Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

변경된 사항

SRX 시리즈에 대한 이 릴리스의 변경 사항에 대해 알아보십시오.

Junos XML API 및 스크립팅

  • 속성에는 xmlns:junos 전체 소프트웨어 버전 문자열(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)이 포함됩니다.— xmlns:junos XML RPC 응답의 네임스페이스 문자열에는 전체 소프트웨어 버전 릴리스 번호가 포함되며, 이는 명령에서 show version 내보낸 버전과 동일합니다. 이전 릴리스에서는 문자열에 xmlns:junos 부분적인 소프트웨어 버전 정보만 포함됩니다.

네트워크 관리 및 모니터링

  • show system yang package (get-system-yang-packagesRPC) XML 출력 변경(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX) - 명령 및 <get-system-yang-packages> RPC에는 show system yang package XML 출력에 대한 다음과 같은 변경 사항이 포함됩니다.

    • 루트 요소는 yang-package-information .yang-pkgs-info

    • yang-package 요소는 각 패키지 파일 집합을 묶습니다.

    • 태그의 yang-pkg-id 이름이 (으)로 package-id바뀝니다.

    • 패키지에 번역 스크립트가 포함되어 있지 않은 경우 번역 스크립트(trans-scripts) 값은 none입니다.

  • 존재하지 않는 구성 개체(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)를 삭제하는 데 사용할 operation="delete"<load-configuration> NETCONF 서버의 <rpc-error> 응답이 변경되었습니다.—이전 릴리스에서는 또는 <load-configuration> 작업이 대상 구성에 없는 구성 요소를 삭제하는 데 사용할 operation="delete"<edit-config> 에 대한 NETCONF 서버의 <rpc-error> 응답을 변경했습니다. 응답에 대한 <load-configuration> 변경 사항을 되돌렸습니다.

  • RFC 준수 NETCONF 세션(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)의 운영에 대한 <validate> RPC 응답 변경—계층 수준에서 문을 [edit system services netconf] 구성할 rfc-compliant 때 NETCONF 서버는 작업에 대한 응답 <validate> 으로 또는 <rpc-error> 요소만 <ok/> 내보냅니다. 이전 릴리스에서는 RPC 응답에 요소도 포함됩니다<commit-results>.

플랫폼 및 인프라

  • SSL 프록시를 통한 제한된 ECDSA 인증서 지원(SRX 시리즈 및 vSRX 3.0)—SRX 시리즈 방화벽 및 vSRX 가상 방화벽에 구성된 SSL 프록시:

    • P-384/P-521 서버 인증서가 있는 ECDSA 기반 웹 사이트는 보안 장치가 P-256 그룹만 지원하도록 제한되어 있으므로 root-ca 인증서로 액세스할 수 없습니다.

    • RSA 기반 root-ca 및 P-384/P-521 ECDSA root-ca 인증서가 구성된 경우, SSL-Terminator가 RSA와 협상되므로 모든 ECDSA 웹 사이트에 액세스할 수 없으며, 이로 인해 보안 디바이스는 SSL 핸드셰이크를 수행하는 동안 RSA 암호 및 서명만 대상 웹 서버로 전송합니다. RSA 루트 인증서와 함께 ECDSA 및 RSA 기반 웹 사이트에 모두 액세스할 수 있도록 하려면 256비트 ECDSA 루트 인증서를 구성합니다.

    • 일부 시나리오에서는 SSL 프록시 구성에서 256비트 ECDSA 루트 인증서를 사용하더라도 서버가 P-256 그룹을 지원하지 않는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다.

    • 다른 시나리오에서는 256비트 ECDSA 루트 인증서가 SSL 프록시 구성에 사용되더라도 서버가 P-256 이외의 서명을 지원하는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다. 이 문제는 하드웨어 오프로드 모드에서 서명 확인에 실패하여 나타납니다. ECDSA 인증서에 대한 하드웨어 오프로드가 Junos OS 릴리스 22.1R1에 도입되었기 때문에 22.1R1 이전에 릴리스된 Junos OS를 사용하는 경우 이 문제가 관찰되지 않습니다. 또한 ECDSA 인증서에 대한 SSL-proxy가 소프트웨어에서 처리되는 경우 문제가 표시되지 않습니다.

