Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EVPN

  • Gruppenbasierte VXLAN-Richtlinie (EX9204-, EX9208- und EX9214-Switches mit der EX9200-15C-Linecard). —Ab Junos OS Version 23.2R1 können Sie Daten und Ressourcen durch Mikrosegmentierung sichern. Sie verwenden die vorhandenen Layer 3 (L3) VXLAN-Netzwerkkennungen (VNIs) und die Firewall-Filterrichtlinien, um unabhängig von der zugrunde liegenden Netzwerktopologie eine Mikrosegmentierung auf Geräte- oder Tag-Ebene bereitzustellen. Sie können z. B. die gruppenbasierte VXLAN-Richtlinie (VXLAN-GBP) verwenden, um den IoT-generierten Netzwerkverkehr zu sichern. IoT-Geräte greifen in der Regel nur auf bestimmte Anwendungen im Netzwerk zu. GBP isoliert diesen IoT-gesteuerten Datenverkehr durch die automatische Anwendung von Sicherheitsrichtlinien, ohne dass Layer-2- (L2) oder L3-Lookups oder Zugriffskontrolllisten (ACLs) erforderlich sind.

    [Siehe Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.]

  • Neue VXLAN-GBP-Profile und zusätzliche L4-Übereinstimmungen für GBP-Richtlinienfilter (EX4100-, EX4400- und EX4650-Switches): Ab Junos OS Version 23.2R1 haben wir die Mikrosegmentierungsfunktion für gruppenbasierte Richtlinien (GBP) um die folgenden Verbesserungen erweitert:

    • Die Switches EX4400 und EX4650 unterstützen neue VXLAN-GBP-Profile:

      • vxlan-gbp-l2-profile

        Dieses Profil erhöht die Kapazität für MAC-Adressen.

      • vxlan-gbp-l3-profile

        Dieses Profil erhöht die Kapazität für IP-Adressen.

    • Die Switches EX4400, EX4100 und EX4650 unterstützen zusätzliche Layer-4-Übereinstimmungen für einen GBP-Richtlinienfilter für IPv4 oder IPv6. Sie können Protokoll, Quell-Ports, Ziel-Ports, TCP-Flags und andere Übereinstimmungen für MAC- und IP-basierte GBP-getaggte Pakete verwenden.

    • Sie können den set forwarding-options evpn-vxlan gbp tag-only-policy Befehl verwenden, um nur GBP-Quell- und Ziel-Tags als Übereinstimmungen in der GBP-Richtlinie für die EX4650-Serie zuzulassen.

    [Siehe Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.]

  • Unterstützung für die Erkennung lokaler und globaler Schleifen in EVPN-Fabrics (EX4400) – Ab Junos OS Version 23.2R1 haben wir die Funktion zur Erkennung doppelter MAC-Adressen erweitert, um eine konfigurierte Aktion auszuführen, wenn eine doppelte MAC-Adresse erkannt wird. Schleifen können auftreten, wenn PE-Geräte (Provider Edge) Frames in derselben Broadcast-Domäne kontinuierlich hin und her weiterleiten.

    Um diese Schleifen zu erkennen und aufzulösen, verwenden Sie die folgenden Anweisungen auf Hierarchieebene [edit routing-instances name protocols evpn duplicate-mac-detection] auf Ihren Peer-Geräten:

    • action <block | shutdown>

      Die block Option blockiert alle Pakete, die die Quell-MAC-Adresse oder die Ziel-MAC-Adresse der doppelten MAC-Adresse haben. Die shutdown Option beendet die lokale Schnittstelle der doppelten MAC-Adresse.

    • include-local-moves. Diese Anweisung verfolgt doppelte MAC-Adressbewegungen, die auf lokalen Schnittstellen auftreten.

    Um die doppelten MAC-Adressen manuell zu löschen, geben Sie den clear evpn duplicate-mac-suppression <instance name | l2-domain-id | mac-address> Befehl ein.

    Um die heruntergefahrene Schnittstelle manuell wiederherzustellen, geben Sie den clear ethernet-switching recovery-timeout Befehl ein.

    [Siehe Konfigurieren der Schleifenerkennung für doppelte MAC-Adressen.]

  • Symmetrisches EVPN-VXLAN-zu-EVPN-VXLAN-DCI-Stitching vom Typ 2 (EX4650 und QFX10002) – Ab Junos OS Version 23.2R1 unterstützen wir Ethernet VPN–Virtual Extensible LAN (EVPN-VXLAN) auf EVPN-VXLAN symmetrisches Typ-2-Routen-Stitching zwischen Datencenter-Netzwerken mithilfe von Data Center Interconnect (DCI). Ihr Netzwerk kann effizienter mit Datencenter-Netzwerken zusammenarbeiten, die Geräte anderer Anbieter enthalten, die symmetrisches Route Stitching vom Typ 2 unterstützen. Symmetrisches Routen-Stitching vom Typ 2 bedeutet, dass die VTEP-Schnittstellen (VXLAN Tunnel Endpoint) Routing und Bridging sowohl auf der Eingangs- als auch auf der Ausgangsseite des VXLAN-Tunnels durchführen.

