Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_components:platform:dpi_update:dpi_update_110:start [2022/11/17 11:33] – vasexperts
+++ dpi:dpi_components:platform:dpi_update:dpi_update_110:start [2023/08/29 10:49] (текущий) – удалено elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
-====== Обновление платформы DPI до версии 11.0 ======
-{{indexmenu_n>22}}
-<html><div class="menu"></html>
-==== Изменения в версии 11.0 Foundation ====
-.0 Foundation ((Cтабилизация основания для дальнейшего развития: мобильные сети, аналитика, DDOS защита, LI, AI {{https://www.film.ru/sites/default/files/styles/epsa_600x680/public/articles/49796146-1643380.jpg|Основание}}))
-  - Добавлена поддержка сигнатур, определяемых пользователями на основе SNI, IP[:PORT] или SUBNET
-  - Добавлена запись трафика в СХД ("закон Яровой")
-  - Добавлены протоколы FACETIME,NORD_VPN,EXPRESS_VPN,PRIVATETUNNEL_VPN,VPNUNLIMITED,PSIPHON3,CLUBHOUSE,TLS_UNKNOWN,QUIC_IETF,SPEEDTEST
-  - Изменено : по 12 услуге пишутся данные в pcap и после детектирования закрытия сессии
-  - [dpi engine] Add configurable IP recheck timeout
-  - [sorm engine] New config prmt for amount of meta_parser
-  - Изменено : Если задан параметр ssl_reply в версию протокола ставим значение из протокола content_type=0x16
-  - Изменено : определение протоколов ssl_unknown и tls_unknown определяется как : sni пусто и cname пусто - сморим версию заголовка ServerHello ( из первых 5-ти байтов ). Если версия <=0x0300 - это ssl_unknown иначе это tls_unknown. Если задан параметр tls13_unknown - всегда смотрим ServerHello и если там версия 0x0304 это всегда протокол tls_unknown ( независимо от sni/cname)
-  - Исправлено : в файлах layout в поле flags ставится значение : 2 - если это служебная запись или не определено еще flow иначе уставнавливаем 1- dir_data
-  - Изменено : если задан параметр ssl_parse_reply происходит поиск cname
-  - Изменено : В формат ajb_save_sslreply_format добавлены 3 новые поля tphost ( тип хоста - всегда 2 ), host ( cname ), evers - версия из Extensions ( определяется только если задан параметр tls13_unknown=1 иначе 0 ).
-  - Изменено : Формат clickstream передачи ssl-reply. Добавлены поля : 1011 - type_host - число лежит в host - всегда 2 и 1005 cname
-  - Изменено : сообщения при трассировки вида DPI(DEF_PROTO,CHANGE_PROTO,STORED_PROTO) - добавлено поле cntr_fin, direction
-  - Исправлено : после закрытия соединения не помещалась запись в short очередь для tcp
-  - Добавлено : при трассировке для TCP соединений сообщения добавлено сообщение об изменении очереди (short/long)
-  - Изменено : формат вывода команды fdpi_cli dump flow cache
-  - Добавлено : параметр ajb_save_fragment - задает запись фрагментированных пакетов в pcap
-  - Изменено : разбор протокола TLS
-  - [pcrf][DHCP] Fixed: передача opt82 circuit/remote id в аккаунтинг
-  - Добавлено : для storage_agent параметр engine_bind_cores который задает привязку потоков записи к ядрам
-  - [BRAS][DHCPv6] Fixed: падение на пакете DHCP-Confirm без указания IPv6-адресов в IA_NA-опции
-  - Fixed: режим tap_mode=1 - не должно быть отправки пакетов
-  - Fixed: крах при разборе L2-заголовков для eher_type=0xFFFF
