の管理プロセスでエラーが発生します。
-
解決した問題 79598:冗長トンネルを持つ Zscaler を使用しているカスタマー エンタープライズの場合、プライマリ トンネルからセカンダリ トンネルへのフェイルオーバー時に、トラフィックは想定よりも早くプライマリ トンネルに戻ります。
想定される動作として、プライマリ Zscaler トンネルが起動し、トラフィックがセカンダリ トンネルをさらに 30 分間使用し続けてから、トラフィックがプライマリ トンネルにステアリングされます。これにより、プライマリ トンネルが安定し、再びダウンして別のトラフィック フェイルオーバーを実行する可能性が低くなります。この問題により、トラフィックは 30 分以内にプライマリ トンネルにステアリングされます。
-
解決した問題 91164:高可用性が設定されているハブ Edge のハブは、HA フェイルオーバー後にインターネット バックホール トラフィックを転送しないことがあります。
バックホール フローが WAN オーバーレイが無効になっているルーティング インターフェイスを使用してスタティック ルートを介してルーティングするように設定されている場合に、スタンバイ Edge はインターネット バックホール フローの宛先ルートを設定しません。
-
解決した問題 92421:パブリック オーバーレイとプライベート オーバーレイが異なるカスタム VLAN タグを持つ同じ Edge インターフェイスに設定されている場合、アンダーレイ ルーティング トラフィックがドロップされる可能性があります。
パブリック オーバーレイとプライベート オーバーレイが異なるカスタム VLAN タグを持つ同じインターフェイスに設定されている場合、Edge は誤った VLAN タグを使用して ARP エントリを学習し、トラフィックがドロップされることがあります。
-
解決した問題 96334:IP アドレスが頻繁に変更される VMware SASE Orchestrator では、VMware SD-WAN Edge が Orchestrator と通信できなくなり、オフラインとして報告されることがあります。
Orchestrator の IP アドレスが頻繁に変更されるこのシナリオでは、Orchestrator がループバック インターフェイスを送信元として排他的に使用するように設定されている場合でも、管理トラフィックの送信元をループバック インターフェイスから GE1 ポートの IP アドレスに変更することで、Edge は Orchestrator の IP アドレスの各変更に応答します。その結果、Edge は Orchestrator との接続を失います。カスタマーのトラフィックには影響しませんが、この問題により、設定の更新と監視が期待どおりに動作しなくなります。
-
解決した問題 99162:VMware SD-WAN Edge でトンネル フラップが頻繁に発生すると、メモリ使用量が増加し、Edge が防御的に再起動してメモリをリカバリする可能性があります。
影響を受ける Edge メモリは vc_edge_route オブジェクトで、トンネルの各インスタンスが破棄されてから再構築された後に Edge サービスによってクリアされません。メモリ リークと同様に、このリークによって十分な Edge メモリが消費されると、Edge はサービス再起動をトリガしてメモリをクリアし、ユーザー トラフィックが 10 ~ 15 秒間中断する可能性があります。
-
解決した問題 104776:PPPoE の VMware SD-WAN Edge インターフェイスを設定しているカスタマーの場合、そのインターフェイスの WAN オーバーレイ設定に 802.1P 設定が含まれていると、Edge の送信トラフィックに 802.1P PRI ビットが含まれます。
Edge には、PPPoE インターフェイスに「EGRESS 優先度マッピング」を設定する netifd の設定可能なオプションが含まれていません。その結果、Edge はこれらのパケットを PRI でマークしません。
-
解決した問題 104786:ハブまたはクラスタの相互接続トポロジを使用して展開されたカスタマー エンタープライズの場合、2 つの相互接続クラスタ間のトンネルの自動リバランスは機能しません。
クラスタ スコアまたは BGP フラップが増加する場合、相互接続されたクラスタのリバランスが期待どおりに実行されません。そのため、トンネル使用の不均衡が原因でトラフィックの問題が発生する可能性があります。
-
解決した問題 105034:VMware SD-WAN Edge の CPU とメモリの SNMP ポーリングでは、応答値として常にゼロが取得されます。
Edge の健全性統計の一部としての CPU とメモリの SNMP ポーリングでは、常に応答値がゼロになります。解決策として、「CPU 使用率」の名前が「CPU 負荷平均」に変更され、メモリ使用率も応答として入力されます。
-
解決した問題 106160:Edge が DNS サーバとして設定され、ネクスト ホップがクライアントが DNS サーバにクエリを実行する Edge インターフェイスに対して定義された Gateway である場合、応答はありません。
DNS 要求パケットは、Edge DNS サーバによって期待どおりに受信されます。ただし、応答パケットは iptables 接続トラッキングに基づいてルート テーブル ルックアップを行い、ネクスト ホップ Gateway の IP アドレスを検出して MAC アドレスを解決します。その結果、DNS 応答パケットは送信者ではなく Gateway の MAC アドレスを使用します。
-
解決した問題 106992:ハブまたはクラスタの相互接続トポロジを使用して展開されたカスタマー エンタープライズの場合、ハブ クラスタがそれらの間にオーバーレイを形成できない場合があります。
ハブ クラスタのマッピングが古いため、相互接続が有効になっているハブ クラスタ メンバーがオーバーレイを確立できない場合があります。この問題を修正する唯一の方法は、ハブ クラスタで相互接続を無効にしてから再度有効にすることです。
-
解決した問題 107550:Gateway 経由の Non SD-WAN Destination が展開されているカスタマー エンタープライズの場合、IPsec 暗号化パケットの一部がパスでドロップされることがあります。
現在の実装では、内部 IP ヘッダーの Time to Live (TTL) 値が使用されており、RFC 要件と一致しません。その結果、TTL 値を構成する必要があります。パケットの送信元が低い TTL 値を使用している場合、このパケットが宛先に到達しない可能性があります。
-
解決した問題 108111:オペレータ ユーザーまたはパートナー ユーザーが debug.py --bgp_agg_dump コマンドを使用して VMware SD-WAN Gateway をデバッグしようとすると、コマンドに適切なヘルプ文字列がありません。
ヘルプ文字列は、どのような引数を取るのかを説明します(例:[[v4 | v6 | all] ...]])。この問題では、デバッグ コマンドの文字列が欠落しています。
-
解決した問題 109830:特定の PPTP (Point-to-Point Tunneling Protocol) VPN クライアントとサーバの組み合わせでは、Edge の背後で PPTP サーバとの 1:1 NAT を使用し、クライアントがインターネット上にある場合、接続が中断された後にすぐに接続を再確立できない場合があります。
この問題は Windows Server 2016 および Windows 10 クライアントで発生することが確認されていますが、他のバージョンでも発生する場合があります。この問題は、クライアントが新しい call-id を使用している一方で、サーバが新しい接続に同じ PPTP call-id を再利用していることが原因で発生します。サーバ call-id が新しい接続に再利用される場合、ファイアウォールによってそのことが正しく識別されません。
この問題に対する修正を行わない場合、ユーザーは NAT テーブルから古い PPTP 接続をフラッシュして接続をリストアできます。
-
解決した問題 112115:CPU 負荷の高い VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。
CPU 負荷が高い場合、デバッグ リング ロックを取得する優先順位の低いスレッドが原因で、ミューテックス監視によってトリガされる複数のサービス障害が発生する可能性があります。この問題の解決策は、スレッドをロックなしと待機なしの両方の状態にするようにデータプレーンを機能強化することです。
-
解決した問題 112509:VNF を使用するように設定されている VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、リカバリのために再起動する場合があります。
この問題は、SKB(ネットワーク バッファ)の処理が原因で発生します。SKB 割り当てチェックが見つからない場合があり、これが Edge サービスの障害をトリガする可能性があります。
-
解決した問題 113877:BGP/GRE LAN を設定しているカスタマーが TGW GRE を使用している場合、TGW GRE の BGP 設定がグローバル セグメントで変更されると、すべてのセグメントの TGW セカンダリ トンネルで BGP フラップとトラフィックの中断が発生します。
カスタマーがグローバル セグメント上の TGW GRE の BGP 設定を変更すると、グローバル セグメントおよびその他のセグメントのセカンダリ トンネルがフラップし、BGP 接続のリセットと再コンバージェンスが発生し、トラフィックが中断します。BGP 接続が再形成され、トラフィックがリストアされます。
-
解決した問題 114529:LTE Edge モデル(510-LTE、610-LTE)の場合、CELL1/CELL2 を有効にした後でもユーザーが Orchestrator で CELL 設定を行わず、デフォルトのキャリアと設定が選択されていない場合、Edge は設定エラーをスローします。
ユーザーが [設定 (Configure)] > [Edge] > [デバイス (Device)] > [インターフェイス (Interfaces)] ページから LTE Edge CELL1/CELL2 インターフェイスを有効にし、リストからキャリア/ネットワークを選択しない場合、このフィールドは空として Edge に送信され、Edge はこれを読み取り、使用可能な SPN のものではないというエラーをスローします。このエラーは、Orchestrator の [イベント (Events)] セクションで確認できます。
-
解決した問題 114659:デバッグ コマンド tcpdump.sh が、VMware SD-WAN Gateway で機能しません。
Gateway の AppArmor セキュリティ プロセスにより、/dev/pts/* ターミナルへのアクセスがブロックされます。これにより、vctcpdump プロセスが終了し、tcpdump.sh は stdout に関する情報をキャプチャしません。
この問題の修正が適用されていない Gateway では、回避策として tcpdump.sh-w コマンドを実行して出力をファイルに保存します。このコマンドは引き続き機能します。
-
解決した問題 114854:DPDK が有効になっている VMware SD-WAN Edge モデル 610 のトラブルシューティングを行うユーザーの場合、Orchestrator からパケット キャプチャを実行するか、tcpdump.sh または vctcpdump を使用すると、リターン トラフィックの VLAN タグが見つからないことが示されます。
リターン トラフィックに VLAN タグがないため、Edge 610 のどのバージョンでもネットワークの問題を正常にトラブルシューティングできなくなります。
-
解決した問題 114938:カスタマー エンタープライズの [監視 (Monitor)] > [Edge (Edges)] > [宛先 (Destinations)] を確認すると、宛先のドメイン名が正しく表示されないことがあります。
これらの無効なホスト名によって Edge の DNS キャッシュがいっぱいになり、「最大 DNS に到達 (Max DNS reached)」イベントが発生する可能性があります。この問題が発生すると、有効なホスト名を追加できません。この問題は、Edge の詳細なパケット インスペクション (DPI) エンジンが Edge の DNS キャッシュに無効なホスト名(IP アドレスや IP アドレス:ポートなど)を追加することが原因で発生します。
-
解決した問題 114988:ICMPv6 メッセージ「パケットが大きすぎます (Packet Too Big)」が、VMware SD-WAN Gateway から、または VMware SD-WAN Gateway を経由して受信されません。
Gateway データ パスは、すべての ICMPv6 の「パケットが大きすぎます (Packet Too Big)」メッセージをローカルで使用します。この修正により、Gateway は適切な宛先に確実に送信します。
-
解決した問題 115148:カスタマーが冗長トンネル(つまりアクティブとスタンバイ)を備えたクラウド セキュリティ サービスを展開し、L7 健全性チェックがオンになっている場合、プライマリ CSS トンネルがダウンしてから稼動状態に戻ると、スタンバイ CSS トンネルが起動したままになる場合があります。
L7 健全性チェックがオンになっているときにスタンバイ トンネルが稼動していて、プライマリ CSS トンネルが稼動状態に戻る前にこの機能をオフにすると、スタンバイ トンネルが無期限に稼動状態のままになる場合があります。この問題は、L7 健全性チェックがオフに切り替えられているにもかかわらず、Gateway がプライマリ トンネルの L7 の状態をチェックし、その状態をダウンと読み取り、その結果 Gateway がプライマリ トンネルがダウンしていると判断し、スタンバイ トンネルを稼動状態に保つことが原因です。
この問題の修正が適用されていない Edge では、ユーザーが [リモート アクション (Remote Actions)] > [Edge サービスの再起動 (Edge Service Restart)] を実行すると、その場所での問題が解決されます。
-
解決した問題 115225:VMware SD-WAN Edge で多数のトンネル フラップが発生すると、メモリ リークが原因でメモリ使用量が増加する場合があります。
ログを確認すると、Edge ルート関連のメモリ リークの結果として多数のトンネル フラップが発生している vc_edge_route メモリ オブジェクトが増加します。
-
解決した問題 115262:カスタマー エンタープライズがルーティングに BGP を使用している場合、セカンダリ IP アドレスを持つ BGP ネイバーシップが VMware SD-WAN Edge で起動しない場合があります。
ユーザーが最初に BGP ネイバーを設定してから、VLAN インターフェイスで対応するセカンダリ IP アドレスを設定すると、BGP インターフェイスが VLAN インターフェイスのセカンダリ IP アドレスの削除/追加で更新されないため、BGP セッションが起動しません。
-
解決した問題 115604:VMware SD-WAN Edge または Gateway でデータプレーン サービスの障害が発生し、ログにアサートを含むコアが生成される場合があります。
Edge または Gateway が破損したパケットを処理すると、ソフトウェアは実際のユーザー パケットの長さが内部パケット バッファよりも長いアサートにヒットする場合があります。Gateway はこの種のパケットをドロップして Edge に送信されないようにすることが想定されますが、代わりにパケットを処理するため、サービスが失敗して再起動されます。
-
解決した問題 115869:アップグレード プロセスの途中で、VMware SD-WAN Gateway へのトンネルが再確立されます。
Gateway に接続するトンネルとピアが数千ある大規模な環境では、Gateway をアップグレードすると、トラフィックは設計上セカンダリ Gateway に切り替わります。これにより、ダウンタイムが短くなり、トラフィック フローが迅速に再開されます。アップグレード スクリプトがアップグレード中(4.5.1 から 5.2.0、5.0.1 から 5.2.0、または 5.1.0 から 5.2.0)の Gateway で実行されている場合、アップグレード スクリプトの実行中にトンネルがアップグレード中の Gateway で稼動状態に戻り、トラフィックがセカンダリ Gateway からアップグレード中の Gateway に再度切り替わります。スクリプトが終了すると、Gateway の再起動が必要になり、トラフィックがセカンダリ Gateway に再度切り替わります。これにより、Gateway を使用するマルチパス タイプのトラフィックでカスタマーのトラフィックに重大な中断が発生することがあります。
この問題の修正が適用されていない Gateway では、回避策として vc_proc_mon restart をインストール後のスクリプトからアップグレードの完了後に移動することです。
-
解決した問題 115904:ユーザーが VMware SASE Orchestrator を使用して VMware SD-WAN Edge の診断バンドルをトリガすると、Edge でデータプレーン サービスの障害が発生し、コアが生成され、再起動してリカバリが行われる場合があります。
ユーザーは、[SD-WAN] > [診断 (Diagnostics)] > [診断バンドル (Diagnostic Bundle)] ページで Edge 診断バンドルを生成できます。このアクションを実行すると、dns_name_cache(追加または削除)と DNS 名キャッシュの間で競合状態が発生し、Edge サービスが使用中または削除済みの要素にアクセスしようとして、SIGSEGV または SIGBUS の理由でサービス障害が発生する可能性があります。
-
解決した問題 116049:バックアップとして設定された WAN リンクの VPN 状態が、想定される STANDBY 状態ではなく DEAD 状態になる場合があります。
バックアップ WAN リンク機能(他のパスがダウンしたときにアクティブになるリンク)は影響を受けないため、カスタマーへの影響は軽減されます。ただし、WAN リンクのユーザー インターフェイス ステータスが DEAD と表示されると、カスタマーに混乱が生じる可能性があり、この問題が発生した場合は、バックアップ WAN リンクが実際にダウンしていても [Edge] > [監視 (Monitor)] ページを介して確認できません。
この問題は、エンタープライズが Partner Gateway に接続されていて、設定された BGP ハンドオフ IP アドレスがそのセグメントの Edge インターフェイスの IP アドレスでない場合に発生することがあります。このシナリオでは、Edge のバックアップ リンク チェック メッセージがドロップされる可能性があります。その結果、Edge のバックアップとして設定された WAN リンクは、リンクが起動している場合でも、STANDBY ではなく DEAD としてマークされます。
-
解決した問題 116059:VNF が使用されている高可用性トポロジで展開されたカスタマー エンタープライズ サイトの場合、VNF 管理 VLAN に存在する VNF マネージャからスタンバイ Edge VNF への接続が失敗します。
VNF 管理 VLAN に VNF マネージャが展開されている場合、スタンバイ VNF 管理ブリッジの転送データベース (FDB) で誤った MAC アドレス エントリが学習される場合があり、スタンバイ ブリッジ ポートが無効な状態に設定されていても、このエントリが維持されます。その結果、VNF マネージャからスタンバイ Edge VNF への接続が失敗します。
-
解決した問題 116199:ハブとクラスタの相互接続が設定されているカスタマー エンタープライズの場合、スポーク Edge とハブまたはクラスタ間のトンネルがダウンすると、リモート スポーク Edge からルートが取り消されないことがあります。
この問題は、これらの古いルートを使用しているカスタマー トラフィックに影響を与える可能性があり、ルートを再開始することによってのみ一時的に解決できます。
-
解決した問題 116257:リモート サーバに対して NAT ハンドオフが設定されている Partner Gateway を介して接続された VMware SD-WAN Edge の場合、Edge へのリターン トラフィックがそのサーバからドロップすることがあります。
Edge からリモート サーバへのトラフィックが最初に暗号化されず、後で暗号化されたフラグで更新された場合、ルートが更新されると、ルート ルックアップ エラーが原因で Edge でリバース トラフィックがドロップされます。
この問題は、影響を受ける Edge でフローをフラッシュすることで一時的に解決できます。
-
解決した問題 116368:VMware SD-WAN Gateway のルーティング ログがキャパシティに達し、追加のエントリが蓄積されないことがあります。
この問題は、Gateway のルーティング ソフトウェアでログ ローテーション設定が欠落しているために発生します。これは、新しいログ エントリを追加できるように、キャパシティに到達する前にルーティング ログをローテーションすることを目的としています。この設定がないと、ルーティング ログがローテーションされず、オペレータとパートナーが Gateway の重要なログ エントリを失う可能性があります。
-
解決した問題 116428:複数のセグメントが設定され、非グローバルの各セグメントにカスタム名があるカスタマーの展開では、[リモート診断 (Remote Diagnostics)] > [ping テスト (Ping Test)] を実行するときに、インターフェイスを選択するドロップダウン メニューに各セグメントのカスタム名が表示されません。
非グローバルの各セグメントのカスタム名の代わりに、「セグメント 1」、セグメント 2」のように数字を含む汎用名が表示されます。これは、Edge が非グローバルの各セグメントのセグメント名をハードコーディングした結果です。
-
