本页内容
已知限制
了解此版本中 SRX 系列防火墙的已知限制。
要了解有关已知 Junos OS 缺陷的最完整和最新信息,请使用瞻博网络在线 Junos 问题报告搜索 应用。
基于流和基于数据包的处理
-
从早期版本升级到 Junos 24.2R1 及更高版本后,以数据包模式配置的 SRX 防火墙不会在升级后直接转发流量,因为数据包模式配置已更改。在较旧的 Junos 版本中,将 set security forwarding-options family 配置为使用数据包模式时,MPLS 和 IPv4(Family inet)会自动设置为数据包模式。
从 Junos OS 24.2R1 版开始,每个地址族都可以分别配置为数据包模式或流模式。IPv4 和 IPv6 的默认设置为流模式。因此,如果您的设备在升级前包含配置
set security forwarding-options family mpls mode packet-based
,这会将家族 IPv4 设置为数据包模式。升级后,要将 IPv4 还原为数据包模式,必须配置set security forwarding-options family inet mode packet-based
。提交配置并重新启动设备,以使更改生效。您可以使用 CLI 命令
show security flow status
检查设备的当前转发模式。注意:使用防火墙过滤器的 IPv6 或选择性数据包模式无需执行任何操作
高可用性
-
在 SRX 系列防火墙上,流控制传输协议 (SCTP) 流量在多节点高可用性设置上的非对称流量中失败。解决方法,您可以配置
set security forwarding-process application-services enable-sctp-port-hash
隐藏命令。 -
对于非对称流量配置,SRX5000线防火墙不支持 GTPv1 和 GTPv2。SRX4600、SRX4300、SRX4200、SRX4100、SRX2300、SRX1600 和 SRX1500 防火墙支持 GTPv0、GTPv1 和 GTPv2 进行非对称流量配置。要启用此功能,您需要配置
set security forwarding-process application-services enable-gtpu-distribution
设置。 - 使用基于策略的高级路由 (APBR) 时,基于配置的路由切换可正常运行。但是,在多节点高可用性非对称拓扑中,存在与对等节点上的RT_FLOW日志相关的问题。具体而言,日志不包括有关上行链路传入接口名称以及该接口上接收的字节数/数据包数的信息。
- 虽然 SSL 代理功能在主节点上平稳运行,但存在与对等节点上的应用程序分类信息相关的问题。我们建议您参考主节点的RT_FLOW会话日志,以获取准确的应用程序详细信息。
示例: 当 HTTPS 流量流经节点时,活动节点会将第 7 层标准应用程序标识为 IP:TCP:SSL:HTTP。但是,对等节点将应用程序报告为 IP:TCP:SSL。