変更点
vSRXの今回のリリースでの変更点について説明します。
Junos XML APIとスクリプティング
-
xmlns:junos
属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)xmlns:junos
が含まれます—XML RPC応答の名前空間文字列には、コマンドによってshow version
出力されるバージョンと同じ完全なソフトウェアバージョンリリース番号が含まれます。以前のリリースでは、xmlns:junos
文字列には部分的なソフトウェアバージョン情報のみが含まれていました。
ネットワークの管理と監視
-
show system yang package
(get-system-yang-packages
RPC)XML 出力(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)の変更点:show system yang package
コマンドと<get-system-yang-packages>
RPC では、XML 出力に次の変更が含まれています。-
ルート要素は
yang-package-information
ではなくyang-pkgs-info
です。 -
要素は、パッケージ ファイルの各セットを
yang-package
囲みます。 -
yang-pkg-id
タグの名前package-id
が に変更されます。 -
パッケージに翻訳スクリプトが含まれていない場合、翻訳スクリプト(
trans-scripts
)の値はnone
.
-
-
存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除するために使用する場合
<load-configuration>
operation="delete"
のNETCONFサーバーの<rpc-error>
応答を変更しました—以前のリリースでは、または<load-configuration>
操作operation="delete"
がを使用してターゲット設定に存在しない構成要素を削除する場合<edit-config>
のNETCONFサーバーの<rpc-error>
応答を変更しました。応答に対する<load-configuration>
変更を元に戻しました。 -
RFC 準拠の NETCONF セッション(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)での運用に対する
<validate>
RPC 応答の変更-階層レベルで ステートメント[edit system services netconf]
を設定するrfc-compliant
と、NETCONF サーバーは操作に応じて<validate>
または<ok/>
<rpc-error>
要素のみを出力します。以前のリリースでは、RPC 応答には 要素も含まれています<commit-results>
。
プラットフォームとインフラストラクチャ
-
SSLプロキシ(SRXシリーズおよびvSRX 3.0)での限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシが構成されている場合:
-
P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。
-
RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。
-
一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。
-
その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。
-
ルーティングポリシーおよびファイアウォールフィルター
-
VPN 経由のトラフィック損失防止に関連するコミット警告メッセージ(SRX シリーズ、vSRX、NFX シリーズ)を記録するための Syslog - VPN フラップや障害イベントの発生についてDAX_ITEM_DELETE_ALL、MGD が IKED または KMD プロセスに通知した などの
warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed
設定コミット警告warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies
。これらの警告メッセージは、VPN 経由のトラフィック損失を防ぐために syslog によってキャプチャされます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決しておくことを推奨します。
Vpn
-
中間 CA 証明書(SRX シリーズ ファイアウォール、vSRX 仮想ファイアウォール、cSRX)が削除された場合のローカル証明書 ID 検証の出力の機能強化—PKID プロセスを実行しているデバイスで、中間 CA 証明書が削除されたときの出力
request security pki local-certificate verify
が変更されました。出力に が表示されますlocal certificate hub_cert1 verification failed. Cannot build cert chain.
。[ セキュリティpkiローカル証明書検証の要求(セキュリティ)を参照してください。
-
show security pki local-certificateコマンド(SRXシリーズファイアウォール、vSRX 3.0)の出力における代替サブジェクト名の拡張:複数のFQDNを持つ証明書に、関連するすべてのドメイン、IPv4またはIPv6アドレス、および電子メールアドレスが
Alternate subject
フィールドに表示されるようになりました。これらの機能強化は、 コマンドの出力show security pki local-certificate
に見られます。以前のコマンド出力では、最後の FQDN の詳細のみが表示されていました。[ show security pki local-certificate(View)を参照してください。]