1. При обновлении с версии 1.4.0 на версию 1.4.1 вместе с обновлением прошивки надо обновлять вторичный загрузчик.
2. Изменилась логика работы проксирования. Ранее использовались порты 3128/3129 (http/https). Начиная с версии 1.4.1 слушающий порт прокси будет открыт для каждого ядра ESR. Для ESR1000/1200 это будет:
http 3128 + CPU_CORES (16) = 3128-3143
https 3144 + CPU_CORES (16) = 3144-3159
Для 1700:
http 3128 + CPU_CORES (80) = 3128-3208
https 3209 + CPU_CORES (80) = 3209-3289
Нужно открыть в настройках файрвола ESR возможность пользователям подключаться на эти порты.
Для ESR1000/1200:
object-group service redirect
port-range 3128-3143
port-range 3144-3159
exit
Для ESR1700:
object-group service redirect
port-range 3128-3208
port-range 3209-3289
exit
Также нужно открыть доступ к порталу с этих портов на вышестоящем файрволе, если он фильтрует доступ по портам.
3. Изменилась логика работы правил PBR. Ранее для используемой в настройке PBR на интерфейсе route-map правила обрабатывались снизу вверх.
В версии 1.4.0:
route-map users
rule 11
match ip access-group users_all
action set ip next-hop verify-availability 10.254.0.5 10
action permit
exit
rule 12 #Трафик начнёт обрабатываться с последнего в спике правила поднимаясь в вверх по порядку
match ip access-group users_dns_dhcp
action set ip next-hop verify-availability 10.254.0.1 10
action permit
exit
exit
В версии 1.4.1 обработка будет идти по порядку следования правил свреху вниз:
route-map users
rule 10 #Трафик начнет обрабатываться с первого правила вниз по порядку
match ip access-group users_dns_dhcp
action set ip next-hop verify-availability 10.254.0.1 10
action permit
exit
rule 11
match ip access-group users_all
action set ip next-hop verify-availability 10.254.0.5 10
action permit
exit
exit
4. Реализован механизм фильтрации VRRP ананосов, что бы они рассылались только в влане бриджа и не отправлялись во включенные в бридж интерфейсы:
bridge 1
ports vrrp filtering enable #Запрещаем рассылку VRRP анонсов в интерфейсы, включенные в бридж
ports vrrp filtering exclude vlan #Разрешаем рассылку VRRP анонсов в влане бриджа
exit
5. Для мехнизма VRRP реализована возможность мониторинга доступности определённого IP-адреса. В случае его недоступности VRRP инстанс перейдет в FAULT, переведя в это же состоняие всех членов группы, в которой он состоит.
bridge 1
vrrp track-ip <IP адрес> #IP-адрес, доступность которого проверяется путем отправки пингов на него. ICMP должен быть разрешён в настройках файрвола удаленного стороны.
vrrp track-ip packets <1-5> #Количество пингов, которое отправляется при мониторинге удаленного адреса, значение по умолчанию 1.
vrrp track-ip interval <3-60> #Интервал, через который осуществляется отправка пингов, значение по умолчанию 3.
exit
Для срабатывания механизма, требуется, что бы не пришли ответы на все пинги, число которых указано в vrrp track-ip packets.
6. Реализован механизм GRE keepalive, для ESR-10, который проверяет доступность адреса внутри GRE тунеля и начианет перезапускать DHCP-клиента в ключае его недоступности.
tunnel gre 1
keepalive dst-address <IP адрес> #Адрес, доступность которого мониториться. Адрес должен быть доступен через GRE.
keepalive retries <1-255> #Количество пакетов PING, который отвправляются черз определнный интервал времени, по умолчанию 6.
keepalive timeout <1-32767> #Интервал, через который отправляються пинги, для контроля доступности удаленноо адреса, по умолчанию 10.
keepalive dhcp dependent-interface <интерфейс> #Интерфейс, на котором перезапускаем DHCP-клиента, например bridge 1.
keepalive dhcp dependent-interface <интерфейс> #Ещё один интерфейс, на котором перезапускаем DHCP-клиента, например bridge 2.
keepalive enable #Включаем механизм keepalive.
exit