vShield 5.1 | 10. SEPTEMBER 2012 | Build 807847

Letzte Aktualisierung: 10. SEPTEMBER 2012

Inhalt dieser Versionshinweise

Diese Versionshinweise decken die folgenden Themen ab:

Neuigkeiten

  • VXLAN-Gateway: vShield Edge funktioniert wie ein VXLAN-Gateway, das logische VXLAN-Netzwerke herkömmlichen VLAN-Netzwerken zuordnet.
  • Unterstützung für mehrere Schnittstellen: Ermöglicht die Verwendung mehrerer interner und externer Schnittstellen auf einer einzelnen virtuellen vShield Edge-Maschine.
  • Sekundäre IP-Pools: Ermöglicht die Zuweisung nicht zusammenhängender IP-Blöcke zu einer vShield Edge-Schnittstelle und eignet sich besonders zum Erweitern von IP-Namespaces.
  • Verbesserungen beim Lastausgleich: vShield Edge unterstützt den HTTPS- und TCP-Lastausgleich sowie verbesserte Optionen zur Überprüfung des Systemzustands.
  • DNS-Relay: vShield Edge kann als weiterleitender DNS-Server konfiguriert werden, um Anwendungen das Auflösen externer Domänennamen per DNS-Namensauflösung zu ermöglichen. Die Anforderungen der Clientanwendung werden direkt an den DNS-Server des ISP weitergeleitet und die Antwort des ISP-DNS wird im Cache-Speicher abgelegt.
  • SSL VPN-Plus: Remotebenutzer können mit dieser Funktion auf private Unternehmensanwendungen zugreifen.
  • vShield Edge High Availability: Sie können zwei virtuelle vShield Edge-Maschinen in einer Aktiv/Passiv-Konfiguration erstellen, wodurch das zustandsbehaftete Failover eine höhere Belastbarkeit auf Geräte-Ebene ermöglicht und die Verfügbarkeit von Diensten erhöht.
  • Neue CLI-Befehle für vShield Edge: Ermöglichen Konfigurations-, Funktions- und Systeminformationen, Protokollierung und Fehlerbehebung. SSH CLI- und rollenbasierte Zugriffssteuerung werden ebenfalls unterstützt.
  • vShield Edge ist für unterschiedliche Leistungsniveaus verfügbar: Es stehen dafür die Größen "Compact" und "Large" bereit.
  • Verbesserte vShield Edge-Protokollierung: Bietet einfachere Fehlerbehebung.
  • Hardware-Offloads: vShield Edge kann die Vorteile der Hardwarebeschleunigung auf Intel Westmere-Chips nutzen, um ein Offload der kryptografische AES-Verarbeitung durchzuführen.
  • Framework zum Einfügen von Diensten: Bietet die Möglichkeit, Netzwerkdienste (z. B. WAN-Optimierung, Anwendungsbereitstellung, erweiterter Lastausgleich usw.) und Netzwerksicherheitsdienste (z. B. erweiterte Firewalls, Schutz vor unbefugtem Zugriff usw.) von jedem Anbieter in eine virtualisierte Umgebung einzufügen.
  • Neue vShield App- und vShield Edge-Firewall-Benutzeroberfläche: Vereinfachte Benutzeroberfläche ermöglicht eine einfachere Manipulation von Regeln.
    • Neue Tabellenansicht für Firewallregeln.
    • Möglichkeit, mehrere Objekte als Quelle und Ziel hinzuzufügen, wodurch die Gesamtzahl an zu erstellenden Regeln verringert wird.
    • Vorab gefüllte Objekte von vCenter-Containern und Dienstgruppen für Tier-1-Anwendungen zum einfachen Erstellen von Regeln.
    • Vereinfachte Regelverwaltung durch symbolgesteuerte Assistenten zum Hinzufügen und Bearbeiten von Regeln, neue Optionen zur Neuanordnung, Option zum selektiven Aktivieren von Regeln usw.
    • Einfachere Objektmanipulationen durch neue Möglichkeiten zum Gruppieren, Suchen und Auswählen von Objekten für Regeln.
    • Flow Monitoring, das Aktionen ermöglicht, und grafische Einsicht in Datenverkehrsmuster.

