변경된 사항
SRX 시리즈에 대한 이 릴리스의 변경 사항에 대해 알아보십시오.
Junos XML API 및 스크립팅
-
속성에는
xmlns:junos
전체 소프트웨어 버전 문자열(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)이 포함됩니다.—xmlns:junos
XML RPC 응답의 네임스페이스 문자열에는 전체 소프트웨어 버전 릴리스 번호가 포함되며, 이는 명령에서show version
내보낸 버전과 동일합니다. 이전 릴리스에서는 문자열에xmlns:junos
부분적인 소프트웨어 버전 정보만 포함됩니다.
네트워크 관리 및 모니터링
-
show system yang package
(get-system-yang-packages
RPC) XML 출력 변경(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX) - 명령 및<get-system-yang-packages>
RPC에는show system yang package
XML 출력에 대한 다음과 같은 변경 사항이 포함됩니다.-
루트 요소는
yang-package-information
.yang-pkgs-info
-
yang-package
요소는 각 패키지 파일 집합을 묶습니다. -
태그의
yang-pkg-id
이름이 (으)로package-id
바뀝니다. -
패키지에 번역 스크립트가 포함되어 있지 않은 경우 번역 스크립트(
trans-scripts
) 값은none
입니다.
-
-
존재하지 않는 구성 개체(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)를 삭제하는 데 사용할
operation="delete"
때<load-configuration>
NETCONF 서버의<rpc-error>
응답이 변경되었습니다.—이전 릴리스에서는 또는<load-configuration>
작업이 대상 구성에 없는 구성 요소를 삭제하는 데 사용할operation="delete"
때<edit-config>
에 대한 NETCONF 서버의<rpc-error>
응답을 변경했습니다. 응답에 대한<load-configuration>
변경 사항을 되돌렸습니다. -
RFC 준수 NETCONF 세션(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈, SRX 시리즈, vMX 및 vSRX)의 운영에 대한
<validate>
RPC 응답 변경—계층 수준에서 문을[edit system services netconf]
구성할rfc-compliant
때 NETCONF 서버는 작업에 대한 응답<validate>
으로 또는<rpc-error>
요소만<ok/>
내보냅니다. 이전 릴리스에서는 RPC 응답에 요소도 포함됩니다<commit-results>
.
플랫폼 및 인프라
-
SSL 프록시를 통한 제한된 ECDSA 인증서 지원(SRX 시리즈 및 vSRX 3.0)—SRX 시리즈 방화벽 및 vSRX 가상 방화벽에 구성된 SSL 프록시:
-
P-384/P-521 서버 인증서가 있는 ECDSA 기반 웹 사이트는 보안 장치가 P-256 그룹만 지원하도록 제한되어 있으므로 root-ca 인증서로 액세스할 수 없습니다.
-
RSA 기반 root-ca 및 P-384/P-521 ECDSA root-ca 인증서가 구성된 경우, SSL-Terminator가 RSA와 협상되므로 모든 ECDSA 웹 사이트에 액세스할 수 없으며, 이로 인해 보안 디바이스는 SSL 핸드셰이크를 수행하는 동안 RSA 암호 및 서명만 대상 웹 서버로 전송합니다. RSA 루트 인증서와 함께 ECDSA 및 RSA 기반 웹 사이트에 모두 액세스할 수 있도록 하려면 256비트 ECDSA 루트 인증서를 구성합니다.
-
일부 시나리오에서는 SSL 프록시 구성에서 256비트 ECDSA 루트 인증서를 사용하더라도 서버가 P-256 그룹을 지원하지 않는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다.
-
다른 시나리오에서는 256비트 ECDSA 루트 인증서가 SSL 프록시 구성에 사용되더라도 서버가 P-256 이외의 서명을 지원하는 경우 P-256 서버 인증서가 있는 ECDSA 기반 웹 사이트에 액세스할 수 없습니다. 이 문제는 하드웨어 오프로드 모드에서 서명 확인에 실패하여 나타납니다. ECDSA 인증서에 대한 하드웨어 오프로드가 Junos OS 릴리스 22.1R1에 도입되었기 때문에 22.1R1 이전에 릴리스된 Junos OS를 사용하는 경우 이 문제가 관찰되지 않습니다. 또한 ECDSA 인증서에 대한 SSL-proxy가 소프트웨어에서 처리되는 경우 문제가 표시되지 않습니다.
