Обновление ПО для межсетевых экранов ESR FSTEC. Версия ПО 1.5.7
7 ноября
2023
Устройства: ESR-20, ESR-21, ESR-30, ESR-100, ESR-200, ESR-1000, ESR-1500, ESR-1511, ESR-3200 FSTEC
Версия ПО: 1.5.7
- Поддержка маршрутизаторов ESR-30/3200
-
Реализован функционал TFTP-сервера
-
Реализована поддержка функционала Content-Filter для HTTP-трафика
-
Реализована поддержка функционала Anti-Spam для HTTP-трафика
-
Ограничена поддержка файловых систем для USB-накопителей и SD/MMC карт. Поддерживается только FAT/exFAT
Интерфейсы:
- Поддержан E1 HDLC
-
ESR-21: Поддержан Serial (RS-232):
-
Организация подключения с помощью аналоговых модемов в режиме Dial up, leased line
-
Управление соседними устройствами по консоли
BRAS:
- Реализована возможность задания пароля пользователей при авторизации по IP и MAC
-
Реализована поддержка работы BRAS в VRF для схемы включения L3
-
Реализована поддержка добавления Option 82 из DHCP пакетов клиентов в аккаунтинг
-
Реализована поддержка получения числа сервисов и сессий BRAS через SNMP
-
Реализована возможность задания интерфейса c динамическими IP адресами в качестве nas-ip
-
Реализована команда show subscriber-control sessions count для подсчета числа сессий BRAS
-
Реализована команда show subscriber-control services count для подсчета числа сервисов BRAS
Мониторинг и управление:
- В заводскую конфигурацию добавлена настройка "domain lookup"
-
Реализовано добавление имени пользователя, изменившего конфигурацию, при автоматическом архивировании конфигурации по commit
-
Реализована поддержка четырёх режимов path-mtu-discovery:
-
disable
-
default
-
icmp-discard
-
secure
-
Реализована возможность управления фрагментацией GRE-пакетов при помощи команд ip
-
dont-fragment-bit ignore и ip path-mtu-discovery discovery disable
-
Реализована возможность автоматического обновления ПО с использованием DHCP-опций
-
Реализован функционал Zabbix-proxy
-
CLI:
- Реализована возможность задавать количество строк и столбцов терминала командой terminal resize
- Реализована команда для переформатирования разделов flash:syslog, flash:data и flash:backup в соответствии с версиями ПО 1.5.7 и более поздними format mtd-partition data (для маршрутизаторов ESR-100/200/1000/1200/1500/1511-FSTEC)
- Реализована команда для удаления файлов из разделов flash:syslog, flash:data и flash:backup clear mtd-partition data (для маршрутизаторов ESR-100/200/1000/1200/1500/1511)
- Реализована возможность удаления конфигурации физического интерфейса при помощи команды no interface
- Реализованы проверки при выполнении команды copy, не позволяющие задавать некорректные комбинации источника и назначения копирования
- Реализована команда управления балансировкой сессий между ядрами CPU system cpu load-balance overload-threshold
- Реализованы команды для отображения кэша firewall-failover show ip firewall session failover и show ip nat translations failover
- Реализована возможность задания комментария при вводе команды commit
- Реализована возможность задания таймаута подтверждения конфигурации при вводе команды commit
- Реализована поддержка функции отложенной перезагрузки reload system in и reload system at
- Увеличено число префиксов и диапазонов (суммарно) IP-адресов в object-group network до 1024
- Реализована возможность конфигурирования диапазона туннелей
- Реализована возможность вычисления контрольной суммы для файлов в разделе flas h:backup/
- Добавлен столбец "Date of last modification" в выводе команды dir
- Реализована возможность отображения конфигурации устройства с параметрами, имеющими значение по умолчанию
- Реализована возможность в команде ping указывать IPv4/IPv6/DNS хост без префиксов ip/ipv6
- Реализована возможность задания паролей менее 8 символов
- Реализована возможность проверки внешних накопителей с помощью команды verify storage-device
- Реализована возможность форматирования внешних накопителей с помощью команды clear storage-device
- Удалена возможность аутентификации под пользователем root
- Реализована команда merge, которая объединяет загруженную конфигурацию c candidate-config
- Реализована возможность просмотра информации о конфигурации определенного Bridge
- Реализована возможность просмотра конфигурации определенной object-group c указанием типа
- Реализована возможность просмотра конфигурации определенного туннеля
- Реализована возможность просмотра конфигурации определенного route-map
- Реализована возможность просмотра конфигурации mDNS
- Реализовано сохранение логина пользователя в имя конфигурации при резервировании конфигурации локально
- Реализована возможность просмотра разницы между архивными конфигурациями
