| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:update:previous:ver_11_0 [2023/08/28 15:32] – edrudichgmailcom | dpi:update:previous:ver_11_0 [2025/01/23 13:29] (текущий) – [Изменения в версии 11.4.2] elena.krasnobryzh |
|---|
| ====== Версия 11.0 Foundation ====== | {{indexmenu_n>12}} |
| |
| | <note>Обзор версии 11 на YouTube: {{youtube>aVsUsOcUhaA?}}</note> |
| | |
| | 11.0 Foundation ((Cтабилизация основания для дальнейшего развития: мобильные сети, аналитика, DDOS защита, LI, AI)) |
| | |
| | :!: Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике GRUB загрузку прежней версии ядра (в файле ''/etc/grub.conf'' установите параметр ''default=1''). |
| | |
| | ===== Версия 11.0 Foundation ===== |
| | - Добавлена поддержка сигнатур, определяемых пользователями на основе SNI, IP[:PORT] или SUBNET. |
| | - Добавлена запись трафика в СХД ("закон Яровой"). |
| | - Добавлены протоколы FACETIME, NORD_VPN, EXPRESS_VPN, PRIVATETUNNEL_VPN, VPNUNLIMITED, PSIPHON3, CLUBHOUSE, TLS_UNKNOWN, QUIC_IETF, SPEEDTEST. |
| | - Изменено: по 12 услуге пишутся данные в pcap и после детектирования закрытия сессии. |
| | - [DPI engine] Добавлен настраиваемый таймаут перепроверки IP-адреса. |
| | - [SORM engine] Новая конфигурация ''prmt'' для объема ''meta_parser''. |
| | - Изменено: Если задан параметр ''ssl_reply'' --- в версию протокола ставится значение из протокола ''content_type=0x16''. |
| | - Изменено: определение протоколов ''ssl_unknown'' и ''tls_unknown'' определяется как: ''sni'' пусто и ''cname'' пусто — сморим версию заголовка ServerHello (из первых пяти байтов). Если версия <=0x0300 — это ''ssl_unknown'', иначе это ''tls_unknown''. Если задан параметр ''tls13_unknown'' — всегда смотрим ServerHello и если там версия 0x0304 --- это всегда протокол ''tls_unknown'' (независимо от ''sni''/''cname''). |
| | - Исправлено: в файлах ''layout'' в поле ''flags'' ставится значение: 2 — если это служебная запись или не определено еще flow иначе устанавливаем 1 — ''dir_data''. |
| | - Изменено: если задан параметр ''ssl_parse_reply'', происходит поиск ''cname''. |
| | - Изменено: В формат ''ajb_save_sslreply_format'' добавлены 3 новые поля ''tphost'' (тип хоста — всегда 2), ''host'' (''cname''), ''evers'' — версия из Extensions (определяется только если задан параметр ''tls13_unknown=1'', иначе 0). |
| | - Изменено: Формат ''clickstream'' передачи ''ssl-reply''. Добавлены поля: 1011 — ''type_host'' — число лежит в ''host'' — всегда 2 и 1005 ''cname''. |
| | - Изменено: сообщения при трассировке вида DPI(DEF_PROTO, CHANGE_PROTO, STORED_PROTO) — добавлено поле ''cntr_fin'', ''direction''. |
| | - Исправлено: после закрытия соединения не помещалась запись в short очередь для TCP. |
| | - Добавлено: при трассировке для TCP соединений сообщения добавлено сообщение об изменении очереди (short/long). |
| | - Изменено: формат вывода команды ''fdpi_cli dump flow cache''. |
| | - Добавлено: параметр ''ajb_save_fragment'' — задает запись фрагментированных пакетов в pcap. |
| | - Изменено: разбор протокола TLS. |
| | - [PCRF][DHCP] Исправлено: передача ''opt82 circuit/remote id'' в аккаунтинг. |
| | - Добавлено: для ''storage_agent'' параметр ''engine_bind_cores'', который задает привязку потоков записи к ядрам. |
