新变化

EVPN ELAN 服务的流标签配置状态 命令的 show evpn instance extensive 输出现在显示设备的流标签和流标签静态作状态，而不显示路由实例的流标签和流标签静态作状态。启用 flow-label 的设备支持流感知传输 （FAT） 流标签，并向其邻居播发其支持。启用 flow-label-static 的设备支持 FAT 流标签，但不会播发其功能。

在 ping 叠加或 traceroute 叠加作中指定 UDP 源端口 — 在 22.4R1 之前的 Junos OS 版本中，您无法在 ping 叠加或 traceroute 叠加作中配置 udp 源端口。您现在可以使用 在 EVPN-VXLAN 环境中配置 hash此值。配置选项 hash 将覆盖可能用于确定源端口值的任何其他哈希* 选项。

PMI 模式直通 ESP 流量：从 Junos OS 版本 22.1R3 开始，我们支持对 SRX4100、SRX4200 和 vSRX 上的直通 ESP 流量进行 PMI 快速路径处理。

流会话作命令对内容安全的支持（SRX 系列和 vSRX）— 我们扩展 show security flow session 了作命令支持，可查看内容过滤和 Web 过滤内容安全功能的详细信息。

[请参阅 显示安全流会话。]

本地证书验证的时区支持（SRX1500 和 SRX5600） — 从此版本开始，当本地证书验证失败时，您可以在命令输出和系统日志消息中看到本地证书失败的时区。

数据包捕获现在称为控制平面数据包捕获（SRX 系列）— 从 Junos OS 23.1R1 版开始，我们已在“设备管理”菜单下将“数据包捕获”重命名为“控制平面数据包捕获”。您可以使用此页面捕获并分析路由器上的控制平面流量。

[请参阅 控制平面数据包捕获。]

operator 登录名类被限制查看符合以下 no-world-readable 条件的 NETCONF 追踪文件（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— 在 [edit system services netconf traceoptions] 层次结构级别配置 NETCONF 追踪选项并通过设置或省略 no-world-readable 语句（默认设置）来限制文件所有者对文件的访问时，分配给 operator 登录名类的用户将无权查看追踪文件。

支持 junos:cli-feature YANG 扩展（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— cli-feature YANG 扩展可识别与某些命令选项和配置语句关联的某些 CLI 属性。定义配置或 RPC 的 Junos YANG 模块可适当地在随扩展发出的架构中包括 cli-feature 扩展语句。当客户端使用 YANG 数据模型时，此扩展很有用，但对于某些工作流，客户端需要生成基于 CLI 的工具。

[请参阅 了解 Junos DDL 扩展 YANG 模块。]

XML 标记中 get-system-yang-packages RPC 回复已更改（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）- get-system-yang-packages RPC 回复将标记替换 xmlproxy-yang-modules 为 proxy-xml-yang-modules XML 输出中的标记。

作删除不存在的配置对象时operation="delete"对 NETCONF 服务器<rpc-error>元素的更改（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）—我们更改<rpc-error>了 或作用于operation="delete"删除目标配置中不存在的配置元素时 <edit-config> <load-configuration> NETCONF 服务器返回的响应。错误严重性是 error 而不是 warning，并且<rpc-error>元素包括 and <error-tag>data-missing</error-tag> <error-type>application</error-type> 元素。

弃用与证书注册相关的选项 （Junos） - 从 Junos OS 23.2R1 版开始，我们将弃用与公钥基础架构 （PKI） 相关的早期 CLI 选项，以通过简单证书注册协议 （SCEP） 注册和重新注册本地证书。下表显示了 Junos CLI 命令和配置语句以及即将弃用的选项。您可以在这些命令和语句的 option 下 scep 找到相同的 CLI 选项。

[请参阅 自动重新注册（安全）、 请求安全 PKI 本地证书注册 scep 和 请求安全 PKI 节点本地本地证书注册。]

更改远程访问配置文件名称的格式（SRX 系列和 vSRX 3.0）— 从 Junos OS 23.1R1 版开始，我们更改了远程访问配置文件名称的格式，以增强使用瞻博网络安全连接的最终用户体验。在 Junos OS 23.1R1 之前的版本中，您可以在 [edit security remote-access profile realm-name] 层级使用领域名称来配置远程访问配置文件名称。但是，当组织连接到多个网关时，在远程访问连接配置文件中多次使用远程访问配置文件名称（如 hr）变得难以管理。

为了解决此问题，我们引入了用于配置远程访问配置文件名称的新约定。您现在可以在 [edit security remote-access profile realm-name] 层级使用以下任一格式配置带有 URL 的配置文件名称，以便最终用户可以连接到相关网关：

• FQDN/RealmName

• FQDN

• IP address/RealmName

• IP address

例如，您现在可以将 ra.example.com/hr、 ra1.example.com/hr 和 ra.example.com 用作领域名称。

引入此约定后，我们需要在 [edit security remote-access] 层次结构级别弃用现有default-profile选项。远程访问配置文件名称将引用具有 FQDN 或 IP 地址的 URL，具体取决于最终用户的连接方式（例如，ra.example.com/hr、ra.example.com、192.168.1.10/小时或 192.168.1.10。通过此更改，最终用户现在将在 瞻博网络安全连接 应用程序中看到连接配置文件名称为 ra.example.com/hr，而不是像早期版本中那样的 hr。