解決した問題 116827:VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、障害の状態からのリカバリのために再起動する場合があります。
Edge の起動中に競合状態が発生し、未初期化のデータが原因で Edge サービスが失敗するため、Edge でこの問題が発生する場合があります。
-
解決した問題 116894:外部 IP アドレスと送信元 IP アドレスが同じサブネットにある場合、1:1 NAT が正しく機能しません。
この 1:1 NAT 設定では、Edge は NAT 変換中に送信元ポートを変更し、その結果、インバウンド トラフィックのこのルールに一致するトラフィックがドロップされます。
-
解決した問題 116916:Edge の管理プロセスで使用される Edge インターフェイスを介して、任意の宛先への IPv6 カーネルのデフォルト ルートを追加または削除した後、ピア Edge および Gateway への Edge パスがダウンすることがあります。
Edge の管理プロセスで他のノード(Edge または Gateway)とのパスを形成するために使用されるインターフェイスを含む IPv6 カーネルのデフォルト ルートを追加または削除すると、Edge パスがダウンすることがあります。
この問題が修正されずに発生した場合、ユーザーは IPv6 ルートを削除してサービスを再起動する必要があります。
-
解決した問題 116925:FTP トラフィックが、VMware SD-WAN Edge の DPI(詳細なパケット インスペクション)エンジンによって汎用 TCP として誤って分類されることがあります。
この問題が発生すると、ルールが機能しないため、FTP トラフィックを照合することを目的としたビジネス ポリシーまたはファイアウォール ルールを使用しているカスタマーに大きな影響が及ぶ可能性があります。
FTP データ トラフィックは、APP_FTP_DATA ではなく APP_TCP として分類されます。これは、分類が完了すると、FTP 制御フローが DPI エンジン コンテキストから削除されるためです。しかし、FTP データ トラフィックを正しく分類するには、フローが DPI エンジンに保持されている必要があります。
-
解決した問題 117037:複数の WAN リンクを使用してスポーク Edge とハブ Edge の間のトラフィックを送受信するハブ/スポーク トポロジを使用しているカスタマーの場合、WAN リンクが WAN リンクの帯域幅を集約していないため、ビジネス ポリシーによってステアリングされるトラフィックのパフォーマンスが想定よりも低くなる場合があります。
SD-WAN はカウンタを使用して、再シーケンス キューにバッファされたパケット数を計算します。このカウンタはピアごとに管理され、ピアごとに 4K パケットのみがバッファされるようにするために使用されます。状況によっては、このカウンタが負の値になる場合があります。リリース 4.2.x より前のリリースでは、このカウンタが負の値になると、再シーケンス キュー内のパケットをフラッシュした直後に、各カウンタが 0 にリセットされました。ただし、リリース 4.3.x 以降では、このカウンタは自動的に更新され、カウンタが想定された範囲内に留まるようにしています。
この動作の変更の結果、カウンタの計算が正しくないため、再シーケンス キューの数値が非常に高くなり、SD-WAN が各パケットをフラッシュすることによって応答することがあります。このアクションにより、帯域幅の集約が妨げられるだけでなく、単一のリンク上にあるはずのフローの効率が低下する場合があります。
この問題を修正していない Edge では、回避策として、一致するトラフィックを単一の必須リンクにステアリングするビジネス ポリシーを設定します。
-
解決した問題 117314:送信元と宛先の IP アドレス ペアの間に ICMP フローがすでに存在する場合、オブジェクト グループ/サービス グループ(タイプとコード)を使用して ICMP パケットをフィルタリングするファイアウォール ルールが機能しないことがあります。
ファイアウォール機能のリビジョンの一環として、ICMP タイプとコードのキャッシュのために導入された変更が元に戻されました。これは、ICMP タイプとコード(ICMP リダイレクト タイプ 5 とコード 0 など)を持つサービス グループを使用するファイアウォール ルールに影響しました。送信元 IP アドレスと宛先 IP アドレスの間にフローがすでに存在する場合、このフローのルールに一致する ICMP トラフィックは適用されず、セッションの最初のパケットのみがファイアウォール ルールに一致します。この問題は、IPv4 または IPv6 のいずれかの ICMP フローに影響します。
フローをフラッシュして新しい ICMP フローを作成すると、問題が一時的に修正されます。
-
解決した問題 117320:ステートフル ファイアウォールが有効で Syslog がオンになっているカスタマーの場合、LAN 側の NAT ルールに一致するトラフィックの Syslog メッセージに送信元 IP アドレスが含まれません。
任意のトラフィックに対する完全な Syslog メッセージには、特に NAT されたトラフィックの送信元 IP アドレスが含まれていることが想定されます。
-
解決した問題 117831:VMware SD-WAN Gateway のデフォルトのファイアウォール ルールにより、SD-WAN サービスの起動後に Linux Azure エージェントが Azure ファブリックと通信できなくなります。
これは SD-WAN の機能には影響しませんが、Gateway の仮想マシンの一部のメトリックが Azure ポータルに表示されない可能性があります。
Linux Azure エージェントでは、WireServer (168.63.129.16) とのポート 80/TCP および 32526/TCP を介したアウトバウンド通信が必要です。Gateway サービスが起動すると、ポート 32526 がブロックされます。
-
解決した問題 117838:VMware SD-WAN Edge で、データプレーン サービスの障害が発生してコアを生成し、リカバリするために再起動することがあります。
この問題は、ike_ds と比較したときにバージョンが一致しない ike パケットを Edge が受信したときに発生する場合があります。この問題は、Edge サービスがバージョンの一致しないパケットを処理していて、ike_ds の Cookie 値を変更するためにミューテックス ロックを取得するときに発生しますが、バージョンの不一致が発生すると、Edge は Security Association (SA) の削除をトリガし、同じ ike_ds 上でミューテックスを再度取得しようとします。その結果、Edge のデッドロックとサービス障害が発生し、再起動が発生します。
-
解決した問題 117943:Wi-Fi 機能を備えた VMware SD-WAN Edge では、一部の国での自動チャネル選択により、Edge がチャネルを選択した結果 Wi-Fi パフォーマンスが低下したり、Wi-Fi が完全に起動しなくなったりする場合があります。
イギリスなどの一部の国では、5GHz 帯域に設定されている場合、Wi-Fi が起動するまでに長い時間がかかります(起動できない場合もあります)。5GHz 帯域で自動チャネル選択を行うと、特定の国では不適切なチャネル、つまり非常に低電力のチャネル、またはレーダー検出が必要なチャネルを選択してしまう場合があります(起動が遅れたり失敗したりする可能性があります)。
この問題の修正が適用されていない Edge では、ヨーロッパの国で 5GHz 帯域を選択する場合、無線チャネルを(「自動」のままにするのではなく)明示的に 36、40、44、または 48 に設定します。
-
解決した問題 118097:VMware SD-WAN Gateway をデバッグするときに、オペレータまたはパートナー ユーザーの環境で、debug.py --path コマンドが結果を返さない場合があります。
この問題は、一時的なトンネルが存在する場合に未処理のキーが原因で発生し、その結果、Gateway が一時的なパスを処理中に debug.py --path コマンドが中断されます。
-
解決した問題 118348:拡張された高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、ユーザーが VMware SD-WAN Edge サブインターフェイスで DHCP を有効にすると、HA Edge でデータプレーン サービスの障害が発生し、コアが生成され、再起動してリカバリすることがあります。
これがアクティブ Edge で発生すると、HA フェイルオーバーがトリガされ、スタンバイが昇格します。これがスタンバイで発生した場合、フェイルオーバーはありませんが、スタンバイ Edge の WAN リンクを使用するトラフィックが一時的に中断されます。
-
解決した問題 118436:アンダーレイ DNS サーバへの DNS トラフィックが機能しないことがあります。
この問題は、VMware SD-WAN Edge のルーティング インターフェイスが Gateway と DHCPv6 なしで設定され、インターフェイス IPv6 が DNS サーバの IP アドレスとして設定されているが、Partner Gateway に IPv6 のデフォルト ルートがない場合に発生する場合があります。この設定では、アンダーレイからの DNS 応答は Edge によってドロップされます。
-
解決した問題 118591:拡張された高可用性トポロジを使用しているカスタマー エンタープライズ サイトの場合、スタンバイ HA Edge でインターフェイス フラップが頻繁に発生することがあります。
拡張 HA の展開では、多数のフローが送信されるか、多数のルートがインストールされると、スタンバイ Edge インターフェイスの状態が「稼動」から「ダウン」に移行し、再び「稼動」に戻る場合があります。
-
解決した問題 119010:VMware SD-WAN Edge モデル 520 および 540 では、Edge は LAN ポート 1 ~ 4 にある VLAN から LAN ポート 5 ~ 8 にある VLAN にトラフィックを転送できない場合があります(その逆も同様)。
Edge モデル 520 および 540 には 2 つの LAN NIC カードがあり、それぞれに 4 つのポートのバンクがあり、合計で 8 つの LAN ポートがあります。ポートの最初のバンクの LAN ポートに LAN が設定され、ポートの 2 番目のバンクの LAN ポートに別の VLAN が設定されている場合、Edge はこのトラフィックを適切に処理せず、トラフィックはドロップされます。
-
解決した問題 119033:起動時に、VMware SD-WAN Gateway でデータプレーン サービスの障害が発生し、リカバリするために再起動が必要になることがあります。
NAT ポート割り当ての詳細は、設計上、Gateway サービス プロセス(NAD プロセスによって管理される)の外部の共有メモリ セグメントに保存されます。これは、プロセスの再起動時に Gateway サービスが NAT テーブルを迅速に再初期化できるようにするために行われます。ただし、この永続的な状態が破損し、再起動の直後に Gateway サービスが失敗する可能性があります。
この問題の修正が適用されていない Gateway では、NAT テーブルをフラッシュするか、OS を再起動することで、この問題の発生を防ぐことができます。
-
解決した問題 119466:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、HA フェイルオーバー後に多対 1 NAT ルールに一致するトラフィックが失敗することがあります。
この問題が発生すると、LAN 側の NAT エントリはスタンバイ Edge と同期されません。多対 1 NAT にはポート アドレス変換 (PAT) も含まれるため、設定に基づいて LAN 側 NAT エントリを作成できず、HA フェイルオーバーでトラフィックが中断しないように同期する必要があります。
-
解決した問題 119544:VMware SD-WAN Edge のループバック インターフェイスで ICMP エコー応答がオフになっている場合、L7 健全性チェックが失敗し、L7 健全性チェックが設定されている CSS トンネルの破棄が Edge によってトリガされます。
また、管理トラフィックがダイレクトになると、Edge から Orchestrator への通信も失われます。
Edge が L7 健全性チェック リクエスト(HTTP SYN パケット)を送信しようとすると、ループバック インターフェイスに到達します。[ICMP エコー応答 (ICMP Echo Response)] がオフになっているため、その結果 HTTP パケットがドロップされます。L7 健全性チェックで送信した SYN パケットの ACK が取得されない場合、L7 健全性チェックは失敗し、CSS トンネルが破棄されます。
同様に、Edge が Orchestrator に HTTPS パケットを送信しようとすると、ループバック インターフェイスに到達します。[ICMP エコー応答 (ICMP Echo Response)] がオフになっているため、HTTPS ACK パケットがドロップされます。
-
解決した問題 119811:カスタマーの [イベント (Events)] リストで、1 日に複数の MGD_WEBSOCKET_INIT および MGD_WEBSOCKET_CLOSE イベントが表示されます。
Orchestrator の [イベント (Event)] リストに、カスタマー アクションなしで複数の MGD_WEBSOCKET_INIT イベントと MGD_WEBSOCKET_CLOSE イベントが表示される場合があります。
これらのイベント メッセージは誤りであり、重要度は「情報」レベルであるため、無視しても問題ありません。
-
解決した問題 120940:同じ内部 VRF(Gateway 経由の Non SD-WAN Destination の BGP セッションで作成された VRF など)の異なるネイバーの BGP に同じプレフィックスのルートが複数ある場合、すべてのルートで同じネイバー IP アドレスが更新されます。
この問題は、debug.py --routes および debug.py --bgp_view outputs コマンドを使用して SD-WAN Gateway で確認できます。これは、Gateway のルーティング プロセスがネイバー IP アドレス(送信元)を適切に更新しないことが原因で発生します。
-
解決した問題 121024:VMware SD-WAN Edge でインターネット トラフィックに一致するビジネス ポリシーが設定されている場合、リモート アクセス サービス (RAS) トラフィックが失敗します。
Edge でインターネット トラフィックに一致するビジネス ポリシーが設定されていて、アクションによってこのトラフィックが直接ステアリングされる場合、この Edge に到達するリモート アクセス サービス トラフィックでは、リターン トラフィックがこのビジネス ポリシーに一致し、Edge でドロップされます。
唯一の回避策は、RAS サブネットに一致するより具体的なビジネス ポリシーを設定し、マルチパスで(Gateway 経由で)送信するようにアクションを設定することです。
-
解決した問題 121338:WAN リンクがホット スタンバイとして設定されているサイトの場合、VMware SD-WAN Edge には、使用可能な帯域幅の一部としてそのリンクが含まれます。
ホット スタンバイ WAN リンクは設計上アイドル状態であるため、Edge の使用可能な帯域幅に含めないようにする必要があります。ホット スタンバイが含まれているため、Edge は使用可能な帯域幅の合計について不正確な計算を行い、パケット ロスが発生する可能性があります。
-
解決した問題 121513:Gateway で [セキュア BGP ルート (Secure BGP Routes)] オプションが有効になっている Partner Gateway を使用しているカスタマー エンタープライズの場合、クライアント ユーザーはトラフィック品質の問題に遭遇することがあります。
[セキュア BGP ルート (Secure BGP Routes)] が設定されている場合、Partner Gateway の背後で BGP ピアの IP アドレスを送信元として使用してトラフィックが開始されると、Edge でトラフィックがドロップされることがあります。これは、トラフィックが BGP エンドポイントを送信元として開始されると、Gateway にセキュアでないフローが作成されるためです。送信元ルートのタイプが BGP-Peer の場合、セキュアな設定処理が行われません。ただし、Edge の送信元のルート ルックアップが安全なルートを返す場合、受信トラフィックとルート ルックアップのセキュア設定に不一致が生じます。これにより、Edge での送信元のルート ルックアップに失敗します。
-
解決した問題 121606:Partner Gateway に接続しているカスタマーの環境で、Partner Gateway の IPsec VPN トンネルがダウンしている場合があります。
Gateway の IPsec プロセスは、1 つのインターフェイスで最大 64 個の IP アドレスをサポートします。Partner Gateway でこの問題が発生すると、ハンドオフ IP アドレスが Gateway の IPsec プロセス インターフェイスに無条件で追加されます。ハンドオフ IP アドレスの数が 64 の制限を超えると、IPsec プロセスで古い IP アドレスが上書きされ、それらの IP アドレスを使用するトンネルがダウンします。
この問題の修正が適用されていない Gateway でこの問題が発生した場合、すべての PG ハンドオフ IP アドレスが想定どおりに設定されていると仮定しても、実際の回避策はありません。あるいは、不要な PG ハンドオフ IP アドレスを削除することで、Gateway の IPsec プロセスの IP アドレスを 64 未満に減らせれば役に立つ場合があります。この設定の変更後は、Gateway サービスの再起動が必要になります。
より現実的な代替方法は、影響を受ける PG でハンドオフの合計数を 64 未満に減らすのに十分な数の IPsec トンネルを 2 番目の Partner Gateway に移動することです。
-
解決した問題 121815:高可用性トポロジを使用して展開され、VNF を使用するカスタマー エンタープライズ サイトの場合、スタンバイ Edge の LAN インターフェイスが稼動中で、VNF がダウンしていて、アクティブ Edge の LAN インターフェイスがダウンしていて、VNF が稼動中の場合、スタンバイ Edge の LAN ポートが稼動していても HA フェイルオーバーは発生しません。
この問題は、Edge が LAN の数の一部として VNF 状態を HA ハートビートに含めることが原因で発生します。稼動中の VNF は追加の LAN としてカウントされ、リストされた症状が発生します。
この問題は、HA フェイルオーバーの決定を適切に行えるように、VNF 状態を LAN の数から切り離すことで解決されます。この変更により、基本的な WAN と LAN 接続が稼動している場合、Edge は VNF に対してより高い優先度を与えます。つまり、アクティブ Edge で VNF がダウンしていて、スタンバイ Edge で VNF が稼動している場合、少なくとも 1 つの WAN と 1 つの LAN がある場合、スタンバイ Edge はアクティブに昇格します。これは、アクティブ Edge の LAN/WAN 数に関係ありません。
-
解決した問題 121998:ハブ/スポーク トポロジでステートフル ファイアウォールを使用しているカスタマーの場合、スポークとハブの間のトラフィック用に設定されたファイアウォール ルール(送信元 VLAN が含まれている)に一致するトラフィックがドロップされる場合があります。
アプリケーション分類、ビジネス ポリシー テーブル、またはファイアウォール ポリシー テーブルのバージョンが変更されると、SD-WAN は次のパケットでフローのファイアウォール参照を実行します。タイミングの問題により、そのパケットは管理トラフィック (VCMP) 側のパケットになる可能性があります。その結果、ファイアウォール ポリシーの参照キーの作成中に、SD-WAN はスポーク Edge VLAN をハブ Edge VLAN とスワップするため、ルールと一致せず、そのトラフィックをドロップします。
この問題の修正が適用されていない Edge の場合、カスタマーは [送信元 (Source)] を Edge VLAN から「任意」に変更できます。
-
解決した問題 122029:VMware SD-WAN Edge が 5.2.x リリースを使用している場合、GRE 自動化によって展開されたクラウド セキュリティ サービス(通常は Zscaler)が機能しません。
この問題は、Orchestrator がトンネルの設定状態を Edge に送信するために必要なローカル IP アドレスとパブリック IP アドレスの両方の情報が送信されていないために発生します。Orchestrator が自動化 GRE 設定を送信するには、トンネルが保留状態になっている必要があります。
この問題は 5.2.x Edge に制限されています。この問題の唯一の回避策は、Edge を 5.1.x 以前のリリースにダウングレードし、トンネルを起動してから 5.2 以降のリリースにアップグレードすることです。
-
解決した問題 122528:ICMP プローブが設定された WAN スタティック ルートを使用しているカスタマー エンタープライズの場合、ICMP プローブは複数の VMware SD-WAN Edge で一度に機能を停止し、これらのルートを使用するすべてのトラフィックがドロップすることがあります。
各 Edge には、反復の数が最大 65,535 回の ICMP プローブ シーケンス カウンタがあります。このカウンタが 65,535 回の反復の後にロールオーバーすると、プローブが失敗します。
この問題が修正されていない Edge では、回避策として、ICMP プローブを削除し、Edge サービスを再起動してから、プローブをリストアします。
-
