版本 22.1R1 中的变化
身份验证和访问控制
-
增强型 UAC 身份验证 (SRX 系列)— 为了调节事件表条目的寿命(默认 60 秒),我们添加了一个新的配置语句集服务 统一访问控制事件表生存时间间隔(以秒为单位>。如果 SRX 系列设备的身份验证存在延迟,请在用户获得 IC 授权后,使用此配置语句启用 UAC 流量。请参阅 配置 Junos OS 实施器故障切换选项(CLI 过程)
通用路由
-
Junos Limited 版本(MX 系列路由器、PTX 系列路由器和 SRX 系列设备)上不支持 PKI 操作模式命令 — 我们不支持
request
show
clear
有限加密 Junos 映像(“Junos Limited”)上与 PKI 相关的操作命令。如果您试图在有限的加密 Junos 映像上执行 PKI 操作命令,则会显示适当的错误消息。此pkid
进程不会在 Junos Limited 版本映像上运行。因此,限量版本不支持任何与 PKI 相关的操作。
J-Web
-
仪表板和监控页面 (SRX 系列)的更改):— 为了提高 J-Web UI 加载速度:在仪表板页面上,我们删除了本机报告相关小部件。在“监控>地图和图表>流量地图页面上,我们已将默认持续时间从过去”1 小时“更改为”5 分钟”。
-
身份管理页面 (SRX 系列)更改 — 从 Junos OS 版本 21.4R1 开始,我们在以下位置将身份管理更名为瞻博网络身份管理服务 (JIMS):在安全服务>防火墙身份验证中,身份管理菜单将重命名为 JIMS。在“身份管理”页面(全新 JIMS 页面)中,身份管理的所有实例将重命名为瞻博网络身份管理服务。
Junos OS API 和脚本
-
<request-system-zeroize>
RPC 响应表示设备在成功启动请求的操作(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)时 — 当 RPC 成功启动零化操作时<request-system-zeroize>
,设备会发出<system-zeroize-status>zeroizing re0</system-zeroize-status>
响应标记以指示进程已启动。如果设备未能启动零化操作,设备将不会发出<system-zeroize-status>
响应标记。
网络管理和监控
-
Junos XML 协议 Perl 模块弃用(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)—我们不再提供用于下载的 Junos XML 协议 Perl 客户端。要使用 Perl 管理 Junos 设备,请改用 NETCONF Perl 库。
[请参阅 了解 NETCONF Perl 客户端和示例脚本。]
-
停用或删除临时配置数据库的实例(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)时的更改 — 在停用或删除静态配置数据库数据库中的临时数据库实例时,会做出以下更改:
-
停用整个
[edit system configuration-database ephemeral]
层次结构级别时,设备将删除所有用户定义的临时实例的文件和相应的配置数据。在早期版本中,文件和配置数据将保留;但是,配置数据不会与静态配置数据库合并。 -
在静态配置数据库中删除一个临时实例时,该实例的配置文件也将被删除。在早期版本中,配置文件将保留。
-
您可以删除默认临时数据库实例的文件和相应配置数据,方法是将语句与层次结构级别的
ignore-ephemeral-default
语句[edit system configuration-database ephemeral]
一起配置delete-ephemeral-default
。
[请参阅 启用和配置临时配置数据库的实例。]
-
网络地址转换 (NAT)
-
NAT 规则配置命令(SRX 系列和 MX 系列)— 从 Junos OS 22.1R1 版开始,在源 NAT、目标 NAT 和静态 NAT 上,如果使用 IP 地址前缀不正确,则规则集命令配置将失败。要提交配置,请使用有效的 IP 地址前缀。
平台和基础架构
-
自签名证书(SRX 系列设备和 vSRX3.0)中包含 IPv6 地址 — 除了早期支持的 IPv4 地址外,我们还支持使用 IPv6 地址手动生成给定著名名称的自签名证书。使用 具有选项的
request security pki local-certificate generate-self-signed
命令ipv6-address
将 ipv6 地址包含在自签名证书中。
统一威胁管理 (UTM)
-
内容过滤 CLI 更新(SRX 系列和 vSRX)— 从 Junos OS 版本 22.1R1 开始,我们已对内容过滤 CLI 进行了以下更新:
- 修剪了内容过滤规则匹配标准支持的文件类型列表。现在只有一
file-type
个字符串表示所有变体,而不是唯一代表文件类型的不同变体。因此,show security utm content-filtering statistics
输出也进行了更新,以与规则匹配标准中可用的新文件类型保持一致。 - 将内容过滤安全日志选项
seclog
重命名为log
与 Junos OS 配置标准匹配。 - 重新记录
reason
与内容过滤安全日志消息相关联的字符串。
- 修剪了内容过滤规则匹配标准支持的文件类型列表。现在只有一
用户界面和配置
-
负载 JSON 配置数据,其中包含未排序列表条目(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— Junos 模式要求列表密钥先于列表条目中的任何其他兄弟姐妹,并以示例指定的顺序出现。Junos 设备提供两个选项来加载包含无序列表条目的 JSON 配置数据:
-
在设备上加载数据之前,
request system convert-json-configuration
使用操作模式命令使用有序列表条目生成 JSON 配置数据。 -
在层次结构级别配置
reorder-list-keys
语句[edit system configuration input format json]
。配置语句后,可以使用未配置的列表条目加载 JSON 配置数据,设备在负载操作期间按照 Junos 模式的要求重新分配列表密钥。
配置
reorder-list-keys
语句时,负载操作可能需要更长的时间来解析配置,具体取决于配置的大小和列表数量。因此,对于具有许多列表的大型配置或配置,建议使用request system convert-json-configuration
命令而不是reorder-list-keys
语句。 -
Vpn
-
弃用 IPsec 手动 VPN 配置语句(SRX 系列设备和运行 kmd 进程的 vSRX)—从 Junos OS 22.3R1 版开始,我们将弃用手动 IPsec VPN(流模式)。这意味着您无法使用
[edit security ipsec vpn vpn-name manual]
配置层次结构建立手动 IPsec 安全关联 (SA)。作为此更改的一部分,我们将弃用
[edit security ipsec vpn
层次结构级别及其配置选项。vpn-name
manual][请参阅 手册。]
-
保存瞻博网络安全连接应用程序(SRX 系列和 vSRX)上的用户凭据 — 作为系统管理员,您现在可以让用户保存用户名或用户名和密码,以便轻松访问:
-
使用
set client-config name credentials username
层次结构级别的edit security remote-access
选项来保存用户名。 -
使用
set client-config name credentials password
层次结构级别的edit security remote-access
选项来保存用户名和密码。
请注意,您不能同时配置和
username
password
选项。如果未配置任何凭据配置选项,则应用程序将不记得用户凭据。[请参阅 客户端配置(瞻博网络安全连接) 和 瞻博网络安全连接应用程序概述。]
-