Версия clish

При подготовке файлов конфигурации, загружаемых по ftp/tftp актуальная версия clish, соответствующая текущей версии прошивки 1.6.2 будет 14.

#!/usr/bin/clish
#14

Отображение различий между конфигурациями

   Реализована команда, позволяющая просмотреть различия между running-config и candidate-config: show configuration changes.

esr1000# show configuration changes
bridge 1
- vlan 3500
- mac-address a8:f9:4b:aa:23:b2
- security-zone untrusted
- ip address 192.168.48.52/20
- ip helper-address vrrp-group 1
- vrrp id 35
- vrrp ip 192.168.48.55/32
+ vlan 2308
+ security-zone GRE
+ ip address 192.168.200.19/28
+ vrrp id 1
+ vrrp ip 192.168.200.17/32
+ vrrp ip 192.168.200.18/32 secondary
- protected-ports
- protected-ports exclude vlan
- ports vrrp filtering enable
- ports vrrp filtering exclude vlan

Знаком "+" помечены изменения, которые есть в candidate-config и отсутствуют в running-config. Знаком "-" помечены изменения, которые есть в candidate-config, но отсутствуют в running-config.

Изменения в BGP

Изменились механизмы импорта, экспорта и фильтрации (route-map, prefix-list) маршрутной информации протоколов маршрутизации (RIP, OSPF, BGP). Требуется перенастройка.

Для механизмов фильтрации импортируемой маршрутной информации:

• Route-map (in)
• Prefix-list (in)
• Route-map (in) + Prefix-list (in)
• Redistribute + route-map

При установке одного или нескольких фильтров, импорт маршрутов, которые не были разрешены этими фильтрами, будут запрещён.

Механизм фильтрации экспортируемой маршрутной информации подразумевает:

1) для протоколов IGP - по умолчанию анонсируются все маршруты, содержащиеся в таблице маршрутизации протокола маршрутизации;

2) для протоколов EGP - по умолчанию анонсирование маршрутов запрещено.

Механизмы фильтрации экспортируемой маршрутной информации:

• Route-map (out)

• Prefix-list (out)

• Route-map (out) + Prefix-list (out)

Для iBGP ни один из механизмов не является обязательным. По умолчанию экспорт маршрутов будет разрешён.

Для eBGP ни один из механизмов не является обязательным. По умолчанию экспорт маршрутов будет запрещён.

Если конфигурация BGP на ESR выглядит так:

router bgp 65252
  address-family ipv4
     router-id 10.203.195.153
     neighbor 10.203.195.129
      remote-as 65001
      prefix-list AP_GRE out
      route-map INPREF in
      route-map OUTPREFGRE out
      enable
    exit
    neighbor 10.203.195.137
      remote-as 65001
      prefix-list MNG out
      route-map INPREF in
      route-map OUTPREFMNG out
      enable
    exit
    neighbor 10.203.195.145
      remote-as 65001
      prefix-list INTERNET out
      route-map INPREF in
      enable
    exit
    neighbor 10.203.195.154
      remote-as 65252
      next-hop-self
     enable
    exit
    enable
  exit
exit

То данном случае надо добавить в настройки BGP команду redistribute connected, что бы импортировать connected подсети таблицу маршрутов процесса BGP. Если необходимо импортировать маршрутную информацию для других типов подсетей (полученных из других источников, например OSPF, RIP, static или другого процесса BGP) - то это так же необходимо выполнить соответствующей командой redistribute.