증권 시세 표시기

  • 인증서 등록(Junos)과 관련된 사용 중단 옵션—Junos OS 릴리스 23.2R1부터 SCEP(Simple Certificate Enrolment Protocol)를 통해 로컬 인증서를 등록 및 재등록하기 위해 PKI(Public Key Infrastructure)와 관련된 이전 CLI 옵션을 더 이상 사용하지 않습니다. 아래 표에는 더 이상 사용되지 않는 옵션과 함께 Junos CLI 명령 및 구성 명령문이 나와 있습니다. 이제 이러한 명령 및 문의 옵션에서 scep 동일한 CLI 옵션을 사용할 수 있습니다.

    표 1: 더 이상 사용되지 않는 Junos CLI 옵션

    Junos CLI 명령 및 문

    더 이상 사용되지 않는 옵션

    set security pki auto-re-enrollment

    certificate-id

    request security pki local-certificate enroll

    ca-profile

    certificate-id

    challenge-password

    digest

    domain-name

    email

    ip-address

    ipv6-address

    logical-system

    scep-digest-algorithm

    scep-encryption-algorithm

    subject

    request security pki node-local local-certificate enroll

    ca-profile

    certificate-id

    challenge-password

    digest

    domain-name

    email

    ip-address

    ipv6-address

    logical-system

    scep-digest-algorithm

    scep-encryption-algorithm

    subject

    [ 자동 재등록(보안), 보안 pki 로컬 인증서 등록 요청 및 보안 pki 노드-로컬 로컬 인증서 등록 요청을 참조하세요.]

라우팅 정책 및 방화벽 필터

  • VPN을 통한 트래픽 손실 방지와 관련된 커밋 경고 메시지를 캡처하는 Syslogs(SRX 시리즈, vSRX 및 NFX 시리즈) - 또는 이와 같은 warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed 구성 커밋 경고로 인해 MGD가 IKED 또는 KMD 프로세스에 VPN 플랩 및 중단 이벤트 발생에 대해 DAX_ITEM_DELETE_ALL 알립니다. 이러한 경고 메시지는 VPN을 통한 트래픽 손실을 방지하기 위해 syslog에 의해 캡처됩니다. 대규모 중단을 방지하기 위해 이러한 syslog 경고 메시지를 해결하는 것이 좋습니다.

소프트웨어 설치 및 업그레이드

  • 명령에 대한 request system snapshot 새 옵션(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈 및 SRX 시리즈) - 이 request system snapshot 명령에는 비복구 스냅샷에 대한 새로운 옵션이 포함됩니다. 옵션을 포함하여 name 스냅샷의 사용자 정의 이름을 지정할 수 있으며, 또는 no-configuration 옵션을 포함하여 configuration 스냅샷에 구성 파일을 포함하거나 제외할 수 있습니다. 기본적으로 스냅샷은 /config/var 디렉터리와 특정 SSH 파일의 내용을 포함하는 구성 파일을 저장합니다.

    [ 요청 시스템 스냅샷(업그레이드된 FreeBSD를 사용하는 Junos OS)을 참조하십시오.]

VPN

  • 중간 CA 인증서 삭제 시 로컬 인증서 ID 확인 출력 향상(SRX 시리즈 방화벽, vSRX 가상 방화벽 및 cSRX) - PKID 프로세스를 실행하는 디바이스의 경우 중간 CA 인증서가 삭제될 때의 출력을 request security pki local-certificate verify 변경했습니다. 이제 출력에 가 표시됩니다 local certificate hub_cert1 verification failed. Cannot build cert chain..

    [ request security pki local-certificate verify (Security)를 참조하십시오.]

  • show security pki local-certificate 명령(SRX 시리즈 방화벽, vSRX 3.0) 출력의 대체 주체 이름 개선 - 이제 여러 FQDN을 가진 인증서의 필드에 모든 관련 도메인, IPv4 또는 IPv6 주소 및 이메일 주소가 Alternate subject 표시됩니다. 이러한 개선 사항은 명령의 출력에서 확인할 수 있습니다 show security pki local-certificate . 이전에는 명령 출력에 마지막 FQDN 세부 정보만 표시되었습니다.

    [ show security pki local-certificate(보기)를 참조하십시오.]