版本 21.4R3 中的变化
基于流的数据包处理
-
无法与 OCSP 服务器连接以进行撤销检查(SRX 系列设备和 vSRX)— 使用 OCSP 执行撤销检查时,当 OCSP 服务器 URL 包含 DNS 服务器无法解析的域名时,SRX 设备不会尝试与 OCSP 服务器连接。在这种情况下,当 SRX 设备无法与 OCSP 服务器建立连接并且设置了以下配置选项之一时,OCSP 撤销检查将允许或回退使用 CRL:u
-
设置安全 pki ca-profile OCSP-ROOT 撤销-检查 ocsp 连接故障禁用
-
设置安全 pki ca-profile OCSP-ROOT 撤销-检查 ocsp 连接故障回退-crl
当 SRX 设备无法建立与 OCSP 服务器的连接时,如果未配置这些选项,则证书验证将失败。
[请参阅 ocsp(安全 PKI)。]
-
-
GRE 的 TCP-MSS 覆盖优先级(SRX 系列和 vSRX 3.0)—
在 SRX 系列防火墙和 vSRX 虚拟防火墙上,传输控制协议最大分段大小 (TCP-MSS) 可能不会在 GRE over IPsec 方案 (GREoIPsec) 中覆盖。这可能会导致网络分片更多,因为 GREoIPsec 流量不会为 TCP-MSS 修改。为了确保 TCP-MSS 与 GREoIPsec 配合使用,请确保按以下顺序(最高到最低)设置应用于 TCP 流量的 MSS 的优先级:
-
gre-in
并gre-out
基于 GREOIPSec TCP 流量的方向 -
ipsec-vpn
用于 GREoIPsec 和 IPsec 流量。 -
all-tcp
所有 tcp 流量的流量。
-
网络管理和监控
-
NETCONF
<edit-config>
的变更RPC 响应(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 当操作返回错误时<edit-config>
,NETCONF 服务器不会在 RPC 响应中发出<load-error-count>
元素。在早期版本中,当操作失败时,<edit-config>
RPC 响应会包含<load-error-count>
元素。
平台和基础架构
-
设备不会丢弃服务器证书链超过 6 的会话。PR1663062
统一威胁管理 (UTM)
-
内容过滤 CLI 更新(SRX 系列和 vSRX)— 我们对内容过滤 CLI 进行了以下更新:
- 削减了内容过滤规则匹配标准支持的文件类型列表。现在,只有一个字符串表示所有变体,而不是以唯一
file-type
方式表示文件类型的不同变体。因此,show security utm content-filtering statistics
输出也会更新,使其与规则匹配标准中提供的新文件类型保持一致。 - 已将内容过滤安全日志记录选项
seclog
重命名为log
与 Junos OS 配置标准匹配。 - 改述了
reason
与内容过滤安全日志消息关联的字符串。
- 削减了内容过滤规则匹配标准支持的文件类型列表。现在,只有一个字符串表示所有变体,而不是以唯一