Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 系列、QFX 系列和 PTX 系列设备上的 VXLAN 约束

在 QFX 系列和 EX 系列交换机上配置虚拟可扩展 LAN (VXLAN) 时,请注意以下各节中描述的约束。在这些部分中,“第 3 层端”是指执行 VXLAN 封装和解封装的面向网络的接口;“第 2 层端”是指作为 VLAN 成员并映射到 VXLAN 的面向服务器的接口。

QFX5xxx、EX4300-48MP、EX4400 和 EX4600 交换机上的 VXLAN 约束

  • 虚拟机箱或虚拟机箱交换矩阵 (VCF) 上的 VXLAN 支持具有以下限制和建议:

    • 我们仅在园区网络中在 EX4300-48MP 虚拟机箱上支持 EVPN-VXLAN。

    • 独立 EX4400 交换机和 EX4400 虚拟机箱支持 EVPN-VXLAN。对于多宿主用例,主机可以多宿主到独立的 EX4400 交换机,但我们不支持将具有 ESI-LAG 接口的主机多宿主至 EX4400 虚拟机箱。
    • 在数据中心网络中,我们仅在由所有 QFX5100 交换机组成的虚拟机箱或 VCF 上支持 EVPN-VXLAN,而不适用于任何其他混合或非混合虚拟机箱或 VCF。我们在 EVPN-VXLAN 数据中心环境中支持 VCF,运行的 Junos OS 版本从 14.1X53-D40 和 17.1R1 版本开始。但是,我们不推荐在 QFX5100 虚拟机箱或 VCF 上使用 EVPN-VXLAN,因为仅当运行 Junos OS 14.1X53-D40 的独立 QFX5100 交换机上才支持奇偶校验功能。

      从 Junos OS 21.4R1 版开始,我们一般已弃用 VCF 支持。

    • 当 QFX5100 虚拟机箱学习 VXLAN 接口上的 MAC 地址时,MAC 表条目可能需要长达 10 到 15 分钟才能老化(5 分钟默认老化间隔为 2 到 3 倍)。当虚拟机箱从一个虚拟机箱成员交换机上的传入数据包中学习 MAC 地址,然后必须在前往其目的地的路上通过虚拟机箱端口 (VCP) 链路将该数据包转发到虚拟机箱中的另一个成员交换机时,会发生这种情况。虚拟机箱将 MAC 地址标记为在第二个成员交换机上再次出现,因此 MAC 地址可能不会在第一个成员交换机上出现一两个额外的老化间隔。仅在第二台虚拟机箱成员交换机上无法关闭 VXLAN 接口上的 MAC 学习,因此无法避免在这种情况下的额外延迟。

  • (仅限 QFX5120 交换机)通过面向核心的第 3 层标记接口或 IRB 接口隧道传输的流量将丢弃。为避免此限制,您可以配置灵活的 VLAN 标记。有关更多信息,请参阅 了解 VXLAN

  • (QFX5110 和 QFX5120)如果以企业风格配置灵活以太网服务封装的接口,设备将丢弃该接口上传输第 2 层 VXLAN 封装的数据包。要解决此问题,请配置服务提供商样式的接口,而不是使用企业样式。有关企业样式和服务提供商样式配置的更多信息,请参阅 灵活的以太网服务封装。有关在 EVPN-VXLAN 交换矩阵中配置灵活以太网服务的概述,请参阅 了解借助 EVPN-VXLAN 的灵活以太网服务支持

  • (QFX5110 和 QFX5120 交换机)在 EVPN-VXLAN 交换矩阵中,如果本机 VLAN 与服务提供商样式配置中的其中一个 VLAN 相同,则不支持同一物理接口上的企业样式、服务提供商样式和本机 VLAN 配置。本机 VLAN 可以是企业样式配置中的一个 VLAN。有关企业样式和服务提供商样式配置的更多信息,请参阅 灵活的以太网服务封装

