新变化

应用签名包（SRX 系列防火墙和 vSRX） — 命令输出显示的 show services application-identification status 应用包版本发布日期不正确。命令输出显示初始安装的应用程序签名包的发布日期。较新版本的后续安装不会更新签名包的发布日期。只有当安装的签名包的 PB 版本/引擎版本与当前安装的版本相比发生了变化时，发布日期才会正确更新。

从 Junos OS 24.2 版开始，命令输出显示正确的日期。

请参阅 show services application-identification status。

• RSA-3DES-EDE-CBC-SHA
• ECDHE-ECDSA-3DES-EDE-CBC-SHA

配置这些密码的选项在 [edit system services ssh] 层次结构中不可用。

xe 端口中的自动协商 （SRX380） — 从 Junos 24.2R2 版开始，默认情况下，SRX380 防火墙的所有四个 xe 端口上的自动协商均处于禁用状态。建议在远程终端设备上禁用自动协商。要更改自动协商默认建议行为，请使用命令 set interfaces xe-x/y/z gigether-options auto-negotiation 。

从 Junos OS 24.2R1 版开始，运行 run show lldp local-information interface <interface-name> | display xml 命令时，输出将显示在根标记下方 lldp-local-info 和容器标记中 lldp-local-interface-info 。运行 run show lldp local-information interface | display xml 命令时， lldp-tlv-filter 和 lldp-tlv-select 信息将显示在输出中的容器标记下方 lldp-local-interface-info 。

禁用关键字删除（SRX300、SRX320、SERX340、SRX345、SRX380、SRX550、SRX550M）–该 watchdog disable 选项已从命令中 set system processes 删除。您无法再进行配置 watchdog disable 了。

增加了用于实时性能监控的并发探针数量限制（SRX1500、SRX1600、SRX2300和 SRX4300）——我们已将允许用于实时性能监控 （RPM） 的并发探针数量从之前的 500 个增加到 2000 个。[参见 探针极限。

对 ping RPC 的 XML 输出的更改 （MX480） - 我们更新了 junos-rpc-ping YANG 模块和相应的 Junos XML RPC，以确保 RPC XML 输出符合 YANG 架构。因此，我们更改了以下 ping RPC 的 XML 输出：

• <ping>- XML 输出发出 <ping-error-message> and <ping-warning-message> 标记，而不是 <xnm:error> and <xnm:warning> 标记。

• <request-ping-ce-ip>- XML 输出包含在根元素中 <lsping-results> 。

• <request-ping-ethernet>—

  • 根标记包括 <ethping-results> 每个 <cfm-loopback-reply-entry> 收到的响应的或 <cfm-loopback-reply-entry-rapid> 标记。在早期版本中，单个标记包含所有响应。

  • XML 输出仅包含特定于应用程序的错误标记，并省 <xnm:error> 略标记。

  • 该 <cfm-loopback-reply-entry-rapid> 标记现在反映在 YANG 架构中。

• <request-ping-overlay>- 元素 <ping-overlay-results> 包括新的子标记 <hash-udp-src-port>。

增强功能，用于修复 Junos PyEz 中重复密钥的输出（MX 系列、SRX 系列、EX 系列） — 在早期版本中，尽管 CLI 输出使用命令显示show security pki local-certificate detail | display json了 PKI 中相应散列算法的所有重复密钥，但对于相同的请求数据，Junos PyEz 仅显示最后一个密钥。从此版本开始，CLI 输出和 PyEz 显示所有带有增强型标记的重复键。

证书注册系统日志 （Junos） — 我们添加了系统日志，以便在 SCEP 和 CMPv2 证书失败时发出通知。SCEP 证书注册失败时，可以看到PKID_SCEP_EE_CERT_ENROLL_FAIL消息。在 CMPv2 证书注册失败时，您可以看到PKID_CMPV2_EE_CERT_ENROLL_FAIL消息。请参阅系统日志资源管理器。

属性 xmlns:junos 包括完整的软件版本字符串（ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX）— xmlns:junos XML RPC 回复中的命名空间字符串包括完整的软件版本版本号，该版本号与命令发出 show version 的版本相同。在早期版本中， xmlns:junos 字符串仅包含部分软件版本信息。

请求支持信息命令的访问权限（ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列防火墙和 vSRX 虚拟防火墙） — 该 request support information 命令旨在生成系统信息以进行故障排除和调试。具有特定访问权限 maintenance view 的用户， view-configuration 可以执行请求支持信息命令。

对和命令输出的show system informationshow version更改（ACX 系列、EX 系列、MX 系列、QFX 系列、SRX 系列和 vSRX） — show system information 命令输出首先Hostname列出字段，而不是最后列出字段。命令输出包括show version字段Family。该Family字段标识设备分类所属的设备系列，例如，junos、junos-es、 junos-ex或 junos-qfx。

