版本 21.2 Junos OS主要功能

使用本 视频快速了解 21.2R1 版中Junos OS部分关键功能。

这里列出了该版本的所有关键功能。有关功能详细信息，请单击功能说明中的链接。

• AutoVPN PSK 支持（带 SPC3 卡和 vSRX 运行 iked 的 SRX5000 系列设备 — 要允许 VPN 网关使用不同的 IKE 预共享密钥 （PSK） 认证每个远程对等方，请使用新的 CLI seeded-pre-shared-key ascii-text seeded-pre-shared-key hexadecimal [edit security ike policy policy_name] 命令或层级下。请参阅 策略。

  具有 SPC3 卡和 vSRX 的 SRX5000 系列设备仅支持 AutoVPN PSK，但仅支持安装 junos-ike 软件包。

  要启用 VPN 网关使用相同的 PSK IKE验证所有远程对等方，请使用 现有 CLI 命令 pre-shared-key ascii-text 或 pre-shared-key hexadecimal。

  我们还引入了可选配置以绕过IKE ID 验证。 general-ikeid 使用 层级下的配置 [edit security ike gateway gateway_name dynamic] 语句绕过IKE ID 验证。如果启用此选项，则远程对等方认证期间，SRX 系列设备和 vSRX 将跳过 IKE ID 验证，并接受所有 IKE ID 类型（主机名、user@hostname）。请参阅 常规 ikeid 。

  [请参阅 中心辐式设备的 AutoVPN 和 示例：使用预共享密钥配置 AutoVPN。]

• 在安全策略（NFX 系列 和 SRX 系列）中显示动态应用程序和 URL 类别命中计数 — 从 Junos OS 版本 21.2R1 show security policies hit-count 开始，我们已增强命令以包括动态应用程序和 URL 类别选项。您现在可根据动态应用程序和 URL 类别命中数显示策略的实用率。

  [请参阅 show security policies 的点击计数。]

• cSRX AWS （cSRX） 上的支持 — 从 Junos OS 版本 21.2R1 开始，您可以使用 Amazon Elastic Kubernetes Services （Amazon EKS） （完全托管的 Kubernetes 服务）在 Amazon Web Services （AWS） 云中部署 cSRX 容器防火墙。

  借助 cSRX，您还可以设置自动化服务调配和编排、分布式和多租户流量安全、采用 瞻博网络® Security Director 的集中化管理（包括动态策略和地址更新、远程日志收集、安全事件监控）和占用空间小的可扩展安全服务。

  cSRX 60 天免费试用版评估许可证 （S-CSRX-A1 SKU） 提供。本版本中的评估cSRX将在 60 天内过期。

  您可以购买自带许可证 （BYOL） 瞻博网络或瞻博网络授权经销商，用于使用网络软件cSRX。使用此许可证可自定义您的许可证、订阅和支持。

  [请参阅 cSRX AWS 和 Flex 软件许可证的部署指南 cSRX。]

• DNS DGA 和隧道检测（SRX 系列）— 从 Junos OS 版本 21.2R1 开始，您可以配置 DNS 域生成算法 （DGA） 检测和 DNS 隧道检测。此功能允许您阻止受感染主机和命令和控制 （C&C） 服务器生成的恶意域和 DNS 隧道请求或响应。DGA 会定期生成大量域名，这些域名会被用作 C&C 服务器中的会后点 （AP）。DNS 隧道是一种网络攻击方法，在 DNS 查询和响应中对恶意程序或协议的数据进行编码。

  使用 层次结构set security-metadata-streaming policy policy-name detections dgaset security-metadata-streaming policy policy-name detections tunneling中的 和 命令[edit services]配置 DNS DGA 和隧道检测。

  [请参阅 安全元数据流。]

• 路由引擎 传感器（EX2300、EX4300、EX4300-MP、EX9200、MX240、MX960、MX10016、 MX2010、MX2020、PTX1000、PTX3000、PTX10001、QFX5100、QFX5110、QFX5120 和 QFX10002）— 从 Junos OS 版本 21.2R1 开始，我们针对所有 Junos 遥测接口 （JTI） 路由引擎 传感器推出了消息终止 （EoM） 布尔值标记。该标志将通知收集器当前绕行已完成特定传感器路径。绕包是传感器路径下所有叶的完整键值数据转储。

