8.0 Brugge¹⁾

Не проводите обновления ядра Linux. В новых версиях может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике GRUB загрузку прежней версии ядра (в файле /etc/grub.conf установите параметр default=1).

1. Добавлена поддержка IPv6 в Subscriber Management: управление полисингом и услугами.
2. Добавлено распознавание и экспорт метаданных протокола Zello.
3. Добавлен вывод результата управляющих команд в формате JSON.
4. Добавлена возможность задания параметров полисинга в формате JSON.
5. Добавлена 12 услуга — запись абонентского трафика в PCAP.

1. Улучшения в поддержке IPv6.
2. Исправления и улучшения в работе CGNAT и NAT 1:1.
3. Улучшена совместимость с различным оборудованием в режиме терминации PPPoE (L2 BRAS).
4. Повышена стабильность работы в режиме мультикластера.
5. Добавлена приоритезация асинхронных задач для улучшения совместной работы BRAS и съемника СОРМ.

1. Исправлен подсчет ссылок на профили, что позволяет удалить неиспользуемые профили.
2. Исправлено назначение NAT на абонента с множеством адресов, включающем белые адреса.

Перед обновлением проверьте присутствие настройки udr=1 в конфигурационном файле /etc/dpi/fastdpi.conf

1. Добавлена полная поддержка IPv6 в L3 и L2 BRAS, интеграция с DHCP/Radius/Billing, делегирование IPv6 префиксов на CPE.
2. Добавлено детектирование протоколов WhatsApp, Viber, OpenVPN.
3. Добавлена услуга 13 — мини Firewall для защиты абонентов с белыми адресами.
4. Добавлена блокировка UDP трафика по черным спискам.
5. Добавлен экспорт в IPFIX/Netflow QOE метрик: RTT, количество ретрансмиссий.
6. Добавлен экспорт Cipher Suite в метаданных СОРМ для SSL/HTTPS.
7. Добавлена авторизация по ARP запросу.
8. Добавлен экспорт биллинговых данных по протоколу IPFIX.
9. Улучшена совместимость Radius Accounting сессий с различными биллингами.
10. Улучшено I NAT портов.
11. Устранена утечка в запросе --bind.
12. Удален знак '=' в json тегах ip и login.

В связи с изменением версии протокола требуется обновление версии fastradius до 8.1.2.

1. Максимальный размер login(user-name) увеличен до 96 байт.
2. Исправлена ошибка в работе услуги мини Фаервол.
3. Исправлена установка Session-Timeout при получении CoA: если он не задан, то значение берется из конфигурационного параметра.

1. Исправлены определения автономной системы для IPv6 адресов.
2. Добавлена утилита ascheckip.
3. Добавлена настройка enable_auth_ipv6=0, чтобы отключить авторизацию IPv6 адресов для случая, когда radius/биллинг их не поддерживают.
4. Исправлен порядок вызова авторизации абонентов.

В связи с изменением версии протокола требуется обновление версии fastradius до 8.1.5.

1. Исправлена работа HTTP редиректа при PPPoE терминации.
2. Добавлено экранирование ряда символов в json и fdpi_ctrl (для их использования в login и именах профилей).

В связи с изменением версии протокола требуется обновление версии fastradius до 8.2.

1. Исправления в работе CG-NAT: улучшено переиспользование сессий, добавлен транзит фрагметированного ICMP.
2. Исправления в L2 BRAS по результатам внедрений.
3. Исправлена передача 32-битных AS в IPFIX.
4. Добавлен вывод статистики для IPFIX/Netflow.
5. Добавлена команда проверки сессии с помощью CoA.
6. Улучшена поддержка CKAT-200.
7. Добавлен вывод сообщений alert лога при запуске/останове DPI из консоли (его можно отключить командой touch /etc/dpi/nocolor).

В связи с изменением версии протокола требуется обновление fastradius и установленных на отдельных серверах fastpcrf, fdpi_ctrl до версии 8.3.1.

