...
- Поддержана работа WLC на ESR-15, функционал активируется лицензией
- Мониторинг и управление:
- CLI:
- Wireless-controller переименован в softgre-controller
Упрощен ввод macMAC-адреса в оbject-group mac – теперь не нужно задавать стандартную маску вручную, по умолчанию автоматически записывается "ff:ff:ff:ff:ff:ff"
- Добавлена возможность более удобного просмотра конфигурации DHCP/DHCPv6 по категориям
- CLI:
- Туннелирование:
- Изменена логика работы SoftGRE-туннелей в режиме wlc, поддержано использование c-vlan в схеме c туннелированием клиентского трафика. В новой реализации vlan, указанный в настройках SSID, попадает в WLC без терминации sub-туннеля в Bridge. Для корректной работы vlan должен быть создан в настройках WLC и должен быть членом Bridge или интерфейса
- WLC:
- Поддержана работа с точкой доступа WEP-30L
- Добавлена возможность просмотра конфигурации WLC по разделам
- Добавлена возможность просмотра конфигурации radius-server по разделам
Переработаны команды мониторинга
В расширенном выводе информации по точке доступа добавлено имя ap-location
В статистике роуминга Airtune добавлено разделение по локациям
- Добавлена команда reload wlc ap <mac> для перезагрузки точки доступа
- Service-activator – добавлен функционал регистрации точек доступа по сертификатам:
- Добавлена команда join wlc ap <mac_ap> для авторизации всех неавторизованных точек при режиме ручной авторизации
- Добавлена команда show wlc service-activator aps для просмотра неавторизованных точек
- Добавлена команда clear wlc ap joined <mac_ap> для отзыва сертификатов у точек доступа
Добавлена команда aps join auto для настройки автоматического режима авторизации точек доступа
- Ap-location:
Добавлена команда mode tunnel для включения туннелирования в локации
- Radius-server local:
Добавлена возможность настройки vlan для пользователя
- Логирование:
Добавлена выгрузка журнала клиентов и точек доступа на внешний syslog-сервер
...
- QoS:
- Добавлена классификация по URL
- Добавлена классификация по приложениям
- Добавлена классификация по URL
- Track:
- Добавлена возможность отслеживания состояния VRRP или SLA-теста
- Добавлена возможность управления параметрами VRRP, PBR, административного статуса интерфейса, статического маршрута, атрибута AS-PATH и preference в route-map
- Добавлена возможность отслеживания состояния VRRP или SLA-теста
- Мониторинг и управление:
- CLI:
- Добавлена возможность отображения конфигурации устройства с параметрами, имеющими значение по умолчанию
- Добавлена возможность в команде ping указывать IPv4/IPv6/DNS хост без префиксов ip/ipv6
- Добавлена возможность задания паролей менее 8 символов
- Добавлена возможность проверки внешних накопителей с помощью команды verify storage-device
- Добавлена возможность форматирования внешних накопителей с помощью команды clear storage-device
- SSH:
- На старте устройства происходит проверка наличия host-ключей и при их отсутствии происходит генерация. Каждое устройство имеет уникальные ssh host-ключи
- Убран из обращения устаревший тип ключей rsa1
- Убрана команда crypto key generate из режима конфигурирования configure, вместо нее добавлена update ssh-host-key в режим конфигурирования root
- Сбор статистики:
- Подсчет трафика по направлению Ingress и Egress для Netflow
- CLI:
...
CLI:
Реализована возможность фильтрации по TCP/UDP-портам при отображении и очистке firewall/NAT-сессий
Реализована возможность просмотра конфигурации mDNS
IPsec:
Реализованы режимы переподключения клиентов XAUTH с одним логином/паролем
Реализована возможность отключения проверки поля атрибута Subject локального и удаленного сертификата XAUTH
Маршрутизация:
Реализована возможность использования Multiwan на pppoe, l2tp, openvpn, pptp и vti-туннелей
Туннелирование:
GRE:
Реализована возможность использования для GRE-туннелей в качестве локального интерфейса: USB-modem, pptp, l2tp, pppoe-туннелей и e1, multilink-интерфейсов
Реализована возможность построения GRE-туннелей от IP-интерфейсов отличного VRF
Реализована возможность обеспечения L2 связности между клиентами из разных туннелей в рамках одной локации в схеме с wireless-controller
PPPoE:
Добавлена возможность использования символов ",", "/" и "\" в имени пользователя
Ограничена поддержка файловых систем для USB-накопителей и SD/MMC-карт. Поддерживается только FAT
...
Перечень изменений в версии:
- OpenVPN-сервер:
- Возможность назначения статического IP-адреса для OpenVPN-пользователя
- Возможность авторизации нескольких OpenVPN-пользователей с одним сертификатом
...
- Защита от атак:
- Защита от DoS атак:
- ICMP flood
- Land
- Limit-session-destination
- Limit-session-source
- Syn flood
- UDP flood
- Winnuke
- Блокировка шпионской активности:
- Fin-no-ack
- ICMP type
- IP sweep
- Port scan
- Spoofing
- Syn-fin
- TCP-no-flag
- Блокировка нестандартных пакетов:
- ICMP fragment
- IP fragment
- Large ICMP
- Syn fragment
- UDP fragment
- Unknown protocols
- Защита от DoS атак:
- Поддержка разрешения DNS-имен. Кеширующий DNS-сервер
- Поддержка протокола LLDP
- Поддержка 3G/4G USB-модемов
- AAA:
- Возможность регулировки количества неудачных попыток аутентификации
- Возможность настройки времени жизни пароля
- Возможность настройки максимального количества паролей, хранимых в истории для каждого локального пользователя
- Функция напоминания об изменении первоначального пароля
- Возможность настройки таймаута для сеанса входа
- Добавлена настройка, разрешающая/запрещающая авторизоваться от имени пользователя root при подключении через RS-232 (console)
- Требование смены пароля после истечения его срока действия
- Возможность контроля сложности пароля
...