Получившаяся конфигурация:

router bgp 65252
  address-family ipv4
    router-id 10.203.195.153
    redistribute connected              #Новая настройка
    neighbor 10.203.195.129
      remote-as 65001
      prefix-list AP_GRE out
      route-map INPREF in
      route-map OUTPREFGRE out
      enable
    exit
    neighbor 10.203.195.137
      remote-as 65001
      prefix-list MNG out
      route-map INPREF in
      route-map OUTPREFMNG out
      enable
    exit
    neighbor 10.203.195.145
      remote-as 65001
      prefix-list INTERNET out
      route-map INPREF in
      enable
    exit
    neighbor 10.203.195.154
      remote-as 65252
      next-hop-self
      enable
    exit
    enable
  exit
exit

Данную настройка есть в 1.4.1, рекомендуется её выполнить до обновления на версию 1.6.2, т.к. без неё ESR перестанет анонсировать connected подсети eBGP соседям и станет недоступным по адресу управления.

Так же необходимо проанализировать прочие настройки в  контексте приведённой выше информации и внести соответствующие изменения.

Переключение режима работы интерфейса

Введён параметр режима работы физического интерфейса и port-channel

• routerport - L3 режим
• switchport - L2 режим
• hybrid - L2+L3 режим
  
  

Для  ESR low (ESR-10, ESR-12v, ESR-100, ESR-200) доступен режим routerport/switchport. Для  ESR middle (ESR-1000, ESR-1200, ESR-1700) доступны все режимы работы. При переходе на ПО выше 1.6.0 и выше, нужно провести анализ конфигурации и внести изменения. Например если интерфейс был настроен:

interface gigabitethernet 1/0/1
  ip firewall disable
  switchport access vlan 2
exit
interface gigabitethernet 1/0/1.1000
  ip address dhcp
  ip firewall disable
  ip dhcp client ignore router
exit

После обновления конфигурация будет  иметь  вид:

interface gigabitethernet 1/0/1
  switchport access vlan 2
exit

Саб-интерфейс gigabitethernet 1/0/1.1000 будет удален из конфигурации.

Изменения в конфигурации правил файрвола

При  файрвола условия правила, в которых в качестве области действия указывается "any" являются дефолтными, при настройке такие параметры можно не вводить и они не отображаются в конфигурации. После обновления с версии 1.4.1 на 1.6.2 такие условия перестанут отображаться в выводе конфигурации.

Например, для версии 1.4.1 надо было сконфигурировать:

security zone-pair trusted trusted
  rule 1
    action permit
    match protocol any
    match source-address any
    match destination-address any
    enable
  exit
exit

Для версии 1.6.2 достаточно ввести:

security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit

Условия, заканчивающиеся на "any"  являются значениями по умолчанию и их нет необходимости вводить. Обновление с 1.4.1 на 1.6.2 не требует изменения настроек.

Изменения в механизме работы с паролями и пользователями admin, root, techsupport.

В целях повышения безопасности более не допускается использование встроенных учетных записей пользователей admin, root, techsupport без указания пароля. Длина пароля от 8 до 32 символов.

При загрузке на конфигурации factory-config и первом входе также потребуется сменить пароль пользователя admin:

esr-10 login: admin
Password:
You are required to change your password immediately!!!


********************************************

*            Welcome to ESR-1000             *

********************************************


esr-1000(change-expired-password)#
esr-1000(change-expired-password)# password
  encrypted   Configure user's password sha512
  WORD(8-32)  User's password

esr-1000(change-expired-password)# password 12345678
esr-1000(change-expired-password)# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
2019-04-23T09:00:02+00:00 %CLI-I-CRIT: user admin from console  input: commit
esr-1000(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
2019-04-23T09:00:05+00:00 %CLI-I-CRIT: user admin from console  input: confirm
esr-1000#

