Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

変更された内容

この vSRX のリリースで何が変わったかをご確認ください。

ネットワークの管理と監視

  • NETCONF <edit-config> の変更RPC 応答(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)—操作がエラーを返しても <edit-config> 、NETCONF サーバーは RPC 応答で要素を送信 <load-error-count> しません。以前のリリースでは、 <edit-config> RPC 応答には操作が失敗した場合の <load-error-count> 要素が含まれています。

Vpn

  • 非推奨のIPsec手動VPN構成ステートメント(sRXシリーズデバイスとvSRXがkmdプロセスを実行)—Junos OSリリース22.3R1以降、手動IPsec VPN(フローモード)は非推奨になります。これは、設定階層を使用して手動IPsecセキュリティアソシエーション(SA)を確立できないことを [edit security ipsec vpn vpn-name manual] 意味します。

    この変更の一環として、 階層レベルとその構成オプションは [edit security ipsec vpn vpn-name manual] 非推奨になります。

    [ マニュアルを参照してください。]

  • IPsec VPNトラフィックセレクタールートが「スタティックルート」から「ARI-TS」ルートに変更されます(MX-SPC3、SRXシリーズ、ikedプロセスを実行するvSRX)。Junos OSリリース22.2R1以降、トラフィックセレクター設定を使用してIPsecネゴシエーションが完了すると、これらのルートは静的ルートではなくARI-TS(トラフィックセレクターの自動ルート挿入)ルートとしてインストールされます。これらのルートは、デフォルトで、以前の実装と同じルートプリファレンスとメトリックでインストールされます。ARI-TSルートは「[ARI-TS/5]」として挿入されます。

    このアプローチにより、他のルーティングプロトコルに影響を与えることなく、ARI-TSルートのルート優先度を変更できます。

    [ 新しいARI-TSルーティングプロトコルを参照してください。

  • 自己署名証明書(SRXシリーズデバイスおよびvSRX3.0)にIPv6アドレスを含めます。前述でサポートされていたIPv4アドレスに加えて、IPv6アドレスを使用して、特定の識別名に対する自己署名証明書の手動生成もサポートしています。オプション付き ipv6-address コマンドを request security pki local-certificate generate-self-signed 使用して、自己署名証明書に iPv6 アドレスを含めます。

    [ request security pki local-certificate generate-self-signed(Security)を参照してください。

  • 失効チェック用OCSPサーバーと接続できない(SRXシリーズデバイスとvSRX)— OCSPを使用して失効チェックを実行する場合、SRXデバイスは、OCSPサーバーURLにDNSサーバーが解決できないドメイン名が含まれている場合、OCSPサーバーとの接続を試みません。この場合、SRX デバイスが OCSP サーバーへの接続を確立できず、次のいずれかの設定オプションが設定されている場合、OCSP 失効チェックは、CRL を使用するための許可またはフォールバックを行います。
    • 設定セキュリティpki ca-profile OCSP-ROOT失効チェックocsp接続障害の無効化
    • 設定セキュリティpki ca-profile OCSP-ROOT失効チェックocsp接続障害フォールバック-crl

    SRXデバイスがOCSPサーバーへの接続を確立できず、これらのオプションが設定されていない場合、証明書の検証は失敗します。

    [ ocsp(セキュリティ PKI)を参照してください。]