Обновление ПО для межсетевых экранов ESR FSTEC. Версия ПО 1.5.7

7 ноября 2023 Устройства: ESR-20, ESR-21, ESR-30, ESR-100, ESR-200, ESR-1000, ESR-1500, ESR-1511, ESR-3200 FSTEC

Версия ПО: 1.5.7

• Поддержка маршрутизаторов ESR-30/3200
• Реализован функционал TFTP-сервера
• Реализована поддержка функционала Content-Filter для HTTP-трафика
• Реализована поддержка функционала Anti-Spam для HTTP-трафика
• Ограничена поддержка файловых систем для USB-накопителей и SD/MMC карт. Поддерживается только FAT/exFAT

Интерфейсы:

• Поддержан E1 HDLC
• ESR-21: Поддержан Serial (RS-232):
  • Организация подключения с помощью аналоговых модемов в режиме Dial up, leased line
  • Управление соседними устройствами по консоли

BRAS:

• Реализована возможность задания пароля пользователей при авторизации по IP и MAC
• Реализована поддержка работы BRAS в VRF для схемы включения L3
• Реализована поддержка добавления Option 82 из DHCP пакетов клиентов в аккаунтинг
• Реализована поддержка получения числа сервисов и сессий BRAS через SNMP
• Реализована возможность задания интерфейса c динамическими IP адресами в качестве nas-ip
• Реализована команда show subscriber-control sessions count для подсчета числа сессий BRAS
• Реализована команда show subscriber-control services count для подсчета числа сервисов BRAS

Мониторинг и управление:

• В заводскую конфигурацию добавлена настройка "domain lookup"
• Реализовано добавление имени пользователя, изменившего конфигурацию, при автоматическом архивировании конфигурации по commit
• Реализована поддержка четырёх режимов path-mtu-discovery:
  • disable
  • default
  • icmp-discard
  • secure
• Реализована возможность управления фрагментацией GRE-пакетов при помощи команд ip
• dont-fragment-bit ignore и ip path-mtu-discovery discovery disable
• Реализована возможность автоматического обновления ПО с использованием DHCP-опций
• Реализован функционал Zabbix-proxy
• CLI:
  • Реализована возможность задавать количество строк и столбцов терминала командой terminal resize
  • Реализована команда для переформатирования разделов flash:syslog, flash:data и flash:backup в соответствии с версиями ПО 1.5.7 и более поздними format mtd-partition data (для маршрутизаторов ESR-100/200/1000/1200/1500/1511-FSTEC)
  • Реализована команда для удаления файлов из разделов flash:syslog, flash:data и flash:backup clear mtd-partition data (для маршрутизаторов ESR-100/200/1000/1200/1500/1511)
  • Реализована возможность удаления конфигурации физического интерфейса при помощи команды no interface
  • Реализованы проверки при выполнении команды copy, не позволяющие задавать некорректные комбинации источника и назначения копирования
  • Реализована команда управления балансировкой сессий между ядрами CPU system cpu load-balance overload-threshold
  • Реализованы команды для отображения кэша firewall-failover show ip firewall session failover и show ip nat translations failover
  • Реализована возможность задания комментария при вводе команды commit
  • Реализована возможность задания таймаута подтверждения конфигурации при вводе команды commit
  • Реализована поддержка функции отложенной перезагрузки reload system in и reload system at
  • Увеличено число префиксов и диапазонов (суммарно) IP-адресов в object-group network до 1024
  • Реализована возможность конфигурирования диапазона туннелей
  • Реализована возможность вычисления контрольной суммы для файлов в разделе flas h:backup/
  • Добавлен столбец "Date of last modification" в выводе команды dir
  • Реализована возможность отображения конфигурации устройства с параметрами, имеющими значение по умолчанию
  • Реализована возможность в команде ping указывать IPv4/IPv6/DNS хост без префиксов ip/ipv6
  • Реализована возможность задания паролей менее 8 символов
  • Реализована возможность проверки внешних накопителей с помощью команды verify storage-device
  • Реализована возможность форматирования внешних накопителей с помощью команды clear storage-device
  • Удалена возможность аутентификации под пользователем root
  • Реализована команда merge, которая объединяет загруженную конфигурацию c candidate-config
  • Реализована возможность просмотра информации о конфигурации определенного Bridge
  • Реализована возможность просмотра конфигурации определенной object-group c указанием типа
  • Реализована возможность просмотра конфигурации определенного туннеля
  • Реализована возможность просмотра конфигурации определенного route-map
  • Реализована возможность просмотра конфигурации mDNS
  • Реализовано сохранение логина пользователя в имя конфигурации при резервировании конфигурации локально
  • Реализована возможность просмотра разницы между архивными конфигурациями
  • Реализована команда clear vrrp-state, которая останавливает выполнение протокола VRRP на время 3* Advertisement_Interval+1. Это дает возможность маршрутизатору, находящемуся в состоянии backup, выполнить перехват мастерства
  • Реализована возможность фильтрации по TCP/UDP-портам при отображении и очистке firewall/NAT-сессий
  • Реализована возможность включения монопольного доступа к конфигурации
  • Реализована возможность сброса CLI-сессий
  • Реализована возможность очистки списка аварий
  • Реализована возможность в prefix List, route-map указывать префикс 0.0.0.0/0
  • Реализована возможность в object-group url указывать ссылки в виде регулярных выражений
  • Реализована возможность изменять MAC-адрес физических и агрегированных интерфейсов
  • Перенос команд ip http proxy redirect-port, ip http proxy redirect-port портов из BRAS в HTTP(S) Proxy
  • Реализована возможность включения однопользовательского режима конфигурирования
  • Реализована оповещение о непременных изменениях в конфигурации при входе/выходе в/из режима конфигурирования и CLI
  • Реализована фильтры dynamic/static и tunnel softgre для команд show/clear mac address-table
  • Реализована команда clear tunnels softgre remote-address <ip> для удаления softgre туннеля для конкретной точки
  • Реализована команда clear tunnels softgre для удаления всех softgre туннелей
  • Реализована возможность задания псевдонимов команд
  • Реализована возможность вычисления хеш сумм файлов
  • Реализована возможность выключения дебага одной командой
  • Реализована возможность вывода сообщений при просмотре логов за определенный промежуток времени
  • Реализована возможность выгрузки загрузчиков
  • Реализована возможность просмотра описания правила в выводе команды show ip firewall counters
  • Реализована возможность копирования файлов по протоколу HTTP (S)
  • Реализована возможность просмотра разницы между конфигурациями (running,candidate, factory)
  • Реализована возможность просмотра конфигурации с метаданными
  • Убрана команда commit update
• SNMP:
  