  EoM 标志还让收集器可检测包装何时结束，而无需比较收集器从数据包中收到的流创建时间戳值。比较时间戳值时费时，延迟数据聚合。

  要与 gRPC 网络管理接口 （gNMI） 传输或远程过程调用 （gRPC） 一起使用此功能，请从下载站点上的相关分支检索 瞻博网络 文件：

  • Gnmi 瞻博网络TelemetryHeaderExtension.proto （gNMI）
  • 代理.proto（适用于 gRPC）

  例如：https://github.com/Juniper/telemetry/blob/master/20.3/20.3R1/protos/GnmiJuniperTelemetryHeaderExtension.proto。

  在收集器上下载并安装新的 protof 文件后，收到的数据包中就存在 EoM 字段。

  [请参阅 了解交换机遥测接口上的 OpenConfig Junos gRPC。]

• Mellanox 支持 （vSRX 3.0） — 从 Junos OS 版本 21.2R1 开始，vSRX 在 VMware 和基于内核的虚拟机 （KVM） 上部署的 vSRX 3.0 实例支持 Mellanox ConnectX-4 和 ConnectX-5 系列适配器。

  [请参阅 vSRX KVM 的部署 。]

• 在 EVPN-VXLAN 交换矩阵中采用对称桥接域配置优化的子网QFX5110（QFX5110、 QFX5120、QFX10002-36Q 和 QFX10002-72Q）— 从 Junos OS 版本 21.2R1 开始，您可以在 EVPN-VXLAN 边缘路由桥接叠加交换矩阵中的叶设备和边界叶设备上配置优化的子网间组播 （OISM）。此功能有助于优化 EVPN 租户域中 VVPN 之间组播流量的路由。此功能使用补充桥接域 （SBD） 和组播 VLAN （MVLAN） 将组播流量从结构外部路由或路由至交换矩阵外部的设备。此功能还可与现有 IGMP 窥探和选择性组播 （SMET） 转发优化一起使用，在租户 VVPN 桥接时将 EVPN 核心中的复制控制在最大程度上。

  通过此实施，您必须在 EVPN-VXLAN 交换矩阵的所有叶和边界叶设备上启用 OISM 和 IGMP VXLAN。您还必须在结构上的所有叶和边界叶设备上对称配置 SBD 及所有租户 VLA。

  您可以使用 OISM：

  • 具有 VLAN 感知 default-switch 捆绑服务模型的实例上的 EVPN（第 2 层）
  • 类型的路由实例 vrf （第 3 层）
  • EVPN 单主机或多主机（全活动模式）
  • IGMPv2
  • EVPN 数据中心内的组播源和接收方
  • EVPN 数据中心外部的组播源和接收方，通过边界叶设备可到达

  [请参阅 EVPN Networks 中优化的子网间组播。]

• 增强的 CFM 支持（ACX5448、ACX5448-M 和 ACX5448-D）— 从 Junos OS 版本 21.2R1 开始，您可以在不启用连续性检查消息 （CCM） 传输的情况下启用性能监控响应器功能。要启用性能监控响应器功能而不启用 CCM 传输send-zero-interval-ccm，请配置我们在层次结构级别下的新[edit protocols protocols oam ethernet connectivity-fault-management]配置语句。配置语句后，如果未启用持续性检查，则不会传输 CCM，但编程为接收该维护端点 （MEP） 级别的 CFM 数据包。

  [请参阅 IEEE 802.1ag OAM 连接故障管理概述和连接故障管理（仅适用于 EX 系列交换机）]]

• 增强前缀限制和接受前缀限制配置语句，以及显示 bgp 邻接命令（ACX1000、EX9200、MX 系列、PTX5000 和 QFX10002）的更新 — 从 Junos OS 版本 21.2R1 prefix-limit accepted-prefix-limit 开始，和配置语句包括以下选项：

  • drop-excess <percentage>—如果包括 选项并 drop-excess <percentage> 指定百分比，则当前缀数超过指定百分比时，将丢弃多余路由。
  • hide-excess <percentage>— 如果包括 选项并 hide-excess <percentage> 指定百分比，则当前缀数超过指定百分比时，多余路由将隐藏。

