Межсетевой экран ESR-1511 FSTEC
ЕРРРП (ТОРП): ТКО-719/22- Интерфейсы:
- 4x1G Combo, 4x1G, 4x10G SFP+, 2x40G QSFP+, 1xOOB
- Производительность:
- FW - 18,7 Гбит/c, IPsec VPN - 4,6 Гбит/c
- Питание:
- AC/DC, 2 сменных БП
Описание
Межсетевой экран ESR-1511 сертифицирован Федеральной службой по техническому и экспортному контролю (ФСТЭК), что позволяет использовать его в качестве межсетевых экранов типа «А» четвертого класса защиты в государственных организациях, ведомственных структурах, информационных системах персональных данных и других организациях с повышенными требованиями к конфиденциальности.
Устройство предназначено для аутентификации пользователей, контроля и фильтрации трафика, сбора и хранения статистики событий, взаимодействия с другими средствами защиты информации. Обладает возможностью сопряжения с оборудованием ведущих производителей.
Межсетевой экран противодействует таким угрозам, как: несанкционированный доступ к цифровой информации организации, воздействие на устройство с целью нарушения его функционирования, отказ в обслуживании информационной системы по причине неконтролируемых сетевых подключений (в том числе DDoS-атак), уязвимостей, недостатков настроек. Кроме этого, защищает от несанкционированной передачи информации из внутренней системы организации во внешнюю среду, в том числе вследствие работы вредоносного ПО.
Характеристики
- Интерфейсы:
- 4x1G Combo, 4x1G, 4x10G SFP+, 2x40G QSFP+, 1xOOB
- Питание:
- AC/DC, 2 сменных БП
- Маршрутизация:
- RIP/OSPF/IS-IS/BGP
- Иерархический QoS
- Сертификация:
- ФСТЭК (Класс 4, Тип А)
- Удалённый доступ:
- WG/OpenVPN/PPTP/L2TP over Ipsec
- MPLS
- Туннелирование:
- GRE/IPsec VPN/DMVPN/L2TPv3/LT
- FIB:
- 1,7M
- Безопасность:
- ACL/Firewall/IPS/IDS/Защита от DDoS
Комплектация
Дополнительно
.png)
.png)
.png)
.png)
.png)
 (1).png)
Документы и файлы
Версия 1.5.10
- Реализован функционал кластеризации в режиме Active-Standby
- Реализована поддержка атрибута primary/secondary для IPv4-адресов
- Реализована поддержка модулей TopGateWAN-E1 на ESR-3300
- Реализована поддержка модулей TopGateWAN-E1 на ESR-31 для XG-интерфейсов
- Мониторинг и управление:
- CLI:
- Реализована возможность использования логического оператора "или" в шаблоне поиска при фильтрации вывода
- Реализована команда для вывода причины последней перезагрузки "show system reload"
- Реализована команда "unmount storage-device" для корректного извлечения USB-/MMC-накопителей
- Реализована команда "show interfaces switch-port vlans" для отображения VLAN, сконфигурированных на интерфейсах
- Добавлена информация о фильтрации процессов в вывод команды "show syslog configuration"
- Добавлены ключи команды "show version" для вывода информации о версиях только отдельных компонентов
- Добавлен ключ "inactive" для команды "boot system"
- Изменен вывод ошибок при применении конфигурации из файла
- Приведены к единому формату вывод даты, времени и uptime во всех show-командах
- Изменен формат вывода табличного представления команд:
- show bootvar
- show interfaces counters
- show interfaces status
- show interfaces description
- Уменьшена до 110 символов ширина таблиц, выводимых по следующим командам:
- show interfaces bridge switch-communities summary
- show interfaces status voice-port
- show content-filter
- show pbx peers
- show wlc clients
- show wlc ap interfaces
- show wlc service-activator aps
- show wlc airtune rrm optimization report
- show aaa radius-servers
- Syslog:
- Реализована генерация syslog-сообщений об изменении актуальной скорости агрегированного интерфейса
- SNMP:
- Реализована поддержка SNMP OID sysServices
- LLDP:
- Реализована возможность указания IP-адреса из VRF в качестве "lldp management-address"
- Zabbix:
- Обновлена версия iperf2 с 2.0.13 на 2.2.0
- CLI:
- Маршрутизация:
- Реализована возможность редиcтрибуции маршрутов из RIPng в ISIS
- BGP:
- Реализована возможность указания ключа "all" для команды "next-hop-self" для замены nex-hop во всех анонсируемых маршрутах. Без данного ключа замена next-hop происходит только для маршрутов, полученных по eBGP
- Реализована возможность назначения route-map на анонсируемую подсеть (network) для изменения/установки атрибутов
- Реализован функционал BGP AS-list
- Реализован функционал увеличения/уменьшения BGP-метрики на определенное значение по track
- Реализована поддержка механизма replace-as в атрибуте BGP AS-Path
