| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:dpi_components:platform:dpi_update:dpi_update_110:start [2023/05/03 12:28] – elena.krasnobryzh | dpi:dpi_components:platform:dpi_update:dpi_update_110:start [2023/08/29 10:49] (текущий) – удалено elena.krasnobryzh |
|---|
| ====== Обновление платформы DPI до версии 11.0 ====== | |
| {{indexmenu_n>22}} | |
| |
| <html><div class="menu"></html> | |
| |
| ==== Изменения в версии 11.0 Foundation ==== | |
| 11.0 Foundation ((Cтабилизация основания для дальнейшего развития: мобильные сети, аналитика, DDOS защита, LI, AI {{https://www.film.ru/sites/default/files/styles/epsa_600x680/public/articles/49796146-1643380.jpg|Основание}})) | |
| |
| - Добавлена поддержка сигнатур, определяемых пользователями на основе SNI, IP[:PORT] или SUBNET | |
| - Добавлена запись трафика в СХД ("закон Яровой") | |
| - Добавлены протоколы FACETIME, NORD_VPN, EXPRESS_VPN, PRIVATETUNNEL_VPN, VPNUNLIMITED, PSIPHON3, CLUBHOUSE, TLS_UNKNOWN, QUIC_IETF, SPEEDTEST | |
| - Изменено: по 12 услуге пишутся данные в pcap и после детектирования закрытия сессии | |
| - [dpi engine] Add configurable IP recheck timeout | |
| - [sorm engine] New config prmt for amount of meta_parser | |
| - Изменено: Если задан параметр ssl_reply в версию протокола ставим значение из протокола content_type=0x16 | |
| - Изменено: определение протоколов ssl_unknown и tls_unknown определяется как: sni пусто и cname пусто — сморим версию заголовка ServerHello (из первых пяти байтов). Если версия <=0x0300 — это ssl_unknown иначе это tls_unknown. Если задан параметр tls13_unknown — всегда смотрим ServerHello и если там версия 0x0304 это всегда протокол tls_unknown (независимо от sni/cname) | |
| - Исправлено: в файлах layout в поле flags ставится значение: 2 — если это служебная запись или не определено еще flow иначе устанавливаем 1 — dir_data | |
| - Изменено: если задан параметр ssl_parse_reply происходит поиск cname | |
| - Изменено: В формат ajb_save_sslreply_format добавлены 3 новые поля tphost (тип хоста — всегда 2), host (cname), evers — версия из Extensions (определяется только если задан параметр tls13_unknown=1 иначе 0). | |
| - Изменено: Формат clickstream передачи ssl-reply. Добавлены поля: 1011 — type_host — число лежит в host — всегда 2 и 1005 cname | |
| - Изменено: сообщения при трассировке вида DPI(DEF_PROTO, CHANGE_PROTO, STORED_PROTO) — добавлено поле cntr_fin, direction | |
| - Исправлено: после закрытия соединения не помещалась запись в short очередь для tcp | |
| - Добавлено: при трассировке для TCP соединений сообщения добавлено сообщение об изменении очереди (short/long) | |
| - Изменено: формат вывода команды fdpi_cli dump flow cache | |
| - Добавлено: параметр ajb_save_fragment — задает запись фрагментированных пакетов в pcap | |
| - Изменено: разбор протокола TLS | |
| - [pcrf][DHCP] Fixed: передача opt82 circuit/remote id в аккаунтинг | |
| - Добавлено: для storage_agent параметр engine_bind_cores который задает привязку потоков записи к ядрам | |
| - [BRAS][DHCPv6] Fixed: падение на пакете DHCP-Confirm без указания IPv6-адресов в IA_NA-опции | |
| - Fixed: режим tap_mode=1 — не должно быть отправки пакетов | |
| - Fixed: крах при разборе L2-заголовков для eher_type=0xFFFF | |
| - [PCRF][framed-pool] Fixed: при добавлении в уже существующую опцию opt125 не учитывалось, что dhcp_poolname_opt=0 — это то же самое, что и dhcp_poolname_opt=2. Это приводило к добавлению opt125 для VasExperts при dhcp_poolname_opt=0 | |
