変更点

EVPN ELAN サービスのフローラベル設定ステータス show evpn instance extensive コマンドの出力には、ルーティングインスタンスではなく、デバイスのフローラベルとフローラベル静的の動作ステータスが表示されるようになりました。 flow-label が有効になっているデバイスは、フローアウェアトランスポート(FAT)フローラベルをサポートし、そのサポートをネイバーにアドバタイズします。 flow-label-static が有効になっているデバイスは、FAT フローラベルをサポートしますが、その機能をアドバタイズしません。

ping オーバーレイまたは traceroute オーバーレイ操作で UDP 送信元ポートを指定する — 22.4R1 より前の Junos OS リリースでは、ping オーバーレイまたは traceroute オーバーレイ操作で udp 送信元ポートを設定することができませんでした。EVPN-VXLAN 環境で hash を使用してこの値を設定できるようになりました。設定オプション hash は、送信元ポート値の決定に使用される可能性のある他の hash-* オプションを上書きします。

PMI モード パススルー ESP トラフィック:Junos OS リリース 22.1R3 以降、SRX4100、SRX4200、vSRX でのパススルー ESP トラフィックの PMI エクスプレス パス処理がサポートされています。

コンテンツセキュリティ向けフローセッション操作コマンドサポート(SRXシリーズおよびvSRX)— show security flow session 操作コマンドのサポートを拡張し、コンテンツフィルタリング機能とWebフィルタリングコンテンツセキュリティ機能の詳細を表示できるようにしました。

[ セキュリティ フロー セッションを show security flow session 参照]

ローカル証明書検証(SRX1500およびSRX5600)のタイムゾーンサポート:このリリース以降、ローカル証明書の検証に失敗した場合、コマンド出力とシステムログメッセージで失敗したローカル証明書のタイムゾーンを確認できます。

パケットキャプチャは、コントロールプレーンパケットキャプチャ(SRXシリーズ)に名称変更されました— Junos OS 23.1R1リリースより、デバイス管理メニューのパケットキャプチャからコントロールプレーンパケットキャプチャに名称が変更されました。このページを使用して、ルーター上のコントロールプレーントラフィックをキャプチャおよび分析できます。

[ コントロールプレーンパケットキャプチャを参照]

ログインクラスoperator、no-world-readable(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)のNETCONFトレースファイルの表示が制限されています—[edit system services netconf traceoptions]階層レベルでNETCONFトレースオプションを設定し、no-world-readableステートメント(デフォルト)を設定または省略することでファイル所有者にファイルアクセスを制限すると、operatorログインクラスに割り当てられたユーザーにはトレースファイルを表示する権限がありません。

junos:cli-featureのサポートYANG拡張(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)—cli-featureYANG拡張は、一部のコマンドオプションおよび設定ステートメントに関連付けられた特定のCLIプロパティを識別します。設定または RPC を定義する Junos YANG モジュールには、必要に応じて、拡張機能で出力されるスキーマに cli-feature 拡張ステートメントが含まれます。この拡張は、クライアントが YANG データ モデルを使用する場合に有効ですが、特定のワークフローでは、クライアントが CLI ベースのツールを生成する必要があります。

[ Junos DDL拡張YANGモジュールについてを参照してください。]

get-system-yang-packages内の XML タグRPC返信が変更されました(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)—get-system-yang-packagesRPC返信は、XML出力のxmlproxy-yang-modulesタグをproxy-xml-yang-modulesタグに置き換えます。

operation="delete"操作が存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除した場合のNETCONFサーバーの<rpc-error>要素の変更—<edit-config>または<load-configuration>操作がoperation="delete"を使用してターゲット設定に存在しない設定要素を削除する際にNETCONFサーバーが返す<rpc-error>応答を変更しました。エラーの重大度は warning ではなく error で、<rpc-error> 要素には <error-tag>data-missing</error-tag> 要素と <error-type>application</error-type> 要素が含まれます。