[请参阅 显示系统信息 和 显示版本。

修复使用 DSA 和 ECDSA（SRX 系列和 vSRX 3.0）生成的密钥对的摘要选项功能的增强功能 - 在早期版本中，使用 sha-256 摘要和 DSA 或 和命令 ECDSA 加密request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa)request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name生成本地自签名证书时，生成的签名始终使用 sha1 摘要。从此版本开始，指定的摘要 sha-256 将用于签名摘要。您可以使用以下方法进行验证show security pki local-certificate certificate-id certificate-id-name detail

在生成具有更大密钥大小的 RSA 密钥对时解决错误的增强功能（SRX 系列）–在早期的 Junos OS 版本中，当您生成大小为 4096 或更大的 RSA 密钥对时，request security pki generate-key-pair certificate-id name type rsa size 4096命令 有时会在 PKID 需要更多时间才能响应时显示错误消息error: timeout communicating with pki-service daemon。从 Junos OS 23.4R1 版开始，命令运行成功，没有此错误消息。

机箱群集（SRX 系列）中 IKE 配置管理命令的增强功能 -- 在早期的 Junos OS 版本中，在机箱群集模式下，以下命令失败，并在辅助节点上显示错误消息error: IKE-Config-Management not responding to management requests：

• show security ike statistics

• show security ike sa ha-link-encryption

• show security ipsec sa ha-link-encryption

• show security ipsec inactive-tunnels ha-link-encryption

• clear security ike sa ha-link-encryption

• clear security ipsec sa ha-link-encryption

您应该只在主节点上运行这些命令，而不是在辅助节点上运行这些命令。从 Junos OS 23.4R1 版开始，您将不会看到该错误消息，因为辅助节点没有要显示的输出。

增强了 VPN 监控选项（SRX 系列和 vSRX 3.0）的阈值和间隔选项的帮助字符串说明 –我们增强了配置语句[set security ipsec vpn-monitor-options]中可用选项threshold的interval帮助字符串说明，以包含默认值。您将看到以下带有默认值的说明：

[请参阅 ipsec（安全性）。]

show security ipsec security-associations detail 命令（SRX 系列和 vSRX 3.0）输出增强功能 - 我们增强了在层次结构级别启用[edit security ipsec vpn vpn-name]时vpn-monitor的输出，以及防火墙使用新的 IKE 进程运行 IPsec VPN 服务时的输出show security ipsec security-associations detail。命令输出中会显示threshold输出和interval值。从 Junos OS 23.4R1 版开始，您会注意到这些更改。

[请参阅 show security ipsec security-associations。

用于解决 RG0 故障切换后证书验证失败问题的增强功能（SRX 系列） - 在机箱群集中进行 RG0 故障切换后，您可能会注意到，由于故障切换之前辅助节点上的 CRL 下载失败，命令输出show services advanced-anti-malware status显示Requesting server certificate validation状态。我们进行了增强来解决这个问题，你将看到以下更改：

• 如果多次重试后仍反复无法下载 CRL，则会注意到错误消息 PKID_CRL_DOWNLOAD_RETRY_FAILED: CRL download for the CA failed even after multiple retry attempts, Check CRL server connection ，直到 CRL 下载成功为止。

• 当群集执行从辅助节点到主节点的故障切换时，PKI 会在新主节点上触发新的 CRL 下载，从而成功验证证书。

使用 PPK 的 IPsec VPN 的重新身份验证频率建议（SRX 系列和 vSRX 3.0） — 对于使用后量子预共享密钥 （PPK） 加密的 IPsec VPN，包括自动发现 VPN （ADVPN），当 IKE 安全关联与量子密钥协商时，IKE 进程会在 4 秒后执行密钥更新以保护通道。如果将重新身份验证频率设置为 1，则 4 秒后不会重新生成密钥。因此，建议将重新身份验证频率设置为 1 以上，因为 PPK 默认密钥重新生成会使用第一次重新身份验证计数。

[请参阅 量子安全 IPsec VPN。

优化的 NAT-T 失效对等方检测（SRX 系列防火墙和 NFX 系列）——当 NAT-T 远程端口发生变化时，来自对等设备的传入失效对等体检测 （DPD） 可能会创建新会话，从而导致会话不匹配和流量中断。若要防止出现这种情况，可以启用优化的失效对等体检测。使用命令 set security ike gateway gateway-name dead-peer-detection optimized 来确保在传入 DPD 期间创建的任何新会话都会过期，并且现有隧道 NAT-T 会话将使用新端口号进行更新，从而允许恢复流量。请参阅 了解 NAT-T。