Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

변경된 사항

vSRX에 대해 이번 릴리스에서 변경된 사항에 대해 알아보십시오.

EVPN

  • EVPN ELAN 서비스에 대한 플로우 레이블 구성 상태 이제 명령의 출력 show evpn instance extensive 에는 라우팅 인스턴스가 아닌 디바이스에 대한 flow-label 및 flow-label-static 운영 상태가 표시됩니다. 활성화된 flow-label 디바이스는 FAT(flow-aware transport) flow 레이블을 지원하고 해당 인접 라우터에 지원을 보급합니다. 활성화된 flow-label-static 디바이스는 FAT 플로우 레이블을 지원하지만 해당 기능을 광고하지는 않습니다.

  • ping 오버레이 또는 traceroute 오버레이 작업에서 UDP 소스 포트 지정 — 22.4R1 이전의 Junos OS 릴리스에서는 ping 오버레이 또는 traceroute 오버레이 작업에서 udp 소스 포트를 구성할 수 없었습니다. 이제 를 사용하여 hashEVPN-VXLAN 환경에서 이 값을 구성할 수 있습니다. 구성 옵션은 hash 소스 포트 값을 결정하는 데 사용할 수 있는 다른 모든 hash-* 옵션을 재정의합니다.

플로우 기반 및 패킷 기반 처리

  • PMI 모드 패스스루 ESP 트래픽: Junos OS 릴리스 22.1R3부터는 SRX 시리즈 디바이스에서 패스스루 ESP 트래픽에 대한 PMI Express Path 처리를 지원합니다.

  • UTM에 대한 플로우 세션 운영 명령 지원(SRX 시리즈 및 vSRX) - 컨텐츠 필터링 및 웹 필터링 UTM 기능의 세부 정보를 볼 수 있도록 운영 명령 지원을 확장 show security flow session 했습니다.

    [ show security flow session 참조]

일반 라우팅

  • 리소스 경로 /junos/system/linecard/environment를 구독할 때 수집기 측의 스트리밍 경로에 대한 접두사가 /junos/linecard/environment로 표시되었습니다. 이 문제는 Junos OS 23.1R1 및 Junos OS Evolved 23.1R1에서 해결되었으며 구독 경로와 스트리밍 경로가 일치하여 /junos/system/linecard/environment를 표시합니다.

  • 로컬 인증서 확인을 위한 시간대 지원(SRX1500 및 SRX5600) - 이 릴리스부터 로컬 인증서 확인에 실패하면 명령 출력 및 시스템 로그 메시지에서 실패한 로컬 인증서의 시간대를 볼 수 있습니다.

네트워크 관리 및 모니터링

  • operator 로그인 클래스는 다음과 같은 no-world-readable NETCONF 추적 파일을 볼 수 없도록 제한됩니다(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)—계층 수준에서 [edit system services netconf traceoptions] NETCONF 추적 옵션을 구성하고 문(기본값)을 설정하거나 생략 no-world-readable 하여 파일 소유자에 대한 파일 액세스를 제한하는 경우, 로그인 클래스에 operator 할당된 사용자는 추적 파일을 볼 수 있는 권한이 없습니다.

  • 대한 junos:cli-feature 지원 YANG 확장(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX) - YANG 확장은 cli-feature 일부 명령 옵션 및 구성 문과 관련된 특정 CLI 속성을 식별합니다. 구성 또는 RPC를 정의하는 Junos YANG 모듈은 적절한 경우 확장과 함께 내보내진 스키마에 확장 문을 포함 cli-feature 합니다. 이 확장은 클라이언트가 YANG 데이터 모델을 사용할 때 유용하지만, 특정 워크플로우의 경우 클라이언트가 CLI 기반 도구를 생성해야 합니다.

    [ Junos DDL 확장 YANG 모듈 이해 참조]

  • XML 태그를 get-system-yang-packages RPC 응답이 변경됨(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)—RPC 응답은 get-system-yang-packages XML 출력에서 태그를 태그로 바꿉 xmlproxy-yang-modules 니다 proxy-xml-yang-modules .

  • 작업이 존재하지 않는 구성 개체(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)를 삭제할 때 operation="delete" NETCONF 서버의 <rpc-error> 요소에 대한 변경 사항—대상 구성에 없는 구성 요소를 삭제하기 위해 OR <load-configuration> 작업을 사용할 operation="delete"<edit-config> NETCONF 서버가 반환하는 응답을 변경 <rpc-error> 했습니다. 오류 심각도는 경고가 아닌 오류이며, 요소에는 <rpc-error> and <error-type>application</error-type> 요소가 포함됩니다<error-tag>data-missing</error-tag>.