在现有部署中，为了确保此更改的平稳过渡，我们建议您使用以下命令将当前配置中的配置文件名称 hr 修改为 [edit] 层次结构级别的 ra.example.com/hr 或 192.168.1.10/hr -

[请参阅配置文件（瞻博网络安全连接）。

本地最终实体 （EE） 证书（SRX300、SRX320、SRX550HM、SRX1500、SRX4100、SRX4600、SRX5400、SRX5600、SRX5800）的增强功能 - 从 Junos OS 版本 23.2R1 开始，该选项re-enroll-trigger-time-percentage变为可选选项。但必须配置其中之一re-enroll-time，或 re-enroll-trigger-time-percentage 才能成功。commit-check

[请参阅 自动重新注册（安全）。]

移除电源模式 IPsec VPN 中的 IPsec Intel QAT 选项（SRX 系列）— 我们已从 Junos CLI 中删除了 [edit security flow] 层级的选项power-mode-ipsec-qat以供显示。此选项现在已隐藏，因为不建议配置多个 IPsec VPN 隧道。我们继续在PMI模式下使用AES-NI，以获得比QAT更好的性能。

[请参阅 使用 PowerMode IPsec 提高 IPsec 性能。]

远程访问 VPN 解决方案（SRX 系列和 vSRX 3.0）的选项不可用 default-profile- 从 Junos OS 23.1R1 版开始，我们在 [edit security remote-access] 层级隐藏了default-profile该选项。在 Junos OS 23.1R1 之前的版本中，您可以使用此选项将其中一个远程访问配置文件指定为瞻博网络安全连接中的默认配置文件。但是，随着远程访问配置文件名称格式的更改，我们不再需要该default-profile选项。

我们已弃用该 default-profile 选项，而不是立即将其删除，以提供向后兼容性，并有机会使现有配置符合更改后的配置。如果您继续在配置中使用该 default-profile选项，您将收到一条警告消息。但是，修改当前配置不会影响现有部署。

在现有部署中，为确保此更改顺利过渡，建议使用以下命令将当前配置 hr 中的配置文件名称修改为 [edit] 层次结构级别的 ra.example.com/hr 或 192.168.1.10/hr -

对于新配置，请考虑以下方案，以根据最终用户使用瞻博网络安全连接应用的连接方式创建新的远程访问配置文件：

• 如果最终用户使用 IP 地址进行连接，请在配置文件名称中指定 IP 地址。

• 如果最终用户使用 FQDN 进行连接，请在配置文件名称中指定 FQDN。

• 如果需要使用不同的领域值（ 如 hr）分隔用户，请将 /hr 追加到 IP 地址或 FQDN，如下所示：

  • [edit security remote-access profile ra.example.net/hr]

  • [edit security remote-access profile 192.168.1.10/hr]

[请参阅 default-profile （瞻博网络安全连接）。

远程访问 VPN 解决方案不支持十六进制预共享（SRX 系列和 vSRX 3.0）— 对于基于预共享密钥的身份验证方法，远程访问 VPN 解决方案支持 ASCII 文本格式。这意味着，在远程访问 VPN 解决方案的配置中，不要对预共享密钥使用十六进制格式。因此，请在[edit security ike policy policy-name pre-shared-key]层次结构级别将语句ascii-text配置为 ASCII 文本格式，以便与瞻博网络安全连接配合使用。

增强 SCEP PKI 证书注册 - 逻辑系统选项已添加到 SCEP PKI 证书注册中。

[请参阅 请求安全 PKI 本地证书注册 scep。

IPsec VPN IKE 协商（SRX 系列）中证书请求有效负载的更改 — 对于在 IKE 策略中为 IKE SA 协商配置的 trusted-ca/ca-profile，该 IKE SA 协商的证书请求有效负载将包含与该 trusted-ca/ca-profile 关联的 CA 证书。例如，对于 IKE 策略中的 edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority trusted-ca/ca-profile ，使用此 IKE 策略 policy-name 的 IKE SA 协商的证书请求有效负载将包含 CA certificate-authority的 CA 证书。

使用 SSL 代理的有限 ECDSA 证书支持（SRX 系列和 vSRX 3.0）— 在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理时，

• 具有 P-384/P-521 服务器证书的基于 ECDSA 的网站无法使用任何 root-ca 证书访问，因为安全设备有限制，只能支持 P-256 组。

• 当配置了基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书时，由于 SSL-Terminator 是与 RSA 协商的，因此将无法访问所有 ECDSA 网站，这就是为什么安全设备在执行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg。为确保 ECDSA 和基于 RSA 的网站都可以与 RSA 根证书一起访问，请配置 256 位 ECDSA 根证书。

• 在某些情况下，即使 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器不支持 P-256 组，则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。

• 在其他情况下，即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器支持 P-256 以外的 sigalg，则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在硬件卸载模式下出现此问题，签名验证失败。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载，因此如果使用 22.1R1 之前发布的 Junos OS，则不会出现此问题。此外，如果在软件中处理 ECDSA 证书的 SSL 代理，则不会出现此问题。