Список изменений и обновление СКАТ

Если у вас установлена версия CentOS 6.x или CentOS 8.x, то однократно переключите репозиторий командой:

sed -i -e '/^mirrorlist=http:\/\//d' -e 's/^# *baseurl=http:\/\/mirror.centos.org/baseurl=http:\/\/vault.centos.org/' /etc/yum.repos.d/CentOS-*.repo

и далее производите обновления командой:

yum update fastdpi

После обновления выполните рестарт DPI:

service fastdpi restart

и других зависимых процессов (PCRF/Radius), но только если они реально используются и их конфигурация валидна:

service fastpcrf restart
service fdpi_radius restart

При необходимости можно обновить компоненты операционной системы. Не проводите обновление версии ядра и зависимых от него утилит!
Для CentOS 6.x:

yum --exclude=kernel*,util-linux-ng,libuuid,libblkid update

Для CentOS 8.x:

yum update

Пользователям, эксплуатирующим DPI на виртуальных машинах, старых процессорах (2009 года выпуска) и старых процессорах AMD (до Ryzen):
Выполните перед обновлением команду:

touch /etc/dpi/noprioadj

и процесс DPI будет запускаться с обычным (не realtime) приоритетом, что существенно снизит потребление системных (sys) ресурсов CPU, но немного увеличит latency на платформе.

13.0 Congo ¹⁾

Проверить текущую установленную версию можно командой:

yum info fastdpi

Откат на 12.4:

yum downgrade fastdpi-12.4-0 fastpcrf-12.4-0

После обновления или смены версии требуется рестарт сервиса:

service fastdpi restart

Если используются PCRF и/или Radius, их тоже надо рестартовать. Для рестарта PCRF предпочтителен следующий порядок:

service fastdpi stop
service fastpcrf restart
service fastdpi start

Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике GRUB загрузку прежней версии ядра: в файле /etc/grub.conf установите параметр default=1.

Если при обновлении появляется сообщение, что обновление не найдено или возникают проблемы с зависимостями, то перед обновлением выполните команду:

yum clean all

1. Поддержка LAG/LACP в on-stick. Описание
2. Переход на DPDK 23.11
3. Изменено: для QUIC и QUIC_IETF: если не определили SNI — проверяем по AS
4. Изменено: при анализе STUN проверяется AS от Facebook — определяем FACEBOOK_VIDEO, а не WHATSAPP_VOICE
5. Задание RSS hash флагов для UDP и TCP
6. Изменено: определение протокола openvpn
7. Исправлено: обработка SIGHUP только если fastDPI полностью инициализирован. Возможно падение, если в процессе запуска fastDPI приходит SIGHUP
8. Запись trace/debug пакетов переведена на новый API
9. Добавлено: поддержка протокола wechat для UDP
10. Поддержка дополнительной разметки автономных систем mark1, mark2, mark3. Описание
11. Приоритет определения по SNI в кастомных сигнатурах для автономных систем, помеченных как mark1. Описание
12. Приоритет более специфичных кастомных SNI сигнатур.
    Пример: для хоста a.b.c.d при наличии сигнатур *.d, *.c.d и *.b.c.d будет выбран протокол, определенный сигнатурой *.b.c.d работает только для сигнатур с *. Описание
13. Поддержка жестких блокировок (несмотря на имя хоста/SNI) — задается в дополнительном поле в черном списке адресов, пример: 1.1.1.1 443 hard. Описание
14. Улучшено детектирование YOUTUBE, SIGNAL
15. Добавлен протокол DPITUNNEL, в который включены аномалии трафика, обычно применяемые для обхода DPI
16. Обновление dpiutils
17. Новые протоколы VK_CDN_VIDEO, META_CHAT
18. Улучшение сигнатур протоколов FACEBOOK_VIDEO, META_CALLS
19. Исправлено имя протокола VK_CDN_VIDEO
20. Исправлено: декодирование SNI в QUIC IETF и возможность образования корки в исключительных случаях
21. Исправлено: очистка структур поиска при удалении CUSTOM протоколов
22. Добавлена возможность добавлять комментарии (#) и пустые линии во входных файлах для утилит lst2dscp, lst2tbf
23. Добавлены протоколы QUIC_UNKNOWN - QUIC без SNI и QUIC_UNKNOWN_MARKED - QUIC без SNI и AS с пометкой MARK2. Описание
24. Исправлено: определение хар-к stun для TCP
25. Изменено: если достигли ограничения просмотра пакетов stun - устанавливаем этот протокол с учетом AS
26. Обновлены утилиты для поддержки новых протоколов
27. Улучшения в протоколах QUIC_UNKNOWN, QUIC_UNKNOWN_MARKED, SIGNAL, DpiTunnel
28. Определения встроенных протоколов по SNI/HOST вынесены в облако, поддерживается приоритет SNI/IP
29. Изменено: сравнение SNI производится без учета регистра
30. Добавлена сигнатура протокола LANTERN_WEAK
31. Улучшено распознавание протокола IMAP
32. Исправление в LPM при выборе канала по IP/CIDR
33. Добавлено: в формат записи в текстовый файл DNS - формат vchnl - номер виртуального канала.
34. Добавлено: в шаблон IPFIX передачи данных для DNS номер канала. Описание
35. Исправлено: падение при трейсе DNS
36. Улучшено определение протокола VIBER_VSTREAMS
37. Исправлено: в процессе остановки fastDPI не принимаем и не обрабатываем никакие запросы по ctl
38. Добавлен протокол SSTP (49296)
39. Добавлен протокол ANYDESK (49297,54273)
40. Улучшено распознавание LANTERN

