更改内容

了解此版本中针对 vSRX 所做的更改。

身份验证和访问控制

SHA-1 密码格式已弃用（ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— 我们已在层次结构级别删除了该 sha1 选项 [edit system login password format] ，因为纯文本密码加密不再支持 SHA-1。

网络管理和监控

对 NETCONF <edit-config> 的更改RPC 响应（ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— 当操作返回错误时 <edit-config> ，NETCONF 服务器不会在 RPC 响应中发出 <load-error-count> 元素。在早期版本中，RPC 响应在 <edit-config> 操作失败时包含该 <load-error-count> 元素。

VPN

弃用 IPsec 手动 VPN 配置声明（SRX 系列设备和运行 kmd 进程的 vSRX）— 从 Junos OS 版本 22.3R1 开始，我们将弃用手动 IPsec VPN（流模式）。这意味着您无法使用配置层次结构建立 [edit security ipsec vpn vpn-name manual] 手动 IPsec 安全关联（SA）。

作为此更改的一部分，我们将弃 [edit security ipsec vpn vpn-name manual] 用层次结构级别及其配置选项。

[见手册。
IPsec VPN 流量选择器路由从“静态路由”更改为“ARI-TS”路由（MX-SPC3、SRX 系列和运行 iked 进程的 vSRX）— 从 Junos OS 22.2R1 版开始，当使用流量选择器配置完成 IPsec 协商时，这些路由现在将安装为 ARI-TS（流量选择器的自动路由插入）路由，而不是静态路由。默认情况下，安装这些路由的路由首选项和指标与之前的实现相同。ARI-TS 路由插入为“[ARI-TS/5]”。

使用此方法，您可以更改 ARI-TS 路由的路由首选项，而不会影响其他路由协议。

[请参阅新的 ARI-TS 路由协议。]
在自签名证书（SRX 系列设备和 vSRX3.0）中包含 IPv6 地址 — 除了之前支持的 IPv4 地址外，我们还支持使用 IPv6 地址为给定的可分辨名称手动生成自签名证书。使用带有选项的 request security pki local-certificate generate-self-signed ipv6-address 命令将 IPv6 地址包含在自签名证书中。

[请参阅请求安全性 PKI 本地证书生成自签名（安全）。]
无法与 OCSP 服务器连接以进行吊销检查（SRX 系列设备和 vSRX）— 使用 OCSP 执行吊销检查时，如果 OCSP 服务器 URL 包含 DNS 服务器无法解析的域名，则 SRX 设备不会尝试与 OCSP 服务器连接。在这种情况下，当 SRX 设备无法与 OCSP 服务器建立连接并且设置了以下配置选项之一时，OCSP 吊销检查将允许或回退到使用 CRL：
- 设置安全 PKI CA 配置文件 OCSP 根撤销检查 OCSP 连接失败禁用
- 设置安全 pki ca-profile OCSP-ROOT 撤销检查 OCSP 连接失败回退-crl
当 SRX 设备无法与 OCSP 服务器建立连接并且未配置这些选项时，证书验证将失败。

[请参阅 ocsp（安全 PKI）。]