- Реализован функционал BGP Conditional Advertisement
- Реализован SNMP OID eltEsrBgp4V2PeerLastEstablChange, отдающий время в секундах с момента перехода BGP-neighbor в состояние Established или Down
- Реализован SNMP OID eltEsrBgp4V2PeerImpRouteCount, отдающий количество маршрутов, принятых от BGP-neighbor
- OSPF:
- Реализовано отображение OSPF LSDB в расширенном виде
- Реализована работа ECMP для маршрутов OSPF External-2
- Реализован функционал OSPF ttl security
- RIP:
- Реализовано управление опцией split-horizon with poison-revers
- Security:
- Реализована команда для вывода подробной информации о контейнерах PKCS#12 – "show crypto certificates pfx"
- Реализована команда для вывода подробной информации о CRL – "show crypto certificates crl"
- Добавлены ключи "valid-after" и "invalid-after" для команд "update crypto default ca", "update crypto default cert" и "crypto generate cert"
- Увеличено максимальное количество записей в "object-group url" с 32 до 128
- Firewall:
- Реализована возможность использования object-group mac в правилах Firewall
- Реализована работа Application Firewall для IPv6
- Заменена команда "ip firewall sessions allow-unknown" на "ip firewall sessions unknown permit | deny | reject" с возможностью выбора действия при поступлении пакетов неподтвержденной tcp-сессии
- Добавлен вывод информации о "Description" в команде "show security zone-pair"
- IPsec:
- Реализован режим make_before_break для rekeying в IKEv2, регулируемый командой "security ike session reauthentication"
- Защита от атак:
- Реализована защита от атаки типа arp-spoofing для отдельных интерфейсов
- Реализовано логирование атак типа arp-spoofing
- Реализована защита от DoS-/DDoS-атак для IPv6
- Лицензирование:
- Реализована работа менеджера лицензий в VRF
- Реализована возможность запуска запроса лицензии на ELM-север без ожидания истечения таймеров при помощи команды "update licence-manager licence"
- Изменен вывод команды "show licence" с учётом возможности получения лицензий от ELM-сервера
- IDS/IPS:
- Реализовано логирование потери связи с user-server сигнатур
- Изменена последовательность обработки входящего трафика. На обработку трафик IDS/IPS поступает после работы Firewall
- Web filtering:
- Реализована поддержка web filtering для протокола https
- Реализована поддержка временных лицензий web filtering
- Реализована возможность использования master-category при конфигурировании функционала web filtering
- Актуализирован список категорий при конфигурировании функционала web filtering
- ACL
- Увеличено максимальное количество правил в ACL с 255 до 400 для ESR-15R
- Резервирование:
- VRRP:
- Добавлен столбец "Group" в вывод команды "show vrrp"
- SLA-тест:
- Реализован новый тип SLA-тестов – icmp-jitter
- Реализована возможность установки пороговых значений как условие успешности SLA-теста
- Реализована возможность задания "description" для IP SLA тестов
- Реализовано хранение истории результатов работы SLA-тестов
- Реализовано предоставление истории результатов работы SLA-тестов по SNMP
- Изменен вывод команды "show ip sla test statistics <NUM>" для icmp-echo-тестов. Для неизмеряемых параметров нулевые значения заменены на прочерки
- Track:
- Добавлено поле "description" в вывод команды "show tracks"
- VRRP:
- Туннелирование:
- VTI:
- Реализована возможность указывать "local interface" вместо "local address" VTI-туннеля
- DMVPN:
- Реализована возможность работы DMVPN-HUB за STATIC NAT
- Добавлено отображение флага "P - protected" для NHRP-peers, для которых установлена IPsec-сессия в выводе команды "show ip nhrp peers"
- Добавлен ключ "group name <GROUP-NAME>" для фильтрации вывода команды "show ip nhrp peers"
- Удалена необходимость указания маски подсети в выводе команды "ip nhrp nhs"
- VTI:
Прошлые версии
Версия 1.5.9
Поддержка маршрутизаторов ESR-15R/31/3200L/3300
Маршрутизация:
Расширено количество route-map для ESR-15R
Добавлен новый тип маршрутов NHRP Shortcut
Реализована возможность фильтрации маршрутов с помощью регулярных выражений
BGP:
Реализован функционал BGP fall-over
Настройки протокола BFD перенесены в раздел BGP fall-over
Реализована возможность привязки route-map к анонсируемой по BGP подсети
Реализована возможность увеличения/уменьшения метрики на определенное значение
Реализован функционал local-as с подопциями no-prepend и replace-as
