¿Qué ha cambiado?

El xmlns:junos atributo incluye la cadena de versión de software completa (serie ACX, serie EX, serie MX, serie QFX, serie SRX, vMX y vSRX): la xmlns:junos cadena de espacio de nombres en las respuestas RPC XML incluye el número de versión de software completo, que es idéntico a la versión emitida por el show version comando. En versiones anteriores, la cadena solo incluye información parcial de la versión del xmlns:junos software.

Cambios en la show system yang package salida XML (get-system-yang-packages RPC) (serie ACX, serie EX, serie MX, serie QFX, serie SRX, vMX y vSRX): el show system yang package comando y <get-system-yang-packages> RPC incluyen los siguientes cambios en la salida XML:

• El elemento raíz es yang-package-information en lugar de yang-pkgs-info.

• Un yang-package elemento encierra cada conjunto de archivos de paquete.

• El nombre de la yang-pkg-id etiqueta pasa a package-idser .

• Si el paquete no contiene guiones de traducción, el valor de Guiones de traducción (trans-scripts) es none.

La respuesta del <rpc-error> servidor NETCONF cambió cuando <load-configuration> se utiliza operation="delete" para eliminar un objeto de configuración inexistente (ACX Series, EX Series, MX Series, QFX Series, SRX Series, vMX y vSRX): en una versión anterior, cambiamos la respuesta del <rpc-error> servidor NETCONF para cuando una <edit-config> operación o <load-configuration> utiliza operation="delete" para eliminar un elemento de configuración que está ausente en la configuración de destino. Hemos revertido los cambios en la <load-configuration> respuesta.

Cambios en la respuesta de RPC para <validate> operaciones en sesiones NETCONF compatibles con RFC (serie ACX, serie EX, serie MX, serie QFX, serie SRX, vMX y vSRX): cuando se configura la rfc-compliant instrucción en el nivel de [edit system services netconf] jerarquía, el servidor NETCONF emite solo un <ok/> elemento o <rpc-error> en respuesta a <validate> las operaciones. En versiones anteriores, la respuesta RPC también incluye el <commit-results> elemento.

Soporte limitado de certificados ECDSA con proxy SSL (serie SRX y vSRX 3.0): con proxy SSL configurado en el firewall de la serie SRX y firewalls virtuales vSRX:

• Los sitios web basados en ECDSA con certificados de servidor P-384/P-521 no son accesibles con ningún certificado de ca raíz, ya que el dispositivo de seguridad tiene la limitación de admitir solo el grupo P-256.

• Cuando se configura la raíz ca basada en RSA y el certificado de ca raíz ECDSA P-384/P-521, no se podrá acceder a todos los sitios web de ECDSA ya que SSL-Terminator se negocia con RSA, razón por la cual el dispositivo de seguridad envía solo cifrados y sigalgs RSA al servidor web de destino mientras realiza el protocolo de enlace SSL. Para garantizar que se pueda acceder a los sitios web basados en ECDSA y RSA junto con el certificado raíz de RSA, configure un certificado raíz de ECDSA de 256 bits.

• En algunos escenarios, incluso si se usa un certificado raíz ECDSA de 256 bits en la configuración del proxy SSL, no se puede acceder a los sitios web basados en ECDSA con certificados de servidor P-256 si el servidor no admite grupos P-256.

• En otros escenarios, incluso si se usa el certificado raíz ECDSA de 256 bits en la configuración del proxy SSL, los sitios web basados en ECDSA con certificados de servidor P-256 no son accesibles si el servidor admite sigalgs distintos de P-256. El problema se ve en el modo de descarga de hardware con un error en la verificación de firmas. Como la descarga de hardware para el certificado ECDSA se introdujo en la versión 22.1R1 de Junos OS, este problema no se observará si utiliza Junos OS versión anterior a 22.1R1. Además, el problema no se ve si el proxy SSL para el certificado ECDSA se maneja en software.

Opciones obsoletas relacionadas con la inscripción de certificados (Junos): a partir de Junos OS versión 23.2R1, estamos dejando de usar las opciones anteriores de CLI relacionadas con la infraestructura de clave pública (PKI) para inscribir y volver a inscribir certificados locales mediante el Protocolo simple de inscripción de certificados (SCEP). En la tabla siguiente se muestran los comandos y las instrucciones de configuración de la CLI de Junos, con las opciones en desuso. Puede encontrar las mismas opciones de CLI ahora disponibles en scep opción en estos comandos e instrucciones.

[Consulte Reinscripción automática (Seguridad), solicitar seguridad pki local-certificate inscribir scep y solicitar seguridad pki node-local-certificate enrollar.]

Syslogs para capturar mensajes de advertencia de confirmación relacionados con la prevención de pérdida de tráfico a través de VPN (series SRX, vSRX y NFX): advertencias de confirmación de configuración, como warning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies o warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed causaron que el MGD informara al proceso IKED o KMD sobre DAX_ITEM_DELETE_ALL la forma en que se produjeran fallas de VPN y eventos de interrupción. Estos mensajes de advertencia son capturados por syslogs para evitar la pérdida de tráfico a través de VPN. Le recomendamos que resuelva estos mensajes de advertencia syslog para evitar interrupciones importantes.

Nuevas opciones para el request system snapshot comando (serie ACX, serie EX, serie MX, serie QFX y serie SRX): el request system snapshot comando incluye nuevas opciones para instantáneas que no son de recuperación. Puede incluir la opción de especificar un nombre definido por el name usuario para la instantánea y puede incluir la configuration opción o no-configuration para incluir o excluir archivos de configuración en la instantánea. De forma predeterminada, la instantánea guarda los archivos de configuración, que incluyen el contenido de los directorios /config y /var y determinados archivos SSH.

[Consulte solicitar instantánea del sistema (Junos OS con FreeBSD actualizado).]

Mejoras en la salida de la verificación de ID de certificado local cuando se elimina un certificado de CA intermedio (firewalls de la serie SRX, firewall virtual vSRX y cSRX): para los dispositivos que ejecutan el proceso PKID, hemos cambiado la salida de cuando se elimina un certificado de request security pki local-certificate verify CA intermedio. El resultado ahora muestra local certificate hub_cert1 verification failed. Cannot build cert chain..

[ Consulte solicitud de seguridad pki local-certificate verify (Seguridad).]

Mejoras en el nombre de sujeto alternativo en la salida del comando show security pki local-certificate command (firewalls de la serie SRX, vSRX 3.0): el certificado con varios FQDN ahora muestra todos los dominios, direcciones IPv4 o IPv6 y direcciones de correo electrónico relacionados en el Alternate subject campo. Estas mejoras se ven en la salida del show security pki local-certificate comando. Anteriormente, la salida del comando mostraba solo los últimos detalles del FQDN.

[ Consulte mostrar certificado local pki de seguridad (Ver).]