Изменения в версии 8.0 Brugge¹⁾

1. Добавлена поддержка IPv6 в Subscriber Management : управление полисингом и услугами
2. Добавлено распознавание и экспорт метаданных протокола Zello
3. Добавлен вывод результата управляющих команд в формате JSON
4. Добавлена возможность задания параметров полисинга в формате JSON
5. Добавлена 12 услуга - запись абонентского трафика в PCAP

Изменения в патче 8.0.5

1. Улучшения в поддержке IPv6
2. Исправления и улучшения в работе CGNAT и NAT 1:1
3. Улучшена совместимость с различным оборудованием в режиме терминации PPPoE (L2 BRAS)
4. Повышена стабильность работы в режиме мультикластера
5. Добавлена приоритезация асинхронных задач для улучшения совместной работы BRAS и съемника СОРМ

Изменения в патче 8.0.6

1. Исправлен подсчет ссылок на профили, что позволяет удалить неиспользуемые профили
2. Исправлено назначение NAT на абонента с множеством адресов, включающем белые адреса

Перед обновлением проверьте присутствие настройки udr=1 в конфигурационном файле /etc/dpi/fastdpi.conf

Изменения в версии 8.1.1

1. Добавлена полная поддержка IPv6 в L3 и L2 BRAS, интеграция с DHCP/Radius/Billing, делегирование IPv6 префиксов на CPE
2. Добавлено детектирование протоколов WhatsApp, Viber, OpenVPN
3. Добавлена услуга 13 - мини Firewall для защиты абонентов с белыми адресами
4. Добавлена блокировка UDP трафика по черным спискам
5. Добавлен экспорт в IPFIX/Netflow QOE метрик: RTT, количество ретрансмиссий
6. Добавлен экспорт Cipher Suite в метаданных СОРМ для SSL/HTTPS
7. Добавлена авторизация по ARP запросу
8. Добавлен экспорт биллинговых данных по протоколу IPFIX
9. Улучшена совместимость Radius Accounting сессий с различными биллингами
10. Улучшено I NAT портов
11. Устранена утечка в запросе --bind
12. Удален знак '=' в json тегах ip и login

Изменения в версии 8.1.2
В связи с изменением версии протокола требуется обновление версии fastradius до 8.1.2

1. Максимальный размер login(user-name) увеличен до 96 байт
2. Исправлена ошибка в работе услуги мини Фаервол
3. Исправлена установка Session-Timeout при получении CoA: если он не задан, то значение берется из конфигурационного параметра

Изменения в версии 8.1.4 Если вы успели поставить 8.1.3 и у вас BRAS+NAT, то обязательно обновите версию

1. Исправлено определения автономной системы для IPv6 адресов
2. Добавлена утилита ascheckip
3. Добавлена настройка enable_auth_ipv6=0 отключить авторизацию IPv6 адресов для случая, когда radius/биллинг их не поддерживают
4. Исправлен порядок вызова авторизации абонентов

Изменения в версии 8.1.5 В связи с изменением версии протокола требуется обновление версии fastradius до 8.1.5

1. Исправлена работа HTTP редиректа при PPPoE терминации
2. Добавлено экранирование ряда символов в json и fdpi_ctrl (для их использования в login и именах профилей)

Изменения в версии 8.2 В связи с изменением версии протокола требуется обновление версии fastradius до 8.2

1. Исправления в работе CG-NAT : улучшено переиспользование сессий, добавлен транзит фрагметированного ICMP
2. Исправления в L2 BRAS по результатам внедрений
3. Исправлена передача 32-битных AS в IPFIX
4. Добавлен вывод статистики для IPFIX/Netflow
5. Добавлена команда проверки сессии с помощью CoA
6. Улучшена поддержка CKAT-200
7. Добавлен вывод сообщений alert лога при запуске/останове dpi из консоли (его можно отключить командой touch /etc/dpi/nocolor )

Изменения в версии 8.3.1 В связи с изменением версии протокола требуется обновление fastradius и установленных на отдельных серверах fastpcrf,fdpi_ctrl до версии 8.3.1

