Добавлена поддержка сигнатур, определяемых пользователями на основе SNI, IP[:PORT] или SUBNET.

Добавлена запись трафика в СХД ("закон Яровой").

Добавлены протоколы FACETIME, NORD_VPN, EXPRESS_VPN, PRIVATETUNNEL_VPN, VPNUNLIMITED, PSIPHON3, CLUBHOUSE, TLS_UNKNOWN, QUIC_IETF, SPEEDTEST.

Изменено: по 12 услуге пишутся данные в pcap и после детектирования закрытия сессии.

[DPI engine] Добавлен настраиваемый таймаут перепроверки IP-адреса.

[SORM engine] Новая конфигурация prmt для объема meta_parser.

Изменено: Если задан параметр ssl_reply --- в версию протокола ставится значение из протокола content_type=0x16.

Изменено: определение протоколов ssl_unknown и tls_unknown определяется как: sni пусто и cname пусто — сморим версию заголовка ServerHello (из первых пяти байтов). Если версия ⇐0x0300 — это ssl_unknown, иначе это tls_unknown. Если задан параметр tls13_unknown — всегда смотрим ServerHello и если там версия 0x0304 --- это всегда протокол tls_unknown (независимо от sni/cname).

Исправлено: в файлах layout в поле flags ставится значение: 2 — если это служебная запись или не определено еще flow иначе устанавливаем 1 — dir_data.

Изменено: если задан параметр ssl_parse_reply, происходит поиск cname.

Изменено: В формат ajb_save_sslreply_format добавлены 3 новые поля tphost (тип хоста — всегда 2), host (cname), evers — версия из Extensions (определяется только если задан параметр tls13_unknown=1, иначе 0).

Изменено: Формат clickstream передачи ssl-reply. Добавлены поля: 1011 — type_host — число лежит в host — всегда 2 и 1005 cname.

Изменено: сообщения при трассировке вида DPI(DEF_PROTO, CHANGE_PROTO, STORED_PROTO) — добавлено поле cntr_fin, direction.

Исправлено: после закрытия соединения не помещалась запись в short очередь для TCP.

Добавлено: при трассировке для TCP соединений сообщения добавлено сообщение об изменении очереди (short/long).

Изменено: формат вывода команды fdpi_cli dump flow cache.

Добавлено: параметр ajb_save_fragment — задает запись фрагментированных пакетов в pcap.

Изменено: разбор протокола TLS.

[PCRF][DHCP] Исправлено: передача opt82 circuit/remote id в аккаунтинг.

Добавлено: для storage_agent параметр engine_bind_cores, который задает привязку потоков записи к ядрам.

[BRAS][DHCPv6] Исправлено: падение на пакете DHCP-Confirm без указания IPv6-адресов в IA_NA-опции.

Исправлено: режим tap_mode=1 — не должно быть отправки пакетов.

Исправлено: крах при разборе L2-заголовков для eher_type=0xFFFF.

[PCRF][framed-pool] Исправлено: при добавлении в уже существующую опцию opt125 не учитывалось, что dhcp_poolname_opt=0 — это то же самое, что и dhcp_poolname_opt=2. Это приводило к добавлению opt125 для VasExperts при dhcp_poolname_opt=0.

[BRAS][ARP] Добавлено: поддержка режима сегментирования абонентов в общем VLAN на сети доступа (изоляция абонентов на коммутаторе, то есть абонентам не доставляется трафик между друг другом даже в одном vlan). Добавлен fastdpi.conf — параметр bras_arp_vlan_segmentation: Учитывается только при установленном флаге 1 в bras_arp_proxy для ARP-запросов от одного абонента другому. off (типичный случай) — абоненты A и B в одном VLAN могут взаимодействовать между собой напрямую, СКАТ не обрабатывает ARP-запрос от абонента A "who has target abonent B IP" on — на коммутаторе включена изоляция абонентов, находящихся в одном VLAN, поэтому СКАТ должен сам ответить на ARP-запрос от абонента A "who has target abonent B IP".

[CFG] Исправлено: не учитывалось значение параметра set_packet_priority в fastdpi.conf.

Изменено: статистика SDS_AGENTS_ — добавлено суммарное количество ошибок и процент.

Изменено: поддержка нескольких очередей SDS_AJB.

Добавлено: параметры sds_ajb_num — количество очередей sds_ajb (default 1) sds_ajb_bind_cores — задает ядра, к которым надо привязывать потоки. Если не задан — ядра назначаются автоматом. Пример: sds_ajb_bind_cores=1:1:2:2.