  • Реализована возможность получения информации о SFP-трансиверах по SNMP
  • Реализована возможность мониторинга состояния OSPF/BGP по SNMP
  • Поддержано разрушение туннелей softgre
  • Реализована возможность мониторинга LLDP-MIB
  • Реализована возможность задания community для trap сообщений
  • Реализована возможность задания IP адреса источника для trap сообщений
  • Реализована возможность выбора содержимого трапов linkDown/linkUp между стандартным и cisco-like
• SYSLOG:
  
  • Реализована возможность фильтрации syslog-сообщений отдельных процессов при выводе в snmp/telnet/ssh и консольные сессии
  • Реализована возможность фильтрации syslog-сообщений отдельных процессов при записи в локальный syslog-файл или удаленный syslog-сервер
  • Реализована возможность логирования потоков трафика, обрабатываемых IPS/IDS, на удаленный syslog-сервер

FTP-клиент:

• Реализована возможность конфигурирования IP-адреса ftp-клиента (ip ftp source-address)

Netflow:

• Реализована возможность настройки значения ifindex для self\dropped-трафика
• Реализована возможность настройки подсчета трафика по направлению Ingress и Egress

SSH:

• Реализована возможность отключения поддерживаемых HOST-алгоритмов в SSH-сервере
• На старте устройства происходит проверка наличия host-ключей и при их отсутствии происходит генерация. Каждое устройство имеет уникальные ssh host-ключи
• Удален из обращения устаревший тип ключей rsa1
• Удалена команда crypto key generate из режима конфигурирования configure, вместо нее
• Реализована update ssh-host-key в режим конфигурирования root
• Реализована возможность выполнять команды по SSH в неинтерактивных сессиях командной строки (CLI)
• Реализована возможность задания IP адреса источника для SSH клиента

Туннелирование:

• Поддержан DMVPN
• IPsec:
  • Метод аутентификации rsa-public-key переименован в public-key
  • Реализована поддержка форматов PKCS1 и PKCS12
  • Реализована поддержка типа ключей ECDSA
  • Реализована возможность конфигурирования route-based IPsec (VTI-туннель) в VRF
  • Исправлена работа механизма DPD для IKEv2
  • Реализована поддержка mode transport
  • Реализована возможность просмотра debug информации для IPsec
  • Реализована возможность отключения Mobility and Multihoming Protocol (MOBIKE) для IKEv2
  • Поддержка IPsec аутентификации по сертификатам
  • Поддержка CRL и фильтрации по полю атрибута Subject-name
  • Реализованы режимы пере-подключения клиентов XAUTH с одним логином/паролем
  • Реализована возможность отключения проверки поля атрибута Subject локального и удаленного сертификата XAUTH
  • Решена проблема нестабильной работы IPsec с DMVPN и L2TPv3
  • Реализована возможность использования IP адреса, полученного по DHCP, в качестве локального шлюза
  • Реализована возможность просмотра расширенной информации об аутентификации туннелей
  • Поддержан XAuth клиент
  • Поддержка PFS (perfect forward secrecy) с использованием группы DH
• Поддержана синхронизация туннелей wireless-controller между маршрутизаторами с разной версией ПО
• GRE:
  • Реализована возможность использования для GRE-туннелей в качестве локального
  • интерфейса: USB-modem, pptp, l2tp, pppoe-туннелей и e1, multilink-интерфейсов
  • Реализована возможность построения GRE-туннелей от IP-интерфейсов отличного VRF
  • Реализована возможность обеспечения L2 связности между клиентами из разных
  • туннелей в рамках одной локации в схеме с wireless-controller
  • Поддержан новый механизм keepalive для softgre туннелей. Проверка
  • туннелей выполняется по ping-probe от клиентских устройств. Новый режим работы
  • включается командой keepalive mode reactive в конфигурации wireless-controller
  • Реализована возможность включения sub-туннеля softgre в Bridge, который
  • находится в VRF

MPLS:

• Реализован функционал MPLS over GRE
• Реализован функционал BGP Inter-AS Option B
• Реализована возможность выбора bridge в конфигурации LDP
• Реализованы команды вывода оперативной информации для L2VPN
• Реализована поддержка протокола LDP
• Реализована поддержка L2VPN VPWS
• Реализована поддержка L2VPN VPLS Martini mode
• Реализована поддержка VPLS Kompella Mode
• Реализована поддержка L3VPN MP-BGP

Маршрутизация:

• IP:
  • Поддержан IP Unnumbered
  • Реализована возможность отключения отправки ответов ICMP unreachable/redirect
  • Поддержан IPv6 Router Advertisement
• MultiWAN:
  • Поддержан механизм очистки NAT сессий после обнаружения недоступной цели
• Реализована возможность указания интерфейса в качестве router-id для RIP, OSPF, ISIS, BGP, LDP
• Реализована возможность указания интерфейса в качестве update-source для RIP, OSPF, ISIS, BGP, LDP
• Реализована возможность двунаправленной передачи маршрутов между VRF с помощью команды route-target both
• Реализована возможность задания Policy-Based Routing для локального трафика маршрутизатора
• Реализована возможность использования Multiwan на pppoe, l2tp, openvpn, pptp и vti-туннелей
• Реализована поддержка протокола маршрутизации IS-IS
• Реализована поддержка протокола маршрутизации RIP NG
• Переработано конфигурирование BGP
• BGP:
  • Изменен алгоритм выбора router-id на следующую очередность:
    • использовать статический router-id
    • использовать наименьший IP-адрес loopback-интерфейса
    • использовать наименьший IP-адрес физического интерфейса
  • Реализована возможность рекурсивного поиска по BGP-маршрутам
  • Увеличение BGP RIB ESR-10/12V/12VF/14VF до 1M маршрутов
  • Увеличение BGP RIB ESR-20/21/100/200 до 2,5M маршрутов
  • Увеличение BGP RIB ESR-1000/1200/1500/1510 до 5M маршрутов
  • Реализована поддержка BGP Graceful restart
  • Реализована поддержка атрибута BGP Weight
  • Поддержан Flow Specification Rules
  • Поддержан атрибут weight
  • Реализована возможность задания route-map default route, le/ge/eq
  • Для опции remove-private-as добавлены опции all, nearest, replace
• OSPF:
  • Реализована возможность установки cost и metric type для анонсируемых default-маршрутов
  • Реализована возможность использования протокола OSPF на VTI-туннелях
  • Реализована опциональная поддержка Opaque LSA
  • Реализована возможность задания максимального количества Nexthop для ECMP-маршрутов
  • Реализована поддержка OSPF Graceful restart
• IS-IS:
  • Реализована возможность 3-way handshake установления соседства
• BFD:
  • Реализован вывод информации о BFD-соседстве
• Скорректированы ограничения на максимальное число активных маршрутов (FIB):
  • ESR-1700 — 3000000
  • ESR-1000/1200/1500/1511/3100/3200 — 1700000
  • ESR-100/200/20/21/30, WLC-30 — 1400000
  • ESR10/12V/12VF/14VF/15 — 1000000

mDNS:

• Реализован функционал mDNS-reflector
• Реализован функционал фильтрации сервисов mDNS
• Реализована команда show ip mdns-reflector для просмотра найденных сервисов mDNS
• Реализована команда clear ip mdns-reflector для обновления списка сервисов

