新变化
了解此版本中针对 vSRX 所做的更改。
身份验证和访问控制
-
SSH 密码选项的 ChaCha20-Poly1305 算法弃用 - SSH 密码选项弃用 ChaCha20-Poly1305 经过身份验证的加密算法。将 aes-128-gcm 和 aes-256-gcm 配置为 SSH 密码选项的加密算法。
[请参阅 SSH(系统服务)。]
EVPN
-
EVPN MAC-IP 数据库中每个网桥域每个 MAC 地址的 IP 地址关联数限制 — 默认情况下,设备最多可以将 200 个 IP 地址与每个网桥域的单个 MAC 地址相关联。我们提供了一个新的 CLI 语句来自定义这个限制,
mac-ip-limit该语句在[edit protocols evpn]层次结构级别上。在大多数用例中,您不需要更改默认限制。如果要更改默认限制,建议不要将此限制设置为每个桥接域每个 MAC 地址超过 300 个 IP 地址。否则,您可能会看到设备上的 CPU 使用率非常高,这可能会降低系统性能。[请参阅 mac-ip-limit.]
用户界面和配置
-
配置数据库最大大小增加(ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX)— 我们在
[edit system configuration-database]层次结构级别增强了extend-size语句,以增加最大数据库大小。在默认配置数据库大小为 ~400 MB 的设备上,extend-size将最大数据库大小增加到 ~2 GB。在默认配置数据库大小为 ~660 MB 的设备上,extend-size将最大数据库大小增加到 ~2.2 GB。[请参阅 configuration-database.]
VPN
-
修复了使用 DSA 和 ECDSA 生成的密钥对的摘要选项功能的增强功能(SRX 系列和 vSRX 3.0)–在早期版本中,使用 sha-256 摘要和 DSA 或 ECDSA 加密使用
request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa)和request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name命令生成本地自签名证书时,生成的签名始终使用 sha1 摘要。从此版本开始,指定的摘要 sha-256 将用于签名摘要。您可以使用show security pki local-certificate certificate-id certificate-id-name detail -
增强了清除和重新生成密钥对命令的输出 (vSRX 3.0) - 当您使用硬件安全模块 (HSM) 清除并重新生成同一密钥对以管理安全数据时,我们修改了以下命令的输出。
从 Junos OS 23.4R1 版开始,命令:
clear security pki key-pair certificate-id certificate-id-name显示消息Key pair deleted successfully from the device. Key pair will be purged from the keyvault based on it's own preferences,而不是以前版本中显示的消息Key pair deleted successfully。request security pki generate-key-pair certificate-id显示消息certificate-id-nameerror:Failed to generate key pair. If the keypair was created and deleted before, please ensure that the keypair has been purged from the keyvault,而不是以前版本中显示的消息error: Failed to generate key pair。
我们进行这些更改是为了符合云提供商对删除密钥对的限制(如果有)。
-
VPN 监控选项(SRX 系列和 vSRX 3.0)的阈值和间隔选项的帮助字符串说明增强功能 - 我们增强了配置语句
[set security ipsec vpn-monitor-options]中提供的和interval选项的帮助字符串说明threshold,以包含默认值。您将看到包含默认值的以下说明:user@host# set security ipsec vpn-monitor-options ? Possible completions: interval Monitor interval in seconds Default :10 (2..3600 seconds) threshold Number of consecutive failures to determine connectivity Default :10 (1..65535)
[请参阅 ipsec(安全)。]
-
对 show security ipsec security-associations detail 命令输出的增强功能(SRX 系列和 vSRX 3.0)–我们增强了在
[edit security ipsec vpn vpn-name]层次结构级别启用vpn-monitor时,防火墙使用新的 iked 进程运行 IPsec VPN 服务时的show security ipsec security-associations detail输出。命令输出中显示threshold和interval值。从 Junos OS 23.4R1 版开始,您会注意到这些更改。[请参阅 显示安全 IPsec 安全关联。]
-
使用 PPK 的 IPsec VPN(SRX 系列和 vSRX 3.0)的重新身份验证频率建议 — 对于具有后量子预共享密钥 (PPK) 加密的 IPsec VPN,包括自动发现 VPN (ADVPN),当与量子密钥协商 IKE 安全关联时,IKE 进程会在 4 秒后执行密钥重新生成密钥以保护通道。如果将重新身份验证频率设置为 1,则 4 秒后不会进行密钥更新。因此,我们建议您将重新身份验证频率设置为 1 以上,因为 PPK 默认密钥使用第一个重新身份验证计数。
[请参阅 量子安全 IPsec VPN。]