Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

変更点

SRXシリーズのこのリリースの変更点について説明します。

認証とアクセス コントロール

  • SHA-1 パスワード形式(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)—プレーンテキストのパスワード暗号化で SHA-1 がサポートされなくなったため、[edit system login password format] 階層レベルで sha1 オプションを削除しました。

ネットワークアドレス変換(NAT)

  • グループルーティングインスタンス(SRX5600)—Junos OSリリース22.2R1以降、 routing-group コマンドを使用してルーティングインスタンスをグループ化できます。 routing-group オプションは、[edit security nat destination]、[edit security nat source]、および[edit security nat static]階層に追加されます。

    [rule-set (Security Source NAT)、rule-set (Security Destination NAT)、および rule-set (Security Static NAT)] を参照してください。

ネットワーク管理と監視

  • SNMPv3(Junos)のDES廃止—SNMPv3のデータ暗号化標準(DES)プライバシープロトコルは、セキュリティが弱く、暗号化攻撃に対する脆弱性があるため、非推奨です。セキュリティを強化するには、SNMPv3 ユーザーの暗号化アルゴリズムとして、トリプル データ暗号化標準(3DES)または高度暗号化標準(CFB128-AES-128 プライバシー プロトコル)を構成します。

    [ privacy-3desprivacy-aes128 を参照]

  • NETCONF <edit-config> の変更RPC応答(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)<edit-config> 操作がエラーを返す場合、NETCONFサーバーはRPC応答で <load-error-count> 要素を生成しません。以前のリリースでは、操作が失敗した場合、 <edit-config> RPC 応答に <load-error-count> 要素が含まれていました。

SSLプロキシー

  • SSL セッション再開時にセッション キャッシュ エントリー ストアなし(SRXシリーズデバイス)— SSL セッションがフル ハンドシェイクの再開を試み、サーバーがそのセッションの再開を拒否した場合、セッション キャッシュはセッション情報を保存せず、空のままになります。この問題は、クライアント デバイスが TLS1.1 バージョンを使用し、サーバーが TLS1.3 (最大) バージョンを使用しているセットアップで発生します。

    Junos OS リリース 22.1R1以降のリリースでは、セッションの再開が拒否された場合でもセッションキャッシュにセッション情報が保存され、 show services ssl proxy session-cache entries summary コマンドを使用してセッションキャッシュエントリを確認できます。

VPN

  • IPsec手動VPN設定ステートメントの廃止(SRXシリーズデバイスおよびkmdプロセスを実行しているvSRX)—Junos OS リリース22.2R1以降、手動IPSec VPN(フローモード)を非推奨にします。つまり、 [edit security ipsec vpn vpn-name manual] 設定階層を使用して手動でIPsecセキュリティアソシエーション(SA)を確立することはできません。

    この変更の一環として、 [edit security ipsec vpn vpn-name manual] 階層レベルとその構成オプションが廃止されます。

    [ マニュアル参照]

  • IPSec VPNトラフィックセレクタールートが「静的ルート」から「ARI-TS」ルートに変更(ikedプロセスを実行しているMX-SPC3、SRXシリーズおよびvSRX)—Junos OS リリース22.2R1以降、トラフィックセレクター設定を使用してIPsecネゴシエーションが完了すると、これらのルートは静的ルートではなくARI-TS(トラフィックセレクターの自動ルート挿入)ルートとしてインストールされるようになりました。これらのルートは、デフォルトで以前の実装と同じルート優先度とメトリックでインストールされます。ARI-TS ルートは '[ARI-TS/5]' として挿入されます。

    このアプローチでは、他のルーティング プロトコルに影響を与えることなく、ARI-TS ルートのルート プリファレンスを変更することができます。

    [ 新しいARI-TSルーティングプロトコルを参照してください。

  • 自己署名証明書にIPv6アドレスを含める(SRXシリーズデバイスとvSRX3.0)—以前にサポートされたIPv4アドレスに加えて、IPv6アドレスを使用して、特定の識別名の自己署名証明書を手動で生成できます。 request security pki local-certificate generate-self-signed コマンドを ipv6-address オプションとともに使用して、自己署名証明書に ipv6 アドレスを含めます。

    [ 「request security pki local-certificate generate-self-signed (Security)」を参照してください。

  • 失効チェックのためにOCSPサーバーに接続できません(SRXシリーズデバイスとvSRX):OCSPを使用して失効チェックを実行する場合、OCSPサーバーのURLにDNS サーバーが解決できないドメイン名が含まれていると、SRX デバイスはOCSPサーバーとの接続を試みません。この場合、SRX デバイスが OCSP サーバーへの接続を確立できず、以下の設定オプションのいずれかが設定されている場合、OCSP 失効チェックは CRL の使用を許可またはフォールバックします。
    • set security pki ca-profile OCSP-ROOT revocation-check ocsp connection-failure disable
    • セキュリティPKIのcaプロファイルOCSP-ROOT失効チェックOCSP接続障害フォールバック-CRLを設定

    SRX デバイスが OCSP サーバーへの接続を確立できず、これらのオプションが設定されていない場合、証明書の検証は失敗します。

    [ ocsp (セキュリティ PKI) を参照してください。

VPLS

  • ポリサーアクション付き出力フィルターで設定されている場合、VPLSインターフェイスで出力バイトインクリメントなし(SRXシリーズデバイス)— デバイスをJunos OS リリース19.4R3-S1以降にアップグレードし、VPLSインターフェイスにポリサーアクションが適用された出力フィルターがある場合、VPLSインターフェイスはトラフィックを通過させません。この問題のため、そのインターフェイスでは出力バイトは増加しず、 show interfaces <interface-name> extensive | no-more 出力を使用して詳細を表示すると、VPLSインターフェイスは出力バイトを0と表示します。Junos OS リリース 22.2R1では、 show interfaces <interface-name> extensive | no-more コマンド出力に正しい詳細が表示されます。