PKI

  • 인증서 등록(Junos)과 관련된 옵션 사용 중단—Junos OS 릴리스 23.2R1부터는 SCEP(Simple Certificate Enrolment Protocol)를 통해 로컬 인증서를 등록 및 재등록하기 위한 PKI(Public Key Infrastructure)와 관련된 이전 CLI 옵션이 더 이상 사용되지 않습니다. 아래 표에는 더 이상 사용되지 않는 옵션과 함께 Junos CLI 명령 및 구성 명령문이 나와 있습니다. 이제 이러한 명령 및 문의 옵션에서 scep 동일한 CLI 옵션을 사용할 수 있습니다.

    표 1: 더 이상 사용되지 않는 Junos CLI 옵션

    Junos CLI 명령 및 문

    더 이상 사용되지 않는 옵션

    set security pki auto-re-enrollment

    certificate-id

    request security pki local-certificate enroll

    ca-profile

    certificate-id

    challenge-password

    digest

    domain-name

    email

    ip-address

    ipv6-address

    logical-system

    scep-digest-algorithm

    scep-encryption-algorithm

    subject

    request security pki node-local local-certificate enroll

    ca-profile

    certificate-id

    challenge-password

    digest

    domain-name

    email

    ip-address

    ipv6-address

    logical-system

    scep-digest-algorithm

    scep-encryption-algorithm

    subject

    [ auto-re-enrollment(보안)를 참조하고, request security pki local-certificate enroll sceprequest security pki node-local local-certificate enroll]

VPN

  • 원격 액세스 프로필 이름 형식 변경(SRX 시리즈 및 vSRX 3.0) - Junos OS 릴리스 23.1R1부터 원격 액세스 프로필 이름 형식을 변경하여 Juniper Secure Connect를 사용하는 최종 사용자 경험을 향상했습니다. Junos OS 릴리스 23.1R1 이전 릴리스에서는 [edit security remote-access profile realm-name] 계층 수준에서 영역 이름을 사용하여 원격 액세스 프로필 이름을 구성할 수 있습니다. 그러나 조직이 여러 게이트웨이에 연결하는 경우 원격 액세스 연결 프로필에서 hr과 같은 원격 액세스 프로필 이름을 여러 번 사용하면 관리할 수 없게 됩니다.

    이 문제를 해결하기 위해 원격 액세스 프로필 이름을 구성하는 새로운 규칙을 도입합니다. 이제 최종 사용자가 관련 게이트웨이에 연결할 수 있도록 [] 계층 수준에서edit security remote-access profile realm-name 다음 형식을 사용하여 URL과 함께 프로필 이름을 구성할 수 있습니다.

    • FQDN/RealmName

    • FQDN

    • IP address/RealmName

    • IP address

    예를 들어 이제 ra.example.com/hr, ra1.example.com/hrra.example.com 를 영역 이름으로 사용할 수 있습니다.

    이 규칙이 도입됨에 따라 [edit security remote-access] 계층 수준에서 기존 default-profile 옵션을 더 이상 사용하지 않아야 합니다. 원격 액세스 프로필 이름은 최종 사용자의 연결 방식(예: ra.example.com/hr, ra.example.com, 192.168.1.10/hr 또는 192.168.1.10)에 따라 FQDN 또는 IP 주소가 있는 URL을 참조합니다. 이 변경으로 최종 사용자는 이제 이전 릴리스의 경우와 같이 Juniper Secure Connect 애플리케이션에서 연결 프로필 이름이 hr 대신 ra.example.com/hr 으로 볼 수 있습니다.

    기존 구축에서 이러한 변경 사항을 원활하게 전환하려면 다음 명령을 사용하여 현재 구성의 프로필 이름 hr을 [] 계층 수준에서 ra.example.com/hredit 또는 192.168.1.10/hr로 수정하는 것이 좋습니다.

    [ 프로필(Juniper Secure Connect)을 참조하십시오.]

  • 원격 액세스 VPN 솔루션에 대한 옵션을 사용할 수 default-profile 없음(SRX 시리즈 및 vSRX 3.0)—Junos OS 릴리스 23.1R1부터는 [edit security remote-access] 계층 수준에서 옵션을 숨겼 default-profile 습니다. Junos OS 릴리스 23.1R1 이전 릴리스에서는 이 옵션을 사용하여 원격 액세스 프로필 중 하나를 Juniper Secure Connect의 기본 프로필로 지정할 수 있습니다. 그러나 원격 액세스 프로필 이름의 형식이 변경됨에 따라 더 default-profile 이상 이 옵션이 필요하지 않습니다.

