Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

已知行为

本节在瞻博网络 CSO 版本 6.2.0 中列出了硬件和软件中的已知行为、系统最大值和限制。

设备管理

  • SRX4100、SRX4200 和 SRX4600 设备支持所有现有 SD-WAN 功能,以下情况除外:

    • 电话回家客户端 (PHC)— 设备必须手动激活,方法是从 CSO 门户复制阶段-1 配置,将其粘贴到 SRX4100、SRX4200 和 SRX4600 设备的控制台,然后提交阶段-1 配置。

    • LTE 和 xDSL 接口。

  • 双 CPE 设备不支持 LTE 和 xDSL 接口。

  • 您无法远程访问云辐设备并编辑配置。

  • 您只能在 NFX250 设备上安装和使用外部 LTE Vodafone K5160 加密程序。

  • NFX150 在群集模式下不受支持。

  • 活动活动 SRX 系列群集设备不支持 UTM Web 过滤。

  • 运行 Junos OS 版本 18.4R 的 NFX250 设备不支持 ADSL 和 VDSL。

  • 通过支持 PPPoE 的 WAN 链路实现 ZTP 必须预先安装。

  • 对于 SRX 系列设备,必须在 ZTP 完成之后手动安装设备证书。要手动安装证书,请在 “资源>设备 ”页面上选择 SRX 系列设备,然后单击 “更多>安装证书”。

动态 VPN (DVPN)

  • 基于 DVPN 创建和删除阈值的 DVPN 隧道的创建和删除分别受 MAX_DVPN_TUNNELSMIN_TUNNELS_TO_START_DVPN_DEACTIVATE 参数的控制。但是, 从 CSO UI 中创建或删除站点到站点隧道时,不会MAX_DVPN_TUNNELS和 MIN_TUNNELS_TO_START_DVPN_DEACTIVATE 。这可能导致 站点> WAN 选项卡上的总活动 DVPN 隧道数显示比为该站点配置 的MAX_DVPN_TUNNELS 值更高的值。

  • DVPN 基于 APPTRACK_SESSION_CLOSE 消息创建和删除阈值。 当APPTRACK_SESSION_CLOSE 消息达到指定阈值时,将生成报警以用于创建或删除 DVPN 隧道。但是,只有 APPTRACK_SESSION_CLOSE 消息计数低于阈值(用于创建报警)或超过阈值(用于删除报警)才能清除报警,以触发新周期。这会使创建和删除报警保持活动状态并防止进一步报警,从而减慢隧道的创建或删除速度。

  • SD-WAN 策略在 60 秒内因无活动而创建的被动探测器。这会使 CSO 关闭相应的会话并触发 APPTRACK_SESSION_CLOSE 消息。 APPTRACK_SESSION_CLOSE 消息会跟踪并添加到已关闭的会话数中。闭会话计数用于计算 DVPN 删除阈值。

策略部署

  • 即使没有匹配的 WAN 链路满足 SLA,SD-WAN 策略部署也成功。这是预期的行为,它确保当与 SLA 匹配的 WAN 链路可用时,流量将通过该链路路由。

  • 为防火墙或 SD-WAN 策略定义的策略意图不得与该策略中的其他策略意图冲突,因为此类冲突会导致行为不一致。例如:

    • 您无法定义具有一个应用程序 X 和 SLA 配置文件 S-1 策略意图以及另一个应用程序 X 和 SLA 配置文件 S-2 策略意图的 SD-WAN 策略。

    • 不能使用相同的源和目标端点定义两个防火墙策略意图,但一个具有操作 允许,另一个具有操作 拒绝。

  • SD-WAN 策略意图不支持在 Apps 字段中选择“无”作为应用程序端点。
  • 对于每个具有特定地址或服务的 SD-WAN 策略意图,您必须定义与 SD-WAN 策略意图同名的防火墙意图。

SD-WAN

  • 不能更改逻辑接口的 MTU 值。例如,如果使用两个不同的 VLAN 在同一物理端口上创建两个 LAN 分段,则两个 VLAN 上的 MTU 值与物理端口相同。您不能为 VLAN 配置不同的 MTU 值。

  • CSO 明确禁用与提供商边缘 (PE) 和数据中心或 LAN 路由器进行 BGP 对等会话的长期平滑重启功能。禁用长期平滑重新启动可确保 CPE 设备不会区分对等路由器的路由通告,而无需考虑对等路由器长期平稳重新启动功能。

  • 如果 WAN 链路端点不是类似类型,但叠加隧道是基于匹配的网状标记创建的,则站点到站点或中央互联网分支流量的静态策略优先于远程链路类型。

  • 如果未选择特定应用程序,则在本地分支期间不支持高级 SLA 配置,例如 CoS 速率限制;也就是说,如果应用程序设置为 ANY。如果您希望启用高级 SLA 配置(例如 CoS 速率限制),请选择特定应用程序。

  • 如果为具有不同级别粒度(如所有、站点和部门)的相同应用程序配置了两个或更多 SD-WAN 策略规则,则 CSO 会按照创建意图的相同顺序应用 CoS 速率限制器。

  • 在 SD-WAN 事件页面上,当您将鼠标悬停在链路交换机事件的“原因”字段上时,有时会显示“目标上方”,而不是以超大值为绝对的 SLA 度量值(例如,对于目标值 100 倍的 SLA 指标值)。

  • GRE 隧道的云分支不支持主动-主动模式。

  • 如果未升级场地,则不能将 LAN 分段添加至升级到版本 6.0.0 的 CSO 中的双 SRX 站点。

    因此,要向站点添加 LAN 分段,必须首先执行以下操作:

    在上述步骤之后,从 LAN 选项卡上的设备页面将 LAN 分段添加至站点。添加 LAN 分段详细信息时,请记住创建 RETH 接口并启用 LACP。请参阅 添加具有 SD-WAN 功能的分支机构站点

站点和租户工作流程

  • 在执行旧站点的 RMA(在站点升级之前)之后,NFX250 站点自动升级到当前的 CSO 版本。在 NFX 双 CPE 站点上升级站点之前,RMA 仅在集群级别支持,而在节点级别不受支持。

  • 在 Add Site 工作流程中,使用 IP 地址而不是主机名进行 NTP 服务器配置。如果您使用主机名而不是 IP 地址,请确保主机名可解封;如果主机名不可解,设备的 ZTP 将发生故障。

  • CSO 在将 SSH 连接建立至托管 CPE 设备时,使用基于 RSA 密钥的身份验证。认证流程要求设备具有已配置的 root 密码,并且您可以使用 Administration Portal 在设备模板中指定 root 密码。

    要为设备指定 root 密码:

    1. 登录管理门户。

    2. 选择 >设备模板的资源

    3. 选择设备模板并单击 编辑

    4. 指定 ENC_ROOT_PASSWORD 字段中的纯文本 root 密码。

    5. 单击 保存

  • 在尝试在 SRX 系列辐式设备上部署 LAN 分段时,CSO GUI 允许您为 LAN 分段选择多个端口。但是,对于 SRX 系列设备,只能部署一个 LAN 分段端口;LAN 分段中的多个端口只能部署在 NFX 系列设备上。
  • 如果在同一部门 (VPN) 下配置了 OSPF 协议的多个 LAN 分段,则应以相同方式为所有(ON 或 OFF)配置到 LAN 旋钮的叠加路由。
  • 在带有 NFX 系列设备的站点上,如果您在未指定 VLAN ID 的情况下部署 LAN 分段,CSO 将使用用于内部操作的内部 VLAN ID,并且此 VLAN ID 显示在 Site Detail View 页面的 LAN 部分。对功能没有影响。

  • 切勿创建名称以 默认默认反向mpls互联网默认中心 为起点的部门,因为 CSO 使用以下部门进行内部使用:

    • 默认值-vpn_name
    • 默认反向 -vpn_name
    • mpls-vpn_name
    • 互联网-vpn_name
    • 默认中心 -vpn_name
  • 如果尝试为运行 CSO 6.1.0 或早期版本的站点编辑 MTU WAN 值,则站点编辑失败。

用户界面

  • 当您使用 Mozilla Firefox 访问 CSO GUI 时,几页无法按照预期工作。我们建议您使用 Google Chrome 版本 60 或更高版本来访问 CSO GUI。
  • 从 Chrome 版本 71.0.3578.98 复制并粘贴阶段–1 配置时,在私有密钥文本中插入新线,如以下示例中所示:

    如果不插入新线路,私有密钥将发生故障。

一般

  • 站点删除过程分为两个阶段,以最大限度地减少删除站点所需的总时间:
    • 站点删除(第 1 阶段)—设备已归零,所有激活信息将从 CSO 中删除,并且站点将从 GUI 中删除。删除后,您可以使用同一名称或不同名称入网。
    • 站点清理(第 2 阶段)— 清理过程在删除站点后触发。此进程会从提供商或企业中心、此站点连接的辐射站点以及虚拟路由反射器 (vRR) 中移除与站点相关联的所有配置。
      注意:

      出于优化目的,在清理阶段,分支站点上的配置可能不会被删除。在这种情况下,在辐设备上的下一次提交操作中,配置将被删除。

  • 在 NFX 系列设备上:

    要激活虚拟化网络功能 (VNF),请执行以下步骤:

    1. 将 VNF 添加到设备中。
    2. 启动激活工作流程并确保 100% 完成工作。

    要重试出现故障的 VNF 激活,请执行以下步骤:

    1. 停用 VNF。
    2. 卸下 VNF。
    3. 将 VNF 添加到设备中。
    4. 启动激活工作流程并确保 100% 完成工作。
  • 云辐射站点不支持企业中心。
  • CSO 在内部使用从 100.112.0.0 到 100.127.255.255 的 IP 地址。您必须避免在 LAN 子网中使用这些 IP 地址。
  • NFX250 在 192.0.2.0/24 子网中使用某些 IP 地址来管理 VNF。您必须避免在 LAN 中使用这些 IP 地址。有关此子网使用的详细信息,请参阅 NFX250 文档

  • 从 CSO 6.2.0 版开始,您可以在以下范围内使用 VLAN ID 来配置 LAN 分段:

    • SRX 系列设备(单 CPE 和双 CPE)和 vSRX:1 – 4094(在 CSO 版本 6.2.0 之前的版本中,范围为 1 – 4049)

    • NFX250(单 CPE 和双 CPE)和 NFX150 设备:1 - 4049

  • 如果租户有跨部门配置的重叠 IP 地址,则要访问企业中心数据中心的资源,您必须应用源 NAT 规则,其中源作为信任区域,并将该规则作为企业中心设备上的数据中心部门区域。
  • 如果跨部门在同一站点上配置重叠 IP 地址,重叠子网中的主机将无法确定访问非专用企业中心背后的数据中心路由。
  • 如果租户内的两个 LAN 主机具有流量,则无法建立端到端流量,因此所有 5 元块都完全相同,并且目标 IP 地址位于托管在非专有企业中心后面的数据中心中。
  • 如果从报警页面启动 Sync Alarm 操作,同步报警的时间戳将更改为启动 Sync Alarm 操作的时间戳。