  • (QFX5xxx 交换机)在 EVPN-VXLAN 交换矩阵中,无法在该接口上使用 vlan 重写语句启用 VLAN 转换的同一接口上配置本机-vlan-id 语句。

  • (QFX5100、QFX5110、QFX5200 和 QFX5210 交换机)我们支持默认交换机路由实例和 MAC VRF 路由实例 (instance-type mac-vrf) 中的 VXLAN 配置。

    (EX4300-48MP 和 EX4600 交换机)我们仅在默认交换机路由实例中支持 VXLAN 配置。

  • (QFX5100、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机)不支持不同 VXLAN 之间的路由流量。

    注意:

    以下交换机从指定版本支持 VXLAN 路由,因此此限制不再适用:

    • EX4300-48MP 交换机:从 Junos OS 19.4R1 版开始。

    • QFX5210 交换机:从 Junos OS 21.3R1 版开始。

  • (QFX5100、QFX5110、QFX5120、EX4600 和 EX4650 交换机)这些交换机在 VXLAN 底层 IRB 接口上仅支持一个 VTEP 下一跃点。如果您不想使用多个出口端口,但需要多个 VTEP 下一跃点,则可以进行以下任一操作:

    • 在交换机和远程 VTEP 之间放置一个路由器,以便在它们之间只有一个下一跃点。

    • 使用物理第 3 层接口而不是 IRB 接口实现远程 VTEP 可达性。

  • (QFX5110 交换机)默认情况下,VXLAN 与第 3 层逻辑接口(例如,使用 set interfaces interface-name unit logical-unit-number family inet address ip-address/prefix-length 命令配置的接口)之间的路由流量不会启用。如果您的 EVPN-VXLAN 网络中需要此路由功能,则可以执行一些其他配置,使其正常工作。有关更多信息,请参阅 了解如何配置 VXLAN 和第 3 层逻辑接口以实现互操作

  • EVPN-VXLAN 叠加网络中使用的集成路由和桥接 (IRB) 接口不支持 IS-IS 路由协议。

  • (QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机)物理接口不能是 VLAN 和 VXLAN 的成员。也就是说,执行 VXLAN 封装和解封装的接口也不能是 VLAN 的成员。例如,如果映射到 VXLAN 的 VLAN 是中继端口 xe-0/0/0 的成员,则作为 xe-0/0/0 成员的任何其他 VLAN 也必须分配给 VXLAN。

    注意:

    从适用于 QFX5100、QFX5110、QFX5200 和 QFX5210 交换机的 Junos OS 18.1R3 和 18.4R1 版本以及适用于 QFX5120 和 EX4650 交换机的 Junos OS 19.4R1 版开始,此限制不再适用,因为您可以在物理接口上配置灵活的以太网服务。(对于聚合以太网 (AE) 捆绑接口也是如此。)

    此外,从 QFX5110 和 QFX5120 交换机上的 Junos OS 20.3R1 版开始,我们仅使用服务提供商样式的接口配置在同一物理接口上支持第 2 层 VLAN 和 VXLAN 逻辑接口。

    有关更多信息,请参阅 了解借助 EVPN-VXLAN 支持的灵活以太网服务

  • (QFX5120、EX4400 和 EX4650 交换机)借助接入端口上 VXLAN 流量的 802.1X 身份验证,身份验证后,RADIUS 服务器会将流量从原始 VLAN 动态切换到您配置为支持 VXLAN 的 VLAN 的动态 VLAN。启用 VXLAN 的 VLAN 是一种 VLAN,您可以使用层级中的 vxlan vni vni[edit vlans vlan-name]语句为其配置 VXLAN 网络标识符 (VNI) 映射。

    配置 802.1X 动态 VLAN 及其相应的 VNI 映射时,还必须将原始 VLAN 配置为具有 VNI 映射的已启用 VXLAN 的 VLAN。如果未将端口显式配置为 VLAN 的成员,则端口将使用默认 VLAN。在这种情况下,您必须将默认 VLAN 配置为具有 VNI 映射的启用 VXLAN 的 VLAN。