Реализована возможность агрегирования маршрутной информации при анонсировании по BGP
Реализована возможность фильтрации маршрутов по атрибуту BGP Next-Hop
OSPF:
Реализована возможность перевода интерфейса в режим passive для протокола OSPF
Реализована возможность конфигурирования на интерфейсе параметра "reference-bandwidth"
Реализована возможность включения автоматического расчёта OSPF-cost для интерфейсов
Реализована поддержка режима point-to-multipoint broadcast
Реализована поддержка функционала ECMP для OSPF External маршрутов (E1 и E2)
Multiwan:
Переработан механизм проверки параметров multiwan на этапе настройки
MPLS:
Реализована возможность в команде "advertise-labels" конфигурировать "prefix" с ключами "eq", "ge" или "le"
Расширен вывод информации при подробном просмотре записей VPNv4 и VPLS
Мониторинг и управление:
CLI:
Реализовано повторное отображение баннера, выводимого до аутентификации пользователя на маршрутизаторе при нажатии комбинации клавиш "ctrl"+"c"
Реализована проверка IP-адресов, указываемых в качестве remote-address в syslog host, на присутствие на самом маршрутизаторе
Увеличено количество loopback-интерфейсов до 32
Реализована возможность записи дампа трафика в файл
Реализована возможность фильтрации вывода команд "show running-config" и "show candidate-config" по ключу "syslog"
Реализовано разделение между всеми блоками конфигураций
Реализовано отображение информации о QSFP28 в выводе команды "show interfaces sfp"
sFlow:
Реализована возможность отправки sFlow-статистики в VRF
Zabbix:
Реализована возможность запуска iperf3 средствами Zabbix-agent
SNMP:
Реализована отправка SNMPv3-trap
SLA:
Реализована возможность управления DF-битом для SLA-тестов
Реализовано срабатывание track при неудачном прохождении SLA-теста
Расширен вывод оперативной информации о работе SLA-тестов
Реализован механизм изменения конфигурации SLA без перезапуска всех тестов
Реализована привязка выполнения SLA-теста к состоянию интерфейса
Security:
Firewall
Выполнена корректировка лимитов на количество firewall-сессий
Реализована возможность указывать в правилах хост/подсеть без использования object-group network
Реализована возможность фильтрации широковещательных пакетов для "security zone-pair any self"
IPS
Расширен вывод команды "show security ips counters"
IPsec:
Реализована возможность использования "local interface" при настройке "security ike gateway" для построения IPsec от интерфейсов с динамическими адресами
Реализована команда "clear security ipsec vpn <VPN-NAME>" для сброса одного из текущих VPN-соединений
Реализована возможность задания различных PSK для разных remote-address (ike keyring)
Реализована поддержка групп Diffie-Hellman до 31
ACL:
Реализована возможность использования диапазона tcp-/udp-портов в правилах ACL
AAA:
Реализована возможность авторизации выполняемых команд при помощи TACACS-сервера
QoS:
Реализован функционал traffic policing
Реализована возможность перемаркировки полей COS и DSCP на выходном интерфейсе
Реализована поддержка peer-tunnel-QoS политик для DMVPN Spoke-to-Spoke туннелей
- Туннелирование:
- Реализована поддержка протокола туннелирования WireGuard
- DMVPN
- Реализована поддержка назначения динамического IP-адреса на DMVPN SPOKE
- Улучшена скорость и стабильность работы
- Доработан вывод команды "show ip nhrp"
- DHCP:
- Увеличено количество ip helper-address на интерфейсе до 6
- Реализована возможность конфигурирования параметра next-server для DHCP-server pool
- NTP:
- Реализована возможность конфигурирования NTP-server с указанием не только IP-адреса, но и доменного имени
Версия 1.5.8
- Маршрутизация:
- BGP:
- Реализован функционал Dynamic Neighbors
- Реализованы механизмы удаления community и extcommunity в анонсах
- Реализованы механизмы замены community и extcommunity в анонсах
- Реализована возможность конфигурирования address-family в peer-group
- В выводе команды show bgp для конкретного маршрута добавлено отображение параметров: Next Hop, Local Preference, MED, Community, EXT Community
- OSPF:
- Реализована возможность редистрибьюции маршрутов с External Type-1
- Реализована возможность задания метрики маршрута при редистрибьюции
- MultiWan:
- Реализована возможность маркировки сессий для MultiWAN, для отправки ответных пакетов сессии через тот же интерфейс, через который поступают пакеты данной сессии