1. Добавлена репликация БД UDR для использования в схемах резервирования dpi/pcrf
2. Добавлена поддержка интерфейса CLI
3. Добавлены сигнатуры протоколов Telegram, Viber, WhatsApp, VyprVPN c технологией Хамелеон (входит в OpenVPN)
4. Добавлено восстановление/backup встроенной БД UDR в формат команд fdpi_ctrl
5. Добавлены команды просмотра статистики по утилизации адресов из NAT пула и внешних адресов абонентов
6. Добавлена возможность указать или добавить несколько подсетей через запятую при задании профиля NAT: пример формата '1.2.3.0/24,5.6.7.0/24'
7. Добавлена возможность учитывать только адреса хостов по соглашениям бесклассовой адресации в диапазонах подсетей IPv4 и при задании параметров cidr: пример формата '1.2.3.0/30~'
8. Добавлено в BRAS auth: возможность указать в Радиус-ответе, что этот ответ нужно молча игнорировать. Значение атрибута VasExperts-Restrict-User=255 - игнорировать ответ Радиуса;
9. Исправлено в BRAS L3 auth: если абоненту был сопоставлен какой-либо профиль полисинга, а в ответе авторизации полисинг не указан, существующий профиль не отвязывался от клиента, что не позволяло через авторизацию удалить полисинг у абонента;
10. Исправлено в BRAS DHCP: распознание старого протокола BOOTP. BRAS не работает с BOOTP, но отправка некоторыми CPE BOOTP-пакета приводила к тому, что последующие DHCP-пакеты от данного абонента не распознавались и не перехватывались;
11. Добавлено в BRAS DHCP: "кривые" DHCP-пакеты теперь записываются в pcap при выставленном параметре ajb_save_invlen;
12. Улучшено в BRAS DHCP: при включенном режиме контроля вторичных ключей в случае изменения ключа (Opt82 или QinQ) абонента его DHCP Request посылается на Радиус, а не применяется кешированный ответ;
13. Изменено в BRAS DHCPv6: уникальным ключом абонента теперь выступает MAC-адрес абонента вместо Client DUID. Связано это с тем, что некоторые домашние роутеры весьма вольготно обращаются с DUID и могут изменить его в любой момент несмотря на то, что согласно RFC Client DUID является неизменяемой опцией;
14. Добавлено в BRAS DHCPv6: периодическая отправка ICMPv6 RA вместе с DHCPv6-ответом;
15. Добавлено в BRAS DHCPv6: периодическая отправка Unsolicited RA;
16. Добавлено в BRAS DHCPv6: fastdpi.conf-параметр bras_dhcp6_nak_lifetime - время жизни Reject-ответа Радиуса
17. Исправлено в BRAS PPPoE: редко проявляющаяся, но критическая ошибка, приводящая к нарушению работы системы и связанная с неполным контролем длины пакета, указанной в PPPoE/PPP-заголовках, и фактической длины принятого пакета (битый или специально сформированный некорректный пакет);
18. Исправлено в BRAS PPPoE: при старте fastDPI и восстановлении PPPoE-сессий не стартовал аккаунтинг;
19. Добавлено в BRAS PPPoE: возможность запретить восстановление PPPoE-сессий при рестарте СКАТ, см. Восстановление PPPoE-сессий при рестарте СКАТ
20. Добавлено в BRAS PPPoE: контроль дублирования выданного IP-адреса при создании сессии. Если уже существует активная PPPoE-сессия другого абонента с таким IP-адресом, она закрывается.
21. Исправлено в BRAS ARP: в режиме term by AS BRAS пропускает ARP Reply для не-term AS (было: запросы пропускал, а ответы - нет);
