Версия clish
При подготовке файлов конфигурации, загружаемых по ftp/tftp актуальная версия clish, соответствующая текущей версии прошивки 1.6.2 будет 14.
#!/usr/bin/clish #14
Отображение различий между конфигурациями
Реализована команда, позволяющая просмотреть различия между running-config и candidate-config: show configuration changes.
esr1000# show configuration changes bridge 1 - vlan 3500 - mac-address a8:f9:4b:aa:23:b2 - security-zone untrusted - ip address 192.168.48.52/20 - ip helper-address vrrp-group 1 - vrrp id 35 - vrrp ip 192.168.48.55/32 + vlan 2308 + security-zone GRE + ip address 192.168.200.19/28 + vrrp id 1 + vrrp ip 192.168.200.17/32 + vrrp ip 192.168.200.18/32 secondary - protected-ports - protected-ports exclude vlan - ports vrrp filtering enable - ports vrrp filtering exclude vlan
Знаком "+" помечены изменения, которые есть в candidate-config и отсутствуют в running-config. Знаком "-" помечены изменения, которые есть в candidate-config, но отсутствуют в running-config.
Изменения в BGP
Изменились механизмы импорта, экспорта и фильтрации (route-map, prefix-list) маршрутной информации протоколов маршрутизации (RIP, OSPF, BGP). Требуется перенастройка.
Для механизмов фильтрации импортируемой маршрутной информации:
- Route-map (in)
- Prefix-list (in)
- Route-map (in) + Prefix-list (in)
- Redistribute + route-map
При установке одного или нескольких фильтров, импорт маршрутов, которые не были разрешены этими фильтрами, будут запрещён.
Механизм фильтрации экспортируемой маршрутной информации подразумевает:
1) для протоколов IGP - по умолчанию анонсируются все маршруты, содержащиеся в таблице маршрутизации протокола маршрутизации;
2) для протоколов EGP - по умолчанию анонсирование маршрутов запрещено.
Механизмы фильтрации экспортируемой маршрутной информации:
Route-map (out)
Prefix-list (out)
Route-map (out) + Prefix-list (out)
Для iBGP ни один из механизмов не является обязательным. По умолчанию экспорт маршрутов будет разрешён.
Для eBGP ни один из механизмов не является обязательным. По умолчанию экспорт маршрутов будет запрещён.
Если конфигурация BGP на ESR выглядит так:
То данном случае надо добавить в настройки BGP команду redistribute connected, что бы импортировать connected подсети таблицу маршрутов процесса BGP. Если необходимо импортировать маршрутную информацию для других типов подсетей (полученных из других источников, например OSPF, RIP, static или другого процесса BGP) - то это так же необходимо выполнить соответствующей командой redistribute.
Получившаяся конфигурация:
Данную настройка есть в 1.4.1, рекомендуется её выполнить до обновления на версию 1.6.2, т.к. без неё ESR перестанет анонсировать connected подсети eBGP соседям и станет недоступным по адресу управления.
Так же необходимо проанализировать прочие настройки в контексте приведённой выше информации и внести соответствующие изменения.
Переключение режима работы интерфейса
Введён параметр режима работы физического интерфейса и port-channel
- routerport - L3 режим
- switchport - L2 режим
- hybrid - L2+L3 режим
Для ESR low (ESR-10, ESR-12v, ESR-100, ESR-200) доступен режим routerport/switchport. Для ESR middle (ESR-1000, ESR-1200, ESR-1700) доступны все режимы работы. При переходе на ПО выше 1.6.0 и выше, нужно провести анализ конфигурации и внести изменения. Например если интерфейс был настроен:
interface gigabitethernet 1/0/1 ip firewall disable switchport access vlan 2 exit interface gigabitethernet 1/0/1.1000 ip address dhcp ip firewall disable ip dhcp client ignore router exit
После обновления конфигурация будет иметь вид:
interface gigabitethernet 1/0/1 switchport access vlan 2 exit
Саб-интерфейс gigabitethernet 1/0/1.1000 будет удален из конфигурации.
Изменения в конфигурации правил файрвола
При файрвола условия правила, в которых в качестве области действия указывается "any" являются дефолтными, при настройке такие параметры можно не вводить и они не отображаются в конфигурации. После обновления с версии 1.4.1 на 1.6.2 такие условия перестанут отображаться в выводе конфигурации.
Например, для версии 1.4.1 надо было сконфигурировать:
security zone-pair trusted trusted rule 1 action permit match protocol any match source-address any match destination-address any enable exit exit
Для версии 1.6.2 достаточно ввести:
security zone-pair trusted trusted rule 1 action permit enable exit exit
Условия, заканчивающиеся на "any" являются значениями по умолчанию и их нет необходимости вводить. Обновление с 1.4.1 на 1.6.2 не требует изменения настроек.
Изменения в механизме работы с паролями и пользователями admin, root, techsupport.
