集群重新分配逻辑存在问题，在特定的集群成员到超级网关覆盖网络抖动场景中，该逻辑会创建集群分配映射，但不包含集群成员的端点信息。因此，分配给 Hub 集群成员的分支 Edge 随后无法接收 Hub 集群成员的端点信息，从而导致分支 Edge 和 Hub 集群之间没有覆盖网络。

如果未进行该修复，则临时修复这种情况的唯一方法是，具有网关访问权限的人员在超级网关上手动触发集群重新分配。

当 OSPF 路由器 ID 发生更改并重新启动 Edge 服务时，会出现该问题。仅考虑使用环回接口和启用了“通告”(Advertise) 标记的接口来选择路由器 ID。如果为新的环回接口配置了更高的 IP 地址，在重新启动 Edge 服务时，将选择新的环回 IP 地址作为路由器 ID；如果选择 Edge 作为 DR（指定的路由器），则会出现该问题。

如果未进行该修复，唯一的解决办法是强制使用旧路由器 ID。要恢复旧路由器 ID，请在相应的接口上启用“通告”(Advertise) 标记（需要重新启动 Edge 服务）。

例如，如果存在源 IP 地址不同但下一跃点相同的用户定义的覆盖网络，并且相同的下一跃点分别将流量转向 Hub Edge 和网关，则在 WAN 链路抖动时，只会重新建立到网关的隧道，而不会重新建立到 Hub Edge 的隧道，从而对 Hub Edge 的客户流量造成影响。

在设计上，Edge 不支持多个用户定义的 WAN 覆盖网络具有相同的下一跃点，但 Edge 不会对配置执行检查，而是将其视为有效。仅当 WAN 链路抖动时，Edge 才会执行检查，并强制实施单个用户定义的 WAN 覆盖网络以排除其他 WAN 覆盖网络。这就是在应用 Edge 时或重新启动 Edge 并重新应用配置时，此配置对 Edge“有效”的原因。对此问题进行修复后，将允许同一接口具有多个用户定义的 WAN 覆盖网络，从而在 WAN 链路抖动后，或在可能断开覆盖网络隧道的任何其他情况下，将重新建立所有隧道。

如果未进行此修复，还原所有隧道的唯一方法是重新启动 Edge 服务，可以在 Orchestrator 上使用 测试和故障排除 (Test & Troubleshoot) > 远程操作 (Remote Actions) > 重新启动服务 (Restart Service) 来完成此操作。

出现该问题时，不会对 WAN 链路进行重新测量，以指定频率获取最新带宽容量值。出现该问题是因为，每当 WAN 链路上发生隧道拆除/启动（即抖动）时，服务便会重置带宽值缓存上的日期。由于缓存的带宽值被重置，SD-WAN 服务会误认为这是新值，不需要进行额外的带宽测试。在频繁发生隧道抖动的 WAN 链路中，此 WAN 链路带宽值可能很旧，根本无法代表当前的 WAN 链路带宽值，而这会导致因 SD-WAN 服务无法将 WAN 链路利用到其实际容量而出现客户流量问题。

禁用路由端口会将该网络设备与 DPDK 控制的硬件解除绑定，并将其重新绑定到 Linux 驱动程序，且 Edge 服务会重新启动。/opt/vc/etc/dpdk.json 文件将进行更新以移除该接口，如此一来，在重新启用时，该文件不会相应更新，以从 Linux 解除绑定并重新绑定到 DPDK 控制的驱动程序。

如果未进行该修复，则解决该问题的唯一办法是，重新引导 Edge 以清除此状态并恢复为默认引导状态，从而将设备重新添加到 Edge DPDK 层

如果移除了端口上的链路，但未禁用接口，则 Edge 不会从网关中撤消路由，从而导致其他 Edge 将流量转发到未连接任何链路的 Edge。对客户产生的影响是，对于未连接链路的接口，已连接路由的流量可能会流入黑洞中。

如果未进行该修复，则唯一的解决办法是禁用未连接任何链路的接口

如果 WAN 链路的容量高于在“WAN 设置”(WAN Settings) 中手动配置的容量，则全局分段将强制使用配置的较低值，而非全局分段将使用链路的实际容量。  尽管在 WAN 链路使用的 Edge 接口上配置了“底层网络记帐”(Underlay Accounting)，也仍会出现该问题。

