변경된 사항

EVPN ELAN 서비스를 위한 플로우 레이블 구성 상태 이제 명령의 출력은 show evpn instance extensive 라우팅 인스턴스가 아닌 디바이스에 대한 flow-label 및 flow-label-static 작동 상태를 표시합니다. 활성화된 디바이스 flow-label 는 FAT(Flow-Aware Transport) 플로우 레이블을 지원하고 인접 라우터에 지원을 보급합니다. 활성화된 디바이스 flow-label-static 는 FAT 플로우 레이블을 지원하지만 해당 기능을 보급하지는 않습니다.

핑 오버레이 또는 트레이스라우트 오버레이 작업에서 UDP 소스 포트 지정 — 22.4R1 이전의 Junos OS 릴리스에서는 핑 오버레이 또는 트레이스라우트 오버레이 작업에서 UDP 소스 포트를 구성할 수 없었습니다. 이제 를 사용하여 hashEVPN-VXLAN 환경에서 이 값을 구성할 수 있습니다. 구성 옵션은 hash 소스 포트 값을 결정하는 데 사용할 수 있는 다른 모든 hash-* 옵션을 대체합니다.

PMI 모드 패스스루 ESP 트래픽: Junos OS 릴리스 22.1R3부터 SRX4100, SRX4200 및 vSRX에서 패스스루 ESP 트래픽에 대한 PMI 익스프레스 경로 처리를 지원합니다.

컨텐츠 보안을 위한 플로우 세션 운영 명령 지원(SRX 시리즈 및 vSRX) - 컨텐츠 필터링 및 웹 필터링 컨텐츠 보안 기능의 세부 정보를 볼 수 있도록 운영 명령 지원을 확장 show security flow session 했습니다.

[ 보안 플로우 세션 표시를 참조하십시오.]

리소스 경로 /junos/system/linecard/environment를 구독할 때 컬렉터 측의 스트리밍 경로에 대한 접두사가 /junos/linecard/environment로 표시되었습니다. 이 문제는 Junos OS 23.1R1 및 Junos OS Evolved 23.1R1에서 해결되었으며, 구독 경로와 스트리밍 경로가 일치하여 /junos/system/linecard/environment가 표시됩니다.

로컬 인증서 확인을 위한 표준 시간대 지원(SRX1500 및 SRX5600) - 이 릴리스부터 로컬 인증서 확인에 실패하면 명령 출력 및 시스템 로그 메시지에서 실패한 로컬 인증서의 표준 시간대를 확인할 수 있습니다.

패킷 캡처는 이제 컨트롤 플레인 패킷 캡처(SRX 시리즈)라고 합니다. Junos OS 23.1R1 릴리스부터 디바이스 관리 메뉴에서 패킷 캡처의 이름을 컨트롤 플레인 패킷 캡처로 변경했습니다. 이 페이지를 사용하여 라우터의 컨트롤 플레인 트래픽을 캡처하고 분석할 수 있습니다.

[ 컨트롤 플레인 패킷 캡처 참조]

operator 로그인 클래스가 다음과 같은 NETCONF 추적 파일을 볼 수 없도록 제한됩니다( no-world-readable ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)—계층 수준에서 NETCONF 추적 옵션을 [edit system services netconf traceoptions] 구성하고 명령문(기본값)을 설정하거나 생략하여 no-world-readable 파일 소유자에 대한 파일 액세스를 제한하는 경우, 로그인 클래스에 할당된 operator 사용자는 추적 파일을 볼 수 있는 권한이 없습니다.

에 대한 junos:cli-feature 지원 YANG 확장(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX) - YANG 확장은 cli-feature 일부 명령 옵션 및 구성 문과 관련된 특정 CLI 속성을 식별합니다. 구성 또는 RPC를 정의하는 Junos YANG 모듈은 적절한 경우 확장과 함께 내보낸 스키마에 확장 문을 포함합니다 cli-feature . 이 확장은 클라이언트가 YANG 데이터 모델을 사용할 때 유용하지만, 특정 워크플로의 경우 클라이언트가 CLI 기반 도구를 생성해야 합니다.

[ Junos DDL 확장 YANG 모듈 이해를 참조하십시오.]

XML 태그의 get-system-yang-packages RPC 응답 변경됨(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)—RPC 응답은 get-system-yang-packages 태그를 XML 출력의 태그로 proxy-xml-yang-modules 대체 xmlproxy-yang-modules 합니다.

작업이 존재하지 않는 구성 개체(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)를 삭제할 때 operation="delete" NETCONF 서버 <rpc-error> 요소 변경 - 또는 <load-configuration> 작업이 대상 구성에 없는 구성 요소를 삭제하는 데 사용할 operation="delete" 때 <edit-config> NETCONF 서버가 반환하는 응답을 변경 <rpc-error> 했습니다. 오류 심각도는 경고가 아닌 오류이며 요소에는 <rpc-error> 및 <error-type>application</error-type> 요소가 <error-tag>data-missing</error-tag> 포함됩니다.