- MPLS:
- Реализован функционал Inter-AS Option С
- Реализована поддержка настройки route-target both для VPLS
- Реализована работа MPLS over DMVPN
- Реализована возможность передачи кадров L2-протоколов через PW при помощи команды l2protocol forward в l2vpn-eompls-view
- BGP:
- Мониторинг и управление:
- CLI:
- Добавлена возможность ограничения доступа к ssh-серверу маршрутизатора при помощи команды "ip ssh access-addresses"
- Добавлена возможность ограничения доступа к telnet-серверу маршрутизатора при помощи команды "ip telnet access-addresses"
- Добавлена возможность вычисления контрольных сумм для сертификатов и лицензий
- Добавлено отображение детальной информации по статусу работы multilink
- Реализована команда show tech-support для формирования архива диагностической информации
- Удалена возможность запускать команду monitor для loopback-интерфейсов
- Добавлена возможность использования символов верхнего регистра в имени пользователя в ssh/ftp/ssh/sftp-клиентах ESR
- Изменен вывод ошибки подключения по ssh в хосте при несовпадении ssh-ключа в соответствии с возможностями ESR
- Изменены проверки совместимости для команд в разделе ARCHIVE
- Унифицированы подсказки для команд конфигурирования mail server
- Отключен запуск резервного копирования текущей конфигурации при старте устройства
- Syslog:
- Реализовано заполнение полей hostname и ip-адрес в syslog-пакетах
- Изменен формата сообщений logging service start-stop
- Изменено заполнение поля APP-NAME в syslog-сообщениях
- SNMP:
- В ELTEX-GENERIC-MIB создана таблица eltexUtilizationIfTable, содержащая счетчики утилизации интерфейсов
- Добавлена поддержка OID cntpPeersVarTable (OID 1.3.6.1.4.1.9.9.168.1.2.1) – последовательность cntpPeersVarEntry со всеми вложенными атрибутами из CISCO-NTP-MIB
- Добавлена поддержка OID hrSystemDate (OID 1.3.6.1.2.1.25.1.2) из HOST-RESOURCES-MIB
- В ELTEX-ESR-BGP4V2-MIB добавлена поддержка OID: eltEsrBgp4V2PeerAdminStatus ,eltEsrBgp4V2PeerRemoteAddrStr, eltEsrBgp4V2PeerRemoteaddrStr
- В ELTEX-GENERIC-MIB добавлена поддержка OID для мониторинга лимитов и утилизации FIB/RIB для ipv4/ipv6: eltexRoutingFIBLimit, eltexRoutingFIBUsage, eltexRoutingFIB6Limit, eltexRoutingFIB6Usage, eltexRoutingRIBUsageBGP, eltexRoutingRIBUsageOSPF, eltexRoutingRIBUsageRIP, eltexRoutingRIBUsageISIS, eltexRoutingRIB6LimitsBGP, eltexRoutingRIB6LimitsOSPF, eltexRoutingRIB6LimitsRIP, eltexRoutingRIB6LimitsISIS, eltexRoutingRIB6UsageBGP, eltexRoutingRIB6UsageOSPF, eltexRoutingRIB6UsageRIP, eltexRoutingRIB6UsageISIS
- NetFlow:
- Реализована отправка netflow через OOB-интерфейс
- CLI:
- Security:
- Firewall:
- Реализована возможность ограничения количества firewall-сессий для отдельных правил при помощи команды action session-limit
- IDS/IPS:
- Реализована очистка счетчиков при перезагрузке и по команде clear security ips counters
- Реализовано отключение интерфейсов с включенным функционалом IDS/IPS после перезагрузки до скачивания и применения сигнатур IDS/IPS
- Реализована возможность указания количества правил для категории в процентах (rules percent), все (rules all) и рекомендованные (rules recommended)
- Реализована возможность хранения скачанных сигнатур на внешнем носителе (SD/USB)
- Реализована возможность просмотра статусов ответов от EDM-сервера в debug-режиме
- IPsec:
- Добавлено отображение PFS dh-group в выводе команды show security ipsec proposal
- Реализована работа функционала DPD для IKEv2
- Firewall:
- Туннелирование:
- Реализована возможность работы gre-keepalive при построении туннеля от IP-адреса в другом VRF
- Добавлено предупреждение при выполнении команды no ip nhrp ipsec в настройках GRE-туннеля
- OpenVPN-сервер, клиент обновлен до версии 2.5.3
- QoS:
- Реализован функционал Per-Tunnel QOS на основе групповых атрибутов для DMVPN
- Механизм отслеживания событий (track):
- Переработан механизм изменения параметра BGP AS-path prepend в зависимости от состояния track
- Реализован механизм изменения параметра BGP metric в зависимости от состояния track
Версия 1.5.7
Поддержка маршрутизаторов ESR-30/3200
Реализован функционал TFTP-сервера
Реализована поддержка функционала Content-Filter для HTTP-трафика
Реализована поддержка функционала Anti-Spam для HTTP-трафика
Ограничена поддержка файловых систем для USB-накопителей и SD/MMC карт. Поддерживается только FAT/exFAT
Интерфейсы:
