EX 系列、QFX 系列和 PTX 系列设备上的 VXLAN 限制

虚拟机箱或虚拟机箱交换矩阵 （VCF） 上的 VXLAN 支持具有以下约束和建议：

• 我们仅在园区网络中支持 EX4300-48MP 虚拟机箱上的 EVPN-VXLAN。

• 独立 EX4400 交换机和 EX4400 虚拟机箱支持 EVPN-VXLAN。对于多宿主用例，主机可以多宿主到独立 EX4400 交换机，但我们不支持将具有 ESI-LAG 接口的主机多宿主到 EX4400 虚拟机箱。

• 独立 EX4100（EX4100 和 EX4100-F）交换机和 EX4100 虚拟机箱（EX4100 和 EX4100-F）支持 EVPN-VXLAN。对于多宿主用例，主机可以多宿主到独立 EX4100 交换机，但我们不支持将具有 ESI-LAG 接口的主机多宿主到 EX4100 虚拟机箱。

• 独立 EX4100（EX4100 和 EX4100-F）交换机和 EX4100 虚拟机箱（EX4100 和 EX4100-F）支持 EVPN-VXLAN。对于多宿主用例，主机可以多宿主到独立 EX4100 交换机，但我们不支持将具有 ESI-LAG 接口的主机多宿主到 EX4100 虚拟机箱。

• 在数据中心网络中，我们仅在由所有 QFX5100 交换机组成的虚拟机箱或 VCF 上支持 EVPN-VXLAN，在任何其他混合或非混合虚拟机箱或 VCF 上不支持。我们支持 EVPN-VXLAN 数据中心环境中的 VCF，运行从 14.1X53-D40 和 17.1R1 开始的 Junos OS 版本。但是，我们不建议在QFX5100虚拟机箱或 VCF 上使用 EVPN-VXLAN，因为该功能支持仅与运行 Junos OS 14.1X53-D40 版的独立QFX5100交换机上的支持相同。

  从 Junos OS 21.4R1 版开始，我们一般已弃用 VCF 支持。

• 当 QFX5100 虚拟机箱获知 VXLAN 接口上的 MAC 地址时，MAC 表条目可能需要长达 10 到 15 分钟才能老化（是 5 分钟默认老化间隔的 2 到 3 倍）。当虚拟机箱从一个虚拟机箱成员交换机上的传入数据包获知 MAC 地址，然后必须将该数据包通过虚拟机箱端口 （VCP） 链路转发到虚拟机箱中的另一个成员交换机，然后才能到达目的地时，就会发生这种情况。虚拟机箱标记在第二个成员交换机上再次看到的 MAC 地址，因此 MAC 地址可能不会在第一个老化间隔之后的一两个额外老化间隔内老化。只能在第二个虚拟机箱成员交换机上的 VXLAN 接口上关闭 MAC 学习，因此在这种情况下无法避免额外的延迟。

（仅限 QFX5120 交换机）通过面向核心的第 3 层标记接口或 IRB 接口建立隧道的流量将被丢弃。要避免此限制，您可以配置灵活的 VLAN 标记。有关更多信息，请参阅了解 VXLAN。

（QFX5110和QFX5120）如果使用灵活的以太网服务封装配置企业样式的接口，则设备会在该接口上丢弃传输第 2 层 VXLAN 封装的数据包。要变通解决此问题，请以服务提供商样式配置界面，而不是使用企业样式。有关企业风格和服务提供商风格配置的更多信息，请参阅 灵活的以太网服务封装。有关在 EVPN-VXLAN 交换矩阵中配置灵活以太网服务的概述，请参阅 了解 EVPN-VXLAN 对灵活以太网服务的支持。

（QFX5110和QFX5120交换机）在 EVPN-VXLAN 交换矩阵中，如果本机 VLAN 与服务提供商样式配置中的某个 VLAN 相同，则不支持在同一物理接口上进行企业样式、服务提供商样式和本机 VLAN 配置。本机 VLAN 可以是企业样式配置中的 VLAN 之一。有关企业风格和服务提供商风格配置的更多信息，请参阅 灵活的以太网服务封装。

（QFX5xxx 交换机）在 EVPN-VXLAN 交换矩阵中，您无法在使用 VLAN 重写语句启用 VLAN 转换的同一接口上配置本机 vlan-id 语句。

（QFX5100交换机、QFX5110交换机、QFX5200交换机和QFX5210交换机）我们支持默认交换机路由实例和 MAC VRF 路由实例中的 VXLAN 配置 （instance-type mac-vrf）。

（EX4300-48MP 和 EX4600 交换机）我们仅在默认交换机路由实例中支持 VXLAN 配置。

（QFX5100、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机）不支持在不同 VXLAN 之间路由流量。