[fastPCRF] Исправлено: передача opt82 в аккаунтинг при L3 auth

[PCRF] Исправлено: передача значения атрибута opt82 remoteId в аккаунтинг

[PCRF] Добавлено: возможность задания атрибутов для opt82. Новые параметры в fastpcrf.conf: attr_opt82_remoteid=vendorId.attrId, где vendorId — id вендора. Если vendorId != 0, то значение передается в VSA-атрибуте. Если vendorId == 0, то значение передается в обычном Радиус-атрибуте (не-VSA) attrId — id атрибута, число от 1 до 255. Если эти параметры не заданы, то opt82 передается в следующих атрибутах: acct: circuitId: ADSL VSA 3561.1, remoteId: ADSL VSA 3561.2 auth: circuitId: VasExperts VSA 43823.39, remoteId: VasExperts VSA 43823.33
Пример задания: attr_opt82_remoteid=15.34 attr_opt82_circuitid=15.35.

[DPI] Добавлены протоколы ZOOM, NETFLIX, TIKTOK, TWITCH, INSTAGRAM, TWITTER, LINKEDIN, AMAZON VIDEO, APPLE STORE, APPLE ICLOUD, APPLE UPDATES, APPLE PUSH, APPLE SIRI, APPLE MAIL

[DPI] Название протокола GOOGLEVIDEO изменено на YOUTUBE

[DPI] Улучшена надежность диссектора HTTP протокола при большом количестве потерь/ретрансмиссий

[DPI] Исправлена ошибка reload при настройке LAG.

[DPI] Поддержка декодирования SNI в протоколе QUIC IETF (HTTP/3).

[DPI] Улучшена сигнатура Telegram TLS.

[PCRF] Добавлен новый VSA-атрибут в Acct-Stop: [26] VasExperts-Acct-Terminate-Cause [integer] — внутренний код acct stop. Может быть полезен при анализе логов Радиуса.

[PPPOE] Добавлено удаление из БД PPPoE-сессий при окончании работы.

[PPPOE] Исправлено: при загрузке не учитывались опции bras_pppoe_ac_name и bras_pppoe_service_name.

[PCRF] Исправлено: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastdpi-серверов. Если PCRF обслуживает несколько fastDPI, будет посылаться несколько Acct-On, — для каждого fastDPI отдельный Acct-On.

[DHCPv6] Исправлено: отправка запросов Renew/Rebind на Радиус до истечения expired timeout, что приводило к закрытию текущей acct-сессии и старту новой.

[CoA] Исправлено: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect.

[PCRF] Добавлено: атрибут NAS-Port-Id добавляется и для single-VLAN сетей и содержит строку "0/vlan".

[CoA] Изменено: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам.

[fastPCRF] Исправлено: ошибка при обработке L3 auth по IPv6.

Существенно переработана поддержка CG-NAT: клиенты на одном белом адресе будут активнее переиспользовать сессии друг друга.

Добавлена поддержка резервирования BRAS в режиме L2 (переключение осуществляется через службу vrrp/keepalived).

[fastPCRF] Исправлено: при переключении на другой Радиус-сервер посылаем Acct-On от имени всех fastDPI-серверов. Если PCRF обслуживает несколько fastDPI, будет посылаться несколько Acct-On, — для каждого fastDPI отдельный Acct-On.

[DHCPv6] Исправлено: отправка запросов Renew/Rebind на Радиус до истечения expired timeout.

[CoA] Исправлено: CoA Disconnect мог закрыть "зависшую" сессию, созданную после отправки CoA Disconnect.

[PCRF] Добавлено: атрибут NAS-Port-Id добавляется и для single-VLAN сетей и содержит строку "0/vlan". Для single-VLAN сетей также добавляется, как и раньше, атрибут NAS-Port, содержащий VLAN.

[CoA] Изменено: CoA Disconnect теперь приводит к закрытию всех acct-сессий по указанным реквизитам.

[fastPCRF] Исправлено: ошибка при обработке L3 auth по IPv6.

[Router] Исправлено: удаление маршрута при завершении PPPoE сессии.

Исправления в работе CG-NAT по результатам эксплуатации BETA1.

Добавлены новые протоколы HUAWEI CLOUD, WOT WARGAMING, PUBG KRAFTON, RIOTGAMES, FORTNITE EPIC.