В целях повышения безопасности более не допускается использование встроенных учетных записей пользователей admin, root, techsupport без указания пароля. Длина пароля от 8 до 32 символов.
При загрузке на конфигурации factory-config и первом входе также потребуется сменить пароль пользователя admin:
При включении логина пользователям techsupport, root для них так же потребуется предварительно задать пароль в конфигурации:
Внесены изменения в дефолтное значение и диапазон значений команды security passwords history. Ранее её значение изменялось от 1 до 15. Дефолтное значение соответствовало отсутствию команды в конфигурации. С версии 1.6.2 дефолтное значение равно 1, оно же соответствует команде no security passwords history. Для того, что бы разрешить задавать пользователям ранее использованные пароли надо выполнить и применить команду
esr-1000(config)# security passwords history 0
При обновлении с 1.4.1, если значение не было настроено, в конфигурацию будет добавлено security passwords history 0. Это необходимо учесть при формировании шаблонов конфигураций, загружаемых по tftp, т.к. при попытке загрузить конфигурацию с настроенным пользователем с паролем, совпадающим настройками того же пользователя на ESR и наличием в его конфигурации security passwords history отличным он нуля, приведёт к ошибке загрузки такой конфигурации.
Также необходимо внести эту настройку в конфигурации, отдаваемые ESR-10, работающим в режиме OTT в настройках EMS: "Wireless" → "Менеджер правил инициализации ТД" → "OTT индивидуальная конф.".
Вывод информации о состоянии child SA IPsec VPN
Реализован вывод информации о состоянии child SA IPsec VPN. Просмотр информации осуществляется командой:
show security ipsec vpn authentication vrf <ИМЯ IPSEC VPN> или show security ipsec vpn authentication vrf <ИМЯ VRF> <ИМЯ IPSEC VPN> . Указание VRF опционально, необходимо, если соответствующий VRF используется для работы IPsec VPN.
Настройка пользователя для взаимодействия с Ansible
Для взаимодействия с системой управления конфигурациями Ansible потребуется создать пользователя с возможностью доступа по SFTP. При создании пользователя надо будет указать, что он должен подключаться к SFTP серверу на ESR командой: ip sftp enable
Пример:
username sftp password password ip sftp enable exit
Пользователь обязательно должен быть создан локально, передать атрибут ip sftp enable при авторизации пользователя через radius/tacacs нельзя.
Подробнее о настройках и взаимодействии описано здесь: Ansible
SNMP - добавлена возможность настройки source-address и source-interface
В настройках SNMP реализована возможность указать source-address или source-interface. Указанный адрес или адрес с указанного интерфейса будут использоваться в качестве адреса источника для отправляемых SNMP пакетов. Настройки являются взаимоисключающими, поэтому указать одновременно source-address и source-interface нельзя. Пример конфигурации:
Для source-address:
snmp-server host 100.123.0.2 source-address 100.123.0.174 exit
Для source-interface:
snmp-server host 100.123.0.2 source-interface bridge 23 exit
SNMP - реализована возможность выбора трапов, которые требуется отправлять.
Ранее отправка трапов по умолчанию была включена. С версии 1.6.2 отправка трапов по умолчанию будет отключена. Надо будет указать в конфигурации, какие трапы нужно отправлять. При обновлении с версии 1.4.1 для сохранения прежднего поведения в конфигурацию будут добавлены команды на включение для всех типов трапов.
BRIDGE - ограничение на количество широковещательных пакетов, поступающих в интерфейс
Реализовано ограничение на количество широковещательных пакетов, поступающих в интерфейс типа BRIDGE, на моделях ESR1000/1200/1700.
bridge <№> rate-limit arp-broadcast #Включает ограничение на количество поступающих широковещательных пакетов в бридж. rate-limit arp-broadcast pps <число> #Значение ограничения числа поступающих широковещательных пакетов в бридж в секунду. Значение по умолчанию 100, допустимый диапазон от 1-65535.
В интерфейс типа bridge может быть включено большое число интерфейсов softgre, что приводит при необходимости узнать мак-адрес клиента, к массовой рассылке широковещательных arp-запросов во всей туннели. При интенсивном поступлении пакетов для несуществующего клиента, либо для которого нет арп-записи (пока она не будет получена), это может привести к массовому флуду широковещательных пакетов во все интерфейсы и перегрузке CPU роутера, вынужденного массово формировать большое число arp пакетов.
Для предотвращения этого поведения командой rate-limit arp-broadcast включается ограничение на количество широковещательных пакетов, которые могут поступить в бридж в течении секунды. При превышении этого значения пакеты, в том числе и порождаемые самим роутером будут отброшены. Ограничение по умолчанию количества пакетов, поступающих в секунду равно 100. Командой rate-limit arp-broadcast pps можно изменить это ограничение в пределах от 1-65535. Настройки выполняются на интерфейсе типа bridge.
