Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

更改内容

了解此版本中针对 SRX 系列的更改。

身份验证和访问控制

  • SHA-1 密码格式已弃用(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 我们已在层次结构级别删除了该 sha1 选项 [edit system login password format] ,因为纯文本密码加密不再支持 SHA-1。

网络地址转换 (NAT)

网络管理和监控

  • 对 NETCONF <edit-config> 的更改RPC 响应(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 当操作返回错误时 <edit-config> ,NETCONF 服务器不会在 RPC 响应中发出 <load-error-count> 元素。在早期版本中,RPC 响应在 <edit-config> 操作失败时包含该 <load-error-count> 元素。

SSL 代理

  • SSL 会话恢复期间无会话缓存条目存储(SRX 系列设备)— 当 SSL 会话尝试重新启动完全握手而服务器拒绝该会话恢复时,会话缓存不存储会话信息并保持为空。在客户端设备使用 TLS1.1 版本且服务器使用 TLS1.3(最大)版本的设置中会出现此问题。

    在 Junos OS 22.1R1 版及更高版本中,即使会话恢复被拒绝,会话缓存也会存储会话信息,您可以使用命令查看 show services ssl proxy session-cache entries summary 会话缓存条目。

Vpn

  • 弃用 IPsec 手动 VPN 配置声明(SRX 系列设备和运行 kmd 进程的 vSRX)— 从 Junos OS 22.2R1 版开始,我们将弃用手动 IPsec VPN(流模式)。这意味着您无法使用配置层次结构建立 [edit security ipsec vpn vpn-name manual] 手动 IPsec 安全关联 (SA)。

    作为此更改的一部分,我们将弃 [edit security ipsec vpn vpn-name manual] 用层次结构级别及其配置选项。

    [见 手册

  • IPsec VPN 流量选择器路由从“静态路由”更改为“ARI-TS”路由(MX-SPC3、SRX 系列和运行 iked 进程的 vSRX)— 从 Junos OS 22.2R1 版开始,当使用流量选择器配置完成 IPsec 协商时,这些路由现在将安装为 ARI-TS(流量选择器的自动路由插入)路由,而不是静态路由。默认情况下,安装这些路由的路由首选项和指标与之前的实现相同。ARI-TS 路由插入为“[ARI-TS/5]”。

    使用此方法,您可以更改 ARI-TS 路由的路由首选项,而不会影响其他路由协议。

    [请参阅 新的 ARI-TS 路由协议。]

  • 在自签名证书(SRX 系列设备和 vSRX3.0)中包含 IPv6 地址 — 除了之前支持的 IPv4 地址外,我们还支持使用 IPv6 地址为给定的可分辨名称手动生成自签名证书。使用带有选项的 request security pki local-certificate generate-self-signed ipv6-address 命令将 IPv6 地址包含在自签名证书中。

    [请参阅 请求安全性 PKI 本地证书生成自签名(安全)。]

  • 无法与 OCSP 服务器连接以进行吊销检查(SRX 系列设备和 vSRX)— 使用 OCSP 执行吊销检查时,如果 OCSP 服务器 URL 包含 DNS 服务器无法解析的域名,则 SRX 设备不会尝试与 OCSP 服务器连接。在这种情况下,当 SRX 设备无法与 OCSP 服务器建立连接并且设置了以下配置选项之一时,OCSP 吊销检查将允许或回退到使用 CRL:
    • 设置安全 PKI CA 配置文件 OCSP 根撤销检查 OCSP 连接失败禁用
    • 设置安全 pki ca-profile OCSP-ROOT 撤销检查 OCSP 连接失败回退-crl

    当 SRX 设备无法与 OCSP 服务器建立连接并且未配置这些选项时,证书验证将失败。

    [请参阅 ocsp(安全 PKI)。]

VPLS

  • 当配置了带监管器操作的输出过滤器时,VPLS 接口上的输出字节无增量(SRX 系列设备)— 当您将设备升级到 Junos OS 版本 19.4R3-S1 或更高版本,并且 VPLS 接口具有应用了监管器操作的输出过滤器时,VPLS 接口不会传递流量。由于此问题,该接口上的输出字节不会递增,当您使用输出显示 show interfaces <interface-name> extensive | no-more 详细信息时,VPLS 接口会将输出字节显示为 0。在 Junos OS 22.2R1 版中, show interfaces <interface-name> extensive | no-more 命令输出显示正确的详细信息。