-  - [PCRF][framed-pool] Fixed: при добавлении в уже существующую опцию opt125 не учитывалось, что dhcp_poolname_opt=0 - это то же самое, что и dhcp_poolname_opt=2. Это приводило к добавлению opt125 для VasExperts при dhcp_poolname_opt=0
-  - [BRAS][ARP] Добавлено: поддержка режима сегментирования абонентов в общем VLAN на сети доступа(изоляция абонентов на коммутаторе, т.е. абонам не доставляется трафик между друг другом даже в одном влане) Добавлен fastdpi.conf-параметр bras_arp_vlan_segmentation: Учитывается только при установленном флаге 1 в bras_arp_proxy для ARP-запросов от одного абонента другому. off (типичный случай) - абоненты A и B в одном VLAN могут взаимодействовать между собой напрямую, СКАТ не обрабатывает ARP-запрос от абонента A "who has target abonent B IP" on - на коммутаторе включена изоляция абонентов, находящихся в одном VLAN, поэтому СКАТ должен сам ответить на ARP-запрос от абонента A "who has target abonent B IP"
-  - [cfg] Fixed: не учитывалось значение параметра set_packet_priority в fastdpi.conf
-  - Изменено : статистика SDS_AGENTS_ - добавлено суммарное кол-во ошибок и процент
-  - Изменено : поддержка нескольких очередей SDS_AJB
-  - Добавлено : параметры sds_ajb_num - кол-во очередей sds_ajb ( default 1 ) sds_ajb_bind_cores - задает ядра к которым надо привязывать потоки. Если не задан - ядра назначаются автоматом. Пример sds_ajb_bind_cores=1:1:2:2
-==== Изменения в версии 11.1 Foundation ====
-  - [fastpcrf] Fixed: передача opt82 в аккаунтинг при L3 auth
-  - [pcrf] Fixed: передача значения атрибута opt82 remoteId в аккаунтинг
-  - [pcrf] Added: возможность задания атрибутов для opt82.Новые параметры в fastpcrf.conf: attr_opt82_remoteid=vendorId.attrId где vendorId - id вендора. Если vendorId != 0, то значение передается в VSA-атрибуте. Если vendorId == 0, то значение передается в обычном Радиус-атрибуте (не-VSA) attrId - id атрибута, число от 1 до 255. Если эти параметры не заданы, то opt82 передается в следующих атрибутах:   acct: circuitId: ADSL VSA 3561.1, remoteId: ADSL VSA 3561.2 auth: circuitId: VasExperts VSA 43823.39, remoteId: VasExperts VSA 43823.33 Пример задания: attr_opt82_remoteid=15.34 attr_opt82_circuitid=15.35
-  - [dpi] Добавлены протоколы ZOOM,NETFLIX,TIKTOK,TWITCH,INSTAGRAM,TWITTER,LINKEDIN,AMAZON VIDEO,APPLE STORE,APPLE ICLOUD,APPLE UPDATES,APPLE PUSH,APPLE SIRI,APPLE MAIL
-  - [dpi] Название проткола GOOGLEVIDEO изменено на YOUTUBE
-  - [dpi] Улучшена надежность диссектора http протокола при большом количестве потерь/ретрансмиссий
-  - [dpi] Исправлена ошибка reload при настройке lag
-==== Изменения в версии 11.2 Foundation ====
-  - [dpi] Поддержка декодирования SNI в протоколе QUIC IETF (HTTP/3)
-  - [dpi] Улучшена сигнатура Telegram TLS
-  - [pcrf]  Добавлен новый VSA-атрибут в Acct-Stop: [26] VasExperts-Acct-Terminate-Cause [integer] - внутренний код acct stop. Может быть полезен при анализе логов Радиуса
-  - [pppoe] Добавлено удаление из БД PPPoE-сессий при окончании работы
-  - [pppoe] Исправлено: при загрузке не учитывались опции bras_pppoe_ac_name и bras_pppoe_service_name
-  - [pcrf] Исправлено: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastdpi-серверов. Если PCRF обслуживает несколько fastdpi, будет посылаться несколько Acct-On, - для каждого fastdpi отдельный Acct-On.