Поддержан E1 HDLC
ESR-21: Поддержан Serial (RS-232):
Организация подключения с помощью аналоговых модемов в режиме Dial up, leased line
Управление соседними устройствами по консоли
BRAS:
Реализована возможность задания пароля пользователей при авторизации по IP и MAC
Реализована поддержка работы BRAS в VRF для схемы включения L3
Реализована поддержка добавления Option 82 из DHCP пакетов клиентов в аккаунтинг
Реализована поддержка получения числа сервисов и сессий BRAS через SNMP
Реализована возможность задания интерфейса c динамическими IP адресами в качестве nas-ip
Реализована команда show subscriber-control sessions count для подсчета числа сессий BRAS
Реализована команда show subscriber-control services count для подсчета числа сервисов BRAS
Мониторинг и управление:
В заводскую конфигурацию добавлена настройка "domain lookup"
Реализовано добавление имени пользователя, изменившего конфигурацию, при автоматическом архивировании конфигурации по commit
Реализована поддержка четырёх режимов path-mtu-discovery:
disable
default
icmp-discard
secure
Реализована возможность управления фрагментацией GRE-пакетов при помощи команд ip dont-fragment-bit ignore и ip path-mtu-discovery discovery disable
Реализована возможность автоматического обновления ПО с использованием DHCP-опций
Реализован функционал Zabbix-proxy
CLI:
Реализована возможность задавать количество строк и столбцов терминала командой terminal resize
Реализована команда для переформатирования разделов flash:syslog, flash:data и flash:backup в соответствии с версиями ПО 1.5.7 и более поздними format mtd-partition data (для маршрутизаторов ESR-100/200/1000/1500/1511-FSTEC)
Реализована команда для удаления файлов из разделов flash:syslog, flash:data и flash:backup clear mtd-partition data (для маршрутизаторов ESR-100/200/1000/1500/1511)
Реализована возможность удаления конфигурации физического интерфейса при помощи команды no interface
Реализованы проверки при выполнении команды copy, не позволяющие задавать некорректные комбинации источника и назначения копирования
Реализована команда управления балансировкой сессий между ядрами CPU system cpu load-balance overload-threshold
Реализованы команды для отображения кэша firewall-failover show ip firewall session failover и show ip nat translations failover
Реализована возможность задания комментария при вводе команды commit
Реализована возможность задания таймаута подтверждения конфигурации при вводе команды commit
Реализована поддержка функции отложенной перезагрузки reload system in и reload system at
Увеличено число префиксов и диапазонов (суммарно) IP-адресов в object-group network до 1024
Реализована возможность конфигурирования диапазона туннелей
Реализована возможность вычисления контрольной суммы для файлов в разделе flash:backup/
Добавлен столбец "Date of last modification" в выводе команды dir
Реализована возможность отображения конфигурации устройства с параметрами, имеющими значение по умолчанию
Реализована возможность в команде ping указывать IPv4/IPv6/DNS хост без префиксов ip/ipv6
Реализована возможность задания паролей менее 8 символов
Реализована возможность проверки внешних накопителей с помощью команды verify storage-device
Реализована возможность форматирования внешних накопителей с помощью команды clear storage-device
Удалена возможность аутентификации под пользователем root
Реализована команда merge, которая объединяет загруженную конфигурацию c candidate-config
Реализована возможность просмотра информации о конфигурации определенного Bridge
Реализована возможность просмотра конфигурации определенной object-group c указанием типа
Реализована возможность просмотра конфигурации определенного туннеля
Реализована возможность просмотра конфигурации определенного route-map
Реализована возможность просмотра конфигурации mDNS
Реализовано сохранение логина пользователя в имя конфигурации при резервировании конфигурации локально
Реализована возможность просмотра разницы между архивными конфигурациями
Реализована команда clear vrrp-state, которая останавливает выполнение протокола VRRP на время 3* Advertisement_Interval+1. Это дает возможность маршрутизатору, находящемуся в состоянии backup, выполнить перехват мастерства
Реализована возможность фильтрации по TCP/UDP-портам при отображении и очистке firewall/NAT-сессий