При включении логина пользователям techsupport, root для них так же потребуется предварительно задать пароль в конфигурации:

esr-1000# config
esr-1000(config)# root login enable
error - check root-enable: Couldn't enable root user - default password is set. Change the password and try again
esr-1000(config)# tech-support login enable
error - check techsupport-enable: Couldn't enable techsupport user - default password is set. Change the password and try again
esr-1000(config)# username root
esr-1000(config-user)# password 12345678
esr-1000(config-user)# exit
esr-1000(config)# username techsupport
esr-1000(config-user)# password 12345678
esr-1000(config-user)# exit
esr-1000(config)# root login enable
esr-1000(config)# tech-support login enable
esr-1000(config)# exit
esr-1000# comm
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
2019-04-23T09:02:49+00:00 %CLI-I-CRIT: user admin from console  input: commit
esr-1000# confirm
Configuration has been confirmed. Commit timer canceled.
2019-04-23T09:02:52+00:00 %CLI-I-CRIT: user admin from console  input: confirm
esr-1000#

Внесены изменения в дефолтное значение и диапазон значений команды security passwords history. Ранее её значение изменялось от 1 до 15. Дефолтное значение соответствовало отсутствию команды в конфигурации. С версии 1.6.2 дефолтное значение равно 1, оно же соответствует команде no security passwords history. Для того, что бы разрешить задавать пользователям ранее использованные пароли надо выполнить и применить команду

esr-1000(config)# security passwords history 0

При обновлении с 1.4.1, если значение не было настроено, в конфигурацию будет добавлено security passwords history 0. Это необходимо учесть при формировании шаблонов конфигураций, загружаемых по tftp, т.к. при попытке загрузить конфигурацию с настроенным пользователем с паролем, совпадающим настройками того же пользователя на ESR и наличием в его конфигурации security passwords history отличным он нуля, приведёт к ошибке загрузки такой конфигурации.

Также необходимо внести эту настройку в конфигурации, отдаваемые ESR-10, работающим в режиме OTT в настройках EMS:  "Wireless" → "Менеджер правил инициализации ТД" → "OTT индивидуальная конф.".

Вывод информации о состоянии child SA IPsec VPN

Реализован вывод информации о состоянии child SA IPsec VPN. Просмотр информации осуществляется командой:

show security ipsec vpn authentication vrf <ИМЯ IPSEC VPN> или show security ipsec vpn authentication vrf <ИМЯ VRF> <ИМЯ IPSEC VPN> . Указание VRF опционально, необходимо, если соответствующий VRF используется для работы IPsec VPN.

1700-ipsec# show security ipsec vpn authentication vrf ipsec1 XAUTH_IPSEC_VPN

Local host        Remote host       Local subnet          Remote subnet         Authentication                              State         

---------------   ---------------   -------------------   -------------------   -----------------------------------------   -----------   

10.12.20.3        192.168.255.19    192.168.200.32/28     172.31.0.1/32         Xauth PSK, login: a8:f9:4b:ac:97:5b         Established   

10.12.20.3        192.168.255.40    192.168.200.32/28     172.31.0.2/32         Xauth PSK, login: e0:d9:e3:50:71:e0         Established   

10.12.20.3        192.168.255.4     192.168.200.32/28     172.31.0.3/32         Xauth PSK, login: e0:d9:e3:70:59:20         Established 

1700-ipsec# show security ipsec vpn authentication vrf ipsec1 XAUTH_IPSEC_VPN

Local host        Remote host       Local subnet          Remote subnet         Authentication                              State         

---------------   ---------------   -------------------   -------------------   -----------------------------------------   -----------   

10.12.20.3        192.168.255.19    no child SA           no child SA           Xauth PSK, login: a8:f9:4b:ac:97:5b         Established   

10.12.20.3        192.168.255.40    192.168.200.32/28     172.31.0.2/32         Xauth PSK, login: e0:d9:e3:50:71:e0         Established   

10.12.20.3        192.168.255.4     192.168.200.32/28     172.31.0.3/32         Xauth PSK, login: e0:d9:e3:70:59:20         Established

Настройка пользователя для взаимодействия с Ansible

Для взаимодействия с системой управления конфигурациями Ansible потребуется создать пользователя с возможностью доступа по SFTP. При создании пользователя надо будет указать, что он должен подключаться к SFTP серверу на ESR командой: ip sftp enable

Пример:

username sftp
  password password
  ip sftp enable
exit

Пользователь обязательно должен быть создан локально, передать атрибут ip sftp enable при авторизации пользователя через radius/tacacs нельзя.