1. Добавлено: учет DHCP-пакетов от абонента в биллинговой статистике: абонентский CPE (то есть Wi-Fi роутер) без клиентов (например, ночью) — посылает только запросы на продление лицензии. Так как эти запросы перехватывались BRAS и не включались в аккаунтинг, происходило завершение сессии по idle timeout
2. Исправлено: действия при изменении QinQ/VLAN у абонента
3. Исправлено: framed-pool renew
   В некоторых случаях формировались некорректные DHCP-ответы. Добавлена трассировка в лог DHCP-пакетов для framed-pool renew
4. Исправлено: прием пакетов от relay. Ранее проверялось, что relay находится в сети fc::/7. Теперь эта проверка излишняя и удалена, — у relay может быть любой адрес.
5. Исправлено: разбор DHCPv6-опций от Радиуса
6. Добавлена команда subs prop show active. Команда выводит дамп L2-свойств всех активных (не-expired) абонентов. Описание
7. Изменено: запрет вызова CLI-команд в процессе остановки
8. Исправлено: idle-timeout для сессии. Для PPPoE-сессий idle timeout должен браться из настройки bras_ppp_idle_timeout, если не задан явно в ответе авторизации (атрибут Idle-Timeout).
9. Добавлена приоритетная переадресация с переводом DSCP. Описание
10. Исправлено: добавление лишней опции 61 (Client-Id) в ответ fastDPI при распределении адреса из Framed-Pool
11. Исправлено: вывод в лог IP-адресов DHCP-серверов
12. Исправлено: включение услуг с профилями. Атрибут `VasExperts-Service-Profile` (имя профиля услуги, неявно включает услугу) имеет больший приоритет, чем `VasExperts-Enable-Service` (включение/выключение услуги без задания профиля).
13. Добавлена команда ping inet от имени абонентов через всю цепочку обработку BRAS/NAT/ROUTER. Подсказка - fdpi_cli ping inet ?. Описание
14. Исправлено: вызов деанонса IP-адреса абонента при acct idle. В опцию роутера router_subs_announce добавлен новый флаг: 0x10000 - деанонсировать L3-абонента при наступлении acct idle (закрытие acct-сесси по idle timeout). Описание
15. Добавлена поддержка задания профиля услуги 18 при авторизации. Включение услуги 18 в ответе Радиуса Access-Accept задается обычным для услуги с обязательным профилем образом (здесь serv18 - имя профиля):

    VasExperts-Service-Profile = "18:serv18"

16. В команду subs prop show добавлен поиск по MAC и subs_id. Результат поиска по MAC или subs_id может быть многозначным, - несколько разных записей для одного того же MAC/subs_id. Результат команды subs prop show active изменен, что может быть критично при разборе json-выхлопа команды. Описание
17. Исправлено: установка флага link up/down для портов, не поддерживающих link up/down прерывания (например, af_packet)
18. Код возврата команды Uptime. CLI-команда uptime может использоваться для контроля полного запуска fastDPI: она возвращает result=0 (Success) только тогда, когда fastDPI полностью проинициализирован и все рабочие потоки запущены. По получении ответа от fastDPI на команду fdpi_cli uptime сама утилита fdpi_cli проверяет результат выполнения и если result!=0 — выставляет ненулевой код возврата.
19. Исправлено: при наличии VRF (service 254) в Access-Accept пакет неправомерно выводился в лог как ошибочный
20. Восстановление работы UDR после вызова команды с большим числом параметров

1. Добавлена утилита checknat для проверки распределения белых адресов. Описание
2. Исправлено online изменение параметра nat_private_cidr

1. Добавлен режим L2 балансировщика трафика. Данная доработка позволяет использовать СКАТ как балансировщик трафика на основе IP-адресов, принадлежащих AS и определяемой как local в asnum.dscp. Описание
2. Добавлен движок mqrx_lb_engine, который активируется при dpdk_engine=2. Описание