Реализована возможность включения монопольного доступа к конфигурации
Реализована возможность сброса CLI-сессий
Реализована возможность очистки списка аварий
Реализована возможность в prefix List, route-map указывать префикс 0.0.0.0/0
Реализована возможность в object-group url указывать ссылки в виде регулярных выражений
Реализована возможность изменять MAC-адрес физических и агрегированных интерфейсов
Перенос команд ip http proxy redirect-port, ip http proxy redirect-port портов из BRAS в HTTP(S) Proxy
Реализована возможность включения однопользовательского режима конфигурирования
Реализована оповещение о непременных изменениях в конфигурации при входе/выходе в/из режима конфигурирования и CLI
Реализована фильтры dynamic/static и tunnel softgre для команд show/clear mac address-table
Реализована команда clear tunnels softgre remote-address <ip> для удаления softgre туннеля для конкретной точки
Реализована команда clear tunnels softgre для удаления всех softgre туннелей
Реализована возможность задания псевдонимов команд
Реализована возможность вычисления хеш сумм файлов
Реализована возможность выключения дебага одной командой
Реализована возможность вывода сообщений при просмотре логов за определенный промежуток времени
Реализована возможность выгрузки загрузчиков
Реализована возможность просмотра описания правила в выводе команды show ip firewall counters
Реализована возможность копирования файлов по протоколу HTTP (S)
Реализована возможность просмотра разницы между конфигурациями (running, candidate, factory)
Реализована возможность просмотра конфигурации с метаданными
Убрана команда commit update
SNMP:
Реализована возможность получения информации о SFP-трансиверах по SNMP
Реализована возможность мониторинга состояния OSPF/BGP по SNMP
Поддержано разрушение туннелей softgre
Реализована возможность мониторинга LLDP-MIB
Реализована возможность задания community для trap сообщений
Реализована возможность задания IP адреса источника для trap сообщений
Реализована возможность выбора содержимого трапов linkDown/linkUp между стандартным и cisco-like
SYSLOG:
Реализована возможность фильтрации syslog-сообщений отдельных процессов при выводе в snmp/telnet/ssh и консольные сессии
Реализована возможность фильтрации syslog-сообщений отдельных процессов при записи в локальный syslog-файл или удаленный syslog-сервер
Реализована возможность логирования потоков трафика, обрабатываемых IPS/IDS, на удаленный syslog-сервер
FTP-клиент:
Реализована возможность конфигурирования IP-адреса ftp-клиента (ip ftp source-address)
Netflow:
Реализована возможность настройки значения ifindex для self\dropped-трафика
Реализована возможность настройки подсчета трафика по направлению Ingress и Egress
SSH:
Реализована возможность отключения поддерживаемых HOST-алгоритмов в SSH-сервере
На старте устройства происходит проверка наличия host-ключей и при их отсутствии происходит генерация. Каждое устройство имеет уникальные ssh host-ключи
Удален из обращения устаревший тип ключей rsa1
Удалена команда crypto key generate из режима конфигурирования configure, вместо нее Реализована update ssh-host-key в режим конфигурирования root
Реализована возможность выполнять команды по SSH в неинтерактивных сессиях командной строки (CLI)
Реализована возможность задания IP адреса источника для SSH клиента
Туннелирование:
Поддержан DMVPN
IPsec:
Метод аутентификации rsa-public-key переименован в public-key
Реализована поддержка форматов PKCS1 и PKCS12
Реализована поддержка типа ключей ECDSA
Реализована возможность конфигурирования route-based IPsec (VTI-туннель) в VRF
Исправлена работа механизма DPD для IKEv2
Реализована поддержка mode transport
Реализована возможность просмотра debug информации для IPsec
Реализована возможность отключения Mobility and Multihoming Protocol (MOBIKE) для IKEv2
Поддержка IPsec аутентификации по сертификатам
Поддержка CRL и фильтрации по полю атрибута Subject-name
Реализованы режимы пере-подключения клиентов XAUTH с одним логином/паролем
Реализована возможность отключения проверки поля атрибута Subject локального и удаленного сертификата XAUTH
Решена проблема нестабильной работы IPsec с DMVPN и L2TPv3
Реализована возможность использования IP адреса, полученного по DHCP, в качестве локального шлюза
Реализована возможность просмотра расширенной информации об аутентификации туннелей
Поддержан XAuth клиент