22. Исправлено в BRAS ARP: проверка истечения времени сессии не должна относиться к ARP-авторизации, иначе по истечении времени дропнутся все входящие из inet пакеты, что не даст реавторизоваться ARP-абоненту, так как без пинка извне абоненту в принципе незачем посылать ARP к своему шлюзу;
23. Улучшено в BRAS CoA: CoA-Request изменяет статус авторизации только при явном указании, что абонент неавторизован (при наличии атрибута VasExperts-Restrict-User=1). Сам CoA-Request не приводит к тому, что статус авторизации абонента становится "авторизован" (ранее абонент ошибочно становился авторизованным);
24. Изменено в BRAS CoA: в связи с внедрением мульти-сессий логика работы команды проверки acct-сессии изменена для случая "один fastPCRF → несколько fastDPI";
25. Улучшено в BRAS Accounting: в связи с поддержкой мульти-сессий аккаунтинг существенно переделан, NAS-атрибуты стали более значимыми: если раньше они фактически идентифицировали fastpcrf-сервер, то теперь - fastDPI-сервера; это существенно в режиме "один fastPCRF - несколько fastDPI";
26. Добавлено в BRAS Accounting: возможность исключить некоторые классы из radius accounting: fastpcrf.conf-параметры acct_disable_traffic_class и acct_include_traffic_class, подробнее см. здесь
27. Добавлено в BRAS Accounting: параметр acct_swap_dir - изменение направления трафика
28. Добавлено в BRAS Accounting: в Радиус-запросы Acct-Request добавлен атрибут Event-Timestamp (текущее время);
29. Улучшено в BRAS Accounting: при старте/стопе fastDPI теперь посылает на fastPCRF специальное сообщение, по которому все активные accounting-сессии от данного fastDPI закрываются (Accounting Stop);
30. Добавлено в fastpcrf: более полная поддержка работы множества fastdpi с одним сервером fastpcrf: fastpcrf теперь может связываться с fastdpi-серверами, находящимися на разных интерфейсах, добавлен параметр fdpi_server вместо прежнего fdpi_server_list, параметр auth_server_dev объявлен устаревшим: вместо fdpi_server_list и auth_server_dev следует описывать fastdpi-сервера параметрами fdpi_server;
31. Измненено в fastpcrf: принцип формирования Радиус-атрибутов NAS-IP-Address и NAS-Identifier: теперь эти атрибуты берутся из настройки fdpi_server, то есть фактически идентифицируют fastDPI-сервер, с которого принят запрос авторизации. Параметры radius_attr_nas_ip_address и radius_attr_nas_id объявлены устаревшими и используются только в конфигурациях "один fastdpi- один fastpcrf". Если у вас fastpcrf-сервер связан с несколькими fastDPI, советуем сделать ревизию настроек fastpcrf.conf и биллинга;
32. Измненено в fastpcrf: в связи с внедрением персистентных очередей внутренний протокол обмена fastpcrf ↔ fastdpi полностью переработан для обеспечения расширяемости с сохранением обратной совместимости, так как в очереди могут быть данные предыдущих версий;
33. Изменено в fastpcrf: Атрибут CUI учитывается в CoA Request только если в fastpcrf.conf указано radius_attr_cui=1 (приведение обработки Access-Request и CoA к единому стилю);
34. Добавлена поддержка до 5 вложенных меток MPLS в сервисах блокировки, нотификации и других услугах
35. Увеличен буфер исходящих соединений, это сгладит пики и уменьшит вероятность потерь при доставке ipfix/netflow
36. Прочие исправления по результатам бета-тестирования