1. Добавлена репликация БД UDR для использования в схемах резервирования DPI/PCRF.
2. Добавлена поддержка интерфейса CLI.
3. Добавлены сигнатуры протоколов Telegram, Viber, WhatsApp, VyprVPN c технологией Хамелеон (входит в OpenVPN).
4. Добавлено восстановление/backup встроенной БД UDR в формат команд fdpi_ctrl.
5. Добавлены команды просмотра статистики по утилизации адресов из NAT пула и внешних адресов абонентов.
6. Добавлена возможность указать или добавить несколько подсетей через запятую при задании профиля NAT: пример формата '1.2.3.0/24,5.6.7.0/24'.
7. Добавлена возможность учитывать только адреса хостов по соглашениям бесклассовой адресации в диапазонах подсетей IPv4 и при задании параметров cidr: пример формата '1.2.3.0/30~'.
8. Добавлено в BRAS auth: возможность указать в Радиус-ответе, что этот ответ нужно молча игнорировать. Значение атрибута VasExperts-Restrict-User=255 — игнорировать ответ Радиуса.
9. Исправлено в BRAS L3 auth: если абоненту был сопоставлен какой-либо профиль полисинга, а в ответе авторизации полисинг не указан, существующий профиль не отвязывался от клиента, что не позволяло через авторизацию удалить полисинг у абонента.
10. Исправлено в BRAS DHCP: распознание старого протокола BOOTP. BRAS не работает с BOOTP, но отправка некоторыми CPE BOOTP-пакета приводила к тому, что последующие DHCP-пакеты от данного абонента не распознавались и не перехватывались.
11. Добавлено в BRAS DHCP: «кривые» DHCP-пакеты теперь записываются в pcap при выставленном параметре ajb_save_invlen.
12. Улучшено в BRAS DHCP: при включенном режиме контроля вторичных ключей в случае изменения ключа (Opt82 или QinQ) абонента его DHCP Request посылается на Радиус, а не применяется кешированный ответ.
13. Изменено в BRAS DHCPv6: уникальным ключом абонента теперь выступает MAC-адрес абонента вместо Client DUID. Связано это с тем, что некоторые домашние роутеры весьма вольготно обращаются с DUID и могут изменить его в любой момент несмотря на то, что согласно RFC Client DUID является неизменяемой опцией.
14. Добавлено в BRAS DHCPv6: периодическая отправка ICMPv6 RA вместе с DHCPv6-ответом.
15. Добавлено в BRAS DHCPv6: периодическая отправка Unsolicited RA.
16. Добавлено в BRAS DHCPv6: fastdpi.conf-параметр bras_dhcp6_nak_lifetime - время жизни Reject-ответа Радиуса.
17. Исправлено в BRAS PPPoE: редко проявляющаяся, но критическая ошибка, приводящая к нарушению работы системы и связанная с неполным контролем длины пакета, указанной в PPPoE/PPP-заголовках, и фактической длины принятого пакета (битый или специально сформированный некорректный пакет).
18. Исправлено в BRAS PPPoE: при старте fastDPI и восстановлении PPPoE-сессий не стартовал аккаунтинг.
19. Добавлено в BRAS PPPoE: возможность запретить восстановление PPPoE-сессий при рестарте СКАТ, см. Восстановление PPPoE-сессий при рестарте СКАТ.
20. Добавлено в BRAS PPPoE: контроль дублирования выданного IP-адреса при создании сессии. Если уже существует активная PPPoE-сессия другого абонента с таким IP-адресом, она закрывается.
21. Исправлено в BRAS ARP: в режиме term by AS BRAS пропускает ARP Reply для не-term AS (было: запросы пропускал, а ответы - нет).
