Cisco SD-WAN (Viptela) 20.18.1 ED 发布，新增功能概览

Cisco SD-WAN (Viptela) 20.18.1 ED 发布，新增功能概览

Cisco SD-WAN (Viptela) version 20.18.1 ED - 软件定义广域网

Cisco SD-WAN powered by Viptela

请访问原文链接：sysin.org/blog/cisco-… 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

Cisco Catalyst SD-WAN 智能、简单、安全。迎接新型网络。

随时随地将用户安全连接至任何应用。利用集成式多云功能、强大的安全保护和预测智能，让网络代为处理繁重的任务。在 Cisco Catalyst SD-WAN 提供的坚实基础之上，构建安全访问服务边缘 (SASE) 架构。

Cisco SD-WAN powered by Viptela

美国加利福尼亚州圣何塞 —— 2017 年 8 月 1 日，Cisco 宣布完成对 Viptela 的收购。Viptela 是一家总部位于加利福尼亚州圣何塞的私营公司，提供以云为先的软件定义广域网（SD-WAN）解决方案。

Cisco Catalyst SD‑WAN 新软件功能介绍如下：

Cisco 不断在每次发布中增强 Cisco Catalyst SD-WAN 解决方案，我们也尽力确保文档内容与最新增强功能保持一致。下表列出了我们在《配置指南》《命令参考》和《硬件安装指南》中记录的新功能和修改功能。

Cisco Catalyst SD‑WAN 控制组件 20.18.1 新软件功能

✅ 升级类

• 升级期间日志文件清理：Cisco IOS‑XE 软件升级增强为在升级前清理 flash 中的过期文件。

✅ Cisco Catalyst SD‑WAN 监控与维护

• QoS 队列统计：能够监控跨网络接口和隧道的流量，并提供实时及历史统计。这扩展了现有接口级 QoS 视图，新增类级流量洞察和每隧道 QoS 统计。

• Cisco SD‑WAN Manager 中的 Cisco RADKit：Cisco 远程自动化开发工具（RADKit）集成到 Cisco SD‑WAN Manager，可通过 API 启用/禁用 RADKit 服务。

• CoR SaaS — 应用路径状态告警：Catalyst SD‑WAN 设备触发三个新告警，表示 CoR‑SaaS 应用路径的状态，并在通知中添加路径状态字段 (sysin)。告警按路径是否可达分类。

• Cisco Catalyst SD‑WAN Analytics 流量日志集成和洞察：在 SD‑WAN Manager 中引入流量日志和安全连接事件日志，支持通过 SD‑WAN Analytics 检索筛选数据。

• 安全公告集中可见性（Advisories）：提供网络安全漏洞和关键 Field Notices 的集中视图，包含 EoX 支持/停售信息，用于有效规划替换和升级。

• Cisco Catalyst SD‑WAN 的 BFD 故障排查：可以获取设备上详细的 BFD 会话信息，用于诊断数据包流、状态转换和配置问题。

• 协议包升级的待处理请求：当设备软件版本不支持某协议包时，可选择保留升级请求，在未来软件版本支持时自动完成升级。

• 删除协议包功能：可以删除 Cisco SD‑WAN Manager 中已加载但不再使用的协议包。

✅ 控制组件升级工作流

• Cisco SD‑WAN 控制组件升级工作流程：引导式工作流允许升级所有 SD‑WAN 控制组件的软件镜像，并支持针对未来指定时间调度全 OS 或补丁升级。

✅ 托管边缘服务与底层网络可见性

• 托管边缘服务监控：可监控 IOx 应用的健康状态、关联设备、版本和 IOx 状态，并可启动或停止服务。

• 下层网络健康可见性：提供对支撑 SD‑WAN 覆盖网络的底层基础设施的增强监控和故障排查能力。

✅ 设备软件升级工作流增强

• 设备软件升级流程增强：支持以下关键增强功能： • 从本地磁盘上传软件镜像 (sysin) • 按设备标签和网络层次筛选设备 • 按设备本地时区安排升级计划

✅ 设备版本合规性检查

• Cisco Catalyst SD‑WAN Manager 中的设备版本合规性：确保升级到 20.18.1 版本时设备兼容性，包括： • 阻止包含过旧设备的界面升级 • 升级后通过横幅和告警标记不兼容设备 • 从 ZTP 设置中移除已停止支持的平台 • 自动识别 ISR 1100 / 1100X 系列路由器的默认操作系统