-
증권 시세 표시기
-
인증서 등록(Junos)과 관련된 사용 중단 옵션—Junos OS 릴리스 23.2R1부터 SCEP(Simple Certificate Enrolment Protocol)를 통해 로컬 인증서를 등록 및 재등록하기 위해 PKI(Public Key Infrastructure)와 관련된 이전 CLI 옵션을 더 이상 사용하지 않습니다. 아래 표에는 더 이상 사용되지 않는 옵션과 함께 Junos CLI 명령 및 구성 명령문이 나와 있습니다. 이제 이러한 명령 및 문의 옵션에서
scep
동일한 CLI 옵션을 사용할 수 있습니다.표 1: 더 이상 사용되지 않는 Junos CLI 옵션 Junos CLI 명령 및 문
더 이상 사용되지 않는 옵션
set security pki auto-re-enrollment
certificate-id
request security pki local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
request security pki node-local local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
[ 자동 재등록(보안), 보안 pki 로컬 인증서 등록 요청 및 보안 pki 노드-로컬 로컬 인증서 등록 요청을 참조하세요.]
라우팅 정책 및 방화벽 필터
-
VPN을 통한 트래픽 손실 방지와 관련된 커밋 경고 메시지를 캡처하는 Syslogs(SRX 시리즈, vSRX 및 NFX 시리즈) - 또는 이와 같은
warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies
warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed
구성 커밋 경고로 인해 MGD가 IKED 또는 KMD 프로세스에 VPN 플랩 및 중단 이벤트 발생에 대해 DAX_ITEM_DELETE_ALL 알립니다. 이러한 경고 메시지는 VPN을 통한 트래픽 손실을 방지하기 위해 syslog에 의해 캡처됩니다. 대규모 중단을 방지하기 위해 이러한 syslog 경고 메시지를 해결하는 것이 좋습니다.
소프트웨어 설치 및 업그레이드
-
명령에 대한
request system snapshot
새 옵션(ACX 시리즈, EX 시리즈, MX 시리즈, QFX 시리즈 및 SRX 시리즈) - 이request system snapshot
명령에는 비복구 스냅샷에 대한 새로운 옵션이 포함됩니다. 옵션을 포함하여name
스냅샷의 사용자 정의 이름을 지정할 수 있으며, 또는no-configuration
옵션을 포함하여configuration
스냅샷에 구성 파일을 포함하거나 제외할 수 있습니다. 기본적으로 스냅샷은 /config 및 /var 디렉터리와 특정 SSH 파일의 내용을 포함하는 구성 파일을 저장합니다.[ 요청 시스템 스냅샷(업그레이드된 FreeBSD를 사용하는 Junos OS)을 참조하십시오.]
VPN
-
중간 CA 인증서 삭제 시 로컬 인증서 ID 확인 출력 향상(SRX 시리즈 방화벽, vSRX 가상 방화벽 및 cSRX) - PKID 프로세스를 실행하는 디바이스의 경우 중간 CA 인증서가 삭제될 때의 출력을
request security pki local-certificate verify
변경했습니다. 이제 출력에 가 표시됩니다local certificate hub_cert1 verification failed. Cannot build cert chain.
.[ request security pki local-certificate verify (Security)를 참조하십시오.]
-
show security pki local-certificate 명령(SRX 시리즈 방화벽, vSRX 3.0) 출력의 대체 주체 이름 개선 - 이제 여러 FQDN을 가진 인증서의 필드에 모든 관련 도메인, IPv4 또는 IPv6 주소 및 이메일 주소가
Alternate subject
표시됩니다. 이러한 개선 사항은 명령의 출력에서 확인할 수 있습니다show security pki local-certificate
. 이전에는 명령 출력에 마지막 FQDN 세부 정보만 표시되었습니다.[ show security pki local-certificate(보기)를 참조하십시오.]