Список изменений и обновление СКАТ

Если у вас установлена версия CentOS 6.x или CentOS 8.x, то однократно переключите репозиторий командой:

sed -i -e '/^mirrorlist=http:\/\//d' -e 's/^# *baseurl=http:\/\/mirror.centos.org/baseurl=http:\/\/vault.centos.org/' /etc/yum.repos.d/CentOS-*.repo

и далее производите обновления командой:

yum update fastdpi

После обновления выполните рестарт DPI:

service fastdpi restart

и других зависимых процессов (PCRF/Radius), но только если они реально используются и их конфигурация валидна:

service fastpcrf restart
service fdpi_radius restart

При необходимости можно обновить компоненты операционной системы. Не проводите обновление версии ядра и зависимых от него утилит!
Для CentOS 6.x:

yum --exclude=kernel*,util-linux-ng,libuuid,libblkid update

Для CentOS 8.x:

yum update

Пользователям, эксплуатирующим DPI на виртуальных машинах, старых процессорах (2009 года выпуска) и старых процессорах AMD (до Ryzen):
Выполните перед обновлением команду:

touch /etc/dpi/noprioadj

и процесс DPI будет запускаться с обычным (не realtime) приоритетом, что существенно снизит потребление системных (sys) ресурсов CPU, но немного увеличит latency на платформе.

14.0 Shooting Stars ¹⁾

Проверить текущую установленную версию можно командой:

yum info fastdpi

Откат на 13.3:

yum downgrade fastdpi-13.3-0 fastpcrf-13.3-0 dpiutils-13.3 fastradius-13.3

После обновления или смены версии требуется рестарт сервиса:

service fastdpi restart

Если используются PCRF и/или Radius, их тоже надо рестартовать. Для рестарта PCRF предпочтителен следующий порядок:

service fastdpi stop
service fastpcrf restart
service fastdpi start

Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике GRUB загрузку прежней версии ядра: в файле /etc/grub.conf установите параметр default=1.

Если при обновлении появляется сообщение, что обновление не найдено или возникают проблемы с зависимостями, то перед обновлением выполните команду:

yum clean all

1. [BRAS] Поддержка DHCP-Dual. Описание
2. [BRAS] Поддержка терминации L2TP. Описание
3. [DPI] Переход на DPDK 24.11, поддержка новых сетевых карт (Intel E830 200G, Intel E610, Napatech SmartNIC). Описание
4. [CLI] Добавлена поддержка subs_id в команды dhcp show, dhcp reauth, dhcp6 show, dhcp6 reauth и dhcp disconnect. Описание
5. [DPI] Добавлены новые протоколы: AGORA_STREAMS(49314), AZAR_CALL(49315), WECHAT_CALL(49316), TEAMS_CALL(49317). Список протоколов
6. [DPI] Улучшена поддержка протоколов LINE_CALL, VYKE_CALL. Список протоколов
7. [DPI] Исправлена работа smartdrop
8. [DPI] Добавлена валидация для сложносоставных протоколов. Список протоколов
9. [DPDK] Максимальное число диспетчеров увеличено до 32. Описание
10. [IPFIX/Neflow] Добавлена возможность изменения параметров IPFIX/Netflow без перезагрузки fastDPI с помощью параметра ipfix_reserved. Описание
11. [FastRadius] Можно задать bind_ipv6_address и bind_ipv6_subnet одновременно. При наличии маски 128 в Framed-IPv6-Prefix она не проверяется на ограничение по значению bind_ipv6_subnet. Описание
12. В CLI-команду dev info добавлено имя LAG, в который входит порт. Описание
13. [PCRF][PPP][Framed-pool] Добавлено: в DHCP-опцию Client-Id включается также tunnel-IP как часть идентификатора абонента. Подробнее в разделах Поддержка IPv4-пулов и Поддержка IPv6-пулов
14. [IPFIX] Добавлена агрегация сообщений для IPFIX потоков FullFlow/DNS/META/NAT
15. [IPFIX] Добавлен параметр ipfix_mtu_limit, ограничивающий для udp-пакетов IPFIX максимальный размер передаваемого сообщения. Подробнее: Настройка экспорта Clickstream, Настройка экспорта Full NetFlow в формате IPFIX
16. [IPFIX DNS] В IPFIX DNS добавлены новые элементы 224 (ipTotalLength) и 43823:3206 (DNS transaction id). Описание
17. [VRRP] Исправлено: корректная обработка изменения опции vrrp_enable
18. [BRAS][PPP] Ключ PPP-сессий сделан составным: l2subs_id + tunnel-IP. Для PPPoE-сессий туннельного IP нет (tunnel-IP=0). CLI-команды, принимающие в качестве ключа subs_id (subs prop show, l2tp show session, l2tp term и пр.) теперь могут возвратить несколько записей с одинаковым l2subs_id. Описание
19. [DPI] Добавлены облачные протоколы с идентификаторами 55296..58367
20. [IPFIX] Исправлены ошибки реинициализации IPFIX экспортеров
21. [BRAS][subs_grooming] Исправлено: возможное падение из-за гонки при остановке fastDPI
22. [CLI] Добавлены команды вывода свойств и статистики mempool