Подробнее о настройках и взаимодействии описано здесь: Управление ESR с помощью Ansible

SNMP - добавлена возможность настройки source-address и source-interface

В настройках SNMP реализована возможность указать source-address или source-interface. Указанный адрес или адрес с указанного интерфейса будут использоваться в качестве адреса источника для отправляемых SNMP пакетов. Настройки являются взаимоисключающими, поэтому указать одновременно source-address и source-interface нельзя. Пример конфигурации:

Для source-address:

snmp-server host 100.123.0.2
  source-address 100.123.0.174
exit

Для source-interface:

snmp-server host 100.123.0.2
  source-interface bridge 23
exit

SNMP - реализована возможность выбора трапов, которые требуется отправлять.

Ранее отправка трапов по умолчанию была включена. С версии 1.6.2 отправка трапов по умолчанию будет отключена. Надо будет указать в конфигурации, какие трапы нужно отправлять. При обновлении с версии 1.4.1 для сохранения прежднего поведения в конфигурацию будут добавлены команды на включение для всех типов трапов.

BRIDGE - ограничение на количество широковещательных пакетов, поступающих в интерфейс

    Реализовано ограничение на количество широковещательных пакетов, поступающих в интерфейс типа BRIDGE, на моделях ESR1000/1200/1700.

bridge <№>
rate-limit arp-broadcast                              #Включает ограничение на количество поступающих широковещательных пакетов в бридж.
rate-limit arp-broadcast pps <число>  #Значение ограничения числа поступающих широковещательных пакетов в бридж в секунду. Значение по умолчанию 100, допустимый диапазон от 1-65535.

    В интерфейс типа bridge может быть включено большое число интерфейсов softgre, что приводит при необходимости узнать мак-адрес клиента, к массовой рассылке широковещательных arp-запросов во всей туннели. При интенсивном поступлении пакетов для несуществующего клиента, либо для которого нет арп-записи (пока она не будет получена), это может привести к массовому флуду широковещательных пакетов во все интерфейсы и перегрузке CPU роутера, вынужденного массово формировать большое число arp пакетов.

    Для предотвращения этого поведения командой rate-limit arp-broadcast включается ограничение на количество широковещательных пакетов, которые могут поступить в бридж в течении секунды. При превышении этого значения пакеты, в том числе и порождаемые самим роутером будут отброшены. Ограничение по умолчанию количества пакетов, поступающих в секунду равно 100. Командой rate-limit arp-broadcast pps можно изменить это ограничение в пределах от 1-65535. Настройки выполняются на интерфейсе типа bridge.

    Как это работает? Предположим, что в интерфейс bridge включено 250 туннелей softgre. Далее в роутер начинают поступать пакеты, для которых нет арп записи для клиента, находящегося в одном из интерфейсов softgre, с интенсивностью 1000 пакетов в секунду. Для каждого такого пакета, пока не появится арп-запись, роутеру потребуется отправить широковещательный арп-запрос, которые начнут в соответствующем количестве поступать в бридж (в данном случае 1000 шт), которые бриджом будут размножены на все 250 softgre-туннелей, включенных в него, и отправлены  в каждый туннель, что приведет к флуду в 250000 пакетов в секунду, в каждый softgre туннель будет уходить по 1000 пакетов в секунду. После включении ограничения на количество широковещательных пакетов, поступающих в бридж, использую дефолтное ограничение 100 пакетов в секунду, в бридж будут попадать только 100 пакетов в секунду, остальные 900 будут отброшены. Таким образом, всего будет сгенерировано 25000 пакетов, в каждый softgre туннель будет отправляться всего 100 пакетов в секунду, пока адрес не будет получен ответ на арп запрос из одного из туннелей.