  命令 show bgp neighbor 经过增强，可显示以下附加信息：

  • 当超过允许的最大前缀阈值时，根据网络层可达性信息 （NLRI） 丢弃或隐藏的前缀计数。
  • 对等方开始丢弃或隐藏路由时发出警报。
  • 和 配置语句 prefix-limit 的配置 accepted-prefix-limit 详细信息。

  [请参阅 前缀限制、接受前缀限制、show bgp 邻接和多协议BGP。]

• Juniper Agile Licensing (EX2300, EX3400, EX4300, and EX4400)— 从 Junos OS 21.2R1 版开始，列出的 EX 系列交换机支持瞻博网络敏捷许可。

  瞻博网络敏捷许可提供简化的集中式许可证管理和部署。您可以使用敏捷瞻博网络来安装和管理硬件和软件功能的许可证。

  瞻博网络敏捷许可支持硬件和软件功能许可证的软实施和硬实施。

  • 如果配置了无许可证的功能，则使用软实施Junos OS配置时显示警告。但是，此功能仍然可操作。此外，Junos OS生成定期报警，表明您需要许可证才能使用该功能。您可以在 System Log Explorer 上查看报警列表。

  • 如果配置了一项没有许可证的功能，则Junos OS配置时会显示警告。直到安装许可证，此功能才会运行。此外，Junos OS生成定期系统日志消息，表明您需要许可证才能使用该功能。您可以在系统日志 Explorer 上看到系统日志 消息列表。

  表 1 说明了对交换机上的软实施EX2300支持。

  表 1：路由器EX2300功能

  许可证型号	用例示例或解决方案	功能列表
  标准	园区和接入 2 层或 3 层	2 层和 3 层过滤器 2 层（xSTP、802.1Q 和 LAG） 2 层和 3 层QoS 3 层（静态） IGMP 窥探 操作、管理和维护 （OAM） 链路故障管理 （LFM） Q-in-Q sFlow SNMP Junos 遥测接口 （JTI） 虚拟机箱*
  先进	园区和接入 2 层或 3 层	双向转发检测 （BFD） IGMP 版本 1、IGMP 版本 2 和 IGMP 版本 3 IPv6 路由协议：组播侦听发现 （MLD） 版本 1 和 MLD 版本 2、OSPF版本 3、PIM 组播、VRRP 版本 3 组播源发现协议 （MSDP） OAM 和维护 CFM OSPF版本 2 或 OSPF 3 协议无关组播 （PIM） 密集模式、PIM 源特定模式、PIM 稀疏模式 实时性能监控 （RPM） RIP IPv6 （RIPng） VRRP

  虚拟机箱*— 我们已在虚拟机箱 12 端口交换机的标准许可证模型中EX2300-C许可证。但是，在 24 端口虚拟机箱 48 端口交换机EX2300中包括安全许可证。您需要单独购买许可证。

  表 2 说明了对交换机上的软实施EX3400支持。

  表 2： 路由器EX3400功能

  许可证型号	用例示例或解决方案	功能列表
  标准	园区和接入 2 层或 3 层	2 层和 3 层过滤器 2 层（xSTP、802.1Q 和 LAG） 2 层和 3 层QoS 3 层（静态） IGMP 窥探 操作、管理和维护 （OAM） 链路故障管理 （LFM） Q-in-Q sFlow SNMP Junos 遥测接口 （JTI） 虚拟机箱
  先进	园区和接入 2 层或 3 层	双向转发检测 （BFD） IGMP 版本 1、IGMP 版本 2 和 IGMP 版本 3 IPv6 路由协议：组播侦听发现 （MLD） 版本 1 和 MLD 版本 2、OSPF 版本 3、PIM 组播、VRRP 版本 3 以及单播虚拟路由器支持 基于过滤器的转发 （FBF） 组播源发现协议 （MSDP） OAM CFM OSPF版本 2 或 OSPF 3 协议无关组播 （PIM） 密集模式、PIM 源特定模式、PIM 稀疏模式 实时性能监控 （RPM） RIP IPv6 （RIPng） 单播逆向路径转发（单播 RPF） 虚拟路由器 VRRP
  溢价	园区和接入 3 层	双向转发检测 （BFD） IGMP 版本 1、IGMP 版本 2 和 IGMP 版本 3 IPv6 路由协议：组播侦听发现 （MLD） 版本 1 和 MLD 版本 2、OSPF 版本 3、PIM 组播、VRRPv3、单播虚拟路由器支持以及 FBF 组播源发现协议 （MSDP） OAM CFM OSPF版本 2 或 OSPF 3 协议无关组播 （PIM） 密集模式、PIM 源特定模式、PIM 稀疏模式 实时性能监控 （RPM） RIP IPv6 （RIPng） 单播逆向路径转发（单播 RPF） 虚拟路由器 VRRP BGP多协议 BGP （MBGP） IS-IS

