このページの目次
変更点
SRXシリーズのこのリリースでの変更点について説明します。
EVPN
-
EVPN ELAN サービスのフローラベル設定ステータス
show evpn instance extensive
コマンドの出力に、ルーティング インスタンスではなく、デバイスのフローラベルとフローラベル静的動作ステータスが表示されるようになりました。flow-label
が有効になっているデバイスは、フローアウェアトランスポート(FAT)フローラベルをサポートし、そのサポートをネイバーにアドバタイズします。flow-label-static
が有効になっているデバイスは、FAT フローラベルをサポートしていますが、その機能をアドバタイズしません。 -
pingオーバーレイまたはtracerouteオーバーレイ操作でUDPソースポートを指定する — 22.4R1より前のJunos OSリリースでは、pingオーバーレイまたはtracerouteオーバーレイ操作でudpソースポートを設定できませんでした。EVPN-VXLAN 環境で
hash
を使用して、この値を設定できるようになりました。構成オプションhash
は、送信元ポート値を決定するために使用される可能性のある他のハッシュ * オプションを上書きします。
フローベースおよびパケットベースの処理
-
PMIモードパススルーESPトラフィック:Junos OSリリース22.1R3以降、SRX4100、SRX4200およびvSRX上のパススルーESPトラフィックのPMIエクスプレスパス処理がサポートされています。
-
コンテンツ セキュリティ向けフロー セッション操作コマンドのサポート(SRX シリーズおよび vSRX):
show security flow session
操作コマンド サポートを拡張し、コンテンツ フィルタリングと Web フィルタリングのコンテンツ セキュリティ機能の詳細を確認しました。[ show security flow sessionを参照してください。
一般的なルーティング
-
リソースパス/junos/system/linecard/environmentに登録すると、コレクター側のストリームパスのプレフィックスが/junos/linecard/environmentと表示されていました。この問題は、Junos OS 23.1R1およびJunos OS Evolved 23.1R1で解決されており、サブスクリプションパスとストリーミングパスは/junos/system/linecard/environmentを表示するように一致します。
-
ローカル証明書検証のタイム ゾーン サポート(SRX1500 および SRX5600):このリリース以降、ローカル証明書の検証に失敗した場合、コマンド出力とシステム ログ メッセージで失敗したローカル証明書のタイム ゾーンを確認できます。
J-Web
-
パケット キャプチャはコントロール プレーン パケット キャプチャ(SRX シリーズ)と呼ばれるようになりました。Junos OS 23.1R1 リリース以降、デバイス管理メニューの パケット キャプチャをコントロール プレーン パケット キャプチャに名称変更しました。このページを使用して、ルーターのコントロール プレーン トラフィックをキャプチャして分析できます。
[ コントロール プレーン パケット キャプチャを参照してください。]
ネットワークの管理と監視
-
ログインクラス
operator
、no-world-readable
NETCONFトレースファイル(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)の表示が制限されています。[edit system services netconf traceoptions]
階層レベルでNETCONFトレーシングオプションを設定し、no-world-readable
ステートメントを設定または省略してファイル所有者へのファイルアクセスを制限する場合(デフォルト)、operator
ログインクラスに割り当てられたユーザーにはトレースファイルを表示する権限がありません。 -
junos:cli-feature
のサポートYANG 拡張機能(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)-cli-feature
YANG 拡張は、一部のコマンド オプションと設定ステートメントに関連付けられた特定の CLI プロパティを識別します。設定またはRPCを定義するJunos YANGモジュールは、必要に応じて、拡張機能とともに出力されるスキーマにcli-feature
拡張ステートメントを含めます。この拡張機能は、クライアントが YANG データ モデルを使用する場合に役立ちますが、特定のワークフローでは、クライアントが CLI ベースのツールを生成する必要があります。 -
get-system-yang-packages
内の XML タグRPC 応答の変更(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)-get-system-yang-packages
RPC 応答は、XML 出力でxmlproxy-yang-modules
タグをproxy-xml-yang-modules
タグに置き換えます。 -
operation="delete"
オペレーションにより存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)が削除された場合のNETCONFサーバーの<rpc-error>
要素への変更—<edit-config>
または<load-configuration>
オペレーションがoperation="delete"
を使用してターゲットコンフィギュレーションに存在しない構成要素を削除したときにNETCONFサーバーが返す<rpc-error>
