Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

変更点

SRXシリーズのこのリリースでの変更点について説明します。

Junos XML APIとスクリプティング

  • xmlns:junos属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)xmlns:junosが含まれます—XML RPC応答の名前空間文字列には、コマンドによってshow version出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれます。以前のリリースでは、xmlns:junos文字列には部分的なソフトウェアバージョン情報のみが含まれていました。

ネットワークの管理と監視

  • show system yang package (get-system-yang-packagesRPC)XML 出力(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)の変更点:show system yang packageコマンドと <get-system-yang-packages> RPC では、XML 出力に次の変更が含まれています。

    • ルート要素は yang-package-information ではなく yang-pkgs-infoです。

    • 要素は、パッケージ ファイルの各セットを yang-package 囲みます。

    • yang-pkg-idタグの名前package-idが に変更されます。

    • パッケージに翻訳スクリプトが含まれていない場合、翻訳スクリプト(trans-scripts)の値は none.

  • 存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除するために使用する場合<load-configuration>operation="delete"のNETCONFサーバーの<rpc-error>応答を変更しました—以前のリリースでは、または <load-configuration> 操作operation="delete"がを使用してターゲット設定に存在しない構成要素を削除する場合<edit-config>のNETCONFサーバーの<rpc-error>応答を変更しました。応答に対する<load-configuration>変更を元に戻しました。

  • RFC 準拠の NETCONF セッション(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)での運用に対する <validate> RPC 応答の変更-階層レベルで ステートメント[edit system services netconf]を設定するrfc-compliantと、NETCONF サーバーは操作に応じて <validate> または <ok/> <rpc-error> 要素のみを出力します。以前のリリースでは、RPC 応答には 要素も含まれています<commit-results>

プラットフォームとインフラストラクチャ

  • SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが構成されている場合:

    • P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。

    • RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。

    • 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

    • その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。

ルーティングポリシーおよびファイアウォールフィルター

  • VPN 経由のトラフィック損失防止に関連するコミット警告メッセージ(SRX シリーズ、vSRX、NFX シリーズ)を記録するための Syslog - VPN フラップや障害イベントの発生についてDAX_ITEM_DELETE_ALL、MGD が IKED または KMD プロセスに通知した などのwarning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed設定コミット警告warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies 。これらの警告メッセージは、VPN 経由のトラフィック損失を防ぐために syslog によってキャプチャされます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決しておくことを推奨します。

Vpn

  • 中間 CA 証明書(SRX シリーズ ファイアウォール、vSRX 仮想ファイアウォール、cSRX)が削除された場合のローカル証明書 ID 検証の出力の機能強化—PKID プロセスを実行しているデバイスで、中間 CA 証明書が削除されたときの出力request security pki local-certificate verifyが変更されました。出力に が表示されますlocal certificate hub_cert1 verification failed. Cannot build cert chain.

    [ セキュリティpkiローカル証明書検証の要求(セキュリティ)を参照してください。

  • show security pki local-certificateコマンド(SRXシリーズファイアウォール、vSRX 3.0)の出力における代替サブジェクト名の拡張:複数のFQDNを持つ証明書に、関連するすべてのドメイン、IPv4またはIPv6アドレス、および電子メールアドレスが Alternate subject フィールドに表示されるようになりました。これらの機能強化は、 コマンドの出力 show security pki local-certificate に見られます。以前のコマンド出力では、最後の FQDN の詳細のみが表示されていました。

    [ show security pki local-certificate(View)を参照してください。]