Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

変更点

SRXシリーズのこのリリースでの変更点について説明します。

一般的なルーティング

  • 階層内(ordered-by-userACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)—リクエストされた階層が確認され、リストタイプに該当するordered-by-userかどうかが確認されます。そうでない場合は、 flag autosort がリストの DDL 定義に含まれ、 ordered-by-systemになります。これで、階層にインデックスが付けられます。この配置の利点は、ユーザーインターフェイスインフラストラクチャで正確なデータモデリングと最適化された構成負荷が得られることです。

  • 過去には、inet6flow.0はリブグループのプライマリリブになることは許可されていませんでした。リリース 22.3 以降、これは許可されるようになりました。

Junos XML APIとスクリプティング

  • アプリケーションファイルが利用できない場合に設定をコミットextension-service fileする機能 - 階層レベルで オプションedit system extension extension-service application file file-nameを設定するoptionalと、ファイルが /var/db/scripts/jet ファイルパスで使用できない場合でも、オペレーティングシステムは設定をコミットできます。

    [ ファイル(JET)を参照してください。

  • デーモン化されたアプリケーションを再起動する機能 - Junosデバイス上で実行されているデーモン化されたアプリケーションを再起動するには、request extension-service restart-daemonize-app application-nameコマンド を使用します。アプリケーションを再起動すると、デバッグとトラブルシューティングに役立ちます。

    [ 拡張サービスの再起動-デーモン化-アプリの要求を参照してください。

  • xmlns:junos属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)xmlns:junosが含まれます—XML RPC応答の名前空間文字列には、コマンドによってshow version出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれます。以前のリリースでは、xmlns:junos文字列には部分的なソフトウェアバージョン情報のみが含まれていました。

ネットワークの管理と監視

  • operator ログイン クラスは(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)次の no-world-readable NETCONF トレース ファイルの表示を制限されています)—階層レベルで NETCONF トレース オプション [edit system services netconf traceoptions] を設定し、 ステートメントを設定または省略 no-world-readable してファイル所有者へのファイル アクセスを制限する場合(デフォルト)、ログイン クラスに割り当てられた operator ユーザーにはトレース ファイルを表示する権限がなくなります。

Vpn

  • SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA認定サポート - SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが設定されている。

    • P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。

    • RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。

    • 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

    • その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。

Vpn

  • VPN(SRX、vSRX、NFXプラットフォーム)経由のトラフィック損失防止に関連するコミット警告メッセージを取得するためのSyslog:VPNフラップや障害イベントの発生についてDAX_ITEM_DELETE_ALL、MGDがIKEDまたはKMDプロセスに通知する原因となった、などのwarning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed設定コミット警告warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies。これらの警告メッセージは、VPN 経由のトラフィック損失を防ぐために syslog によってキャプチャされます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決しておくことを推奨します。