-  - [DHCPv6] Исправлено: отправка запросов Renew/Rebind на Радиус до истечения expired timeout, что приводило к закрытию текущей acct-сессии и старту новой.
-  - [CoA] Исправлено: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect.
-  - [pcrf] Добавлено: атрибут NAS-Port-Id добавляется и для single-VLAN сетей и содержит строку "0/vlan"
-  - [CoA] Изменено: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам.
-  - [fastpcrf] Исправлено: ошибка при обработке L3 auth по IPv6
-==== Изменения в версии 11.3 Foundation ====
-  - Существенно переработана поддержка CGNAT: клиенты на одном белом адресе будут активнее переиспользовать сессии друг друга
-  - Добавлена поддержка резервирования BRAS в режиме L2 (переключение осуществляется через службу vrrp/keepalived)
-  - [fastpcrf] fixed: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastdpi-серверов. Если PCRF обслуживает несколько fastdpi, будет посылаться несколько Acct-On, - для каждого fastdpi отдельный Acct-On.
-  - [DHCPv6] Fixed: отправка запросов Renew/Rebind на Радиус до истечения expired timeout
-  - [CoA] fixed: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect
-  - [pcrf] Добавлено: атрибут NAS-Port-Id добавляется и для single-VLAN сетей и содержит строку "0/vlan". Для single-VALN сетей также добавляется, как и раньше, атрибут NAS-Port, содержащий VLAN
-  - [CoA] changed: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам
-  - [fastpcrf] fixed: ошибка при обработке L3 auth по IPv6
-  - [router] Исправлено: удаление маршрута при завершении PPPoE сессии
-  - Исправления в работе CGNAT по результатам эксплуатации BETA1
-  - Добавлены новые протоколы HUAWEI CLOUD, WOT WARGAMING, PUBG KRAFTON, LOL RIOTGAMES, FORTNITE EPIC
-  - Исправлена работа 5 услуги на VCHANNEL
-  - [router][lag] Fixed: выбор следующего девайса из LAG в случае link down текущего
-  - [pcrf] Если в ответе авторизации задан Framed-Pool и IP-адрес - игнорируем Framed-Pool. Это касается авторизации PPP, DHCP, DHCPv6.
-  - [ppp] Fixed: если в ответе авторизации Радиус содержатся выданные IP-адреса вместе с Framed-Pool, - игнорируем атрибуты Framed-Pool и не передаем их в PPPoE BRAS. Наличие framed-pool в PPPoE BRAS меняет логику PPPoE - BRAS начинает контролировать время лизы и посылать DHCP Renew на DHCP-сервера. В случае явно выданного IP-адреса это может привести к закрытию PPPoE-сессии, если DHCP-сервер ответит NAK.
-  - [dhcp6] Fixed: отправка acct даже если не влючена услуга 9
-==== Изменения в версии 11.4 Foundation ====
-  - Добавлена услуга 15 (Special Subscriber) : при подключении услуги для трафика абонента устанавливается приоритет из настроечного параметра special_dscp (по умолчанию 0)
-  - Добавлен параметр nat_gcache_slice_k100 который задает сколько портов выделять на каждый slice (по умолчанию 125)
-  - Добавлен seqno в clickstream
-  - Улучшена обработка "пустого" ответа radius
-  - Добавлены vchannels на основе IP/CIDR
-  - [router] Добавлено: если включен режим терминации по AS (bras_term_by_as=1), то роутер (маршрутизация) применяется только для тех абонентских AS, которые терминируются. Если AS не терминируется - роутер к пакету не применяется. То же самое относится и к анонсам абонентских адресов: если адрес относится к нетерминируемой AS, такой адрес не анонсируется.