  表 3 说明了对交换机上的软实施功能EX4300支持。

  表 3： 路由器EX4300功能

  许可证型号	用例示例或解决方案	功能列表
  标准	园区和接入 2 层或 3 层	2 层和 3 层过滤器 2 层（xSTP、802.1Q 和 LAG） 2 层和 3 层QoS 3 层（静态） IGMP 窥探 操作、管理和维护 （OAM） 链路故障管理 （LFM） Q-in-Q sFlow SNMP Junos 遥测接口 （JTI） 虚拟机箱
  先进	园区和接入 2 层或 3 层	双向转发检测 （BFD） IGMP 版本 1、IGMP 版本 2 和 IGMP 版本 3 组播源发现协议 （MSDP） OAM CFM OSPF版本 2 或 OSPF 3 FBF 协议无关组播 （PIM） 密集模式、PIM 源特定模式、PIM 稀疏模式 实时性能监控 （RPM） RIP IPv6 （RIPng） 单播逆向路径转发（单播 RPF） 虚拟路由器 VRRP
  溢价	园区和接入 3 层	双向转发检测 （BFD） CFM （IEEE 802.1ag） IGMP 版本 1、IGMP 版本 2 和 IGMP 版本 3 组播源发现协议 （MSDP） OAM CFM OSPF版本 2 或 OSPF 3 FBF 协议无关组播 （PIM） 密集模式、PIM 源特定模式、PIM 稀疏模式 实时性能监控 （RPM） RIP IPv6 （RIPng） 单播逆向路径转发（单播 RPF） 虚拟路由器 VRRP BGP多协议 BGP （MBGP） IS-IS EVPN-VXLAN 仅在 EX4300-48MP 交换机上受支持。 需要BGP配置。

  表 4 说明了 EX4400 交换机上对软实施功能的许可支持。

  表 4：EX4400 交换机上的许可功能

  许可证型号	用例示例或解决方案	功能列表
  标准	园区和接入 2 层或 3 层	2 层和 3 层过滤器 2 层（xSTP、802.1Q 和 LAG） 2 层和 3 层QoS 3 层（静态） IGMP 窥探 操作、管理和维护 （OAM） 链路故障管理 （LFM） Q-in-Q sFlow SNMP Junos 遥测接口 （JTI） 虚拟机箱
  先进	园区和接入 2 层或 3 层	双向转发检测 （BFD） IGMP 版本 1、IGMP 版本 2 和 IGMP 版本 3 组播源发现协议 （MSDP） OAM CFM OSPF版本 2 或 OSPF 3 FBF 协议无关组播 （PIM） 密集模式、PIM 源特定模式、PIM 稀疏模式 实时性能监控 （RPM） RIP IPv6 （RIPng） 单播逆向路径转发（单播 RPF） 虚拟路由器 VRRP
  溢价	园区和接入 3 层	双向转发检测 （BFD） CFM （IEEE 802.1ag） IGMP 版本 1、IGMP 版本 2 和 IGMP 版本 3 组播源发现协议 （MSDP） OAM CFM OSPF版本 2 或 OSPF 3 FBF 协议无关组播 （PIM） 密集模式、PIM 源特定模式、PIM 稀疏模式 实时性能监控 （RPM） RIP IPv6 （RIPng） 单播逆向路径转发（单播 RPF） 虚拟路由器 VRRP BGP多协议 BGP （MBGP） IS-IS EVPN-VXLAN 需要BGP配置。

  在 EX4400 交换机上，基于流的遥测和 MACsec 功能将很难实施。您需要一个许可证才能使用这些功能。

  [请参阅 EX 系列交换机的 Flex 软件许可证、 瞻博网络敏捷许可指南和在交换机中配置 Junos OS。]

