更改内容
了解此版本中针对 vSRX 所做的更改。
EVPN
-
EVPN ELAN 服务的流标签配置状态 命令
show evpn instance extensive
的输出现在显示设备的流标签和流标签静态操作状态,而不显示路由实例的流标签静态操作状态。已启用flow-label
的设备支持流感知传输 (FAT) 流标签,并向其邻居播发其支持。已启用flow-label-static
的设备支持 FAT 流标签,但不通告其功能。 -
在 ping 叠加或跟踪路由叠加操作中指定 UDP 源端口 — 在 22.4R1 之前的 Junos OS 版本中,您无法在 ping 叠加或跟踪路由叠加操作中配置 udp 源端口。现在,您可以使用 在
hash
EVPN-VXLAN 环境中配置此值。配置选项hash
将覆盖可用于确定源端口值的任何其他 hash-* 选项。
基于流和基于数据包的处理
-
PMI 模式直通 ESP 流量:从 Junos OS 22.1R3 版开始,我们支持 SRX 系列设备上直通 ESP 流量的 PMI 快速路径处理。
-
对 UTM(SRX 系列和 vSRX)的流会话操作命令支持 — 我们扩展
show security flow session
了操作命令支持,以查看内容过滤和 Web 过滤 UTM 功能的详细信息。[请参阅 显示安全流会话。]
常规路由
-
订阅资源路径 /junos/system/linecard/environment 时,收集器端流路径的前缀显示为 /junos/linecard/environment。此问题已在 Junos OS 23.1R1 和 Junos OS 演化版 23.1R1 中得到解决,订阅路径和流式传输路径匹配以显示 /junos/system/linecard/environment。
-
本地证书验证的时区支持(SRX1500 和 SRX5600)— 从此版本开始,当本地证书验证失败时,您可以在命令输出和系统日志消息中看到失败的本地证书的时区。
网络管理和监控
-
operator
登录类被限制查看以下no-world-readable
NETCONF 跟踪文件(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 在层次结构级别配置[edit system services netconf traceoptions]
NETCONF 跟踪选项并通过设置或省略no-world-readable
语句(默认值)来限制对文件所有者的文件访问时,分配给operator
登录类的用户无权查看跟踪文件。 -
支持
junos:cli-feature
YANG 扩展(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)—cli-feature
YANG 扩展标识与某些命令选项和配置语句关联的某些 CLI 属性。定义配置或 RPC 的 Junos YANG 模块在适当情况下会在cli-feature
随扩展发出的架构中包含扩展语句。当客户端使用 YANG 数据模型时,此扩展非常有用,但对于某些工作流,客户端需要生成基于 CLI 的工具。 -
XML 标记中的
get-system-yang-packages
RPC 回复已更改(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— RPC 回复将get-system-yang-packages
标记proxy-xml-yang-modules
替换为xmlproxy-yang-modules
XML 输出中的标记。 -
操作删除不存在的配置对象(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)时
operation="delete"
对 NETCONF 服务器元素<rpc-error>
的更改 — 我们更改<rpc-error>
了 NETCONF 服务器在 or<load-configuration>
操作用于operation="delete"
删除目标配置中不存在的配置元素时返回<edit-config>
的响应。错误严重性为错误而不是警告,元素<rpc-error>
包括<error-tag>data-missing</error-tag>
和<error-type>application</error-type>
元素。
公用钥匙基础结构
-
弃用与证书注册 (Junos) 相关的选项 — 从 Junos OS 版本 23.2R1 开始,我们将弃用与公钥基础架构 (PKI) 相关的早期 CLI 选项,以便通过简单证书注册协议 (SCEP) 注册和重新注册本地证书。下表显示了 Junos CLI 命令和配置语句,其中的选项已弃用。您可以在这些命令和语句中的选项下
scep
找到现在可用的相同 CLI 选项。表 1:已弃用的 Junos CLI 选项 Junos CLI 命令和语句
已弃用的选项
set security pki auto-re-enrollment
certificate-id
request security pki local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
request security pki node-local local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
[请参阅 自动重新注册(安全)、 请求安全 PKI 本地证书注册 scep 和 请求安全 PKI 节点本地证书注册。]
VPN
-
更改远程访问配置文件名称的格式(SRX 系列和 vSRX 3.0)— 从 Junos OS 23.1R1 版开始,我们更改了远程访问配置文件名称的格式,以增强最终用户使用瞻博网络安全连接的体验。在 Junos OS 23.1R1 版之前的版本中,您可以使用 [
edit security remote-access profile realm-name
] 层级的领域名称配置远程访问配置文件名称。但是,当组织连接到多个网关时,在远程访问连接配置文件中多次使用远程访问配置文件名称(如 hr)变得无法管理。为了解决此问题,我们引入了一种用于配置远程访问配置文件名称的新约定。现在,您可以在 [
edit security remote-access profile realm-name
] 层次结构级别使用以下任何格式配置带有 URL 的配置文件名称,以便最终用户可以连接到相关网关:-