- Реализована команда clear vrrp-state, которая останавливает выполнение протокола VRRP на время 3* Advertisement_Interval+1. Это дает возможность маршрутизатору, находящемуся в состоянии backup, выполнить перехват мастерства
- Реализована возможность фильтрации по TCP/UDP-портам при отображении и очистке firewall/NAT-сессий
- Реализована возможность включения монопольного доступа к конфигурации
- Реализована возможность сброса CLI-сессий
- Реализована возможность очистки списка аварий
- Реализована возможность в prefix List, route-map указывать префикс 0.0.0.0/0
- Реализована возможность в object-group url указывать ссылки в виде регулярных выражений
- Реализована возможность изменять MAC-адрес физических и агрегированных интерфейсов
- Перенос команд ip http proxy redirect-port, ip http proxy redirect-port портов из BRAS в HTTP(S) Proxy
- Реализована возможность включения однопользовательского режима конфигурирования
- Реализована оповещение о непременных изменениях в конфигурации при входе/выходе в/из режима конфигурирования и CLI
- Реализована фильтры dynamic/static и tunnel softgre для команд show/clear mac address-table
- Реализована команда clear tunnels softgre remote-address <ip> для удаления softgre туннеля для конкретной точки
- Реализована команда clear tunnels softgre для удаления всех softgre туннелей
- Реализована возможность задания псевдонимов команд
- Реализована возможность вычисления хеш сумм файлов
- Реализована возможность выключения дебага одной командой
- Реализована возможность вывода сообщений при просмотре логов за определенный промежуток времени
- Реализована возможность выгрузки загрузчиков
- Реализована возможность просмотра описания правила в выводе команды show ip firewall counters
- Реализована возможность копирования файлов по протоколу HTTP (S)
- Реализована возможность просмотра разницы между конфигурациями (running,candidate, factory)
- Реализована возможность просмотра конфигурации с метаданными
- Убрана команда commit update
- SNMP:
- Реализована возможность получения информации о SFP-трансиверах по SNMP
- Реализована возможность мониторинга состояния OSPF/BGP по SNMP
- Поддержано разрушение туннелей softgre
- Реализована возможность мониторинга LLDP-MIB
- Реализована возможность задания community для trap сообщений
- Реализована возможность задания IP адреса источника для trap сообщений
- Реализована возможность выбора содержимого трапов linkDown/linkUp между стандартным и cisco-like
- SYSLOG:
- Реализована возможность фильтрации syslog-сообщений отдельных процессов при выводе в snmp/telnet/ssh и консольные сессии
- Реализована возможность фильтрации syslog-сообщений отдельных процессов при записи в локальный syslog-файл или удаленный syslog-сервер
- Реализована возможность логирования потоков трафика, обрабатываемых IPS/IDS, на удаленный syslog-сервер
FTP-клиент:
- Реализована возможность конфигурирования IP-адреса ftp-клиента (ip ftp source-address)
Netflow:
- Реализована возможность настройки значения ifindex для self\dropped-трафика
- Реализована возможность настройки подсчета трафика по направлению Ingress и Egress
SSH:
- Реализована возможность отключения поддерживаемых HOST-алгоритмов в SSH-сервере
- На старте устройства происходит проверка наличия host-ключей и при их отсутствии происходит генерация. Каждое устройство имеет уникальные ssh host-ключи
- Удален из обращения устаревший тип ключей rsa1
- Удалена команда crypto key generate из режима конфигурирования configure, вместо нее
- Реализована update ssh-host-key в режим конфигурирования root
- Реализована возможность выполнять команды по SSH в неинтерактивных сессиях командной строки (CLI)
- Реализована возможность задания IP адреса источника для SSH клиента
Туннелирование:
- Поддержан DMVPN
-
IPsec:
-
Метод аутентификации rsa-public-key переименован в public-key
-
Реализована поддержка форматов PKCS1 и PKCS12
-
Реализована поддержка типа ключей ECDSA
-
Реализована возможность конфигурирования route-based IPsec (VTI-туннель) в VRF
-
Исправлена работа механизма DPD для IKEv2
-
Реализована поддержка mode transport
-
Реализована возможность просмотра debug информации для IPsec
-
Реализована возможность отключения Mobility and Multihoming Protocol (MOBIKE) для IKEv2
-
Поддержка IPsec аутентификации по сертификатам
-
Поддержка CRL и фильтрации по полю атрибута Subject-name
-
Реализованы режимы пере-подключения клиентов XAUTH с одним логином/паролем
-
Реализована возможность отключения проверки поля атрибута Subject локального и удаленного сертификата XAUTH
-
Решена проблема нестабильной работы IPsec с DMVPN и L2TPv3
-
Реализована возможность использования IP адреса, полученного по DHCP, в качестве локального шлюза
