Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

変更点

vSRXのこのリリースで変更された内容について説明します。

Junos XML APIとスクリプティング

  • xmlns:junos属性には、完全なソフトウェアバージョン文字列(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、およびvSRX)が含まれます。XML RPCの返信のxmlns:junos名前空間文字列には、show versionコマンドによって出力されるバージョンと同じである完全なソフトウェアバージョンリリース番号が含まれます。以前のリリースでは、xmlns:junos文字列には部分的なソフトウェアバージョン情報のみが含まれていました。

ネットワーク管理と監視

  • show system yang package(get-system-yang-packages RPC)XML 出力(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)の変更—show system yang package コマンドと <get-system-yang-packages> RPC では、XML 出力に次の変更が加えられています。

    • ルート要素は yang-pkgs-info ではなく yang-package-information です。

    • yang-package 要素は、パッケージ ファイルの各セットを囲みます。

    • yang-pkg-id タグの名前が package-id に変更されます。

    • パッケージに翻訳スクリプトが含まれていない場合、Translation Script(s) (trans-scripts) 値は none になります。

  • <load-configuration>operation="delete"を使用して存在しない設定オブジェクト(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)を削除した場合のNETCONFサーバーの<rpc-error>応答が変更されました—以前のリリースでは、<edit-config>または<load-configuration>操作がoperation="delete"を使用してターゲット設定に存在しない構成要素を削除する場合のNETCONFサーバーの<rpc-error>応答を変更しました。<load-configuration>応答への変更を元に戻しました。

  • RFC 準拠の NETCONF セッション(ACXシリーズ、EXシリーズ、MXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)での<validate>操作に対する RPC 応答の変更[edit system services netconf]階層レベルで rfc-compliant ステートメントを設定すると、NETCONF サーバーは<validate>操作に応答して <ok/> または <rpc-error> 要素のみを出力します。以前のリリースでは、RPC 応答には <commit-results> 要素も含まれていました。

プラットフォームとインフラストラクチャ

  • SSLプロキシ(SRXシリーズおよびvSRX 3.0)による限定的なECDSA証明書サポート—SRXシリーズファイアウォールとvSRX仮想ファイアウォールでSSLプロキシを設定します。

    • P-384/P-521サーバ証明書を持つECDSAベースのWebサイトは、セキュリティデバイスにP-256グループのみをサポートする制限があるため、root-ca証明書ではアクセスできません。

    • RSA ベースの root-ca および P-384/P-521 ECDSA root-ca 証明書が設定されている場合、SSL ターミネータが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスできなくなります。RSA ルート証明書とともに ECDSA ベースと RSA ベースの両方の Web サイトにアクセスできるようにするには、256 ビットの ECDSA ルート証明書を設定します。

    • 一部のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

    • 他のシナリオでは、SSL プロキシ構成で 256 ビットの ECDSA ルート証明書が使用されている場合でも、サーバーが P-256 以外の sigalg をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにはアクセスできません。この問題は、署名検証に失敗したハードウェアオフロードモードで発生します。ECDSA証明書のハードウェアオフロードはJunos OSリリース22.1R1で導入されているため、22.1R1より前にリリースされたJunos OSを使用する場合、この問題は発生しません。また、ECDSA証明書のSSLプロキシがソフトウェアで処理されている場合、この問題は発生しません。

ルーティングポリシーおよびファイアウォールフィルター

  • VPN(SRXシリーズ、vSRX、NFXシリーズ)を介したトラフィック損失防止に関連するコミット警告メッセージをキャプチャするためのSyslogwarning: Policy 'traditional' does not contain any dynamic-applications or url-categories but is placed below policies that use them. Please insert policy 'traditional' before your Unified policies warning: Source address or address_set (made_up_address) not found. Please check if it is a SecProfiling Feed などの設定コミット警告により、MGDはIKEDまたはKMDプロセスにVPNフラップと停止イベントにつながる DAX_ITEM_DELETE_ALL について通知しました。これらの警告メッセージは syslog によってキャプチャされ、VPN を介したトラフィックの損失を防ぎます。大規模な停止を防ぐために、これらの syslog 警告メッセージを解決することをお勧めします。

VPN

  • 中間CA証明書が削除された場合のローカル証明書ID検証の出力の強化(ファイアウォール、vSRX仮想ファイアウォール、cSRX SRXシリーズ)—PKIDプロセスを実行しているデバイスの場合、中間CA証明書が削除された場合の request security pki local-certificate verify の出力を変更しました。出力に local certificate hub_cert1 verification failed. Cannot build cert chain. が表示されます。

    [ 「request security pki local-certificate verify (セキュリティ)」を参照してください。

  • コマンドの出力での代替サブジェクト名の機能拡張 show security pki local-certificate(SRXシリーズファイアウォール、vSRX 3.0):複数のFQDNを持つ証明書の Alternate subject フィールドに、すべての関連ドメイン、IPv4またはIPv6アドレス、および電子メールアドレスが表示されるようになりました。これらの機能拡張は、 show security pki local-certificate コマンドの出力に表示されます。以前は、コマンド出力には最後のFQDNの詳細のみが表示されていました。

    [ show security pki local-certificate(ビュー)を参照してください。