レスポンスを変更しました。エラーの重大度は警告ではなくエラーであり、<rpc-error>
要素には<error-tag>data-missing</error-tag>
要素と<error-type>application</error-type>
要素が含まれます。
ティッカー
-
証明書登録(Junos)に関連するオプションの廃止:Junos OSリリース23.2R1以降、簡易証明書登録プロトコル(SCEP)を介してローカル証明書を登録および再登録するため、公開鍵基盤(PKI)に関連する以前のCLIオプションを非推奨にします。以下の表は、非推奨となるオプションを含むJunos CLIコマンドと設定ステートメントを示しています。これらのコマンドおよびステートメントの
scep
オプションで、同じCLIオプションが使用可能になりました。表 1: 非推奨の Junos CLI オプション Junos CLI コマンドおよびステートメント
非推奨のオプション
set security pki auto-re-enrollment
certificate-id
request security pki local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
request security pki node-local local-certificate enroll
ca-profile
certificate-id
challenge-password
digest
domain-name
email
ip-address
ipv6-address
logical-system
scep-digest-algorithm
scep-encryption-algorithm
subject
[自動再登録 (セキュリティ)、セキュリティ PKI ローカル証明書登録 scep の要求、およびセキュリティ PKI ノードローカル証明書の登録の要求を参照してください。
VPN
-
リモートアクセスプロファイル名の形式を変更する(SRXシリーズおよびvSRX 3.0):Junos OSリリース23.1R1以降、Juniper Secure Connectを使用したエンドユーザーエクスペリエンスを向上させるために、リモートアクセスプロファイル名の形式を変更しました。Junos OS Release 23.1R1より以前のリリースでは、[
edit security remote-access profile realm-name
]階層レベルでレルム名を使用してリモートアクセスプロファイル名を設定します。ただし、組織が複数のゲートウェイに接続している場合、リモート アクセス プロファイル名 (hr など) をリモート アクセス接続プロファイルで複数回使用すると、管理できなくなります。この問題に対処するために、リモート アクセス プロファイル名を構成するための新しい規則を導入します。エンド ユーザーが関連するゲートウェイに接続できるように、[
edit security remote-access profile realm-name
] 階層レベルで次のいずれかの形式を使用して URL を含むプロファイル名を構成できるようになりました。-
FQDN/RealmName
-
FQDN
-
IP address/RealmName
-
IP address
例えば、レルム名として ra.example.com/hr、 ra1.example.com/hr 、 および ra.example.com を使用できるようになりました。
この規則の導入に伴い、[
edit security remote-access
] 階層レベルで既存のdefault-profile
オプションを非推奨にする必要があります。リモート アクセス プロファイル名は、エンド ユーザーの接続方法に応じて、FQDN または IP アドレスを使用した URL (ra.example.com/hr、ra.example.com、192.168.1.10/hr、192.168.1.10 など) を参照します。この変更により、エンドユーザーには、以前のリリースのように、Juniper Secure Connectアプリケーションの接続プロファイル名がhrではなく ra.example.com/hr と表示されるようになります。既存の展開では、この変更にスムーズに移行するために、次のコマンドを使用して、現在の構成のプロファイル名 hr を [
edit
] 階層レベルで ra.example.com/hr または 192.168.1.10/hr に変更することをお勧めします。-
user@host# rename security remote-access profile hr to profile ra.example.net/hr
-
user@host# rename security remote-access profile hr to profile 192.168.1.10/hr
[ プロファイル(Juniper Secure Connect)を参照してください。]
-
-
ローカルエンドエンティティ(EE)証明書(SRX300、SRX320、SRX550HM、SRX1500、SRX4100、SRX4600、SRX5400、SRX5600、SRX5800)の自動再登録の機能強化:Junos OSリリース23.2R1以降、オプション
re-enroll-trigger-time-percentage
がオプションになりました。ただし、commit-check
を成功させるには、re-enroll-time
またはre-enroll-trigger-time-percentage
のいずれかを設定する必要があります。[ 自動再登録 (セキュリティ)を参照してください。
-
IPsec VPN(SRXシリーズ)の電源モードIPsec Intel QATオプションの削除—表示用にJunos CLIから[