  • VXLAN 不支持多机箱链路聚合组 (MC-LAG)。

    注意:

    在 EVPN-VXLAN 环境中,使用 EVPN 多宿主主动-主动模式(而非 MC-LAG)在主机和叶设备之间实现冗余连接。

  • 第 3 层端不支持 IP 分片和碎片整理。

  • 第 2 层侧不支持以下功能:

    • (QFX5100、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机)使用 EVPN-VXLAN 进行 IGMP 侦听。

    • 冗余中继组 (RTG)。

    • 不支持在超过风暴控制级别时关闭第 2 层接口或暂时关闭接口的能力。

    • 我们不支持使用 VXLAN 的完整 STP、MSTP、RSTP 或 VSTP (xSTP) 功能。但是,您可以配置边缘上的 xSTP(接入端口),以实现 BPDU 边缘块支持。有关详细信息 ,请参阅生成树协议的 BPDU 保护

  • VXLAN 不支持访问端口安全功能,例如以下功能:

    • DHCP 侦听。

    • 动态 ARP 检测。

    • MAC 限制和 MAC 移动限制。

    一些例外情况包括:

    • 在具有 Contrail 控制器的 OVSDB-VXLAN 环境中由 OVSDB 管理的接口上支持 MAC 限制。有关更多信息,请参阅 OVSDB 托管接口支持的功能

    • 在 EVPN-VXLAN 集中路由桥接叠加网络中用作 L2 VXLAN 网关的这些设备上:

      • 从 Junos OS 19.4R1 版开始的 EX4300 多千兆交换机

      • 从 Junos OS 21.1R1 版开始的 EX4400 交换机

      • 从 Junos OS 21.2R1 版开始的 EX4400 多千兆交换机

      我们在与 VXLAN 映射 VLAN 关联的第 2 层接入端接口上支持这些接入安全功能:

      • DHCPv4 和 DHCPv6 侦听

      • 动态 ARP 检查 (DAI)

      • 邻接方发现检测 (NDI)

      • IPv4 和 IPv6 源保护

      • 路由器通告 (RA) 保护

      我们仅在单宿主接入接口连接上支持这些功能。

  • 在以下情况下,不支持入口节点复制:

    • 当 PIM 用于控制平面时(手动 VXLAN)。

    • 当 SDN 控制器用于控制平面 (OVSDB-VXLAN) 时。

    EVPN-VXLAN 支持入口节点复制。

  • VXLAN 不支持 PIM-BIDIR 和 PIM-SSM。

  • 如果将端口镜像实例配置为镜像从执行 VXLAN 封装的接口流出的信息流,则镜像数据包的源地址和目标 MAC 地址无效。原始 VXLAN 流量不会受到影响。

  • (仅限 QFX5110 交换机)启用 EVPN-VXLAN 的 IRB 接口不支持 VLAN 防火墙过滤器。

  • (EX4650 和 QFX5000 系列交换机)防火墙过滤器和监管器支持:

    • (QFX5100 交换机)启用 EVPN-VXLAN 的传输流量不支持防火墙过滤器和监管器。它们仅在面向 CE 的接口上的入口方向上受支持。

    • (QFX5100 交换机)对于 EVPN-VXLAN 单层 IP 交换矩阵中的 IRB 接口,仅在通过 IRB 接口路由的非封装帧的入口点支持防火墙过滤和监管。

    • (EX4650、QFX5110 和 QFX5120 交换机)我们支持将路由 VXLAN 接口(IRB 接口)的入口过滤和监管作为入口路由访问控制列表 [IRACL]。

    • (QFX5110、QFX5120 和 QFX5210 交换机)我们支持在未路由的 VXLAN 接口上作为入口端口 ACL [IPACL] 进行入口过滤和监管。