在以下两个场景中，该问题可能会影响 Edge：

如果同时启用了 IPv4 和 IPv6 系列，Edge 将在内部创建两个不同的链路对象。当仅应为二者之一添加带宽值时，会同时为二者都添加带宽值。

如果未进行该修复，则该问题的解决办法是，当 Hub/分支拓扑启用了双栈时，不要使用不同的隧道首选项。

如果在 VMware SD-WAN Edge 的 WAN 链路上配置了大量子路径，或者 Edge 与其连接的网关之间的管理隧道频繁抖动，则可能会导致网关的内存计数器耗尽，从而触发网关重新启动以进行恢复。

在通知延迟时间内未发出的警示的详细信息与已发出的警示的详细信息相似。通知时间是查看详细信息时的当前时间。在新 UI 上，通知时间列为“挂起”(Pending)。

为监控流量是否通过 VNF 传输，Edge 进程会定期发送无故 ARP (GARP)。如果 GARP 的定时器正好在 Edge 更新 VNF 配置时运行，则可能会发生内存损坏。

在 VMware SD-WAN Edge 服务重新启动时，Edge 应该测试带宽并将其与缓存的值进行比较。由于存在该问题，系统不会应用测试结果，而是会继续使用缓存的值。

如果在 Edge 上配置了指向任何 Edge 接口的静态路由，且 BGP 对等体从 Edge 中学习默认路由，则当稍后禁用该接口，从而使配置的路由的可访问标记更改为“False”时，仍会继续通告该路由。同样地，如果某个路由因为接口关闭而无法重新分发，但之后当接口重新启动并将路由状态标记为“True”时，仍不会重新分发该路由。导致出现这两种情况的原因都是，Edge 未在接口状态发生更改时重新通告路由，以反映新的路由状态。

对于某些客户问题，在检查路由事件时，包含网络掩码很有用，但在这种情况下缺少网络掩码。

Edge 和网关都有一个用于管理 UUID（通用唯一标识符）的内部库。此库中极少出现的争用情况可能会导致“释放后使用”问题，该问题会针对相应的 Edge 或网关触发分段故障和服务故障。会增加 Edge 或网关遇到此问题的风险的一个因素是，频繁出现隧道抖动（隧道遭到拆除并重建）。

在将 Edge 升级到 4.3.0 版本后，将阻止 SNMP 使用的某些 IP，为此，需要更改防火墙设置以允许端口 161 上的流量。

该问题并不总是发生，因此不容易重现，但是在发生该问题时，HA Edge 的定期处理程序线程会在活动与备用 Edge 之间同步流量期间运行超过 180 毫秒，这会导致出现死锁，并在活动 Edge 的 mutex mon 线程上触发 SIGKILL 消息，从而导致内核和 Edge 重新引导。

在将 Edge 3x00 型号升级到包含 CPLD 固件升级的内部版本时，会出现该问题。按照设计，备用 Edge 会先升级，然后故障切换到活动 Edge，以便活动 Edge 随后可以升级，而活动 Edge 要么等待故障切换，要么在没有故障切换的情况下，也经过五分钟的延迟后再进行升级。在升级时，备用 Edge 还会升级其固件（包括操作系统内核），该过程可能需要超过五分钟的时间，因此会引发以下情况：备用 Edge 和活动 Edge 同时升级和重新引导，从而导致客户流量中断，并迫使重新学习 OSPF 或 BFD 路由，这本身也会造成中断。对该问题的修复只是扩展了备用 Edge 的定时器，以确保一次仅升级一个 Edge。

DHCP 租约过期后，将移除接口的 IP 地址。在将新 IP 分配给接口之前，将暂时使用“0.0.0.0”作为源 NAT IP 来创建任何新流量的 NAT 条目，并丢弃这些数据包。在为接口分配有效的 IP 地址后，不会删除现有 NAT 条目，并且不会使用有效的 IP 创建新的 NAT 条目，从而导致丢弃流量。

对于已硬重置为出厂映像（该映像为 1.8.x 版本）的 Edge 500，在为其分配了 4.5.x 版本的情况下，无法将其激活。4.5.0 及更高内部版本将升级包的格式更改为使用 sha256sums 而不是 sha1sums。由于早期内部版本没有这些库，因此无法升级到 4.5.x。

如果未进行该修复，则解决办法是，先将 Edge 500 激活到较新版本（如 4.2.x 或 4.3.x），在 Edge 使用较新内部版本后，再继续执行额外步骤，以将 Edge 升级到 4.5.x 内部版本。  Edge 500 也是一个 EOL 型号，因此另一种解决办法是对 Edge 请求 RMA 以获取最新的等效 Edge 型号。

