変更点
SRXシリーズのこのリリースでの変更点について説明します。
Junos XML APIとスクリプティング
-
xmlns:junos
属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)が含まれます。XML RPC応答のxmlns:junos
名前空間文字列には、show version
コマンドによって出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれています。それ以前のリリースでは、xmlns:junos
文字列には部分的なソフトウェアバージョン情報のみが含まれていました。
ネットワークの管理と監視
-
show system yang package
(get-system-yang-packages
RPC)XML出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)の変更点:show system yang package
コマンドと<get-system-yang-packages>
RPCには、XML出力に対する以下の変更が含まれます。-
ルート要素は
yang-pkgs-info
ではなくyang-package-information
です。 -
yang-package
要素は、パッケージ ファイルの各セットを囲みます。 -
yang-pkg-id
タグの名前がpackage-id
に変更されます。 -
パッケージに翻訳スクリプトが含まれていない場合、翻訳スクリプト (
trans-scripts
) の値はnone
です。
-
-
<load-configuration>
operation="delete"
を使用して存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除すると、NETCONFサーバーの<rpc-error>
応答が変更されました。以前のリリースでは、<edit-config>
または<load-configuration>
操作がoperation="delete"
を使用してターゲット設定に存在しない構成要素を削除した場合のNETCONFサーバーの<rpc-error>
応答を変更しました。<load-configuration>
応答への変更を元に戻しました。 -
RFC 準拠の NETCONF セッション(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)での
<validate>
操作に対する RPC 応答の変更—[edit system services netconf]
階層レベルでrfc-compliant
ステートメントを設定すると、NETCONF サーバーは<validate>
操作に対して<ok/>
要素または<rpc-error>
要素のみを出力します。以前のリリースでは、RPC 応答には<commit-results>
要素も含まれています。
プラットフォームとインフラストラクチャ
-
SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが構成されている場合:
-
P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。
-
RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。
-
一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。
-
その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。
-
ティッカー
-
証明書登録(Junos)に関連するオプションの廃止:Junos OSリリース23.2R1以降、簡易証明書登録プロトコル(SCEP)を介してローカル証明書を登録および再登録するため、公開鍵基盤(PKI)に関連する以前のCLIオプションを非推奨にします。以下の表は、非推奨となるオプションを含むJunos CLIコマンドと設定ステートメントを示しています。これらのコマンドおよびステートメントの
scep
オプションで、同じCLIオプションが使用可能になりました。表 1: 非推奨の Junos CLI オプション Junos CLI コマンドおよびステートメント
非推奨のオプション
set security pki auto-re-enrollment
certificate-id
request security pki local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
request security pki node-local local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
[自動再登録 (セキュリティ)、セキュリティ PKI ローカル証明書登録 scep の要求、およびセキュリティ PKI ノードローカル証明書の登録の要求を参照してください。
ルーティングポリシーおよびファイアウォールフィルター
-
VPN 経由(SRX シリーズ、vSRX、NFX シリーズ)経由のトラフィック損失防止に関連するコミット警告メッセージをキャプチャするための Syslog -
warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies
やwarning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed
などの設定コミット警告により、MGD は IKED または KMD プロセスにVPNフラップや停止イベントの原因となっている DAX_ITEM_DELETE_ALL を通知しました。これらの警告メッセージは、VPN 経由のトラフィック損失を防ぐために syslog によってキャプチャされます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決しておくことを推奨します。
ソフトウェアのインストールとアップグレード
-
request system snapshot
コマンドの新しいオプション(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ)-request system snapshot
コマンドには、非リカバリ スナップショットの新しいオプションが含まれています。スナップショットのユーザー定義名を指定するname
オプションを含めたり、スナップショットに設定ファイルを含めたり除外したりするconfiguration
オプションまたはno-configuration
オプションを含めることができます。デフォルトでは、スナップショットは、/config ディレクトリと /var ディレクトリの内容、および特定の SSH ファイルを含む構成ファイルを保存します。[ request system snapshot (Junos OS with Upgrade FreeBSD)』を参照してください。]
VPN
-
中間 CA 証明書(SRX シリーズファイアウォール、vSRX 仮想ファイアウォール、cSRX)が削除された場合のローカル証明書 ID 検証の出力の機能強化—PKID プロセスを実行しているデバイスで、中間 CA 証明書が削除されたときの
request security pki local-certificate verify
の出力が変更されました。出力にlocal certificate hub_cert1 verification failed. Cannot build cert chain.
が表示されます。[ セキュリティpkiローカル証明書検証の要求(セキュリティ)を参照してください。
-
show security pki local-certificateコマンド(SRXシリーズファイアウォール、vSRX 3.0)の出力における代替サブジェクト名の機能強化:複数のFQDNを持つ証明書について、関連するすべてのドメイン、IPv4またはIPv6アドレス、および電子メールアドレスが[
Alternate subject
]フィールドに表示されるようになりました。これらの機能強化は、show security pki local-certificate
コマンドの出力に見られます。以前のコマンド出力では、最後の FQDN の詳細のみが表示されていました。[ show security pki local-certificate(View)を参照してください。]