Поддержка PFS (perfect forward secrecy) с использованием группы DH
Поддержана синхронизация туннелей wireless-controller между маршрутизаторами с разной версией ПО
GRE
Реализована возможность использования для GRE-туннелей в качестве локального интерфейса: USB-modem, pptp, l2tp, pppoe-туннелей и e1, multilink-интерфейсов
Реализована возможность построения GRE-туннелей от IP-интерфейсов отличного VRF
Реализована возможность обеспечения L2 связности между клиентами из разных туннелей в рамках одной локации в схеме с wireless-controller
Поддержан новый механизм keepalive для softgre туннелей. Проверка туннелей выполняется по ping-probe от клиентских устройств. Новый режим работы включается командой keepalive mode reactive в конфигурации wireless-controller
Реализована возможность включения sub-туннеля softgre в Bridge, который находится в VRF
MPLS:
Реализован функционал MPLS over GRE
Реализован функционал BGP Inter-AS Option B
Реализована возможность выбора bridge в конфигурации LDP
Реализованы команды вывода оперативной информации для L2VPN
Реализована поддержка протокола LDP
Реализована поддержка L2VPN VPWS
Реализована поддержка L2VPN VPLS Martini mode
Реализована поддержка VPLS Kompella Mode
Реализована поддержка L3VPN MP-BGP
Маршрутизация:
IP:
Поддержан IP Unnumbered
Реализована возможность отключения отправки ответов ICMP unreachable/redirect
Поддержан IPv6 Router Advertisement
MultiWAN:
Поддержан механизм очистки NAT сессий после обнаружения недоступной цели
Реализована возможность указания интерфейса в качестве router-id для RIP, OSPF, ISIS, BGP, LDP
Реализована возможность указания интерфейса в качестве update-source для RIP, OSPF, ISIS, BGP, LDP
Реализована возможность двунаправленной передачи маршрутов между VRF с помощью команды route-target both
Реализована возможность задания Policy-Based Routing для локального трафика маршрутизатора
Реализована возможность использования Multiwan на pppoe, l2tp, openvpn, pptp и vti-туннелей
Реализована поддержка протокола маршрутизации IS-IS
Реализована поддержка протокола маршрутизации RIP NG
Переработано конфигурирование BGP
BGP:
Изменен алгоритм выбора router-id на следующую очередность:
использовать статический router-id
использовать наименьший IP-адрес loopback-интерфейса
использовать наименьший IP-адрес физического интерфейса
Реализована возможность рекурсивного поиска по BGP-маршрутам
Увеличение BGP RIB ESR-20/21/100/200 до 2,5M маршрутов
Увеличение BGP RIB ESR-1000/1500/1511 до 5M маршрутов
Реализована поддержка BGP Graceful restart
Реализована поддержка атрибута BGP Weight
Поддержан Flow Specification Rules
Поддержан атрибут weight
Реализована возможность задания route-map default route, le/ge/eq
Для опции remove-private-as добавлены опции all, nearest, replace
OSPF:
Реализована возможность установки cost и metric type для анонсируемых default-маршрутов
Реализована возможность использования протокола OSPF на VTI-туннелях
Реализована опциональная поддержка Opaque LSA
Реализована возможность задания максимального количества Nexthop для ECMP-маршрутов
Реализована поддержка OSPF Graceful restart
IS-IS:
Реализована возможность 3-way handshake установления соседства
BFD:
Реализован вывод информации о BFD-соседстве
Скорректированы ограничения на максимальное число активных маршрутов (FIB):
ESR-1000/1500/1511/3200 — 1700000
ESR-100/200/20/21/30 — 1400000
mDNS
Реализован функционал mDNS-reflector
Реализован функционал фильтрации сервисов mDNS
Реализована команда show ip mdns-reflector для просмотра найденных сервисов mDNS
Реализована команда clear ip mdns-reflector для обновления списка сервисов
DHCP:
Реализован режим работы DHCP-failover - Active/Standby
Реализована команда для указания поля поля giaddr в DHCP-пакетах ip helper-address gateway-ip
Реализована возможность очистки записей аренд DHCP сервера
Увеличено число статических DHCP записей в пуле до 128
Реализована возможность указания description в команде address DHCP-сервера
NTP:
Изменены диапазоны для параметров minpoll: 1-6 и maxpoll: 4-17
Механизм отслеживания событий (track):
Реализованы команды отображения статуса track: show tracks и show track
Реализована возможность отслеживания состояния VRRP или SLA теста.
Реализована возможность управления параметрами VRRP, PBR, административного статуса интерфейса, статического маршрута, атрибута AS-PATH и preference в route-map.