该问题并不总是发生，即使满足列出的条件也很少出现。在重新引导 Edge 并启用了 L7 运行状况检查时，如果 Edge WAN 接口转换启动/关闭状态，则在重新启动和初始化期间，Edge 可能会错过发送 L7 探测。

如果未进行该修复，则使 Edge 继续发送 L7 探测的唯一方法是，关闭然后重新打开 L7 运行状况检查。

即使网关或 Edge 运行的内部版本修复了问题 62552，并且还解决了网关或 Edge 发出 MAC 地址为 00:00:00:00 的数据包这一问题，网关/Edge 数据平面进程中也会有一些位置仍可能发送源和/或目标 MAC 地址为零的数据包。在这些位置中，ARP 状态机不会验证源和目标 MAC 地址。

要确切地了解该问题是否发生，唯一的办法是，检查日志中是否存在零 MAC 地址，特别是要检查使用 tcpdump 输出的 MAC 地址。

默认情况下，VMware SD-WAN 服务会将所有 Skype 和 MS Teams 数据包（包括通话数据包）分类为 APP_CLASS_INTERNET_INSTANT_MESSAGING (10) 类。即时消息类的优先级较低，因此通话可能会因带宽和链路质量的优先级降低而受到影响。  该修复将与 Skype 和 MS Teams 匹配的数据包更改为 APP_CLASS_BUSINESS_COLLABORATION (5) 类，这意味着将按预期的“高优先级”(High Priority)/“实时”(Real Time) 质量级别处理通话。

如果未进行该修复，则解决办法是，自定义应用程序库，以便将 Skype 和 MS Teams 数据包分类为“业务协作”(Business Collaboration)。

回传和接口流量路由查找代码存在一个问题，即：该代码始终会选择第一个路由，即使第一个路由无法访问也是如此。由于该无法访问的路由无法用于传输数据包，因此数据包会被丢弃。解决方案将强制检查所有类型流量的路由可访问性。

如果启用了分析功能并在 Edge 接口上启用了 DHCP，则客户端连接事件会导致内存使用率增加。在经过一段足够长的时间后，内存使用率可能会达到严重阈值，这时 Edge 会防御性地重新启动 Edge 服务以恢复正常内存水平。  与任何内存泄漏问题一样，初始内存占用空间越小（例如，Edge 510、520 或 610），Edge 越容易发生重新启动。

在日志中，用户会发现网关进程失败并显示 de2e_info_reply_msg_recieved。该问题的根本原因是，未在网关进程中处理空指针异常，从而触发异常，导致该服务发生故障并重新启动。

丢弃原因将列为 gwrouting_vpn_unreachable。出现该问题的原因是，在处理管理协议的 QoS（服务质量）同步消息时发生延迟，从而导致每个流量的前几个数据包被错误地分类并丢弃。

当同时存在真正的默认路由 (0.0.0.0/0) 与前缀长度为 0 的无效路由（例如，2.2.2.2/0）时，无效路由会导致无法从远程 Edge 中删除默认路由，即使该默认路由已从来源 Edge 中删除也是如此。

这与 Orchestrator 请求单 77159（即允许配置前缀长度为 0 的无效路由）有关。

UI 不仅应显示选定规则的总数，还应显示“所有选定类型”，其中所有类型可以是 DLP 规则应用程序、DLP 规则文档类型、DLP 规则文件类型、DLP 规则类别、DLP 字典、Web 规则类别和 Web 规则威胁。这样，用户就可以一目了然地知道是否选择了指定类型的所有规则。

这对客户没有任何影响，因为它仅发生在备用 Orchestrator 上，不会影响任何服务，但操作员会注意到，每隔几秒钟就会记录一次关于 Cloud Web Security 和 Secure Access（列为“ztnad”）服务重新启动的日志。出现此问题的原因是，每个服务对备用 Orchestrator 进行 API 调用时，由于该 Orchestrator 无法处理请求而失败。

在将 Edge 从 4.2.x 升级到 4.3.x 或更高的内部版本后，运行 4.3.x 或更高版本的 Orchestrator 不会自动创建环回接口，也不会为 Edge 保留覆盖的非默认管理 IP。

在“操作员事件”(Operator Events) 中，操作员会观察到名为“DR 配置失败”(DR Configuration Failure) 的事件和消息“警告: 活动 DR 无法获取备用 DR 状态...访问证书文件失败，无法启动安全 API 调用...(Warning: active unable to get standby DR status...accessing the cert file is failed to initiate a secure API call...)”DR 失败是由读取自签名证书的信任根时出现的访问权限问题所致。