        hal mempool props
        hal mempool stat

    Для вывода статистики mempool требуется сборка DPDK с включенным сбором статистики

23. [BRAS][DHCP] Исправлено: падение при разборе ответа Framed-Pool Renew, если в ответе нет DHCP опций
24. [PCRF][Acct] Исправлено: отключение отправки Interim-Update. Явное задание Acct-Interim-Interval = 0 в ответе Радиуса должно отключать отправку Interim-Update. Подробнее в разделах acct-interim-interval, PPPoE Radius Access-Request
25. [VASE_CLI] Создан универсальный CLI для управления DPI, BRAS, DHCP(KEA), ROUTER(BIRD) с поддержкой авторизации и логгирования команд в TACACS (требуется VEOS 8.x). Описание
26. [SNMP] Создан модуль мониторинга компонентов системы по SNMP
27. [DPI] Добавлен протокол DOQ 49318 (DNS-over-QUIC)
28. [Router] Анонсирование белых адресов абонентов для NAT 1:1 по одному и после авторизации. Описание
29. [PCRF] Добавлена поддержка задания услуги 19 "Подмена DNS", профиль обязателен. Описание
30. [DPDK] Добавлен dpdk_engine=6 (mqrx-bridge) — количество RSS диспетчеров на мост. Описание
31. [DPDK] Удалены выделенные mempool. Опция fastdpi.conf dpdk_emit_mempool_size объявлена устаревшей и более не используется.
32. [VLAN-Rule] Перенос данных vlan group из UDR в SDR. Глобальные правила для vlan drop/pass/hide/permit, заданные прежней CLI-командой vlan group, сконвертированы и перенесены из UDR в SDR c удалением из UDR. Описание
33. До 14 версии используется только одна встроенная база данных UDR (User Data Repository) предназначена для постоянного хранения данных об услугах, полисингах и других настройках FastDPI.
    С 14 Версии вводится разделение UDR на UDR и SDR. Разделение происходит автоматически при обновлении версии.
    SDR (System Data Repository) предназначена для хранения настроек FastDPI, не связанных с абонентами. Можно считать, что SDR является продолжением fastdpi.conf. Никакой специальной активации SDR не требуется — необходимые .mdb-файлы создаются автоматически при включении соответствующего режима в fastdpi.conf.
34. [VLAN] VLAN rules — добавлены CLI-команды. Описание
35. [IPv6] Добавлена возможность определения направления в комбинированном трафике (IN+OUT в одном порту) на основе признака local для ip-адресов. Включается опцией combined_io_direction_mode
36. [BRAS] Исправлена совместимость с прежним форматом 18 услуги, где было меньше протоколов и оба поля в профиле нужно было заполнять
37. [DPI] Понижен приоритет определения telegram_tls
38. [DPI] Улучшено детектирование WECHAT и WECHAT_CALL
39. [BRAS][Framed-Route] Исправлено: возможная корка при освобождении памяти
40. [BRAS] Рефакторинг связи с PCRF: в новой реализации все подключения равнозначны, ошибка на любом из них приводит к переподключению всех соединений и переходу на другой PCRF. Добавлены CLI-команды:
    1. pcrf connect show — вывод текущего состояния и накопленной статистики по соединениям c PCRF.
    2. Принудительное подключение к указанному PCRF pcrf connect switch [<pcrf_index>], где <pcrf_indxed> — индекс строки соединения в параметре auth_server. Если <pcrf_indxed> не указан — полагается равным 0.
       Описание
41. [IPFIX DNS] Добавлена возможность отправки DNS MX ответов по IPFIX. Включается путем установки 3 бита (4) параметра ajb_save_dns. Описание