解決した問題 123144:Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge] > [宛先 (Destinations)] ページで、無効な宛先ドメイン名が表示されます。
DNS ホスト名の検証の失敗が原因で、Edge は Orchestrator のユーザー インターフェイスに表示される IP:ポートなどの無効な宛先名を送信します。
-
解決した問題 123237:リリース 5.2.x を実行し、インターフェイスが IPv6 のみで設定されている VMware SD-WAN Edge の場合、[診断 (Diagnostics)] > [リモート診断 (Remote Diagnostics)] ページがロードされません。
IPv6 のみの Edge インターフェイスが IPv4 設定を無効にして設定されている場合、キー スクリプトで例外がスローされ、[診断 (Diagnostics)] > [リモート診断 (Remote Diagnostics)] ページがロードされません。
回避策として、ダミー設定で IPv4 設定を有効にします。
-
解決した問題 123956:5.2.x リリースを使用する VMware SD-WAN Edge のローカル ユーザー インターフェイスにアクセスできません。
ブラウザ ページが 404 エラーでロードされません。この問題は、リモート診断とローカル ユーザー インターフェイス スクリプトの両方で例外がスローされた結果です。
-
解決した問題 124106:LAN 側 NAT がポート アドレス変換 (PAT) を使用して多対 1 変換用に設定されている場合、反対方向から開始されたトラフィックにより、外部マスクと元の IP アドレスに基づいて固定アドレスへの予期しないアクセスが許可される可能性があります。
LAN 側 NAT ルールでは、1 対多方向のトラフィックを防止する明確な方法がなくても、多対 1 ルールの両方向で接続を開始できます。現在、1 対多の変換がブロックされ、ユーザーはトラフィックを有効にするために明示的な 1:1 の NAT ルールを作成する必要があります。
この問題は、「重要な注意事項:LAN 側 NAT の動作変更」で詳しく説明されています。
-
解決した問題 124162:VMware SD-WAN Edge インターフェイスでパケット キャプチャを実行すると、破損しているように見えるパケットが表示されることがあります。
実際のパケットの破損はありません。パケットは PCAP ファイルで破損しているように見えるだけです。この問題は、Edge がパケット キャプチャ インターフェイスにパケットを書き込む方法の欠陥が原因で、VLAN タグ付きパケットが誤って書き込まれ、PCAP ファイルに破損したパケット (invalid ether-type) として表示されることがあります。
-
解決した問題 124263:IPv6 ネイバー検出 (ND) および L2 カプセル化パケットの処理中に、VMware SD-WAN Edge で CPU 使用率が高くなる場合があります。
Edge のトラブルシューティングでは、api - vc_ip6_host_addr_to_network_addr での CPU の消費率が高いことが指摘されます。
-
解決した問題 124357:VMware SD-WAN Edge でデータプレーン サービスの障害が発生し、その結果、サービスが再起動される場合があります。
ビジネス ポリシーがインターネット バックホールで設定され、LAN 側から 3,000 バイト以上が送信されると、Edge プロセスは大きなパケット サイズをアサートし、サービス障害を引き起こします。
-
解決した問題 125035:カスタマーが Fortinet 6.4.x VNF を展開すると、Edge の管理 IP アドレスにアクセスできません。
Fortinet は 6.4.x で変更を加えたため、FortiLink と透過モードは連携しません。SD-WAN は FortiLink を使用しないため、この問題の解決策は、VNF の展開中に透過モードを設定する前に FortiLink を無効にすることです。
-
解決した問題 125421:VMware SASE Orchestrator ユーザー インターフェイスの [監視とイベント (Monitoring and Events)] ページで VMware SD-WAN Edge の WAN リンクが断続的にダウン状態になってから再度稼動状態になり、Edge が応答しなくなって手動で再起動されるまでトラフィックの通過に失敗したり、Edge でデータプレーン サービスの障害が発生して再起動したりする場合があります。
これは、Edge データプレーン サービスが共有メモリを開けず、古い PI を引き起こすときに発生する Edge メモリ リークの問題です。これにより、開いているファイル記述子が枯渇し、最初に WAN リンクに影響します。ただし、この問題がさらに進行して Edge メモリが枯渇すると、Edge は次の状態になることがあります。
-
応答しなくなり、Orchestrator を介してアクセスできなくなるため、オンサイトでの再起動/電源の入れ直しが必要になります。
-
Edge サービスの障害をトリガし、コア ファイルが生成され、リカバリのために Edge が再起動します。
-
-
解決した問題 125487:ARP 解決の問題により、Edge 間のトラフィック フローが中断する場合があります。
この問題が発生すると、Edge はサブインターフェイス IP アドレスではなくプライマリ インターフェイスの IP アドレスを使用して ARP 要求をネクスト ホップ IP アドレスに転送します。この問題は、接続されていないルートを使用して宛先に到達するときにフローの作成中にトリガされ、Edge のサブインターフェイスがその接続に使用されている場合、Edge はサブインターフェイス ケースの送信元 IP アドレスを適切に入力しません。
-
解決した問題 126304:1:1 NAT ルールの送信元の変換が多対 1 NAT ルールまたは他の 1:1 NAT ルールと重複する場合、ポートの競合や変換の失敗が発生することがあります。
この動作を修正するために、1:1 NAT ルールの送信元変換が別のルールと重複する場合、1:1 NAT ルールでもポート アドレス変換 (PAT) が有効になります。
-
解決した問題 126458:高可用性トポロジを使用して展開されたカスタマー サイトで、HA Edge が Edge モデル 520/540 である場合、アクティブ/アクティブ状態の結果として複数の HA フェイルオーバーが発生することがあります。
この状態は、同時フローの数が 300,000 を超えると、HA が設定された 520/540 Edge でトリガされます。
この問題の修正が適用されていない Edge 520/540 HA Edge では、回避策として、[設定 (Configure)] > [Edge] > [デバイス (Device)] ページで HA フェイルオーバー時間を 700 ミリ秒から 7,000 ミリ秒に増やします。これにより、アクティブ/アクティブ状態の変更が減少します。
-
解決した問題 127127:VMware SD-WAN Gateway がリリース 5.1.x 以降にアップグレードされると、VMware SD-WAN Edge はハブ Edge からルートを学習しません。
Edge がハブ経由のブランチ間で設定されていて、リストに同じ Edge のみが含まれ、Gateway が 5.1.x 以降のバージョンを実行している場合、ルートは Gateway から Edge に広報されません。
唯一の回避策は、ハブ経由のブランチ間設定から Edge を削除することです。
-
解決した問題 127403:Orchestrator ユーザー インターフェイスの [テストとトラブルシューティング (Test & Troubleshoot)] > [リモート診断 (Remote Diagnostics)] ページでリモート診断「OSPF のトラブルシューティング - OSPF 再分散ルートの一覧表示 (Troubleshoot OSPF - List OSPF Redistributed Routes)」または「BGP のトラブルシューティング - BGP 再分散ルートの一覧表示 (TroubleshootBGP - List BGP Redistributed Routes)」を実行すると、データなしでエラーが返されます。
いずれかの診断を実行すると、次のエラーが表示されます:「テスト用のデータの読み取りエラー (Error reading data for test)」。
-
解決した問題 128377:ルーティングに BGP を使用しているカスタマー エンタープライズの場合、BGP の障害が原因でユーザー トラフィックが中断することがあります。
self_mac_hash の無効なメモリ アクセスが原因で、クリーンアップ中に BGP プロセスがクラッシュすることがあります。
bgp_master のクリーンアップの一環として、self_mac_hash はすでにクリーンアップされています。ただし、クリーンアップが発生した後でメッセージを処理しているときに、BGP は削除されたハッシュにアクセスし、障害が発生します。
-
解決した問題 128741:VMware SD-WAN Gateway で、データプレーン サービスの障害が発生してコア ファイルを生成し、リカバリするために再起動することがあります。
Non SD-WAN Destination IPsec トンネルまたは GENEVE インターフェイスで有効な管理パケットが予期せず到達すると、そのパケットの処理中に Gateway でエラーが発生し、Gateway サービス プロセスが失敗することがあります。
Orchestrator で解決した問題
Orchestrator バージョン R5401-20231115-GA で解決した問題
Orchestrator ビルド R5401-20231115-GA は 2023 年 11 月 15 日にリリースされた、リリース 5.4.0 の 1 番目の Orchestrator ロールアップです。
この Orchestrator ロールアップ ビルドは、元の GA ビルド、R5400-20231020-GA 以降の以下の重大な問題に対処します。
-
解決した問題 117138:Zscaler Automation を使用して Zscaler クラウド セキュリティ サービス (CSS) を作成するときに、Edge から Zscaler CSS への IPsec トンネルが作成されないことがあります。
Orchestrator は、Edge ごとに 1 つのアクションのみをキューに登録します。ただし、1 つのアクションが [通知済み (NOTIFIED)] 状態で停止すると、後続のすべてのアクションは実行されず、IPsec トンネルは構築されません。
この問題の修正が適用されていない Orchestrator では、オペレータ ユーザーは Orchestrator データベースから古い Edge アクションを手動で削除する必要があります。
-
解決した問題 123078:VMware SASE Orchestrator ユーザー インターフェイスを使用し、[監視 (Monitor)] > [Edge] > [概要 (Overview)] ページに移動すると、列が適切に整列されず、読みにくい状態になります。
ユーザー インターフェイスには [デバイス シリアル番号 (Device Serial Number)] 列の情報は含まれていません。つまり、11 の列がありますが、ヘッダーは 10 個のみで、そのせいで読みやすさの問題が発生します。
-
解決した問題 123387:ユーザーは、既存の IP アドレスを持つ Zscaler タイプの Gateway 経由の Non SD-WAN Destination (NSD) を追加できません。
Orchestrator の検証により、別の Gateway 経由の NSD ですでに使用されているプライマリまたはセカンダリ IP アドレスを持つ Zscaler を追加できなくなります。
-
解決した問題 125309:ユーザーが [設定 (Configure)] > [デバイス (Device)] > [IPv6 設定 (IPv6 Settings)] で Edge レベルで IPv6 を無効にしても、IPv6 の OSPF オプションの編集、有効化、保存を実行できます。
これにより、OSPF の IPv6 バージョンが有効ではないため、これらの設定を行うべきでないことを知らずにこれらの設定を行うカスタマー ユーザーに混乱が生じます。
-
解決した問題 125964:Gateway 経由の Non SD-WAN Destination (NSD) を展開しているカスタマーの場合、[設定 (Configure)] > [ネットワーク サービス (Network Services)] > [Gateway 経由の NSD (NSD via Gateway)] > [汎用 IKEv2 (Generic IKEv2)] ページに移動し、カスタム サイト サブネットを追加した後に [保存 (Save)] をクリックすると、NSD 設定の変更が保存されません。
この問題は、[プライマリ VPN Gateway (Primary VPN Gateway)] セクションのフィールド([IKE SA の有効期間 (分) (IKE SA Lifetime (min))] および [IPsec SA の有効期間 (分) (IPsec SA Lifetime(min))])が無効であるために発生します。
カスタマーが古いユーザー インターフェイスを使用してタスクを完了しています。
-
解決した問題 126602:カスタマーは、既存のパートナー設定の Gateway プールに Gateway プールを追加できません。
既存の管理対象プール ID がユーザー インターフェイスによって削除されないため、パートナー設定の Gateway プールに管理対象プールがある場合、追加しようとするとエラーが返されます。
-
解決した問題 127727:新しいクラウド セキュリティ サービス (CSS) を作成する場合、ユーザーは [ドメスティック プリファレンス (Domestic Preference)] オプションを設定できません。
ユーザーが [ドメスティック プリファレンス (Domestic Preference)] チェック ボックスを有効にして設定を保存すると、Orchestrator は認証情報を検証し、「変更が正常に保存されました! (Changes saved successfully!)」というメッセージを表示します。ただし、保存後 CSS プロファイルを再度開くと、[ドメスティック プリファレンス (Domestic Preference)] チェック ボックスが選択されていません。
-
解決した問題 127774:[設定 (Configure)] > [Edge] > [デバイス (Device)] > [接続 (Connectivity)] > [ループバック インターフェイス (Loopback Interfaces)] で、ループバック インターフェイスを設定しようとすると失敗することがあります。
問題が発生すると、ユーザーが Edge のループバック インターフェイスを設定して変更を保存すると、ユーザー インターフェイスはエラーはスローしませんが、設定は適用されず、ユーザー インターフェイス ページに表示されません。
-
解決した問題 127843:イタリア語にローカライズされている場合、ユーザー インターフェイスが正しく表示されません。
これは、一部のナビゲーション タブが互いに重複しているため、ユーザーに影響します。
-
解決した問題 128017:[設定 (Configure)] > [Edge] > [デバイス (Device)] ページに移動しても、ページが読み込まれないことがあります。
この問題が発生すると、Edge 設定の参照が Orchestrator によってデータベースから誤って削除されます。これらの参照を削除すると、リストアできなくなります。
この問題の修正が適用されていない Orchestrator では、唯一の回避策は、Edge がその Edge に関連付けられているプロファイルのすべての設定を強制的に使用するようにすることです。Edge に多くのカスタム Edge 固有のルールの設定がある場合、これは、その Edge 専用の特別なプロファイルを作成することを意味します。
-
解決した問題 128277:パートナーまたはエンタープライズのネイティブ ユーザー(ユーザー名とパスワードを使用して Orchestrator にログインするユーザー)が期限切れのパスワードでログインしようとすると、ユーザー インターフェイスがループに入り、空白の画面が表示されます。
ユーザーは、期限切れのパスワード画面が無期限に何度も更新されるのを確認します。これを回避する唯一の方法は、正しいロールを持つオペレータまたはパートナーがユーザーのパスワードをリセットすることです。
-
解決した問題 127904:ユーザーがスタティック ルートを作成し、このルートに ICMP プローブを追加すると、Edge は ICMP プローブをインストールせず、解析エラーを表示します。
この問題は、Orchestrator から Edge に、ネクスト ホップの IP アドレスと送信元 IP アドレスの値を空の文字列ではなく null として送信することが原因で発生します。
-
解決した問題 128279:[設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] > [ルートのリスト (Routes List)] ページには、最大 256 個のルートが表示され、クリックしてルートの追加ページに移動するオプションがありません。
256 ルートというハード制限があり、ページネーションがないということは、256 のハード制限をはるかに超える多数のルートを含む大規模企業のカスタマーに影響します。
-
解決した問題 128357:ルーティングに OSPFv2 または OSPFv3 を使用し、[デフォルト ルート (Default Route)] リストから [OE1] を選択するカスタマー エンタープライズでは、[広報 (Advertise)] リストに無効なオプション [なし (None)] が表示されます。
[広報 (Advertise)] の有効なオプションは、[常時 (Always)] と [条件付き (Conditional)] です。[なし (None)] は有効なオプションではなく、ユーザー インターフェイスに表示しないようにする必要があります。
-
解決した問題 128765:[BGP フィルタ (BGP Filters)] ページで、ユーザーがページを変更しても [送信 (Submit)] ボタンはアクセスできないままです。
ユーザーが [BGP フィルタ (BGP Filters)] テーブルを編集し、現在のページが無効な状態で別のページに移動した場合、ユーザーが元のページに戻って正しい情報を入力すると、コントロールは無効になります。
この問題の修正が適用されていない Orchestrator では、ユーザーはコントロールが無効なテーブルのページに留まる必要があります。または、この行を削除して再度追加することもできます。
-
解決した問題 129061:[カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [追加の設定 (Additional Configuration)] > [Gateway プール (Gateway Pool)] 画面で [パートナー ハンドオフ (Partner Hand off)] が有効化されているカスタマーの場合、Gateway の [ハンドオフ インターフェイス (Hand Off Interface)] の [IPv6] セクションで、[プライベート トンネルに使用 (Use for Private Tunnels)] および [BGP 経由のローカル IP アドレスの広報 (Advertise Local IP Address via BGP)] チェック ボックスをクリックできません。
これにより、ユーザーはハンドオフ インターフェイスの IPv6 プライベート トンネルを無効にできなくなります。
-
解決した問題 129494:[カスタマー (Customer)] > [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [サービス設定 (Service Configuration)] > [SD-WAN] ページで、ユーザーがサービス設定を編集するときに、毎回ドメイン名を追加する必要があります。
カスタマーに対してシングル サインオン (SSO) 認証または Edge Network Intelligence (ENI) が設定されていない場合でも、この操作を実行する必要があります。カスタマーが ENI または SSO を使用していない場合、ドメイン名は必須ではありません。
-
解決した問題 129584:[設定 (Configure)] > [Edge (Edges)] > [ビジネス ポリシー (Business Policy)] ページで、ユーザーが既存のビジネス ポリシー ルールを編集しても、Orchestrator ユーザー インターフェイスは変更を保存した後でも [宛先 (Destination)] フィールドの再設定された値を更新しません。
たとえば、[宛先 (Destination)] が [IP アドレス (IP Address)] に設定されている既存のビジネス ポリシー ルールの場合、ユーザーが宛先の値を [任意 (ANY)] に変更し、変更を保存すると、ルールの [宛先 (Destination)] フィールドに加えられた変更はユーザー インターフェイスに反映されません。ルールに [任意 (Any)] ではなく [IP アドレス (IP Address)] に設定された [宛先 (Destination)] フィールドが引き続き表示されます。
-
解決した問題 129756:オペレータがクラウドベースの VMware SASE Orchestrator の更新スキーマを実行すると、Orchestrator がリモート データベースに接続できない場合があります。
この問題は、仮想マシンベースの Orchestrator には影響しません。
-
解決した問題 129765:VMware SD-WAN Edge のルーティング インターフェイスを編集するときに、Orchestrator ユーザー インターフェイスで
