已知行为
本节列出了瞻博网络 CSO 6.3.0 版中硬件和软件的已知行为、系统最大值以及限制。
设备管理
-
SRX4100、SRX4200和SRX4600设备支持所有现有的 SD-WAN 功能,但以下功能除外:
-
电话总部客户端 (PHC) — 必须手动激活设备,方法是从 CSO 门户复制第 1 阶段配置,将其粘贴到SRX4100、SRX4200和SRX4600设备的控制台,然后提交第 1 阶段配置。
-
LTE 和 xDSL 接口。
-
-
双 CPE 设备不支持 LTE 和 xDSL 接口。
-
您无法远程访问云辐射型设备并编辑配置。
-
您只能在 NFX250 设备上安装和使用外部 LTE 沃达丰 K5160 加密狗。
-
在群集模式下不支持 NFX150。
-
主动-主动 SRX 系列群集设备不支持 UTM Web 过滤。
-
运行 Junos OS 18.4R 版的 NFX250 设备不支持 ADSL 和 VDSL。
-
通过启用 PPPoE 的 WAN 链路进行的 ZTP 需要预置。
-
对于 SRX 系列设备,必须在 ZTP 完成后手动安装设备证书。要手动安装证书,请在 资源>设备 页面上选择 SRX 系列设备,然后单击 更多>安装证书。
动态 VPN (DVPN)
-
基于 DVPN 创建和删除阈值的 DVPN 隧道的创建和删除分别由 MAX_DVPN_TUNNELS 和 MIN_TUNNELS_TO_START_DVPN_DEACTIVATE 参数控制。但是,在 CSO UI 中创建或删除站点到站点隧道时,不支持 MAX_DVPN_TUNNELS 和 MIN_TUNNELS_TO_START_DVPN_DEACTIVATE 。这可能会导致“ 站点> WAN ”选项卡上的活动 DVPN 隧道总数显示的值大于为该站点配置 的MAX_DVPN_TUNNELS 值。
-
DVPN 创建和删除阈值基于 APPTRACK_SESSION_CLOSE 消息。当 APPTRACK_SESSION_CLOSE 消息达到指定阈值时,将生成创建或删除 DVPN 隧道的告警。但是,在 APPTRACK_SESSION_CLOSE 消息计数低于阈值(对于创建警报)或高于阈值(对于删除警报)以触发新周期之前,警报不会被清除。这会导致创建和删除警报保持活动状态并防止进一步的警报,从而减慢隧道的创建或删除速度。
-
SD-WAN 策略创建的被动探测在 60 秒内因不活动而超时。这会导致 CSO 关闭相应的会话并触发 APPTRACK_SESSION_CLOSE 消息。 APPTRACK_SESSION_CLOSE 消息将被跟踪并添加到已关闭的会话数中。会话关闭计数用于计算 DVPN 删除阈值。
策略部署
-
即使没有满足 SLA 的匹配 WAN 链路,SD-WAN 策略部署也会成功。这是预期行为,可确保当与 SLA 匹配的 WAN 链路可用时,流量将通过该链路路由。
-
为防火墙或 SD-WAN 策略定义的策略意图不得与该策略中的其他策略意图冲突,因为此类冲突会导致不一致的行为。例如:
-
您不能为应用程序 X 和 SLA 配置文件 S-1 定义一个策略意图,而为应用程序 X 和 SLA 配置文件 S-2 定义另一个策略意图的 SD-WAN 策略。
-
您不能使用相同的源端点和目标端点定义两个防火墙策略意图,但一个具有操作允许,另一个具有操作拒绝。
-
- SD-WAN 策略意图不支持在“应用程序”字段中选择“无”作为应用程序终结点。
- 对于具有特定地址或服务的每个 SD-WAN 策略意图,您必须定义与 SD-WAN 策略意图同名的防火墙意图。
SD-WAN
-
您无法更改逻辑接口的 MTU 值。例如,如果使用两个不同的 VLAN 在同一物理端口上创建两个 LAN 分段,则两个 VLAN 上的 MTU 值与物理端口上的 MTU 值相同。不能为 VLAN 配置不同的 MTU 值。
-
CSO 显式禁用与提供商边缘 (PE) 和数据中心或 LAN 路由器的 BGP 对等会话的长期平稳重启功能。禁用长期平稳重启可确保 CPE 设备不会区分到对等路由器的路由通告,而不管对等路由器的长期平稳重启功能如何。
-
如果 WAN 链路端点的类型不同,但基于匹配的网格标记创建了叠加隧道,则站点到站点或中央 Internet 分支流量的静态策略会优先选择远程链路类型。
-
如果未选择特定应用程序,则在本地突破期间不支持高级 SLA 配置,例如 CoS 速率限制;也就是说,如果“应用程序”设置为“任何”。如果要启用高级 SLA 配置(如 CoS 速率限制),请选择特定应用程序。
-
如果为具有不同粒度级别的同一应用程序(如所有、站点和部门)配置了两个或多个 SD-WAN 策略规则,则 CSO 将按创建意图的相同顺序应用 CoS 速率限制器。
-
在“SD-WAN 事件”页面上,将鼠标悬停在链路切换事件的“原因”字段上时,有时会显示“高于目标”,而不是非常大的值(例如,对于目标值的 100 倍的 SLA 指标值)的绝对 SLA 指标值。