SLA:
Поддержан IP SLA в режиме ICMP-ECHO
Поддержан Cisco SLA responder
Поддержан Eltex SLA
AAA:
Изменена минимальная длина ключа для TACACS-сервера до 1
Реализована возможность использовать защищенное соединение TLS/SSL для LDAP
Реализована возможность задания IP адреса источника для TACACS/LDAP серверов
Реализована возможность задания интерфейса в качестве источника для RADIUS сервера
Размер ключа TACACS сервера расширен до 60 символов
Реализована возможность отключения аутентификации через консольный порт
Remote-access:
PPTP
Реализована возможность передачи маршрутной информации по DHCP для PPTP-клиентов
Реализована возможность выбора метода аутентификации пользователей для PPTP-серверов
L2TP
Реализована возможность передачи маршрутной информации по DHCP для L2TP-клиентов
Реализована возможность выбора метода аутентификации пользователей для L2TP-серверов
Реализована возможность ограничения методов аутентификации и шифрования протоколов IKE и IPsec для L2TP-сервера и L2TP-клиента
OpenVPN
Реализована возможность задания AAA списков аутентификации для OpenVPN-клиентов
Увеличено количество пользователей OpenVPN-сервера до 64
Возможность назначения статического IP-адреса для OpenVPN-клиента на стороне сервера
Возможность авторизации нескольких OpenVPN-клиентов с одним сертификатом
PPPoE
Реализована возможность использования символов ",", "/" и "\" в имени пользователя
Реализована возможность выбора метода аутентификации пользователей для L2TP и PPTP-серверов
Реализована возможность использования приватного ключа и сертификата OpenVPN-клиента
Security:
Поддержан IDS/IPS
DPI:
Добавлено определение следующих приложений: bittorrent-networking, ms-netlogon, ms-rpc, ms-sms, rtp audio, secure-http, secure-smtp, vmware-vsphere
IDS/IPS:
Поддержка работы с зеркалированным трафиком
Поддержана фильтрация отдельных команд для HTTP и FTP
Реализована возможность конфигурирования очередей пакетов для IPS
Поддержано взаимодействие с Eltex Distribution Manager для получения лицензируемого контента — набор правил, предоставляемых Kaspersky SafeStream II
Реализована возможность использования demo-лицензий для IDS/IPS
HTTP proxy
Реализована возможность логирования событий фильтрации
Реализована конфигурирование redirect портов
Реализована возможность фильтрации по типу контента: ActiveX, JS, Cookies
Реализована возможность фильтрации/редиректа по локальным/удаленным спискам
Реализована возможность обновления удаленных списков URL через RADIUS CoA
QoS:
Реализована возможность указывать ограничения полосы пропускания в процентах для complex-qos
Реализована классификация по приложениям
Реализована классификация на исходящем интерфейсе, что позволяет не использовать ingress политики
Реализована возможность задания в классе нескольких ACL
Реализована возможность задания в классе классификации по DSCP
Резервирование:
Реализована поддержка протоколов STP/RSTP в bridge для всех моделей
Реализована поддержка протоколов STP/RSTP для физических интерфейсов в режиме switchport для ESR-1x/2x
- USB-Modem:
- Реализована поддержка модемов с прошивкой HILINK
- Реализована возможность назначения статического IP-адреса на интерфейс сотового модема
- Реализована команда "no compression" для запрета использования метода сжатия заголовков TCP/IP Ван Якобсона
- Реализована возможность использования символов '_', '@', '.', '-' для поля user в режиме конфигурирования cellular profile
- NAT:
- Реализована возможность осуществлять трансляцию адресов с туннеля PPTP/PPPoE
Версия 1.5.5
- Management:
- Реализован функционал, необходимый для работы ESR-FSTEC с ECCM;
Реализована поддержка MIB-файла ELTEX-ESR-OSPF-MIB.mib для сбора информации о работе протокола динамической маршрутизации OSPF;
Реализована поддержка MIB-файла ELTEX-ESR-BGP4V2-MIB.mib для сбора информации о работе протокола динамической маршрутизации BGP;
- Реализована поддержка MIB-файла ELTEX-GENERIC-MIB.txt для сбора информации о работе SFP-модулей.
- Security:
- Реализована поддержка протокола VRRP для security zone-pair any self;
- Реализована возможность отключения алгоритмов верификации Host-Key;
- Реализована поддержка авторизации OpenVPN по LDAP.
- Routing:
- Реализована поддержка action permit для BGP flow-spec.
- Switching:
- Реализована поддержка функционала Dual Homing на ESR-1500/1511-FSTEC.