Was hat sich geändert?

Erfahren Sie, was sich in dieser Version für die SRX-Serie geändert hat.

Authentifizierung und Zugangskontrolle

Veraltetes SHA-1-Kennwortformat (ACX-Serie, EX-Serie, MX-Serie, PTX-Serie, QFX-Serie, SRX-Serie, vMX und vSRX): Wir haben die Option auf Hierarchieebene entfernt, da SHA-1 für die sha1 [edit system login password format] Nur-Text-Kennwortverschlüsselung nicht mehr unterstützt wird.

Network Address Translation (NAT)

Gruppieren von Routing-Instanzen (SRX5600: Ab Junos OS Version 22.2R1 können Sie die Routing-Instanzen mit dem routing-group Befehl gruppieren. Die routing-group Option wird in den Hierarchien [edit security nat destination], [edit security nat source] und [edit security nat static] hinzugefügt.

[Siehe Regelsatz (Security Source NAT), Regelsatz (Security Destination NAT) und Regelsatz (Security Static NAT).]

Netzwerkmanagement und -überwachung

DES-Ablaufwarnung für SNMPv3 (Junos): Das Datenschutzprotokoll des Data Encryption Standard (DES) für SNMPv3 ist aufgrund schwacher Sicherheit und Anfälligkeit für kryptografische Angriffe veraltet. Konfigurieren Sie für erhöhte Sicherheit den dreifachen Datenverschlüsselungsstandard (3DES) oder den erweiterten Verschlüsselungsstandard (CFB128-AES-128 Privacy Protocol) als Verschlüsselungsalgorithmus für SNMPv3-Benutzer.

[Siehe privacy-3des und privacy-aes128.]
Änderungen an der NETCONF <edit-config> RPC-Antwort (ACX-Serie, EX-Serie, MX-Serie, PTX-Serie, QFX-Serie, SRX-Serie, vMX und vSRX): Wenn der <edit-config> Vorgang einen Fehler zurückgibt, gibt der NETCONF-Server kein <load-error-count> Element in der RPC-Antwort aus. In früheren Versionen enthält die <edit-config> RPC-Antwort das <load-error-count> Element, wenn der Vorgang fehlschlägt.

SSL-Proxy

Kein Sitzungscache-Eintragsspeicher während der Wiederaufnahme der SSL-Sitzung (Geräte der SRX-Serie) – Wenn eine SSL-Sitzung versucht, einen vollständigen Handshake erneut zu initiieren, und der Server diese Sitzungswiederaufnahme ablehnt, speichert der Sitzungscache keine Sitzungsinformationen und bleibt leer. Dieses Problem tritt in einem Setup auf, in dem ein Clientgerät die TLS1.1-Version und der Server die TLS1.3-Version (maximal) verwendet.

In Junos OS Version 22.1R1 und höher speichert der Sitzungscache Sitzungsinformationen auch dann, wenn die Wiederaufnahme der Sitzung abgelehnt wird, und Sie können die Sitzungscache-Einträge mit dem show services ssl proxy session-cache entries summary Befehl anzeigen.

VPNs

Einstellung der manuellen IPsec-VPN-Konfigurationsanweisung (Geräte der SRX-Serie und vSRX mit KMD-Prozess): Ab Junos OS Version 22.2R1 wird das manuelle IPsec-VPN (Flow-Modus) eingestellt. Dies bedeutet, dass Sie keine manuelle IPsec-Sicherheitszuordnung (SA) mithilfe der [edit security ipsec vpn vpn-name manual] Konfigurationshierarchie einrichten können.

Im Rahmen dieser Änderung werden die Hierarchieebene und ihre [edit security ipsec vpn vpn-name manual] Konfigurationsoptionen eingestellt.

[Siehe Handbuch.]
IPsec-VPN-Datenverkehrsauswahlrouten werden von "statischen Routen" in "ARI-TS"-Routen geändert (MX-SPC3, SRX-Serie und vSRX mit iked-Prozess) – Ab Junos OS Version 22.2R1 werden diese Routen jetzt als ARI-TS-Routen (Auto route insertion for traffic selectors) anstelle von statischen Routen installiert, wenn eine IPsec-Aushandlung mithilfe der Datenverkehrsauswahlkonfiguration abgeschlossen wird. Diese Routen werden standardmäßig mit der gleichen Routenpräferenz und Metrik wie bei der vorherigen Implementierung installiert. ARI-TS-Routen werden als "[ARI-TS/5]" eingefügt.

Bei diesem Ansatz können Sie die Routenpräferenz der ARI-TS-Routen ändern, ohne dass dies Auswirkungen auf andere Routingprotokolle hat.

[Siehe Neues ARI-TS Routing-Protokoll.]
IPv6-Adresse in ein selbstsigniertes Zertifikat aufnehmen (Geräte der SRX-Serie und vSRX3.0): Wir unterstützen die manuelle Generierung eines selbstsignierten Zertifikats für den angegebenen definierten Namen unter Verwendung einer IPv6-Adresse zusätzlich zu der IPv4-Adresse, die zuvor unterstützt wurde. Verwenden Sie den Befehl mit ipv6-address Option request security pki local-certificate generate-self-signed , um die IPv6-Adresse in ein selbstsigniertes Zertifikat aufzunehmen.

[Siehe Anforderungssicherheit pki local-certificate generate-self-signed (Sicherheit).]
Verbindung mit OCSP-Server für Sperrprüfung nicht möglich (Geräte der SRX-Serie und vSRX): Beim Ausführen der Sperrprüfung mithilfe von OCSP versucht das SRX-Gerät nicht, eine Verbindung zum OCSP-Server herzustellen, wenn die OCSP-Server-URL einen Domänennamen enthält, den der DNS-Server nicht auflösen kann. Wenn das SRX-Gerät in diesem Fall keine Verbindung zum OCSP-Server herstellen kann und eine der folgenden Konfigurationsoptionen festgelegt ist, lässt die OCSP-Sperrprüfung entweder die Verwendung von CRL zu oder greift auf sie zurück:
- set security pki ca-profile OCSP-ROOT widerrufsprüfung ocsp verbindungsfehler deaktivieren
- set security pki ca-profile OCSP-ROOT widerrufsprüfung ocsp verbindungsfehler fallback-crl
Wenn das SRX-Gerät keine Verbindung zum OCSP-Server herstellen kann und diese Optionen nicht konfiguriert sind, schlägt die Zertifikatsüberprüfung fehl.

[Siehe ocsp (Security PKI).]

VPLS

Kein Ausgabe-Byte-Inkrement auf der VPLS-Schnittstelle, wenn es mit einem Ausgabefilter mit Policer-Aktion konfiguriert ist (Geräte der SRX-Serie) – Wenn Sie Ihr Gerät auf Junos OS Version 19.4R3-S1 oder höher aktualisieren und die VPLS-Schnittstelle über einen Ausgabefilter mit angewendeter Policer-Aktion verfügt, leitet die VPLS-Schnittstelle den Datenverkehr nicht weiter. Aufgrund dieses Problems werden die Ausgabebytes auf dieser Schnittstelle nicht inkrementiert, und wenn Sie Details über die show interfaces <interface-name> extensive | no-more Ausgabe anzeigen, zeigt die VPLS-Schnittstelle die Ausgabebytes als 0 an. In Junos OS Version 22.2R1 zeigt die show interfaces <interface-name> extensive | no-more Befehlsausgabe die korrekten Details an.