인증서 등록(Junos)과 관련된 사용 중단 옵션—Junos OS 릴리스 23.2R1부터 SCEP(Simple Certificate Enrolment Protocol)를 통해 로컬 인증서를 등록 및 재등록하기 위해 PKI(Public Key Infrastructure)와 관련된 이전 CLI 옵션을 더 이상 사용하지 않습니다. 아래 표에는 더 이상 사용되지 않는 옵션과 함께 Junos CLI 명령 및 구성 명령문이 나와 있습니다. 이제 이러한 명령 및 문의 옵션에서 scep 동일한 CLI 옵션을 사용할 수 있습니다.

[ 자동 재등록(보안), 보안 pki 로컬 인증서 등록 요청 및 보안 pki 노드-로컬 로컬 인증서 등록 요청을 참조하세요.]

원격 액세스 프로필 이름 형식 변경(SRX 시리즈 및 vSRX 3.0) - Junos OS 릴리스 23.1R1부터 Juniper Secure Connect를 사용하는 최종 사용자 경험을 향상시키기 위해 원격 액세스 프로필 이름의 형식을 변경했습니다. Junos OS 릴리스 23.1R1 이전 릴리스에서는 [edit security remote-access profile realm-name] 계층 수준에서 영역 이름을 사용하여 원격 액세스 프로필 이름을 구성합니다. 그러나 여러 게이트웨이에 연결하는 조직에서는 원격 액세스 연결 프로필에서 hr과 같은 원격 액세스 프로필 이름을 여러 번 사용하는 것을 관리할 수 없게 됩니다.

이 문제를 해결하기 위해 원격 액세스 프로필 이름을 구성하기 위한 새로운 규칙을 도입했습니다. 이제 최종 사용자가 관련 게이트웨이에 연결할 수 있도록 [edit security remote-access profile realm-name] 계층 수준에서 다음 형식 중 하나를 사용하여 URL이 있는 프로필 이름을 구성할 수 있습니다.

• FQDN/RealmName

• FQDN

• IP address/RealmName

• IP address

예를 들어 이제 ra.example.com/hr, ra1.example.com/hr 및 ra.example.com 를 영역 이름으로 사용할 수 있습니다.

이 규칙이 도입됨에 따라 [edit security remote-access] 계층 수준에서 기존 default-profile 옵션을 더 이상 사용하지 않아야 합니다. 원격 액세스 프로필 이름은 최종 사용자의 연결 방법에 따라 FQDN 또는 IP 주소가 있는 URL을 참조합니다(예: ra.example.com/hr, ra.example.com, 192.168.1.10/hr 또는 192.168.1.10). 이 변경으로 최종 사용자는 이제 이전 릴리스에서와 같이 Juniper Secure Connect 애플리케이션에서 연결 프로필 이름을 hr이 아닌 ra.example.com/hr 로 볼 수 있습니다.

기존 구축에서는 이 변경으로 원활하게 전환할 수 있도록 다음 명령을 사용하여 현재 구성의 프로필 이름 hr을 ra.example.com/hr 또는 [edit] 계층 수준에서 192.168.1.10/hr로 수정하는 것이 좋습니다.

[ 프로필(Juniper Secure Connect)을 참조하십시오.]

로컬 최종 엔티티(EE) 인증서(SRX300, SRX320, SRX550HM, SRX1500, SRX4100, SRX4600, SRX5400, SRX5600, SRX5800)의 자동 재등록 개선 사항—Junos OS 릴리스 23.2R1부터 옵션은 re-enroll-trigger-time-percentage 선택 사항입니다. 그러나 이(가) 성공하려면 또는 re-enroll-trigger-time-percentage 중 commit-check 하나를 re-enroll-time 구성해야 합니다.

[ 자동 재등록(보안)을 참조하십시오.]

전원 모드 제거 IPsec VPN(SRX 시리즈)의 IPsec Intel QAT 옵션 - 표시를 위해 Junos CLI에서 [edit security flow] 계층 수준의 옵션을 power-mode-ipsec-qat 제거했습니다. 이 옵션은 다중 IPSec VPN 터널로 구성하지 않는 것이 권장되므로 현재 숨겨져 있습니다. QAT보다 더 나은 성능을 위해 PMI 모드에서 AES-NI를 계속 사용합니다.

[ PowerMode IPsec을 사용한 IPsec 성능 개선 참조]

원격 액세스 VPN 솔루션(SRX 시리즈 및 vSRX 3.0)에 대한 옵션 사용 불가 default-profile- Junos OS 릴리스 23.1R1부터 [edit security remote-access] 계층 수준에서 옵션을 숨겼습니다default-profile. Junos OS 릴리스 23.1R1 이전 릴리스에서는 이 옵션을 사용하여 원격 액세스 프로필 중 하나를 Juniper Secure Connect의 기본 프로필로 지정할 수 있습니다. 그러나 원격 액세스 프로필 이름의 형식이 변경됨에 따라 더 이상 옵션이 필요하지 default-profile 않습니다.