• Junos 5G 用户平面功能（MX204、MX240、MX480、MX960 和 MX10003）的多接入用户平面支持 — 从 Junos OS 版本 21.2R1 开始，Junos 多接入用户平面支持根据 3GPP 版本 15 CUPS 架构用作用户平面功能 （UPF） 的路由器。这在非独立 （NSA） 模式下提供高吞吐量 5G 固定和移动无线服务。其中包括对以下内容的支持：

  • N3、N4、N6 和 N9 接口支持
  • 通过 N9 接口漫游
  • GPRS 通道协议，用户平面 （GTP-U） 到控制平面的通道
  • QoS 5G 流量的流 ID （QFI） QoS支持

  [请参阅 Junos多接入用户平面概述 。]

• RSVP-流量工程 支持抢占信号但处于非活动状态辅助 LSP（MX 系列和 PTX 系列）— 从 Junos OS 版本 21.2R1 开始，您可以抢占信号但处于非活动的辅助 LSP，并配置 RSVP-Traffic Engineering （RSVP-流量工程） 的备用标签交换系列 （LSP） 的保留优先级。这有助于将非备用辅助路径 LSP 设置为优先级更高，而带宽危机无法启动。要配置辅助备用路径的非活动保持优先级值 non-active-hold-priority ，请使用 [edit protocols mpls label-switched-path <lsp-name> secondary <path-name>] 层次结构级别的语句。您可以将优先级从 0 设置为 7，其中 0 是最高优先级，7 是最低优先级。

• 防火墙用户身份验证的统一策略支持（SRX 系列和 vSRX）— 从 Junos OS 版本 21.2R1 开始，我们通过动态应用程序（统一策略）在安全策略中支持防火墙用户身份验证。您可以在统一策略中配置通过或 Web 身份验证，以限制或允许用户访问网络资源。

  统一策略中的防火墙用户身份验证支持在具有动态流量更改的网络中提供额外一层保护。

  [请参阅 使用统一策略配置防火墙用户身份验证 。]

• 安全数据包捕获到云 （EX4400） — 从 Junos OS 21.2R1 版开始，我们支持使用 Junos 遥测接口 （JTI）。您可以使用此功能从设备捕获数据包，然后通过安全通道将其发送到外部收集器（云中）以用于监控和分析。您可以捕获的数据包的最大大小为 128 字节，包括数据包标头和数据。网络专业人士使用实时数据包捕获数据来排除复杂的问题，例如网络性能降级和最终用户体验不佳。

  要使用安全数据包捕获，请使用 RPC 调用包括 /junos/system/linecard/packet-capture Junos路径。

  对于入口数据包捕获，在 packet-capture 层级的现有防火墙过滤器配置 [edit firewall family family-name filter filter-name term match-term then packet-capture] 中包括 选项。在将数据包捕获传感器数据发送至收集器之前 packet-capture ，请执行此操作，并将数据发送至收集器之后移除配置。捕获完成后，符合过滤器匹配条件的入口数据包将捕获到 CPU 中。随后，捕获的数据包通过一个JTI格式（采用键值对）通过远程过程调用 （gRPC） 传输方式进入收集器。

  对于物理接口（ge-*、xe-*、mge-*和 et-*）上的出口数据包捕获，在层次结构级别包括"数据包捕获遥测"、"出口"和" [edit forwarding-options] 接口<接口名称>。例如：

  set forwarding-options packet-capture-telemetry egress interface ge-0/0/0

  set forwarding-options packet-capture-telemetry egress interface ge-0/0/10

  您可以在设备上添加多个接口以用于出口数据包捕获。配置后，主机绑定出口数据包从接口捕获并发送至收集器。与入口配置一样，在不需要数据包捕获时卸下配置。

• G.8275.1 电信配置文件和 PTP 以太网封装支持（ACX2100 和 ACX2200）— 从 Junos OS 版本 21.2R1、ACX2100 和 ACX2200 路由器开始支持以太网封装上的精确时间协议 （PTP） 和 G.8275.1 电信配置文件。

  G.8275.1 Telecom 配置文件支持 ITU-T G.8275 中定义的架构，以便借助完全计时支持实现相位和时间分配。此配置文件要求网络中的所有设备以组合模式或混合模式运行，这意味着所有设备上都启用 PTP 和同步以太网。