移除的管理设置包括以下三种形式的 Orchestrator 地址：FQDN 地址；Orchestrator IPv4 地址和/或 Orchestrator IPv6 地址（如果适用）。如果未进行该修复，操作员需要重新填充相应的 Orchestrator 地址字段，否则操作员配置文件将无效。

在复制过程中，将重新使用备用 Orchestrator 数据库，由于 MySQL 语句不正确，无法在备用 Orchestrator 的数据库上创建某些表，从而将阻止 DR 过程进一步执行。

事件日志不包括以下详细信息：

如果 3.4.x Edge 使用实时通信模式且不支持 RealtimeConnection（在 Edge 版本 4.x 中引入），并且 Orchestrator 版本为 5.x，则远程诊断 UI 页面将停止并且不会返回结果。

这仅影响到使用 OVF/vApp 属性（相对于使用 ISO 文件）从 OVA 部署的新系统。此问题是由最新更新中对 cloud-init 所做的上游更改所导致的。

如果未进行该修复，解决办法是操作员使用 cloud-init 用户数据 ISO 文件部署系统。

注意： 虽然此问题会同时影响网关和 Orchestrator 内部版本，但此处的修复仅适用于 Orchestrator 内部版本。影响网关内部版本的问题将作为同一问题 (88796) 的已知问题请求单进行跟踪。

当用户导航到 Cloud Web Security > 配置 (Configure) > 身份验证 (Authentication) > 启用 SAML 身份验证 (Enable SAML Authentication) ，输入有效信息时，单击 保存更改 (Save Changes) 后，该配置会失败，并显示错误消息 不允许使用“adminSaml”("adminSaml" is not allowed) 。

在创建远程访问服务时，如果用户在“客户子网”(Customer Subnet) 或“子网位”(Subnet bits) 字段中输入了无效数据，系统不会在这些字段下方显示用于帮助用户了解配置失败原因的错误消息。

登录到 Orchestrator 的 Cloud Web Security 部分的用户在尝试配置安全策略时会看到多个错误，尽管服务本身可以正常工作，但客户无法修改现有策略。

Orchestrator Edge 运行状况统计信息处理包含未优化的数据库查找，这会增加 Orchestrator 的 CPU 占用率。

创建远程访问服务时，如果用户在“客户子网”(Customer Subnet) 或“子网位”(Subnet bits) 字段中输入了无效数据，则会在这些字段下方显示一条未转换的错误消息。此错误消息对用户没有任何用处，也不能解决有关任一字段中的无效数据的实际问题。

Cloud Web Security > 监控 (Monitor) > DLP 屏幕还会显示以下消息横幅：“获取按日期划分的 DLP 最大块计数时出错 - 后端错误”(error while getting dlp top block count by date - Backend Error)。 威胁来源 (Threat Origins) 屏幕和 按用户划分的块计数 (Block Count by User) 屏幕将在此页面上正常显示。

在升级过程中，结构定义更新可能需要 15 分钟以上的时间来更新“Edge 统计信息”表，而此时应当更新 LRQ 结构定义，这会导致 Orchestrator 更新完成出现重大延迟。

在 Orchestrator UI 上执行 DR 同步的复制数据库阶段期间，操作员用户会看到“复制数据库失败”(Failure Copying DB) 错误消息。  在 Orchestrator 日志中，操作员会看到以下条目：“Error running mysql schema copy: ERROR 1049 (42000) at line 4116: Unknown database 'velocloud_ztnad'”。

拥有 Cloud Web Security Standard 许可证的客户无法访问 DLP 或 CASB 应用控制功能，因此 UI 不应显示这些功能的页面。此问题是由于 Cloud Web Security UI 中缺少路由配置所致。

只读用户的 “Cloud Web Security”>“事件”(Events) 页面显示为空白，这表示没有任何可显示的日志。但是，如果用户选择新的时间间隔，则将显示该时间间隔的正确日志。

VMware SASE Orchestrator 没有为选定的 Cloud Web Security 配置页面正确强制实施只读用户角色。

Orchestrator 并未向具有“安全”角色（安全管理员和安全读取）的客户管理员提供查看 Cloud Web Security“监控”(Monitor) 页面所需的特权。

具有 Cloud Web Security 只读状态的客户管理员角色包括：“客户支持”、“安全读取”和“网络管理员”。在这些管理员中，任何管理员都可以转到 “Cloud Web Security”>“配置”(Configure) >“DLP”设置 ，并在 审核员 (Auditors) 选项卡下删除应该收到 DLP 警报电子邮件的审核员的已配置电子邮件地址。