Изменения в версии 8.3.2

1. Исправлено удаление услуги 4 (черный список) с профилем

Изменения в версии 8.4 В связи с изменением версии протокола требуется обновление, если используются: fastradius и если установлены на отдельных от fastdpi серверах: fastpcrf,fdpi_ctrl,fdpi_cli до версии 8.4

1. Добавлены сигнатуры протоколов HolaVPN,Google Video,KeepSolidVPN,Telegram Voice,WhatsApp Voice,MetaTrader,Nicehash,VIBER_VSTREAMS,TELEGRAM_TLS,CHAMELEON,OPENVPN_UDP,SPIRENT,RSS,FACEBOOK,FACEBOOK_TRACK,FACEBOOK_VIDEO,FACEBOOK_APPS, FACEBOOK_CHAT
2. Добавлена поддержка QUIC версии 46
3. [BRAS PPPoE] В ответе PPP-авторизации теперь поддерживается задание IPv4 и IPv6-адресов и всех атрибутов. Ранее для выдачи IPv6-адресов посылался отдельный запрос авторизации.
4. [BRAS PPPoE] Все ошибки в PPPoE-пакетах переведены в разряд TRACE, что значительно снижает нагрузку на запись fastdpi_slave-логов (интенсивная запись могла привести к блокировке рабочих потоков на вводе/выводе). Счетчики ошибок выводятся в CLI-команде pppoe show stat
5. [BRAS] Добавлена поддержка радиус атрибутов Framed-Route и Framed-IPv6-Route, а также CLI-команды управления framed route
6. [BRAS] Добавлены VSA-атрибуты для DHCPv6
7. [BRAS DHCP Radius Proxy] Добавлена возможность явно задавать адрес DHCP-сервера, от имени которого посылается DHCP-ответ абоненту, - с помощью DHCP opt54
8. [BRAS DHCPv6] Теперь абоненту посылаются все выданные Радиусом DHCPv6-опции, а не только те, которые абонент запрашивает в DHCPv6-запросе
9. [BRAS L3 auth] В Радиус-запросы авторизации добавлен атрибут Calling-Station-Id с MAC-адресом источника пакета. Это может быть полезно для L2-провайдеров для анализа непонятных запросов.
10. [PCRF] Добавлена поддержка DHCP-пулов - атрибуты Framed-IP-Pool и Framed-IPv6-Pool
11. [BRAS PPPoE] Добавлена CLI-команда pppoe renew pool принудительной отправки DHCP Renew для адресов, распределенных из пула
12. [PCRF] Добавлен параметр radius_framed_ip_from_request, который позволяет обойти ограничение некоторых биллинговых систем при L3 авторизации
13. [PCRF] Добавлены параметры, ограничивающие размер очереди запросов авторизации, а также CLI-команды управления этой очередью
14. [PCRF] Добавлены CLI-команды управления персистентными очередями
15. [PCRF] В L3 авторизации теперь можно использовать MAC в качестве User-Name, см. параметр radius_user_name_auth
16. [PCRF] Рефакторинг аккаунтинга для поддержки агрегированных счетчиков. Это актуально для dual stack PPPoE, когда одним запросом авторизации абоненту назначаются IPv4 и IPv6-адреса и PD-префикс. Трафик по все трем адресам передается в одной аккаунтинг сессии. Также это актуально для Framed-Route - трафик всей подсети попадает в аккаунтинг-сессию шлюза подсети.
17. [PCRF] В accounting interim update добавлен атрибут Acct-Session-Time - длительность сессии в секундах
18. [CLI] Добавлена возможность вывода ответов утилиты CLI в формате JSON (новые флаги --json, --strict)
19. [CLI] Добавлены команды управления статусом авторизации subs auth
20. [CLI] Добавлены команды просмотра raw-данных аккаунтинга pcrf acct raw show
21. [CLI] Опция -r <address> теперь не является обязательной для CLI, - по умолчанию запросы посылаются на 127.0.0.1
22. [CLI] Добавлены команды вывода дампа flow : dump flow cache - для ipv4, dump flow6 cache - для ipv6
23. В текстовый формат сохранения данных для url и ssl добавлена возвожность сохранения портов source и destination
24. Добавлено : fdpi_ctrl - можно получить статисику по протоколам DPI - fdpi_ctrl stat --proto
25. Добавлено : fdpi_ctrl - можно получить статисику по использованию flow - fdpi_ctrl stat --flow
26. Добавлен вывод сырых (нераспарсенных) данных из управляющих каналов для протоколов SIP,FTP,SMTP,POP3,IMAP,XMPP,ICQ,RSS,NNTP,H323,ZELLO
27. Исправлено: услуга 12 (запись в PCAP) сохраняет серый адрес
28. Исправлено : ошибка переполения времени netflow/ipfix для full flow
29. Исправлено : ошибка определения sni для quic в случае 'short' заголовка
30. Исправлено: проблема в NAT связанное с освобождением ресурсов при работе ALG с некоторыми GRE/PPTP тоннелями

Изменения в версии 8.5

1. Исправления: ToDo
2. Обновлен сертификат доступа ТП
3. Изменено: запись core производится в сжатом виде

Проверить текущую установленную версию можно командой

yum info fastdpi

Инструкция по обновлению

Откат на 8.3.2:

yum downgrade fastdpi-8.3-2 fastpcrf-8.3-2

После обновления или смены версии требуется рестарт сервиса:

service fastdpi restart

Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике grub загрузку прежней версии ядра (в файле /etc/grub.conf установите параметр default=1).

Посмотреть, что было нового в предыдущей версии.