| | - [BRAS][DHCPv6] Исправлено: падение на пакете DHCP-Confirm без указания IPv6-адресов в IA_NA-опции. |
| | - Исправлено: режим ''tap_mode=1'' — не должно быть отправки пакетов. |
| | - Исправлено: крах при разборе L2-заголовков для ''eher_type=0xFFFF''. |
| | - [PCRF][framed-pool] Исправлено: при добавлении в уже существующую опцию ''opt125'' не учитывалось, что ''dhcp_poolname_opt=0'' — это то же самое, что и ''dhcp_poolname_opt=2''. Это приводило к добавлению ''opt125'' для VasExperts при ''dhcp_poolname_opt=0''. |
| | - [BRAS][ARP] Добавлено: поддержка режима сегментирования абонентов в общем VLAN на сети доступа (изоляция абонентов на коммутаторе, то есть абонентам не доставляется трафик между друг другом даже в одном vlan). Добавлен ''fastdpi.conf'' — параметр ''bras_arp_vlan_segmentation'': Учитывается только при установленном флаге 1 в ''bras_arp_proxy'' для ARP-запросов от одного абонента другому. off (типичный случай) — абоненты A и B в одном VLAN могут взаимодействовать между собой напрямую, СКАТ не обрабатывает ARP-запрос от абонента A "who has target abonent B IP" on — на коммутаторе включена изоляция абонентов, находящихся в одном VLAN, поэтому СКАТ должен сам ответить на ARP-запрос от абонента A "who has target abonent B IP". |
| | - [CFG] Исправлено: не учитывалось значение параметра ''set_packet_priority'' в ''fastdpi.conf''. |
| | - Изменено: статистика SDS_AGENTS_ — добавлено суммарное количество ошибок и процент. |
| | - Изменено: поддержка нескольких очередей SDS_AJB. |
| | - Добавлено: параметры ''sds_ajb_num'' — количество очередей ''sds_ajb (default 1) sds_ajb_bind_cores'' — задает ядра, к которым надо привязывать потоки. Если не задан — ядра назначаются автоматом. Пример: ''sds_ajb_bind_cores=1:1:2:2''. |
| | |
| | ===== Изменения в версии 11.1 ===== |
| | - [fastPCRF] Исправлено: передача ''opt82'' в аккаунтинг при L3 auth |
| | - [PCRF] Исправлено: передача значения атрибута ''opt82 remoteId'' в аккаунтинг |
| | - [PCRF] Добавлено: возможность задания атрибутов для ''opt82''. Новые параметры в ''fastpcrf.conf'': ''attr_opt82_remoteid=vendorId.attrId'', где ''vendorId'' — id вендора. Если ''vendorId != 0'', то значение передается в VSA-атрибуте. Если ''vendorId == 0'', то значение передается в обычном Радиус-атрибуте (не-VSA) ''attrId'' — id атрибута, число от 1 до 255. Если эти параметры не заданы, то ''opt82'' передается в следующих атрибутах: ''acct: circuitId: ADSL VSA 3561.1, remoteId: ADSL VSA 3561.2 auth: circuitId: VasExperts VSA 43823.39, remoteId: VasExperts VSA 43823.33''\\ Пример задания: ''attr_opt82_remoteid=15.34 attr_opt82_circuitid=15.35''. |
| | - [DPI] Добавлены протоколы ZOOM, NETFLIX, TIKTOK, TWITCH, INSTAGRAM, TWITTER, LINKEDIN, AMAZON VIDEO, APPLE STORE, APPLE ICLOUD, APPLE UPDATES, APPLE PUSH, APPLE SIRI, APPLE MAIL |
| | - [DPI] Название протокола GOOGLEVIDEO изменено на YOUTUBE |
| | - [DPI] Улучшена надежность диссектора HTTP протокола при большом количестве потерь/ретрансмиссий |
| | - [DPI] Исправлена ошибка ''reload'' при настройке LAG. |
| | |
| | ===== Изменения в версии 11.2 ===== |
| | - [DPI] Поддержка декодирования SNI в протоколе QUIC IETF (HTTP/3). |
| | - [DPI] Улучшена сигнатура Telegram TLS. |
| | - [PCRF] Добавлен новый VSA-атрибут в Acct-Stop: [26] VasExperts-Acct-Terminate-Cause [integer] — внутренний код acct stop. Может быть полезен при анализе логов Радиуса. |