DHCP:

• Реализован режим работы DHCP-failover - Active/Standby
• Реализована команда для указания поля поля giaddr в DHCP-пакетах ip helper-address gateway-ip
• Реализована возможность очистки записей аренд DHCP сервера
• Увеличено число статических DHCP записей в пуле до 128
• Реализована возможность указания description в команде address DHCP-сервера

NTP:

• Изменены диапазоны для параметров minpoll: 1-6 и maxpoll: 4-17

Механизм отслеживания событий (track):

• Реализованы команды отображения статуса track: show tracks и show track
• Реализована возможность отслеживания состояния VRRP или SLA теста.
• Реализована возможность управления параметрами VRRP, PBR, административного статуса
• интерфейса, статического маршрута, атрибута AS-PATH и preference в route-map.
• SLA:
  • Поддержан IP SLA в режиме ICMP-ECHO
• Поддержан Cisco SLA responder
• Поддержан Eltex SLA

AAA:

• Изменена минимальная длина ключа для TACACS-сервера до 1
• Реализована возможность использовать защищенное соединение TLS/SSL для LDAP
• Реализована возможность задания IP адреса источника для TACACS/LDAP серверов
• Реализована возможность задания интерфейса в качестве источника для RADIUS сервера
• Размер ключа TACACS сервера расширен до 60 символов
• Реализована возможность отключения аутентификации через консольный порт

Remote-access:

• PPTP
  • Реализована возможность передачи маршрутной информации по DHCP для PPTP-клиентов
  • Реализована возможность выбора метода аутентификации пользователей для PPTP-серверов
• L2TP
  • Реализована возможность передачи маршрутной информации по DHCP для L2TP-клиентов
  • Реализована возможность выбора метода аутентификации пользователей для L2TP-серверов
  • Реализована возможность ограничения методов аутентификации и шифрованияпротоколов IKE и IPsec для L2TP-сервера и L2TP-клиента
• OpenVPN
  • Реализована возможность задания AAA списков аутентификации для OpenVPN-клиентов
  • Увеличено количество пользователей OpenVPN-сервера до 64
  • Возможность назначения статического IP-адреса для OpenVPN-клиента на сторонесервера
  • Возможность авторизации нескольких OpenVPN-клиентов с одним сертификатом
• PPPoE
  • Реализована возможность использования символов ",", "/" и "\" в имени пользователя
• Реализована возможность выбора метода аутентификации пользователей для L2TP и PPTP-серверов
• Реализована возможность использования приватного ключа и сертификата OpenVPN-клиента

Security:

• Поддержан IDS/IPS
• DPI:
  • Добавлено определение следующих приложений: bittorrent-networking, ms-netlogon, ms-rpc, ms-sms, rtp audio, secure-http, secure-smtp, vmware-vsphere
• IDS/IPS:
  • Поддержка работы с зеркалированным трафиком
  • Поддержана фильтрация отдельных команд для HTTP и FTP
  • Реализована возможность конфигурирования очередей пакетов для IPS
  • Поддержано взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — набор правил, предоставляемых Kaspersky SafeStream II
  • Реализована возможность использования demo-лицензий для IDS/IPS
• HTTP proxy
  • Реализована возможность логирования событий фильтрации
  • Реализована конфигурирование redirect портов
  • Реализована возможность фильтрации по типу контента: ActiveX, JS, Cookies
  • Реализована возможность фильтрации/редиректа по локальным/удаленным спискам
  • Реализована возможность обновления удаленных списков URL через RADIUS CoA

QoS:

• Реализована возможность указывать ограничения полосы пропускания в процентах для complex-qosk
• Реализована классификация по приложениям
• Реализована классификация на исходящем интерфейсе, что позволяет не использовать ingress политики
• Реализована возможность задания в классе нескольких ACL
• Реализована возможность задания в классе классификации по DSCP

Резервирование:

• Реализована поддержка протоколов STP/RSTP в bridge для всех моделей
• Реализована поддержка протоколов STP/RSTP для физических интерфейсов в режиме switchport для ESR-1x/2x

USB-Modem:

• Реализована поддержка модемов с прошивкой HILINK
• Реализована возможность назначения статического IP-адреса на интерфейс сотового модема
• Реализована команда "no compression" для запрета использования метода сжатия заголовков TCP/IP Ван Якобсона
• Реализована возможность использования символов '_', '@', '.', '-' для поля user в режиме конфигурирования cellular profile

NAT:

• Реализована возможность осуществлять трансляцию адресов с туннеля PPTP/PPPoE

Программное обеспечение и подробное описание новых возможностей доступно в Центре загрузки или на страницах продуктов.