    이전 default-profile 버전과의 호환성을 제공하고 기존 구성이 변경된 구성을 준수하도록 하기 위해 이 옵션을 즉시 제거하는 대신 더 이상 사용되지 않습니다. 구성에서 옵션을 계속 사용하면  default-profile 경고 메시지가 표시됩니다. 그러나 현재 구성을 수정해도 기존 구축에는 영향을 미치지 않습니다.

    기존 구축에서 이 변경 사항을 통한 원활한 전환을 위해 다음 명령을 사용하여 현재 구성의 프로필 이름을 [] 계층 수준에서 ra.example.com/hredit 또는 192.168.1.10/hr로 수정하는 것이 좋습니다.

    새 구성의 경우, 다음 시나리오를 고려하여 최종 사용자가 Juniper Secure Connect 애플리케이션을 사용하여 연결하는 방식을 기반으로 새 원격 액세스 프로파일을 작성하십시오.

    • 최종 사용자가 IP 주소를 사용하여 연결하는 경우 프로필 이름에 IP 주소를 지정합니다.

    • 최종 사용자가 FQDN을 사용하여 연결하는 경우 프로필 이름에 FQDN을 지정합니다.

    • hr과 같은 다른 영역 값을 가진 사용자를 분리해야 하는 경우 다음과 같이 IP 주소 또는 FQDN에 /hr을 추가합니다.

      • [edit security remote-access profile ra.example.net/hr]

      • [edit security remote-access profile 192.168.1.10/hr]

    [ default-profile(Juniper Secure Connect) 을 참조하십시오.

  • 원격 액세스 VPN 솔루션이 16진수 사전 공유를 지원하지 않음(SRX 시리즈 및 vSRX 3.0) - 원격 액세스 VPN 솔루션에서는 사전 공유 키 기반 인증 방법을 위해 ASCII 텍스트 형식을 지원합니다. 즉, 원격 액세스 VPN 솔루션에 대한 구성에서 사전 공유 키에 16진수 형식을 사용하지 마십시오. 따라서 Juniper Secure Connect와 함께 사용하기 위해 계층 수준에서 [edit security ike policy policy-name pre-shared-key] ASCII 텍스트 형식으로 문을 ascii-text 구성합니다.

  • SCEP PKI 인증서 등록 개선 사항 - 논리 시스템 옵션이 SCEP PKI 인증서 등록에 추가되었습니다.

    [ request security pki local-certificate enroll scep을 참조하십시오.]

  • SSL 프록시를 통한 제한된 ECDSA 인증서 지원(SRX 시리즈 및 vSRX 3.0) - SRX 시리즈 방화벽 및 vSRX 가상 방화벽에 SSL 프록시를 구성한 경우

    • P-384/P-521 서버 인증서가 있는 ECDSA 기반 웹 사이트는 보안 장치가 P-256 그룹만 지원하도록 제한되어 있으므로 루트-CA 인증서로 액세스할 수 없습니다.

    • RSA 기반 root-ca 및 P-384/P-521 ECDSA root-ca 인증서가 구성된 경우 SSL-Terminator가 RSA와 협상되므로 모든 ECDSA 웹 사이트에 액세스할 수 없습니다. 따라서 SSL 핸드셰이크를 수행하는 동안 보안 디바이스가 RSA 암호와 sigalg만 대상 웹 서버로 보냅니다. RSA 루트 인증서와 함께 ECDSA 및 RSA 기반 웹 사이트에 모두 액세스할 수 있도록 하려면 256비트 ECDSA 루트 인증서를 구성합니다.

    • 일부 시나리오에서 SSL 프록시 구성에 256비트 ECDSA 루트 인증서가 사용되더라도 서버가 P-256 그룹을 지원하지 않는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다.

    • 다른 시나리오에서는 SSL 프록시 구성에 256비트 ECDSA 루트 인증서를 사용하더라도 서버가 P-256 이외의 시갈그를 지원하는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다. 이 문제는 서명 확인에 실패하는 하드웨어 오프로드 모드에서 나타납니다. ECDSA 인증서에 대한 하드웨어 오프로드가 Junos OS 릴리스 22.1R1에 도입되었으므로 22.1R1 이전에 릴리스된 Junos OS를 사용하는 경우 이 문제가 관찰되지 않습니다. 또한 ECDSA 인증서에 대한 SSL 프록시가 소프트웨어에서 처리되는 경우에는 문제가 표시되지 않습니다.

  • IP 주소 바이트 순서 변경(vSRX 3.0) - 에 KMD_VPN_UP_ALARM_USER대한 KMD_VPN_DOWN_ALARM_USER syslog 메시지에서 IP 주소 바이트 순서는 이제 이전 릴리스에서 나타났던 역 바이트 순서와 달리 올바른 순서로 나타납니다.