dhcpServer.optionsのデフォルト値が誤って入力されます。たとえば、ユーザーが「GE3」ルーティング インターフェイスを編集してデバイス設定データを保存すると、「dhcpServer」の下の「options」フィールドの値が空の配列ではなく null として送信されます。
-
解決した問題 129894:ユーザー インターフェイスのオペレータ ポータルで、[Gateway 管理 (Gateway Management)] > [Gateway (Gateways)] > [概要 (Overview)] > [カスタマー使用状況 (Customer Usage)] 画面を確認すると、一部の Edge クライアント トンネルの詳細が見つからないことがあります。
この問題は、Edge 名、Gateway プール名、および Gateway タイプが同じ場合に発生する可能性があります。
-
解決した問題 130153:サポート ロールを持つエンタープライズ ユーザーの場合、[監視 (Monitor)] > [Edge (Edges)] > [Edge の選択 (Select Edge)] > [ショートカット (Shortcuts)] > [リモート アクション (Remote Actions)] メニューで [サービスの再起動 (Restart Service)] オプションを使用できません。
これにより、[監視 (Monitor)] > [Edge (Edges)] ページのショートカット メニューからサポート ロール ユーザーが Edge サービスの再起動を実行できなくなります。
-
解決した問題 130877:ユーザーが Orchestrator ユーザー インターフェイスを使用して Edge にスタティック ルートを追加すると、その Edge のクライアント ユーザーは、一部のローカル ルートでトラフィックが失敗することを確認できます。
ユーザー インターフェイスの [設定 (Configure)] > [Edge] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] > [スタティック ルート設定 (Static Route Settings)] で、[ローカル ルート (Local Routes)] のインターフェイス設定が [N/A] に変更され、編集できません。その Edge の local_routes ログでは、影響を受けるローカル ルートに
"reachable": "False"と表示されます。この問題は、スタティック ルートのネクスト ホップ IP アドレスが VLAN ネットワークの同じサブネット内にある場合に発生する可能性があります。このシナリオでは、Orchestrator ユーザー インターフェイスによってスタティック ルートのインターフェイスが削除され、その結果、これらのローカル ルートで到達可能性が「false」と表示されます。
-
解決した問題 131846:Orchestrator ユーザー インターフェイスの [グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] > [パートナー ハンドオフ (Partner Hand off)] > [ハンドオフ インターフェイス (Hand Off Interface)] ページで、ユーザーがスタティック ルートを追加するために [追加 (Add)] ボタンをクリックすると、ユーザー インターフェイスにエラー メッセージが返されます。
ユーザーがスタティック ルート セクションの [追加 (Add)] ボタンをクリックすると、新しい空の行がテーブルに追加されますが、「変更を保存できません。設定に 1 つ以上のエラーがあります (Cannot save changes. There is one or more errors in your configuration)」というエラー メッセージが表示されます。これは、[グローバル設定 (Global Settings)] 画面の [パートナー ハンドオフ (Partner Handoff)] セクションで空のスタティック ルート設定の検証が行われないために発生します。この問題は、情報が設定されていない行にのみ影響します。
この問題には、2 つの回避策があります。
-
すべての必須フィールドに入力します。これにより、エラー メッセージ(「変更を保存できません....(Cannot save changes...)」)が自動的に解決されます。
-
新しく追加された空の行をセクションから削除します。これらの空の行を削除すると、エラー メッセージが自動的に解決されます。
-
Orchestrator バージョン R5400-20231020-GA で解決した問題
Orchestrator バージョン R5400-20231020-GA は 2023 年 10 月 23 日にリリースされ、Orchestrator バージョン R5302-20231011-GA 以降の次の問題に対処しています。
注:
リリース 5.4.0 には、5.2.0 リリース ノートに記載されているバージョン 5.2.0.3 (R5203-20230809-GA) までのすべての Orchestrator の修正、および 5.3.0 リリース ノートのバージョン 5.3.0.2 (R5302-20231011-GA) までのすべての Orchestrator の修正が含まれています。
-
解決した問題 48230:[監視 (Monitor)] > [Edge (Edges)] ページで、「モデル」を使用した Edge の検索結果が完全に正確ではありません。
ユーザーがモデル番号でフィルタリングすると、Orchestrator は追加の Edge を返します。
-
解決した問題 48609:[監視 (Monitor)] > [ルーティング (Routing)] ページで、マルチキャスト ルート テーブルのセグメント名を並べ替えることができません。
リリース 5.4.0 では、API が拡張され、セグメント名が並べ替えパラメータとして受け入れられ、セグメント名を並べ替えるのに役立ちます。
-
解決した問題 78581:Orchestrator ユーザー インターフェイスでコネクト ルートが無効になっている場合でも、ユーザーは VLAN を広報できます。
このアクションは、Orchestrator によって拒否され、エラーがスローされる必要があります。修正バージョンでは、Orchestrator ユーザー インターフェイスはコネクト ルートをリッスンし、コネクト ルートに基づいて広報フラグを無効にします。その逆も同様です。
-
解決した問題 82095:Edge の接続に重大な問題を引き起こすことがある、Edge VLAN に対する無効なデバイス設定をユーザーが行う可能性があります。
Orchestrator では、デバイス設定の検証を試みません。具体的には、空のテーブルを持つスイッチ ポートの VLAN 設定などです。一部の設定がエラーだらけになり、Edge の管理プロセスが失敗する可能性があります。
この問題の修正が適用されていない Orchestrator では、カスタマーはすべての VLAN デバイス設定を確認し、これらの設定が有効であることを確認する必要があります。これは Orchestrator ではチェックされません。
-
解決した問題 91869:オペレータ ユーザーが [パートナーの管理 (Manage Partners)] に移動し、[オペレータ プロファイルの追加 (Add Operator Profile)] ボタンをクリックすると、オペレータ プロファイルの説明テキストが特定の長さを超えると切り詰められます。
Orchestrator は、テキストの長さに関係なく、オペレータ プロファイルの説明を切り詰めないようにする必要があります。
-
解決した問題 92766:[監視 (Monitor)] > [ルーティング (Routing)] ページで、ページネーション情報が正しくありません。
ユーザーが [次へ (Next)] ボタンをクリックすると、フィルタ ロジックが正しく適用されず、表示されるページ番号が正しくないため、最後のページに到達した後でもユーザー インターフェイス ページが停止しません。
-
解決した問題 102121:Orchestrator ユーザー インターフェイスの使用中に Edge のファイアウォール設定を更新せずに Edge の Secure Access 設定を複数回更新すると、Secure Access 設定の更新が Edge に送信されないことがあります。
この問題は、エンジニアリング部門がファイアウォールの更新なしで多数の Secure Access 更新を意図的に強制するテストで最も頻繁に発生します。ただし、まれに現場のカスタマーが原因で発生する場合があります。
修正されていない Orchestrator でこの問題が発生した場合、ユーザーはユーザー インターフェイスから Edge のファイアウォール設定を 1 回だけ手動で更新できます。ファイアウォールの手動更新後、ユーザーはユーザー インターフェイスから Edge Secure Access 設定の変更をやり直すことができます。Orchestrator は Edge Secure Access 設定の変更をユーザー インターフェイスから Edge にプッシュします。
-
解決した問題 103828:アプリケーション マップ エディタのアプリケーション検索フィルタの透明度が低くなります。
これにより、アプリケーションの設定の確認または変更が非常に困難になり、目的のアプリケーションを見つけるために、多数のページのアプリケーションを手動でページングする必要があります。
-
解決した問題 104395:[監視 (Monitor)] > [ネットワーク (Network)] > [概要 (Overview)] ページの [リンク ダウン (Links Down)] セクションには、リンクがダウンしている最初の 10 個のサイトのみが表示されます。ユーザーが [すべてを表示 (View All)] ボタンをクリックすると、1 つ以上のリンクがダウンしている Edge を持つサイトのみを表示したい場合でも、Orchestrator ユーザー インターフェイスはリンク状態に関係なくすべての Edge を一覧表示する [Edge (Edges)] セクションに移動します。
ユーザーが [リンク ダウン (Links Down)] アイコンをクリックすると、リストには 10 個だけでなく、すべてのダウンしたリンクが表示される必要があります。また、[すべてを表示 (Show All)] ボタンをクリックした後にリンクまたは Edge の状態で Edge をフィルタリングすることができません。
-
解決した問題 108285:Orchestrator ユーザー インターフェイスでプロファイルを設定するときに、ユーザーが Edge インターフェイスをスイッチングからルーティングに変更すると、Orchestrator は新しいルーティング インターフェイスを適切なインデックスに挿入するのではなく、ルーティングの最後に追加します。
プロファイル設定のルーティング インターフェイスの順序が正しくないと、ユーザーがそのルーティング インターフェイスの参照を使用してスタティック ルートを追加するときに、検証の問題が発生します。
-
解決した問題 108687:ユーザーは、同じ IP アドレスを持つ複数の Gateway を使用するように Gateway 経由の Non SD-WAN Destination を設定できます。
Orchestrator はこの設定を拒否し、エラーをスローする必要があります。
-
解決した問題 109125:Orchestrator ユーザー インターフェイスの [管理 (Administration)] > [ユーザー管理 (User Management)] ページで、SSH キーを [期間 (Duration)] 列で並べ替えることができません。
これにより、キーの期間で特定の SSH キーを見つけようとする場合にユーザーの機能が制限されます。
-
解決した問題 109715:[Edge ダウン リンク制限 (Edge Down Link Limit)] が 24 時間以上に設定されていても、ダウンした WAN リンクが 24 時間後に [監視 (Monitor)] > [ネットワークの概要 (Network Overview)] ページに表示されなくなります。
ユーザーは、[カスタマーとパートナー (Customers & Partners)] > [カスタマーの監視 (Monitor Customers)] > [サービス設定 (Service Settings)] > [Edge 管理 (Edge Management)] に移動し、[Edge の全般設定 (General Edge Settings)] セクションで [Edge リンク ダウン制限 (Edge Link Down Limit)] を 24 時間を超える値に設定して保存できます。しかし、この新しい設定にもかかわらず、24 時間後に [監視 (Monitor)] ページにはダウンした WAN リンクが表示されなくなります。
-
解決した問題 110285:ネットワーク サービスの数が 5,000 を超えるカスタマー エンタープライズの場合、[ネットワークの概要 (Network Overview)]、[監視 (Monitor)] > [Edge (Edges)]、[設定 (Configure)] > [Edge (Edges)]、[設定 (Configure)] > [Edge (Edges)] > [デバイス (Device)] で Orchestrator ユーザー インターフェイスのロードが遅くなる場合があります。
この問題は、取得するネットワーク サービスが多数ある場合、getEnterpriseServices API 呼び出しで結果の取得に時間がかかるために発生します。
-
解決した問題 111407:VMware SASE Orchestrator では、Edge のルーティング インターフェイスがユーザー定義で、WAN リンクが関連付けられていない場合、無効にすることができません。
Orchestrator の検証では、WAN リンクを追加せずにデータを保存することはできません。唯一の回避策は、WAN リンクを追加することです。
-
解決した問題 111497:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] ページで、[優先 VPN 出口 (Preferred Exit VPN)] の値がサイト サブネットに対して「未定義」と表示されます。
ネクスト ホップ設定が Gateway 経由の Non SD-WAN Destination に対して設定されている場合、[設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] のサイト サブネットでは、トンネル タイプが「ACTIVE_ACTIVE」である VPN の [優先 VPN 出口 (Preferred Exit VPN)]が「未定義」として表示されます。
-
解決した問題 111778:ユーザーが Check Point タイプの Gateway 経由の Non SD-WAN Destination を編集している場合、Orchestrator は VPN タイプを汎用 IKEv1 ルーターに変更します。
この問題によって、Check Point タイプの NSD を使用するカスタマーで問題が発生し、ユーザーが Orchestrator ユーザー インターフェイスの動作を把握しない場合に中断を引き起こす可能性があります。
-
解決した問題 112123:VMware SD-WAN Edge 640-N が追加されると、VMware SASE Orchestrator ユーザー インターフェイスにモデル名が誤って表示されます。
Orchestrator ユーザー インターフェイスに「Edge 640-N」ではなく「EdgeModel.edge640-n」という名前が表示されます。
-
解決した問題 112188:GRE を使用して Non SD-WAN Destination を展開するカスタマー エンタープライズの場合、NSD トンネルがダウンすると、Orchestrator に誤ったメッセージが表示されます。
NSD トンネルが GRE の場合、Orchestrator には、「Edge ダイレクト IPsec トンネル ダウン (Edge Direct IPsec tunnel down)」というメッセージが表示されます。
-
解決した問題 112535:[設定 (Configure)] > [ファイアウォール (Firewall)] でファイアウォール ルールを設定すると、[送信元 (Source)] > [定義 (Define)] > [トランスポート (Transport)] 画面にトランスポート ポートが正しく表示されません。
Orchestrator の [トランスポート ポート (Transport Port)] オプションには「トランスポート (Transport)」とのみ表示され、これはあいまいで、ファイアウォール ルールの設定時に混乱を引き起こす可能性があります。
-
解決した問題 112826:カスタマーが Orchestrator ユーザー インターフェイスを介してアラートのリストを CSV ファイルにエクスポートすると、512 個のアイテムのみが取得されます。
API を使用して同じエクスポートを実行すると、最大 2,048 個のアラートを配信できます。これは、Orchestrator ユーザー インターフェイスのエクスポートでも想定される数です。512 個の制限は、指定された期間のアラートの数が 512 個の制限を超える場合にアラートをエクスポートするユーザーに影響します。
-
解決した問題 113474:IPv6 LAN インターフェイスまたはサブインターフェイスで DHCPv6 プレフィックス委任を設定するときに、部分的なホスト インターフェイス アドレスを設定できません。
Orchestrator に、部分的な IPv6 アドレスを許可するための適切な検証機能がありません。
この動作では以下が想定されます。この修正により、LAN および VLAN の DHCPv6 プレフィックス委任に対して、次のタイプのインターフェイス アドレスの全部または一部が許可またはブロックされます。
-
許可された IPv6 アドレス:
-
2001::20; 2222:db8:3333:4444:5555:6666:7777:8888
-
2001:db8:3333:4444:CCCC:DDDD:EEEE:FFFF
-
::1:0:0:0:1
-
::f:1:0:f
-
::f:1:e;
-
::c:1
-
-
UNIQUE_LOCAL_IPV6 - fc00::
-
GLOBAL_UNICAST - 2000:: または 2001:0DB8:C21A:1::
-
ブロックされた IPv6 アドレス:
-
空のアドレス - ::
-
マルチキャスト アドレス - FF01:0:0:0:0:0:0:18C、FF01:0:0:0:0:0:0:BAC0、または FF01:0:0:0:0:DB8::
-
ループバック - 0:0:0:0:0:0:0:1 または ::1
-
リンク ローカル - fe80::210:5aff:feaa:20a2 または fe80::260:97ff:fe02:6ea5
-
サイト ローカル - fec0::
-
-
:: のペアは 1 つのみ使用でき、次の IP アドレスはブロックされます:::1:0:0::0:1 または ::f:1:0::f
-
-
解決した問題 113530:ルーティング LAN インターフェイスまたはサブインターフェイスでは、IPv6 アドレス指定タイプを DHCPv6 プレフィックス委任から他のタイプに変更することができません。
Orchestrator で DHCPv6 プレフィックス委任を設定できる [設定 (Configure)] > [Edge] > [デバイス (Device)] > [インターフェイス (Interfaces)] > [LAN IPv6] セクションで、他のアドレス指定タイプ(スタティック/DHCP ステートフル/DHCP ステートレス)を選択しようとすると、[保存 (Save)] オプションはアクセスできないままとなり、変更を完了できません。この問題は、Edge の DHCPv6 プレフィックス委任設定の一意性をチェックするプロセスの欠陥が原因で発生します。
-
解決した問題 114151:Edge と Gateway をそれぞれのリスト ページに表示するときに、割り当てられた証明書がオプションの列になります。
証明書の使用はデフォルトの動作であるため、ユーザーが設定しなくても Edge リストまたは Gateway リストのデフォルトの列セットに常に表示される必要があります。
-
解決した問題 114444:VMware SASE Orchestrator をバージョン 5.1.x 以降にアップグレードすると、冗長トンネルがすでに設定されている Gateway 経由の Non SD-WAN Destination の設定の変更を保存できません。
ユーザーは [Gateway 経由の NSD (NSD via Gateway)] ページで設定を保存できず、冗長 NSD の Gateway でパケット ドロップが発生する可能性があります。
この問題の回避策は、冗長 BGP ネイバーの [Gateway 経由の NSD (NSD via Gateway)] ユーザー インターフェイスで最大ホップ数を 2 に更新し、変更を保存することです。
-
解決した問題 114475:オペレータがリリース 4.2.0 から 5.1.0 に VMware SASE Orchestrator をアップグレードしようとすると、Orchestrator がアップグレードに失敗したことを報告することがあります。
ログで、オペレータは次のエントリを確認します。
Error while initializing CWS Server service Error: Too many connections。この問題は、vco-db-schema がインストールされる前に MySQL を再起動するとトリガされます。これは、MySQL が最大接続数を設定していないために発生します。さらに、Orchestrator はインストールに失敗したと報告しますが、実際にはインストールが完了し、Orchestrator を再起動でき、すべてのサービスは期待どおりに動作します。 -
解決した問題 114897:パートナーとして VMware SASE Orchestrator ユーザー インターフェイスにログインするか、オペレータがパートナー レベルで確認すると、[カスタマー (Customers)] タブが「カスタマーとパートナー (Customers & Partners)」と表示されます。