    [Siehe Symmetrisches integriertes Routing und Bridging mit EVPN-Routen vom Typ 2 in EVPN-VXLAN-Fabrics.]

  • GBP-Tag-Propagation mit EVPN-VXLAN-zu-EVPN-VXLAN-Stitching (EX4650 und QFX10002) – Ab Junos OS Version 23.2R1 unterstützen wir die gruppenbasierte Richtlinien-Tag-Propagation (GBP) für EVPN-Typ-2- und Typ-5-Routen in einer zusammengefügten EVPN-VXLAN-Datencenter-Umgebung. GBP verwendet vorhandene Layer-3-VXLAN-Netzwerkkennungen (VNIs) in Verbindung mit Firewall-Filterrichtlinien, um unabhängig von der zugrunde liegenden Netzwerktopologie eine Mikrosegmentierung auf Geräte- oder Tag-Ebene bereitzustellen.

    [Siehe Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN.]

  • Herunterfahren der harten Schnittstelle, wenn ein Gerät EVPN-Core-Isolationsbedingungen erkennt (EX4100-24MP, EX4400-24MP, MX304, MX10003) – Ab Junos OS Version 23.2R1 können Sie ein Gerät so konfigurieren, dass zugeordnete Schnittstellen heruntergefahren werden (hartes Herunterfahren), wenn das Gerät ein EVPN-Core-Isolationsereignis erkennt. Gehen Sie in der CLI wie folgt vor:

    1. Definieren Sie ein Dienstnachverfolgungsprofil zum Erkennen von Core-Isolationsbedingungen.

    2. Legen Sie die link-down Dienstverfolgungsaktion im Profil fest.

    3. Weisen Sie das Profil den Schnittstellen zu, die das Gerät herunterfahren soll, nachdem es eine Core-Isolationsbedingung erkannt hat.

    Wir unterstützen die Nachverfolgung von Core-Isolationsdiensten in folgenden Bereichen:

    • Verknüpft mit Single-Homed Customer Edge (CE)-Geräten.

    • Ethernet Segment Identifier (ESI) LAG-Mitgliedsschnittstellen für mehrfach vernetzte CE-Geräte.

    [Siehe Layer 2 Interface Status Tracking and Shutdown Actions für EVPN Core Isolation Conditions, network-isolation und network-isolation-profile.]

  • EZ-LAG vereinfachte Konfiguration für ESI-LAGs mit EVPN Dual-Homing (EX4100-48MP, EX4100-24MP, EX4100-48P, EX4100-48T, EX4100-24P, EX4100-24T, EX4100-F-48P, EX4100-F-24P, EX4100-F-48T, EX4100-F-24T, EX4100-F-12P, EX4100 -F-12T, EX4300-MP, EX4400-24MP, EX4400-24P, EX4400-24T, EX4400-24X, EX4400-48F, EX4400-48MP, EX4400-48P, EX4400-48T, EX4650, QFX5120-32C, QFX5120-48T, QFX5120-48Y und QFX5120-48YM ) – Ab Junos OS Version 23.2R1 unterstützen wir eine neue CLI-Anweisungshierarchieebene, [edit services evpn]. Mithilfe von Anweisungen auf dieser Hierarchieebene können Sie die Geräteattribute und andere Parameter angeben, um ein Ethernet-Segment in einer EVPN-Fabric zu konfigurieren. Diese neue Konfigurationsfunktion, die wir EZ-LAG nennen, vereinfacht die Einrichtung von EVPN-Fabrics mit Ethernet Segment Identifier (ESI) Link Aggregation Groups (LAGs) für Dual-Homing-Peer-Provider-Edge-Geräte (PE).

    Wenn Sie eine Konfiguration auf dieser Hierarchieebene festschreiben, ruft das Gerät automatisch ein Commit-Skript auf, um eine entsprechende Konfiguration auf dem Gerät zu erstellen. Sie müssen einige obligatorische Elemente angeben. Sie können auch optionale Elemente einschließen. Für optionale Elemente, die Sie nicht angeben, leitet das Konfigurationsskript die optionalen Elemente ab (oder das Skript verwendet Standardparameter).

    Die resultierende Konfiguration enthält die entsprechenden Konfigurationszeilen, die den verschiedenen Elementen entsprechen, die Sie auf der Hierarchieebene [edit services evpn] angeben.

    Die neue Hierarchie enthält Optionen zum Überschreiben einiger Standardparameter, und Sie können die Einstellungen für das Commit-Skript überschreiben, indem Sie die zugehörigen Anweisungen manuell konfigurieren.

    [Siehe Einfache EVPN LAG (EZ-LAG)-Konfiguration und die Anweisung und Optionen evpn auf der Hierarchieebene [Dienste bearbeiten].]