在已激活网关的“概览”(Overview) 页面上，用户无法按网关类型有效筛选。

在配置 ICMP 探测时，如果将脚本“<script>alert('test');</script>”和“test<script>alert('test');</script>”作为 ICMP 探测名称的输入，则会显示以下错误：“保存时在字段中发现不安全的字符 "<" 和 ">"”(An unsafe character "<" and ">" found in the field while saving)。  返回的内容应是：{"error":{"code":-32603,"message":"script injection error"}}。

虽然这只是一个显示问题，但对于不知晓 BGP 状态更改为“已移除”(Removed) 这一正确情况的客户来说，却会造成混淆。

在新 UI 上，用户可以在没有服务的情况下配置 CSS 并进行保存，而不会出现错误。  经典 UI 会按预期运行并引发错误。对于启用了 CSS 配置但未选择任何服务的 VMware SD-WAN Edge，可能会发生该问题，随后 Edge 将自动禁用 CSS 配置，而不发送任何用户通知或事件。

“L7 运行状况检查”(L7 Health Check) 选项会在经典 UI 上显示，但如果使用新 UI，该选项则会缺失。这是一项重大遗漏，因为对于许多使用 Zscaler CSS 的客户而言，此功能非常重要。

从 4.5.0 版本开始，“MD5”选项已弃用，因此不应在 4.5.0 或更高版本的 Orchestrator 上显示为 CSS 的选项。

当用户在某个字段中输入无效数据，然后折叠该区域以查看该 UI 页面上的其他区域时，用户无法保存所做的更改，而处于折叠状态的折叠面板区域并未标记为无效。在这种情况下，用户可以执行的唯一操作是，展开折叠面板区域以检查哪些字段无效。

如果 CSS 提供程序的隧道协议从 GRE 更改为 IPsec，则 CSS“凭据”(Credentials) 中之前填充的“FQDN”行现在将为空。虽然这是一个显示问题，但却会给尝试确认凭据的客户用户造成困难。

该显示问题使用户无法一目了然地查看六个或更多 WAN 链路中每个链路的 QoE 状态。

具有业务专家角色的合作伙伴管理员旨在创建和修改合作伙伴支持的客户帐户。此角色应该不能查看客户配置。

当用户查阅 “监控”(Monitor) >“Edges” 页面并记下隧道总体状态，然后将此状态与 “监控”(Monitor) >“网络服务”(Network Services) 页面上显示的状态进行比较时，用户在“云安全服务”(Cloud Security Service) (CSS) 部分中观察到的隧道总体状态与在 “监控”(Monitor) >“Edges” 页面上显示的状态不匹配。

从 4.5.0 起，用于切换网关的 API 调用开始强制执行请求验证，但 Orchestrator UI 客户端未提供该 API 的必需参数。

错误消息“出现意外错误”(An unexpected error has occurred) 未向用户提供关于需要更正的错误的任何详细信息。此外，也不会突出显示需要更正的配置字段。

某些设备设置将跨分段应用，而其他一些设备设置则必须为每个分段逐一配置，目前无法对 UI 进行分类来查看这些设置以便于使用。

该问题不会影响通过 Orchestrator UI 配置 LAN 端 NAT 规则的用户。VMware SASE Orchestrator 无法将在 LAN 端 NAT 规则中配置的端口正确推送到 Edge。以前，如果通过 updateConfigurationModule API 方法配置 LAN 端 NAT 规则，并且为“insidePort”或“outsidePort”传递字符串值，则 Orchestrator API 会允许该请求。但是，Edge 不会接受这些字符串值（Edge 需要整数）。现在，已将 Orchestrator API 验证逻辑修改为拒绝字符串值（现在的行为方式与 API 参考中已记录的行为方式一致）。

查询需要很长时间，由于缺少 enterpriseLogicalID 且 Orchestrator 在代码中缺少足够的检查来确保时间戳格式。

在 VMware SD-WAN 硬件 Edge 上，如果 DNS 查询超过 32K，这将导致连续记录 DNS 缓存日志，从而挤掉其他日志条目。这会使用户无法通过查阅诊断包中的日志来对其他问题进行故障排除。

如果导航到“监控”(Monitor) >“网络服务”(Network Services) >“通过网关的非 SD-WAN 目标”(Non SD-WAN Destinations via Gateway)，然后选择“详细信息”(Details)，用户将看不到包含 FQDN 信息的“本地身份验证 ID”(Local Auth ID) 字段。  此信息会在经典 UI 上正常显示。