이 옵션을 즉시 제거하는 대신 더 이상 사용하지 default-profile 않고 이전 버전과의 호환성을 제공하고 기존 구성이 변경된 구성을 준수하도록 할 수 있는 기회를 제공합니다. 구성에서 옵션을 계속 사용하면 default-profile 경고 메시지가 표시됩니다. 그러나 현재 구성을 수정해도 기존 배포에는 영향을 주지 않습니다.

기존 구축에서는 이 변경으로 원활하게 전환할 수 있도록 다음 명령을 사용하여 현재 구성 hr의 프로필 이름을 [edit] 계층 수준에서 ra.example.com/hr 또는 192.168.1.10/hr로 수정하는 것이 좋습니다.

새로운 구성의 경우, 다음 시나리오를 고려하여 최종 사용자가 Juniper Secure Connect 애플리케이션을 사용하여 연결하는 방법을 기반으로 새 원격 액세스 프로필을 생성합니다.

• 최종 사용자가 IP 주소를 사용하여 연결하는 경우 프로파일 이름에 IP 주소를 지정합니다.

• 최종 사용자가 FQDN을 사용하여 연결하는 경우 프로필 이름에 FQDN을 지정합니다.

• hr과 같은 다른 영역 값을 가진 사용자를 구분해야 하는 경우 다음과 같이 IP 주소 또는 FQDN에 /hr을 추가합니다.

  • [edit security remote-access profile ra.example.net/hr]

  • [edit security remote-access profile 192.168.1.10/hr]

[ default-profile(Juniper Secure Connect)을 참조하십시오.

원격 액세스 VPN 솔루션은 16진수 사전 공유(SRX 시리즈 및 vSRX 3.0)를 지원하지 않습니다.—원격 액세스 VPN 솔루션을 사용하면 사전 공유 키 기반 인증 방법의 경우 ASCII 텍스트 형식을 지원합니다. 즉, 원격 액세스 VPN 솔루션에 대한 구성에서 사전 공유 키에 16진수 형식을 사용하지 마십시오. 따라서 Juniper Secure Connect와 함께 사용할 수 있도록 계층 수준에서 ASCII 텍스트 형식으로 [edit security ike policy policy-name pre-shared-key] 명령문을 ascii-text 구성합니다.

SCEP PKI 인증서 등록 개선 - SCEP PKI 인증서 등록에 논리 시스템 옵션이 추가되었습니다.

[ 보안 pki 로컬 인증서 등록 scep 요청을 참조하세요.]

IPsec VPN의 인증서 요청 페이로드 변경 IKE 협상(SRX 시리즈) - IKE SA 협상을 위한 IKE 정책에 구성된 trusted-ca/ca-profile의 경우, 해당 IKE SA 협상의 certificate-request 페이로드에는 해당 trusted-ca/ca-profile과 연결된 CA 인증서가 포함됩니다. 예를 들어, 의 IKE 정책에 edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority 있는 trusted-ca/ca-profile의 경우 이 IKE 정책을 policy-name 사용하는 IKE SA 협상의 certificate-request 페이로드에는 CA certificate-authority의 CA 인증서가 포함됩니다.

SSL 프록시를 통한 제한된 ECDSA 인증서 지원(SRX 시리즈 및 vSRX 3.0) - SRX 시리즈 방화벽 및 vSRX 가상 방화벽에 구성된 SSL 프록시를 사용하면

• P-384/P-521 서버 인증서가 있는 ECDSA 기반 웹 사이트는 보안 장치가 P-256 그룹만 지원하도록 제한되어 있으므로 root-ca 인증서로 액세스할 수 없습니다.

• RSA 기반 root-ca 및 P-384/P-521 ECDSA root-ca 인증서가 구성된 경우, SSL-Terminator가 RSA와 협상되므로 모든 ECDSA 웹 사이트에 액세스할 수 없으며, 이로 인해 보안 디바이스는 SSL 핸드셰이크를 수행하는 동안 RSA 암호 및 서명만 대상 웹 서버로 전송합니다. RSA 루트 인증서와 함께 ECDSA 및 RSA 기반 웹 사이트에 모두 액세스할 수 있도록 하려면 256비트 ECDSA 루트 인증서를 구성합니다.

• 일부 시나리오에서는 SSL 프록시 구성에서 256비트 ECDSA 루트 인증서를 사용하더라도 서버가 P-256 그룹을 지원하지 않는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다.

• 다른 시나리오에서는 256비트 ECDSA 루트 인증서가 SSL 프록시 구성에 사용되더라도 서버가 P-256 이외의 서명을 지원하는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다. 이 문제는 하드웨어 오프로드 모드에서 서명 확인에 실패하여 나타납니다. ECDSA 인증서에 대한 하드웨어 오프로드가 Junos OS 릴리스 22.1R1에 도입되었기 때문에 22.1R1 이전에 릴리스된 Junos OS를 사용하는 경우 이 문제가 관찰되지 않습니다. 또한 ECDSA 인증서에 대한 SSL-proxy가 소프트웨어에서 처리되는 경우 문제가 표시되지 않습니다.