変更点

EVPN ELAN サービスのフローラベル設定ステータス show evpn instance extensive コマンドの出力に、ルーティング インスタンスではなく、デバイスのフローラベルとフローラベル静的動作ステータスが表示されるようになりました。 flow-label が有効になっているデバイスは、フローアウェアトランスポート(FAT)フローラベルをサポートし、そのサポートをネイバーにアドバタイズします。 flow-label-static が有効になっているデバイスは、FAT フローラベルをサポートしていますが、その機能をアドバタイズしません。

pingオーバーレイまたはtracerouteオーバーレイ操作でUDPソースポートを指定する — 22.4R1より前のJunos OSリリースでは、pingオーバーレイまたはtracerouteオーバーレイ操作でudpソースポートを設定できませんでした。EVPN-VXLAN 環境で hash を使用して、この値を設定できるようになりました。構成オプション hash は、送信元ポート値を決定するために使用される可能性のある他のハッシュ * オプションを上書きします。

PMIモードパススルーESPトラフィック:Junos OSリリース22.1R3以降、SRX4100、SRX4200およびvSRX上のパススルーESPトラフィックのPMIエクスプレスパス処理がサポートされています。

コンテンツ セキュリティ向けフロー セッション操作コマンドのサポート(SRX シリーズおよび vSRX):show security flow session操作コマンド サポートを拡張し、コンテンツ フィルタリングと Web フィルタリングのコンテンツ セキュリティ機能の詳細を確認しました。

[ show security flow sessionを参照してください。

リソースパス/junos/system/linecard/environmentに登録すると、コレクター側のストリームパスのプレフィックスが/junos/linecard/environmentと表示されていました。この問題は、Junos OS 23.1R1およびJunos OS Evolved 23.1R1で解決されており、サブスクリプションパスとストリーミングパスは/junos/system/linecard/environmentを表示するように一致します。

ローカル証明書検証のタイム ゾーン サポート(SRX1500 および SRX5600):このリリース以降、ローカル証明書の検証に失敗した場合、コマンド出力とシステム ログ メッセージで失敗したローカル証明書のタイム ゾーンを確認できます。

パケット キャプチャはコントロール プレーン パケット キャプチャ(SRX シリーズ)と呼ばれるようになりました。Junos OS 23.1R1 リリース以降、デバイス管理メニューの パケット キャプチャをコントロール プレーン パケット キャプチャに名称変更しました。このページを使用して、ルーターのコントロール プレーン トラフィックをキャプチャして分析できます。

[ コントロール プレーン パケット キャプチャを参照してください。]

ログインクラスoperator、no-world-readableNETCONFトレースファイル(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)の表示が制限されています。[edit system services netconf traceoptions]階層レベルでNETCONFトレーシングオプションを設定し、no-world-readableステートメントを設定または省略してファイル所有者へのファイルアクセスを制限する場合(デフォルト)、operatorログインクラスに割り当てられたユーザーにはトレースファイルを表示する権限がありません。

junos:cli-featureのサポートYANG 拡張機能(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)- cli-feature YANG 拡張は、一部のコマンド オプションと設定ステートメントに関連付けられた特定の CLI プロパティを識別します。設定またはRPCを定義するJunos YANGモジュールは、必要に応じて、拡張機能とともに出力されるスキーマにcli-feature拡張ステートメントを含めます。この拡張機能は、クライアントが YANG データ モデルを使用する場合に役立ちますが、特定のワークフローでは、クライアントが CLI ベースのツールを生成する必要があります。

[ Junos DDL 拡張 YANG モジュールについて]

get-system-yang-packages内の XML タグRPC 応答の変更(ACX シリーズ、EX シリーズ、MX シリーズ、QFX シリーズ、SRX シリーズ、vMX、vSRX)- get-system-yang-packages RPC 応答は、XML 出力で xmlproxy-yang-modules タグを proxy-xml-yang-modules タグに置き換えます。

operation="delete"オペレーションにより存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)が削除された場合のNETCONFサーバーの<rpc-error>要素への変更—<edit-config>または<load-configuration>オペレーションがoperation="delete"を使用してターゲットコンフィギュレーションに存在しない構成要素を削除したときにNETCONFサーバーが返す<rpc-error>レスポンスを変更しました。エラーの重大度は警告ではなくエラーであり、<rpc-error> 要素には <error-tag>data-missing</error-tag> 要素と <error-type>application</error-type> 要素が含まれます。

