変更点

vSRXの今回のリリースでの変更点について説明します。

認証とアクセス制御

SHA-1 パスワード形式の非推奨(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)- SHA-1 はプレーンテキストのパスワード暗号化でサポートされなくなったため、階層レベルでのオプション[edit system login password format]が削除されsha1ました。

ネットワークの管理と監視

NETCONF <edit-config> の変更点RPC 応答(ACX シリーズ、EX シリーズ、MX シリーズ、PTX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)- 操作が <edit-config> エラーを返す場合、NETCONF サーバーは RPC 応答の要素を出力 <load-error-count> しません。以前のリリースでは、RPC 応答には、 <edit-config> 操作が失敗したときの要素が含まれます <load-error-count> 。

Vpn

非推奨のIPsec手動VPN設定ステートメント(SRXシリーズデバイスとkmdプロセスを実行しているvSRX)—Junos OSリリース22.3R1以降、手動IPsec VPN(フローモード)は非推奨になります。つまり、の設定階層を使用して手動の IPsec セキュリティアソシエーション(SA)を確立する [edit security ipsec vpn vpn-name manual] ことはできません。

この変更の一環として、階層レベルとその構成オプションは非推奨 [edit security ipsec vpn vpn-name manual] になります。

[ マニュアルを参照してください。
IPsec VPNトラフィックセレクタールートが「静的ルート」から「ARI-TS」ルートに変更されました(ikedプロセスを実行しているMX-SPC3、SRXシリーズおよびvSRX)—Junos OSリリース22.2R1以降、トラフィックセレクター設定を使用してIPsecネゴシエーションが完了すると、これらのルートが静的ルートではなくARI-TS(トラフィックセレクターの自動ルート挿入)ルートとしてインストールされるようになりました。これらのルートは、デフォルトで、以前の実装と同じルート優先度とメトリックでインストールされます。ARI-TS ルートは '[ARI-TS/5]' として挿入されます。

この方法では、他のルーティングプロトコルに影響を与えることなく、ARI-TS ルートのルート優先度を変更できます。

[ 新しい ARI-TS ルーティングプロトコルを参照してください。
自己署名証明書に IPv6 アドレスを含める(SRX シリーズデバイスおよび vSRX3.0):以前にサポートされた IPv4 アドレスに加えて、IPv6 アドレスを使用して、特定の識別名に対する自己署名証明書を手動で生成することがサポートされています。コマンドを request security pki local-certificate generate-self-signed オプション付き ipv6-address で使用して、自己署名証明書に ipv6 アドレスを含めます。

[ 要求セキュリティpkiローカル証明書生成自己署名(セキュリティ)を参照してください。
失効チェックのために OCSP サーバーに接続できない(SRX シリーズデバイスおよび vSRX):OCSP を使用して失効チェックを実行するときに、OCSP サーバーの URL に DNS サーバーが解決できないドメイン名が含まれている場合、SRX デバイスは OCSP サーバーとの接続を試行しません。この場合、SRX デバイスが OCSP サーバーへの接続を確立できず、次のいずれかの構成オプションが設定されている場合、OCSP 失効チェックは CRL の使用を許可するか、フォールバックします。
- セキュリティ PKI CA プロファイルの設定 OCSP-ROOT 取り消しチェック OCSP 接続失敗の無効化
- セキュリティ PKI CA プロファイルの設定 OCSP-ROOT 取り消し-チェック OCSP 接続失敗フォールバック-crl
SRX デバイスが OCSP サーバーへの接続を確立できず、これらのオプションが設定されていない場合、証明書の検証は失敗します。

[ ocsp (セキュリティ PKI) を参照してください。