変更点

xmlns:junos属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)xmlns:junosが含まれます—XML RPC応答の名前空間文字列には、コマンドによってshow version出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれます。以前のリリースでは、xmlns:junos文字列には部分的なソフトウェアバージョン情報のみが含まれていました。

show system yang package (get-system-yang-packagesRPC)XML 出力(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)の変更点:show system yang packageコマンドと <get-system-yang-packages> RPC では、XML 出力に次の変更が含まれています。

• ルート要素は yang-package-information ではなく yang-pkgs-infoです。

• 要素は、パッケージ ファイルの各セットを yang-package 囲みます。

• yang-pkg-idタグの名前package-idが に変更されます。

• パッケージに翻訳スクリプトが含まれていない場合、翻訳スクリプト(trans-scripts)の値は none.

存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除するために使用する場合<load-configuration>operation="delete"のNETCONFサーバーの<rpc-error>応答を変更しました—以前のリリースでは、または <load-configuration> 操作operation="delete"がを使用してターゲット設定に存在しない構成要素を削除する場合<edit-config>のNETCONFサーバーの<rpc-error>応答を変更しました。応答に対する<load-configuration>変更を元に戻しました。

RFC 準拠の NETCONF セッション(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)での運用に対する <validate> RPC 応答の変更-階層レベルで ステートメント[edit system services netconf]を設定するrfc-compliantと、NETCONF サーバーは操作に応じて <validate> または <ok/> <rpc-error> 要素のみを出力します。以前のリリースでは、RPC 応答には 要素も含まれています<commit-results>。

SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが構成されている場合:

• P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。

• RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。

• 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

• その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。

VPN 経由のトラフィック損失防止に関連するコミット警告メッセージ(SRX シリーズ、vSRX、NFX シリーズ)を記録するための Syslog - VPN フラップや障害イベントの発生についてDAX_ITEM_DELETE_ALL、MGD が IKED または KMD プロセスに通知した などのwarning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed設定コミット警告warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies 。これらの警告メッセージは、VPN 経由のトラフィック損失を防ぐために syslog によってキャプチャされます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決しておくことを推奨します。

コマンドの新しいrequest system snapshotオプション(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ):request system snapshotコマンドには、非リカバリスナップショット用の新しいオプションが含まれています。スナップショットのユーザー定義名を指定するオプションを含めnameたり、スナップショットに設定ファイルを含めたり除外したりする または no-configuration オプションを含めることができますconfiguration。デフォルトでは、スナップショットは、/config ディレクトリと /var ディレクトリの内容、および特定の SSH ファイルを含む構成ファイルを保存します。

[ request system snapshot (Junos OS with Upgrade FreeBSD)』を参照してください。]

中間 CA 証明書(SRX シリーズ ファイアウォール、vSRX 仮想ファイアウォール、cSRX)が削除された場合のローカル証明書 ID 検証の出力の機能強化—PKID プロセスを実行しているデバイスで、中間 CA 証明書が削除されたときの出力 request security pki local-certificate verify が変更されました。出力に が表示されます local certificate hub_cert1 verification failed. Cannot build cert chain.。

[ セキュリティpkiローカル証明書検証の要求(セキュリティ)を参照してください。

show security pki local-certificateコマンド(SRXシリーズファイアウォール、vSRX 3.0)の出力における代替サブジェクト名の拡張:複数のFQDNを持つ証明書に、関連するすべてのドメイン、IPv4またはIPv6アドレス、および電子メールアドレスが Alternate subject フィールドに表示されるようになりました。これらの機能強化は、 コマンドの出力 show security pki local-certificate に見られます。以前のコマンド出力では、最後の FQDN の詳細のみが表示されていました。

[ show security pki local-certificate(View)を参照してください。]