Оглавление
Версия clish
При подготовке файлов конфигурации, загружаемых по ftp/tftp актуальная версия clish, соответствующая текущей версии прошивки 1.6.2 будет 14.
| Без форматирования |
|---|
#!/usr/bin/clish #14 |
Отображение различий между конфигурациями
Реализована команда, позволяющая просмотреть различия между running-config и candidate-config: show configuration changes.
...
Знаком "+" помечены изменения, которые есть в candidate-config и отсутствуют в running-config. Знаком "-" помечены изменения, которые есть в candidate-config, но отсутствуют в running-config.
Изменения в BGP
Изменились механизмы импорта, экспорта и фильтрации (route-map, prefix-list) маршрутной информации протоколов маршрутизации (RIP, OSPF, BGP). Требуется перенастройка.
...
Так же необходимо проанализировать прочие настройки в контексте приведённой выше информации и внести соответствующие изменения.
Переключение режима работы интерфейса
Введён параметр режима работы физического интерфейса и port-channel
...
Саб-интерфейс gigabitethernet 1/0/1.1000 будет удален из конфигурации.
Изменения в конфигурации правил файрвола
При файрвола условия правила, в которых в качестве области действия указывается "any" являются дефолтными, при настройке такие параметры можно не вводить и они не отображаются в конфигурации. После обновления с версии 1.4.1 на 1.6.2 такие условия перестанут отображаться в выводе конфигурации.
...
Условия, заканчивающиеся на "any" являются значениями по умолчанию и их нет необходимости вводить. Обновление с 1.4.1 на 1.6.2 не требует изменения настроек.
Изменения в механизме работы с паролями и пользователями admin, root, techsupport.
В целях повышения безопасности более не допускается использование встроенных учетных записей пользователей admin, root, techsupport без указания пароля. Длина пароля от 8 до 32 символов.
...
Также необходимо внести эту настройку в конфигурации, отдаваемые ESR-10, работающим в режиме OTT в настройках EMS: "Wireless" → "Менеджер правил инициализации ТД" → "OTT индивидуальная конф.".
Вывод информации о состоянии child SA IPsec VPN
Реализован вывод информации о состоянии child SA IPsec VPN. Просмотр информации осуществляется командой:
...
| Раскрыть | ||
|---|---|---|
| ||
ESR10-OTT-BR-2# show security ipsec vpn authentication ipsec_vpn Local host Remote host Local subnet Remote subnet Authentication State --------------- --------------- ------------------- ------------------- ----------------------------------------- ----------- 192.168.255.19 10.12.20.3 172.31.0.1/32 192.168.200.32/28 Xauth PSK, login: a8:f9:4b:ac:97:5b Established |
Настройка пользователя для взаимодействия с Ansible
Для взаимодействия с системой управления конфигурациями Ansible потребуется создать пользователя с возможностью доступа по SFTP. При создании пользователя надо будет указать, что он должен подключаться к SFTP серверу на ESR командой: ip sftp enable
...
Подробнее о настройках и взаимодействии описано здесь: Управление ESR с помощью Ansible
SNMP - добавлена возможность настройки source-address и source-interface
В настройках SNMP реализована возможность указать source-address или source-interface. Указанный адрес или адрес с указанного интерфейса будут использоваться в качестве адреса источника для отправляемых SNMP пакетов. Настройки являются взаимоисключающими, поэтому указать одновременно source-address и source-interface нельзя. Пример конфигурации:
...
| Без форматирования |
|---|
snmp-server host 100.123.0.2 source-interface bridge 23 exit |
SNMP - реализована возможность выбора трапов, которые требуется отправлять.
Ранее отправка трапов по умолчанию была включена. С версии 1.6.2 отправка трапов по умолчанию будет отключена. Надо будет указать в конфигурации, какие трапы нужно отправлять. При обновлении с версии 1.4.1 для сохранения прежднего поведения в конфигурацию будут добавлены команды на включение для всех типов трапов.
...
| Раскрыть | ||
|---|---|---|
| ||
snmp-server snmp-server host 100.123.0.2 snmp-server enable traps |
BRIDGE - ограничение на количество широковещательных пакетов, поступающих в интерфейс
Реализовано ограничение на количество широковещательных пакетов, поступающих в интерфейс типа BRIDGE, на моделях ESR1000/1200/1700.
...
Как это работает? Предположим, что в интерфейс bridge включено 250 туннелей softgre. Далее в роутер начинают поступать пакеты, для которых нет арп записи для клиента, находящегося в одном из интерфейсов softgre, с интенсивностью 1000 пакетов в секунду. Для каждого такого пакета, пока не появится арп-запись, роутеру потребуется отправить широковещательный арп-запрос, которые начнут в соответствующем количестве поступать в бридж (в данном случае 1000 шт), которые бриджом будут размножены на все 250 softgre-туннелей, включенных в него, и отправлены в каждый туннель, что приведет к флуду в 250000 пакетов в секунду, в каждый softgre туннель будет уходить по 1000 пакетов в секунду. После включении ограничения на количество широковещательных пакетов, поступающих в бридж, использую дефолтное ограничение 100 пакетов в секунду, в бридж будут попадать только 100 пакетов в секунду, остальные 900 будут отброшены. Таким образом, всего будет сгенерировано 25000 пакетов, в каждый softgre туннель будет отправляться всего 100 пакетов в секунду, пока адрес не будет получен ответ на арп запрос из одного из туннелей.
Удаление всех динамически сконфигурированных туннелей EoGRE
Для динамически туннелей EoGRE, созданных с использованием функционала wireless-controller, добавлена команда удаления всех туннелей: clear tunnels softgre all. Команда выполняется из режима debug:
...
При её использовании все динамически сконфигурированные туннели EoGRE будут удалены. Потом они смогут быть сконфигурированы повторно, по мере получения запросов от ТД. Если используется схема с VRRP резервированием - удаление EoGRE туннелей нужно произвести только на VRRP MASTER, на VRRP BACKUP их удалить нельзя, т.к. их состояние синхронизируется с VRRP MASTER, а не конфигурируется по запросам от ТД.
ESR1200/1700 - команды для просмотра таблицы FBD
Для ESR1200/1700 добавлены команды для просмотра таблицы FBD. Команды находятся в debug:
...
| Без форматирования |
|---|
esr1700(debug)# show mac status 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB size: 131072 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB used entries: 12 (static 1/dynamic 11) 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB free entries: 131060 2019-06-19T17:58:30+07:00 %SW-D-DBG: Hash chain length: 4 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB hash function: crc 2019-06-19T17:58:30+07:00 %SW-D-DBG: Aging time: 300 seconds 2019-06-19T17:58:30+07:00 %SW-D-DBG: VLAN Lookup mode: Independent VLAN Learning 2019-06-19T17:58:30+07:00 %SW-D-DBG: Global configuration for FID 16 bits: disable 2019-06-19T17:58:30+07:00 %SW-D-DBG: Address update queue: no full 0 end 0 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB upload queue: no full 0 end 0 2019-06-19T17:58:30+07:00 %SW-D-DBG: Sending NA messages to the CPU (bucket is full): disable |
Downgrade программного обеспечения ESR с версии 1.6.2 до версии 1.4.1
В версии 1.6.2 предусмотрена возможность отката программного обеспечения на версию 1.4.1.
...