1. При обновлении с версии 1.4.0 на версию 1.4.1 вместе с обновлением прошивки надо обновлять вторичный загрузчик:
...
2. Изменилась логика работы проксирования. Ранее использовались порты 3128/3129 (http/https). Начиная с версии 1.4.1 слушающий порт прокси будет открыт для каждого ядра ESR. Для ESR1000/1200 это будет:
...
port-range 3208-3287
exit
32. Изменилась логика работы правил PBR. Ранее для используемой в настройке PBR на интерфейсе route-map правила обрабатывались снизу вверх.
...
action permit
exit
exit
43. Реализован механизм фильтрации VRRP ананосов, что бы они рассылались только в влане бриджа и не отправлялись во включенные в бридж интерфейсы:
...
ports vrrp filtering exclude vlan #Разрешаем рассылку VRRP анонсов в влане бриджа
exit
54. Для мехнизма VRRP реализована возможность мониторинга доступности определённого IP-адреса. В случае его недоступности VRRP инстанс перейдет в FAULT, переведя в это же состоняие всех членов группы, в которой он состоит.
...
Для срабатывания механизма, требуется, что бы не пришли ответы на все пинги, число которых указано в vrrp track-ip packets.
65. Реализован механизм GRE keepalive, для ESR-10, который проверяет доступность адреса внутри GRE тунеля и начинает перезапускать DHCP-клиента в слючае его недоступности.
...
При дефолтных настройках GRE keepalive, default-lease-time для подсети адреса. с которого будет поднят GRE с ESR-10 должно быть больше 150-ти секунд.
76. Реализована возможность указать MTU для саб-тунеля GRE. При этом, значение этого MTU не может быть больше, чем на основном интерфейсе. При скачивании конфигурации по tftp этот параметр обязательно должен быть указан для саб-тунеля (при условии, что он указан для основного тунеля) иначе настройки для саб-тунеля не применяться, т.к. будет считаться, что у него дефолтный MTU (1500). При обновлении со старых версий ПО параметр MTU для саб-тунелей будет унаследован от родительского тунеля.
...
mtu 1458 #Значение MTU для саб-тунеля
exit
87. Для ESR1200/1700 реализована аппаратная поддержка EoGRE тунелей. При этом на ESR1200/1700 требуется, что бы пакеты GRE попадали на роутер через физический интерфейс. Т.к. пакет GRE распакованный из IPsec появится сразу в ядре, то его надо будет передать на ESR через физический интерфейс. Для этого потребуется вынести терминацию IPsec в отдельный VRF, а затем, соединив петлёй интерфейсы из которых GRE пакет будет выходить из VRF IPsec и передаваться в дефолтный VRF ESR. Т.к. эта схема отличается от существующей - потребуется перенастройка ESR1200/1700 OTT для возможности работы в схеме с аппартными тунелями. Подробнее Настройка ESR OTT в схеме с петлёй через физические порты
8. Для ESR1200/1700 реализована аппаратная поддержка EoGRE тунелей, для корректной фиксации permanent записей для mngt адресов нужно активировать ip helper-address vrrp-group на Bridge управления. Данной командой запрещается отправка DHCP Discover пакетов, перехваченные DHCP Relay-агентом, если VRRP-группа находится в состоянии DOWN.