如果客户的 Edge 配置了云安全服务，并且该 Edge 上同时发生多个隧道启动/关闭事件，则 VMware SASE Orchestrator 可能无法为所有事件生成警示。

如果为新企业分配的软件映像未分配给被克隆的企业，则 API 调用将失败并显示错误。

如果未进行该修复，则该问题的解决办法是，最初先为新企业分配与被克隆企业相同的软件映像，然后再更改为所需的操作员配置文件。

合作伙伴概览 (Partner Overview) 页面和/或该合作伙伴支持的客户的 配置 (Configure) > 客户 (Customer) 页面可能会因为“enterpriseProxy /getEnterpriseProxyGatewayPools”API 超时而无法加载。  导致这些页面无法加载的原因是：如果这些页面中包含大量网关池和网关，可能会导致页面上使用的 enterpriseProxy /getEnterpriseProxyGatewayPools API 超时，从而导致每个 UI 页面出现页面加载问题。

将 Orchestrator 从较低版本升级到 4.5.0 后，如果现有的角色自定义包中具有 4.5.0 中已移除的一系列特权，则 Orchestrator 不会应用该包。

对于在将企业迁移到其他 Orchestrator 后需要手动重新配置 SSO 详细信息的客户而言，这会造成很大困扰。

Orchestrator 不会对网络掩码为 0 的错误网络前缀（例如，2.2.2.2/0）进行验证，而是直接在 FIB 上安装此路由。由于静态路由前缀为 0，因此可能会选取大量流向云的流量，这些流量可能会被丢弃。

对于合作伙伴用户，在记录“已修改分配的软件映像列表”(Modified the assigned software image list) 事件以更新“分配的软件/固件映像”(Assigned Software/Firmware Images) 时，如果没有为该事件在“removedSoftwareImages”下移除任何软件/固件映像，则会处理该操作并列出特定操作员的 VELOCLOUD_CONFIGURATION_MODULE 内所有 imageUpdate 模块中的映像。实际上，当合作伙伴用户执行该操作时，此过程的逻辑会被破坏，这会导致出现错误，并且无法更改客户的默认软件映像。

由于在为 Azure NSD 选择“重新同步配置”(Resync Configuration) 时，负责执行这些操作的 API 会出现问题，因此不会将路由传播到“覆盖网络流量控制”(Overly Flow Control)（表）或 Edge 的“设备设置”(Device Settings) 中。

当 Orchestrator 区域设置更改为英文以外的语言时，不会应用角色自定义包中针对“远程诊断”(Remote Diagnostics) 页面上使用的特权的相应权限。出现该问题的原因是，Orchestrator 会按转换后的值进行角色权限检查，而将该值与未转换的值进行比较，将会导致不满足字符串匹配条件。

用户将在 Orchestrator UI 上看到以下错误： 到通过 Edge 的非 SD-WAN 目标服务“服务名称”的 Edge 分段“分段名称”分支无法添加使用同一 WAN 链路建立的重复隧道。(Edge Segment "Segment Name" Branch to Non SD-WAN Destination via Edge service "Service Name" cannot add duplicated tunnels with same WAN link.) 该问题在实际操作中发生过一次，但工程团队尚未成功重现该问题，这表明该问题很少发生。  导致该问题的原因是，在创建业务策略时，Orchestrator 会进行额外的 API 调用，该调用还会在 Edge 已有的每个 IPsec 隧道上添加重复配置。

解决该问题的唯一办法是，删除重复条目，然后重新输入配置详细信息。

如果在“QoE”选项卡上查询的时间范围较长，样本大小的四舍五入问题会导致时间戳提前。例如，对于上午 10:02 发生的事件，如果查询的时间范围较短（例如，一小时），该事件将以正确时间显示，但是如果查询的时间范围较长（例如，六小时），则该样本的显示时间可能会提前到上午 10:00，这会给用户造成困惑。

具体问题出现在安全 VNF 的 UUID 上。更改“VM-1 IP”、“VM-1 主机名”(VM-1 Hostname) 等值时，Orchestrator 不会为安全 VNF 提供新的 UUID。在 Orchestrator 经典 UI 上，可以按预期正常更新安全 VNF。

不同的时间间隔可能会导致 QoE 图表显示的 WAN 链路状态不同。对于链路的衡量指标，QoE 图表可能会显示特定的 QoE 值（延迟、丢失或抖动），该值不会反映在该确切时间的实际衡量指标值。