-
Реализована возможность просмотра расширенной информации об аутентификации туннелей
-
Поддержан XAuth клиент
-
Поддержка PFS (perfect forward secrecy) с использованием группы DH
- Поддержана синхронизация туннелей wireless-controller между маршрутизаторами с разной версией ПО
- GRE:
- Реализована возможность использования для GRE-туннелей в качестве локального
- интерфейса: USB-modem, pptp, l2tp, pppoe-туннелей и e1, multilink-интерфейсов
- Реализована возможность построения GRE-туннелей от IP-интерфейсов отличного VRF
- Реализована возможность обеспечения L2 связности между клиентами из разных
- туннелей в рамках одной локации в схеме с wireless-controller
- Поддержан новый механизм keepalive для softgre туннелей. Проверка
- туннелей выполняется по ping-probe от клиентских устройств. Новый режим работы
- включается командой keepalive mode reactive в конфигурации wireless-controller
- Реализована возможность включения sub-туннеля softgre в Bridge, который
- находится в VRF
MPLS:
- Реализован функционал MPLS over GRE
-
Реализован функционал BGP Inter-AS Option B
-
Реализована возможность выбора bridge в конфигурации LDP
-
Реализованы команды вывода оперативной информации для L2VPN
-
Реализована поддержка протокола LDP
-
Реализована поддержка L2VPN VPWS
-
Реализована поддержка L2VPN VPLS Martini mode
-
Реализована поддержка VPLS Kompella Mode
-
Реализована поддержка L3VPN MP-BGP
Маршрутизация:
- IP:
-
Поддержан IP Unnumbered
-
Реализована возможность отключения отправки ответов ICMP unreachable/redirect
-
Поддержан IPv6 Router Advertisement
-
MultiWAN:
-
Поддержан механизм очистки NAT сессий после обнаружения недоступной цели
-
Реализована возможность указания интерфейса в качестве router-id для RIP, OSPF, ISIS, BGP, LDP
-
Реализована возможность указания интерфейса в качестве update-source для RIP, OSPF, ISIS, BGP, LDP
-
Реализована возможность двунаправленной передачи маршрутов между VRF с помощью команды route-target both
- Реализована возможность задания Policy-Based Routing для локального трафика маршрутизатора
- Реализована возможность использования Multiwan на pppoe, l2tp, openvpn, pptp и vti-туннелей
- Реализована поддержка протокола маршрутизации IS-IS
- Реализована поддержка протокола маршрутизации RIP NG
- Переработано конфигурирование BGP
- BGP:
- Изменен алгоритм выбора router-id на следующую очередность:
- использовать статический router-id
- использовать наименьший IP-адрес loopback-интерфейса
- использовать наименьший IP-адрес физического интерфейса
- Реализована возможность рекурсивного поиска по BGP-маршрутам
- Увеличение BGP RIB ESR-10/12V/12VF/14VF до 1M маршрутов
- Увеличение BGP RIB ESR-20/21/100/200 до 2,5M маршрутов
- Увеличение BGP RIB ESR-1000/1200/1500/1510 до 5M маршрутов
- Реализована поддержка BGP Graceful restart
- Реализована поддержка атрибута BGP Weight
- Поддержан Flow Specification Rules
- Поддержан атрибут weight
- Реализована возможность задания route-map default route, le/ge/eq
- Для опции remove-private-as добавлены опции all, nearest, replace
- OSPF:
- Реализована возможность установки cost и metric type для анонсируемых default-маршрутов
- Реализована возможность использования протокола OSPF на VTI-туннелях
- Реализована опциональная поддержка Opaque LSA
- Реализована возможность задания максимального количества Nexthop для ECMP-маршрутов
- Реализована поддержка OSPF Graceful restart
- IS-IS:
- Реализована возможность 3-way handshake установления соседства
- BFD:
- Реализован вывод информации о BFD-соседстве
- Скорректированы ограничения на максимальное число активных маршрутов (FIB):
- ESR-1700 — 3000000
- ESR-1000/1200/1500/1511/3100/3200 — 1700000
- ESR-100/200/20/21/30, WLC-30 — 1400000
- ESR10/12V/12VF/14VF/15 — 1000000
mDNS:
- Реализован функционал mDNS-reflector
-
Реализован функционал фильтрации сервисов mDNS
-
Реализована команда show ip mdns-reflector для просмотра найденных сервисов mDNS
-
Реализована команда clear ip mdns-reflector для обновления списка сервисов
DHCP:
- Реализован режим работы DHCP-failover - Active/Standby
-
Реализована команда для указания поля поля giaddr в DHCP-пакетах ip helper-address gateway-ip
-
Реализована возможность очистки записей аренд DHCP сервера
-
Увеличено число статических DHCP записей в пуле до 128
-
Реализована возможность указания description в команде address DHCP-сервера
NTP:
- Изменены диапазоны для параметров minpoll: 1-6 и maxpoll: 4-17
Механизм отслеживания событий (track):
- Реализованы команды отображения статуса track: show tracks и show track
-
Реализована возможность отслеживания состояния VRRP или SLA теста.