✅ 软件可靠性增强

• 配置一致性跨 SD‑WAN 控制器：确保所有控制器的配置一致，通过验证、应用和（可选）回滚步骤避免配置不一致导致的问题。

• 安全屏障机制：在资源受限时监控 CPU、内存和磁盘使用 (sysin)，并在阈值超限时生成告警并限制可能进一步影响资源可用性的服务。

✅ Cisco Catalyst SD‑WAN Cloud OnRamp

• 用户自定义 SaaS 应用列表支持：支持为应用添加、编辑、删除自定义探测端点，并启用 Cloud OnRamp for SaaS。

• 与现有 AWS Transit Gateway 连接增强：支持发现和连接到在 AWS 门户中创建的 AWS Transit Gateway。

✅ Cisco Catalyst SD‑WAN 入门功能增强

• 证书自动管理：EST 和 SCEP：利用 EST 和 SCEP 协议自动注册和续订设备/服务证书。

• 控制组件设置简化：简化 Cisco SD‑WAN 控制组件的设置配置。

• 首次使用设置流程：引导首次用户完成 SD‑WAN Manager 的初始设置任务流。

• 默认启用 SD‑AVC：在新环境中默认启用 SD‑AVC，可在管理界面控制是否启用。

• 云托管 SD‑AVC 支持本地部署：扩展云托管 SD‑AVC 服务到具备互联网访问的本地安装环境。

• 全局搜索功能：SD‑WAN Manager 头部搜索框支持设备、网络等信息搜索，并结合角色访问控制（RBAC）。

• Cisco SD‑WAN Manager 配置数据库增强：改进了配置数据库备份/恢复功能，包括 API 和手动选项、日志和元数据、集群层级云备份支持。

• 基于 JWT 的 API 认证：支持使用 Java Web Token 认证，使外部应用通过 JWT 获取 SD‑WAN Manager 功能访问权限。

• 添加控制器和验证器组件工作流：将控制器和验证器组件添加到 SD‑WAN 网络中。

✅ 系统与安全增强

• 阻止设备上的 NETCONF：安全增强，阻止除系统 IP 外的所有 NETCONF 请求，默认阻止 830 端口。

• WAN 边缘设备证书安装分阶段：安装证书前进行阶段性测试以确保控制连接正常。

• 边缘设备证书管理工作流：自动更新边缘设备认证证书以防证书过期。

• CISCO PKI 证书支持：支持从 vManage 签名证书过渡到 Cisco PKI 方法，提高安全性和可靠性。

✅ 策略组与策略功能

• 安全策略版本管理：可追踪和管理安全策略变更历史 (sysin)。

• 拓扑标记支持：可使用标签将设备添加到拓扑。

✅ 系统与接口功能

• P‑LTE‑450 MHz 模块固件升级支持：支持使用 Cisco SD‑WAN Manager 升级以下平台的 P‑LTE‑450 MHz 模块：Cisco IR1101 和 Cisco IR1800 系列。

• 蜂窝调制解调器配置重置：可在 CLI 下重置蜂窝调制解调器配置。

• 配置与监控 P‑LTE‑450 模块：可配置并监控 P‑LTE‑450 模块的性能，支持 IR1101 和 IR1800 Rugged 系列路由器。

• 弃用 Port Hop 功能：弃用系统 port‑hop 和接口 port‑hop 字段，改为使用 Full Port Hop 字段。

✅ 网络路径洞察

• 自动安全告警追踪选项：当 UTD 检测到 IPS 或文件信誉告警时触发自动追踪并捕获详细信息。

• 导出及导入追踪：可导出追踪信息以便外部分析，并导入保存追踪以在 SD‑WAN Manager 中查看。

✅ 高可用性与 AppQoE

• 控制器组冗余：Catalyst 设备支持当主控制器不可用时切换到备用控制器，保持冗余连接。

• 支持 AppQoE 的 Cisco Secure 路由器：多款 Cisco Secure 路由器支持 AppQoE 功能。

✅ 路由功能

• OSPFv3 IPSec 认证：使用 IPSec 加密和哈希保护 OSPFv3 路由负载，支持服务侧和传输侧。

Cisco Catalyst SD‑WAN 控制组件 17.18.2 新软件功能

✅ 易用性

• IPsec 规模增强：从 Cisco IOS XE Catalyst SD‑WAN Release 17.18.2 起，以下设备支持的 SD‑WAN IPsec 隧道规模最大提升到 12,000 个 BFD 会话：
  • C8500‑20X6C
  • C8570‑G2
  • C8550‑G2 此扩展可显著增强大规模 IPsec 隧道部署的性能和容量。

✅ Cisco Catalyst SD‑WAN 入门（Getting Started）

• 设置简化：AI Assistant 在 Cisco SD‑WAN Manager 中访问 TAC 工单

  • AI Assistant 现在支持在 Cisco SD‑WAN Manager 中 打开、查看 和 关闭 技术辅助中心（TAC）工单。
  • AI Assistant 的基础架构已包含在本发行版本中。作为 Cisco Catalyst SD‑WAN Manager 的云交付组件，AI Assistant 的功能将继续增强，以为客户提供更大价值。