1. Распределение mempool для emit-пакетов: не допускаем полного исчерпания пула, в пуле должно быть не менее 256 свободных элементов
2. Ошибка удаления маршрута errno=3 (No record found) переведена в разряд TRACE, чтобы не засоряла лог
3. Исправлен порядок завершения компонентов роутера
4. Изменено: system error при очистке route tables. Очистка route tables (удаление всех записей, добавленных СКАТ) производится при стопе и старте fastDPI. В процессе очистки может возникнуть ошибка EBUSY, которая является фатальной для netlink-сокета, сокет должен быть закрыт.
5. Исправлено: TAP link down in LAG. Если порт входит в лаг, то TAP этого порта в состояние Link down нужно производить только тогда, когда ВСЕ порты LAG в down.
6. Исправлено: контроль за исчерпанием selfgen mempool
7. Оптимизация вычитывания данных с TAP
8. Исправлено LAG+On-stick: перевод TAP в состояние link down. TAP переводится в link down только тогда, когда все порты в LAG в состоянии down. Если же есть хотя бы один порт в состоянии Up - TAP должен находится в состоянии Link Up.
9. Исправлено: отведение трафика в роутере для on-stick девайса в LAG. При формировании топологии VRF не учитывалось, что в LAG входит базовый (физический) девайс, а при описании роутера указывается on-stick (виртуальный) девайс.
10. Исправлено: вычитывание всех данных с TAP-девайса. При старте fastDPI были возможны ситуации, когда роутер еще не полностью инициализирован, а TAP уже мониторится, но не вычитывается.
11. Опция router_subs_announce сделана горячей (hot)
12. Исправлено: утечка mbuf при старте fastDPI

1. Значение storage_tag устанавливается на основании приоритета по направлению или приоритета по протоколу

1. Добавлена возможность работы со стандартными интерфейсами linux с помощью libpcap. Описание

1. Глобальный рефакторинг кода - отказ от поддержки pf_ring
2. Добавлено: услуга 19 - подмена DNS-ответов. Описание
3. Изменено: минимальный размер PCAP файла до 100 MB. Ротация PCAP-файлов при reload Описание
4. Изменено: улучшена трассировка событий DROP
5. Исправлено: ошибочное появление сообщения уровня ERROR при некоторых запросах fdpi_ctrl
6. Исправлено: некорректный разбор TLS(SNI) в случае если задано несколько 'ALPN Protocol'
7. Изменено: механизм обновления списков соответствия AS и IP. Описание

1. Исправлено: контроль активности абонента с помощью unicast ARP Request. Ранее был broadcast ARP Request, что не оптимально для сети. Описание
2. Добавлено: SHCV (Subscriber Host Connectivity Verification) — контроль активности DHCP-абонента. Учтен сценарий для уже "закрытой" записи, чтобы не было повторного срабатывания SHCV и росте счетчика 'SHCV: session closed by inactivity'. Описание
3. Добавлено: ARP Proxy для известных маршрутов (только в режиме роутера), Данную возможность применяем только если инициатор ARP-запроса - известный нам абонент. В опцию bras_arp_proxy добавлен новый флаг - 0x0004. Описание
4. Исправлено: help() для IPv6-адресов в команде subs prop show
5. Исправлено: ошибка разбора параметров команды subs prop del, что приводило к невозможности удаления свойств по IP c ошибкой

   ERROR: Result code=9: No subscriber IP address

6. Добавлено: CLI-команда dhcp disconnect. Это CLI-аналог CoA Disconnect. Режим выполнения дисконнекта задается опцией bras_dhcp_disconnect.
   1. dhcp disconnect all - дисконнект всех DHCP-сессий
   2. dhcp disconnect [ mac=X | ip=X ] - дисконнект указанной сессии
7. Исправлено: отправка L3 reauth для L2-абонента заранее, не дожидаясь завершения session timeout
8. Добавлено: в CLI-команду dhcp show stat добавлено число закрытых по неактивности сессий (SHCV)
9. Исправлено: ошибка при перехвате и обработке ICMPv6-пакетов, при изменении ICMPv6-пакета в некоторых случаях не пересчитывалась контрольная сумма

1. Изменено: трассировка в vdpi_new_flow_nat_ipv4 выводится всегда
2. Исправлено: в зависимости от значения параметра nat_exclude_private проверяется дополнительно пара CHECK_AS_LOCAL или CHECK_AS_PEER для AS при local interconnect

1. Добавлено: ARP менеджмент. Описание
2. Исправлено: выбор порта для записи в сквозном LAG. Если LAG проходит сквозь fastDPI, то при выборе порта для записи с TAP нужно учитывать не только состояние самого порта Link Up/Down, но и состояние Link Up/Down второго плеча моста для этого порта
3. Исправлено: анонсирование подсетей профиля NAT при добавлении
4. Добавлено: CLI-команда router vrf dump. Команда выводит список VRF, заданных в системе, и свойства этих VRF
5. Исправлено: не учитывать term by AS при анонсе подсетей NAT. Режим term_by_AS относится к абонентам, а не к профилям NAT, поэтому его не нужно учитывать при анонсировании NAT-подсети
6. Исправлено: порядок перехвата пакетов из общего конвейера обработки
7. Исправлено: Увеличено число mbuf в selfgen mempool, если включен роутер: если роутер disabled: mempool size=512 * число_slave_на_кластер, если роутер enabled: mempool size=8 * 1024 * число_slave_на_кластер

1. Исправлено: необнуление массива при построении нового списка активных портов. Ошибка приводит к переполнению массива и порчи памяти
2. Добавлено логирование ошибки "no mbuf" при отправке LACP