| - [BRAS][ARP] Добавлено: поддержка режима сегментирования абонентов в общем VLAN на сети доступа (изоляция абонентов на коммутаторе, то есть абонентам не доставляется трафик между друг другом даже в одном vlan). Добавлен fastdpi.conf — параметр bras_arp_vlan_segmentation: Учитывается только при установленном флаге 1 в bras_arp_proxy для ARP-запросов от одного абонента другому. off (типичный случай) — абоненты A и B в одном VLAN могут взаимодействовать между собой напрямую, СКАТ не обрабатывает ARP-запрос от абонента A "who has target abonent B IP" on — на коммутаторе включена изоляция абонентов, находящихся в одном VLAN, поэтому СКАТ должен сам ответить на ARP-запрос от абонента A "who has target abonent B IP" | |
| - [cfg] Fixed: не учитывалось значение параметра set_packet_priority в fastdpi.conf | |
| - Изменено: статистика SDS_AGENTS_ — добавлено суммарное количество ошибок и процент | |
| - Изменено: поддержка нескольких очередей SDS_AJB | |
| - Добавлено: параметры sds_ajb_num — количество очередей sds_ajb (default 1) sds_ajb_bind_cores — задает ядра к которым надо привязывать потоки. Если не задан — ядра назначаются автоматом. Пример sds_ajb_bind_cores=1:1:2:2 | |
| |
| ==== Изменения в версии 11.1 Foundation ==== | |
| |
| - [fastpcrf] Fixed: передача opt82 в аккаунтинг при L3 auth | |
| - [pcrf] Fixed: передача значения атрибута opt82 remoteId в аккаунтинг | |
| - [pcrf] Added: возможность задания атрибутов для opt82. Новые параметры в fastpcrf.conf: attr_opt82_remoteid=vendorId.attrId где vendorId — id вендора. Если vendorId != 0, то значение передается в VSA-атрибуте. Если vendorId == 0, то значение передается в обычном Радиус-атрибуте (не-VSA) attrId — id атрибута, число от 1 до 255. Если эти параметры не заданы, то opt82 передается в следующих атрибутах: acct: circuitId: ADSL VSA 3561.1, remoteId: ADSL VSA 3561.2 auth: circuitId: VasExperts VSA 43823.39, remoteId: VasExperts VSA 43823.33 Пример задания: attr_opt82_remoteid=15.34 attr_opt82_circuitid=15.35 | |
| - [dpi] Добавлены протоколы ZOOM, NETFLIX, TIKTOK, TWITCH, INSTAGRAM, TWITTER, LINKEDIN, AMAZON VIDEO, APPLE STORE, APPLE ICLOUD, APPLE UPDATES, APPLE PUSH, APPLE SIRI, APPLE MAIL | |
| - [dpi] Название протокола GOOGLEVIDEO изменено на YOUTUBE | |
| - [dpi] Улучшена надежность диссектора http протокола при большом количестве потерь/ретрансмиссий | |
| - [dpi] Исправлена ошибка reload при настройке lag | |
| |
| ==== Изменения в версии 11.2 Foundation ==== | |
| |
| - [dpi] Поддержка декодирования SNI в протоколе QUIC IETF (HTTP/3) | |
| - [dpi] Улучшена сигнатура Telegram TLS | |
| - [pcrf] Добавлен новый VSA-атрибут в Acct-Stop: [26] VasExperts-Acct-Terminate-Cause [integer] — внутренний код acct stop. Может быть полезен при анализе логов Радиуса | |
| - [pppoe] Добавлено удаление из БД PPPoE-сессий при окончании работы | |
| - [pppoe] Исправлено: при загрузке не учитывались опции bras_pppoe_ac_name и bras_pppoe_service_name | |
| - [pcrf] Исправлено: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastdpi-серверов. Если PCRF обслуживает несколько fastdpi, будет посылаться несколько Acct-On, — для каждого fastdpi отдельный Acct-On. | |
| - [DHCPv6] Исправлено: отправка запросов Renew/Rebind на Радиус до истечения expired timeout, что приводило к закрытию текущей acct-сессии и старту новой. | |
| - [CoA] Исправлено: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect. | |
| - [pcrf] Добавлено: атрибут NAS-Port-Id добавляется и для single-VLAN сетей и содержит строку "0/vlan" | |