正しい名前は「カスタマー (Customers)」で、この Orchestrator バージョンで表示されます。
-
解決した問題 115441:[グローバル設定 (Global Settings)] > [カスタマー設定 (Customer Configuration)] ページで SD-WAN のタイルを設定すると、ソフトウェア イメージとファームウェア イメージはアクティブな場合にのみ表示されます。
ソフトウェア イメージとファームウェア イメージは、状態に関係なく常にユーザーに表示される必要があります。
-
解決した問題 115695:[監視 (Monitor)] > [Edge (Edges)] ページの [Edge のリスト (Edge List)] テーブルで、カスタマーは Edge を説明で検索できません。
Edge の説明の特定の単語(「アクティベーション済み」あるいは Edge の場所など)は、同様の説明を持つすべての Edge を検索する場合に役立ちます。
-
解決した問題 115837:Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge (Edges)] または [設定 (Configure)] > [Edge (Edges)] ページのメイン テーブルで Edge を検索しようとすると、すべての Edge がロードされるまで Edge を検索できません。
メイン テーブルに Edge をロードすると、リスト スピナーが検索バーをブロックするため、要求が完了するまで使用できなくなります。特に、エンタープライズに多数の Edge が含まれていると、完了までに時間がかかる場合があります。
-
解決した問題 116021:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [Edge (Edges)] > [証明書の詳細 (Certificate Detail)] ページで、ダイアログ ウィンドウの操作性が低下します。
[証明書の詳細 (Certificate Detail)] ダイアログ ウィンドウには 3 つのスクロール バーが組み込まれていますが、幅が非常に狭く、快適に操作できません。
-
解決した問題 116524:Edge Network Intelligence にサブスクライブし、分析を有効にしているカスタマーの場合、[監視(Monitor)] ページの左側のリンク リストを確認すると、名前は異なるがまったく同じ重複する分析のリンクが 2 つ表示されます。
Edge Network Intelligence には、[アプリケーション分析 (Application Analytics)] と [ブランチ分析 (Branch Analytics)] の 2 つのリンクがあり、両方とも ENI の同じ場所に移動します。これは、左側の [Edge Network Intelligence] という 1 つのリンクに修正されました。
-
解決した問題 116610:ユーザーは、APIv2 経由で新しい Edge ループバック インターフェイスを追加できません。
APIv2 経由で PATCH ADD 操作を使用して新しいループバック インターフェイスを作成できません。APIv2 のループバック インターフェイスのスキーマ構造では、インターフェイス ID で指定されたインターフェイスが許可されませんでした。このシナリオでは、ループバック インターフェイスの更新に失敗します。
-
解決した問題 116999:オペレータ ユーザーが VMware SASE Orchestrator にログインすると、Orchestrator の右側にあるメニューに [パートナー メニュー (Partner Menu)] と表示されます。
これは [オペレータ メニュー (Operator Menu)] と表示されるべきであり、オペレータは誤ったメニューにアクセスしていると考えて、混乱する可能性があります。
-
解決した問題 117001:Orchestrator ユーザー インターフェイスの [管理 (Administration)] > [ユーザー管理 (User Management)] > [ロール (Roles)] ページで、ユーザーはすべてのロール タイプ/ユーザーを 1 つのページで確認できません。
[ロール (Roles)] ページにはページネーションがあります。つまり、すべてのロールが 1 つのブラウザ ページに収まるのではなく、複数のブラウザ ページに分けて表示されます。問題はユーザー インターフェイス ページのコントロールが簡単に表示されないことですが、この修正によりページネーションが排除され、すべてのロールとタイプが 1 つのページに配置されます。
-
解決した問題 117020:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [ネットワーク サービス (Network Services)] ページで、[TACACS サービス (TACACS Services)] タブを選択して TACACS サービスを削除しようとすると、ユーザー インターフェイスに削除を確認するための誤ったテキスト文字列が表示されます。
TACACS サービスを削除すると、ユーザー インターフェイスに configuration.networkServices.deleteConfirm というテキスト文字列が表示されます。ユーザー インターフェイスには、「このアイテムを削除しますか? (Are you sure you wish to delete this item?)」という削除のための正しいダイアログが表示される必要があります。
-
解決した問題 117145:VNF を展開するカスタマー エンタープライズの場合、ユーザーが [設定 (Configure)] > [デバイス (Device)] で設定を変更すると、Orchestrator は VNF を無効にします。
Orchestrator は無効化の後で VNF を再展開しないため、大幅な中断が発生します。
-
解決した問題 117152:コミュニティの整数値が 65535 より大きい BGP フィルタを作成し、ネイバーに割り当てると、Edge がフィルタを無視しても Orchestrator はこの統合を許可します。
Edge は、値が (0 ~ 65535):(0 ~ 65535) で AA:NN 形式のコミュニティ値のみをサポートします。65535 より大きい値を整数として指定すると、Edge はこれらの値を無視し、Orchestrator は 65535 を超える値を持つフィルタの拒否に失敗します。
-
解決した問題 117385:ユーザーが複数の設定変更を試みると、VMware SASE Orchestrator の速度が低下することがあります。
カスタマーは Orchestrator で複数の設定変更を実行できません。操作には最大で 1 分ほどかかります。
-
解決した問題 117537:Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge (Edges)] > [送信元 (Sources)] ページで、[クライアント デバイス (Client Devices)] のリストに誤った数(通常は、実際よりも少ない数)のデバイスが表示されます。
この問題は、[IP アドレスによるクライアント端末の可視化 (Visibility by IP address)] または [MAC アドレスによるクライアント端末の可視化 (Visibility by MAC address)] モードがデフォルトの Edge の特定の設定モジュールでは設定されていないが、関連付けられたモジュールで設定されている場合に発生します。
-
解決した問題 117573:[設定 (Configure)] > [デバイス (Device)] > [VPN] > [クラウド VPN (Cloud VPN)] ページで、ユーザーがブランチからハブへのサイトを設定しようとすると、フィルタリング アイコンを使用してハブをフィルタリングできません。
カスタマー エンタープライズに複数のハブが設定されている場合、フィルタリング機能がないと、ブランチからハブへの VPN を設定することは困難になります。
-
解決した問題 117614:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [プロファイル (Profile)] ページの [ショートカット (Shortcuts)] ボックスにいくつかのアクションが表示されません。
表示されないショートカットは、[プロファイルの移行 (Migrate Profile)]、[プロファイルの複製 (Duplicate Profile)]、[プロファイルの変更 (Modify Profile)]、[プロファイルの削除 (Delete Profile)] です。これらのアクションは [プロファイル (Profile)] のリスト ページにありますが、カスタマーはこれらのアクションにより簡単にアクセスできる必要があります。
-
解決した問題 118265:Orchestrator ユーザー インターフェイスの [ユーザー管理 (User Management)] ページで、正しい権限を持つ管理者ユーザーは、検索を使用してユーザー アカウントを検索した場合、そのアカウントを削除できません。
検索バーで 4 文字以上を使用してユーザーを検索すると、[削除 (Delete)] ボタンが灰色で表示され、機能しません。
-
解決した問題 118302:Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge] ページで、Edge のリンク状態をフィルタリングできません。
Orchestrator API が強化され、リンク状態がフィルタ パラメータとして受け入れられ、Edge リスト画面でリンクの状態をフィルタリングするのに役立ちます。
-
解決した問題 118527:外部認証局を使用して Bastion Orchestrator として展開された VMware SASE Orchestrator で、VMware SD-WAN が昇格に成功すると、オフラインになる場合があります。
プライベート Orchestrator が外部認証局と統合されている Bastion 環境では、Edge はプライベート Orchestrator への昇格直後にオフライン状態になります。
この問題の修正が適用されていない Orchestrator では、この問題の回避策は、Edge デバイス上の証明書失効リスト (CRL) を削除し、Edge サービスを再起動することです。
-
解決した問題 118670:[監視 (Monitor)] > [ネットワーク サービス (Network Services)] > [Edge クラスタ (Edge Clusters)] ページのロードに 30 秒以上かかる場合があります。
エンタープライズに 10,000 を超えるネットワーク サービスがある場合、[監視 (Monitor)] > [ネットワーク サービス (Network Services)] > [Edge クラスタ (Edge Clusters)] ページのロードに時間がかかります。
-
解決した問題 118761:[Edge のリスト (Edge Listing)] ページで [ソフトウェア イメージの割り当て (Assign Software Image)] ドロップダウン メニューを使用するときに、ソフトウェア イメージをフィルタリングできません。
フィルタリング機能がないため、選択するソフトウェア イメージが多い場合、選択プロセスはより困難になります。
-
解決した問題 118764:[Edge のリスト (Edge Listings)] ページの [オペレータ プロファイルの割り当て (Assign Operator Profile)] ドロップダウンで、ユーザーがアイテムをフィルタリングできません。
フィルタ オプションがないため、オペレータ プロファイルの選択プロセスが通常の場合よりも難しくなります。
-
解決した問題 118767:[Edge の概要 (Edge Overview)] ページで、Edge ライセンスの選択を更新するときに、アイテムをフィルタリングしたり選択を行うことができません。
フィルタリング機能がないため、選択する Edge ライセンスが多い場合、選択プロセスはより困難になります。
-
解決した問題 121336:Edge またはプロファイルの [設定 (Configure)] > [デバイス (Device)] ページで [Partner Gateway の割り当て (Partner Gateway Assignment)] が設定されていて、API 呼び出しを介して変更が行われた場合、「プロファイルの更新 (Profile Update)」イベントには常に Gateway が削除済みとして表示されます。
これは単に表面的な問題であり、機能上の影響はありません。この問題は、[Gateway (Gateways)] フィールドが設定で廃止されたために発生します。
-
解決した問題 121995:Orchestrator の [設定 (Configure)] > [アラート (Alerts)] ページで HA フェイルオーバー アラートがオフになっていても、カスタマーはこれらのアラートを受け取ります。
エンタープライズ アラートが有効でも、HA フェイルオーバー アラートが有効になっていない場合、HA フェイルオーバー アラートがエンタープライズ ユーザーに送信されます。
-
解決した問題 122940:[Gateway 管理 (Gateway Management)] ページを表示しているときに、誤った画面にリダイレクトされることがあります。
[セキュア VPN Gateway (Secure VPN Gateway)] を割り当てる場合、Orchestrator はカスタマーを [データセンター Gateway の割り当て (Assign Datacenter Gateway)] 画面にリダイレクトする必要がありますが、誤って [Super Gateway の割り当て (Assign Super Gateway)] 画面にリダイレクトします。
-
解決した問題 123593:高可用性トポロジで展開され、Edge Network Intelligence 分析が有効になっているカスタマー エンタープライズ サイトの場合、まれに、HA Edge が Edge Network Intelligence バックエンドから分析設定をプルできないことがあります。
アクティブ Edge とスタンバイ Edge の両方が ENI バックエンドから同じトークンを取得する可能性があります。スタンバイ Edge がアクティブ Edge の後にトークンを取得すると、アクティブ Edge のトークンが古くなり、このシナリオが発生します。
-
解決した問題 123619:VMware SASE Orchestrator がインターネットにアクセスできない場合(たとえばオンプレミスの場合)、[監視 (Monitor)] > [Edge] > [概要 (Overview)] ページは空で、情報は表示されません。
Orchestrator がインターネットにアクセスできない場合、Google サービスにアクセスできないため、[Edge の概要 (Edge Overview)] ページにアクセスできません。
-
解決した問題 123867:リンク メトリックとシリーズ API がエラーを返します。
リンク メトリックまたはシリーズ API がメトリックのリストなしで呼び出されると、API は該当するすべてのメトリックを応答に追加する代わりに誤ってエラーを返します。
この問題の修正が適用されていない Orchestrator では、返されるメトリック フィールドのリストを指定して API 要求を送信する必要があります。
-
解決した問題 124092:[オーバーレイ フロー制御 (Overlay Flow Control)] 画面にセグメント名が表示されません。
セグメント名をフィルタリングしようとしても、結果の一部としてセグメント名が入力されません。
-
解決した問題 124743:VMware SASE Orchestrator の [監視 (Monitor)] > [Edge] > [概要 (Overview)] 画面で、[リンク状態 (Links Status)] グリッドのロードが完了しません。
1 つ以上の WAN リンクがバックアップまたはホット スタンバイとして設定されている場合、リンク状態をロードできません。この場合、リンクの 1 つに「バックアップ/ホット スタンバイ (Backup/Hot Standby)」状態がないため、ユーザー インターフェイスに障害が発生します。
ユーザーは、リンクの [バックアップ トランスポート (Backup Transport)] のリンク モードを [ホット スタンバイ (Hot Standby)] から [アクティブ (Active)] に切り替えて保存し、[ホット スタンバイ (Hot Standby)] に戻すことで、この問題を回避できます。
-
解決した問題 126257:極端に大きな値が多数ある場合、[監視 (Monitor)] > [Edge] > [リンク (Links)] ページの上位の値がユーザーに表示されません。
これは、チャートの高さが以前に小さい値を使用して合計されたため、チャートが不正確になり、スケールに合わせることができないことが原因です。
-
解決した問題 127281:Orchestrator ユーザー インターフェイスの [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] ページで、ルーティングされたサブインターフェイスのスタティック設定が OFC ページにコネクト ルートとして表示されません。
ルーティングされた非 WAN インターフェイスまたはサブインターフェイスでスタティック設定が行われる場合、コネクト ルートとして OFC ページに表示されることが期待されます。ただし、これはサブインターフェイスの親インターフェイスでも IPv6 が有効になっていない IPv6 設定を使用するサブインターフェイスでは機能しません。
-
解決した問題 127636:VMware SASE Orchestrator ユーザー インターフェイスの [監視 (Monitor)] > [Edge] > [送信元 (Sources)] ページで、FQDN による送信元の検索が機能しません。
新しいユーザー インターフェイスを使用すると、FQDN による検索機能が期待どおりに動作せず、ユーザーは標準の方法を使用して送信元を見つけることができません。これには、部分的な文字列で検索するオプションを使用できないことも含まれます。
IP アドレスで検索することはできますが、完全な文字列を使用する必要があります。
-
解決した問題 127849:[Edge] > [設定 (Configuration)] > [概要 (Overview)] 画面で [証明書の表示 (View Certificate)] ボタンは灰色で表示され、クリックできません。
この問題により、ユーザーは Edge 証明書を表示できません。ユーザー インターフェイスを修正しない場合、ユーザーは [設定 (Configuration)] タブの Edge リストに移動し、目的の Edge を検索して Edge 証明書を表示できます。
既知の問題
リリース 5.2.0 での未解決の問題。
Edge/Gateway の既知の問題
-
問題 14655:
SFP アダプタを接続または取り外すと、Edge 540、Edge 840、Edge 1000 でデバイスが応答を停止し、物理的な再起動が必要になる場合があります。
回避策:Edge を物理的に再起動する必要があります。これは、Orchestrator で [リモート アクション (Remote Actions)] > [Edge の再起動 (Reboot Edge)] を使用するか、Edge の電源を入れ直すことで実行できます。
-
問題 25504:
コストが 255 より大きいスタティック ルートで、ルートの順序設定が予期しない結果になる可能性があります。
回避策:0 と 255 の間のルート コストを使用します。
-
問題 25595:
WAN オーバーレイ上の静的 SLA への変更を適切に機能させるために、再起動が必要になる場合があります。
回避策:WAN オーバーレイからの静的 SLA の追加と削除後、Edge を再起動します。
-
問題 25742:
VMware SD-WAN Gateway に対する最大容量が Gateway に接続されていないプライベート WAN リンクの容量よりも少ない場合でも、アンダーレイが考慮されたトラフィックの上限がこの最大容量に制限されます。
-
問題 25758:
USB WAN リンクが、ある USB ポートから別の USB ポートにスイッチされると、VMware SD-WAN Edge が再起動されるまで、正常に更新されない場合があります。
回避策:1 つのポートから別のポートに USB WAN リンクを移動した後に Edge を再起動します。
-
問題 25885:
Partner Gateway(200 BGP が設定された VRF など)で大規模な設定の更新があると、VMware SD-WAN Gateway を経由する一部のトラフィックで遅延が約 2 ~ 3 秒増加する可能性があります。
回避策:回避策はありません。
-
問題 25921:
ハブに 3,000 個のブランチ Edge が接続されている場合、VMware SD-WAN ハブの高可用性のフェイルオーバーにかかる時間が予想よりも長くなります(最大 15 秒)。
回避策:回避策はありません。
-
問題 25997:
スイッチ ポートに変換されたルーティング インターフェイスでトラフィックを適切に渡すために、VMware SD-WAN Edge で再起動が必要になる場合があります。
回避策:設定を変更した後で、Edge を再起動します。
-
問題 26421:
クラスタへのトンネルを確立するには、すべてのブランチ サイトのプライマリ Partner Gateway も VMware SD-WAN ハブ クラスタに割り当てる必要があります。
回避策:回避策はありません。
-
問題 28175:
NAT IP アドレスが VMware SD-WAN Gateway インターフェイスの IP アドレスと重複していると、ビジネス ポリシー NAT が失敗します。
回避策:回避策はありません。
-
問題 31210:
VRRP:ARP が VRRP の仮想 IP アドレスに対して LAN クライアントで解決されません。これは、VMware SD-WAN Edge がプライマリで LAN インターフェイスでグローバルでない CDE セグメントが実行されている場合に発生します。
回避策:回避策はありません。
-
問題 32731:
ルートを無効にすると、OSPF 経由で広報された条件付きデフォルト ルートが正しく戻されないことがあります。
回避策:ルートを再度有効にしてから再度無効にすると、正常に取り消されます。
-
問題 32960:
有効化された VMware SD-WAN Edge のローカル Web ユーザー インターフェイスで、インターフェイスの「自動ネゴシエーション」と「速度」の状態が誤って表示されることがあります。
回避策:Orchestrator ユーザー インターフェイスで [リモート診断 (Remote Diagnostics)] > [インターフェイスの状態 (Interface Status)] を参照してください。
-
問題 32981:
DPDK が設定されたポートのハードコーディングの速度とデュプレックスで、DPDK をオフにする必要があるため、設定を有効にするために VMware SD-WAN Edge の再起動が必要になる場合があります。
回避策:この問題の回避策はありません。
-
問題 34254:
Zscaler CSS が作成され、グローバル セグメントで FQDN/PSK が設定されている場合、これらの設定が非グローバル セグメントにコピーされて、IPsec トンネルが Zscaler CSS に形成されます。
-
問題 35778:
1 つのインターフェイス上に複数のユーザー定義 WAN リンクがある場合、これらの WAN リンクのうちの 1 つのみが Zscaler への GRE トンネルを持つことができます。
回避策:Zscaler への GRE トンネルを構築する必要がある WAN リンクごとに、異なるインターフェイスを使用します。
-
問題 36923:
ハブとしてクラスタに接続されている VMware SD-WAN Edge の NetFlow インターフェイスの説明で、そのクラスタ名が正しく更新されない場合があります。
-
問題 38682:
DPDK が設定されたインターフェイスで DHCP サーバとして動作している VMware SD-WAN Edge が、接続されているすべてのクライアントに対して「新しいクライアント デバイス」イベントを適切に生成しないことがあります。
-
問題 38767:
Zscaler に GRE トンネルが設定されている WAN オーバーレイが自動検出からユーザー定義に変更されると、次に再起動するまで、古いトンネルが残ることがあります。
回避策:Edge を再起動して、古いトンネルをクリアします。
-
問題 39374:
VMware SD-WAN Edge に割り当てられた VMware SD-WAN Partner Gateway の順序を変更すると、帯域幅のテストに使用されるローカル ゲートウェイとしてゲートウェイ 1 が正しく設定されない場合があります。
-
問題 39608:
リモート診断「Ping テスト」の出力で、正しい結果が表示される前に、無効な内容が一時的に表示されることがあります。
回避策:この問題の回避策はありません。
-
問題 39624:
親インターフェイスが PPPoE で設定されている場合、サブインターフェイス経由の ping が失敗することがあります。
回避策:この問題の回避策はありません。
-
問題 39753:
動的なブランチ間 VPN をオフに切り替えると、現在、動的なブランチ間を使用して送信されている既存のフローが停止する可能性があります。
回避策:メンテナンス期間中にのみ動的なブランチ間 VPN を無効にしてください。
-
問題 40421:
スイッチ ポートとして設定されたインターフェイスを使用して VMware SD-WAN Edge を通過するときに、traceroute でパスが表示されません。
-
問題 40096:
アクティベーション済みの VMware SD-WAN Edge 840 が再起動された場合、リンクが点灯し、VMware SD-WAN Orchestrator でポートが「稼動中」と表示されていても、Edge に接続されている SFP モジュールがトラフィックの通過を停止する可能性があります。
回避策:SFP モジュールを取り外して、ポートに再度接続します。
-
問題 42278:
特定のタイプのピアの設定ミスにより、VMware SD-WAN Gateway が IKE 初期化メッセージを非 SD-WAN ピアに継続的に送信することがあります。この問題により、Gateway へのユーザー トラフィックが中断されることはありません。ただし、Gateway のログに IKE エラーが大量に記録されて、有用なログ エントリが確認しづらくなる可能性があります。
-
問題 42872:
ハブ クラスタが関連付けられているハブ プロファイルでプロファイルの隔離を有効にしても、ルーティング情報ベース (RIB) からハブ ルートが取り消されません。
-
問題 43373:
複数の VMware SD-WAN Edge から同じ BGP ルートを学習していて、このルートをオーバーレイ フロー制御で優先から対象終了に移動すると、その Edge が広報 リストから削除されず、広報されたままになります。
回避策:VMware SD-WAN Orchestrator の分散コスト計算を有効にします。
-
問題 44995:
ルートがハブ クラスタから戻された場合に、OSPF ルートが VMware SD-WAN Gateway および VMware SD-WAN スポーク Edge から取り消されません。
-
問題 45189:
送信元 LAN 側 NAT が設定されている場合、NAT サブネットのスタティック ルートを設定しなくても、VMware SD-WAN スポーク Edge からハブ Edge へのトラフィックが許可されます。
-
問題 45302:
VMware SD-WAN ハブ クラスタで、1 つのハブが、そのハブとその割り当てられているスポーク Edge の間で共通のすべての VMware SD-WAN Gateway への接続が 5 分より長い間失われた場合、まれに、スポークがハブ ルートを 5 分後に保持できなくなるという状態になることがあります。この問題は、ハブが Gateway との接続を回復したときに自動的に解消されます。
-
問題 46053:
ネイバーがアップリンク ネイバーに変更されても、BGP プリファレンスがオーバーレイ ルートに対して自動修正されません。
回避策:Edge サービスを再起動すると、この問題は修正されます。
-
問題 46137:
3.4.x ソフトウェアを実行している VMware SD-WAN Edge で、Edge が GCM 用に設定されていても、AES-GCM 暗号化を使用したトンネルが開始されません。
回避策:カスタマーが AES-256 を使用している場合は、Edge を 4.x リリースにアップグレードする前に、Orchestrator から GCM を明示的に無効にする必要があります。すべての Edge で 4.x リリースが実行されている状態になったら、カスタマーは AES-256-GCM または AES-256-CBC を選択できます。
-
問題 46216:
ピアが AWS インスタンスの Gateway または Edge 経由の Non SD-WAN Destination で、フェーズ 2 の再キー化をピアが開始すると、フェーズ 1 の IKE も削除されて再キー化が強制されます。これは、トンネルが破棄されてから再構築されることを意味し、その結果トンネルの再構築中にパケット ロスが発生します。
回避策:トンネルの破棄を回避するには、Gateway または Edge 経由の Non SD-WAN Destination または CSS IPsec の再キー化タイマーを 60 分未満に設定します。これにより、AWS が再キー化を開始できなくなります。
-
問題 46391:
VMware SD-WAN Edge 3800 の場合、SFP1 および SFP2 のインターフェイスそれぞれにマルチレート SFP (1/10G) の問題があり、これらのポートで使用できなくなります。
回避策:ナレッジベースの記事VMware SD-WAN SupportedSFP Module List (79270)に従って、単一レートの SFP を使用してください。マルチレート SFP は、SFP3 と SFP4 で使用できます。
-
問題 47664:
ハブを介したブランチ間 VPN が設定されていないハブとスポークの設定では、L3 スイッチ/ルーターのサマリ ルートを使用してブランチ間トラフィックを戻そうとすると、ルーティング ループが発生します。
回避策:ブランチ間 VPN を有効にするようにクラウド VPN を設定し、[VPN にハブを使用 (Use Hubs for VPN)] を選択します。
-
問題 47681:
VMware SD-WAN Edge の LAN 側のホストが、Edge の WAN インターフェイスと同じ IP アドレスを使用している場合、LAN ホストから WAN への接続が機能しません。
-
問題 48530:
VMware SD-WAN Edge 6x0 モデルで、3 つの速度 (10/100/1000 Mbps) の Copper SFP の自動ネゴシエーションが実行されません。
回避策:Edge 520/540 は 3 つの速度の Copper SFP をサポートしていますが、このモデルは 2021 年の第 1 四半期に販売終了としてマークされています。
-
問題 48597:ピアへの 2 つのパスのいずれかが停止した場合、マルチホップ BGP ネイバーシップは稼動状態ではなくなります。
複数のパスがあり、そのうちの 1 つがダウンしているピアを持つマルチホップ BGP ネイバーシップがある場合、ユーザーは BGP ネイバーシップがダウンして、他の使用可能なパスを使用して起動しないことに気付きます。これには、ローカルの IP ループバック ネイバーシップも含まれます。
回避策:この問題の回避策はありません。
-
問題 50518:
PKI が設定された VMware SD-WAN Gateway で、6,000 個を超える PKI トンネルが Gateway に接続しようとすると、受信 SA が削除されないため一部のトンネルが起動しない場合があります。
注:プリシェアード キー (PSK) 認証を使用するトンネルには、この問題はありません。
-
問題 51436:LTE モデムを使用して VMware SD-WAN Edge を展開しているときに、拡張された高可用性トポロジを使用しているサイトでは、サイトが「スプリット ブレイン」状態になった場合、高可用性のフェイルオーバーに 5~6 分かかります。
スプリット ブレイン状態からのリカバリの一環として、アクティブ Edge 上で LAN ポートが停止し、ポートが停止している間、およびサイトがリカバリできるようになるまで LAN トラフィックに影響が生じます。
回避策:この問題の回避策はありません。
-
問題 52955:ステートフル DHCP で DAD 障害が発生した後、Edge から DHCP の拒否が送信されず、DHCP の再バインドが再開されません。
DHCPv6 サーバが、DAD チェック中にカーネルによって重複として検出されたアドレスを割り当てた場合、DHCPv6 クライアントは拒否を送信しません。これにより、インターフェイス アドレスが DAD チェックの失敗としてマークされ、使用されないため、トラフィックのドロップが発生します。これにより、ネットワーク内でトラフィックがループすることはありませんが、トラフィックのブラックホールが発生します。
回避策:この問題の回避策はありません。
-
問題 53219:VMware SD-WAN ハブ クラスタの再調整後、いくつかのスポーク Edge で RPF インターフェイス/IIF が正しく設定されていない場合があります。
影響を受けるスポーク Edge では、マルチキャスト トラフィックが影響を受けます。クラスタの再調整後、一部のスポーク Edge が PIM join の送信に失敗します。
回避策:この問題は、影響を受けるスポーク Edge が、Edge サービスを再起動するまで続きます。
-
問題 53934:VMware SD-WAN ハブ クラスタが設定されているエンタープライズで、プライマリ ハブに LAN 側のマルチホップ BGP ネイバーシップが含まれている場合、LAN 側で障害が発生すると、またはすべてのセグメントで BGP が設定されていないと、カスタマーはスポーク Edge でトラフィックのドロップを経験することがあります。
ハブ クラスタでは、プライマリ ハブにピア デバイスとのマルチホップ BGP ネイバーシップがあり、ルートを学習します。BGP ネイバーシップが確立されているハブの物理インターフェイスが停止した場合、BGP ビューが空になっているにもかかわらず BGP LAN ルートがゼロにならない場合があります。これにより、ハブ クラスタの再調整が行われなくなる可能性があります。この問題は、BGP がすべてのセグメントで設定されておらず、1 つ以上のマルチホップ BGP ネイバーシップがある場合にも発生する可能性があります。
回避策:LAN 側に障害がある(または BGP が有効化されていない)ハブを再起動します。
-
問題 57210:VMware SD-WAN Edge が正常に動作していて、インターネットにアクセスできる場合でも、ローカル ユーザー インターフェイスの [概要 (Overview)] ページの LED が「赤色」で表示されます。
Edge のローカル ユーザー インターフェイスは、Google の DNS リゾルバ (8.8.8.8) を介して既知の名前を解決できるかどうかによって Edge の接続を決定します。何らかの理由で実行できない場合は、オフラインと見なされ、LED が赤色で表示されます。
回避策:8.8.8.8 への DNS トラフィックが宛先に到達し、正常に解決されることを確認する以外に、この問題の回避策はありません。
-
問題 61543:複数の 1:1 NAT ルールが同じ内部 IP を持つ異なるインターフェイス上で設定されている場合、インバウンド トラフィックは 1 つのインターフェイスで受信でき、同じフローの送信パケットは異なるインターフェイス経由でルーティングできます。
外部から内部への NAT フローの場合、1:1 NAT ルールは、パケットが受信される外部 IP およびインターフェイスに対して照合されます。同じフローの送信パケットの場合、VMware SD-WAN Edge は、内部 IP を比較して NAT ルールを再度照合しようとします。送信トラフィックは、「送信トラフィック」が設定されている最初の一致したルールで設定されたインターフェイスを介してルーティングできます。
回避策:特定の内部 IP アドレスを使用して 1:1 NAT ルールを 1 つのみ設定する以外に、この問題の回避策はありません。
-
問題 65560:カスタマーから PE(プロバイダ Edge)デバイスへのトラフィックが失敗します。
ハンドオフ設定でタグ タイプが「なし」と選択されている場合、Partner Gateway とプロバイダ Edge 間の BGP ネイバーシップが確立されません。これは、タグ タイプが「なし」の場合、Orchestrator のハンドオフ設定ではなく、/etc/config/gatewayd から ctag、stag 値が選択されるためです。
回避策:/etc/config/gatewayd の vrf_vlan->tag_info で、ctag、stag の値をそれぞれ 0 に更新します。vc_procmon を再起動します。
-
問題 67879:ユーザーが WAN インターフェイス設定で WAN オーバーレイ設定を自動検出からユーザー定義に変更すると、クラウド セキュリティ サービス (CSS) トンネルが削除されます。
変更を保存した後、カスタマーがトンネルをダウンしてから、再び起動するまで、CSS トンネルは起動しません。WAN 設定を変更すると、CSS トンネルがダウンし、CSS セットアップが再度解析されます。ただし、場合によっては、nvs_config>num_gre_links が 0 になり、CSS トンネルが起動に失敗することがあります。
回避策:CSS 設定を無効にしてから再度有効にすると、CSS トンネルが起動します。
-
問題 68057:DHCPv6 リリース パケットは、WAN インターフェイス アドレス モードが DHCP ステートフルから静的 IPv6 アドレスに変更されても、VMware SD-WAN Edge から送信されず、リースは有効期限に達するまでアクティブのままになります。
DHCPv6 クライアントは、設定の変更が行われたときに解放されないリースを所有しています。リースは、DHCPv6 サーバで有効期間が切れて削除されるまで有効なままです。
回避策:リースは有効期間までアクティブなままとなり、この問題を修正する方法はありません。
-
問題 68851:VMware SD-WAN Edge と VMware SD-WAN Gateway にそれぞれ同じ TCP Syslog サーバが設定されている場合、Edge から Syslog サーバへの TCP 接続は確立されません。
Edge と Gateway がそれぞれ同じ TCP サーバを持ち、Edge からの Syslog パケットが Gateway 経由でルーティングされる場合、Syslog サーバは TCP リセットを Edge に送信します。
回避策:Gateway 経由でルーティングする代わりに、Edge から直接 Syslog パケットを送信するか、Edge と Gateway に別の Syslog サーバを設定します。
-
問題 69284:Edge が HA 設定で VNF をデプロイし、リリース 4.x を使用している高可用性トポロジを使用しているサイトで、これらの HA Edge が HA VNF がサポートされていない 3.4.x リリースにダウングレードされてから 4.5.0 にアップグレードされた場合、HA VNF が再度有効化されると、スタンバイ Edge VNF が起動しません。
HA VNF ペアが、VNF-HA をサポートするバージョン(リリース 4.0 以降)から、Orchestrator で VNF が設定されていて、VNF-HA(リリース 4.0 以降)をサポートしないリリースにダウングレードされた場合、スタンバイ Edge の VNF 状態は、SNMP を介してダウンと通知されます。この問題は、Edge が VNF-HA をサポートするバージョンにアップグレードされ、Orchestrator で再度設定されている場合に発生します。
回避策:Edge が VNF をサポートしていないバージョンにダウングレードされている HA 設定の場合は、まず VNF を無効にする必要があります。
-
問題 72358:VMware SD-WAN Orchestrator DNS 名の IP アドレスが変更されると、VMware SD-WAN Gateway の管理プレーン プロセスで DNS 名が正しく解決されず、Gateway は Orchestrator に接続できなくなります。
Gateway の管理プロセスは、Orchestrator の DNS 名の DNS 解決を定期的にチェックし、
最近変更されたかどうかを確認することで、Gateway が正しいホストに接続できるようにします。DNS 解決コードに問題があるため、これらの解決チェックはすべて失敗し、Gateway は古いアドレスを引き続き使用するため、Orchestrator に接続できなくなります。
回避策:この問題が解決されるまで、オペレータ ユーザーは Orchestrator の IP アドレスを変更しないでください。Orchestrator の IP アドレスを変更する必要がある場合は、その Orchestrator に接続しているすべての Gateway を再度有効化する必要があります。
-
問題 75171:Edge がリレー エージェントとして機能する Gateway 経由の Non SD-WAN Destination サイトで DHCP サーバが設定されている場合、Edge クライアント ユーザーが IP アドレスを受信しません。
この問題は、Edge コードがこの DHCP 設定を考慮していないため DHCP Offer メッセージが Edge によってドロップされた結果発生するものです。
回避策:Non SD-WAN Destination 以外の場所に DHCP サーバを配置してください。
-
問題 77541:IPv6 をサポートする USB モデムを取り外して、VMware SD-WAN Edge USB インターフェイスに再挿入すると、IPv6 アドレスが USB インターフェイスにプロビジョニングされないことがあります。
これは、ModemManager アプリケーションで管理される USB モデムではなく、IP ベースの USB モデムに影響します。ほとんどの Inseego モデムは IP ベースであり、Inseego は VMware SASE が推奨するモデム メーカーであるため、これは重要です。IP ベースではなく、ModemManager を使用し、IPv6 をサポートする USB モデムは、プラグ アウトとプラグ インのシナリオでは問題ありません。
回避策:USB モデムが Edge の USB ポートに再挿入された後、Edge を再起動する(または電源を切って入れ直す)必要があります。再起動後、Edge はモデムの IPv6 アドレスを取得します。
-
問題 81852:L7 健全性チェックをオンにした GRE トンネルを使用する Zscaler タイプのクラウド セキュリティ サービス (CSS) を使用している VMware SD-WAN Edge の場合、その Edge をリリース 5.0.0 にアップグレードすると、場合によっては L7 健全性チェック エラーが発生することがあります。
これは通常、ソフトウェアのアップグレード中または起動時に発生します。GRE トンネルを使用した CSS の L7 健全性チェックがオンになっている場合、ソケットの getaddress エラーに関連するエラー メッセージが表示されることがあります。観察されたエラーは断続的に発生し、一貫性がありません。このため、L7 健全性チェックのプローブ メッセージは送信されません。