-
GRE 隧道的云分支不支持主动-主动模式。
-
如果尚未升级,则无法将 LAN 分段添加到升级到版本 6.0.0 的 CSO 中的双 SRX 站点。
因此,要将 LAN 分段添加到站点,必须首先执行以下操作:
- 升级站点(请参阅 升级站点。)
-
使用正确的 FAB 接口详细信息更新Dual_SRX_Platform模板(请参阅 在设备模板中配置模板设置。)
完成上述步骤后,从 LAN 选项卡上的设备页面将 LAN 分段添加到站点。添加 LAN 分段详细信息时,请记住创建 RETH 接口并启用 LACP。请参见 添加具有 SD-WAN 功能的分支站点。
站点和租户工作流
- 在对旧站点执行 RMA 后(站点升级之前),NFX250 站点会自动升级到当前 CSO 版本。在 NFX 双 CPE 站点上进行站点升级之前,仅在群集级别支持 RMA,而在节点级别不支持。
-
在“添加站点”工作流中,对 NTP 服务器配置使用 IP 地址而不是主机名。如果您使用的是主机名而不是 IP 地址,请确保主机名是 DNS 可解析的;如果主机名不可通过 DNS 解析,则设备的 ZTP 将失败。
-
CSO 在与托管 CPE 设备建立 SSH 连接时使用基于 RSA 密钥的身份验证。身份验证过程要求设备具有配置的 root 密码,您可以使用管理门户在设备模板中指定 root 密码。
要为设备指定 root 密码,请执行以下操作:
-
登录到管理门户。
-
选择 “资源”>“设备模板”。
-
选择设备模板,然后单击 “编辑”。
-
在 ENC_ROOT_PASSWORD 字段中指定纯文本 root 密码。
-
单击 保存。
-
- 当您尝试在 SRX 系列分支设备上部署 LAN 分段时,CSO GUI 允许您为 LAN 分段选择多个端口。但是,对于 SRX 系列设备,一个 LAN 分段只能部署一个端口;一个 LAN 网段中的多个端口只能部署在 NFX 系列设备上。
- 如果配置了 OSPF 协议的同一部门 (VPN) 下有多个 LAN 分段,则应以相同的方式为所有网段配置到 LAN 旋钮的叠加路由(开或关)。
- 在具有 NFX 系列设备的站点上,如果在未指定 VLAN ID 的情况下部署 LAN 分段,CSO 将使用用于内部操作的内部 VLAN ID,并且此 VLAN ID 将显示在“站点详细信息视图”页面的“LAN ”部分中。对功能没有影响。
-
不要创建名称以 默认、 默认反向、 mpls、 互联网或 默认中心 开头的部门,因为 CSO 使用以下部门供内部使用:
- 违约-vpn_name
- 默认反向-vpn_name
- MPLS-vpn_name
- 互联网-vpn_name
- 默认集线器-vpn_name
- 如果尝试编辑运行 CSO 6.1.0 或更早版本的站点的 MTU WAN 值,则站点编辑将失败。
用户界面
- 当您使用 Mozilla Firefox 访问 CSO GUI 时,有几个页面无法按预期工作。我们建议您使用 Google Chrome 版本 60 或更高版本来访问 CSO GUI。
- 从 Chrome 版本 71.0.3578.98 复制并粘贴第 1 阶段配置时,请在私钥文本中插入一个新行,如以下示例所示:
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,1F6A1336016A8239 ADD A NEW LINE HERE 2C638z/Lgr/g4Kw7r9lys9XWnUGbGnPpT1cc5jGq1Qbb8Nu286QsVGfrUy7Qh9sU FJkIQI9bOMNadLL7wklsnwBCVAoAYjX+haizSaZzDphT6XBzph35BN9M0Zmb+Kpn fH5i5FZx8FJixbnonCmaVrWFgWcwUi+ijUKp/h9NfE5c2W5m2VBdmRjBfjWo9jcH HV5gkkoG0Gdx7Kv60HKOMDl2YkjL4zfAzBS8J8BMmk5x6sY+GqNQOdgs7m4oXYCH 1loOYS6n9l0WDZcxXYWWeINlu6zOSIlZYVIdwaE0OMDvoA82tzTHFmMy2kA48FHJ
如果不插入新行,私钥将失败。
常规
-
从 Junos OS 20.4 或更低版本升级到 Junos OS 21.1 或更高版本后,可能会显示
999
应用程序标识数据库版本(默认 sigpack)。这是因为 Junos OS 21.1 或更高版本与 Junos OS 20.4 及更早版本之间的应用程序标识签名不兼容。例:
-
Junos OS 21.1 早期版本的 Junos OS
user@host> show service application-identification version Application package version: 0