（QFX5100、QFX5110、QFX5120、EX4600 和 EX4650 交换机）这些交换机仅支持 VXLAN 底层 IRB 接口上的一个 VTEP 下一跃点。如果您不想使用多个出口端口，但需要多个 VTEP 下一跃点，作为解决方法，您可以执行以下操作之一：

• 在交换机和远程 VTEP 之间放置路由器，以便它们之间只有一个下一跃点。

• 使用物理第 3 层接口而不是 IRB 接口实现远程 VTEP 访问。

（QFX5110交换机）默认情况下，未启用 VXLAN 和第 3 层逻辑接口（例如，使用命令 set interfaces interface-name unit logical-unit-number family inet address ip-address/prefix-length 配置的接口）之间的路由流量。如果您的 EVPN-VXLAN 网络需要此路由功能，则可以执行一些其他配置来使其正常工作。有关更多信息，请参阅 了解如何配置 VXLAN 和第 3 层逻辑接口以实现互操作。

EVPN-VXLAN 叠加网络中使用的集成路由和桥接 （IRB） 接口不支持 IS-IS 路由协议。

（QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机）物理接口不能是 VLAN 和 VXLAN 的成员。也就是说，执行 VXLAN 封装和解封装的接口不能也是 VLAN 的成员。例如，如果映射到 VXLAN 的 VLAN 是中继端口 xe-0/0/0 的成员，则作为 xe-0/0/0 成员的任何其他 VLAN 也必须分配给 VXLAN。

（QFX5120、EX4100、EX4300-48MP、EX4400 和 EX4650 交换机）通过对接入端口上的 VXLAN 流量进行 802.1X 身份验证，在进行身份验证时，RADIUS 服务器会将流量从原始 VLAN 动态切换到您配置为启用 VXLAN 的 VLAN 的动态 VLAN。启用 VXLAN 的 VLAN 是使用层次结构中的[edit vlans vlan-name]语句配置 vxlan vni vni VXLAN 网络标识符 （VNI） 映射的 VLAN。

配置 802.1X 动态 VLAN 及其对应的 VNI 映射时，还必须将原始 VLAN 配置为具有 VNI 映射的启用 VXLAN 的 VLAN。如果未将端口显式配置为 VLAN 的成员，则该端口将使用默认 VLAN。在这种情况下，您必须将默认 VLAN 配置为具有 VNI 映射的启用 VXLAN 的 VLAN。

此外，在 Junos OS 版本 22.2R3-S3 之前的版本中，当任何动态 VLAN 分配给端口时，该 VLAN 必须已在设备上的另一个端口上进行静态配置。从 Junos OS 22.2R3-S3 版开始，我们不再有此限制。

有关使用 RADIUS 服务器进行动态 VLAN 分配的更多信息，请参阅 802.1X 身份验证和 RADIUS 服务器配置以进行身份验证 。

VXLAN 不支持多机箱链路聚合组 （MC-LAG）。

第 3 层端不支持 IP 分段和碎片整理。

第 2 层端不支持以下功能：

• （QFX5100、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机）使用 EVPN-VXLAN 进行 IGMP 侦听。

• 冗余中继组 （RTG）。

• 不支持在超过风暴控制级别时关闭第 2 层接口或暂时关闭接口的功能。

• 我们不支持通过 VXLAN 提供完整的 STP、MSTP、RSTP 或 VSTP （xSTP） 功能。但是，您可以配置 xSTP on Edge（接入端口）以支持 BPDU 边缘块。有关详细信息，请参阅 生成树协议的 BPDU 保护 。

VXLAN 不支持以下接入端口安全功能：

• DHCP 侦听。

• 动态 ARP 检测。

• MAC 限制和 MAC 移动限制。

一些例外情况包括：

• 在带有 Contrail 控制器的 OVSDB-VXLAN 环境中，OVSDB 管理的接口支持 MAC 限制。有关更多信息，请参阅 OVSDB 托管接口上支持的功能。