导致此问题的原因是，为属于不同企业的多个 WAN 链路分配了相同的链路逻辑 ID，从而导致 Orchestrator 的链路数据回填过程出现故障。Orchestrator 错误地假定 WAN 链路逻辑 ID 是唯一的，因为它未绑定到客户的企业 ID。这样将允许存在重复的链路逻辑 ID，并且可能会出现不正确的链路衡量指标和状态。

要修复此问题，请将 Orchestrator 数据库中的链路密钥存储为客户企业逻辑 ID 和 WAN 链路逻辑 ID 的组合，从而确保每个 WAN 链路都是唯一的。

编辑正在移除 Cloud Web Security 策略的 Secure Access 服务配置失败，并显示“CWS 策略无效”(Invalid CWS Policy) 错误。

现在，当选定应用程序的 CASB 应用程序控制已关联时，CASB 例外规则向导会向用户发出警示，并且更改受影响的控制也会更改其他控制。此外，只能将没有已关联控制的应用程序组合到一个例外规则中，而具有已关联控制的应用程序则需要自己的例外规则。

插入或拔出 SFP 适配器可能会导致设备在 Edge 540、Edge 840 和 Edge 1000 上停止响应，并需要进行实际重新引导。

解决办法 ：必须实际重新引导 Edge。  可以在 Orchestrator 上使用 远程操作 (Remote Actions) > 重新引导 Edge (Reboot Edge) 以完成该操作，也可以关闭再打开 Edge 电源以完成该操作。

大于 255 的静态路由成本可能会导致无法预测的路由排序。

解决办法： 使用 0 到 255 之间的路由成本。

可能需要重新启动，以使对 WAN 覆盖网络上的静态 SLA 的更改正常工作。

解决办法： 在 WAN 覆盖网络中添加和移除静态 SLA 后，重新启动 Edge。

底层网络产生的流量限制为发送到 VMware SD-WAN 网关的最大容量，即使该流量小于未连接到该网关的专用 WAN 链路的容量。

从一个 USB 端口切换到另一个 USB 端口时，可能未正确更新 USB WAN 链路，直到重新引导了 VMware SD-WAN Edge。

解决办法： 将 USB WAN 链路从一个端口移动到另一个端口后，重新引导 Edge。

对于通过 VMware SD-WAN 网关的某些流量，合作伙伴网关上的较大配置更新（例如，200 个启用了 BGP 的 VRF）可能会导致延迟大约增加 2-3 秒。

解决办法： 没有可用的解决办法。

在将 3,000 个分支 Edge 连接到 VMware SD-WAN Hub 时，Hub 高可用性故障切换所需的时间比预期时间长（最多 15 秒）。

VMware SD-WAN Edge 可能需要重新引导，才能在转换为交换端口的路由接口上正确传输流量。

解决办法： 在进行配置更改后，重新引导 Edge。

还必须将任何分支站点的主合作伙伴网关分配给 VMware SD-WAN Hub 集群，才能建立到该集群的隧道。

在 NAT IP 与 VMware SD-WAN 网关接口 IP 重叠时，业务策略 NAT 将会失败。

VRRP：如果 VMware SD-WAN Edge 是主节点并在 LAN 接口上运行非全局 CDE 分段，则无法在 LAN 客户端中为 VRRP 虚拟 IP 地址解析 ARP。

在关闭了路由时，可能未正确撤消通过 OSPF 通告的条件默认路由。重新启用并禁用路由将成功撤消该路由。

在激活的 VMware SD-WAN Edge 的本地 Web UI 上，可能会错误地显示接口“自动协商”和“速度”状态。

启用了 DPDK 的端口上的硬编码速度和双工可能需要重新引导 VMware SD-WAN Edge 以使配置生效，因为它需要禁用 DPDK。

如果创建 Zscaler CSS 并且全局分段配置了 FQDN/PSK 设置，这些设置将复制到非全局分段以建立到 Zscaler CSS 的 IPsec 隧道。

如果在单个接口上具有多个用户定义的 WAN 链路，只能有一个 WAN 链路具有到 Zscaler 的 GRE 隧道。

解决办法： 对于需要建立到 Zscaler 的 GRE 隧道的每个 WAN 链路，请使用不同的接口。

在作为 Hub 连接到集群的 VMware SD-WAN Edge 的 NetFlow 接口说明中，可能未正确更新该集群名称。

在启用了 DPDK 的接口上充当 DHCP 服务器的 VMware SD-WAN Edge 可能没有为所有连接的客户端正确生成“新客户端设备”(New Client Device) 事件。