| - [CoA] Изменено: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам. | |
| - [fastpcrf] Исправлено: ошибка при обработке L3 auth по IPv6 | |
| |
| ==== Изменения в версии 11.3 Foundation ==== | |
| |
| - Существенно переработана поддержка CGNAT: клиенты на одном белом адресе будут активнее переиспользовать сессии друг друга | |
| - Добавлена поддержка резервирования BRAS в режиме L2 (переключение осуществляется через службу vrrp/keepalived) | |
| - [fastpcrf] fixed: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastdpi-серверов. Если PCRF обслуживает несколько fastdpi, будет посылаться несколько Acct-On, — для каждого fastdpi отдельный Acct-On. | |
| - [DHCPv6] Fixed: отправка запросов Renew/Rebind на Радиус до истечения expired timeout | |
| - [CoA] fixed: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect | |
| - [pcrf] Добавлено: атрибут NAS-Port-Id добавляется и для single-VLAN сетей и содержит строку "0/vlan". Для single-VALN сетей также добавляется, как и раньше, атрибут NAS-Port, содержащий VLAN | |
| - [CoA] changed: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам | |
| - [fastpcrf] fixed: ошибка при обработке L3 auth по IPv6 | |
| - [router] Исправлено: удаление маршрута при завершении PPPoE сессии | |
| - Исправления в работе CGNAT по результатам эксплуатации BETA1 | |
| - Добавлены новые протоколы HUAWEI CLOUD, WOT WARGAMING, PUBG KRAFTON, LOL RIOTGAMES, FORTNITE EPIC | |
| - Исправлена работа 5 услуги на VCHANNEL | |
| - [router][lag] Fixed: выбор следующего девайса из LAG в случае link down текущего | |
| - [pcrf] Если в ответе авторизации задан Framed-Pool и IP-адрес — игнорируем Framed-Pool. Это касается авторизации PPP, DHCP, DHCPv6. | |
| - [ppp] Fixed: если в ответе авторизации Радиус содержатся выданные IP-адреса вместе с Framed-Pool, — игнорируем атрибуты Framed-Pool и не передаем их в PPPoE BRAS. Наличие framed-pool в PPPoE BRAS меняет логику PPPoE — BRAS начинает контролировать время лизы и посылать DHCP Renew на DHCP-сервера. В случае явно выданного IP-адреса это может привести к закрытию PPPoE-сессии, если DHCP-сервер ответит NAK. | |
| - [dhcp6] Fixed: отправка acct даже если не включена услуга 9 | |
| |
| ==== Изменения в версии 11.4 Foundation ==== | |
| |
| - Добавлена услуга 15 (Special Subscriber): при подключении услуги для трафика абонента устанавливается приоритет из настроечного параметра special_dscp (по умолчанию 0) | |
| - Добавлен параметр nat_gcache_slice_k100 который задает сколько портов выделять на каждый slice (по умолчанию 125) | |
| - Добавлен seqno в clickstream | |
| - Улучшена обработка "пустого" ответа radius | |
| - Добавлены vchannels на основе IP/CIDR | |
| - [router] Добавлено: если включен режим терминации по AS (bras_term_by_as=1), то роутер (маршрутизация) применяется только для тех абонентских AS, которые терминируются. Если AS не терминируется — роутер к пакету не применяется. То же самое относится и к анонсам абонентских адресов: если адрес относится к нетерминируемой AS, такой адрес не анонсируется. | |
| - [router] Добавлено: деанонсирование Framed-Route подсетей при деанонсировании абонента | |
| - Переход на DPDK 21.11 LTS | |
| - Проверена установка на ROSA Linux Chrome и VEOS 8.6 | |
| - Увеличено число поддерживаемых портов до 24 | |
| - Исправлено: cli команда router fib dump показывает подсети меньше /24 | |
| - [router] Исправлено падение при внеплановой очистке ARP-кеша роутера | |