| | - [PPPOE] Добавлено удаление из БД PPPoE-сессий при окончании работы. |
| | - [PPPOE] Исправлено: при загрузке не учитывались опции ''bras_pppoe_ac_name'' и ''bras_pppoe_service_name''. |
| | - [PCRF] Исправлено: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastdpi-серверов. Если PCRF обслуживает несколько fastDPI, будет посылаться несколько Acct-On, — для каждого fastDPI отдельный Acct-On. |
| | - [DHCPv6] Исправлено: отправка запросов Renew/Rebind на Радиус до истечения ''expired timeout'', что приводило к закрытию текущей acct-сессии и старту новой. |
| | - [CoA] Исправлено: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect. |
| | - [PCRF] Добавлено: атрибут ''NAS-Port-Id'' добавляется и для single-VLAN сетей и содержит строку "''0/vlan''". |
| | - [CoA] Изменено: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам. |
| | - [fastPCRF] Исправлено: ошибка при обработке L3 auth по IPv6. |
| | |
| | ===== Изменения в версии 11.3 ===== |
| | - Существенно переработана поддержка CG-NAT: клиенты на одном белом адресе будут активнее переиспользовать сессии друг друга. |
| | - Добавлена поддержка резервирования BRAS в режиме L2 (переключение осуществляется через службу ''vrrp/keepalived''). |
| | - [fastPCRF] Исправлено: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastDPI-серверов. Если PCRF обслуживает несколько fastDPI, будет посылаться несколько Acct-On, — для каждого fastDPI отдельный Acct-On. |
| | - [DHCPv6] Исправлено: отправка запросов Renew/Rebind на Радиус до истечения expired timeout. |
| | - [CoA] Исправлено: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect. |
| | - [PCRF] Добавлено: атрибут NAS-Port-Id добавляется и для single-VLAN сетей и содержит строку "0/vlan". Для single-VLAN сетей также добавляется, как и раньше, атрибут NAS-Port, содержащий VLAN. |
| | - [CoA] Изменено: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам. |
| | - [fastPCRF] Исправлено: ошибка при обработке L3 auth по IPv6. |
| | - [Router] Исправлено: удаление маршрута при завершении PPPoE сессии. |
| | - Исправления в работе CG-NAT по результатам эксплуатации BETA1. |
| | - Добавлены новые протоколы HUAWEI CLOUD, WOT WARGAMING, PUBG KRAFTON, LOL RIOTGAMES, FORTNITE EPIC. |
| | - Исправлена работа 5 услуги на VCHANNEL. |
| | - [Router][LAG] Исправлено: выбор следующего девайса из LAG в случае link down текущего. |
| | - [PCRF] Если в ответе авторизации задан Framed-Pool и IP-адрес — игнорируем Framed-Pool. Это касается авторизации PPP, DHCP, DHCPv6. |
| | - [PPP] Исправлено: если в ответе авторизации Радиус содержатся выданные IP-адреса вместе с Framed-Pool, — игнорируем атрибуты Framed-Pool и не передаем их в PPPoE BRAS. Наличие framed-pool в PPPoE BRAS меняет логику PPPoE — BRAS начинает контролировать время лизы и посылать DHCP Renew на DHCP-сервера. В случае явно выданного IP-адреса это может привести к закрытию PPPoE-сессии, если DHCP-сервер ответит NAK. |
| | - [DHCP6] Исправлено: отправка acct даже если не включена услуга 9. |
| | |
| | ===== Изменения в версии 11.4 ===== |
| | - Добавлена услуга 15 (Special Subscriber): при подключении услуги для трафика абонента устанавливается приоритет из настроечного параметра ''special_dscp'' (по умолчанию 0). |