-  - [router] Добавлено: деанонсирование Framed-Route подсетей при деанонсировании абонента
-  - Переход на DPDK 21.11 LTS
-  - Проверена установка на ROSA Linux Chrome и VEOS 8.6
-  - Увеличено число поддерживаемых портов до 24
-  - Исправлено: cli команда router fib dump показывает подсети меньше /24
-  - [router] Исправлено падение при внеплановой очистке ARP-кеша роутера
-  - [BRAS][L3-auth] Fixed: удалена отправка Acct-Start с резервного fastdpi при L3-авторизации на основном fastdpi
-  - Исправление размера пакетного буфера для dpdk 21.11 с драйвером mellanox
-==== Изменения в версии 11.4.1 Foundation ====
-  - Исправлена поддержка TAP интерфейсов
-  - [bras][pppoe] Добавлен новый conf-параметр bras_ppp_padi_recreate_timeout Интервал времени (секунд), в течение которого входящие от абонента повторные запросы создания сессии (PADI) не приводят к созданию новой сессии (используется уже созданный объект сессии). Данный параметр призван обезопасить от шторма PADI-запросами от абонента и пересоздания объектов сессий. Некоторые роутеры посылают несколько PADI при создании сессии, не дожидаясь ответа от BRAS. Default: 5. Значение 0 - нет контроля
-  - [pcrf][acct] fixed: Обращение к удаленным данным
-  - [pcrf][acct][cli] Добавлен вывод типа ожидаемого ответа для acct-записи
-  - [bras][coa] fixed: поиск по логин в CoA update    Если в CoA update (изменение профиля абонента - подключение или отключение услуг) заданы login и IP, и абонент по логину не найден - пытаемся отыскать по IP. Ранее поиск по логину был самым приоритетным, если не абонент найден - CoA update не обрабатывался.
-  - [pcrf] Обновлен словарь атрибутов radius
-==== Изменения в версии 11.4.2 Foundation ====
-  - Изменено: при подключении 15 услуги отключается фильтрация по черным спискам канала (или по умолчанию)
-  - Изменено: tbf rate 8bit оптимизирован до drop
-  - Улучшено распознавание протоколов RTP и SIP
-  - Изменено: общий и канальный полисинг теперь применяется в read only режиме (для предфильтра)
-  - Изменено: услуга 12 применяется после канального и абонентского полисинга
-  - Добавлен кэш для белого адреса: при экспорте данных nat трансляций при освобождении белого порта используются реальные данные из кэша (ранее значение не передавалось, т.е. =0), настроечный параметр nat_dstaddr_cache_size задает кол-во хранимых dst_ip:dst_port в рамках белого адреса для UDP. По умолчанию 0xffff * 2 (для TCP не актуально)
-  - Изменено : при блокировке ресурса освобождение flow производится быстрее (flow перемещается в 'короткую' очередь)
-===== Инструкция по обновлению =====
-Проверить текущую установленную версию можно командой
-<code>
-yum info fastdpi
-</code>
-[[dpi:dpi_components:platform:dpi_update:dpi_patch:start|Инструкция по обновлению]]
-Откат на 11.2:
-<code>
-yum downgrade fastdpi-11.2 fastpcrf-11.2 fastradius-11.1
-</code>
-После обновления или смены версии требуется рестарт сервиса:
-<code>
-service fastdpi restart
-</code>
-:!: Если используются PCRF и/или Radius их тоже надо рестартовать, для рестарта pcrf препочтителен следующий порядок:
-<code>
-service fastdpi stop
-setvice fastpcrf restart
-service fastdpi start
-</code>
-:!: Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике grub загрузку прежней версии ядра (в файле /etc/grub.conf установите параметр default=1).
-Если при обновлении появляется сообщение, что обновление не найдено или возникают проблемы с зависимостями, то перед обновлением выполните команду
-<code>
-yum clean all
-</code>
-Посмотреть, что было нового в [[dpi:dpi_components:platform:dpi_update:dpi_update_100:start|предыдущей версии]].

Аккаунт

Настройки

Различия