このページの目次
変更点
vSRXの今回のリリースでの変更点について説明します。
一般的なルーティング
-
階層内(
ordered-by-user
ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)—リクエストされた階層が確認され、リストタイプに該当するordered-by-user
かどうかが確認されます。そうでない場合は、flag autosort
がリストの DDL 定義に含まれ、ordered-by-system
になります。これで、階層にインデックスが付けられます。この配置の利点は、ユーザーインターフェイスインフラストラクチャで正確なデータモデリングと最適化された構成負荷が得られることです。 -
過去には、inet6flow.0はリブグループのプライマリリブになることは許可されていませんでした。リリース 22.3 以降、これは許可されるようになりました。
Junos XML APIとスクリプティング
-
xmlns:junos
属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)xmlns:junos
が含まれます—XML RPC応答の名前空間文字列には、コマンドによってshow version
出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれます。以前のリリースでは、xmlns:junos
文字列には部分的なソフトウェアバージョン情報のみが含まれていました。
ネットワークの管理と監視
-
operator
ログイン クラスは(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)次のno-world-readable
NETCONF トレース ファイルの表示を制限されています)—階層レベルで NETCONF トレース オプション[edit system services netconf traceoptions]
を設定し、 ステートメントを設定または省略no-world-readable
してファイル所有者へのファイル アクセスを制限する場合(デフォルト)、ログイン クラスに割り当てられたoperator
ユーザーにはトレース ファイルを表示する権限がなくなります。
Vpn
-
SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA認定サポート - SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが設定されている。
-
P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。
-
RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。
-
一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。
-
その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。
-