回避策:この修正を行わない場合、問題を修正するには、ユーザーが L7 健全性チェックの設定をオフにしてから再度オンにする必要があり、これにより、この機能は想定どおりに動作します。
-
問題 82184:Edge リリース 5.0.0 を実行している VMware SD-WAN Edge で、Edge の br-network IPv4/IPv6 アドレスに対して traceroute または traceroute6 を実行すると、UDP プローブを使用したときに traceroute が適切に終了しません。
デフォルト モード(UDP プローブ)が使用されている場合、Edge の br-network IPv4/IPv6 アドレスへの traceroute または traceroute6 が適切に機能しません。
回避策:traceroute および traceroute6 で -I オプションを使用して ICMP プローブを使用すれば、br-network IPv4/IPv6 アドレスへの traceroute が想定どおりに動作します。
-
問題 83166:IPv6 オプションを選択した AWS ポータルの AWS c5.4xlarge インスタンス タイプを使用して VMware SD-WAN Gateway を新規に展開するときに、IPv6 ルートまたはデフォルト ルートが設定されません。
IPv6 ルートとデフォルト ルートが設定されていないため、AWS Gateway IPv6 管理トンネルが形成されず、Gateway は機能しません。
回避策:この問題の回避策はありません。上記のプロパティを使用して Gateway を展開しないでください。
-
問題 85402:Partner Gateway が設定された BGP を使用しているカスタマー エンタープライズの場合、一部の BGP ネイバーシップがダウンし、カスタマー トラフィックの問題が発生する場合があります。
カスタマーが Edge および Gateway との BGP ピアリングを持つルーター上で最大プレフィックスを設定している場合、BGP セッションがルーターによってドロップされる場合があります。
たとえば、ルーターの BGP が最大「n」個のプレフィックスのみを受信するように設定されているが、Edge と Gateway にはフィルタが存在しない場合に広報される「n」個を超えるプレフィックスがある場合です。Orchestrator で BGP フィルタ設定が変更された場合、アウトバウンド方向で許可されるプレフィックスの総数が「n」個未満であっても、フィルターが適用される前に「n」個を超えるプレフィックスがピアに送信される問題が発生します。これにより、ルーターがセッションを破棄します。
回避策:この問題(プレフィックスの最大数に到達)が原因で BGP がダウンした場合は、CLI を使用してピアで BGP をフラップします(FRR/Cisco の場合は、「neighbor x shut」に続いて「no neighbor x shut」)。BGP は、ピアに広報される必要な数のプレフィックスのみを生成します。
-
問題 92481:VMware SD-WAN Edge の WAN インターフェイスが VMware SASE Orchestrator で無効化されている場合でも、SNMP はインターフェイスを「稼動中 (UP)」として報告します。
インターフェイス出力の主要なデバッグ プロセスに、Edge WAN インターフェイス(Edge 6x0 または 3x00 モデルの GE3 や GE4 など)の物理ポートの詳細が含まれていません。その結果、SNMP がそれらのインターフェイスをポーリングすると、インターフェイスの設定に関係なく、稼動中という結果が常に返されます。
回避策:この問題の回避策はありません。
-
問題 93141:高可用性トポロジを使用して展開されたサイトで、HA Edge ペアのアップストリームにある L2 スイッチを使用しているカスタマーの場合、実際のループがないにもかかわらず、スイッチ ログに L2 トラフィック ループの証拠が記録されることがあります。
この問題は、HA Edge がインターフェイスの実際の MAC アドレスではなく仮想 MAC アドレスで HA インターフェイス ハートビートを Orchestrator に送信することが原因です。これは、HA Edge がその MAC ファイルに仮想 MAC アドレスを格納するために発生します。その結果、接続された L2 スイッチは、2 つの異なる Edge インターフェイスの同じ送信元 MAC アドレスからのトラフィックを検出し、L2 ループとしてログに記録します。この問題は、実際の L2 ループがなく、この問題に起因するカスタマーのトラフィックの中断や Orchestrator との通信の切断がないため、ログ レベルでは表示上の問題に過ぎません。
回避策:カスタマーは、Edge の HA インターフェイス(通常は GE1)で発生したアップストリーム スイッチからの L2 ループ検出イベントを無視できます。
-
問題 95399:イーサネット リンクが物理的に VMware SD-WAN Edge インターフェイスから取り外された場合、または接続された場合、VMware SASE Orchestrator はその Edge からこのイベントの通知を受信せず、カスタマーのイベントには表示されません。
カスタマーは Orchestrator がこれらのイベントを [イベント (Events)] ページで報告することに依存しています。これらのイベントが記録されていない場合は、さまざまなサイトの監視がより信頼できなくなります。
回避策:この問題の回避策はありません。
-
問題 95565:高可用性トポロジを使用しているサイトで、VMware SD-WAN アクティブ Edge のデータプレーン サービスの障害が発生し、コアが生成されて高可用性フェイルオーバーがトリガされることがあります。
この問題は、アクティブ Edge の WAN リンクが 1 回以上フラップ(ダウンして、すぐに起動する)し、そのときに SNMP クエリが頻繁に発生する SNMP を使用している場合にトリガされます。インターフェイスが稼動状態に戻るのと同時に SNMP クエリが発生するというタイミングの問題によりデッドロックがトリガされることが原因で、データプレーン サービスが失敗してコアが生成されます。1 回の WAN リンク フラップのみでこの問題が引き起こされる可能性がありますが、WAN リンク フラップの頻度が高いほど、この問題が発生する可能性が高まります。
回避策:修正が適用されていない HA Edge ペアでこの問題が発生する場合、回避策は SNMP を無効にすることです。これはタイミングの問題であり、これによってリスクが軽減されるためです。
-
問題 97559:拡張高可用性トポロジを使用して展開されたカスタマー サイトで、スタンバイ ロールの VMware SD-WAN Edge に接続されている WAN リンクが、WAN リンクが接続されている Edge の WAN インターフェイスが稼動している場合でも、VMware SASE Orchestrator でダウンと表示され、カスタマー トラフィックを渡さないことがあります。
tcpdump または診断バンドルのログを確認すると、ARP 要求を受信した後、ポートがブロックされているためにスタンバイ Edge が応答していないことがわかります。拡張 HA では、Edge がスタンバイのロールを引き受けると、次のイベントが順次発生します。
-
スタンバイ Edge は、すべてのポートをブロックします。
-
スタンバイ Edge は、拡張 HA に展開されていることを検出し、WAN ポートのブロックを解除してトラフィックを渡します。
この問題が発生すると、イベント 1 として、初期のポート ブロッキングが完了するまでに予期せず長い時間がかかり、続くイベント 2 では、イベント 1 が完了する前にすべての WAN ポートのブロック解除が完了します。イベント 1 が完了すると、最終的な状態として、スタンバイ Edge ですべての WAN ポートがブロックされます。
回避策:この問題を修正しない HA Edge では、回避策として、スタンバイ Edge をアクティブに昇格する HA フェイルオーバーを強制的に実行し、HA Edge の WAN リンクを起動します。
-
-
問題 98136:動的なブランチ間 VPN が設定されているハブ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、SD-WAN スポーク Edge の背後のクライアント ユーザーの環境では、最適でないパスを使用するトラフィックによって一部のトラフィックに予期しない遅延が発生する場合があります。
この問題が発生するスポーク Edge トラフィックで使用されるルートは、最初は、スポーク Edge が使用していたプロファイルに含まれていないハブ Edge のアップリンク以外のルートでした。トラフィックが他の無関係なプレフィックスに送信されるため、動的なブランチ間 VPN トンネルをスポーク Edge からハブ Edge に形成できます。この場合、アップリンク以外のルートがスポーク Edge にインストールされます。
この非アップリンク ルートの結果として、このプレフィックスへのすべてのトラフィックがハブ Edge を通過し始め、
非アップリンク ルートがアップリンクになります(コミュニティはアップリンク コミュニティに変更されます)。ただし、以前にインストールされた非アップリンク ルートは取り消されず、トラフィックは動的なブランチ間 VPN トンネルが稼動している限り、ハブ Edge パスを選択します。
回避策:動的なブランチ間 VPN トンネルが破棄されるまで待機します。その後、ハブ Edge に向かう新しい動的なブランチ間 VPN トンネルが形成されると、アップリンク ルートはスポーク Edge にインストールされません。
-
問題 102583:HA Edge ペアまたはいずれかの Edge モデルが 520/540 または 610 で、VNF がインストールされた高可用性トポロジで展開されたカスタマー エンタープライズ サイトの場合、LAN 接続されたクライアントからスタンバイ Edge の VNF にアクセスできないことがあります。
これらの Edge モデルのイーサネット スイッチ ボードは、スタンバイ Edge の VNF から LAN クライアントに送信された ARP 応答パケットをドロップし、到達可能性を失います。
回避策:この問題の回避策はありません。
-
問題 106289:VMware SD-WAN ハブ Edge は、接続されたスポーク Edge へのフローまたはバックホール フローでパケットをドロップする場合があります。
バックホール フロー フラグは、QoS 同期プロセス中に設定されます。コード内には、フローの作成中にフラグを設定する場所があります。Edge は、QoS 同期メッセージ処理の結果としてのみこのフラグを設定する必要があります。
回避策:この問題に対する修正を行わないハブ Edge でこの問題が発生した場合は、ハブ Edge 上のフローをフラッシュして問題を一時的に修正します。
-
問題 109771:VMware SD-WAN Edge は、間に NAT66 が適用されている場合、Cisco CSR/ASE タイプの Edge 経由の Non SD-WAN Destination とのトンネルを確立できない場合があります。
2 つのピア間で送信元 IPv6 アドレス NAT が Cisco CSR/ASA に関係している場合、トンネルは確立されません。
回避策:この問題の修正が適用されていない Edge では、唯一の回避策は、NAT66 over IPsec をサポートする Cisco ソフトウェアのバージョンに Cisco CSR/ASA をアップグレードすることです。
-
問題 110561:トラフィックが停止してから再開すると、双方向トラフィックを持つ同じ VMware SD-WAN Edge のセット間で動的トンネルが起動しない場合があります。
この問題は、Edge 間で大量の双方向トラフィックが送信される 6,000 個の動的トンネルがあるテスト環境で発生します。1,000 個の動的トンネルでより小規模のテストを行っても、すべてのトンネルが起動するわけではありません。
回避策:この問題の回避策はありません。
-
問題 111085:VMware SD-WAN Edge の WAN リンクが、Edge のループバック IP と同じネットワーク内の IP アドレスで設定されている場合、Edge は、Edge のループバック IP アドレスに対する ARP リクエストに応答する際に、WAN インターフェイスの MAC アドレスを使用します。
これにより、ARP スプーフィングが発生し、その結果として管理 IP アドレスが廃止され、ネットワークが中断する可能性があります。
回避策:この問題の回避策はありません。
-
問題 111592:ビジネス ポリシーがインターネット バックホールを使用するように設定されているハブ/スポーク トポロジを使用しているカスタマー エンタープライズの場合、バックホール ルールを使用するインターネット トラフィックが低速になるか、まったく機能しない場合があります。
フローの作成中に、DPI(詳細なパケット インスペクション)情報が更新され、ビジネス ポリシーの一致が変更される場合があります。これにより、パケットをバックホールするはずのハブ Edge または Non SD-WAN Destination の論理 ID が失われる場合があります。
回避策:フローをフラッシュして、フローが DPI エンジンによって強制的に再検査されるようにします。
-
問題 117876:高可用性トポロジを使用しているカスタマー サイトで、ユーザーが拡張ファイアウォール サービスを有効または無効にすると、VMware SD-WAN HA Edge が複数回再起動することがあります。
拡張ファイアウォール サービスが有効または無効になっている場合は、アクティブ Edge のデバイス設定のみがスタンバイ Edge とすぐに同期され、残りの設定同期はスタンバイ Edge のハートビートにのみ応答します。スタンバイ Edge からハートビートを受信する前にアクティブ Edge を再起動して最新の設定を適用すると、2 つの HA Edge 間で設定の不一致が発生し、設定の同期を完了するために再起動が複数回実行されます。
回避策:回避策は、HA Edge のメンテナンス期間中に拡張ファイアウォール サービスをオンまたはオフにすることのみです。
-
問題 111840:9 つ以上のハブ Edge を使用するハブ/スポーク トポロジを使用して展開されたカスタマー エンタープライズでは、最適でないルーティングが原因で、クライアント ユーザーのトラフィック品質が低下することがあります。
スポーク Edge が複数のハブ Edge で設定されている場合、ハブ Edge を経由するルートがダイレクト ルートよりも優先されるため、最適ではないルーティングが発生します。
回避策:最初にハブ Edge を設定し、次に [ブランチからハブ (Branch to Hub)] サイト リストに VPN ハブを設定します。
-
問題 120309:特定の PPTP VPN クライアントとサーバの組み合わせでは、Edge の背後で PPTP インターネットおよびクライアント デバイスとの 1:1 NAT を使用している場合、接続が中断された後にすぐに接続を再確立できない場合があります。この問題は Windows Server 2016 および Windows 10 クライアントで発生することが確認されていますが、他のバージョンでも発生する場合があります。
この問題は、クライアントが新しい call-id を使用している一方で、サーバが新しい接続に同じ PPTP call-id を再利用していることが原因で発生します。サーバ call-id が新しい接続に再利用される場合、ファイアウォールによって新しい接続が正しく識別されません。
この問題の修正が適用されていない Edge では、回避策として NAT テーブルから古い PPTP 接続をフラッシュします。
注:クライアントとサーバのネットワークの場所が交換された場合(つまり、PPTP サーバが Edge の背後の LAN 上にあり、クライアントがインターネット/クラウド上にある場合)にも同じ問題が発生することがあります。このバージョンの問題はチケット #109830 で追跡されています。ここでの修正は、特に Windows Server 2016 クライアントに対処します。Windows 10 のクライアントでこの問題が引き続き発生し、この修正では対処されていません。
回避策:NAT テーブルから古い PPTP 接続をフラッシュします。
-
問題 121281:高可用性トポロジを使用して展開されたカスタマー エンタープライズ サイトの場合、まれに、スタンバイ Edge でデータプレーン サービスの障害が発生し、コアが生成され、リカバリのために再起動されることがあります。
スタンバイ Edge の再起動に関するイベントが発生し、ユーザーが HA 失敗アラートを設定している場合、このイベントが通知されます。この問題は、アクティブ Edge とスタンバイ Edge 間でルートが同期され、ルート同期メッセージの処理中にスタンバイ Edge サービスがメモリの破損が原因で失敗するというまれなシナリオで発生します。
回避策:この問題の回避策はありません。
-
問題 121371:ステートフル ファイアウォールまたは拡張ファイアウォールも使用されているハブまたはクラスタ相互接続を使用するように設定されたカスタマー エンタープライズの場合、クライアント ユーザーにトラフィックのドロップが発生することがあります。
送信元と宛先のクラスタ ハブ ノード間で非対称ルーティングが発生する可能性があります。そのため、送信トラフィックは直接オーバーレイ トンネルを使用し、リターン トラフィックはアンダーレイ ルートを使用します。
回避策:ステートフル ファイアウォールまたは拡張ファイアウォール サービスを無効にすることが唯一の回避策です。
-
問題 121606:Partner Gateway を使用しているカスタマー エンタープライズでは、その Gateway を使用する Non SD-WAN Destination を含む一部のトラフィックでトラフィックがドロップすることがあります。
リリース 5.1.0 以降の Partner Gateway は、IPsec インターフェイスあたり最大 64 個の IP アドレスをサポートします。Partner Gateway の場合、ハンドオフ IP アドレスがこの IPsec インターフェイスに無条件で追加されます。ハンドオフ IP アドレスの数が 64 の制限を超えると、IPsec プロセスで古い IP アドレスが上書きされ、上書きされた IP アドレスを使用するトンネルがダウンします。
回避策:すべての PG ハンドオフ IP アドレスが想定どおりに設定されている場合、これらのアドレスの一部を別の PG に移動する以外に回避策はありません(たとえば、Gateway 経由の NSD を移動する)。ただし、不要な PG ハンドオフ IP アドレスがある場合は、それらを削除すると IP アドレスの数が 64 未満になり、問題が解決する可能性があります。設定を変更した後、Gateway サービスを再起動する必要があります。
-
問題 121805:VNF を使用して展開された VMware SD-WAN Edge の場合、ローカル VNF に ping を送信すると、重複する応答が表示されることがあります。
この問題は、Edge から VNF の IP アドレスへの ping が実行されると発生します。
回避策:常に、Edge 自体ではなく、Edge の背後にある LAN クライアントから ping を実行してください。
-
問題 121998:ハブ/スポーク トポロジでステートフル ファイアウォールを使用しているカスタマーの場合、スポークとハブの間のトラフィック用に設定されたファイアウォール ルール(送信元 VLAN が含まれている)に一致するトラフィックがドロップされる場合があります。
アプリケーション分類、ビジネス ポリシー テーブル、またはファイアウォール ポリシー テーブルのバージョンが変更されると、SD-WAN は次のパケットでフローのファイアウォール参照を実行します。タイミングの問題により、そのパケットは管理トラフィック (VCMP) 側のパケットになる可能性があります。その結果、ファイアウォール ポリシーの参照キーの作成中に、SD-WAN はスポーク Edge VLAN をハブ Edge VLAN とスワップするため、ルールと一致せず、そのトラフィックをドロップします。
回避策:カスタマーは、[送信元 (Source)] を Edge VLAN から「任意」に変更できます。
-
問題 123379:高可用性トポロジで展開されたカスタマー エンタープライズ サイトの場合、まれにスタンバイ Edge でデータプレーン サービスの障害が発生し、再起動してリカバリすることがあります。
この問題は、ユーザーがスクリプトを使用して 128 セグメント間のサブインターフェイスで IPv6 アドレスを同時に設定しようとすると発生する可能性があります。このシナリオでは、設定がキューに蓄積され、スタンバイ Edge のサービスが失敗します。
回避策:小規模なグループのサブインターフェイスで IPv6 アドレス設定を行って、システムが設定を処理して適用する時間を確保することをお勧めします。
-
問題 125509:下位の VMware SD-WAN Edge モデルを使用しているカスタマー エンタープライズでは、使用されているルーティング プロトコルに応じて、BFD、BGP、または OSPF のフラップが発生することがあります。
動的ルーティングや高可用性の設定と組み合わせた高フロー スケールのエントリ レベル Edge プラットフォーム(510、520、540、610、および 620)では、アグレッシブな Hello および Dead インターバル タイマーが設定されているときに、OSPF/BGP ルーティング フラップが発生する可能性があります。また、カスタマーが、分析がオンになっている Edge Network Intelligence も使用している場合は、この問題が発生する可能性が高くなります。
回避策:この問題が発生した場合の回避策は、OSPF(10、40)または BGP(60、180)のデフォルトのインターバル タイマーに戻すか、BFD を完全に無効にすることです。
-
問題 127920:セカンダリ IP アドレスが稼動中で到達可能な場合でも、ネクスト ホップとしてセカンダリ IP アドレスを持つスタティック ルートに接続されている ICMP プローブがダウンする可能性があります。