証明書登録(Junos)に関連するオプションの廃止:Junos OSリリース23.2R1以降、簡易証明書登録プロトコル(SCEP)を介してローカル証明書を登録および再登録するため、公開鍵基盤(PKI)に関連する以前のCLIオプションを非推奨にします。以下の表は、非推奨となるオプションを含むJunos CLIコマンドと設定ステートメントを示しています。これらのコマンドおよびステートメントの scep オプションで、同じCLIオプションが使用可能になりました。

[自動再登録 (セキュリティ)、セキュリティ PKI ローカル証明書登録 scep の要求、およびセキュリティ PKI ノードローカル証明書の登録の要求を参照してください。

リモートアクセスプロファイル名の形式を変更する(SRXシリーズおよびvSRX 3.0):Junos OSリリース23.1R1以降、Juniper Secure Connectを使用したエンドユーザーエクスペリエンスを向上させるために、リモートアクセスプロファイル名の形式を変更しました。Junos OS Release 23.1R1より以前のリリースでは、[edit security remote-access profile realm-name]階層レベルでレルム名を使用してリモートアクセスプロファイル名を設定します。ただし、組織が複数のゲートウェイに接続している場合、リモート アクセス プロファイル名 (hr など) をリモート アクセス接続プロファイルで複数回使用すると、管理できなくなります。

この問題に対処するために、リモート アクセス プロファイル名を構成するための新しい規則を導入します。エンド ユーザーが関連するゲートウェイに接続できるように、[edit security remote-access profile realm-name] 階層レベルで次のいずれかの形式を使用して URL を含むプロファイル名を構成できるようになりました。

• FQDN/RealmName

• FQDN

• IP address/RealmName

• IP address

例えば、レルム名として ra.example.com/hr、 ra1.example.com/hr 、 および ra.example.com を使用できるようになりました。

この規則の導入に伴い、[edit security remote-access] 階層レベルで既存の default-profile オプションを非推奨にする必要があります。リモート アクセス プロファイル名は、エンド ユーザーの接続方法に応じて、FQDN または IP アドレスを使用した URL (ra.example.com/hr、ra.example.com、192.168.1.10/hr、192.168.1.10 など) を参照します。この変更により、エンドユーザーには、以前のリリースのように、Juniper Secure Connectアプリケーションの接続プロファイル名がhrではなく ra.example.com/hr と表示されるようになります。

既存の展開では、この変更にスムーズに移行するために、次のコマンドを使用して、現在の構成のプロファイル名 hr を [edit] 階層レベルで ra.example.com/hr または 192.168.1.10/hr に変更することをお勧めします。

[ プロファイル(Juniper Secure Connect)を参照してください。]

ローカルエンドエンティティ(EE)証明書(SRX300、SRX320、SRX550HM、SRX1500、SRX4100、SRX4600、SRX5400、SRX5600、SRX5800)の自動再登録の機能強化:Junos OSリリース23.2R1以降、オプションre-enroll-trigger-time-percentageがオプションになりました。ただし、commit-checkを成功させるには、re-enroll-timeまたはre-enroll-trigger-time-percentageのいずれかを設定する必要があります。

[ 自動再登録 (セキュリティ)を参照してください。

IPsec VPN(SRXシリーズ)の電源モードIPsec Intel QATオプションの削除—表示用にJunos CLIから[edit security flow]階層レベルのオプションpower-mode-ipsec-qatを削除しました。複数のIPsec VPNトンネルで設定することは推奨されていないため、このオプションは非表示になっています。QAT よりも優れたパフォーマンスを実現するために、PMI モードで AES-NI を引き続き使用します。

[ PowerMode IPsec による IPsec パフォーマンスの向上を参照してください。]

