Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

変更点

SRXシリーズのこのリリースでの変更点について説明します。

EVPN

  • EVPN ELAN サービスのフローラベル設定ステータス コマンドの出力 show evpn instance extensive に、ルーティング インスタンスではなく、デバイスのフローラベルとフローラベル静的動作ステータスが表示されるようになりました。が有効になっているデバイスは flow-label 、フローアウェアトランスポート(FAT)フローラベルをサポートし、そのサポートをネイバーにアドバタイズします。が有効になっているデバイスは flow-label-static 、FAT フロー ラベルをサポートしますが、その機能をアドバタイズしません。

  • pingオーバーレイまたはtracerouteオーバーレイ操作でUDPソースポートを指定する — 22.4R1より前のJunos OSリリースでは、pingオーバーレイまたはtracerouteオーバーレイ操作でudpソースポートを設定できませんでした。EVPN-VXLAN環境で hash、を使用してこの値を設定できます。この設定オプションは hash 、送信元ポート値を決定するために使用される可能性のある他のハッシュ*オプションを上書きします。

フローベースおよびパケットベースの処理

  • PMIモードパススルーESPトラフィック:Junos OSリリース22.1R3以降、SRX4100、SRX4200およびvSRX上のパススルーESPトラフィックのPMIエクスプレスパス処理がサポートされています。

  • コンテンツ セキュリティ向けフロー セッション操作コマンド サポート(SRX シリーズおよび vSRX):コンテンツ フィルタリングおよび Web フィルタリング コンテンツ セキュリティ機能の詳細を表示するために、操作コマンド サポートを拡張しshow security flow sessionました。

    [ show security flow sessionを参照してください。

一般的なルーティング

  • リソースパス/junos/system/linecard/environmentに登録すると、コレクター側のストリームパスのプレフィックスが/junos/linecard/environmentと表示されていました。この問題は、Junos OS 23.1R1およびJunos OS Evolved 23.1R1で解決されており、サブスクリプションパスとストリーミングパスは/junos/system/linecard/environmentを表示するように一致します。

  • ローカル証明書検証のタイム ゾーン サポート(SRX1500 および SRX5600):このリリース以降、ローカル証明書の検証に失敗した場合、コマンド出力とシステム ログ メッセージで失敗したローカル証明書のタイム ゾーンを確認できます。

J-Web

  • パケット キャプチャはコントロール プレーン パケット キャプチャ(SRX シリーズ)と呼ばれるようになりました。Junos OS 23.1R1 リリース以降、デバイス管理メニューの パケット キャプチャをコントロール プレーン パケット キャプチャに名称変更しました このページを使用して、ルーターのコントロール プレーン トラフィックをキャプチャして分析できます。

    [ コントロール プレーン パケット キャプチャを参照してください。]

ネットワークの管理と監視

  • operator ログイン クラスが次の NETCONF トレース ファイルを表示できないように制限されている no-world-readable (ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)—階層レベルで [edit system services netconf traceoptions] NETCONF トレース オプションを設定し、 ステートメントを設定または省略 no-world-readable してファイル所有者へのファイル アクセスを制限する場合(デフォルト)、ログイン クラスに割り当てられた operator ユーザーにはトレース ファイルを表示する権限がなくなります。

  • のサポート junos:cli-feature YANG 拡張機能(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX):YANG 拡張cli-feature 、一部のコマンド オプションや設定ステートメントに関連する特定の CLI プロパティを識別します。設定またはRPCを定義するJunos YANGモジュールは、必要に応じて、拡張機能とともに出力されるスキーマに 拡張ステートメントを含め cli-feature ます。この拡張機能は、クライアントが YANG データ モデルを使用する場合に役立ちますが、特定のワークフローでは、クライアントが CLI ベースのツールを生成する必要があります。

    [ Junos DDL 拡張 YANG モジュールについて]

  • XML タグを get-system-yang-packages RPC 応答の変更(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)- RPC 応答は get-system-yang-packages 、タグを xmlproxy-yang-modules XML 出力のタグに proxy-xml-yang-modules 置き換えます。

  • 存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除した場合operation="delete"のNETCONFサーバーの<rpc-error>要素の変更:または <load-configuration> の操作operation="delete"がターゲット設定に存在しない構成要素を削除するために使用するときに<edit-config>NETCONFサーバーが返す応答を変更<rpc-error>しました。エラーの重大度は警告ではなくエラーであり、要素には<rpc-error>要素<error-tag>data-missing</error-tag>と要素<error-type>application</error-type>が含まれます。

Vpn

  • リモートアクセスプロファイル名の形式を変更する(SRXシリーズおよびvSRX 3.0):Junos OSリリース23.1R1以降、Juniper Secure Connectを使用したエンドユーザーエクスペリエンスを向上させるために、リモートアクセスプロファイル名の形式を変更しました。Junos OS Release 23.1R1より以前のリリースでは、[]階層レベルでレルム名を使用してリモートアクセスプロファイル名edit security remote-access profile realm-nameを設定します。ただし、組織が複数のゲートウェイに接続している場合、リモート アクセス プロファイル名 (hr など) をリモート アクセス接続プロファイルで複数回使用すると、管理できなくなります。

    この問題に対処するために、リモート アクセス プロファイル名を構成するための新しい規則を導入します。[edit security remote-access profile realm-name] 階層レベルで以下のいずれかの形式を使用して URL でプロファイル名を構成できるようになり、エンドユーザーが関連するゲートウェイに接続できるようになりました。