ネクスト ホップとしてセカンダリ IP アドレスを持つスタティック ルートに ICMP プローブが接続されている場合、プローブはセカンダリ IP アドレスではなくメイン インターフェイスの IP アドレスを送信します。ピアがプライマリ IP アドレスに到達できない場合、セカンダリ IP アドレスが稼動中で到達可能な状態でも ICMP プローブが停止します。
回避策:このシナリオでは、セカンダリ IP アドレスを使用しない以外の回避策はありません。
-
問題 128379:スポーク Edge が MPLS バックボーンを介してハブ Edge に広報する BGP サマリ ルートは、撤回と広報のループに入る場合があります。
この問題を引き起こすシーケンスは次のとおりです。
-
スポーク Edge は自律システム番号 (ASN) を追加し、BGP サマリ プレフィックスをカスタマー Edge ルーター (CE) に広報します。次に、CE は ASN を追加し、ハブ Edge に広報します。
-
ハブ Edge は、受信したすべての ASN を使用して、サマリ プレフィックスを(SD-WAN 管理プロトコル VCRP を使用して)オーバーレイに再配分します。ハブ Edge は、受信したプレフィックスもアップリンク経由で再配布します。
-
スポーク Edge は、CE の ASN を持つ VCRP を介して同じサマリ プレフィックスを受信します。スポーク Edge は、このオーバーレイ プレフィックスを BGP に再配分します。集約設定で as-set が有効になっているため、BGP はオーバーレイ プレフィックスから ASN を収集し、サマリ プレフィックスの AS_PATH に追加します。
-
CE は、更新された AS_PATH を含むサマリ プレフィックスを受け取ります。CE の ASN は更新された AS_PATH の一部であるため、CE はサマリ プレフィックスを拒否し、ハブ Edge から撤回します。その後、ハブ Edge は VCRP を介してスポーク Edge からサマリ プレフィックスを撤回します。
-
これで、スポーク Edge は BGP サマリ プレフィックスの AS_PATH を通常の状態に戻し、再度広報します。このサイクルは永遠に繰り返されます。
回避策:この問題の回避策はありません。
-
Orchestrator の既知の問題
-
問題 21342:
セグメントごとに Partner Gateway を割り当てると、VMware SD-WAN Edge の監視リストで、ゲートウェイ割り当ての適切なリストがオペレータ オプションのゲートウェイの [表示 (View)] に表示されない場合があります。
-
問題 24269:
観測された WAN リンクの損失が、QoE グラフには反映されても、[監視 (Monitor)] > [トランスポート (Transport)] > [ロス (Loss)] に反映されません。
-
問題 25932:
VMware SD-WAN Orchestrator で、使用中であっても VMware SD-WAN Gateway を Gateway プールから削除できます。
-
問題 32335:
ユーザーが契約に同意しようとすると、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) ページでエラーが発生します。
回避策:エンタープライズ名の先頭または末尾にスペースが含まれていないことを確認してください。
-
問題 32435:
ポリシーベースの NAT 設定に対する VMware SD-WAN Edge 固有のルールが、すでにプロファイル レベルで設定されているタプルで許可されます(その逆も可能)。
-
問題 32856:
ハブ クラスタを使用してインターネット トラフィックをバックホールするようにビジネス ポリシーが設定されていても、リリース 3.2.1 からリリース 3.3.x にアップグレードされた VMware SD-WAN Orchestrator 上のプロファイルから、ユーザーがハブ クラスタを選択解除できます。
-
問題 35658:
あるプロファイルから CSS 設定が異なる別のプロファイルに VMware SD-WAN Edge が移動されたときに(例:プロファイル 1 は IPsec で、プロファイル 2 は GRE)、Edge レベルの CSS 設定が、以前の CSS 設定(例:IPsec と GRE)を引き続き使用します。
回避策:Edge レベルで GRE を無効化してから、GRE を再度有効にして問題を解決します。
-
問題 35667:
あるプロファイルから、CSS 設定は同じでも GRE CSS 名は異なる(同じエンドポイントの)別のプロファイルに VMware SD-WAN Edge が移動されたときに、一部の GRE トンネルが監視に表示されません。
回避策:Edge レベルで GRE を無効化してから、GRE を再度有効化して問題を解決します。
-
問題 36665:
VMware SD-WAN Orchestrator がインターネットにアクセスできない場合、Google Maps API へのアクセスを必要とするユーザー インターフェイスのページが完全にはロードされない場合があります。
-
問題 32913:
高可用性を有効化した後、VMware SD-WAN Edge のマルチキャストの詳細が [監視 (Monitoring)] ページに表示されません。フェイルオーバーにより、この問題は解決されます。
-
問題 33026:
契約を削除した後、[エンド ユーザー サービス契約 (End User Service Agreement)] (EUSA) のページが適切に再ロードされません。
-
問題 38056:
Edge ライセンスの export.csv ファイルにリージョン データが表示されません。
-
問題 38843:
アプリケーション マップをプッシュするときに、オペレータ イベントがなく、Edge イベントは制限付きのユーティリティになります。
-
問題 39633:
ユーザーが Super Gateway として代替 Gateway を割り当てた後、Super Gateway のハイパーリンクが機能しません。
-
問題 39790:
VMware SD-WAN Orchestrator を使用すると、サポートされている 32 個のサブインターフェイスを超えてユーザーが VMware SD-WAN Edge のルーティング インターフェイスを設定できます。これにより、ユーザーは、インターフェイス上で 33 個以上のサブインターフェイスを設定できるようになり、Edge のデータプレーン サービスの障害を引き起こす可能性があります。
-
問題 41691:
[設定 (Configure)] > [Edge] > [デバイス (Device)] ページで DHCP プールが枯渇していないのに、ユーザーが [アドレスの数 (Number of addresses)] フィールドを変更できません。
-
問題 43276:
VMware SD-WAN Edge またはプロファイルに Partner Gateway が設定されている場合に、ユーザーがセグメント タイプを変更できません。
回避策:プロファイルまたは Edge から Partner Gateway 設定を一時的に削除して、セグメントをプライベートと通常の間で変更できるようにします。または、プロファイルからセグメントを削除し、そこから変更を加えることができます。
-
問題 47713:
クラウド VPN がオフにされているときにビジネス ポリシー ルールが設定された場合、クラウド VPN をオンにするときに NAT を再設定する必要があります。
-
問題 47820:
プロファイル レベルで DHCP がオフになっている状態で VLAN が設定されていて、同時に DHCP が有効になっている Edge 上でこの VLAN に対する Edge 固有のルールがある場合に、DNS サーバのフィールドが「なし」(IP アドレスが設定されていない)に設定されているエントリがあると、ユーザーは [設定 (Configure)] > [Edge] > [デバイス (Device)] ページで変更を行うことができず、「無効な IP アドレス [] (invalid IP address [])」というエラー メッセージが表示されます。これは、実際の問題を説明または指摘していません。
-
問題 48085:VMware SD-WAN Orchestrator で、ユーザーがインターフェイスに関連付けられている VLAN を削除することが許可されます。
この問題が発生すると、「VLAN ID [xx] を削除できません。Edge [b1-edge1 (Gex-disabled)] によって使用されています (VLAN ID [xx] cannot be removed, in use by edge [b1-edge1 (GEx-disabled)])」のようなエラー メッセージが表示されます。
-
問題 51722:VMware SASE Orchestrator では、[監視 (Monitor)] > [Edge] タブの統計情報の時間範囲セレクタは 2 週間以内です。
一連の統計情報の保持期間が 2 週間よりはるかに長い場合でも、時間範囲セレクタの [監視 (Monitor)] > [Edge] タブに [過去 2 週間 (Past 2 Weeks)] を超えるオプションは表示されません。たとえば、フローとリンクの統計情報はデフォルトで 365 日間保持されますが(設定可能)、パスの統計情報はデフォルトで 2 週間のみ保持されます(これも設定可能です)。この問題により、すべての [監視 (Monitor)] タブが統計情報の最も低い保持タイプに従うことになり、ユーザーはその統計情報の保持期間に一致する期間を選択できません。
回避策:ユーザーは、時間範囲セレクタの [カスタム (Custom)] オプションを使用して、2 週間以上のデータを表示できます。
-
問題 60522:VMware SD-WAN Orchestrator ユーザー インターフェイスで、セグメントを削除しようとすると多数のエラー メッセージが表示されます。
この問題は、1 つのセグメントをプロファイルに追加し、セグメントを複数の VMware SD-WAN Edge に関連付ける場合に発生する可能性があります。ユーザーが追加したセグメントをプロファイルから削除しようとすると、多数のエラー メッセージが表示されます。
回避策:この問題の回避策はありません。
-
問題 82680:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI(クラウド間相互接続)を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにすると、Zscaler MT-GRE エントリが Zscaler ポータルから一貫して削除されないことがあります。
CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。
回避策:再試行する前に、Zscaler からリソースを手動で削除します。
-
問題 82681:MT-GRE トンネル自動化を使用しているカスタマーの場合、ユーザーが CCI(クラウド間相互接続)を使用するように設定されている VMware SD-WAN Gateway で CCI フラグをオフにし、Zscaler クラウド セキュリティ サービスを使用する CCI が設定されている VMware SD-WAN Edge から CCI フラグを無効にすると、Zscaler MT-GRE エントリが Edge または Zscaler ポータルから削除されないことがあります。
CCI サイトが Gateway から削除された後、このサイトのエントリも削除する必要があります。この問題はテストの自動化時にのみ発生し、手動では再現されていませんが、リスクは残っています。
回避策:再試行する前に、Zscaler からリソースを手動で削除します。
-
問題 103769:オペレータは、大規模な展開の VMware SASE Orchestrator で、ディスク使用率が 100% になり、Orchestrator でログが蓄積されなくなるなどのパフォーマンスの問題に遭遇する場合があります。
この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。この問題は、5.1.0 Orchestrator のログの動作の変更によって発生し、その結果、ログを保存するフォルダがいっぱいになり、Orchestrator の CPU 使用率が 100% に達する可能性があります。
回避策:スーパー ユーザー オペレータは Orchestrator にログインし、保留中のログをクリーンアップする必要があります。
-
問題 114475:オペレータがリリース 4.2.0 から 5.1.0 に VMware SASE Orchestrator をアップグレードしようとすると、Orchestrator がアップグレードに失敗したことを報告することがあります。
ログで、オペレータは次のエントリを確認します。Error while initializing CWS Server service Error: Too many connections.
この問題は、vco-db-schema がインストールされる前に MySQL を再起動するとトリガされます。これは、MySQL が最大接続数を設定していないために発生します。さらに、Orchestrator はインストールに失敗したと報告しますが、実際にはインストールが完了し、Orchestrator を再起動でき、すべてのサービスは期待どおりに動作します。
-
問題 117699:オペレータが 4.2.x VMware SD-WAN Orchestrator をリリース 5.2.0 SASE Orchestrator にアップグレードしようとすると、アップグレードが失敗することがあります。
アップグレードは成功せず、「CWS サービスが起動するのを待機しています... (Waiting for the CWS service up...)」というメッセージで停止します。この問題が発生するのは、4.2.x Orchestrator に限られます。
回避策:この問題の回避策は、まず 4.2.x Orchestrator を 4.5.1 にアップグレードしてから、リリース 5.2.0.0 にアップグレードすることです。
-
問題 124568:ディザスタ リカバリ (DR) トポロジを使用して展開された VMware SASE Orchestrator の場合、まれにオペレータ ユーザーは DR が停止し、アクティブ Orchestrator とスタンバイ Orchestrator 間のレプリケーションが一時的に失われていることに気付くことがあります。
この問題は DR のみに限定されているため、ユーザー エクスペリエンスには影響しません。[DR] ページには、STANDBY_RUNNING ではなくエラー状態が表示されます。
回避策:これは断続的なエラーで、自動的に復旧します。
-
問題 125006:ディザスタ リカバリ (DR) トポロジで設定された VMware SASE Orchestrator の場合、Orchestrator のデータベースが失敗し、このためスタンバイ Orchestrator がエラー状態になり、まれに Edge と Gateway が Orchestrator ユーザー インターフェイスでオフラインと表示され、イベントとアラートがトリガされることがあります。
データベースの状態は数分以内に自動復旧すると予想され、DR Orchestrator は再同期されます。ただし、この状態が許容期間を超え、Edge と Gateway の両方がアクティブ Orchestrator ではなくスタンバイ Orchestrator へのハートビートの送信を開始することがあります。その結果、アクティブ Orchestrator はハートビートを送信しない Edge と Gateway の両方をダウンとしてマークし、イベントとアラートをトリガします。この問題は管理側の問題であり、ネットワーク トラフィックには影響しません。
回避策:この問題を修正せずに回避する方法は、失敗した同期の許容範囲を管理する Orchestrator システム プロパティ vco.disasterRecovery.transientErrorToleranceSecs を適切な量だけ増やして、自動復旧時間を長くすることです。
-
問題 125082:ユーザーが VLAN 上で上書きされた DNS サーバの IP アドレスを使用して VMware SD-WAN Edge を設定し、Edge が使用しているプロファイルのインターフェイス設定を変更すると、Edge VLAN に DNS サーバの IP アドレスが存在しなくなります。
新しいユーザー インターフェイスは DHCP セクション内で上書きフラグを送信しないため、プロファイルの変更によって DHCP セクションの上書きがトリガされます。
回避策:この問題の回避策はありません。
-
問題 125504:スタティック ルートに、プロファイル レベルで IPv4/IPv6 アドレスを持つ VLAN としてネクスト ホップが設定された後、Edge レベルで上書きされ、IPv4/IPv6 アドレスが VLAN に追加された場合、スタティック ルートは「N/A」としてマークされず、VMware SASE Orchestrator はドロップダウン メニューでインターフェイスを要求します。
スタティック ルートに IPv4/IPv6 アドレスを持つ VLAN としてネクスト ホップが設定されている場合、Orchestrator はインターフェイスを要求せず、ルートが「N/A」としてマークされることが想定されます。
回避策:この問題の回避策はありません。
-
問題 125663:ユーザーは、複数の Edge インターフェイスに同じ IPv4/IPv6 IP アドレスを設定できます。
VMware SASE Orchestrator では、ユーザーが複数の WAN、LAN、またはサブ インターフェイスに同じ IP アドレスを設定できます。
回避策:複数のインターフェイスに同じ IP アドレスを設定しないようにする以外に、この問題の回避策はありません。
-
問題 126421:Partner Gateway を使用しているパートナーの場合、ハンドオフの詳細を設定すると、ユーザーの動作に関係なく、[プライベート トンネルに使用 (Use for Private Tunnels)] オプションが常にオンになります。
Orchestrator は Partner Gateway ハンドオフに [プライベート トンネルに使用 (Use for Private Tunnels)] 設定を適用し、Partner Gateway を使用するカスタマーのトラフィックに影響を与える可能性があるため、これは表示上の問題ではありません。
回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
-
問題 126425:プロファイル レベルで [設定 (Configure)] > [デバイス (Device)] > [ルーティングと NAT (Routing & NAT)] ページを見ると、OSPF の [オン/オフ (On/Off)] トグル ボタンが表示されません。
OSPF の [オン/オフ (On/Off)] トグル ボタンは、プロファイル レベルで新しいユーザー インターフェイスに移行されず、Edge レベルでのみ表示されます。
回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
-
問題 126465:VMware SASE Orchestrator ユーザー インターフェイスは、ユーザーが Edge クラスタを作成するために行った変更を適用していません。
ユーザーがユーザー インターフェイスの [設定 (Configure)] > [Edge] > [高可用性 (High Availability)] セクションに移動し、クラスタ タイプの HA をオンにして、「xxxx」という名前のハブ クラスタを作成して変更を保存すると、保存後に [HA] セクションで [クラスタ (Cluster)] オプションが選択されず、「xxxx」という名前で作成されたハブ クラスタが存在しません。
回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
-
問題 126695:ユーザーがアラート用 Webhook を設定している場合、[ペイロード テンプレートの設定 (Configure Payload Template)] ボタンをクリックしてもメニューが表示されません。
この問題は、ユーザー インターフェイスの [SD-WAN] > [設定 (Settings)] > [アラート (Alerts)] > [Webhook (Webhooks)] ページで Webhook を設定するときに発生します。ブラウザ コンソールを見ると、次のメッセージも表示されます。
ERROR TypeError: Cannot read properties of undefined (reading 'invalid')。回避策:新しいユーザー インターフェイスのみを使用する Orchestrator では、この問題の回避策はありません。
-
問題 127152:VMware SASE Orchestrator ユーザー インターフェイスで、OSPF 設定で変更されたインターフェイスを保存できません。
プロファイル レベルで OSPFv2 または OSPFv3 を設定すると、OSPF データを変更した後に [インターフェイスの編集 (Edit Interface)] ダイアログが無効になります。
回避策:この問題が修正されていない Orchestrator では、MD5 認証を有効にし、キー ID を 1 から 255 の任意の値に変更してから、MD5 認証を無効にする必要があります。
-
問題 130115:ディザスタ リカバリ (DR) トポロジで設定された VMware SASE Orchestrator の場合、アクティブ Orchestrator とスタンバイ Orchestrator の DR ページの [履歴 (History)] セクションに異なる詳細が表示されます。
ユーザーには、[履歴 (History)] セクションのスタンバイ行と比較して、アクティブ Orchestrator で障害が発生した DR 状態の行が追加で表示され、これらの行はアクティブ Orchestrator で時間順に並べ替えられることはありません。