-
Junos OS 21.1 或更高版本
user@host> show service application-identification version Application package version: 999
使用命令
request services application-identification download
和request services application-identification install
更新应用程序标识数据库。使用命令
request services application-identification download
下载应用程序包。例:
user@host> request services application-identifications download
使用命令
request services application-identification download status
检查下载的状态。例:
user@host> request services application-identifications download status Application package 1608 is downloaded successfully.
使用命令
request services application-identification install
安装应用程序包。例:
user@host> request services application-identification install
使用命令
request services application-identification install status
检查安装状态。例:
user@host> request services application-identification install status Install application package version (1776) succeed.
有关详细信息,请参阅 KB71763 。
-
- 网站删除过程分为两个阶段,以最大程度地减少删除网站所需的总时间:
- 站点删除(第 1 阶段)— 设备归零,所有激活信息从 CSO 中删除,站点从 GUI 中删除。删除后,您可以使用相同名称或不同名称载入站点。
- 站点清理(第 2 阶段)- 删除站点后会触发清理过程。此过程将从提供商或企业中心、此站点连接到的分支站点以及虚拟路由反射器 (vRR) 中删除与站点关联的所有配置。
注意:
出于优化目的,在清理阶段可能不会删除分支站点上的配置。在这种情况下,将在分支设备上的下一次提交操作期间删除配置。
- 在 NFX 系列设备上:
要激活虚拟网络功能 (VNF),请执行以下步骤:
- 将 VNF 添加到设备。
- 启动激活工作流并确保作业 100% 完成。
要重试激活失败的VNF,请执行以下步骤:
- 停用 VNF。
- 移除 VNF。
- 将 VNF 添加到设备。
- 启动激活工作流并确保作业 100% 完成。
- 云辐射站点不支持企业中心。
- CSO 在内部使用从 100.112.0.0 到 100.127.255.255 的 IP 地址。您必须避免在 LAN 子网中使用这些 IP 地址。
- NFX250 使用 192.0.2.0/24 子网中的一些 IP 地址进行 VNF 管理。您必须避免在 LAN 中使用这些 IP 地址。有关此子网使用情况的更多信息,请参阅 NFX250 文档。
-
从 CSO 版本 6.2.0 开始,您可以使用以下范围内的 VLAN ID 来配置 LAN 分段:
-
SRX 系列设备(单和双 CPE)和 vSRX:1 – 4094(在 CSO 版本 6.2.0 之前的版本中,范围为 1 – 4049)
-
NFX250(单和双 CPE)和 NFX150 设备:1 - 4049
-
- 如果租户具有跨部门配置的重叠 IP 地址,则要访问企业中心数据中心中的资源,您必须应用源 NAT 规则,其中源作为信任区域,目标作为企业中心设备上的数据中心部门区域。
- 如果跨部门在同一站点上配置重叠 IP 地址,则重叠子网中的主机无法确定性地访问非主要企业中心后面的数据中心路由。
- 如果租户中的两台 LAN 主机的流量使得所有 5 个元组完全相同,并且目标 IP 地址位于托管在非主要企业中心后面的数据中心,则无法建立端到端流量。
-
如果您从“警报”页面启动同步警报操作,则同步警报的时间戳将更改为启动同步警报操作的时间。
-
从 Junos OS 21.1R1 及更高版本开始,如果要查看应用程序流量日志,则必须应用以下命令:
set security application-tracking log-session-create
set security application-tracking log-session-close