Содержание

Версия 10.0 Primus Maximus

Обзор версии 10.0 на Rutube:

10.0 Primus Maximus 1)

:!: Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике GRUB загрузку прежней версии ядра (в файле /etc/grub.conf установите параметр default=1).

Изменения в версии 10.0

  1. Добавлена поддержка маршрутизации на базе следующих роутер-демонов: BIRD, FRRouting(FRR), QUAGGA, Juniper CRPD и других.
  2. Переход на DPDK 20.11 LTS.
  3. Исправлен разбор EoMPLS.
  4. Добавлена поддержка сигнатур, определяемых пользователями.

Изменения в версии 10.0.2

  1. Добавлен новый режим dpdk_engine=4.
  2. Добавлена поддержка * в сигнатурах sni.
  3. Изменено в CentOS 8: загрузка сервисов уже после полной инициализации и назначении адресов сетевых интерфейсов.

Изменения в версии 10.0.3

  1. Исправлена передача атрибута Gateway для DHCP/ARP/PPP авторизации.
  2. Исправление применения пользовательских сигнатур на основе HTTPS/QUIC.
  3. [DPDK] Добавлен новый conf-параметр dpdk_max_simd --- max размер инструкций SIMD.

Изменения в версии 10.1

  1. Добавлены протоколы Facetime, SMPP.
  2. Исправлен порядок полей в выводе утилиты mdb_dump в формате утилиты fdpi_ctrl.
  3. [BRAS][DHCP-relay] Параметр bras_dhcp_opt82 расширен следющими значениями:
    1. 3 --- добавлять или заменять существующую opt82 только в broadcast-запросах;
    2. 4 --- добавлять или заменять существующую opt82 в любых запросах – broadcast или unicast.
      При замене учитывается параметр bras_dhcp_opt82_format. Причина: для некоторых QinQ-провайдеров важно, чтобы opt82 содержала данные в едином формате, тогда как промежуточные релеи могут вставлять opt82 в своем уникальном формате.
  4. [BRAS][DHCP-proxy] Исправлено: CoA Disconnect теперь не инициирует перевод L2-сессии в состояние releaded.
  5. [BRAS][DHCP] Изменено: DHCP-INFORM не инициирует авторизацию на Радиусе. Для DHCP-абонентов DHCP-INFORM может посылаться, если абоненту нужны еще какие-то данные (опции), но DHCP-абонент уже авторизован по DHCP-Request. Для абонентов со статическим адресом DHPC-INFORM может быть послан для получения доп.опций. Но для L2-абонентов со static IP нужно использовать атрибут VasExperts-L2-User=1 при обычной L3 auth.
  6. [BRAS][DHCP] Исправлено: при получении DHCP-Release/Decline статус сессии для абонента проставляется в released. Тем самым абоненту блокируется доступ в inet.
  7. [PCRF] Исправлено: при обнаружении разрыва связи с Radius-сервером могли остаться висячие активные acct-сессии (не запланированные для отправки в будущем).
  8. [BRAS][DHCP-relay] Исправлено: работа в режиме DHCP Proxy с резервированием fastdpi через fastpcrf: не передавались L2-свойства абонента на резерный СКАТ, так как с точки зрения pcrf проводилась L3-авторизация.
  9. [BRAS][DHCP-relay] Исправлено: при получении реплики ответа запускалась пустая acct-сессия от имени резервного fastdpi. Теперь не запускается.
  10. [BRAS] Изменено: TTL exceeded отвечаем от имени GW абонента в любом направлении.
  11. [BRAS] Добавлено: fastdpi.conf-параметр bras_transparency: Прозрачный (1) или нет (0) СКАТ в режиме L2 BRAS. В режиме прозрачности L2 BRAS не контролирует TTL пакета, не посылает ICMP Time Exceeded при исчерпании TTL, поэтому, например, утилита traceroute не увидит абонентский шлюз при трассировке. В режиме непрозрачности (0) L2 BRAS корректирует TTL пакета и при исчерпании посылает ICMP Time Exceeded. Значение по умолчанию: 1 (L2 BRAS прозрачен).
  12. [BRAS] Добавлено: сохранение абонентского GW в L2-свойствах абонента (ip_prop). Ранее адрес шлюза сохранялся в UDR как отдельная запись с типом "сессии" Gateway. Теперь, в связи с вводом обработки TTL и необходимости отправки ICMP Time Exceeded в случае исчерпания TTL пакета, нужно иметь в ip_prop адрес GW абонента, от имени которого будет посылаться ICMP Time Exceeded.
  13. [CLI] Добавлено в команды: subs prop show - вывод GW абонента, subs prop set - установка GW абонента.
  14. [Router] Добавлена поддержка LAG: если один из девайсов LAG имеет TAP-интерфейсы (задействован в роутинге), то перехват трафика на TAP ведется со всех девайсов LAGа.
  15. [BRAS] Добавлено: L3 auth по ARP-запросу (по sourceIP) Работает только в режиме L2 BRAS. Выполняется, если L2 ARP auth отключена или неудачна (например, targetIP не является адресом шлюза или этот шлюз еще неизвестен СКАТ).
  16. [BRAS][ARP]: Исправлено: теперь при решении, нужно ли отвечать на ARP-запрос к локальному клиенту, учитывается VLAN.
  17. [BRAS][L3] Добавлено: запоминаем subnet mask в L2-свойствах, если задано VasExperts-L2-User=1.
  18. [BRAS][DHCP] Изменено: обработчики ответа на DHCP-авторизацию подключены всегда.
  19. [Router] Обновление кеша ARP не только по reply, но и по запросам от соседей.
  20. [Router][CLI] Добавлена тестовая CLI-команда router neighbor cache refresh --- принудительное обновление neighbor кеша Linux для IPv4/IPv6.
  21. [Router][CLI] Для команды router test добавлено применение правила default route.
  22. [BRAS][PPPOE] Исправлено: вывод трейсов в slave-логи при задании bras_pppoe_trace_mac.
  23. [Router] Изменено: если запись ARP-кеша не имеет L2-свойств (MAC-адреса), то посылаем ICMP dest unreachable, сам пакет дропаем. В статистике CLI такие ситуации выводятся отдельно --- счетчик unknown_gw_mac.
  24. [Router] Добавлено: принудительное обновление кеша ARP Linux в случаях, когда в ARP кеш добавляется IP, но MAC и VLAN этой записи неизвестен.