Systemanforderungen und Installation

Weitere Informationen zu den Systemanforderungen und den Installationsanweisungen finden Sie im Installations- und Upgrade-Handbuch für vShield .

Bekannte Probleme

Die folgenden bekannten Probleme wurden beim Testen der Software erkannt. Sie helfen Ihnen, das Verhalten, auf das Sie in dieser Version treffen, besser zu verstehen.

Die bekannten Probleme gliedern sich in folgende Gruppen:

Allgemeine Probleme

vShield Manager ist nicht erreichbar, nachdem die Netzwerkschnittstelle getrennt und neu verbunden wurde
vShield Manager ist nicht mit vCenter Server synchronisiert, nachdem Sie die vShield Manager-vNIC getrennt und neu verbunden haben.
Umgehung: Starten Sie vShield Manager neu.

vShield-Administratorrolle ist beschädigt
Die vShield-Administratorrolle kann auf vShield Edge einige Vorgänge (Erstellen, Konfiguration, Upgrade) nicht durchführen.
Umgehung: Falls Sie die Rollendelegierung in der Version 5.0 oder 5.0.1 mit der vShield-Administratorrolle implementiert haben, erweitern Sie die Rechte dieser Benutzer um die Rolle "Enterprise-Administrator".

Der Installationsstatus von vShield-Komponenten geht für Hosts verloren, wenn Sie die Vorbereitung des Clusters für virtuelle VXLAN-Leitungen aufheben
Der Installationsstatus von vShield-Komponenten (vShield App, vShield Endpoint, vShield Data Security) wird nicht ordnungsgemäß angezeigt, wenn nach dem Aufheben der Vorbereitung virtueller VXLAN-Leitungen keine Neustart erfolgt.
Umgehung: Starten Sie den Host neu, nachdem Sie die Vorbereitung eines Clusters aufgehoben haben.

vmservice-vSwitch wird bei der Deinstallation nicht gelöscht
Beim Deinstallieren von vShield-Komponenten wird der vmservice-vSwitch nicht gelöscht. Falls erforderlich, können Sie ihn manuell löschen.

Beim erneuten Installieren von vShield App auf demselben Host werden alte Flows gemeldet
Wenn vShield App auf demselben Host neu installiert wird, werden Flows für die virtuellen Maschinen, die für die vorherige vShield App-Installation gemeldet wurden, auch für die aktuelle vShield App-Installation gemeldet.

Probleme bei vShield Manager

Das Konfigurieren von vShield Manager mit einem vCenter Server dauert zu lange
Nach dem Konfigurieren von vShield Manager mit einem vCenter Server wird die Benutzeroberfläche nicht aktualisiert.
Umgehung: Laden Sie die Seite neu.

Probleme bei vShield Endpoint

Falscher Systemzustand für SVMs
Wenn die letzte geschützte Gast-VM auf einem Host ausgeschaltet wird und es keine verbleibenden Verbindungen mehr zu einer SVM gibt, ist der Status der SVM unbekannt. Allerdings meldet die Seite "Health and Alarms" von vShield Endpoint fälschlicherweise den Status der SVM entweder als grün oder rot.

Die vShield Endpoint-Statusüberwachung und vShield Data Security funktionieren nicht ordnungsgemäß, wenn mehrere virtuelle Maschinen mit derselben UUID vorhanden sind
Wenn mehrere virtuelle Maschinen mit derselben UUID vorhanden sind, meldet vShield Endpoint nur eine virtuelle Maschine als geschützt und vShield Data Security meldet möglicherweise Verstöße zum falschen Objekt.
Umgehung: Wenn Sie eine VM kopieren, geben Sie immer an, dass Sie die VM kopiert haben, damit eine neue UUID generiert wird. Schalten Sie die VM nach dem Kopieren außerdem einmal aus und wieder ein (kein "weicher" Neustart).

Probleme bei vShield App

vShield App-Installation schlägt fehl, wenn einer der Hosts kein Teil von dvSwitch ist
Die Installation virtueller vShield-Dienstmaschinen kann in bestimmten Szenarios fehlschlagen. Stellen Sie sich ein Szenario mit zwei DRS-fähigen Clustern in einem Datencenter vor, wobei jeder Cluster über zwei Hosts verfügt. Sie erstellen einen dvSwitch und fügen einen Host von jedem Cluster erfolgreich zum dvSwitch hinzu. Wenn Sie dann eine neue virtuelle Maschine bereitstellen oder vShield Edge mit seiner vNIC in der Portgruppe des zuvor erstellten dvSwitch installieren, wird die virtuelle Maschine nicht erstellt und die OVF-Datei wird nicht importiert.
Umgehung: Wenn DRS aktiviert ist, müssen Sie mindestens zwei Hosts aus demselben Cluster zu einem dvSwitch hinzufügen.

Probleme bei vShield Edge

vShield Edge-Statistiken werden zurückgesetzt, wenn vShield Edge in den Größen "compact", "large" oder "x-large" neu bereitgestellt oder in diese Größen konvertiert wird.
Die vShield Edge-Statistiken werden auf null (0) zurückgesetzt, wenn Sie vShield Edge neu bereitstellen oder die Größe bzw. Konfiguration der vShield Edge-Appliance ändern. Zudem sind die Statistiken möglicherweise nicht korrekt, wenn eine der virtuellen Maschinen nicht betriebsbereit ist, wenn sich vShield Edge im HA-Modus befindet.

Auf 64-Bit-Computer mit Windows 7 kann nach einer Full-Tunnel-Abmeldung nicht zugegriffen werden
Im Full-Tunnel-Modus ändert sich das Standard-Gateway, sodass der gesamte Datenverkehr über das VPN-Tunnel gesendet wird. Wenn Sie sich vom SSL VPN-Client abmelden, wird das Standard-Gateway unter Windows Vista und späteren Windows-Versionen nicht auf die Standardwerte zurückgesetzt.
Umgehung: Deaktivieren Sie den Netzwerkadapter und aktivieren Sie ihn wieder.

org-vdc-Netzwerk kann aufgrund eines vShield Manager-Antwortfehlers nicht gelöscht werden
Ein Ressourcenpool kann nicht gelöscht werden, wenn vShield Edge darin installiert ist.
Umgehung: Bearbeiten Sie die Appliance-Konfiguration, damit der neue Ressourcenpool berücksichtigt wird, bevor Sie den Ressourcenpool löschen.

Probleme bei vShield VXLAN Virtual Wire

Clustervorbereitung schlägt fehl, wenn ein Host außerhalb des Clusters, der mit demselben vDS verbunden ist, nicht synchronisiert ist oder nicht antwortet
Während der Vorbereitung der virtuellen VXLAN-Leitung wird die vDS MTU-Konfiguration als Teil der Switch-Konfiguration festgelegt (Dialogfeld zum Vorbereiten der Infrastruktur für VXLAN-Netzwerke). Wenn Hosts vom vDS getrennt werden, wird beim Konfigurieren des MTU-Werts von vCenter Server ein Fehler zurückgegeben, da ein Teil der Hosts, die zum DVS hinzugefügt wurden, zum Zeitpunkt der Trennung nicht erreichbar sind. Dadurch wird die restliche VXLAN-Vorbereitung beendet.
Umgehung: Verbinden Sie die VXLAN-Hosts neu und bereiten Sie den Cluster erneut vor.

