1. Изменилась логика работы проксирования в схеме с схеме с BRAS. Ранее использовались порты 3128/3129 (http/https). Начиная с версии 1.4.1 слушающий порт прокси будет открыт для каждого ядра ESR. Для ESR1000/1200 это будет:
...
Без форматирования |
---|
object-group service redirect port-range 3128-3207 port-range 3208-3287 exit |
2. Изменилась логика работы правил PBR. Ранее для используемой в настройке PBR на интерфейсе route-map правила обрабатывались снизу вверх.
...
Без форматирования |
---|
route-map users rule 10 #Трафик начнет обрабатываться с первого правила вниз по порядку match ip access-group users_dns_dhcp action set ip next-hop verify-availability 10.254.0.1 10 action permit exit rule 11 match ip access-group users_all action set ip next-hop verify-availability 10.254.0.5 10 action permit exit exit |
3. Реализован механизм фильтрации VRRP ананосов, что бы они рассылались только в влане бриджа и не отправлялись во включенные в бридж интерфейсы:
Без форматирования |
---|
bridge 1 ports vrrp filtering enable #Запрещаем рассылку VRRP анонсов в интерфейсы, включенные в бридж ports vrrp filtering exclude vlan #Разрешаем рассылку VRRP анонсов в влане бриджа exit |
4. Для механизм VRRP реализована возможность мониторинга доступности определённого IP-адреса. В случае его недоступности VRRP инстанс перейдет в FAULT, переведя в это же состоняие всех членов группы, в которой он состоит.
...
Для срабатывания механизма, требуется, что бы не пришли ответы на все пинги, число которых указано в vrrp track-ip packets.
5. Реализован механизм GRE keepalive, для ESR-10, который проверяет доступность адреса внутри GRE тунеля и начинает перезапускать DHCP-клиента в слючае его недоступности.
...
7. Для ESR1200/1700 реализована аппаратная поддержка EoGRE тунелей. При этом на ESR1200/1700 требуется, что бы пакеты GRE попадали на роутер через физический интерфейс. Т.к. пакет GRE распакованный из IPsec появится сразу в ядре, то его надо будет передать на ESR через физический интерфейс. Для этого потребуется вынести терминацию IPsec в отдельный VRF, а затем, соединив петлёй интерфейсы из которых GRE пакет будет выходить из VRF IPsec и передаваться в дефолтный VRF ESR. Т.к. эта схема отличается от существующей - потребуется перенастройка ESR1200/1700 OTT для возможности работы в схеме с аппаратными туннелями. Подробнее 1.4.1 Настройка ESR OTT в схеме с петлёй через физические порты
...