    • (QFX5110 和 QFX5120 交换机)非路由 VXLAN 接口上的过滤和监管支持作为出口端口 ACL ([EPACL] 扩展到了出口方向。

  • (仅限 EX4300-48MP 交换机)不支持以下样式的接口配置:

    • 服务提供商样式,其中物理接口被划分为多个逻辑接口,每个逻辑接口都专用于特定的客户 VLAN。封装 extended-vlan-bridge 类型配置在物理接口上。

    • 灵活的以太网服务,是一种封装类型,使物理接口能够同时支持服务提供商和企业样式的接口配置。

    有关这些接口配置样式的更多信息,请参阅 灵活以太网服务封装

  • (仅限 QFX5100 交换机) no-arp-suppression 使用配置语句,您可以关闭抑制一个或多个指定 VLAN 上的 ARP 请求。但是,从 Junos OS 18.4R3 版开始,您必须在所有 VLAN 上关闭此功能。为此,您可以使用以下配置选项之一:

    • 使用批次命令关闭所有 VLANset groups group-name vlans * no-arp-suppression — 上的功能。使用此命令,我们使用星号 (*) 作为指定所有 VLAN 的通配符。

    • 使用命令关闭每个单独 VLANset vlans vlan-name no-arp-suppression 上的功能。

    注意:

    从 Junos OS 19.1R1 版开始,EX 系列和 QFX 系列交换机不再支持该 no-arp-suppression 语句。语句已弃用。

  • QFX5120-48Y、QFX5120-32C 和 QFX5200 交换机支持分层等价多路径 (ECMP),允许这些交换机执行两级路由解析。但是,所有其他 QFX5xxx 交换机都不支持分层 ECMP。因此,当 EVPN Type-5 数据包使用 VXLAN 标头封装,然后由不支持分层 ECMP 的 QFX5xxx 交换机解封装时,交换机将无法解析内部数据包中的两级路由。然后,交换机丢弃数据包。

  • (QFX5100、QFX5110、QFX5120、QFX5200 和 QFX5210 交换机)在同时支持集中路由桥接叠加和边缘路由桥接叠加上配置的 VLAN 的设备上配置 IRB 接口时,集中路由桥接叠加的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址必须与边缘路由桥接叠加的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址不同。

  • (仅限 QFX5110 和 QFX5120 交换机)在 EVPN-VXLAN 叠加中,我们不支持在默认路由实例 (default.inet.0) 中的 IRB 接口上运行路由协议。相反,我们建议将 IRB 接口包括在类型的 vrf路由实例中。

  • 以下约束同时适用于 VXLAN 和 VLAN。

    • (仅限 QFX5xxx 交换机)在配置虚拟路由和转发 (VRF) 实例之间的路由泄漏时,您必须为每个前缀指定子网掩码,其子网掩码对于 IPv4 前缀而言等于或长于 /16,或者 IPv6 前缀的子网掩码等于或超过 /64。如果您指定的子网掩码不符合这些参数,则指定的路由不会泄露。

    • (仅限 QFX5120 交换机)默认情况下,QFX5120 交换机分配 5 MB 的共享缓冲区来吸收突发组播流量。如果组播流量突发超过 5 MB,交换机将在超出缓冲区空间后丢弃交换机接收的数据包。要防止交换机在发生这种情况时丢弃组播数据包,您可以执行以下一项操作:

      • 使用层级中的 shared-buffer [edit class-of-service]配置语句为组播流量重新分配较高百分比的共享缓冲区。有关对共享缓冲区进行微调的更多信息,请参阅了解 CoS 缓冲区配置

      • 在即将爆发组播流量的瞻博网络交换机上,在出口链路上应用整形程序。

    • (仅限 QFX5xxx 交换机)如果在某个接口上启用了风暴控制,您可能会注意到接口的配置流量速率与实际流量速率存在显著差异。这种差异是由于内部风暴控制计将接口的实际流量速率量化为 64 kbps 的增量,例如 64 kbps、128 kbps、192 kbps 等。

