변경 사항

EVPN ELAN 서비스에 대한 플로우 레이블 구성 상태 이제 명령의 출력은 show evpn instance extensive 라우팅 인스턴스가 아닌 디바이스에 대한 flow-label 및 flow-label-static 작동 상태를 표시합니다. 이(가 flow-label ) 활성화된 디바이스는 FAT(Flow-Aware Transport) 플로우 레이블을 지원하며 인접 라우터에 지원을 보급합니다. 활성화된 디바이스는 flow-label-static FAT 플로우 레이블을 지원하지만 해당 기능을 보급하지는 않습니다.

핑 오버레이 또는 트레이스라우트 오버레이 작업에서 UDP 소스 포트 지정 — 22.4R1 이전의 Junos OS 릴리스에서는 핑 오버레이 또는 트레이스라우트 오버레이 작업에서 UDP 소스 포트를 구성할 수 없었습니다. 이제 를 사용하여 EVPN-VXLAN 환경에서 이 값을 구성할 hash수 있습니다. 구성 옵션은 hash 소스 포트 값을 결정하는 데 사용할 수 있는 다른 hash-* 옵션을 재정의합니다.

PMI 모드 패스스루 ESP 트래픽: Junos OS 릴리스 22.1R3부터 주니퍼는 SRX4100, SRX4200 및 vSRX에서 패스스루 ESP 트래픽에 대한 PMI Express Path 처리를 지원합니다.

플로우 세션 콘텐츠 보안을 위한 운영 명령 지원(SRX 시리즈 및 vSRX)—콘텐츠 필터링 및 웹 필터링 콘텐츠 보안 기능의 세부 사항을 볼 수 있도록 운영 명령 지원을 확장 show security flow session 했습니다.

[ 보안 플로우 세션 표시를 참조하십시오.]

로컬 인증서 확인을 위한 표준 시간대 지원(SRX1500 및 SRX5600) - 이 릴리스부터 로컬 인증서 확인에 실패하면 명령 출력 및 시스템 로그 메시지에서 실패한 로컬 인증서의 표준 시간대를 볼 수 있습니다.

패킷 캡처는 이제 컨트롤 플레인 패킷 캡처(SRX 시리즈)로 불립니다. Junos OS 23.1R1 릴리스부터 Device Administration(디바이스 관리) 메뉴에서 Packet Capture(패킷 캡처)의 이름을 Control Plane Packet Capture(컨트롤 플레인 패킷 캡처)로 변경했습니다. 이 페이지를 사용하여 라우터에서 컨트롤 플레인 트래픽을 캡처하고 분석할 수 있습니다.

[ 컨트롤 플레인 패킷 캡처를 참조하십시오.]

operator 로그인 클래스는 (ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)인 no-world-readable NETCONF 추적 파일을 볼 수 없습니다. 계층 수준에서 NETCONF 추적 옵션을 [edit system services netconf traceoptions] 구성하고 문(기본값)을 no-world-readable 설정하거나 생략하여 파일 소유자에 대한 파일 액세스를 제한하면 로그인 클래스에 operator 할당된 사용자는 추적 파일을 볼 수 있는 권한이 없습니다.

에 junos:cli-feature 대한 지원 YANG 확장(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX) - YANG 확장은 cli-feature 일부 명령 옵션 및 구성 문과 관련된 특정 CLI 속성을 식별합니다. 구성 또는 RPC를 정의하는 Junos YANG 모듈은 확장과 cli-feature 함께 방출되는 스키마에 해당하는 경우 확장 문을 포함합니다. 이 확장은 클라이언트가 YANG 데이터 모델을 사용할 때 유용하지만, 특정 워크플로우의 경우 클라이언트가 CLI 기반 툴을 생성해야 합니다.

[ Junos DDL 확장 YANG 모듈 이해를 참조하십시오.]

XML 태그의 get-system-yang-packages RPC 응답 변경됨(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX) - RPC 응답은 get-system-yang-packages 태그를 XML 출력의 태그로 proxy-xml-yang-modules 대체 xmlproxy-yang-modules 합니다.

작업이 존재하지 않는 구성 객체(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)를 삭제할 때 operation="delete" NETCONF 서버의 <rpc-error> 요소 변경—또는 <load-configuration> 작업이 대상 구성에 없는 구성 요소를 삭제하는 데 사용할 operation="delete" 때 <edit-config> NETCONF 서버가 반환하는 응답을 변경 <rpc-error> 했습니다. 오류 심각도는 warning이 아닌 error이며, 요소에는 <rpc-error> 및 <error-type>application</error-type> 요소가 포함됩니다<error-tag>data-missing</error-tag>.

