更改内容

EVPN ELAN 服务的流标签配置状态 命令 show evpn instance extensive 的输出现在显示设备的流标签和流标签静态操作状态，而不显示路由实例的流标签静态操作状态。已启用 flow-label 的设备支持流感知传输 （FAT） 流标签，并向其邻居播发其支持。已启用 flow-label-static 的设备支持 FAT 流标签，但不通告其功能。

在 ping 叠加或跟踪路由叠加操作中指定 UDP 源端口 — 在 22.4R1 之前的 Junos OS 版本中，您无法在 ping 叠加或跟踪路由叠加操作中配置 udp 源端口。现在，您可以使用 在 hashEVPN-VXLAN 环境中配置此值。配置选项 hash 将覆盖可用于确定源端口值的任何其他 hash-* 选项。

PMI 模式直通 ESP 流量：从 Junos OS 22.1R3 版开始，我们支持 PMI 快速路径处理 SRX4100、SRX4200 和 vSRX 上的直通 ESP 流量。

针对内容安全的流会话操作命令支持（SRX 系列和 vSRX）— 我们扩展 show security flow session 了操作命令支持，以查看内容过滤和 Web 过滤内容安全功能的详细信息。

[请参阅 显示安全流会话。]

订阅资源路径 /junos/system/linecard/environment 时，收集器端流路径的前缀显示为 /junos/linecard/environment。此问题已在 Junos OS 23.1R1 和 Junos OS 演化版 23.1R1 中得到解决，订阅路径和流式传输路径匹配以显示 /junos/system/linecard/environment。

本地证书验证的时区支持（SRX1500 和 SRX5600）— 从此版本开始，当本地证书验证失败时，您可以在命令输出和系统日志消息中看到失败的本地证书的时区。

数据包捕获现在称为控制平面数据包捕获（SRX 系列）— 从 Junos OS 23.1R1 版本开始，我们已在“设备管理”菜单下将“数据包捕获”重命名为“控制平面数据包捕获”。您可以使用此页面捕获和分析路由器上的控制平面流量。

[请参阅 控制平面数据包捕获。]

operator 登录类被限制查看以下 no-world-readable NETCONF 跟踪文件（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— 在层次结构级别配置 [edit system services netconf traceoptions] NETCONF 跟踪选项并通过设置或省略 no-world-readable 语句（默认值）来限制对文件所有者的文件访问时，分配给 operator 登录类的用户无权查看跟踪文件。

支持 junos:cli-feature YANG 扩展（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— cli-feature YANG 扩展标识与某些命令选项和配置语句关联的某些 CLI 属性。定义配置或 RPC 的 Junos YANG 模块在适当情况下会在 cli-feature 随扩展发出的架构中包含扩展语句。当客户端使用 YANG 数据模型时，此扩展非常有用，但对于某些工作流，客户端需要生成基于 CLI 的工具。

[ 请参阅了解 Junos DDL 扩展 YANG 模块。]

XML 标记中的get-system-yang-packagesRPC 回复已更改（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— RPC 回复将get-system-yang-packages标记proxy-xml-yang-modules替换为 xmlproxy-yang-modules XML 输出中的标记。

操作删除不存在的配置对象（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）时operation="delete"对 NETCONF 服务器元素<rpc-error>的更改 — 我们更改<rpc-error>了 NETCONF 服务器在 or <load-configuration> 操作用于operation="delete"删除目标配置中不存在的配置元素时返回<edit-config>的响应。错误严重性为错误而不是警告，元素<rpc-error>包括<error-tag>data-missing</error-tag>和<error-type>application</error-type>元素。

弃用与证书注册 （Junos） 相关的选项 — 从 Junos OS 版本 23.2R1 开始，我们将弃用与公钥基础架构 （PKI） 相关的早期 CLI 选项，以便通过简单证书注册协议 （SCEP） 注册和重新注册本地证书。下表显示了 Junos CLI 命令和配置语句，其中的选项已弃用。您可以在这些命令和语句中的选项下 scep 找到现在可用的相同 CLI 选项。

[请参阅 自动重新注册（安全）、 请求安全 PKI 本地证书注册 scep 和 请求安全 PKI 节点本地证书注册。]

更改远程访问配置文件名称的格式（SRX 系列和 vSRX 3.0）— 从 Junos OS 23.1R1 版开始，我们更改了远程访问配置文件名称的格式，以增强最终用户使用瞻博网络安全连接的体验。在 Junos OS 23.1R1 版之前的版本中，您可以使用 [edit security remote-access profile realm-name] 层级的领域名称配置远程访问配置文件名称。但是，当组织连接到多个网关时，在远程访问连接配置文件中多次使用远程访问配置文件名称（如 hr）变得无法管理。

为了解决此问题，我们引入了一种用于配置远程访问配置文件名称的新约定。现在，您可以在 [edit security remote-access profile realm-name] 层次结构级别使用以下任何格式配置带有 URL 的配置文件名称，以便最终用户可以连接到相关网关：

• FQDN/RealmName

• FQDN

• IP address/RealmName

• IP address

例如，您现在可以将 ra.example.com/hr、 ra1.example.com/hr 和 ra.example.com 用作领域名称。

引入此约定后，我们需要弃用 [edit security remote-access] 层次结构级别的现有default-profile选项。远程访问配置文件名称将引用具有 FQDN 或 IP 地址的 URL，具体取决于最终用户的连接方式，例如，ra.example.com/hr、ra.example.com、192.168.1.10/hr 或 192.168.1.10。通过此更改，最终用户现在将在瞻博网络安全连接应用程序中看到的连接配置文件名称为 ra.example.com/hr 而不是 hr，就像在早期版本中一样。