    • FQDN/RealmName

    • FQDN

    • IP address/RealmName

    • IP address

    例えば、レルム名として ra.example.com/hrra1.example.com/hrおよび ra.example.com を使用できるようになりました。

    この規則の導入に伴い、[] 階層レベルで既存のdefault-profileオプションをedit security remote-access非推奨にする必要があります。リモート アクセス プロファイル名は、エンド ユーザーの接続方法に応じて、FQDN または IP アドレスを使用した URL (ra.example.com/hrra.example.com、192.168.1.10/hr、192.168.1.10 など) を参照します。この変更により、エンドユーザーには、以前のリリースのように、Juniper Secure Connectアプリケーションの接続プロファイル名がhrではなく ra.example.com/hr と表示されるようになります。

    既存の展開では、この変更にスムーズに移行するために、次のコマンドを使用して、現在の構成のプロファイル名 hr を ra.example.com/hr または [] 階層レベルで 192.168.1.10/hredit に変更することをお勧めします。

    [ プロファイル(Juniper Secure Connect)を参照してください。]

  • ローカルエンドエンティティ(EE)証明書(SRX300、SRX320、SRX550HM、SRX1500、SRX4100、SRX4600、SRX5400、SRX5600、SRX5800)の自動再登録の機能強化:Junos OSリリース23.2R1以降、このオプションはre-enroll-trigger-time-percentageオプションになりました。ただし、 を成功させるにはcommit-checkre-enroll-trigger-time-percentage または re-enroll-time のいずれかを設定する必要があります。

    [ 自動再登録 (セキュリティ)を参照してください。

  • IPSec VPN(SRXシリーズ)の電源モードIPsec Intel QATオプションの削除:表示用にJunos CLIから[edit security flow]階層レベルのオプションpower-mode-ipsec-qatを削除しました。複数のIPsec VPNトンネルで設定することは推奨されていないため、このオプションは非表示になっています。QAT よりも優れたパフォーマンスを実現するために、PMI モードで AES-NI を引き続き使用します。

    [ PowerMode IPsec による IPsec パフォーマンスの向上を参照してください。]

  • リモートアクセスVPNソリューション(SRXシリーズおよびvSRX 3.0)でオプションが利用できないdefault-profile—Junos OSリリース23.1R1以降、[]階層レベルでオプションedit security remote-accessdefault-profile非表示にしました。Junos OS リリース 23.1R1 より前のリリースでは、このオプションを使用して、Juniper Secure Connect のデフォルトプロファイルとしてリモートアクセスプロファイルの 1 つを指定します。ただし、リモート アクセス プロファイル名の形式が変更されたことで、このオプションが不要default-profileになりました。

    すぐに削除するのではなく、このオプションを廃止 default-profile したのは、後方互換性と、既存の構成を変更した構成に適合させる機会を提供するためです。構成でオプションを引き続き使用する default-profileと、警告メッセージが表示されます。ただし、現在の構成を変更しても、既存の展開には影響しません。

    既存の展開では、この変更にスムーズに移行するために、次のコマンドを使用して、現在の構成hrのプロファイル名を[]edit階層レベルで ra.example.com/hr または192.168.1.10/hrに変更することをお勧めします。

    新しい構成の場合、次のシナリオを考慮して、エンドユーザーがJuniper Secure Connectアプリケーションを使用して接続する方法に基づいて新しいリモートアクセスプロファイルを作成します。

    • エンド ユーザーが IP アドレスを使用して接続する場合は、プロファイル名に IP アドレスを指定します。

    • エンド ユーザーが FQDN を使用して接続する場合は、プロファイル名に FQDN を指定します。

    • hr などの異なる領域値を持つユーザーを分離する必要がある場合は、次のように /hr を IP アドレスまたは FQDN に追加します。

      • [edit security remote-access profile ra.example.net/hr]

      • [edit security remote-access profile 192.168.1.10/hr]

    [ default-profile(Juniper Secure Connect) を参照してください)。

  • リモートアクセスVPNソリューションは、16進数の事前共有に対応していません(SRXシリーズおよびvSRX 3.0)—リモートアクセスVPNソリューションでは、事前共有キーベースの認証方法として、ASCIIテキスト形式をサポートしています。つまり、リモート アクセス VPN ソリューションの設定で、事前共有キーに 6 進数形式を使用しないでください。そのため、Juniper Secure Connectで使用するには、階層レベルで[edit security ike policy policy-name pre-shared-key]ASCIIテキスト形式のステートメントascii-textを設定してください。

  • SCEP PKI 証明書登録の機能拡張:SCEP PKI 証明書登録に論理システム オプションが追加されました。

    [ セキュリティpkiローカル証明書登録scepの要求を参照してください。

  • IPsec VPN IKEネゴシエーション(SRXシリーズ)における証明書要求ペイロードの変更点—IKE SAネゴシエーションのIKEポリシーで構成されたtrusted-ca/caプロファイルの場合、IKE SAネゴシエーションの証明書要求ペイロードには、そのtrusted-ca/caプロファイルに関連付けられたCA証明書が含まれます。例えば、 の IKE ポリシー edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority 内の trusted-ca/ca-profile の場合、この IKE ポリシーpolicy-nameを使用する IKE SA ネゴシエーションの certificate-request ペイロードには、 CA の CA certificate-authority証明書が含まれます。

  • SSLプロキシ(SRXシリーズおよびvSRX 3.0)によるECDSA証明書の限定サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールにSSLプロキシが設定されている

    • P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。

    • RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。

    • 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

    • その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。