인증서 등록(Junos) 관련 옵션 사용 중단—Junos OS 릴리스 23.2R1부터 PKI(Public Key Infrastructure)와 관련된 이전 CLI 옵션을 사용하여 SCEP(Simple Certificate Enrolment Protocol)를 통해 로컬 인증서를 등록 및 재등록합니다. 아래 표에는 더 이상 사용되지 않는 옵션과 함께 Junos CLI 명령 및 구성 명령문이 나와 있습니다. 이제 이러한 명령과 문의 option 아래에서 scep 동일한 CLI 옵션을 사용할 수 있습니다.

[ auto-re-enrollment (Security), request security pki local-certificate enroll scep 및 request security pki node-local local-certificate enroll을 참조하십시오.]

원격 액세스 프로필 이름 형식 변경(SRX 시리즈 및 vSRX 3.0)—Junos OS 릴리스 23.1R1부터 Juniper Secure Connect를 사용하는 최종 사용자 경험을 향상하기 위해 원격 액세스 프로필 이름 형식이 변경되었습니다. Junos OS 릴리스 23.1R1 이전 릴리스에서는 [edit security remote-access profile realm-name] 계층 수준에서 영역 이름을 사용하여 원격 액세스 프로필 이름을 구성합니다. 그러나 조직이 여러 게이트웨이에 연결하는 경우 원격 액세스 연결 프로필에서 hr과 같은 원격 액세스 프로필 이름을 여러 번 사용하면 관리할 수 없게 됩니다.

이 문제를 해결하기 위해 원격 액세스 프로필 이름을 구성하기 위한 새로운 규칙을 도입합니다. 이제 최종 사용자가 관련 게이트웨이에 연결할 수 있도록 [edit security remote-access profile realm-name] 계층 수준에서 다음 형식 중 하나를 사용하여 URL로 프로필 이름을 구성할 수 있습니다.

• FQDN/RealmName

• FQDN

• IP address/RealmName

• IP address

예를 들어, 이제 ra.example.com/hr, ra1.example.com/hr 및 ra.example.com 를 영역 이름으로 사용할 수 있습니다.

이 규칙이 도입됨에 따라 [edit security remote-access] 계층 수준에서 기존 default-profile 옵션을 더 이상 사용하지 않아야 합니다. 원격 액세스 프로필 이름은 최종 사용자의 연결 방법(예: ra.example.com/hr, ra.example.com, 192.168.1.10/hr 또는 192.168.1.10)에 따라 FQDN 또는 IP 주소가 있는 URL을 참조합니다. 이 변경으로 최종 사용자는 이제 이전 릴리스의 경우와 같이 Juniper Secure Connect 애플리케이션에서 연결 프로필 이름을 hr 대신 ra.example.com/hr 로 볼 수 있습니다.

기존 구축에서 이 변경으로 원활하게 전환하려면 다음 명령을 사용하여 현재 구성의 프로필 이름 hr을 ra.example.com/hr 또는 [edit] 계층 수준에서 192.168.1.10/hr로 수정하는 것이 좋습니다.

[ 프로필(Juniper Secure Connect) 참조]

로컬 최종 엔터티(EE) 인증서(SRX300, SRX320, SRX550HM, SRX1500, SRX4100, SRX4600, SRX5400, SRX5600, SRX5800)의 자동 재등록 개선 사항 - Junos OS 릴리스 23.2R1부터 옵션은 re-enroll-trigger-time-percentage 선택 사항으로 제공됩니다. 그러나 성공하려면 또는 re-enroll-trigger-time-percentage 중 commit-check 하나를 re-enroll-time 구성해야 합니다.

[자동 재등록(보안) 참조]

IPsec VPN(SRX 시리즈)의 전원 모드 IPsec Intel QAT 옵션 제거 - 표시를 위해 Junos CLI에서 [edit security flow] 계층 수준의 옵션을 power-mode-ipsec-qat 제거했습니다. 다중 IPSec VPN 터널을 사용하여 구성하는 것을 권장하지 않으므로 이 옵션은 이제 숨겨져 있습니다. QAT보다 더 나은 성능을 위해 PMI 모드에서 AES-NI를 계속 사용합니다.

[ PowerMode IPsec을 사용하여 IPsec 성능 향상을 참조하십시오.]

원격 액세스 VPN 솔루션(SRX 시리즈 및 vSRX 3.0)에 대한 옵션 사용 default-profile 불가—Junos OS 릴리스 23.1R1부터 [edit security remote-access] 계층 수준에서 옵션을 숨겼 default-profile 습니다. Junos OS 릴리스 23.1R1 이전 릴리스에서는 이 옵션을 사용하여 원격 액세스 프로필 중 하나를 Juniper Secure Connect의 기본 프로필로 지정할 수 있습니다. 그러나 원격 액세스 프로필 이름의 형식이 변경됨에 따라 이 옵션은 더 이상 필요하지 default-profile 않습니다.