| - [BRAS][L3-auth] Fixed: удалена отправка Acct-Start с резервного fastdpi при L3-авторизации на основном fastdpi | |
| - Исправление размера пакетного буфера для dpdk 21.11 с драйвером mellanox | |
| |
| ==== Изменения в версии 11.4.1 Foundation ==== | |
| |
| - Исправлена поддержка TAP интерфейсов | |
| - [bras][pppoe] Добавлен новый conf-параметр bras_ppp_padi_recreate_timeout Интервал времени (секунд), в течение которого входящие от абонента повторные запросы создания сессии (PADI) не приводят к созданию новой сессии (используется уже созданный объект сессии). Данный параметр призван обезопасить от шторма PADI-запросами от абонента и пересоздания объектов сессий. Некоторые роутеры посылают несколько PADI при создании сессии, не дожидаясь ответа от BRAS. Default: 5. Значение 0 — нет контроля | |
| - [pcrf][acct] fixed: Обращение к удаленным данным | |
| - [pcrf][acct][cli] Добавлен вывод типа ожидаемого ответа для acct-записи | |
| - [bras][coa] fixed: поиск по логин в CoA update Если в CoA update (изменение профиля абонента — подключение или отключение услуг) заданы login и IP, и абонент по логину не найден — пытаемся отыскать по IP. Ранее поиск по логину был самым приоритетным, если не абонент найден — CoA update не обрабатывался. | |
| - [pcrf] Обновлен словарь атрибутов radius | |
| |
| ==== Изменения в версии 11.4.2 Foundation ==== | |
| |
| - Изменено: при подключении 15 услуги отключается фильтрация по черным спискам канала (или по умолчанию) | |
| - Изменено: tbf rate 8bit оптимизирован до drop | |
| - Улучшено распознавание протоколов RTP и SIP | |
| - Изменено: общий и канальный полисинг теперь применяется в read only режиме (для предфильтра) | |
| - Изменено: услуга 12 применяется после канального и абонентского полисинга | |
| - Добавлен кэш для белого адреса: при экспорте данных nat трансляций при освобождении белого порта используются реальные данные из кэша (ранее значение не передавалось, т.е. =0), настроечный параметр nat_dstaddr_cache_size задает количество хранимых dst_ip:dst_port в рамках белого адреса для UDP. По умолчанию 0xffff * 2 (для TCP не актуально) | |
| - Изменено: при блокировке ресурса освобождение flow производится быстрее (flow перемещается в 'короткую' очередь) | |
| |
| ===== Инструкция по обновлению ===== | |
| Проверить текущую установленную версию можно командой | |
| <code> | |
| yum info fastdpi | |
| </code> | |
| |
| [[dpi:dpi_components:platform:dpi_update:dpi_patch:start|Инструкция по обновлению]] | |
| | |
| Откат на 11.2: | |
| |
| <code> | |
| yum downgrade fastdpi-11.2 fastpcrf-11.2 fastradius-11.1 | |
| </code> | |
| |
| После обновления или смены версии требуется рестарт сервиса: | |
| |
| <code> | |
| service fastdpi restart | |
| </code> | |
| |
| :!: Если используются PCRF и/или Radius их тоже надо рестартовать, для рестарта pcrf предпочтителен следующий порядок: | |
| <code> | |
| service fastdpi stop | |
| setvice fastpcrf restart | |
| service fastdpi start | |
| </code> | |
| |
| |
| :!: Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике grub загрузку прежней версии ядра (в файле /etc/grub.conf установите параметр default=1). | |
| |
| Если при обновлении появляется сообщение, что обновление не найдено или возникают проблемы с зависимостями, то перед обновлением выполните команду | |
| <code> | |
| yum clean all | |
| </code> | |
| |
| Посмотреть, что было нового в [[dpi:dpi_components:platform:dpi_update:dpi_update_100:start|предыдущей версии]]. | |
