更改内容
了解此版本中针对 vSRX 所做的更改。
身份验证和访问控制
-
SHA-1 密码格式已弃用(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 我们已在层次结构级别删除了该
sha1
选项[edit system login password format]
,因为纯文本密码加密不再支持 SHA-1。
网络管理和监控
-
对 NETCONF
<edit-config>
的更改RPC 响应(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 当操作返回错误时<edit-config>
,NETCONF 服务器不会在 RPC 响应中发出<load-error-count>
元素。在早期版本中,RPC 响应在<edit-config>
操作失败时包含该<load-error-count>
元素。
VPN
-
弃用 IPsec 手动 VPN 配置声明(SRX 系列设备和运行 kmd 进程的 vSRX)— 从 Junos OS 版本 22.3R1 开始,我们将弃用手动 IPsec VPN(流模式)。这意味着您无法使用配置层次结构建立
[edit security ipsec vpn vpn-name manual]
手动 IPsec 安全关联 (SA)。作为此更改的一部分,我们将弃
[edit security ipsec vpn
用层次结构级别及其配置选项。vpn-name
manual][见 手册。
-
IPsec VPN 流量选择器路由从“静态路由”更改为“ARI-TS”路由(MX-SPC3、SRX 系列和运行 iked 进程的 vSRX)— 从 Junos OS 22.2R1 版开始,当使用流量选择器配置完成 IPsec 协商时,这些路由现在将安装为 ARI-TS(流量选择器的自动路由插入)路由,而不是静态路由。默认情况下,安装这些路由的路由首选项和指标与之前的实现相同。ARI-TS 路由插入为“[ARI-TS/5]”。
使用此方法,您可以更改 ARI-TS 路由的路由首选项,而不会影响其他路由协议。
[请参阅 新的 ARI-TS 路由协议。]
-
在自签名证书(SRX 系列设备和 vSRX3.0)中包含 IPv6 地址 — 除了之前支持的 IPv4 地址外,我们还支持使用 IPv6 地址为给定的可分辨名称手动生成自签名证书。使用带有选项的
request security pki local-certificate generate-self-signed
ipv6-address
命令将 IPv6 地址包含在自签名证书中。[请参阅 请求安全性 PKI 本地证书生成自签名(安全)。]
- 无法与 OCSP 服务器连接以进行吊销检查(SRX 系列设备和 vSRX)— 使用 OCSP 执行吊销检查时,如果 OCSP 服务器 URL 包含 DNS 服务器无法解析的域名,则 SRX 设备不会尝试与 OCSP 服务器连接。在这种情况下,当 SRX 设备无法与 OCSP 服务器建立连接并且设置了以下配置选项之一时,OCSP 吊销检查将允许或回退到使用 CRL:
- 设置安全 PKI CA 配置文件 OCSP 根撤销检查 OCSP 连接失败禁用
- 设置安全 pki ca-profile OCSP-ROOT 撤销检查 OCSP 连接失败回退-crl
当 SRX 设备无法与 OCSP 服务器建立连接并且未配置这些选项时,证书验证将失败。
[请参阅 ocsp(安全 PKI)。]