  • (QFX5xxx 和 EX46xx 交换机)不能将硬件辅助的内联双向转发检测 (BFD) 与 BFD 数据包的 VXLAN 封装在一起。此外,如果配置 EVPN 叠加 BGP 对等,请使用分布式 BFD,而不是硬件辅助的内联 BFD。请参阅 了解 BFD 如何检测网络故障 ,了解有关可配置的不同类型的 BFD 会话的详细信息。

  • (QFX5xxx 和 EX46xx 交换机)我们不支持在同一设备上同时配置和使用 MPLS 和 EVPN-VXLAN。我们有此限制,因为基于 Broadcom 的平台使用相同的硬件表来存储 MPLS 和 VXLAN 功能集使用的隧道和虚拟端口信息。

    此外,不能将 MPLS 底层与 EVPN 和 VXLAN 叠加层配合使用;这是 Broadcom 硬件限制

QFX10000 系列交换机上的 VXLAN 约束

  • VXLAN 不支持 MC-LAG。

    注意:

    在 EVPN-VXLAN 环境中,使用 EVPN 多宿主主动-主动模式(而非 MC-LAG)在主机和叶设备之间实现冗余连接。

  • 第 3 层端不支持 IP 分片。

  • 第 2 层侧不支持以下功能:

    • Junos OS 17.2R1 版本之前的 Junos OS 版本中使用 EVPN-VXLAN 的 IGMP 侦听。

    • STP(任何变体)。

  • VXLAN 不支持接入端口安全功能。例如,不支持以下功能:

    • DHCP 侦听。

    • 动态 ARP 检测。

    • MAC 限制和 MAC 移动限制。

  • 当将 SDN 控制器用于控制平面 (OVSDB-VXLAN) 时,不支持入口节点复制。EVPN-VXLAN 支持入口节点复制。

  • 部署在 EVPN-VXLAN 环境中的 QFX10000 交换机不支持 IPv6 物理底层网络。

  • 当 QFX10000 交换机上的下一跃点数据库同时包括底层网络和 EVPN-VXLAN 叠加网络的下一跃点时,VXLAN 对等方上的下一跃点不能是以太网分段标识符 (ESI) 或虚拟隧道端点 (VTEP) 接口。

  • EVPN-VXLAN 叠加网络中使用的 IRB 接口不支持 IS-IS 路由协议。

  • 应用于启用了 EVPN-VXLAN 的 IRB 接口的 VLAN 防火墙过滤器。

  • EVPN-VXLAN 环境中使用的 IRB 接口不支持基于过滤器的转发 (FBF)。

  • 当还配置 EVPN-VXLAN 时,QFX10002、QFX10008 和 QFX10016 交换机不支持端口镜像和分析。

  • 在同时支持集中路由桥接叠加和边缘路由桥接叠加上配置的 VLAN 的设备上配置 IRB 接口时,集中路由桥接叠加的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址必须与边缘路由桥接叠加的 IRB 接口上的 IRB MAC 地址和虚拟网关 MAC 地址不同。

  • 在 EVPN-VXLAN 叠加中,我们不支持在默认路由实例 (default.inet.0) 中的 IRB 接口上运行路由协议。相反,我们建议将 IRB 接口包括在类型的 vrf路由实例中。

  • 在 EVPN-VXLAN 环境中,我们不支持使用默认网关语句和参与同一以太网分段 (ES) 的链路的播发语句来配置任播网关。

PTX10000 系列路由器上的 VXLAN 约束

  • 不能在这些设备上使用防火墙过滤器来阻止 VXLAN 隧道终止。

所有设备上的 VXLAN 约束

  • 如果在使用 ESI 的端口上配置多个子单元,则这些逻辑接口不支持禁用操作 (set interfaces logical-interface-name unit n disable)。