Удаление всех динамически сконфигурированных туннелей EoGRE

    Для динамически  туннелей EoGRE, созданных с использованием функционала wireless-controller, добавлена команда удаления всех туннелей: clear tunnels softgre all. Команда выполняется из режима debug:

esr1000(debug)# clear tunnels softgre all

При её использовании все динамически сконфигурированные туннели EoGRE будут удалены. Потом они смогут быть сконфигурированы повторно, по мере получения запросов от ТД. Если используется схема с VRRP резервированием - удаление EoGRE туннелей нужно произвести только на VRRP MASTER, на VRRP BACKUP их удалить нельзя, т.к. их состояние синхронизируется с VRRP MASTER, а не конфигурируется по запросам от ТД.

ESR1200/1700 - команды для просмотра таблицы FBD

    Для ESR1200/1700 добавлены команды для просмотра таблицы FBD. Команды находятся в debug:

esr1700(debug)#

Для работы вывода надо включить в конфигурации ESR syslog monitor debug (или syslog console debug, если для подключения используется консоль).

Для отображения текущего состояния таблицы:

esr1700(debug)# show mac status
2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB size: 131072
2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB used entries: 12 (static 1/dynamic 11)
2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB free entries: 131060
2019-06-19T17:58:30+07:00 %SW-D-DBG: Hash chain length: 4
2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB hash function: crc
2019-06-19T17:58:30+07:00 %SW-D-DBG: Aging time: 300 seconds
2019-06-19T17:58:30+07:00 %SW-D-DBG: VLAN Lookup mode: Independent VLAN Learning
2019-06-19T17:58:30+07:00 %SW-D-DBG: Global configuration for FID 16 bits: disable
2019-06-19T17:58:30+07:00 %SW-D-DBG: Address update queue: no full 0 end 0
2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB upload queue: no full 0 end 0
2019-06-19T17:58:30+07:00 %SW-D-DBG: Sending NA messages to the CPU (bucket is full): disable

Downgrade программного обеспечения ESR с версии 1.6.2 до версии 1.4.1

В версии 1.6.2 предусмотрена возможность отката программного обеспечения на версию 1.4.1.

1) Загружаем программное обеспечение, шаг можно пропустить, если оно уже загружено в неактивный image:

Beta-1700# copy tftp://100.110.0.150:/esr1700-1.4.1-build185.firmware system:firmware
|******************************************| 100% (81286kB) Firmware updated successfully.
Beta-1700#

2) Заходим в debug и выполняем команду downgrade configuration 1.4.1:

Beta-1700# debug 
Beta-1700(debug)# downgrade 
  configuration  Downgrade configuration version
Beta-1700(debug)# downgrade configuration 1.4.1 
Configuration has been successful downgraded!
Beta-1700(debug)# exit

3) Выбираем для последующей загрузки неактивный image с прошивкой с версией ПО 1.4.1:

Beta-1700# sh bootvar 
Image   Version                     Date                   Status         After reboot   
-----   -------------------------   --------------------   ------------   ------------   
1       1.4.1 build 185[1665ee7]    date 19/11/2018 time   Not Active                    
                                    14:52:03                                             

2       1.6.x build 47[b72537e9]    date 12/04/2019 time   Active         *              
                                    11:02:37                                             

Beta-1700# boot system image-1
Do you really want to set boot system image? (y/N): y
Beta-1700# sh bootvar 
Image   Version                     Date                   Status         After reboot   
-----   -------------------------   --------------------   ------------   ------------   
1       1.4.1 build 185[1665ee7]    date 19/11/2018 time   Not Active     *              
                                    14:52:03                                             

2       1.6.x build 47[b72537e9]    date 12/04/2019 time   Active                        
                                    11:02:37                                             

4) Отправляем ESR в перезагрузку:

Beta-1700# reload system 
Do you really want to reload system ? (y/N): y
Beta-1700# Connection closed by foreign host.