在现有部署中，为确保此更改顺利过渡，我们建议您使用以下命令在 [] 层次结构级别将当前配置中的配置文件名称 hr 修改为 ra.example.com/hredit 或 192.168.1.10/hr -

[参见 配置文件（瞻博网络安全连接）。]

本地最终实体 （EE） 证书（SRX300、SRX320、SRX550HM、SRX1500、SRX4100、SRX4600、SRX5400、SRX5600、SRX5800）自动重新注册的增强功能— 从 Junos OS 23.2R1 版开始，该选项 re-enroll-trigger-time-percentage 变为可选选项。但是，您必须配置 re-enroll-time 或 re-enroll-trigger-time-percentage 才能 commit-check 成功。

[请参阅 自动重新注册（安全性）。]

删除 IPsec VPN（SRX 系列）中的电源模式 IPsec Intel QAT 选项 — 我们已从 Junos CLI 中删除了 [edit security flow] 层次结构级别的选项power-mode-ipsec-qat以进行显示。此选项现已隐藏，因为不建议配置多个 IPsec VPN 隧道。我们 继续 在 PMI 模式 下 使用 AES-NI， 以获得 比 QAT 更好的 性能。

[请参阅 使用电源模式 IPsec 提高 IPsec 性能。]

远程访问 VPN 解决方案（SRX 系列和 vSRX 3.0）选项不可用 default-profile— 从 Junos OS 版本 23.1R1 开始，我们在 [edit security remote-access] 层次结构级别隐藏了该default-profile选项。在 Junos OS 23.1R1 版之前的版本中，您可以使用此选项将其中一个远程访问配置文件指定为瞻博网络安全连接中的默认配置文件。但是，随着远程访问配置文件名称格式的更改，我们不再需要该default-profile选项。

我们已弃用该 default-profile 选项（而不是立即将其删除），以提供向后兼容性，并有机会使现有配置符合更改后的配置。如果继续使用 default-profile配置中的选项，您将收到一条警告消息。但是，修改当前配置不会影响现有部署。

在现有部署中，为确保此更改顺利过渡，我们建议您使用以下命令在 [] 层次结构级别将当前配置 hr 中的配置文件名称修改为 ra.example.com/hr 或 192.168.1.10edit/hr -

对于新配置，请考虑以下方案，以根据最终用户使用瞻博网络安全连接应用程序的连接方式创建新的远程访问配置文件：

• 如果最终用户使用 IP 地址进行连接，请在配置文件名称中指定 IP 地址。

• 如果最终用户使用 FQDN 进行连接，请在配置文件名称中指定 FQDN。

• 如果需要分隔具有不同领域值（如 hr）的用户，请将 /hr 追加到 IP 地址或 FQDN，如下所示：

  • [edit security remote-access profile ra.example.net/hr]

  • [edit security remote-access profile 192.168.1.10/hr]

[请参见默认配置文件（瞻博网络安全连接）。

远程访问 VPN 解决方案不支持十六进制预共享（SRX 系列和 vSRX 3.0）— 对于远程访问 VPN 解决方案，对于基于预共享密钥的身份验证方法，我们支持 ASCII 文本格式。这意味着，请勿在远程访问 VPN 解决方案的配置中使用六边形格式的预共享密钥。因此，请在层次结构级别使用 [edit security ike policy policy-name pre-shared-key] ASCII 文本格式配置语句ascii-text，以便与瞻博网络安全连接配合使用。

SCEP PKI 证书注册的增强功能 — 逻辑系统选项已添加到 SCEP PKI 证书注册。

[请参阅 请求安全 PKI 本地证书注册 scep。

IPsec VPN IKE 协商中证书请求有效负载的更改（SRX 系列）— 对于在 IKE 策略中为 IKE SA 协商配置的可信 ca/ca-profile，该 IKE SA 协商的证书请求有效负载将包含与该受信任的 ca/ca-profile 关联的 CA 证书。例如，对于 IKE 策略中的可信 ca/ca-profile ，使用此 edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority IKE 策略 policy-name 的 IKE SA 协商的证书请求有效负载将包含 CA certificate-authority的 CA 证书。

通过 SSL 代理（SRX 系列和 vSRX 3.0）提供有限的 ECDSA 证书支持 — 通过在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理，

• 任何根 CA 证书都无法访问具有 P-384/P-521 服务器证书的基于 ECDSA 的网站，因为安全设备仅限于支持 P-256 组。

• 配置基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书后，由于 SSL 终结器是与 RSA 协商的，因此无法访问所有 ECDSA 网站，这就是安全设备在进行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg 的原因。要确保可以访问基于 ECDSA 和基于 RSA 的网站以及 RSA 根证书，请配置 256 位 ECDSA 根证书。

• 在某些情况下，即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器不支持 P-256 组，也无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。

• 在其他情况下，即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书，如果服务器支持 P-256 以外的 sigalg，则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在签名验证失败的硬件卸载模式下会出现此问题。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载，因此如果使用 22.1R1 之前发布的 Junos OS，则不会出现此问题。此外，如果在软件中处理 ECDSA 证书的 SSL 代理，则看不到此问题。