  以太网 PTP 支持有效实施基于数据包的技术，使运营商能够在基于数据包的移动回程网络上提供同步服务。

  [请参阅 G.8275.1 电信配置文件和精确时间协议概述 。]

• 硬件辅助内联 BFD（QFX5120-32C 和 QFX5120-48Y）— 从 Junos OS 版本 21.2R1 开始，我们支持以固件形式实施内联 BFD 协议的硬件实施。ASIC 固件处理大多数 BFD 协议处理。固件使用现有路径转发必须由协议进程处理的任何 BFD 事件。ASIC 固件处理数据包的速度比软件更快，因此硬件辅助内联 BFD 会话的可保持间隔小于一秒。这些平台为单跃点和多跳 IPv4 和 IPv6 BFD 会话支持此功能。

  [请参阅 ppm 和 双向转发检测 （BFD）]]

• MPC10E 与 MX-SPC3 的互操作性，适用于 IPSec 服务转向（MX240、 MX480 和 MX960）— 从 Junos OS 版本 21.2R1 开始，MPC10E-15C-MRATE 和 MPC10E-10C-MRATE 卡与 MX-SPC3 卡互操作，以启用将数据包引导至 MX-SPC3 卡的数据包转发路径。MPC10E 线卡可通过 和 接口、下一个hops以及线卡中编程的路由执行 IPSec st0 vms 服务数据包的入口或出口处理。

  [请参阅 MPC10E-15C-MRATE 和 MPC10E-10C-MRATE。]

• MPC10E 与 MX-SPC3 之间的互操作性，可支持 TLB（MX240、MX480 和 MX960）— 从 Junos OS 版本 21.2R1 开始，MPC10E-15C-MRATE 和 MPC10E-10C-MRATE 与 MX-SPC3 卡互操作以支持流量负载平衡。通过使用流量负载平衡器 （TLB） 应用程序，您可以在服务器组中多个服务器之间分配流量，并执行运行状况检查以确定任何服务器是否不应接收流量。TLB 支持多个 VPN 路由和转发实例 （VRF） 实例。。

  [请参阅 流量负载平衡器概述 。]

• MRU 支持（SRX1500、SRX4100、 SRX4200、SRX4600、SRX5400、SRX5600 和 SRX5800）— 从 Junos OS 版本 21.2R1 开始，您可以配置最大接收单元 （MRU） 大小，以接受大于配置 MTU 大小的数据包大小，并配置 MTU 和 MRU 的不同值，以防止在接收侧频繁分片和重组较大数据包。您可以在 、 、 etge和 接口上配置 reth MRUxe。

  在层次结构CLI mru 下使用 [edit interfaces name gigether-options] CLI 命令配置 MRU 大小（以字节为单位）。

  [请参阅 mru.]

• 支持 BGP MVPN （ACX710 路由器） — 从 Junos OS 版本 21.2R1 开始，ACX710 路由器支持 BGP 组播虚拟专用网 （MVPN）（也称为下一代 （NG） MVPN）。您可以将多点 LDP 提供商隧道配置为内部 MVPN 的数据平面AS BGP。ACX710 路由器不支持外网 MVPN。

  [请参阅 多协议BGP M VPN 概述 。]

• TCP 代理短路（SRX 系列）— 从 Junos OS 版本 21.2R1 开始，对于与活动 TCP 代理插件的会话，如果没有进一步要求基于用户定义的配置或流状态对 TCP 代理插件执行禁用 TCP 代理。此增强功能显著提高了会话流性能。

• 对 SSL 代理（SRX 系列）的 TLS 版本 1.3 支持 — 从 Junos OS 版本 21.2R1 开始，安全套接字层 （SSL） 代理支持 传输层 安全 （TLS） 协议版本 1.3，从而提供安全改善和性能。TLS 版本 1.3 支持以下密码套件：

  • TLS_AES_256_GCM_SHA384

  • TLS_AES_128_GCM_SHA256

  • TLS_CHACHA20_POLY1305_SHA256

  • TLS_AES_128_CCM_SHA256

  • TLS_AES_128_CCM_8_SHA256

  [请参阅 SSL 代理。]