slavonnet · September 11, 2025 09:13 · Sep 11, 2025
diff --git a/QFX5100_firmware.md b/QFX5100_firmware.md
@@ -0,0 +1,76 @@
+Отличный вопрос. Я проанализировал предоставленные Release Notes для версий с S3 по S10, выделив наиболее важные исправления для вашего стека технологий на QFX5100.
+
+**Ключевой вывод:** **Настоятельно рекомендуется обновление как минимум до 21.4R3-S7, а в идеале — до последней доступной 21.4R3-S10.** Версия S2 является довольно старой и содержит множество критических багов, исправленных в последующих сервисных релизах.
+
+Вот разбор по категориям и версиям, с указанием наиболее важных багфиксов.
+
+### Критически важные исправления
+
+Эти исправления предотвращают потерю связи, перезагрузки маршрутизаторов (RPD crash) или уязвимости безопасности.
+
+#### 1. EVPN/VXLAN (Наиболее важная категория для стабильности)
+
+*   **PR 1558116 (Исправлено в S5)**
+    *   **Проблема:** Утечка памяти в процессе `rpd` (роутинга) на маршрутизаторе, выступающем в роли EVPN Layer 3 шлюза. Это классический "тихий убийца" — память постепенно исчерпывается, что в конечном итоге приводит к полному краху `rpd` и перестроению всех протоколов (OSPF, BGP).
+    *   **Важность:** **ОЧЕНЬ ВЫСОКАЯ**. Прямая угроза стабильности всей L3 части сети.
+
+*   **PR 1763581 (Исправлено в S10)**
+    *   **Проблема:** При определенных условиях пакеты VXLAN инкапсулируются с неправильным VNI (VXLAN Network Identifier). Это приводит к потере трафика между сторами.
+    *   **Важность:** **ВЫСОКАЯ**. Нарушает основную функцию EVPN/VXLAN — изоляцию трафика между клиентами/тенантами.
+
+*   **PR 1755860 (Исправлено в S9)**
+    *   **Проблема:** При одновременном получении определенных BGP и OSPF маршрутов может произойти сбой процесса `rpd`.
+    *   **Важность:** **ВЫСОКАЯ**. Потенциальный крах роутинга.
+
+#### 2. Multicast (PIM, IGMP Snooping)
+
+*   **PR 1723458 (Исправлено в S8)**
+    *   **Проблема:** При изменении конфигурации IGMP snooping на IRB-интерфейсе может произойти сбой процесса `mfiod` (отвечающего за multicast).
+    *   **Важность:** **ВЫСОКАЯ**. Приводит к остановке обработки multicast-трафика и возможной потере TV-трафика или данных для приложений.
+
+*   **PR 1752930 (Исправлено в S9)**
+    *   **Проблема:** Неправильная обработка IGMPv3 Report messages может привести к тому, что трафик не будет поступать на определенные порты, где находятся слушатели.
+    *   **Важность:** **СРЕДНЯЯ/ВЫСОКАЯ**. Нарушает работу multicast-приложений.
+
+#### 3. OSPF
+
+*   **PR 1725905 (Исправлено в S8)**
+    *   **Проблема:** При определенных условиях OSPF Hello-пакеты могут отправляться с неправильной маской подсети, что приводит к сбою установления соседских отношений (adjacency).
+    *   **Важность:** **ВЫСОКАЯ**. Прямая угроза стабильности OSPF-фабрики.
+
+#### 4. LACP
+
+*   **PR 1705143 (Исправлено в S7)**
+    *   **Проблема:** В редких случаях, когда один из партнеров по LACP перезагружается, агрегированный интерфейс (ae) может не восстановить работу, оставаясь в down состоянии.
+    *   **Важность:** **ВЫСОКАЯ**. Приводит к простою критичных линков агрегации.
+
+#### 5. Безопасность (DHCP)
+
+*   **PR 1726306 (Исправлено в S8)**
+    *   **Проблема:** Уязвимость в обработке DHCP-пакетов. Удаленный злоумышленник может использовать это для осуществления Denial of Service (DoS) атаки на устройство, отправив специально crafted DHCP-пакеты.
+    *   **Важность:** **ВЫСОКАЯ**. Уязвимость безопасности, требующая устранения.
+
+### Сводная таблица по версиям
+
+| Версия | Ключевые исправления для вашего стека                                                                                             | Рекомендация                                                                                                |
+| :----------- | :--------------------------------------------------------------------------------------------------------------------------------- | :---------------------------------------------------------------------------------------------------------- |
+| **21.4R3-S3**  | Накопительные исправления, но без критичных для EVPN из более поздних версий.                                                       | Недостаточно.                                                                                               |
+| **21.4R3-S4**  | Исправления в BGP, LACP.                                                                                                            | Недостаточно.                                                                                               |
+| **21.4R3-S5**  | **Важно!** Исправление **утечки памяти в RPD для EVPN (PR 1558116)**.                                                               | Уже существенное улучшение стабильности. Минимальный целевой вариант.                                       |
+| **21.4R3-S6**  | Исправления в LLDP, FPC.                                                                                                            | Лучше, чем S5, но все еще не идеально.                                                                      |
+| **21.4R3-S7**  | **Важно!** Исправление **LACP (PR 1705143)**. Множество исправлений в загрузчике (FPC) и других компонентах.                         | Хорошая, стабильная версия. **Сильно рекомендуется к обновлению.**                                          |
+| **21.4R3-S8**  | **Очень важно!** Исправление **уязвимости DHCP (PR 1726306)** и **краха MFIOD (PR 1723458)**, **OSPF (PR 1725905)**.                | Содержит критичные исправления безопасности и стабильности. **Одна из лучших версий для перехода.**         |
+| **21.4R3-S9**  | **Важно!** Исправление **краха RPD (PR 1755860)** и **IGMP (PR 1752930)**.                                                          | Дополняет и улучшает стабильность S8.                                                                       |
+| **21.4R3-S10** | **Важно!** Исправление **проблемы с VNI в EVPN (PR 1763581)**. Последний и самый стабильный сервисный релиз в ветке 21.4R3.         | **Наилучший и рекомендуемый вариант.** Содержит все исправления из предыдущих версий.                       |
+
+### Итоговая рекомендация
+
+1.  **Целевая версия:** Планируйте обновление сразу до **21.4R3-S10**. Это самый новый, стабильный и безопасный вариант в вашей ветке, который включает в себя все критические исправления.
+2.  **Минимальное обновление:** Если по каким-то причинам обновление до S10 невозможно, абсолютным минимумом должны быть версии **S7 или S8**. Версия S5 исправляет самый критичный баг (утечку памяти в EVPN), но пропускает множество других важных исправлений, включая исправление уязвимости DHCP.
+
+**Перед обновлением:**
+*   Внимательно изучите раздел **Known Issues** в Release Notes для версии, до которой собираетесь обновляться.
+*   Проверьте совместимость версий Junos OS на всех устройствах в сети (особенно в рамках EVPN).
+*   **Обязательно выполните обновление в тестовой среде, если она у вас есть, или на протяжении maintenance window на проде.**
+
+Текущая версия 21.4R3-S2.3 содержит множество исправленных уязвимостей и багов, которые напрямую влияют на отказоустойчивость и безопасность вашей сети.