Deinstallation bzw. Upgrade des VIB für die virtuelle VXLAN-Leitung erfordert einen Neustart des Hosts
Wenn die Bereitstellung über vShield Manager erfolgt, werden die Deinstallations- und Upgrade-Fälle im ESX Agent Manager-Agency-Status und auf der vShield Manager-Benutzeroberfläche angezeigt.
Umgehung: Das Neustarten des Hosts ermöglicht es, mit der Deinstallation bzw. dem Upgrade des VXLAN-Moduls fortzufahren.

Vorbereitung der virtuellen VXLAN-Leitung und Bereitstellung des Einfügens von Diensten erfordern eine gültige, von vCenter verwaltete IP-Adresse und einen gültigen FQDN
Umgehung: Legen Sie eine gültige, von vCenter verwaltete IP-Adresse fest und vergewissern Sie sich, dass der FQDN entweder aufgelöst werden kann oder zurückgesetzt ist. Die von vCenter verwaltete IP-Adresse befindet sich unter "vCenter Server-Einstellungen > Laufzeiteinstellungen". Der FQDN kann über "vCenter Server-Einstellungen > Erweiterte Einstellungen > FQDN" eingesehen werden.

Es können nicht mehrere VXLAN-Multicast-Adressbereiche angegeben werden, während Sie Ihr Netzwerk für virtuelle VXLAN-Leitungen vorbereiten
Umgehung: Geben Sie unter Verwendung eines REST-Aufrufs mehrere Multicast-Adressbereiche an.

Probleme bei vShield Data Security

vShield Data Security-Appliance ist nicht mehr erreichbar, wenn eine Sicherungswiederherstellung auf vShield Manager durchgeführt wird, der bereits mit vCenter Server verbunden ist
Umgehung: Stellen Sie die Sicherung auf einem neu bereitgestellten vShield Manager wieder her, der nicht mit vCenter Server verbunden ist.

Die Datensicherheitsprüfung sollte erst gestartet werden, wenn mindestens eine Bestimmung hinzugefügt wurde
Wenn eine neue Datensicherheitsprüfung gestartet wird, ohne dass Bestimmungen ausgewählt wurden, wird die Prüfung ausgeführt, aber es werden keine Verstöße erkannt.
Umgehung: Fügen Sie mindestens eine Bestimmung hinzu, bevor Sie eine Datensicherheitsprüfung ausführen.

Richtlinien bestimmter US-Bundesstaaten stimmen mit den Führerscheinen aller US-Bundesstaaten überein
Wenn in vShield Data Security eine Richtlinie für einen US-Bundesstaat aktiviert ist, werden Dateien, die die Führerscheine anderer Bundesstaaten enthalten, evtl. fälschlicherweise als Dateien erkannt, die gegen Richtlinien verstoßen.

Falscher Systemzustand für SVM während der Installation
Wenn die vShield Data Security-SVM von vShield Manager bereitgestellt wird, wird möglicherweise ein vorzeitiger Alarm für die SVM ausgelöst. Der Alarm wird entfernt, sobald die SVM eingerichtet ist und ausgeführt wird.

Behobene Probleme

Die folgenden Probleme wurden in der Version 5.1 behoben.

  • Wenn das Aktivierungskennwort für vShield CLI vom Administratorbenutzer geändert wird, kann es nur vom Administratorbenutzer erneut geändert werden
  • Es kann kein neuer Benutzer mit demselben Namen wie ein vorhandener Benutzer erstellt werden
  • vShield App-Deinstallation schlägt fehl, wenn sich der Host im Wartungsmodus befindet
  • Wenn die virtuelle vShield Edge-Maschine während der Installation migriert wird, schlägt die Installation fehl
  • Die VPN-Konfiguration schlägt fehl, wenn der CN Sonderzeichen enthält
  • Das Deinstallieren von vShield Endpoint führt dazu, dass vShield Data Security nicht mehr funktioniert
  • vShield Manager unterstützt keine UTF8-Zeichenkodierung zu Anzeige- und Berichtszwecken
  • Das Starten und Beenden einer vShield Data Security-Prüfung funktioniert nach dem Wiederherstellen einer Sicherungskonfiguration nicht