FQDN/RealmName
-
FQDN
-
IP address/RealmName
-
IP address
例如,您现在可以将 ra.example.com/hr、 ra1.example.com/hr 和 ra.example.com 用作领域名称。
引入此约定后,我们需要弃用 [
edit security remote-access
] 层次结构级别的现有default-profile
选项。远程访问配置文件名称将引用具有 FQDN 或 IP 地址的 URL,具体取决于最终用户的连接方式,例如,ra.example.com/hr、ra.example.com、192.168.1.10/hr 或 192.168.1.10。通过此更改,最终用户现在将在瞻博网络安全连接应用程序中看到的连接配置文件名称为 ra.example.com/hr 而不是 hr,就像在早期版本中一样。在现有部署中,为确保此更改顺利过渡,我们建议您使用以下命令在 [] 层次结构级别将当前配置中的配置文件名称 hr 修改为 ra.example.com/hr
edit
或 192.168.1.10/hr --
user@host# rename security remote-access profile hr to profile ra.example.net/hr
-
user@host# rename security remote-access profile hr to profile 192.168.1.10/hr
[参见 配置文件(瞻博网络安全连接)。]
-
-
远程访问 VPN 解决方案(SRX 系列和 vSRX 3.0)选项不可用
default-profile
— 从 Junos OS 版本 23.1R1 开始,我们在 [edit security remote-access
] 层次结构级别隐藏了该default-profile
选项。在 Junos OS 23.1R1 版之前的版本中,您可以使用此选项将其中一个远程访问配置文件指定为瞻博网络安全连接中的默认配置文件。但是,随着远程访问配置文件名称格式的更改,我们不再需要该default-profile
选项。我们已弃用该
default-profile
选项(而不是立即将其删除),以提供向后兼容性,并有机会使现有配置符合更改后的配置。如果继续使用default-profile
配置中的选项,您将收到一条警告消息。但是,修改当前配置不会影响现有部署。在现有部署中,为确保此更改顺利过渡,我们建议您使用以下命令在 [] 层次结构级别将当前配置 hr 中的配置文件名称修改为 ra.example.com/hr 或 192.168.1.10
edit
/hr --
user@host# rename security remote-access profile hr to profile ra.example.net/hr
-
user@host# rename security remote-access profile hr to profile 192.168.1.10/hr
对于新配置,请考虑以下方案,以根据最终用户使用瞻博网络安全连接应用程序的连接方式创建新的远程访问配置文件:
-
如果最终用户使用 IP 地址进行连接,请在配置文件名称中指定 IP 地址。
-
如果最终用户使用 FQDN 进行连接,请在配置文件名称中指定 FQDN。
-
如果需要分隔具有不同领域值(如 hr)的用户,请将 /hr 追加到 IP 地址或 FQDN,如下所示:
-
[
edit security remote-access profile ra.example.net/hr
] -
[
edit security remote-access profile 192.168.1.10/hr
]
-
-
-
远程访问 VPN 解决方案不支持十六进制预共享(SRX 系列和 vSRX 3.0)— 对于远程访问 VPN 解决方案,对于基于预共享密钥的身份验证方法,我们支持 ASCII 文本格式。这意味着,请勿在远程访问 VPN 解决方案的配置中使用六边形格式的预共享密钥。因此,请在层次结构级别使用
[edit security ike policy policy-name pre-shared-key]
ASCII 文本格式配置语句ascii-text
,以便与瞻博网络安全连接配合使用。 -
SCEP PKI 证书注册的增强功能 — 逻辑系统选项已添加到 SCEP PKI 证书注册。
[请参阅 请求安全 PKI 本地证书注册 scep。
-
通过 SSL 代理(SRX 系列和 vSRX 3.0)提供有限的 ECDSA 证书支持 — 通过在 SRX 系列防火墙和 vSRX 虚拟防火墙上配置 SSL 代理,
任何根 CA 证书都无法访问具有 P-384/P-521 服务器证书的基于 ECDSA 的网站,因为安全设备仅限于支持 P-256 组。
配置基于 RSA 的 root-ca 和 P-384/P-521 ECDSA root-ca 证书后,由于 SSL 终结器是与 RSA 协商的,因此无法访问所有 ECDSA 网站,这就是安全设备在进行 SSL 握手时仅向目标 Web 服务器发送 RSA 密码和 sigalg 的原因。要确保可以访问基于 ECDSA 和基于 RSA 的网站以及 RSA 根证书,请配置 256 位 ECDSA 根证书。
在某些情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器不支持 P-256 组,也无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。
在其他情况下,即使在 SSL 代理配置中使用了 256 位 ECDSA 根证书,如果服务器支持 P-256 以外的 sigalg,则无法访问具有 P-256 服务器证书的基于 ECDSA 的网站。在签名验证失败的硬件卸载模式下会出现此问题。由于 Junos OS 22.1R1 版中引入了 ECDSA 证书的硬件卸载,因此如果使用 22.1R1 之前发布的 Junos OS,则不会出现此问题。此外,如果在软件中处理 ECDSA 证书的 SSL 代理,则看不到此问题。
-
对 IP 地址字节顺序 (vSRX 3.0) 的更改 — 在 和 KMD_VPN_UP_ALARM_USER的系统KMD_VPN_DOWN_ALARM_USER日志消息中,IP 地址字节顺序现在以正确的顺序显示,而早期版本中出现的字节顺序相反。