22. Исправлено в BRAS ARP: проверка истечения времени сессии не должна относиться к ARP-авторизации, иначе по истечении времени дропнутся все входящие из inet пакеты, что не даст реавторизоваться ARP-абоненту, так как без пинка извне абоненту в принципе незачем посылать ARP к своему шлюзу.
23. Улучшено в BRAS CoA: CoA-Request изменяет статус авторизации только при явном указании, что абонент неавторизован (при наличии атрибута VasExperts-Restrict-User=1). Сам CoA-Request не приводит к тому, что статус авторизации абонента становится «авторизован» (ранее абонент ошибочно становился авторизованным).
24. Изменено в BRAS CoA: в связи с внедрением мульти-сессий логика работы команды проверки acct-сессии изменена для случая «один fastPCRF → несколько fastDPI».
25. Улучшено в BRAS Accounting: в связи с поддержкой мульти-сессий аккаунтинг существенно переделан, NAS-атрибуты стали более значимыми: если раньше они фактически идентифицировали fastpcrf-сервер, то теперь - fastDPI-сервера; это существенно в режиме «один fastPCRF - несколько fastDPI».
26. Добавлено в BRAS Accounting: возможность исключить некоторые классы из radius accounting: fastpcrf.conf-параметры acct_disable_traffic_class и acct_include_traffic_class, подробнее см. здесь.
27. Добавлено в BRAS Accounting: параметр acct_swap_dir - изменение направления трафика.
28. Добавлено в BRAS Accounting: в Радиус-запросы Acct-Request добавлен атрибут Event-Timestamp (текущее время).
29. Улучшено в BRAS Accounting: при старте/стопе fastDPI теперь посылает на fastPCRF специальное сообщение, по которому все активные accounting-сессии от данного fastDPI закрываются (Accounting Stop).
30. Добавлено в fastpcrf: более полная поддержка работы множества fastdpi с одним сервером fastpcrf: fastpcrf теперь может связываться с fastdpi-серверами, находящимися на разных интерфейсах, добавлен параметр fdpi_server вместо прежнего fdpi_server_list, параметр auth_server_dev объявлен устаревшим: вместо fdpi_server_list и auth_server_dev следует описывать fastdpi-сервера параметрами fdpi_server.
31. Изменено в fastpcrf: принцип формирования Радиус-атрибутов NAS-IP-Address и NAS-Identifier: теперь эти атрибуты берутся из настройки fdpi_server, то есть фактически идентифицируют fastDPI-сервер, с которого принят запрос авторизации. Параметры radius_attr_nas_ip_address и radius_attr_nas_id объявлены устаревшими и используются только в конфигурациях «один fastdpi- один fastpcrf». Если у вас fastpcrf-сервер связан с несколькими fastDPI, советуем сделать ревизию настроек fastpcrf.conf и биллинга.
32. Измненено в fastpcrf: в связи с внедрением персистентных очередей внутренний протокол обмена fastpcrf ↔ fastdpi полностью переработан для обеспечения расширяемости с сохранением обратной совместимости, так как в очереди могут быть данные предыдущих версий.
33. Изменено в fastpcrf: Атрибут CUI учитывается в CoA Request только если в fastpcrf.conf указано radius_attr_cui=1 (приведение обработки Access-Request и CoA к единому стилю).
34. Добавлена поддержка до 5 вложенных меток MPLS в сервисах блокировки, нотификации и других услугах.
35. Увеличен буфер исходящих соединений, это сгладит пики и уменьшит вероятность потерь при доставке IPFIX/Netflow.
36. Прочие исправления по результатам бета-тестирования.

