Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Was hat sich geändert?

Erfahren Sie, was sich in dieser Version für die SRX-Serie geändert hat.

Netzwerkmanagement und -überwachung

  • Änderungen am Element des <rpc-error> NETCONF-Servers, wenn der Vorgang ein nicht vorhandenes Konfigurationsobjekt löscht (ACX-Serie, EX-Serie, MX-Serie, PTX-Serie, QFX-Serie, SRX-Serie, vMX und vSRX ) – Wir haben die Antwort geändert, die der NETCONF-Server zurückgibt, wenn der Vorgang verwendet wird, um ein Konfigurationselement zu löschen, das in der operation="delete"<edit-config> Zielkonfiguration nicht vorhanden ist.operation="delete" <rpc-error> Der Schweregrad des Fehlers ist Fehler anstelle von Warnung, und das <rpc-error> Element enthält die <error-tag>data-missing</error-tag> Elemente and<error-type>application</error-type>.

  • Änderungen an der RPC-Antwort für <validate> Vorgänge in RFC-konformen NETCONF-Sitzungen (ACX-Serie, EX-Serie, MX-Serie, PTX-Serie, QFX-Serie, SRX-Serie, vMX und vSRX ) – Wenn Sie die rfc-compliant Anweisung auf Hierarchieebene [edit system services netconf] konfigurieren, gibt der NETCONF-Server als Reaktion auf <validate> Vorgänge nur ein <ok/> oder-Element <rpc-error> aus. In früheren Versionen enthält die RPC-Antwort auch das <commit-results> Element.

Routing-Richtlinie und Firewall-Filter

  • Syslogs zum Erfassen von Commit-Warnmeldungen im Zusammenhang mit der Verhinderung von Datenverkehrsverlusten über VPN (SRX-, vSRX-, NFX-Plattformen): Konfigurations-Commit-Warnungen, wie z. B warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies . oder veranlasst den MGD, den IKED- oder warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed KMD-Prozess über DAX_ITEM_DELETE_ALL VPN-Flaps und Ausfallereignisse zu informieren. Diese Warnmeldungen werden von Syslogs erfasst, um Datenverkehrsverluste über VPN zu verhindern. Wir empfehlen Ihnen, diese Syslog-Warnmeldungen zu beheben, um größere Ausfälle zu vermeiden.

Vpns

  • Verbesserungen am alternativen Antragstellernamen in der Ausgabe des Befehls show security pki local-certificate (SRX-Serie, vSRX 3.0) – Zertifikate mit mehreren FQDN zeigen jetzt alle zugehörigen Domänen, IPv4- oder IPv6-Adressen und E-Mail-Adressen im Alternate subject Feld an. Diese Verbesserungen sind in der Ausgabe von show security pki local-certificate command zu sehen. Zuvor wurden in der Befehlsausgabe nur die letzten FQDN-Details angezeigt.

    [Siehe show security pki local-certificate (Ansicht).]

  • Einführung einer umfassenden Option für IPsec-Sicherheitszuordnungen (MX-Serie, SRX-Serie und vSRX 3.0): Wir haben die extensive Option für den show security ipsec security-associations Befehl eingeführt. Verwenden Sie diese Option, um IPsec-Sicherheitszuordnungen mit allen Tunnelereignissen anzuzeigen. Verwenden Sie die vorhandene detail Option, um bis zu zehn Ereignisse in umgekehrter chronologischer Reihenfolge anzuzeigen.

    [Siehe show security ipsec security-associations.]

  • Verbesserungen bei der Verwaltung der IKE-Konfiguration zum Löschen von IKE-Statistiken auf dem sekundären Knoten (SRX-Serie) – In früheren Junos OS-Versionen reagierte der IKEMD-Prozess (ike-config-Management) in einem Chassis-Cluster-Modus nicht auf Verwaltungsanforderungen auf dem sekundären Knoten. Der Befehl clear security ike statsschlägt mit der Fehlermeldung error: IKE-Config-Management not responding to management requests auf dem sekundären Knoten fehl. Ab Junos OS Version 22.4R3 wird der Befehl erfolgreich ausgeführt, ohne dass der Fehler auf dem sekundären Knoten auftritt.

  • Eingeschränkte Unterstützung von ECDSA-Zertifikaten mit SSL-Proxy (SRX-Serie und vSRX 3.0) – Mit SSL-Proxy, der auf der Firewall der SRX-Serie und den virtuellen vSRX-Firewalls konfiguriert ist:

    • ECDSA-basierte Websites mit P-384/P-521-Serverzertifikaten sind mit keinem Root-CA-Zertifikat zugänglich, da das Sicherheitsgerät nur die P-256-Gruppe unterstützt.

    • Wenn RSA-basierte Root-CA und P-384/P-521 ECDSA-Root-Ca-Zertifikat konfiguriert ist, sind nicht alle ECDSA-Websites zugänglich, da SSL-Terminator mit RSA ausgehandelt wird, weshalb das Sicherheitsgerät während des SSL-Handshakes nur RSA-Verschlüsselungen und Siggalgs an den Ziel-Webserver sendet. Um sicherzustellen, dass neben dem RSA-Stammzertifikat auch auf ECDSA- und RSA-basierte Websites zugegriffen werden kann, konfigurieren Sie ein 256-Bit-ECDSA-Stammzertifikat.

    • In einigen Szenarien ist der Zugriff auf ECDSA-basierte Websites mit P-256-Serverzertifikaten in einigen Szenarien nicht möglich, selbst wenn in der SSL-Proxykonfiguration ein 256-Bit-ECDSA-Stammzertifikat verwendet wird, wenn der Server keine P-256-Gruppen unterstützt.

    • In anderen Szenarien, selbst wenn ein 256-Bit-ECDSA-Root-Zertifikat in der SSL-Proxy-Konfiguration verwendet wird, sind ECDSA-basierte Websites mit P-256-Serverzertifikaten nicht zugänglich, wenn der Server andere Sigalgs als P-256 unterstützt. Das Problem tritt im Hardware-Offload-Modus mit fehlgeschlagener Signaturüberprüfung auf. Da die Hardware-Offload für das ECDSA-Zertifikat in Junos OS Version 22.1R1 eingeführt wird, tritt dieses Problem nicht auf, wenn Sie Junos OS verwenden, das vor 22.1R1 veröffentlicht wurde. Das Problem tritt auch nicht auf, wenn der SSL-Proxy für das ECDSA-Zertifikat in Software verarbeitet wird.