• 在 EVPN-VXLAN 集中路由桥接叠加网络中充当 L2 VXLAN 网关的这些设备上：

  • 从 Junos OS 19.4R1 版开始的 EX4300 多千兆交换机

  • 从 Junos OS 21.1R1 版开始的 EX4400 交换机

  • 从 Junos OS 21.2R1 版开始的 EX4400 多千兆交换机

  • 从 Junos OS 22.3R1 版开始的 EX4100 和 EX4100-F 交换机

  • 从 Junos OS 22.3R1 版开始的 EX4100 多千兆交换机

  我们在与 VXLAN 映射的 VLAN 关联的第 2 层接入侧接口上支持以下接入安全功能：

  • DHCPv4 和 DHCPv6 侦听

  • 动态 ARP 检测 （DAI）

  • 邻居发现检查 （NDI）

  • IPv4 和 IPv6 源保护

  • 路由器通告 （RA） 保护

  我们仅在单宿主访问接口连接上支持这些功能。

在以下情况下，不支持入口节点复制：

• 当 PIM 用于控制平面时（手动 VXLAN）。

• 当 SDN 控制器用于控制平面 （OVSDB-VXLAN） 时。

EVPN-VXLAN 支持入口节点复制。

VXLAN 不支持 PIM-BIDIR 和 PIM-SSM。

如果将端口镜像实例配置为镜像从执行 VXLAN 封装的接口退出的流量，则镜像数据包的源和目标 MAC 地址无效。原始 VXLAN 流量不受影响。

（仅限 QFX5110 交换机）启用了 EVPN-VXLAN 的 IRB 接口不支持 VLAN 防火墙过滤器。

（EX4650 和 QFX5000 系列交换机）防火墙过滤器和监管器支持：

• （QFX5100交换机）启用了 EVPN-VXLAN 的传输流量不支持防火墙过滤器和监管器。它们仅在面向 CE 的接口上的入口方向上受支持。

• （QFX5100交换机）对于 EVPN-VXLAN 单层 IP 交换矩阵中的 IRB 接口，仅在通过 IRB 接口路由的非封装帧的入口点支持防火墙过滤和监管。

• （EX4650、QFX5110 和 QFX5120 交换机）我们支持将路由 VXLAN 接口（IRB 接口）的入口过滤和监管作为入口路由访问控制列表 [IRACL]。

• （QFX5110、QFX5120 和QFX5210交换机）我们支持在非路由 VXLAN 接口上进行入口过滤和监管作为入口端口 ACL [IPACL]）。

• （QFX5110和QFX5120交换机）非路由 VXLAN 接口上的过滤和监管支持作为出口端口 ACL （[EPACL]） 扩展到出口方向。

（仅限 EX4300-48MP 交换机）不支持以下样式的接口配置：

• 服务提供商样式，其中物理接口分为多个逻辑接口，每个逻辑接口专用于特定的客户 VLAN。 extended-vlan-bridge 封装类型在物理接口上配置。

• 灵活的以太网服务，这是一种封装类型，使物理接口能够同时支持服务提供商和企业风格的接口配置。

有关这些接口配置样式的更多信息，请参阅 灵活的以太网服务封装。

（仅限 QFX5100 交换机） no-arp-suppression 使用配置语句，您可以关闭对一个或多个指定 VLAN 上的 ARP 请求的抑制。但是，从 Junos OS 18.4R3 版开始，您必须在所有 VLAN 上关闭此功能。为此，您可以使用以下配置选项之一：

• 使用批处理命令关闭所有 VLAN 上的功能 —set groups group-name vlans * no-arp-suppression 。使用此命令，我们使用星号 （*） 作为指定所有 VLAN 的通配符。

• 使用命令关闭每个单独 VLAN 上的功能 —set vlans vlan-name no-arp-suppression 。

QFX5120-48Y、QFX5120-32C 和 QFX5200 交换机支持分层等价多路径 （ECMP），这使这些交换机能够执行两级路由解析。但是，所有其他 QFX5xxx 交换机不支持分层 ECMP。因此，当 EVPN 5 类数据包使用 VXLAN 标头封装，然后由不支持分层 ECMP 的 QFX5xxx 交换机解封装时，交换机将无法解析内部数据包中的两级路由。然后交换机丢弃数据包。

（QFX5100、QFX5110、QFX5120、QFX5200和QFX5210交换机）在同时支持中央路由桥接叠加网络和边缘路由桥接叠加网络上配置的 VLAN 的设备上配置 IRB 接口时，集中路由桥接叠加网络的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址必须不同于边缘路由桥接叠加网络的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址。

（仅限 QFX5110 和 QFX5120 交换机）在 EVPN-VXLAN 叠加网络中，我们不支持在默认路由实例 （default.inet.0） 中的 IRB 接口上运行路由协议。相反，我们建议在 类型的 vrf路由实例中包含 IRB 接口。

以下约束同时适用于 VXLAN 和 VLAN。

• （仅限 QFX5xxx 交换机）在虚拟路由和转发 （VRF） 实例之间配置路由泄漏时，您必须为每个前缀指定子网掩码，对于 IPv4 前缀，子网掩码必须等于或长于 /16，对于 IPv6 前缀，必须等于或长于 /64。如果您指定的子网掩码不符合这些参数，则指定的路由不会泄露。

• （仅限 QFX5120 交换机）默认情况下，QFX5120交换机分配 5 MB 的共享缓冲区来吸收突发组播流量。如果组播流量突发超过 5 MB，交换机将在超出缓冲区空间后丢弃交换机接收的数据包。要防止交换机在此情况下丢弃组播数据包，您可以执行以下操作之一：

  • shared-buffer使用层次结构级别的配置语句[edit class-of-service]为组播流量重新分配更高百分比的共享缓冲区。有关微调共享缓冲区的详细信息，请参阅了解 CoS 缓冲区配置。

  • 在组播流量突发来自的瞻博网络交换机上，在出口链路上应用整形器。

• （仅限 QFX5xxx 交换机）如果在接口上启用了风暴控制，您可能会注意到接口的配置流量速率与实际流量速率之间存在显著差异。这种差异是内部风暴控制仪表的结果，该仪表以 64 kbps 的增量量化接口的实际流量速率，例如 64 kbps、128 kbps、192 kbps 等。

（QFX5xxx 和 EX46xx 交换机）您不能将硬件辅助内联双向转发检测 （BFD） 与 BFD 数据包的 VXLAN 封装结合使用。此外，如果配置 EVPN 叠加 BGP 对等互连，请使用分布式 BFD，而不是硬件辅助的内联 BFD。有关可配置的不同类型的 BFD 会话的详细信息，请参阅 了解 BFD 如何检测网络故障 。

（QFX5xxx 和 EX46xx 交换机）我们不支持在同一设备上同时配置和使用 MPLS 和 EVPN-VXLAN。之所以存在此限制，是因为基于 Broadcom 的平台使用相同的硬件表来存储 MPLS 和 VXLAN 功能集使用的隧道和虚拟端口信息。

此外，您不能将 MPLS 底层网络与 EVPN 和 VXLAN 叠加网络一起使用;这是 Broadcom 硬件的限制。

VXLAN 不支持 MC-LAG。

第 3 层端不支持 IP 分段。

第 2 层端不支持以下功能：

• 在 Junos OS 17.2R1 之前的 Junos OS 版本中使用 EVPN-VXLAN 进行 IGMP 侦听。

• STP（任何变体）。

VXLAN 不支持接入端口安全功能。例如，不支持以下功能：

• DHCP 侦听。

• 动态 ARP 检测。

• MAC 限制和 MAC 移动限制。

当 SDN 控制器用于控制平面 （OVSDB-VXLAN） 时，不支持入口节点复制。EVPN-VXLAN 支持入口节点复制。

部署在 EVPN-VXLAN 环境中的QFX10000交换机不支持 IPv6 物理底层网络。

当QFX10000交换机上的下一跃点数据库同时包含底层网络和 EVPN-VXLAN 叠加网络的下一跃点时，到 VXLAN 对等方的下一跃点不能是以太网分段标识符 （ESI） 或虚拟隧道端点 （VTEP） 接口。

EVPN-VXLAN 叠加网络中使用的 IRB 接口不支持 IS-IS 路由协议。

VLAN 防火墙过滤器应用于启用了 EVPN-VXLAN 的 IRB 接口。

EVPN-VXLAN 环境中使用的 IRB 接口不支持基于过滤器的转发 （FBF）。

同时配置 EVPN-VXLAN 时，QFX10002、QFX10008 和 QFX10016 交换机不支持端口镜像和分析。

在同时支持中央路由桥接叠加网络和边缘路由桥接叠加网络上配置的 VLAN 的设备上配置 IRB 接口时，集中路由桥接叠加网络的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址必须不同于边缘路由桥接叠加网络的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址。

在 EVPN-VXLAN 叠加网络中，我们不支持在默认路由实例 （default.inet.0） 中的 IRB 接口上运行路由协议。相反，我们建议在 类型的 vrf路由实例中包含 IRB 接口。

在 EVPN-VXLAN 环境中，我们不支持使用语句和advertise语句配置default-gateway任播网关，这些语句涉及参与同一以太网段 （ES） 的链路。

您必须配置服务等级 （CoS） 重写规则，以便将差异服务代码点 （DSCP） 位从内部 VXLAN 标头复制到外部 VXLAN 标头。

您必须在 EVPN-VXLAN 部署中的 PTX10K 系列设备上全局启用隧道终止，如下所示：

set forwarding-options tunnel-termination

您不能在这些设备上使用防火墙过滤器来阻止特定端口上的 VXLAN 隧道终止，但可以使用以下命令阻止端口的 VXLAN 隧道终止：

set interfaces logical-interface-name unit n family inet/inet6 no-tunnel-termination

如果使用 ESI 在端口上配置多个子单元，则不支持在这些逻辑接口上进行禁用操作 （set interfaces logical-interface-name unit n disable）。