将配置了到 Zscaler 的 GRE 隧道的 WAN 覆盖网络从自动检测更改为用户定义时，可能会保留过时的隧道，直到下次重新启动。

解决办法： 重新启动 Edge 以清除过时的隧道。

在 VMware SD-WAN Edge 的“监控”(Monitor) >“Edge”>“系统”(System) 以及 VMware SD-WAN 网关的“监控”(Monitor) >“网关”(Gateways) 上，可能未正确报告系统运行状况统计信息“CPU 百分比”(CPU Percentage)。

解决办法： 用户应使用切换队列丢弃以监控 Edge 容量而不是 CPU 百分比。

更改分配给 VMware SD-WAN Edge 的 VMware SD-WAN 合作伙伴网关顺序可能未正确地将网关 1 设置为用于带宽测试的本地网关。

在显示正确的结果之前，远程诊断“Ping 测试”(Ping Test) 的输出可能会短暂显示无效的内容。

在为父接口配置 PPPoE 时，通过子接口执行 Ping 操作可能会失败。

在配置了增强高可用性的站点上（在每个 VMware SD-WAN Edge 上具有一个 WAN 链路），在备用 Edge 仅连接了 PPPoE 而活动 Edge 仅连接了非 PPPoE 时，如果 HA 电缆发生故障，则可能会出现脑裂状态（活动/活动）。

禁用动态分支到分支 VPN 可能会导致当前使用动态分支到分支发送的现有流量停止。

如果重新引导激活的 VMware SD-WAN Edge 840，插入到 Edge 的 SFP 模块可能会停止传输流量，即使链路指示灯和 VMware SD-WAN Orchestrator 将端口显示为“启动”。

解决办法： 拔下 SFP 模块，然后将其重新插入到端口中。

在通过 VMware SD-WAN Edge 传输并将接口配置为交换端口时，traceroute 不显示路径。

对于特定类型的对等体配置错误，VMware SD-WAN 网关可能会不断向非 SD-WAN 对等体发送 IKE 初始化消息。该问题不会中断到网关的用户流量；但在网关日志中填充 IKE 错误，这可能会掩盖有用的日志条目。

在 VMware SD-WAN Edge 540 上，从 VMware SD-WAN Orchestrator 中禁用并重新启用接口后，检测不到 SFP 端口。

在与 Hub 集群关联的 Hub 配置文件上启用配置文件隔离时，不会从路由信息库 (RIB) 中撤消 Hub 路由。

如果从多个 VMware SD-WAN Edge 中学习相同的 BGP 路由，并且在“覆盖网络流量控制”(Overlay Flow Control) 中将该路由从“首选出口”(Preferred Exit) 移动到“符合条件的出口”(Eligible Exit)，不会在通告列表中移除该 Edge，而是继续通告该 Edge。

解决办法： 在 VMware SD-WAN Orchestrator 上启用分布式成本计算。

从 Hub 集群中撤消 OSPF 路由时，不会从 VMware SD-WAN 网关和 VMware SD-WAN 分支 Edge 中撤消这些路由。

在配置了源 LAN 端 NAT 的情况下，允许从 VMware SD-WAN 分支 Edge 到 Hub Edge 的流量，即使没有为 NAT 子网配置静态路由。

在 VMware SD-WAN Hub 集群中，如果一个 Hub 到所有 VMware SD-WAN 网关（它自身和为其分配的分支 Edge 之间的通用网关）的连接中断超过 5 分钟，在极少数情况下，分支可能在 5 分钟后无法保留 Hub 路由。在 Hub 重新与网关建立连接时，将自行解决该问题。

在邻居更改为上行链路邻居时，不会为覆盖网络路由自动更正 BGP 首选项。

解决办法： Edge 服务重新启动将纠正该问题。

即使为运行 3.4.x 软件的 VMware SD-WAN Edge 配置了 GCM，该 Edge 也不会启动具有 AES-GCM 加密的隧道。

在通过网关或 Edge 的非 SD-WAN 目标（对等体是 AWS 实例）上，在对等体启动第 2 阶段重新加密时，还会删除第 1 阶段 IKE 并强制进行重新加密。  这意味着，将拆除并重建隧道，从而导致在隧道重建期间丢失数据包。

解决办法： 为了避免拆除隧道，请将通过网关/Edge 的非 SD-WAN 目标或 CSS IPsec 重新加密定时器配置为少于 60 分钟。  这可防止 AWS 启动重新加密。