| | - Добавлен параметр ''nat_gcache_slice_k100'', который задает, сколько портов выделять на каждый slice (по умолчанию 125). |
| | - Добавлен ''seqno'' в ''clickstream''. |
| | - Улучшена обработка "пустого" ответа Radius. |
| | - Добавлены vchannels на основе IP/CIDR. |
| | - [Router] Добавлено: если включен режим терминации по AS (''bras_term_by_as=1''), то роутер (маршрутизация) применяется только для тех абонентских AS, которые терминируются. Если AS не терминируется — роутер к пакету не применяется. То же самое относится и к анонсам абонентских адресов: если адрес относится к нетерминируемой AS, такой адрес не анонсируется. |
| | - [Router] Добавлено: деанонсирование Framed-Route подсетей при деанонсировании абонента. |
| | - Переход на DPDK 21.11 LTS. |
| | - Проверена установка на ROSA Linux Chrome и VEOS 8.6. |
| | - Увеличено число поддерживаемых портов до 24. |
| | - Исправлено: CLI команда ''router fib dump'' показывает подсети меньше /24. |
| | - [Router] Исправлено падение при внеплановой очистке ARP-кеша роутера. |
| | - [BRAS][L3-auth] Исправлено: удалена отправка Acct-Start с резервного fastDPI при L3-авторизации на основном fastDPI. |
| | - Исправление размера пакетного буфера для DPDK 21.11 с драйвером Mellanox. |
| | |
| | ===== Изменения в версии 11.4.1 ===== |
| | - Исправлена поддержка TAP интерфейсов. |
| | - [BRAS][PPPOE] Добавлен новый conf-параметр ''bras_ppp_padi_recreate_timeout''\\ Интервал времени (секунд), в течение которого входящие от абонента повторные запросы создания сессии (PADI) не приводят к созданию новой сессии (используется уже созданный объект сессии). Данный параметр призван обезопасить от шторма PADI-запросами от абонента и пересоздания объектов сессий. Некоторые роутеры посылают несколько PADI при создании сессии, не дожидаясь ответа от BRAS. По умолчанию: 5. Значение 0 — нет контроля. |
| | - [PCRF][ACCT] Исправлено: Обращение к удаленным данным. |
| | - [PCRF][ACCT][CLI] Добавлен вывод типа ожидаемого ответа для acct-записи. |
| | - [BRAS][CoA] Исправлено: поиск по логин в CoA update. Если в CoA update (изменение профиля абонента — подключение или отключение услуг) заданы login и IP, и абонент по логину не найден — пытаемся отыскать по IP. Ранее поиск по логину был самым приоритетным, если не абонент найден — CoA update не обрабатывался. |
| | - [PCRF] Обновлен словарь атрибутов radius. |
| | |
| | ===== Изменения в версии 11.4.2 ===== |
| | - Изменено: при подключении 15 услуги отключается фильтрация по черным спискам канала (или по умолчанию). |
| | - Изменено: ''tbf rate 8bit'' оптимизирован до ''drop''. |
| | - Улучшено распознавание протоколов RTP и SIP. |
| | - Изменено: общий и канальный полисинг теперь применяется в read only режиме. |
| | - Изменено: услуга 12 применяется после канального и абонентского полисинга. |
| | - Добавлен кэш для белого адреса: при экспорте данных nat трансляций при освобождении белого порта используются реальные данные из кэша (ранее значение не передавалось, т.е. =0), настроечный параметр ''nat_dstaddr_cache_size'' задает количество хранимых ''dst_ip:dst_port'' в рамках белого адреса для UDP. По умолчанию ''0xffff * 2'' (для TCP не актуально). |
| | - Изменено: при блокировке ресурса освобождение flow производится быстрее (flow перемещается в "короткую" очередь). |