Как это работает? Предположим, что в интерфейс bridge включено 250 туннелей softgre. Далее в роутер начинают поступать пакеты, для которых нет арп записи для клиента, находящегося в одном из интерфейсов softgre, с интенсивностью 1000 пакетов в секунду. Для каждого такого пакета, пока не появится арп-запись, роутеру потребуется отправить широковещательный арп-запрос, которые начнут в соответствующем количестве поступать в бридж (в данном случае 1000 шт), которые бриджом будут размножены на все 250 softgre-туннелей, включенных в него, и отправлены в каждый туннель, что приведет к флуду в 250000 пакетов в секунду, в каждый softgre туннель будет уходить по 1000 пакетов в секунду. После включении ограничения на количество широковещательных пакетов, поступающих в бридж, использую дефолтное ограничение 100 пакетов в секунду, в бридж будут попадать только 100 пакетов в секунду, остальные 900 будут отброшены. Таким образом, всего будет сгенерировано 25000 пакетов, в каждый softgre туннель будет отправляться всего 100 пакетов в секунду, пока адрес не будет получен ответ на арп запрос из одного из туннелей.
Удаление всех динамически сконфигурированных туннелей EoGRE
Для динамически туннелей EoGRE, созданных с использованием функционала wireless-controller, добавлена команда удаления всех туннелей: clear tunnels softgre all. Команда выполняется из режима debug:
esr1000(debug)# clear tunnels softgre all
При её использовании все динамически сконфигурированные туннели EoGRE будут удалены. Потом они смогут быть сконфигурированы повторно, по мере получения запросов от ТД. Если используется схема с VRRP резервированием - удаление EoGRE туннелей нужно произвести только на VRRP MASTER, на VRRP BACKUP их удалить нельзя, т.к. их состояние синхронизируется с VRRP MASTER, а не конфигурируется по запросам от ТД.
ESR1200/1700 - команды для просмотра таблицы FBD
Для ESR1200/1700 добавлены команды для просмотра таблицы FBD. Команды находятся в debug:
esr1700(debug)#
Для работы вывода надо включить в конфигурации ESR syslog monitor debug (или syslog console debug, если для подключения используется консоль).
Для отображения текущего состояния таблицы:
esr1700(debug)# show mac status 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB size: 131072 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB used entries: 12 (static 1/dynamic 11) 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB free entries: 131060 2019-06-19T17:58:30+07:00 %SW-D-DBG: Hash chain length: 4 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB hash function: crc 2019-06-19T17:58:30+07:00 %SW-D-DBG: Aging time: 300 seconds 2019-06-19T17:58:30+07:00 %SW-D-DBG: VLAN Lookup mode: Independent VLAN Learning 2019-06-19T17:58:30+07:00 %SW-D-DBG: Global configuration for FID 16 bits: disable 2019-06-19T17:58:30+07:00 %SW-D-DBG: Address update queue: no full 0 end 0 2019-06-19T17:58:30+07:00 %SW-D-DBG: FDB upload queue: no full 0 end 0 2019-06-19T17:58:30+07:00 %SW-D-DBG: Sending NA messages to the CPU (bucket is full): disable
Downgrade программного обеспечения ESR с версии 1.6.2 до версии 1.4.1
В версии 1.6.2 предусмотрена возможность отката программного обеспечения на версию 1.4.1.
1) Загружаем программное обеспечение, шаг можно пропустить, если оно уже загружено в неактивный image:
Beta-1700# copy tftp://100.110.0.150:/esr1700-1.4.1-build185.firmware system:firmware |******************************************| 100% (81286kB) Firmware updated successfully. Beta-1700#
2) Заходим в debug и выполняем команду downgrade configuration 1.4.1:
Beta-1700# debug Beta-1700(debug)# downgrade configuration Downgrade configuration version Beta-1700(debug)# downgrade configuration 1.4.1 Configuration has been successful downgraded! Beta-1700(debug)# exit
3) Выбираем для последующей загрузки неактивный image с прошивкой с версией ПО 1.4.1:
Beta-1700# sh bootvar Image Version Date Status After reboot ----- ------------------------- -------------------- ------------ ------------ 1 1.4.1 build 185[1665ee7] date 19/11/2018 time Not Active 14:52:03 2 1.6.x build 47[b72537e9] date 12/04/2019 time Active * 11:02:37 Beta-1700# boot system image-1 Do you really want to set boot system image? (y/N): y Beta-1700# sh bootvar Image Version Date Status After reboot ----- ------------------------- -------------------- ------------ ------------ 1 1.4.1 build 185[1665ee7] date 19/11/2018 time Not Active * 14:52:03 2 1.6.x build 47[b72537e9] date 12/04/2019 time Active 11:02:37
4) Отправляем ESR в перезагрузку:
Beta-1700# reload system Do you really want to reload system ? (y/N): y Beta-1700# Connection closed by foreign host.