-
Реализована возможность управления параметрами VRRP, PBR, административного статуса
-
интерфейса, статического маршрута, атрибута AS-PATH и preference в route-map.
-
SLA:
-
Поддержан IP SLA в режиме ICMP-ECHO
-
Поддержан Cisco SLA responder
-
Поддержан Eltex SLA
AAA:
- Изменена минимальная длина ключа для TACACS-сервера до 1
-
Реализована возможность использовать защищенное соединение TLS/SSL для LDAP
-
Реализована возможность задания IP адреса источника для TACACS/LDAP серверов
-
Реализована возможность задания интерфейса в качестве источника для RADIUS сервера
-
Размер ключа TACACS сервера расширен до 60 символов
-
Реализована возможность отключения аутентификации через консольный порт
Remote-access:
- PPTP
-
Реализована возможность передачи маршрутной информации по DHCP для PPTP-клиентов
-
Реализована возможность выбора метода аутентификации пользователей для PPTP-серверов
-
L2TP
-
Реализована возможность передачи маршрутной информации по DHCP для L2TP-клиентов
-
Реализована возможность выбора метода аутентификации пользователей для L2TP-серверов
-
Реализована возможность ограничения методов аутентификации и шифрованияпротоколов IKE и IPsec для L2TP-сервера и L2TP-клиента
-
OpenVPN
-
Реализована возможность задания AAA списков аутентификации для OpenVPN-клиентов
-
Увеличено количество пользователей OpenVPN-сервера до 64
-
Возможность назначения статического IP-адреса для OpenVPN-клиента на сторонесервера
-
Возможность авторизации нескольких OpenVPN-клиентов с одним сертификатом
- PPPoE
-
Реализована возможность использования символов ",", "/" и "\" в имени пользователя
-
Реализована возможность выбора метода аутентификации пользователей для L2TP и PPTP-серверов
-
Реализована возможность использования приватного ключа и сертификата OpenVPN-клиента
Security:
- Поддержан IDS/IPS
-
DPI:
-
Добавлено определение следующих приложений: bittorrent-networking, ms-netlogon, ms-rpc, ms-sms, rtp audio, secure-http, secure-smtp, vmware-vsphere
-
IDS/IPS:
-
Поддержка работы с зеркалированным трафиком
-
Поддержана фильтрация отдельных команд для HTTP и FTP
-
Реализована возможность конфигурирования очередей пакетов для IPS
-
Поддержано взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — набор правил, предоставляемых Kaspersky SafeStream II
-
Реализована возможность использования demo-лицензий для IDS/IPS
-
HTTP proxy
-
Реализована возможность логирования событий фильтрации
-
Реализована конфигурирование redirect портов
-
Реализована возможность фильтрации по типу контента: ActiveX, JS, Cookies
-
Реализована возможность фильтрации/редиректа по локальным/удаленным спискам
-
Реализована возможность обновления удаленных списков URL через RADIUS CoA
QoS:
- Реализована возможность указывать ограничения полосы пропускания в процентах для complex-qosk
-
Реализована классификация по приложениям
-
Реализована классификация на исходящем интерфейсе, что позволяет не использовать ingress политики
-
Реализована возможность задания в классе нескольких ACL
-
Реализована возможность задания в классе классификации по DSCP
Резервирование:
- Реализована поддержка протоколов STP/RSTP в bridge для всех моделей
-
Реализована поддержка протоколов STP/RSTP для физических интерфейсов в режиме switchport для ESR-1x/2x
USB-Modem:
- Реализована поддержка модемов с прошивкой HILINK
-
Реализована возможность назначения статического IP-адреса на интерфейс сотового модема
-
Реализована команда "no compression" для запрета использования метода сжатия заголовков TCP/IP Ван Якобсона
-
Реализована возможность использования символов '_', '@', '.', '-' для поля user в режиме конфигурирования cellular profile
NAT:
- Реализована возможность осуществлять трансляцию адресов с туннеля PPTP/PPPoE
Программное обеспечение и подробное описание новых возможностей доступно в
Центре загрузки или на страницах продуктов.