이전 버전과의 호환성을 제공하고 기존 구성이 변경된 구성을 준수하도록 하기 위해 옵션을 즉시 제거하는 대신 더 이상 default-profile 사용되지 않습니다. 구성에서 옵션을 계속 사용할 default-profile 경우 경고 메시지가 표시됩니다. 그러나 현재 구성을 수정해도 기존 구축에는 영향을 주지 않습니다.

기존 구축에서 이 변경으로 원활하게 전환하려면 다음 명령을 사용하여 현재 구성 hr의 프로필 이름을 ra.example.com/hr 또는 [edit] 계층 수준에서 192.168.1.10/hr로 수정하는 것이 좋습니다.

새 구성의 경우, 다음 시나리오를 고려하여 최종 사용자가 Juniper Secure Connect 애플리케이션을 사용하여 연결하는 방식을 기반으로 새 원격 액세스 프로필을 만드십시오.

• 최종 사용자가 IP 주소를 사용하여 연결하는 경우 프로필 이름에 IP 주소를 지정합니다.

• 최종 사용자가 FQDN을 사용하여 연결하는 경우 프로파일 이름에 FQDN을 지정합니다.

• 다른 영역 값( 예: hr)으로 사용자를 구분해야 하는 경우 다음과 같이 IP 주소 또는 FQDN에 /hr 을 추가합니다.

  • [edit security remote-access profile ra.example.net/hr]

  • [edit security remote-access profile 192.168.1.10/hr]

[ 기본 프로필(Juniper Secure Connect) 참조.

Remote-access VPN solution doesn't support hexadecimal pre-shared (SRX 시리즈 및 vSRX 3.0)—원격 액세스 VPN 솔루션에서는 사전 공유 키 기반 인증 방법으로 ASCII 텍스트 형식을 지원합니다. 즉, 원격 액세스 VPN 솔루션 구성에서 사전 공유 키에 16진수 형식을 사용하지 마십시오. 따라서 Juniper Secure Connect와 함께 사용할 수 있도록 계층 수준에서 ASCII 텍스트 형식으로 [edit security ike policy policy-name pre-shared-key] 명령문을 ascii-text 구성하십시오.

SCEP PKI 인증서 등록 개선 - SCEP PKI 인증서 등록에 논리적 시스템 옵션이 추가되었습니다.

[ 보안 pki local-certificate 등록 scep 요청을 참조하십시오.]

IPsec VPN의 certificate-request payload 변경 사항 IKE 협상(SRX 시리즈) - IKE SA 협상을 위한 IKE 정책에서 구성된 trusted-ca/ca-profile의 경우, 해당 IKE SA 협상의 certificate-request 페이로드에는 해당 trusted-ca/ca-profile과 연결된 CA 인증서가 포함됩니다. 예를 들어, 의 edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority IKE 정책에 있는 trusted-ca/ca-profile 의 경우, 이 IKE 정책을 policy-name 사용하는 IKE SA 협상의 인증서 요청 페이로드에는 CA certificate-authority의 CA 인증서가 포함됩니다.

SSL 프록시를 통한 제한된 ECDSA 인증서 지원(SRX 시리즈 및 vSRX 3.0)—SRX 시리즈 방화벽 및 vSRX 가상 방화벽에 구성된 SSL 프록시를 사용하면

• P-384/P-521 서버 인증서가 있는 ECDSA 기반 웹 사이트는 보안 디바이스가 P-256 그룹만 지원하도록 제한되어 있으므로 root-ca 인증서로 액세스할 수 없습니다.

• RSA 기반 root-ca 및 P-384/P-521 ECDSA root-ca 인증서가 구성된 경우 SSL-Terminator가 RSA와 협상되므로 모든 ECDSA 웹 사이트에 액세스할 수 없으므로 보안 디바이스가 SSL 핸드셰이크를 수행하는 동안 RSA 암호 및 시갈그만 대상 웹 서버로 보냅니다. RSA 루트 인증서와 함께 ECDSA 및 RSA 기반 웹 사이트에 모두 액세스할 수 있도록 하려면 256비트 ECDSA 루트 인증서를 구성합니다.

• 일부 시나리오에서는 SSL 프록시 구성에 256비트 ECDSA 루트 인증서가 사용되더라도 서버가 P-256 그룹을 지원하지 않으면 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다.

• 다른 시나리오에서는 256비트 ECDSA 루트 인증서가 SSL 프록시 구성에 사용되더라도 서버가 P-256 이외의 시갈그를 지원하는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다. 이 문제는 서명 확인에 실패한 하드웨어 오프로드 모드에서 발생합니다. ECDSA 인증서에 대한 하드웨어 오프로드가 Junos OS 릴리스 22.1R1에 도입되었으므로 22.1R1 이전에 릴리스된 Junos OS를 사용하는 경우 이 문제가 관찰되지 않습니다. 또한 ECDSA 인증서에 대한 SSL-proxy가 소프트웨어에서 처리되는 경우 문제가 표시되지 않습니다.