1. Исправлено удаление услуги 4 (черный список) с профилем.

В связи с изменением версии протокола требуется обновление, если используются: fastradius и если установлены на отдельных от fastdpi серверах: fastpcrf,fdpi_ctrl,fdpi_cli до версии 8.4.

1. Добавлены сигнатуры протоколов HolaVPN, Google Video, KeepSolidVPN, Telegram Voice, WhatsApp Voice, MetaTrader, Nicehash, VIBER_VSTREAMS, TELEGRAM_TLS, CHAMELEON, OPENVPN_UDP, SPIRENT, RSS, FACEBOOK, FACEBOOK_TRACK, FACEBOOK_VIDEO, FACEBOOK_APPS, FACEBOOK_CHAT.
2. Добавлена поддержка QUIC версии 46.
3. [BRAS PPPoE] В ответе PPP-авторизации теперь поддерживается задание IPv4 и IPv6-адресов и всех атрибутов. Ранее для выдачи IPv6-адресов посылался отдельный запрос авторизации.
4. [BRAS PPPoE] Все ошибки в PPPoE-пакетах переведены в разряд TRACE, что значительно снижает нагрузку на запись fastdpi_slave-логов (интенсивная запись могла привести к блокировке рабочих потоков на вводе/выводе). Счетчики ошибок выводятся в CLI-команде pppoe show stat.
5. [BRAS] Добавлена поддержка радиус атрибутов Framed-Route и Framed-IPv6-Route, а также CLI-команды управления framed route.
6. [BRAS] Добавлены VSA-атрибуты для DHCPv6.
7. [BRAS DHCP Radius Proxy] Добавлена возможность явно задавать адрес DHCP-сервера, от имени которого посылается DHCP-ответ абоненту, - с помощью DHCP opt54.
8. [BRAS DHCPv6] Теперь абоненту посылаются все выданные Радиусом DHCPv6-опции, а не только те, которые абонент запрашивает в DHCPv6-запросе.
9. [BRAS L3 auth] В Радиус-запросы авторизации добавлен атрибут Calling-Station-Id с MAC-адресом источника пакета. Это может быть полезно для L2-провайдеров для анализа непонятных запросов.
10. [PCRF] Добавлена поддержка DHCP-пулов - атрибуты Framed-IP-Pool и Framed-IPv6-Pool.
11. [BRAS PPPoE] Добавлена CLI-команда pppoe renew pool принудительной отправки DHCP Renew для адресов, распределенных из пула.
12. [PCRF] Добавлен параметр radius_framed_ip_from_request, который позволяет обойти ограничение некоторых биллинговых систем при L3 авторизации.
13. [PCRF] Добавлены параметры, ограничивающие размер очереди запросов авторизации, а также CLI-команды управления этой очередью.
14. [PCRF] Добавлены CLI-команды управления персистентными очередями.
15. [PCRF] В L3 авторизации теперь можно использовать MAC в качестве User-Name, см. параметр radius_user_name_auth.
16. [PCRF] Рефакторинг аккаунтинга для поддержки агрегированных счетчиков. Это актуально для dual stack PPPoE, когда одним запросом авторизации абоненту назначаются IPv4 и IPv6-адреса и PD-префикс. Трафик по все трем адресам передается в одной аккаунтинг сессии. Также это актуально для Framed-Route - трафик всей подсети попадает в аккаунтинг-сессию шлюза подсети.
17. [PCRF] В accounting interim update добавлен атрибут Acct-Session-Time - длительность сессии в секундах.
18. [CLI] Добавлена возможность вывода ответов утилиты CLI в формате JSON (новые флаги --json, --strict).
19. [CLI] Добавлены команды управления статусом авторизации subs auth.
20. [CLI] Добавлены команды просмотра raw-данных аккаунтинга pcrf acct raw show.
21. [CLI] Опция -r <address> теперь не является обязательной для CLI, - по умолчанию запросы посылаются на 127.0.0.1.
22. [CLI] Добавлены команды вывода дампа flow : dump flow cache - для ipv4, dump flow6 cache - для ipv6.
23. В текстовый формат сохранения данных для url и ssl добавлена возвожность сохранения портов source и destination.
24. Добавлено: fdpi_ctrl - можно получить статисику по протоколам DPI - fdpi_ctrl stat --proto.
25. Добавлено: fdpi_ctrl - можно получить статисику по использованию flow - fdpi_ctrl stat --flow.
26. Добавлен вывод сырых (нераспарсенных) данных из управляющих каналов для протоколов SIP,FTP,SMTP,POP3,IMAP,XMPP,ICQ,RSS,NNTP,H323,ZELLO.
27. Исправлено: услуга 12 (запись в PCAP) сохраняет серый адрес.
28. Исправлено: ошибка переполения времени Netflow/IPFIX для full flow.
29. Исправлено: ошибка определения sni для quic в случае 'short' заголовка.
30. Исправлено: проблема в NAT связанное с освобождением ресурсов при работе ALG с некоторыми GRE/PPTP тоннелями.

1. [PCRF][IPFIX] Добавлен булевый .conf-параметр ipfix_disable_interim_update: =1 - не посылать Interim Update в IPFIX, default=0 (посылать).
2. [BRAS] Изменение схемы взаимодействия fastdpi → fastpcrf: обязательные запросы в случае ошибки отправки помещаются в pending queue. Размер pending queue регулируется новыми fastdpi.conf-параметрами.
3. [CLI] Изменен вывод относительного времени: вместо кол-ва секунд выводится число часов, минут, секунд (формат hh:mm:ss.sss).
4. [PCRF] Добавление default reject policy/ default reject whitelist в DHCP/DHCPv6-авторизацию, если присутствует атрибут VasExperts-Restrict-User=1.
5. [PCRF] Добавлен conf-параметр radius_add_all_nas_ids, разрешающий добавлять в запрос оба атрибута NAS-IP-Address и NAS-Identifier.
6. [BRAS][PPPoE] Изменено: accounting start теперь посылается при успешном согласовании IPCP протокола. Acct-Stop посылается при ICMP/LCP Term-Req или по PADT. Ранее AcctStart посылался сразу после успешной авторизации, что могло привести к бесконечной acct-сессии, если абонент не согласовал IPCP-параметры.
7. [PCRF] Добавлен атрибут Event-Timestamp в Acct-Start.
8. Изменено : формат вывода команды fdpi_ctrl list all status –service 11 добавлена статистика по вызову функций для ip.
9. Добавлено : в full ipfix номер канала. Если vchannels_type == 0 в качестве канала используется номер моста (индексация с 1), иначе номер вирутального канала, который задается параметром vchannels_list. В этом случае значение 0 соответствует значению канала по умолчанию. id атрибута const int brg_ipfix_channel = 2016 (iana=43823).
10. [BRAS][PPPoE] Исправлено: при local interconnect по AS типа local+term → local (замыкание по dev) не удалялись PPP-заголовки пакета.
11. [PCRF][IPFIX] Исправлено: Interim-Update выгружались в IPFIX как Stop.
12. [PCRF] Исправлено: некорректная дата в IPFIX Acct Stop.
13. [PCRF] Исправлено: добавление атрибутов NAS-IP-Address/NAS-Identifier в Радиус-запросы в случае единственного fastdpi.
14. [PCRF][ACCT] Исправлено: контроль входа в состояние idle и выхода из него.
15. [BRAS] Исправлено: при отключении услуги 9 (bill stat) теперь сначала посылается Acct-Stop по IP с текущими значениями счетчиков, и только затем услуга отключается и освобождается слот в bill stat storage.
16. [PCRF] Исправлено: время при передаче аккаунтинга в IPFIX [L3 auth] MAC-адрес передается теперь только если абонент является L2-бонентом (проверка по БД ip_prop).
17. [PCRF][ACCT] Исправлено: выход acct из состояния idle при возобновлении трафика абонента [ctl] Fixed: учет параметра ipv6 при выполнении ctrl/cli команд с IPv6-адресами.
18. [PCRF][DHCP] Исправлено: если задана opt51 (lease time), но нет Session-Timeout, то Session-Timeout полагается равным lease time.
19. Исправлено : синхронизация времени записи в pcap и IPFIX.
20. Обновлен сертификат доступа ТП.
21. Изменено: запись core производится в сжатом виде.