Изменения в версии 10.1.1

  1. Исправление детектора RTP.
  2. [Router] Исправлена ошибка работы с IPv6 пакетами при отключенном анализе IPv6.
  3. [DPDK] Исправлен режим dpdk_engine=4.

Изменения в версии 10.2

  1. Улучшено детектирование WhatsApp.
  2. Улучшена поддержка карт Mellanox.
  3. [Router] Добавлена поддержка multi-path (ECMP).
  4. [BRAS][AUTH] Изменено: вычисление времени L3-сессии для неавторизованных (rejected) L2-абонентов (например, для режима DHCP Relay). Теперь если явно задан атрибут Session-Timeout, именно он учитывается для длительности неавторизованной (rejected) L3-сессии.
  5. [PCRF][ACCT] Workaround для ситуации, когда появляются незапланированные acct-сессии в состоянии started.
  6. [BRAS][PPPOE] Добавлено: возможность задания Service-Name со стороны СКАТа при установке PPPoE-сессии --- добавлен параметр bras_pppoe_service_name в fastdpi.conf.
  7. [Router] Исправлено: учет параметра nat_exclude_private=1 при принятии решения, нужно или нет анонсировать серый адрес клиента в inet.
  8. [BRAS] Добавлено: поддержка атрибута Framed-Route для L3 авторизации с флагом VasExperts-L2-User=1.
  9. [PCRF] Исправлено: учет атрибута Idle-Timeout для PPP-авторизации.
  10. [PCRF] Добавлено доп. логирование VLAN, MAC для ошибок в DHCP-запросах.
  11. [BRAS][DHCP] Framed-Pool Исправлено: добавление VasExperts opt125 с именем пула в уже существующую opt125, если она есть.
  12. [BRAS] Добавлено: учет атрибута VasExperts-Enable-Interconnect=0 при local interconnect. Ранее этот атрибут учитывался только для портов, для которых явно задана опция bras_term_dev_inner в fastdpi.conf.
  13. [PCRF][ACCT] Исправлено: не детектировался idle, если после старта acct-сессии не было вообще никаких изменений данных (все счетчики по нулям) и контроль idle ведется по исходящему от абонента данным (fastpcrf.conf acct_check_idle_mode=1).
  14. [DPDK][CLI] В вывод команды dev link state show добавлена текущая скорость порта и признаки full-duplex и autoneg.
  15. [Router] Добавлено: обработка удаления правила default route.
  16. [BRAS][AUTH] Изменения по анонсам IP-адреса абонента для L3-авторизации.
  17. Исправлено: падение из-за DDOS из внутренней сети оператора.
1)
см. перевод с латинского :), не путать с Maximus Prime - командующим автоботов-трансформеров