証明書登録(Junos)に関連するオプションの廃止—Junos OS リリース 23.2R1 以降、SCEP(簡易証明書登録プロトコル)を介してローカル証明書を登録および再登録するための、公開鍵基盤(PKI)に関連する以前の CLI オプションを非推奨にします。以下の表は、Junos CLIコマンドと、廃止されるオプションを含む設定ステートメントを示しています。これらのコマンドとステートメントの オプションで使用できるようになったのと同じ CLI オプション scep 確認できます。

[ 「自動再登録(セキュリティ)」、「 request security pki local-certificate enroll scep」、および 「request security pki node-local local-certificate enroll」を参照してください。

リモートアクセスプロファイル名の形式を変更(SRXシリーズおよびvSRX 3.0)—Junos OS リリース23.1R1以降、Juniper Secure Connectを使用したエンドユーザーエクスペリエンスを向上させるために、リモートアクセスプロファイル名の形式を変更しました。Junos OS リリース 23.1R1 より前のリリースでは、[edit security remote-access profile realm-name] 階層レベルのレルム名を使用してリモートアクセス プロファイル名を設定します。しかし、組織が複数のゲートウェイに接続している場合、リモートアクセス接続プロファイルで hr などのリモートアクセス プロファイル名を複数回使用すると、管理できなくなります。

この問題を解決するために、リモートアクセス プロファイル名を設定するための新しい規則を導入します。エンド ユーザーが関連するゲートウェイに接続できるように、[edit security remote-access profile realm-name] 階層レベルで次のいずれかの形式を使用して URL を使用してプロファイル名を構成できるようになりました。

• FQDN/RealmName

• FQDN

• IP address/RealmName

• IP address

例えば、 ra.example.com/hr、 ra1.example.com/hr 、 および ra.example.com をレルム名として使用できるようになりました。

この規則の導入に伴い、[edit security remote-access] 階層レベルで既存の default-profile オプションを非推奨にする必要があります。リモートアクセス プロファイル名は、エンド ユーザーの接続方法(ra.example.com/hr、ra.example.com、192.168.1.10/hr、192.168.1.10 など)に応じて、FQDN または IP アドレスを含む URL を参照します。この変更により、エンド・ユーザーには、以前のリリースの場合と同様に、Juniper Secure Connect アプリケーションでの接続プロファイル名が hr ではなく ra.example.com/hr として表示されるようになります。

既存の展開では、この変更をスムーズに移行するために、次のコマンドを使用して、現在の設定のプロファイル名hrを[edit]階層レベルで ra.example.com/hr または192.168.1.10/hrに変更することをお勧めします。

[ プロファイル(Juniper Secure Connect)を参照してください。]

ローカルエンドエンティティ(EE)証明書の自動再登録の機能強化(SRX300、SRX320、SRX550HM、SRX1500、SRX4100、SRX4600、SRX5400、SRX5600、SRX5800)—Junos OS リリース 23.2R1以降、オプションre-enroll-trigger-time-percentageはオプションになりました。ただし、commit-checkを成功させるには、re-enroll-timeまたはre-enroll-trigger-time-percentageのいずれかを設定する必要があります。

[ 自動再登録(セキュリティ)を参照してください。

IPSec VPN(SRXシリーズ)の電源モードIPsec Intel QATオプションの削除—表示用にJunos CLIから[edit security flow]階層レベルのオプションpower-mode-ipsec-qatを削除しました。このオプションは、複数の IPSec VPN トンネルで構成することが推奨されないため、現在は非表示になっています。QATよりも優れたパフォーマンスを得るために、PMIモードでAES-NIを引き続き使用しています。