- Туннелирование:
- Поддержка GRE Keepalive
- L3 маршрутизация:
- BGP:
- Добавление описания соседей
- Включение/выключение соседей
- Увеличено суммарное число BGP пиров до 1000
- Просмотр суммарной информации по пирам
- Multiwan:
- Просмотр оперативной информации
- VRRP:
- Задание маски подсети для VRRP IP
- Управлением оперативным состоянием Port-Channel (ESR-100/200)
- BGP:
- IPsec:
- Поддержка режима Policy-based IPsec
- Гибкая настройка пересогласования ключей туннелей (margin seconds/packets/bytes, randomization)
- Закрытие IPsec туннеля после передачи заданного числа пакетов/байт
- Задание временного интервала, по истечению которого соединение закрывается, если не было принято или передано ни одного пакета через SA
- SNMP:
- Отображение текущей скорости интерфейсов в параметре ifSpeed в IF-MIB
- SNMP Trap:
- Trap o превышении пороговых значений загрузки и температуры CPU, скорости вентилятора, свободного пространства RAM и FLASH
- CLI:
- Фильтрация маршрутной информации по протоколам
- Фильтрация по интерфейсу, IP-адресу и MAC-адресу в командах очистки ARP/ND-таблиц
- Хранение log-файлов в энергонезависимой памяти устройства
- Выгрузка log-файлов с устройства c помощью команды copy
- Просмотр содержимого critlog командой show syslog
- Просмотр содержимого log-файлов с конца. Добавлена команда show syslog from-end
- Настройка таймера подтверждения конфигурации. Добавлена команда system config-confirm timeout
- Изменение в командном интерфейсе:
- Cisco-like пути для файлов:
...
- Развитие CLI:
- Удаление однотипных сущностей одной командой через опцию 'all'
- Интерфейсы:
- Поддержка Jumbo Frame (MTU до 10000 байт)
- Назначение префиксов /32 на Loopback-интерфейсы
- Firewall:
- Возможность прерывания/очистки установленных сессий
- Отключение функции Firewall
- QoS:
- Маркирование/перемаркирование трафика
- Мутация кодов DSCP
- Иерархический QoS (HQoS)
- Управление полосой пропускания (shaping), шаг 1кбит/с
- Резервирование полосы по классам трафика (shaping per queue)
- Управление перегрузкой очередей RED, GRED
- Управление очередями SFQ
- -based QoS
- Сетевые сервисы:
- Списки контроля доступа (ACL)
- Поддержка выдачи IP-адресов DHCP-сервером по MAC-адресу клиента
- Поддержка фильтрации по MAC-адресам в Firewall
- Поддержка одновременной работы DHCP-сервера и Relay-агента
- Telnet, SSH-клиенты
- Поддержка интерфейсов E1:
- CHAP
- PPP
- MLPPP (Multilink PPP)
- AAA:
- Аутентификация и авторизация по локальной базе пользователей, по протоколам RADIUS, TACACS+, LDAP
- Аккаунтинг команд по протоколу TACACS+
- Аккаунтинг сессий: SYSLOG, RADIUS, TACACS+
- Управление уровнями привилегий команд
- L3 маршрутизация:
- Развитие BGP:
- Фильтрация по атрибутам и модификация атрибутов (local preference, AS-path, community, nexthop, origin, metric, subnet)
- Поддержка функции Route-Reflector
- Настройка параметров аутентификации для определенного соседа
- Поддержка 32-разрядных номеров автономных систем
- Возможность просмотра полученных от соседа и анонсируемых соседу префиксов
- Возможность просмотра информации по определенному префиксу
- Развитие RIP:
- Суммирование анонсируемых подсетей
- Статическое соседство
- Развитие OSPF:
- Суммирование анонсируемых подсетей
- Поддержка параметра eligible для NBMA-интерфейсов
- Управление распространением маршрутов (префикс-листы с возможностью задания допустимых префиксов с использованием правил eq, le, ge)
- Статические маршруты с назначением blackhole/prohibit/unreachable
Scroll Pagebreak
- VRF Lite:
- Работа сетевых функций в контексте VRF:
- IPv4/IPv6-адресация
- Статическая маршрутизация
- NAT
- Firewall
- Работа сетевых функций в контексте VRF:
- Мониторинг системных ресурсов:
- Мониторинг соединений/потоков (flow)
- Мониторинг таблиц маршрутизации
- Улучшения в работе Syslog
- Резервирование маршрутизаторов:
- Резервирование сессий Firewall
- Резервирование аренд DHCP-сервера
- Резервирование SoftGRE-туннелей для точек доступа Wi-Fi
- Поддержка адресации IPv6 в следующих сетевых сервисах:
- Адресация
- Статическая маршрутизация
- Firewall
- OSPFv3
- Prefix-List
- NTP
- Syslog
- Утилиты ping, traceroute
- Telnet client/server
- SSH client/server
- DHCP Server/Relay/Client
- SNMP:
- Добавлена поддержка протокола SNMP v3
- Добавлен SNMP MIB (мониторинг) для QoS
...
- Пропускная способность ограничена (500Mбит/с на IPsec-туннель)
- Балансировка нагрузки CPU поддержана с ограничениями
- Не поддерживается policy-based VPN
- Обновление ПО только средствами u-boot
- Статическое управление switch
- Нет аппаратного ускорения bridging
- Нет конфигурирования VLAN (bridging)
- Нет поддержки SNMP, Webs
- Нет конфигурирования timezone
- Отсутствует NTP