Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

変更点

SRXシリーズのこのリリースでの変更点について説明します。

Junos XML APIとスクリプティング

  • xmlns:junos属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)が含まれます。XML RPC応答のxmlns:junos名前空間文字列には、show versionコマンドによって出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれています。それ以前のリリースでは、xmlns:junos文字列には部分的なソフトウェアバージョン情報のみが含まれていました。

ネットワークの管理と監視

  • show system yang package(get-system-yang-packages RPC)XML出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)の変更点:show system yang packageコマンドと<get-system-yang-packages>RPCには、XML出力に対する以下の変更が含まれます。

    • ルート要素はyang-pkgs-infoではなくyang-package-informationです。

    • yang-package 要素は、パッケージ ファイルの各セットを囲みます。

    • yang-pkg-id タグの名前が package-id に変更されます。

    • パッケージに翻訳スクリプトが含まれていない場合、翻訳スクリプト (trans-scripts) の値は none です。

  • <load-configuration>operation="delete"を使用して存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除すると、NETCONFサーバーの<rpc-error>応答が変更されました。以前のリリースでは、<edit-config>または<load-configuration>操作がoperation="delete"を使用してターゲット設定に存在しない構成要素を削除した場合のNETCONFサーバーの<rpc-error>応答を変更しました。<load-configuration>応答への変更を元に戻しました。

  • RFC 準拠の NETCONF セッション(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)での <validate> 操作に対する RPC 応答の変更[edit system services netconf]階層レベルで rfc-compliant ステートメントを設定すると、NETCONF サーバーは<validate>操作に対して <ok/> 要素または <rpc-error> 要素のみを出力します。以前のリリースでは、RPC 応答には <commit-results> 要素も含まれています。

プラットフォームとインフラストラクチャ

  • SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが構成されている場合:

    • P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。

    • RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。

    • 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

    • その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。

ティッカー

  • 証明書登録(Junos)に関連するオプションの廃止:Junos OSリリース23.2R1以降、簡易証明書登録プロトコル(SCEP)を介してローカル証明書を登録および再登録するため、公開鍵基盤(PKI)に関連する以前のCLIオプションを非推奨にします。以下の表は、非推奨となるオプションを含むJunos CLIコマンドと設定ステートメントを示しています。これらのコマンドおよびステートメントの scep オプションで、同じCLIオプションが使用可能になりました。

    表 1: 非推奨の Junos CLI オプション

    Junos CLI コマンドおよびステートメント

    非推奨のオプション

    set security pki auto-re-enrollment

    certificate-id

    request security pki local-certificate enroll

    ca-profile

    certificate-id

    challenge-password

    digest

    domain-name

    email

    ip-address

    ipv6-address

    logical-system

    scep-digest-algorithm

    scep-encryption-algorithm

    subject

    request security pki node-local local-certificate enroll

    ca-profile

    certificate-id

    challenge-password

    digest

    domain-name

    email

    ip-address

    ipv6-address

    logical-system

    scep-digest-algorithm

    scep-encryption-algorithm

    subject

    [自動再登録 (セキュリティ)、セキュリティ PKI ローカル証明書登録 scep の要求およびセキュリティ PKI ノードローカル証明書の登録の要求を参照してください。

ルーティングポリシーおよびファイアウォールフィルター

  • VPN 経由(SRX シリーズ、vSRX、NFX シリーズ)経由のトラフィック損失防止に関連するコミット警告メッセージをキャプチャするための Syslog - warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed などの設定コミット警告により、MGD は IKED または KMD プロセスにVPNフラップや停止イベントの原因となっている DAX_ITEM_DELETE_ALL を通知しました。これらの警告メッセージは、VPN 経由のトラフィック損失を防ぐために syslog によってキャプチャされます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決しておくことを推奨します。

ソフトウェアのインストールとアップグレード

  • request system snapshot コマンドの新しいオプション(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ)- request system snapshot コマンドには、非リカバリ スナップショットの新しいオプションが含まれています。スナップショットのユーザー定義名を指定する name オプションを含めたり、スナップショットに設定ファイルを含めたり除外したりする configuration オプションまたは no-configuration オプションを含めることができます。デフォルトでは、スナップショットは、/config ディレクトリと /var ディレクトリの内容、および特定の SSH ファイルを含む構成ファイルを保存します。

    [ request system snapshot (Junos OS with Upgrade FreeBSD)』を参照してください。]

VPN

  • 中間 CA 証明書(SRX シリーズファイアウォール、vSRX 仮想ファイアウォール、cSRX)が削除された場合のローカル証明書 ID 検証の出力の機能強化—PKID プロセスを実行しているデバイスで、中間 CA 証明書が削除されたときの request security pki local-certificate verify の出力が変更されました。出力に local certificate hub_cert1 verification failed. Cannot build cert chain. が表示されます。

    [ セキュリティpkiローカル証明書検証の要求(セキュリティ)を参照してください。

  • show security pki local-certificateコマンド(SRXシリーズファイアウォール、vSRX 3.0)の出力における代替サブジェクト名の機能強化:複数のFQDNを持つ証明書について、関連するすべてのドメイン、IPv4またはIPv6アドレス、および電子メールアドレスが[ Alternate subject ]フィールドに表示されるようになりました。これらの機能強化は、 show security pki local-certificate コマンドの出力に見られます。以前のコマンド出力では、最後の FQDN の詳細のみが表示されていました。

    [ show security pki local-certificate(View)を参照してください。]