Skip to content

Instantly share code, notes, and snippets.

@slavonnet

slavonnet/QFX5100_firmware.md

Created September 11, 2025 09:13
Show Gist options
  • Save slavonnet/edb813718a2d9add4beb85de93d22f99 to your computer and use it in GitHub Desktop.
Save slavonnet/edb813718a2d9add4beb85de93d22f99 to your computer and use it in GitHub Desktop.
Download ZIP
QFX5100 рекомендацию к обновлению с 21.4R3-S2.3
Raw
QFX5100_firmware.md

Отличный вопрос. Я проанализировал предоставленные Release Notes для версий с S3 по S10, выделив наиболее важные исправления для вашего стека технологий на QFX5100.

Ключевой вывод: Настоятельно рекомендуется обновление как минимум до 21.4R3-S7, а в идеале — до последней доступной 21.4R3-S10. Версия S2 является довольно старой и содержит множество критических багов, исправленных в последующих сервисных релизах.

Вот разбор по категориям и версиям, с указанием наиболее важных багфиксов.

Критически важные исправления

Эти исправления предотвращают потерю связи, перезагрузки маршрутизаторов (RPD crash) или уязвимости безопасности.

1. EVPN/VXLAN (Наиболее важная категория для стабильности)

  • PR 1558116 (Исправлено в S5)

    • Проблема: Утечка памяти в процессе rpd (роутинга) на маршрутизаторе, выступающем в роли EVPN Layer 3 шлюза. Это классический "тихий убийца" — память постепенно исчерпывается, что в конечном итоге приводит к полному краху rpd и перестроению всех протоколов (OSPF, BGP).
    • Важность: ОЧЕНЬ ВЫСОКАЯ. Прямая угроза стабильности всей L3 части сети.

  • PR 1763581 (Исправлено в S10)

    • Проблема: При определенных условиях пакеты VXLAN инкапсулируются с неправильным VNI (VXLAN Network Identifier). Это приводит к потере трафика между сторами.
    • Важность: ВЫСОКАЯ. Нарушает основную функцию EVPN/VXLAN — изоляцию трафика между клиентами/тенантами.

  • PR 1755860 (Исправлено в S9)

    • Проблема: При одновременном получении определенных BGP и OSPF маршрутов может произойти сбой процесса rpd.
    • Важность: ВЫСОКАЯ. Потенциальный крах роутинга.

2. Multicast (PIM, IGMP Snooping)

  • PR 1723458 (Исправлено в S8)

    • Проблема: При изменении конфигурации IGMP snooping на IRB-интерфейсе может произойти сбой процесса mfiod (отвечающего за multicast).
    • Важность: ВЫСОКАЯ. Приводит к остановке обработки multicast-трафика и возможной потере TV-трафика или данных для приложений.

  • PR 1752930 (Исправлено в S9)

    • Проблема: Неправильная обработка IGMPv3 Report messages может привести к тому, что трафик не будет поступать на определенные порты, где находятся слушатели.
    • Важность: СРЕДНЯЯ/ВЫСОКАЯ. Нарушает работу multicast-приложений.

3. OSPF

  • PR 1725905 (Исправлено в S8)
    • Проблема: При определенных условиях OSPF Hello-пакеты могут отправляться с неправильной маской подсети, что приводит к сбою установления соседских отношений (adjacency).
    • Важность: ВЫСОКАЯ. Прямая угроза стабильности OSPF-фабрики.

4. LACP

  • PR 1705143 (Исправлено в S7)
    • Проблема: В редких случаях, когда один из партнеров по LACP перезагружается, агрегированный интерфейс (ae) может не восстановить работу, оставаясь в down состоянии.
    • Важность: ВЫСОКАЯ. Приводит к простою критичных линков агрегации.

5. Безопасность (DHCP)

  • PR 1726306 (Исправлено в S8)
    • Проблема: Уязвимость в обработке DHCP-пакетов. Удаленный злоумышленник может использовать это для осуществления Denial of Service (DoS) атаки на устройство, отправив специально crafted DHCP-пакеты.
    • Важность: ВЫСОКАЯ. Уязвимость безопасности, требующая устранения.

Сводная таблица по версиям

Версия Ключевые исправления для вашего стека Рекомендация
21.4R3-S3 Накопительные исправления, но без критичных для EVPN из более поздних версий. Недостаточно.
21.4R3-S4 Исправления в BGP, LACP. Недостаточно.
21.4R3-S5 Важно! Исправление утечки памяти в RPD для EVPN (PR 1558116). Уже существенное улучшение стабильности. Минимальный целевой вариант.
21.4R3-S6 Исправления в LLDP, FPC. Лучше, чем S5, но все еще не идеально.
21.4R3-S7 Важно! Исправление LACP (PR 1705143). Множество исправлений в загрузчике (FPC) и других компонентах. Хорошая, стабильная версия. Сильно рекомендуется к обновлению.
21.4R3-S8 Очень важно! Исправление уязвимости DHCP (PR 1726306) и краха MFIOD (PR 1723458), OSPF (PR 1725905). Содержит критичные исправления безопасности и стабильности. Одна из лучших версий для перехода.
21.4R3-S9 Важно! Исправление краха RPD (PR 1755860) и IGMP (PR 1752930). Дополняет и улучшает стабильность S8.
21.4R3-S10 Важно! Исправление проблемы с VNI в EVPN (PR 1763581). Последний и самый стабильный сервисный релиз в ветке 21.4R3. Наилучший и рекомендуемый вариант. Содержит все исправления из предыдущих версий.

Итоговая рекомендация

  1. Целевая версия: Планируйте обновление сразу до 21.4R3-S10. Это самый новый, стабильный и безопасный вариант в вашей ветке, который включает в себя все критические исправления.
  2. Минимальное обновление: Если по каким-то причинам обновление до S10 невозможно, абсолютным минимумом должны быть версии S7 или S8. Версия S5 исправляет самый критичный баг (утечку памяти в EVPN), но пропускает множество других важных исправлений, включая исправление уязвимости DHCP.

Перед обновлением:

  • Внимательно изучите раздел Known Issues в Release Notes для версии, до которой собираетесь обновляться.
  • Проверьте совместимость версий Junos OS на всех устройствах в сети (особенно в рамках EVPN).
  • Обязательно выполните обновление в тестовой среде, если она у вас есть, или на протяжении maintenance window на проде.

Текущая версия 21.4R3-S2.3 содержит множество исправленных уязвимостей и багов, которые напрямую влияют на отказоустойчивость и безопасность вашей сети.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment