Если у вас установлена версия CentOS 6.x или CentOS 8.x, то однократно переключите репозиторий командой:

sed -i -e '/^mirrorlist=http:\/\//d' -e 's/^# *baseurl=http:\/\/mirror.centos.org/baseurl=http:\/\/vault.centos.org/' /etc/yum.repos.d/CentOS-*.repo

и далее производите обновления командой:

yum update fastdpi

После обновления выполните рестарт DPI:

service fastdpi restart

и других зависимых процессов (PCRF/Radius), но только если они реально используются и их конфигурация валидна:

service fastpcrf restart
service fdpi_radius restart

При необходимости можно обновить компоненты операционной системы. Не проводите обновление версии ядра и зависимых от него утилит!
Для CentOS 6.x:

yum --exclude=kernel*,util-linux-ng,libuuid,libblkid update

Для CentOS 8.x:

yum update

Пользователям, эксплуатирующим DPI на виртуальных машинах, старых процессорах (2009 года выпуска) и старых процессорах AMD (до Ryzen):
Выполните перед обновлением команду:

touch /etc/dpi/noprioadj

и процесс DPI будет запускаться с обычным (не realtime) приоритетом, что существенно снизит потребление системных (sys) ресурсов CPU, но немного увеличит latency на платформе.

13.0 Congo ¹⁾

Проверить текущую установленную версию можно командой:

yum info fastdpi

Откат на 12.4:

yum downgrade fastdpi-12.4-0 fastpcrf-12.4-0

После обновления или смены версии требуется рестарт сервиса:

service fastdpi restart

Если используются PCRF и/или Radius, их тоже надо рестартовать. Для рестарта PCRF предпочтителен следующий порядок:

service fastdpi stop
service fastpcrf restart
service fastdpi start

Не проводите обновления ядра Linux. В новых версиях ядра может быть нарушена бинарная совместимость с Kernel ABI и сетевой драйвер после обновления не загрузится. Если вы все-таки произвели обновление, то на время решения проблемы настройте в загрузчике GRUB загрузку прежней версии ядра: в файле /etc/grub.conf установите параметр default=1.

Если при обновлении появляется сообщение, что обновление не найдено или возникают проблемы с зависимостями, то перед обновлением выполните команду:

yum clean all

1. [LAG] Поддержка LACP. Описание
2. В описании LAG должны быть указаны только базовые девайсы для On-Stick. Смешение On-Stick и обычных девайсов в одном LAG не допускается. Описание
3. [LAG] Применение балансировки к исходящему трафику LAG. Описание
   Тип применяемого алгоритма балансировки задается параметром lag.balance_algo. Допустимые значения:
   • 0 — балансировка по внутреннему session_id (это балансировка по умолчанию). В качестве хеша берется session_id
   • 1 — без балансировки — пакет будет отправлен в парный порт моста
   • 2 — хеш от flow key <srcIP, dstIP, srcPort, dstPort, proto>. Если flow нет — балансируем по session_id
     
     Дополнительные параметры конфигурации хеша в секции lag: hash_seed, hash_offset, hash_bits
     Сколько значащих бит берем из 64-битного хеша при балансировке. Алгоритм балансировки в общем случае выглядит так:
   • вычисляем 64-битный хеш от тех или иных полей пакета и hash_seed;
   • из 64-битного хеша берем hash_bits бит, начиная с hash_offset бита;
   • по получившемуся числу N определяем номер порта в LAG: port := N mod LAG_active_port_count, т.е.

     port := ((hash(packet, hash_seed) >> hash_offset) & (2^hash_bits - 1)) mod LAG_active_port_count

     Пример:

     //       +------------------------------------------------+
     // hash: |                                XXXXXXXXXX------|
     //       +------------------------------------------------+
     //                                        ^         ^
     //                                        |         hash_offset = 6
     //                                        hash_bits = 10
     hash_seed=0
     hash_offset=0
     hash_bits=64

4. [LAG] Добавлена трассировка балансировки трафика. Описание
5. [DPDK] Переход на DPDK 23.11
6. Изменено: для QUIC и QUIC_IETF: если не определили SNI — проверяем по AS
7. Изменено: при анализе STUN проверяется AS от Facebook — определяем FACEBOOK_VIDEO, а не WHATSAPP_VOICE
8. [DPDK][rss-engine] Задание RSS hash флагов для UDP и TCP
9. Изменено: определение протокола openvpn
10. [BRAS][DHCP] Добавлено: учет DHCP-пакетов от абонента в биллинговой статистике: абонентский CPE (то есть Wi-Fi роутер) без клиентов (например, ночью) — посылает только запросы на продление лицензии. Так как эти запросы перехватывались BRAS и не включались в аккаунтинг, происходило завершение сессии по idle timeout
11. [BRAS][DHCP] Исправлено: действия при изменении QinQ/VLAN у абонента
12. [DHCP] Исправлено: framed-pool renew
    В некоторых случаях формировались некорректные DHCP-ответы. Добавлена трассировка в лог DHCP-пакетов для framed-pool renew
13. [DHCPv6] Исправлено: прием пакетов от relay. Ранее проверялось, что relay находится в сети fc::/7. Теперь эта проверка излишняя и удалена, — у relay может быть любой адрес.
14. [PPPoE] Исправлено: разбор DHCPv6-опций от Радиуса
15. Исправлено: обработка SIGHUP только если fastDPI полностью инициализирован. Возможно падение, если в процессе запуска fastDPI приходит SIGHUP
16. [AJB][PCAP] Запись trace/debug пакетов переведена на новый API
17. Добавлено: поддержка протокола wechat для UDP
18. [DPI] Поддержка дополнительной разметки автономных систем mark1, mark2, mark3. Описание

    vi test.txt
    209446 mark1
    cat test.txt|as2dscp /etc/dpi/asnum.dscp

19. [DPI] Приоритет определения по SNI в кастомных сигнатурах для автономных систем, помеченных как mark1. Описание
20. [DPI] Приоритет более специфичных кастомных SNI сигнатур.
    Пример: для хоста a.b.c.d при наличии сигнатур *.d, *.c.d и *.b.c.d будет выбран протокол, определенный сигнатурой *.b.c.d работает только для сигнатур с *. Описание
21. [DPI] Поддержка жестких блокировок (несмотря на имя хоста/SNI) — задается в дополнительном поле в черном списке адресов, пример: 1.1.1.1 443 hard
22. Улучшено детектирование YOUTUBE, SIGNAL
23. Добавлен протокол DPITUNNEL, в который включены аномалии трафика, обычно применяемые для обхода DPI
24. Обновление dpiutils
25. [DPI] Новые протоколы VK_CDN_VIDEO, META_CHAT
26. [DPI] Улучшение сигнатур протоколов FACEBOOK_VIDEO, META_CALLS
27. [DPI] Исправлено имя протокола VK_CDN_VIDEO
28. [DPI] Исправлено: декодирование SNI в QUIC IETF и возможность образования корки в исключительных случаях
29. [DPI] Исправлено: очистка структур поиска при удалении CUSTOM протоколов
30. [utils] Добавлена возможность добавлять комментарии (#) и пустые линии во входных файлах для утилит lst2dscp, lst2tbf
31. [DPI] Добавлены протоколы QUIC_UNKNOWN - QUIC без SNI и QUIC_UNKNOWN_MARKED - QUIC без SNI и AS с пометкой MARK2. Описание
32. [DPI] Исправлено: определение хар-к stun для TCP
33. [DPI] Изменено: если достигли ограничения просмотра пакетов stun - устанавливаем этот протокол с учетом AS
34. [DPIutils] Обновлены утилиты для поддержки новых протоколов
35. [Router] Распределение mempool для emit-пакетов: не допускаем полного исчерпания пула, в пуле должно быть не менее 256 свободных элементов
36. [Router] Ошибка удаления маршрута errno=3 (No record found) переведена в разряд TRACE, чтобы не засоряла лог
37. Добавлен режим L2 балансировщика трафика. Данная доработка позволяет использовать СКАТ как балансировщик трафика на основе IP-адресов, принадлежащих AS и определяемой как local в asnum.dscp. В данном режиме функциональность DPI не работает. Для балансировки трафика используется maglev алгоритм с фиксированным размером hash таблицы: определение выходного интерфейса по следующему алгоритму:
    1 — если src и dst ip оба local, то рассчитывается hash на основании этих двух адресов;
    2 — если только src ip local, то рассчитывается hash на основании src ip;
    3 — если только dst ip local, то рассчитывается hash на основании dst ip;
    4 — рассчитывается hash на основе src и dst ip.
    На основании рассчитанного hash значения производится определение выходного интерфейса путем определения индекса ячейки hash таблицы, содержащей индекс интерфейса из массива выходных интерфейсов. Значение из массива выходных интерфейсов подставляется в текущий контекст и возвращается pcs_accept.
    
    Для корректной работы требуются следующие настройки:
    • Определение автономной системы с IP адресами, которые используются абонентами. Описание
    • Отметка заданной автономной системы как local. Описание
    • Определение входных и выходных интерфейсов в конфигурационном файле. Входные интерфейсы задаются в параметре in_dev, а выходные интерфейсы в out_dev. Интерфейсы не образуют пары и допускаются конструции вида:

      in_dev=05-00.0:05-00.1:05-00.2:05-00.3:0b-00.0:0b-00.1:0b-00.2:0b-00.3
      out_dev=08-00.0:08-00.1:08-00.2:08-00.3

      Или

      in_dev=05-00.0
      out_dev=out_dev=08-00.0:08-00.1:08-00.2:08-00.3

    • Включить режим баласировки СОРМ: enable_l2_lb=true
      
      Вводимые параметры:
      enable_l2_lb=false|true - включить балансировщик трафика для СОРМ
      lb_hash_out_dev_type = 0|1 - по какому значению выполнять инициализацию hash таблицы:
      0 — использовать внутренний индекс выходного интерфейса
      1 — использовать имя интерфейса из [in|out]_dev
      
      В качестве dpdk_engine могут использоваться следующие типы: 0 (по умолчанию), 1 и 2.
38. [DPI] Улучшения в протоколах QUIC_UNKNOWN, QUIC_UNKNOWN_MARKED, SIGNAL, DpiTunnel
39. [DPI] Определения встроенных протоколов по SNI/HOST вынесены в облако, поддерживается приоритет SNI/IP
40. [Router] Исправлен порядок завершения компонентов роутера
41. [LAG] Увеличение max числа портов в LAG
42. [SDS] Значение storage_tag устанавливается на основании приоритета по направлению или приоритета по протоколу
43. [CLI] Добавлена команда subs prop show active. Команда выводит дамп L2-свойств всех активных (не-expired) абонентов.
44. [CLI] Изменено: запрет вызова CLI-команд в процессе остановки
45. [Router] Изменено: system error при очистке route tables. Очистка route tables (удаление всех записей, добавленных СКАТ) производится при стопе и старте fastDPI. В процессе очистки может возникнуть ошибка EBUSY, которая является фатальной для netlink-сокета, сокет должен быть закрыт.
46. [DPI] Изменено: сравнение SNI производится без учета регистра
47. [DPI] Добавлена сигнатура протокола LANTERN_WEAK
48. [DPI] Улучшено распознавание протокола IMAP
49. [DPI] Исправление в LPM при выборе канала по IP/CIDR
50. [PPPoE] Исправлено: idle-timeout для сессии. Для PPPoE-сессий idle timeout должен браться из настройки bras_ppp_idle_timeout, если не задан явно в ответе авторизации (атрибут Idle-Timeout).
51. [Router] Исправлено: TAP link down in LAG. Если порт входит в лаг, то TAP этого порта в состояние Link down нужно производить только тогда, когда ВСЕ порты LAG в down.
52. Добавлена приоритетная переадресация с переводом DSCP

    в /etc/dpi/fastdpi.conf
    не совместимо set_packet_priority (set_packet_priority приоритетнее)
    forward_packet_priority=число
    число=битовая маска
    в какую сторону 
    1 конверсия применяется для исходящего трафика (subs->inet)
    2 конверсия применяется для исходящего трафика (inet->subs)
    между чем и чем
    4 конверсия vlan<->ip
    8 конверсия ip<->ip
    
    Если файл с преобразованием не задан (нет файла /etc/dpi/dscpfrw.bin),
    то конверсия vlan<->ip осуществляется без преобразования, те тот приоритет что был в заголовке (3 бита),
    переносится как есть в другой заголовок (ip или vlan)
    Если файл с преобразованием задан, то производится конверсия приоритета по заданным в нем правилам.2
    
    Задание файла конвертации приоритетов:
    vi test.txt
    in cs0 cs1
    in cs1 cs2
    in cs2 keep
    in default cs3
    out default keep
    out 0x1 0x2
    out 0x2 0x3
    out cs0 0x3F
    
    cat test.txt|forw2dscp test.bin 
    cp test.bin /etc/dpi/dscpfrw.bin

53. [PCRF] Исправлено: добавление лишней опции 61 (Client-Id) в ответ fastDPI при распределении адреса из Framed-Pool
54. [PCRF] Исправлено: вывод в лог IP-адресов DHCP-серверов
55. [PCRF] Исправлено: включение услуг с профилями. Атрибут `VasExperts-Service-Profile` (имя профиля услуги, неявно включает услугу) имеет больший приоритет, чем `VasExperts-Enable-Service` (включение/выключение услуги без задания профиля).
56. Добавлено: в формат записи в текстовый файл DNS - формат vchnl - номер виртуального канала.
57. Добавлено: в шаблон IPFIX передачи данных для DNS номер канала
58. Исправлено: перехват LACP в режиме on-stick
59. [CLI] Добавлена команда ping inet от имени абонентов через всю цепочку обработку BRAS/NAT/ROUTER. Подсказка - fdpi_cli ping inet ?
60. Исправлено: падение при трейсе DNS
61. [fastRadius] Добавлена возможность работы со стандартными интерфейсами linux с помощью libpcap
62. Улучшено определение протокола VIBER_VSTREAMS
63. [Router] Исправлено: контроль за исчерпанием selfgen mempool
64. [Router] Оптимизация вычитывания данных с TAP
65. [ctl] Исправлено: в процессе остановки fastDPI не принимаем и не обрабатываем никакие запросы по ctl
66. Добавлена утилита checknat для проверки распределения белых адресов
67. [DPI] Добавлен протокол SSTP (49296)
68. [L3 BRAS] Исправлено: вызов деанонса IP-адреса абонента при acct idle. В опцию роутера router_subs_announce добавлен новый флаг: 0x10000 - деанонсировать L3-абонента при наступлении acct idle (закрытие acct-сесси по idle timeout)
69. [PCRF] Добавлена поддержка задания профиля услуги 18 при авторизации. Включение услуги 18 в ответе Радиуса Access-Accept задается обычным для услуги с обязательным профилем образом (здесь serv18 - имя профиля):

    VasExperts-Service-Profile = "18:serv18"

70. [CLI] В команду subs prop show добавлен поиск по MAC и subs_id. Результат поиска по MAC или subs_id может быть многозначным, - несколько разных записей для одного того же MAC/subs_id. Результат команды subs prop show active изменен, что может быть критично при разборе json-выхлопа команды. Описание
71. [Router] Исправлено LAG+On-stick: перевод TAP в состояние link down. TAP переводится в link down только тогда, когда все порты в LAG в состоянии down. Если же есть хотя бы один порт в состоянии Up - TAP должен находится в состоянии Link Up.
72. [DPDK][CLI] Исправлено: установка флага link up/down для портов, не поддерживающих link up/down прерывания (например, af_packet)
73. [Router] Исправлено: отведение трафика в роутере для on-stick девайса в LAG. При формировании топологии VRF не учитывалось, что в LAG входит базовый (физический) девайс, а при описании роутера указывается on-stick (виртуальный) девайс.
74. [DPI] Добавлен протокол ANYDESK (49297)
75. [DPI] Улучшено распознавание LANTERN
76. Исправлено online изменение параметра nat_private_cidr
77. [CLI] Код возврата команды Uptime. CLI-команда uptime может использоваться для контроля полного запуска fastDPI: она возвращает result=0 (Success) только тогда, когда fastDPI полностью проинициализирован и все рабочие потоки запущены. По получении ответа от fastDPI на команду fdpi_cli uptime сама утилита fdpi_cli проверяет результат выполнения и если result!=0 — выставляет ненулевой код возврата.
78. [PCRF] Исправлено: при наличии VRF (service 254) в Access-Accept пакет неправомерно выводился в лог как ошибочный
79. [Router] Исправлено: вычитывание всех данных с TAP-девайса. При старте fastDPI были возможны ситуации, когда роутер еще не полностью инициализирован, а TAP уже мониторится, но не вычитывается.
80. [router] Опция router_subs_announce сделана горячей (hot)
81. [router] fixed: утечка mbuf при старте fastdpi
82. Restore work of udr after huge transaction failed
83. [BALANCER] Добавлен движок mqrx_lb_engine, который активируется при dpdk_engine=2