• Cisco 服务身份验证

  • Cisco SD‑WAN Manager 通过基于身份提供者（IdP）的身份验证来注册 Cisco 服务。
  • Cisco 服务注册页面允许用户一次性注册和验证多个 Cisco 服务，提高注册体验和效率。

✅ Cisco Catalyst SD‑WAN 策略组（Policy Groups）

• 易于设置：IPv6 规则与规则集支持安全策略

  • 现在可以在 Cisco SD‑WAN Manager 中为安全策略配置 IPv6 数据前缀列表、规则与规则集 以及 对象组，增强对 IPv6 安全策略的支持。

✅ Cisco Catalyst SD‑WAN 路由（Routing）

• 软件可靠性：基于 TLOC 路径的 OMP RIB‑Out 优化

  • 此功能对 OMP 协议进行优化，将 vRoute RIB‑Out 从基于每个 TLOC（传输定位器）改为基于每个 SysIP（系统 IP）。
  • 优化后，大幅减少 Cisco Catalyst SD‑WAN 控制器上的内存消耗，提高整体可扩展性，并增强大规模 SD‑WAN 部署中的收敛性能。

✅ Cisco Catalyst SD‑WAN 安全（Security）

• 易用性：ISE（Cisco Identity Services Engine）与 Cisco SD‑WAN Manager 集成

  • Cisco SD‑WAN Manager 可作为 ISE 系统的中央集线器。
  • 它可从 ISE 服务器获取身份数据，如 IP‑User 会话与 IP‑SGT 绑定，并分发给 SD‑WAN 控制器及 SD‑WAN Analytics，使身份基础策略得以实施。
  • 这种整合简化架构并提升管理效率。

• DHCP 高可用性支持（Cisco IOS XE Catalyst SD‑WAN 设备）

  • 引入 DHCP 高可用性功能，以确保局域网侧 DHCP 服务器持续运行。
  • 采用 Active/Standby 模式，两台设备同步 DHCP 绑定（IP 地址记录）。当 Active 设备失败时，Standby 设备无缝接管，保持 IP 地址记录并持续提供 DHCP 服务。

• 易于设置：Private Application Access（私有应用访问）

  • 此集成功能允许 Cisco Secure Routers 和 Catalyst SD‑WAN 解决方案自动建立与 Cisco Secure Access 的安全连接。
  • 在混合办公环境中，远程用户可以无缝且安全地访问位于 SD‑WAN 后端的私有应用。
  • 此功能为受控可用（Controlled Availability），使用前请联系 Cisco 客户团队。

✅ Cisco Catalyst SD‑WAN 系统与接口（Systems Interfaces）

• 易用性扩展：支持 Cisco ThousandEyes Agent 到工业路由器

  • 扩展对 Cisco ThousandEyes Enterprise Agent 的支持，使其能够包含工业路由器在 SD‑WAN 部署中运行。

✅ Cisco Catalyst SD‑WAN HSEC 许可管理

• 许可流程：支持在 Rugged 系列路由器上管理 HSEC 许可

  • 此功能使你可以在 Cisco SD‑WAN Manager 管理的设备上安装高安全性（HSEC）许可。
  • HSEC 许可是启用设备支持加密流量吞吐量 250 Mbps 或更高速率所必需的。

✅ Cisco Catalyst SD‑WAN 控制组件兼容性矩阵与推荐计算资源

• 升级支持：Nutanix Hypervisor 支持

  • 添加对 Nutanix Hypervisor 用于 SD‑WAN 控制组件的支持，扩展在虚拟化环境中的部署选项。

弹性基础设施

从 Cisco IOS XE 17.18.2 版本开始及后续版本，当配置不提供足够安全性的功能或协议时，例如传输敏感数据未加密或使用过时加密机制，Cisco 软件将显示警告消息 (sysin)。当未遵循安全最佳实践时，也会显示警告，并提供安全替代方案的建议。

此列表可能会更改，但以下是计划在 Cisco IOS XE 17.18.1 之后版本中生成警告的功能和协议列表。每个版本的发行说明将描述该版本的具体更改。

● 明文和弱凭证存储：配置文件中的 Type 0（明文）、5（MD5）或 7（维吉尼亚密码）。建议：对可逆凭证使用 Type 6（AES），对不可逆凭证使用 Type 8（PBKDF2-SHA-256）或 Type 9（Scrypt）。