42. [DPI] Добавлен протокол FakeTLS (49319) c валидацией
43. [BRAS][DHCP] Изменено: алгоритм скользящего окна для rate limit
44. [BRAS] Исправлено: ошибка при сравнении времени при загрузке ip_prop из UDR
45. [VLAN-Rule] Добавлена поддержка 'any' вместо '*' при описании диапазона VLAN. Описание
46. [DPI][LOG] Сообщение о нехватке ssl парсеров пишется в slave лог не на каждое событие, а с периодичностью 1/50000
47. [DPI] Добавлены протоколы ZALO_CALL(49320) and VK_CALL(49321)
48. [DPI] Исправлена работа блокировки в режиме hard для SSL
49. [Acct] Добавлен атрибут VASExperts-Service-Type. Radius acct start/interim/stop в атрибуте VASExperts-Service-Type передается тип авторизации. Описание
50. [CLI] Добавлено: команда stat flow ip6 вывода статистики по IPv6 flow. Описание
51. [CLI] Добавлено: команда stat flow ip4 вывода статистики по IPv4 flow. Аналог вывода в fastdpi_stat.log. Описание
52. [IPFIX] Исправлена ошибка формирования ExportTime в IPFIX Fullflow
53. [CLI] Добавлена команда stat netflow. Вывод общей статистики по Netflow/IPFIX (то же, что выводится в fastdpi_stat.log в разделе "Statistics on NFLW_export"). Описание
54. [DNS] Добавлена возможность подстановки/блокировки/отброса DNS запросов A, AAAA, MX, HTTPS. Описание
55. [CLI] Добавлена команда stat firewall. Описание
56. [DPI] Добавлен протокол BIGO_CDN(49324)
57. [DPI] Добавлена поддержка UDP для BIGOTV
58. [PCRF][L2TP] Исправлено: атрибуты NAS для L2TP при авторизации
59. [BRAS][L2TP] Исправлено: data race при закрытии сессии
60. [DPDK] Удаление устаревших настроек rx channels и связанных с ними проверок
61. [IPFIX] Добавлена настраиваемая отправка счетчиков drop octets/packets при формировании IPFIX fullflow. Описание
62. [PCAP] Добавлена возможность сохранять трафик заданного vlan с помощью параметра ajb_save_vlan. Описание
63. [DPIUTILS] Обновлена утилита checknat. Описание
64. [DPIUTILS] Обновлена утилита dns2dic с поддержкой блокировки доменов. Описание
65. [BRAS][L2TP] Исправлено: data race при создании туннеля
66. [Router] Исправлено: перехват и отвод IPv6-пакетов на tap-интерфейсы. Link-local адреса не отводились на tap, даже если это явно задано в настройках router.subnet6.
67. [BRAS][L2TP] Исправлено: поле длины в заголовке L2TP для data-пакетов. Согласно RFC, в data-пакетах поле len L2TP-заголовка является опциональным. Некоторые реализации client L2TP не понимают data-пакеты с полем len в L2TP-заголовке. Это исправление корректирует поведение FastDPI: если data-пакеты от абонента приходят без поля len, то и СКАТ будет посылать data-пакеты без этого поля. Если же data-пакеты от абонента содержат поле len, СКАТ также будет его включать.
68. [BRAS] Исправлено: отправка команд из pending_queue. В некоторых случаях (например, при переходе состояний pcrf-монитора initial → connected) не вызывалась отправка команд из pending_queue, что приводило к "зависанию" команды в очереди на неопределенное время (до переподключения в результате ошибки сокета).
69. Исправлена недавно внесенная ошибка (затронуты беты 4.6 и 4.7) в жизненном цикле сессий, приводящая со временем к исчерпанию ресурсов, рекомендован оперативный апдейт с этих версий (или откат)