[ PowerMode IPsec による IPsec パフォーマンスの向上を参照してください。

リモートアクセスVPNソリューション(SRXシリーズおよびvSRX 3.0)でdefault-profileオプションが利用できないことについて—Junos OS リリース 23.1R1以降、[edit security remote-access]階層レベルでdefault-profileオプションを非表示にしました。Junos OS リリース 23.1R1 より前のリリースでは、このオプションを使用して、リモートアクセス プロファイルの 1 つを Juniper Secure Connect のデフォルト プロファイルとして指定します。しかし、リモートアクセスプロファイル名の形式が変更されたため、default-profileオプションは不要になりました。

default-profile オプションは、後方互換性を確保し、既存の構成を変更された構成に適合させる機会を提供するために、すぐに削除するのではなく、非推奨としました。設定で default-profile オプションを引き続き使用すると、警告メッセージが表示されます。ただし、現在の設定を変更しても、既存の展開には影響しません。

既存の展開では、この変更をスムーズに移行するために、次のコマンドを使用して、現在の設定のプロファイル名 hr を [edit] 階層レベルで ra.example.com/hr または 192.168.1.10/hr に変更することをお勧めします。

新しい構成の場合は、次のシナリオを考慮して、エンドユーザーが Juniper Secure Connect アプリケーションを使用して接続する方法に基づいて新しいリモートアクセス プロファイルを作成します。

• エンド ユーザーが IP アドレスを使用して接続する場合は、プロファイル名に IP アドレスを指定します。

• エンド ユーザーが FQDN を使用して接続する場合は、プロファイル名に FQDN を指定します。

• hr などの異なる領域値を持つユーザーを区切る必要がある場合は、次のように IP アドレスまたは FQDN に /hr を追加します。

  • [edit security remote-access profile ra.example.net/hr]

  • [edit security remote-access profile 192.168.1.10/hr]

[ default-profile(Juniper Secure Connect) を参照してください。

リモートアクセスVPNソリューションは、16進数の事前共有をサポートしていません(SRXシリーズおよびvSRX 3.0)—リモートアクセスVPNソリューションでは、事前共有キーベースの認証方法として、ASCIIテキスト形式をサポートしています。つまり、リモートアクセス VPN ソリューションの設定では、事前共有キーに hexademicical 形式を使用しないでください。そのため、Juniper Secure Connectで使用するために、階層レベルでASCIIテキスト形式でステートメント ascii-text 設定 [edit security ike policy policy-name pre-shared-key] 。

SCEP PKI証明書登録の機能拡張:SCEP PKI 証明書登録に論理システム オプションが追加されました。

[ request security pki local-certificate enroll scepを参照してください。

IPSec VPN IKE ネゴシエーション(SRXシリーズ)の証明書要求ペイロードの変更—IKE SA ネゴシエーションの IKE ポリシーで設定された trusted-ca/ca-profile の場合、その IKE SA ネゴシエーションの証明書要求ペイロードには、その trusted-ca/ca プロファイルに関連付けられた CA 証明書が含まれます。例えば、 edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority の IKE ポリシーの trusted-ca/ca-profile の場合、この IKE ポリシー policy-name を使用する IKE SA ネゴシエーションの certificate-request ペイロードには、CA certificate-authorityの CA 証明書が含まれます。

SSLプロキシ(SRXシリーズおよびvSRX 3.0)による限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシを設定し、

• P-384/P-521サーバ証明書を持つECDSAベースのWebサイトは、セキュリティデバイスにP-256グループのみをサポートする制限があるため、root-ca証明書ではアクセスできません。

• RSA ベースの root-ca および P-384/P-521 ECDSA root-ca 証明書が設定されている場合、SSL ターミネータが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。RSA ルート証明書とともに ECDSA ベースと RSA ベースの両方の Web サイトにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を設定します。

• 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

• 他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにはアクセスできません。この問題は、署名検証に失敗したハードウェアオフロードモードで発生します。ECDSA証明書のハードウェアオフロードはJunos OSリリース22.1R1で導入されているため、22.1R1より前にリリースされたJunos OSを使用する場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。