● SSHv1 建议：使用 SSHv2。

● SNMPv1 和 SNMPv2，或 SNMPv3 未启用认证和加密。建议：使用带认证和加密（authPriv）的 SNMPv3。

● SNMPv3 中的 MD5（认证）和 3DES（加密）。建议：使用 SHA1 或更优的 SHA2 进行认证，使用 AES 进行加密。

● 基于 IP 头选项的 IP 源路由。建议：不要使用此遗留功能。

● TLS 1.0 和 TLS 1.1。建议：使用 TLS 1.2 或更高版本。

● 使用 SHA1 的 TLS 密码套件（用于数字签名）。建议：使用 SHA256 或更强数字签名的密码套件。

● HTTP。建议：使用 HTTPS。

● Telnet。建议：使用 SSH 进行远程访问。

● FTP 和 TFTP。建议：使用 SFTP 或 HTTPS 进行文件传输。

● 按需路由（ODR）。建议：使用标准路由协议替代基于 CDP 的路由信息交换。

● BootP 服务器。建议：使用 DHCP 或安全启动功能，例如 Secure ZTP。

● TCP 和 UDP 小型服务器（echo、chargen、discard、daytime）。建议：不要在网络设备上使用这些服务。

● IP finger。建议：不要在网络设备上使用此协议。

● NTP 控制消息。建议：不要使用此功能。

● 使用预共享密钥和 MD5 的 TACACS+。建议：使用在 Cisco IOS XE 17.18.1 版本中引入的基于 TLS 1.3 的 TACACS+。

Cisco 致力于支持客户完成这一过渡。在 Cisco IOS XE 17.18 系列的后续版本中，这些功能仍将受到支持，但如果使用，将显示警告。未来的版本系列可能会对这些功能施加额外限制，并通过发行说明进行通知。

下载地址

Cisco SD-WAN Viptela version 20.18.1 ED, 14-Aug-2025

下载地址：sysin.org/blog/cisco-…

✅ SD-WAN vManage Software - 20.18.1(ED)

Release 20.18.1 ED

Related Links and Documentation

• Controller Release Notes for 20.18.1

File Information	File Name	Release Date	Size
Catalyst SD-WAN Manager (vManage) New Deployment VMWare Image	viptela-vmanage-20.18.1-genericx86-64.ova	14-Aug-2025	2933.46 MB
Catalyst SD-WAN Manager (vManage) New Deployment KVM Image	viptela-vmanage-20.18.1-genericx86-64.qcow2	14-Aug-2025	2924.19 MB
Catalyst SD-WAN Manager (vManage) New Deployment Microsoft Azure Image	viptela-vmanage-20.18.1-genericx86-64_vhd.tar.gz	14-Aug-2025	2928.98 MB

✅ SD-WAN vSmart Software - 20.18.1(ED)

Release 20.18.1 ED

Related Links and Documentation

• Controller Release Notes for 20.18.1

File Information	File Name	Release Date	Size
Catalyst SD-WAN Controller (vSmart) New Deployment VMWare Image	viptela-smart-20.18.1-genericx86-64.ova	14-Aug-2025	125.63 MB
Catalyst SD-WAN Controller (vSmart) New Deployment KVM Image	viptela-smart-20.18.1-genericx86-64.qcow2	14-Aug-2025	134.00 MB
Catalyst SD-WAN Controller (vSmart) New Deployment Microsoft Azure Image	viptela-smart-20.18.1-genericx86-64_vhd.tar.gz	14-Aug-2025	142.77 MB

✅ SD-WAN vEDGE Cloud - 20.18.1(ED)

Release 20.18.1 ED

Related Links and Documentation

• Controller Release Notes for 20.18.1

File Information	File Name	Release Date	Size
Catalyst SD-WAN Validator (vBond) New Deployment VMWare Image	viptela-bond-20.18.1-genericx86-64.ova	14-Aug-2025	125.63 MB
Catalyst SD-WAN Validator (vBond) New Deployment KVM Image	viptela-bond-20.18.1-genericx86-64.qcow2	14-Aug-2025	134.00 MB
Catalyst SD-WAN Validator (vBond) New Deployment Microsoft Azure Image	viptela-bond-20.18.1-genericx86-64_vhd.tar.gz	14-Aug-2025	142.77 MB

✅ SD-WAN Software Update - 20.18.1(ED)

Release 20.18.1 ED

Related Links and Documentation

• Controller Release Notes for 20.18.1

File Information	File Name	Release Date	Size
Catalyst SD-WAN Controller (vSmart) and Validator (vBond) Upgrade image	viptela-20.18.1-x86_64.tar.gz	14-Aug-2025	124.02 MB
Catalyst SD-WAN Manager (vManage) Upgrade image	vmanage-20.18.1-x86_64.tar.gz	14-Aug-2025	2909.02 MB

相关产品：Gartner Magic Quadrant for SD-WAN 2024

更多：Cisco 产品下载链接汇总