Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

新变化

了解此版本中针对 SRX 系列的更改内容。

身份验证和访问控制

  • 已弃用 SHA-1 密码格式(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 我们已在[edit system login password format]层次结构级别删除该sha1选项,因为纯文本密码加密不再支持 SHA-1。

网络地址转换 (NAT)

网络管理和监控

  • SNMPv3 的 DES 弃用 (Junos) - 由于安全性较弱且容易受到加密攻击,SNMPv3 的数据加密标准 (DES) 隐私协议已弃用。为了增强安全性,请将三重数据加密标准 (3DES) 或高级加密标准(CFB128-AES-128 隐私协议)配置为 SNMPv3 用户的加密算法。

    [参见 privacy-3desprivacy-aes128

  • 对 NETCONF <edit-config> 的更改RPC 响应(ACX 系列、EX 系列、MX 系列、PTX 系列、QFX 系列、SRX 系列、vMX 和 vSRX)— 当作返回错误时 <edit-config> ,NETCONF 服务器不会在 RPC 响应中发出元素 <load-error-count> 。在早期版本中,当作失败时, <edit-config> RPC 响应将包含该 <load-error-count> 元素。

SSL 代理

  • SSL 会话恢复期间无会话缓存条目存储(SRX 系列设备)— 当 SSL 会话尝试重新启动完全握手而服务器拒绝该会话恢复时,会话缓存不会存储会话信息并保持为空。在客户端设备使用 TLS1.1 版本而服务器使用 TLS1.3(最大)版本的设置中会出现此问题。

    在 Junos OS 22.1R1 及更高版本中,即使会话恢复被拒绝,会话缓存也会存储会话信息,您可以使用命令查看会话缓存条目 show services ssl proxy session-cache entries summary

VPN

  • 弃用 IPsec 手动 VPN 配置语句(运行 kmd 进程的 SRX 系列设备和 vSRX)— 从 Junos OS 22.2R1 版开始,我们将弃用手动 IPsec VPN(流模式)。这意味着,您无法使用 [edit security ipsec vpn vpn-name manual] 配置层次结构建立手动 IPsec 安全关联 (SA)。

    作为此更改的一部分,我们将弃用 [edit security ipsec vpn vpn-name manual] 层次结构级别及其配置选项。

    [请参阅 手册

  • IPsec VPN 流量选择器路由从“静态路由”更改为“ARI-TS”路由(MX-SPC3、SRX 系列和运行 iked 进程的 vSRX)— 从 Junos OS 22.2R1 版开始,当使用流量选择器配置完成 IPsec 协商时,这些路由现在将作为 ARI-TS(流量选择器的自动路由插入)路由进行安装,而非静态路由。默认情况下,这些路由的安装方式与之前的实现具有相同的路由优先级和指标。ARI-TS 路由作为 '[ARI-TS/5]' 插入。

    使用此方法,您可以更改 ARI-TS 路由的路由优先级,而不会影响其他路由协议。

    [请参阅 新 ARI-TS 路由协议。]

  • 在自签名证书中包括 IPv6 地址(SRX 系列设备和 vSRX3.0)— 除了之前支持的 IPv4 地址外,我们还支持使用 IPv6 地址为给定的可分辨名称手动生成自签名证书。 request security pki local-certificate generate-self-signed 使用命令和 ipv6-address 选项将 ipv6 地址包含在自签名证书中。

    [请参阅 请求安全 PKI 本地证书生成自签名(安全)。]

  • 无法使用 OCSP 服务器进行吊销检查(SRX 系列设备和 vSRX)— 使用 OCSP 执行吊销检查时,如果 OCSP 服务器 URL 包含 DNS 服务器无法解析的域名,则 SRX 设备不会尝试与 OCSP 服务器连接。在这种情况下,当 SRX 设备无法与 OCSP 服务器建立连接并设置了以下配置选项之一时,OCSP 撤销检查将允许或回退到使用 CRL:
    • 设置安全 PKI CA 配置文件 OCSP-ROOT 撤销-检查 OCSP 连接-失败 禁用
    • 设置安全 PKI CA 配置文件 OCSP-ROOT 吊销-检查 OCSP 连接-故障回退-CRL

    如果 SRX 设备无法与 OCSP 服务器建立连接,并且未配置这些选项,则证书验证将失败。

    [请参阅 ocsp(安全 PKI)。]

VPLS

  • 当配置了具有监管器作的输出过滤器时,VPLS 接口上没有输出字节递增(SRX 系列设备)— 当您将设备升级到 Junos OS 19.4R3-S1 或更高版本,并且 VPLS 接口具有应用了监管器作的输出过滤器时,VPLS 接口不会传递流量。由于此问题,该接口上的输出字节不会递增,当您使用 show interfaces <interface-name> extensive | no-more 输出显示详细信息时,VPLS 接口会将输出字节显示为 0。在 Junos OS 22.2R1 版中, show interfaces <interface-name> extensive | no-more 命令输出显示了正确的详细信息。