Исправлена работа 5 услуги на VCHANNEL.

[Router][LAG] Исправлено: выбор следующего девайса из LAG в случае link down текущего.

[PCRF] Если в ответе авторизации задан Framed-Pool и IP-адрес — игнорируем Framed-Pool. Это касается авторизации PPP, DHCP, DHCPv6.

[PPP] Исправлено: если в ответе авторизации Радиус содержатся выданные IP-адреса вместе с Framed-Pool, — игнорируем атрибуты Framed-Pool и не передаем их в PPPoE BRAS. Наличие framed-pool в PPPoE BRAS меняет логику PPPoE — BRAS начинает контролировать время лизы и посылать DHCP Renew на DHCP-сервера. В случае явно выданного IP-адреса это может привести к закрытию PPPoE-сессии, если DHCP-сервер ответит NAK.

[DHCP6] Исправлено: отправка acct даже если не включена услуга 9.

Добавлена услуга 15 (Special Subscriber): при подключении услуги для трафика абонента устанавливается приоритет из настроечного параметра special_dscp (по умолчанию 0).

Добавлен параметр nat_gcache_slice_k100, который задает, сколько портов выделять на каждый slice (по умолчанию 125).

Добавлен seqno в clickstream.

Улучшена обработка "пустого" ответа Radius.

Добавлены vchannels на основе IP/CIDR.

[Router] Добавлено: если включен режим терминации по AS (bras_term_by_as=1), то роутер (маршрутизация) применяется только для тех абонентских AS, которые терминируются. Если AS не терминируется — роутер к пакету не применяется. То же самое относится и к анонсам абонентских адресов: если адрес относится к нетерминируемой AS, такой адрес не анонсируется.

[Router] Добавлено: деанонсирование Framed-Route подсетей при деанонсировании абонента.

Переход на DPDK 21.11 LTS.

Проверена установка на ROSA Linux Chrome и VEOS 8.6.

Увеличено число поддерживаемых портов до 24.

Исправлено: CLI команда router fib dump показывает подсети меньше /24.

[Router] Исправлено падение при внеплановой очистке ARP-кеша роутера.

[BRAS][L3-auth] Исправлено: удалена отправка Acct-Start с резервного fastDPI при L3-авторизации на основном fastDPI.

Исправление размера пакетного буфера для DPDK 21.11 с драйвером Mellanox.

Исправлена поддержка TAP интерфейсов.

[BRAS][PPPOE] Добавлен новый conf-параметр bras_ppp_padi_recreate_timeout
Интервал времени (секунд), в течение которого входящие от абонента повторные запросы создания сессии (PADI) не приводят к созданию новой сессии (используется уже созданный объект сессии). Данный параметр призван обезопасить от шторма PADI-запросами от абонента и пересоздания объектов сессий. Некоторые роутеры посылают несколько PADI при создании сессии, не дожидаясь ответа от BRAS. По умолчанию: 5. Значение 0 — нет контроля.

[PCRF][ACCT] Исправлено: Обращение к удаленным данным.

[PCRF][ACCT][CLI] Добавлен вывод типа ожидаемого ответа для acct-записи.

[BRAS][CoA] Исправлено: поиск по логин в CoA update. Если в CoA update (изменение профиля абонента — подключение или отключение услуг) заданы login и IP, и абонент по логину не найден — пытаемся отыскать по IP. Ранее поиск по логину был самым приоритетным, если не абонент найден — CoA update не обрабатывался.

[PCRF] Обновлен словарь атрибутов radius.

Изменено: при подключении 15 услуги отключается фильтрация по черным спискам канала (или по умолчанию).

Изменено: tbf rate 8bit оптимизирован до drop.

Улучшено распознавание протоколов RTP и SIP.

Изменено: общий и канальный полисинг теперь применяется в read only режиме (для предфильтра).

Изменено: услуга 12 применяется после канального и абонентского полисинга.

Добавлен кэш для белого адреса: при экспорте данных nat трансляций при освобождении белого порта используются реальные данные из кэша (ранее значение не передавалось, т.е. =0), настроечный параметр nat_dstaddr_cache_size задает количество хранимых dst_ip:dst_port в рамках белого адреса для UDP. По умолчанию 0xffff * 2 (для TCP не актуально).

Изменено: при блокировке ресурса освобождение flow производится быстрее (flow перемещается в "короткую" очередь).