リモートアクセスVPNソリューション(SRXシリーズおよびvSRX 3.0)でdefault-profileオプションが利用できない:Junos OSリリース23.1R1以降、[edit security remote-access]階層レベルでdefault-profileオプションを非表示にしました。Junos OS リリース 23.1R1 より前のリリースでは、このオプションを使用して、Juniper Secure Connect のデフォルトプロファイルとしてリモートアクセスプロファイルの 1 つを指定します。ただし、リモート アクセス プロファイル名の形式が変更されたことで、default-profile オプションは不要になりました。

default-profile オプションは、すぐに削除するのではなく非推奨としました。これは、下位互換性を確保し、既存の構成を変更した構成に適合させる機会を提供するためです。構成で default-profile オプションを引き続き使用すると、警告メッセージが表示されます。ただし、現在の構成を変更しても、既存の展開には影響しません。

既存の展開では、この変更によるスムーズな移行を確実にするために、次のコマンドを使用して、現在の構成hrのプロファイル名を[edit]階層レベルで ra.example.com/hr または192.168.1.10/hrに変更することをお勧めします。

新しい構成の場合、次のシナリオを考慮して、エンドユーザーがJuniper Secure Connectアプリケーションを使用して接続する方法に基づいて新しいリモートアクセスプロファイルを作成します。

• エンド ユーザーが IP アドレスを使用して接続する場合は、プロファイル名に IP アドレスを指定します。

• エンド ユーザーが FQDN を使用して接続する場合は、プロファイル名に FQDN を指定します。

• hr などの異なる領域値を持つユーザーを分離する必要がある場合は、次のように /hr を IP アドレスまたは FQDN に追加します。

  • [edit security remote-access profile ra.example.net/hr]

  • [edit security remote-access profile 192.168.1.10/hr]

[ default-profile(Juniper Secure Connect) を参照してください)。

リモートアクセスVPNソリューションは、16進数の事前共有に対応していません(SRXシリーズおよびvSRX 3.0)—リモートアクセスVPNソリューションでは、事前共有キーベースの認証方法として、ASCIIテキスト形式をサポートしています。つまり、リモート アクセス VPN ソリューションの設定で、事前共有キーに 6 進数形式を使用しないでください。そのため、Juniper Secure Connectで使用するには、[edit security ike policy policy-name pre-shared-key]階層レベルでASCIIテキストフォーマットのステートメントascii-textを設定してください。

SCEP PKI 証明書登録の機能拡張:SCEP PKI 証明書登録に論理システム オプションが追加されました。

[ セキュリティpkiローカル証明書登録scepの要求を参照してください。

IPsec VPN IKEネゴシエーション(SRXシリーズ)における証明書要求ペイロードの変更点—IKE SAネゴシエーションのIKEポリシーで構成されたtrusted-ca/caプロファイルの場合、IKE SAネゴシエーションの証明書要求ペイロードには、そのtrusted-ca/caプロファイルに関連付けられたCA証明書が含まれます。例えば、 edit security ike policy policy-name certificate trusted-ca ca-profile certificate-authority のIKEポリシーのtrusted-ca/caプロファイルの場合、このIKEポリシー policy-name を使用したIKE SAネゴシエーションの証明書要求ペイロードには、CA certificate-authorityのCA証明書が含まれます。

SSLプロキシ(SRXシリーズおよびvSRX 3.0)によるECDSA証明書の限定サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールにSSLプロキシが設定されている

• P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートするように制限されているため、root-ca証明書ではアクセスできません。

• RSA ベースのルート CA および P-384/P-521 ECDSA ルート CA 証明書が設定されている場合、SSL-ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。そのため、セキュリティ デバイスは SSL ハンドシェイクの実行中に RSA 暗号とシガルグのみを宛先 Web サーバーに送信します。ECDSA ベースと RSA ベースの両方の Web サイトに RSA ルート証明書とともにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を構成します。

• 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

• その他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名の検証に失敗したハードウェアオフロードモードで発生します。ECDSA 証明書のハードウェア オフロードは Junos OS リリース 22.1R1 で導入されたため、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。