edit security flow
]階層レベルのオプションpower-mode-ipsec-qat
を削除しました。複数のIPsec VPNトンネルで設定することは推奨されていないため、このオプションは非表示になっています。QAT よりも優れたパフォーマンスを実現するために、PMI モードで AES-NI を引き続き使用します。[ PowerMode IPsec による IPsec パフォーマンスの向上を参照してください。]
-
リモートアクセスVPNソリューション(SRXシリーズおよびvSRX 3.0)で
default-profile
オプションが利用できない:Junos OSリリース23.1R1以降、[edit security remote-access
]階層レベルでdefault-profile
オプションを非表示にしました。Junos OS リリース 23.1R1 より前のリリースでは、このオプションを使用して、Juniper Secure Connect のデフォルトプロファイルとしてリモートアクセスプロファイルの 1 つを指定します。ただし、リモート アクセス プロファイル名の形式が変更されたことで、default-profile
オプションは不要になりました。default-profile
オプションは、すぐに削除するのではなく非推奨としました。これは、下位互換性を確保し、既存の構成を変更した構成に適合させる機会を提供するためです。構成でdefault-profile
オプションを引き続き使用すると、警告メッセージが表示されます。ただし、現在の構成を変更しても、既存の展開には影響しません。既存の展開では、この変更によるスムーズな移行を確実にするために、次のコマンドを使用して、現在の構成hrのプロファイル名を[
edit
]階層レベルで ra.example.com/hr または192.168.1.10/hrに変更することをお勧めします。-
user@host# rename security remote-access profile hr to profile ra.example.net/hr
-
user@host# rename security remote-access profile hr to profile 192.168.1.10/hr
新しい構成の場合、次のシナリオを考慮して、エンドユーザーがJuniper Secure Connectアプリケーションを使用して接続する方法に基づいて新しいリモートアクセスプロファイルを作成します。
-
エンド ユーザーが IP アドレスを使用して接続する場合は、プロファイル名に IP アドレスを指定します。
-
エンド ユーザーが FQDN を使用して接続する場合は、プロファイル名に FQDN を指定します。
-
hr などの異なる領域値を持つユーザーを分離する必要がある場合は、次のように /hr を IP アドレスまたは FQDN に追加します。
-
[
edit security remote-access profile ra.example.net/hr
] -
[
edit security remote-access profile 192.168.1.10/hr
]
-
[ default-profile(Juniper Secure Connect) を参照してください)。
-
-
リモートアクセスVPNソリューションは、16進数の事前共有に対応していません(SRXシリーズおよびvSRX 3.0)—リモートアクセスVPNソリューションでは、事前共有キーベースの認証方法として、ASCIIテキスト形式をサポートしています。つまり、リモート アクセス VPN ソリューションの設定で、事前共有キーに 6 進数形式を使用しないでください。そのため、Juniper Secure Connectで使用するには、
[edit security ike policy policy-name pre-shared-key]
階層レベルでASCIIテキストフォーマットのステートメントascii-text
を設定してください。 -
SCEP PKI 証明書登録の機能拡張:SCEP PKI 証明書登録に論理システム オプションが追加されました。
[ セキュリティpkiローカル証明書登録scepの要求を参照してください。
-
IPsec VPN IKEネゴシエーション(SRXシリーズ)における証明書要求ペイロードの変更点—IKE SAネゴシエーションのIKEポリシーで構成されたtrusted-ca/caプロファイルの場合、IKE SAネゴシエーションの証明書要求ペイロードには、そのtrusted-ca/caプロファイルに関連付けられたCA証明書が含まれます。例えば、
edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority
のIKEポリシーのtrusted-ca/caプロファイルの場合、このIKEポリシー policy-name を使用したIKE SAネゴシエーションの証明書要求ペイロードには、CA certificate-authorityのCA証明書が含まれます。 -
SSLプロキシ(SRXシリーズおよびvSRX 3.0)によるECDSA証明書の限定サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールにSSLプロキシが設定されている
-
P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。
-
RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。
-
一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。
-
その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。
-