| 目前Citrix SD-WAN最新軟體版本已經更新到11.2.1a,相較於以前的10版本,11版本的新增功能還是非常強大的,例如:埠聚合、帶內管理、基於domainname的應用分類、協力廠商的firewall集成(Palo Alto Networks、check point)、證書認證等等以及諸多10版本的bug修復。 |
新版本的不斷反覆運算更新,增強了Citrix SD-WAN產品競爭力,但在不同環境下測試也可能會遇到不同的問題。以下麵是我最近遇到的兩個問題,分享給各位:
一、11版本license狀態異常
前段時間客戶新購幾台210,出廠版本為10.2.3,當我在本地upload設定檔後,版本升級為11.0.2,但是發現license資訊完全不顯示了,包括host id。我們知道SDWAN沒有host id是無法分配license的。我試了重啟、開啟wan service等等方法,仍然無法解決該問題。
導入配置前我已經準備好license,雖然license status沒有顯示,但下面依然可以upload。
我選擇了強行上傳license,但畫面只是閃了一下載入的介面就跳轉回來,跟之前一樣。看來license狀態異常的情況下是無法導入的,於是做了版本回退。首先,我的判斷可能是新的版本有了新的license限制,比如9.X軟體版本是無法上傳使用410-300的license,最低要10.X版本才可以。回退到10版本,可以看到license狀態顯示正常,導入後已經生效。後來嘗試了其他版本10.2.3、10.2.4、10.2.7,(圖為10.2.7)
下面將已經帶有license的版本升級到最早的11版本11.0.1和目前使用版本11.0.2(圖為11.0.2)
可以看到其實210-100的license還是生效的,但是license資訊依然無法顯示出來但是問題還未解決。測試結果表明10版本是正常的,只要升級到11版本就會出現這個問題。無奈之下只好求助support,也是一頭霧水,好在查找到了相似案例,問題是因為11版本新增了檢測管理位址的機制,如果管理位址使用預設的配置就會隱藏license資訊。解決方法:更改預設的管理地址或者在預設地址下加個閘道。
更改之後已經可以正常顯示了。
二、修改分支Site Name導致隧道中斷
這個問題是在SDWAN隧道建立成功後想要規範下命名,於是將site名稱更改後卻發現已經建立隧道斷開,並且無法重新再次恢復。
以下是測試環境:可以看到目前隧道是正常的狀態
將名稱為homepc的site改名為site-A
保存下發配置後隧道就斷開了
這個現象比較奇怪,首先測試兩端的網路情況:
MCN端
Client端
可以看到網路狀態是沒問題的,都可以存取外網。於是在MCN端抓包排查:
已經收到了client請求建立隧道的資料,但是MCN沒有回包。我們再從security.log上進行分析:
改名生效後隧道就已經斷開了
報錯顯示解密失敗,無法找到此ID的path。再查看common.log, 同樣無法找到path,並且不再嘗試學習。
首先,我們瞭解一下隧道建立的過程,通常分支並不具備固定的外網位址,通過SD-WAN設備自動檢測會攜帶分支的外網位元址向MCN申請建立隧道,但是當前狀態下MCN雖然收到建立隧道的請求,但是卻拒絕了client,SDWAN的隧道默認使用AES-128資料加密,而每個site的SDWAN都有自己的金鑰,virtual path會使用兩端site金鑰組合生成後的金鑰用來加解密資料,如果有一端單獨更新了自己金鑰會導致path匹配失敗,根據以上的分析判斷,很有可能是由於改名導致的金鑰更新,所以client可以找到MCN,但是MCN拒絕連接。目前測試只有改過名的site會隧道斷開,未改名的不受影響,通過localchange management重新手動導入配置可以解決問題。所以我們在配置分支的時候一定要提前規劃好命名,如果上線後需要修改SiteName,需要和客戶提前溝通確認操作視窗,此操作會影響生產環境。以上是本次分享,歡迎各位前來指點。
發表迴響