新变化

ChaCha20-Poly1305 算法 SSH 密码选项的弃用 — ChaCha20-Poly1305 经过身份验证的加密算法已弃用 SSH 密码选项。将 aes-128-gcm 和 aes-256-gcm 配置为 SSH 密码选项的加密算法。[请参阅 SSH（系统服务）。]

EVPN 3 类路由组播标志扩展社区中的 OISM SBD 位 — 在 EVPN 3 类包容性组播以太网标记 （IMET） 路由通告中，用于与 EVPN 优化的子网间组播 （OISM） 网络中的补充网桥域 （SBD） 关联的接口，我们现在在组播标志扩展社区中设置 SBD 位。我们设置此位是为了与其他供应商实现互作性，并符合 IETF 的 OISM 标准草案 draft-ietf-bess-evpn-irb-mcast。您可以在命令的输出 show route table bgp.evpn.0 ? extensive 中看到此设置。

[请参阅 CLI 命令验证 OISM 配置。]

使用 show bridge mac-table 命令显示基于组的策略 （GBP） 标记 — 在支持 VXLAN-GBP 的平台上，命令 show bridge mac-table 现在会显示一个 GBP TAG 输出列，其中列出了与路由实例中桥接域或 VLAN 的 MAC 地址关联的 GBP 标记。即使设备本身不支持或不使用 GBP，输出也会包含从远程 EVPN-VXLAN 对等方接收的数据包中 GBP 标记的此信息。

[请参阅 示例：在 VXLAN 中使用基于组的策略进行微观和宏分段。]

系统日志EVPN_DUPLICATE_MAC消息的更新 - 系统日志 （syslog） 中的EVPN_DUPLICATE_MAC消息现在包含其他信息，可帮助识别 EVPN 网络中重复MAC 地址的位置。除了重复的 MAC 地址外，这些消息还将包括以下内容：

• 如果重复的 MAC 地址来自远程 VXLAN 隧道端点 （VTEP），则为对等设备。

• VLAN 或虚拟网络标识符 （VNI） 值。

• 对应本地接口或多宿主以太网分段标识符 （ESI） 的源接口名称。

例如： Feb 27 22:55:13 DEVICE_VTEP1_RE rpd39839: EVPN_DUPLICATE_MAC: MAC address move detected for 00:01:02:03:04:03 within instance=evpn-vxlan on VNI=100 from 10.255.1.4 to ge-0/0/1.0.

有关支持的系统日志消息的详细信息，请参阅系统日志浏览器、系统日志浏览器。

针对配置了语句的 MAC-VRF 路由实例 encapsulate-inner-vlan 的新提交检查 — 我们引入了新的提交检查，可防止您在 MAC-VRF 路由实例中同时配置 IRB 接口和语 encapsulate-inner-vlan 句。在升级到 23.2R2 或更高版本之前，请更正或移除这些配置，以避免升级过程中配置验证失败。

[请参阅 encapsulate-inner-vlan.]

优化的网格组路由（ACX 系列）— show route snooping 适用于 inet.1 或 inet6.1 表， show route snooping table inet.1 | inet6.1 并且仅显示支持 EVPN-MPLS 或 EVPN-VXLAN 组播平台的 CE 网格组路由。在早期版本中，还显示了其他网格组，如 VE 网格组。

EVPN MAC-IP 数据库中每个网桥域每个 MAC 地址的 IP 地址关联数限制 — 默认情况下，设备最多可以将 200 个 IP 地址与每个网桥域的单个 MAC 地址相关联。我们提供了一个新的 CLI 语句来自定义这个限制，mac-ip-limit该语句在edit protocols evpn层次结构级别上。在大多数用例中，您不需要更改默认限制。如果要更改默认限制，建议不要将此限制设置为每个桥接域每个 MAC 地址超过 300 个 IP 地址。否则，您可能会看到设备上的 CPU 使用率非常高，这可能会降低系统性能。

[请参阅 mac-ip-limit.]

禁用路径 MTU 发现的选项 - 默认情况下，路径 MTU 发现处于启用状态。要为 IPv4 流量禁用该功能，可以在 [edit system internet-options] 层级配置no-path-mtu-discovery该语句。要重新启用它，请使用语path-mtu-discovery句。

[请参阅 路径 MTU 发现。]

ACX7509：在 CLI 中使用命令 request chassis feb slot slot-number offline，如果使主 FEB 脱机，则会显示流量丢失警告消息，并且 FEB 脱机请求将被拒绝。如果 offline/restart 仍用于主 FEB，请在命令之外使用 force 选项。CLI 中显示警告消息 ：“警告：RCB 和 FEB 在配对插槽模式下工作。FEB %s 离线/重启将导致流量丢失，不会导致切换。使用“请求机箱路由引擎主交换机”CLI 启动主控切换后，请重试。如果仍打算脱机/重启，请在此 CLI 之外使用'强制'选项。

<get-trace> 已移除 RPC 支持（ACX 系列和 PTX 系列） - show trace application app-name 作命令和等效 <get-trace> RPC 都会发出原始跟踪数据。 <get-trace> 由于 RPC 不发出 XML 数据，因此我们删除了对 XML 客户端的 <get-trace> RPC 的支持。

使用 SHA-1 散列算法的 RSA 签名的更改 - 从 Junos OS 24.2R1 版开始，OpenSSH 8.8/8.8p1 的行为发生了变化。OpenSSH 8.8/8.8p1 默认禁止使用带有 SHA-1 哈希算法的 RSA 签名。您可以将 RSA 签名与 SHA-256 或 SHA-512 哈希算法配合使用。

从 Junos Evolved 版本开始，ACX 系列和 PTX 系列对基于 TLS 的网络时间协议 （NTP）（符合 RFC 8915）的支持包括：

• 支持为服务器配置本地证书，为客户端配置证书验证选项。

• 验证 x.509 证书以在客户端和服务器之间建立 TLS 通道。- 支持 TLS NTS-KE 协议。

• 在服务器和客户端支持 NTS 安全的客户端-服务器 NTP 通信。

• 支持在命令system ntp nts、system ntp server <server_name> nts remote-identityshow ntp associations no-resolve和命令中启用新的 NTS 选项。

命令的show system applications detail附加Upgrade字段（ACX 系列和 PTX 系列）— show system applications detail 命令和相应的 RPC 包括附加Upgrade输出字段。这些字段提供有关与各种升级活动相关的通知和作的信息。

[请参阅显示系统应用程序 （Junos OS 演化版）。

从 Junos OS 版本和 Junos OS 演化版开始，运行 run show lldp local-information interface <interface-name> | display xml 命令时，输出将显示在 lldp-local-info 根 标记和 lldp-local-interface-info 容器 标记下。运行 run show lldp local-information interface | display xml 命令时， lldp-tlv-filter 和 lldp-tlv-select 信息将显示在输出的 lldp-local-interface-info 容器 标记下。

使用 file compare files 命令查看文件需要用户具有 maintenance 权限 - file compare files Junos OS Evolved 中的命令要求用户具有具有许可 maintenance 的登录类。

[请参阅 登录类概述。]

恢复延迟计时器范围增加 — revert-delay 计时器范围从 20 秒增加到 600 秒。

显式配置 IPMSI 流量的最小速率 — — 在基于源的 MoFRR 方案中，可以通过在 下set routing-instances protocols mvpn hot-root-standby min-rate配置ipmsi-min-rate来显式设置 IPMSI 流量的最小速率阈值。如果未配置，则现有min-rate将适用于 IPMSI 和 SPMSI 流量。

[参见 min-rate.]