変更点

SSH 暗号オプションでの ChaCha20-Poly1305 アルゴリズムの廃止—ChaCha20-Poly1305 認証済み暗号化アルゴリズムは、SSH 暗号オプションで廃止されました。SSH 暗号オプションの暗号化アルゴリズムとして aes-128-gcm と aes-256-gcm を設定します。

[ ssh(システムサービス)を参照してください。]

EVPN MAC-IPデータベース内のブリッジドメインごとのMACアドレスごとのIPアドレス関連付け数の制限—デフォルトでは、デバイスはブリッジドメインごとに最大200個のIPアドレスを単一のMACアドレスに関連付けることができます。この制限をカスタマイズするために、[edit protocols evpn]階層レベルのmac-ip-limitステートメントという新しいCLIステートメントが用意されています。ほとんどのユースケースでは、デフォルトの制限を変更する必要はありません。デフォルトの制限を変更する場合は、この制限をブリッジ ドメインごとの MAC アドレスあたり 300 を超える IP アドレスに設定しないことをお勧めします。そうしないと、デバイスの CPU 使用率が非常に高くなり、システムのパフォーマンスが低下する可能性があります。

[ mac-ip-limit を参照してください。

設定データベースの最大サイズの増加(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vSRX)—データベースの最大サイズを増やすために、[edit system configuration-database]階層レベルのextend-sizeステートメントを拡張しました。デフォルト設定のデータベースサイズが ~400 MB のデバイスでは、extend-size は最大データベースサイズを ~2 GB に増やします。デフォルトの構成データベースサイズが ~660 MB のデバイスでは、extend-size は最大データベースサイズを ~2.2 GB に増やします。

[ configuration-databaseを参照してください。

DSAおよびECDSA(SRXシリーズおよびvSRX 3.0)で生成されたキーペアのダイジェストオプション機能を修正するための機能強化:以前のリリースでは、SHA-256ダイジェストおよび request security pki generate-key-pair certificate-id certificate-id-name size size type (dsa | ecdsa) および request security pki local-certificate generate-self-signed certificate-id certificate-id-name digest sha-256 domain-name domain-name subject subject-distinguished-name コマンドを使用してDSAまたはECDSA暗号化を使用してローカル自己署名証明書を生成すると、生成された署名は常にsha1ダイジェストを使用していました。このリリース以降、指定されたダイジェスト sha-256 が署名ダイジェストに使用されます。以下を使用して確認できます。 show security pki local-certificate certificate-id certificate-id-name detail

キーペアのクリアおよび再生成コマンドの出力の強化(vSRX 3.0)- ハードウェアセキュリティモジュール(HSM)を使用してセキュアデータを管理するために同じキーペアをクリアおよび再生成する場合の、以下のコマンドの出力を変更しました。

Junos OS 23.4R1リリース以降、コマンドは次のようになります。

• clear security pki key-pair certificate-id certificate-id-nameは、以前のリリースで表示されていたメッセージKey pair deleted successfullyとは対照的に、メッセージKey pair deleted successfully from the device. Key pair will be purged from the keyvault based on it's own preferencesを表示します。
• request security pki generate-key-pair certificate-id certificate-id-nameは、以前のリリースで表示されていたメッセージerror: Failed to generate key pairとは対照的に、メッセージerror:Failed to generate key pair. If the keypair was created and deleted before, please ensure that the keypair has been purged from the keyvaultを表示します。

これらの変更は、キーペアの削除に関するクラウドプロバイダーの制限(存在する場合)に合わせて行いました。

VPN監視オプション(SRXシリーズおよびvSRX 3.0)のしきい値と間隔オプションのヘルプ文字列説明の強化–設定ステートメント[set security ipsec vpn-monitor-options]で使用可能なthresholdおよびintervalオプションのヘルプ文字列説明を拡張し、デフォルト値を含めるようにしました。既定値を含む次の説明が表示されます。

[ ipsec (セキュリティ)] を参照してください。

show security ipsec security-associations detailコマンドの出力の機能拡張(SRXシリーズおよびvSRX 3.0):ファイアウォールが新しいikedプロセスでIPSec VPNサービスを実行するときに、[edit security ipsec vpn vpn-name]階層レベルでvpn-monitorを有効にした場合のshow security ipsec security-associations detailの出力を強化しました。出力は、コマンド出力のthreshold値とinterval値を表示します。Junos OS リリース 23.4R1 以降、これらの変更に気付くようになります。

[ show security ipsec security-associations を参照してください。

PPKを使用したIPSec VPN(SRXシリーズおよびvSRX 3.0)の再認証頻度に関する推奨事項—自動検出 VPN(ADVPN)を含むIPSec VPNの場合、耐量子事前共有キー(PPK)暗号化を使用すると、有効期間を選択します.有効な範囲は 180 ミリ秒後に量子キーとネゴシエートされると、iked プロセスは 4 秒後にキー更新を実行してチャネルを保護します。再認証の頻度を 1 に設定した場合、4 秒後に鍵更新は行われません。そのため、最初の再認証カウントは PPK のデフォルトのキー更新で使用されるため、再認証の頻度を 1 より大きい値に設定することを推奨します。

[ 「量子安全 IPSec VPN」を参照してください。