Обновление ПО для межсетевых экранов ESR ФСТЭК. Версия 1.5.10

Версия ПО: 1.5.10

Программное обеспечение и подробное описание новых возможностей доступно в Центре загрузки или на странице продукта. В случае возникновения вопросов по обновлению, пожалуйста, обратитесь в отдел технической поддержки Eltex.

• Реализован функционал кластеризации в режиме Active-Standby
• Реализована поддержка атрибута primary/secondary для IPv4-адресов
• Реализована поддержка модулей TopGateWAN-E1 на ESR-3300
• Реализована поддержка модулей TopGateWAN-E1 на ESR-31 для XG-интерфейсов

• CLI:
  • Реализована возможность использования логического оператора "или" в шаблоне поиска при фильтрации вывода
  • Реализована команда для вывода причины последней перезагрузки "show system reload"
  • Реализована команда "unmount storage-device" для корректного извлечения USB-/MMC-накопителей
  • Реализована команда "show interfaces switch-port vlans" для отображения VLAN, сконфигурированных на интерфейсах
  • Добавлена информация о фильтрации процессов в вывод команды "show syslog configuration"
  • Добавлены ключи команды "show version" для вывода информации о версиях только отдельных компонентов
  • Добавлен ключ "inactive" для команды "boot system"
  • Изменен вывод ошибок при применении конфигурации из файла
  • Приведены к единому формату вывод даты, времени и uptime во всех show-командах
  • Изменен формат вывода табличного представления команд:
    • show bootvar
    • show interfaces counters
    • show interfaces status
    • show interfaces description
  • Уменьшена до 110 символов ширина таблиц, выводимых по следующим командам:
    • show interfaces bridge switch-communities summary
    • show interfaces status voice-port
    • show content-filter
    • show pbx peers
    • show wlc clients
    • show wlc ap interfaces
    • show wlc service-activator aps
    • show wlc airtune rrm optimization report
    • show aaa radius-servers
• Syslog:
  • Реализована генерация syslog-сообщений об изменении актуальной скорости агрегированного интерфейса
• SNMP:
  • Реализована поддержка SNMP OID sysServices
• LLDP:
  • Реализована возможность указания IP-адреса из VRF в качестве "lldp management-address"
• Zabbix:
  • Обновлена версия iperf2 с 2.0.13 на 2.2.0

• Реализована возможность редистрибуции маршрутов из RIPng в ISIS
• BGP:
  • Реализована возможность указания ключа "all" для команды "next-hop-self" для замены nex-hop во всех анонсируемых маршрутах. Без данного ключа замена next-hop происходит только для маршрутов, полученных по eBGP
  • Реализована возможность назначения route-map на анонсируемую подсеть (network) для изменения/установки атрибутов
  • Реализован функционал BGP AS-list
  • Реализован функционал увеличения/уменьшения BGP-метрики на определенное значение по track
  • Реализована поддержка механизма replace-as в атрибуте BGP AS-Path
  • Реализован функционал BGP Conditional Advertisement
  • Реализован SNMP OID eltEsrBgp4V2PeerLastEstablChange, отдающий время в секундах с момента перехода BGP-neighbor в состояние Established или Down
  • Реализован SNMP OID eltEsrBgp4V2PeerImpRouteCount, отдающий количество маршрутов, принятых от BGP-neighbor
• OSPF:
  • Реализовано отображение OSPF LSDB в расширенном виде
  • Реализована работа ECMP для маршрутов OSPF External-2
  • Реализован функционал OSPF ttl security
• RIP:
  • Реализовано управление опцией split-horizon with poison-revers

• Реализована команда для вывода подробной информации о контейнерах PKCS#12 – "show crypto certificates pfx"
• Реализована команда для вывода подробной информации о CRL – "show crypto certificates crl"
• Добавлены ключи "valid-after" и "invalid-after" для команд "update crypto default ca", "update crypto default cert" и "crypto generate cert"
• Увеличено максимальное количество записей в "object-group url" с 32 до 128
• Firewall:
  • Реализована возможность использования object-group mac в правилах Firewall
  • Реализована работа Application Firewall для IPv6
  • Заменена команда "ip firewall sessions allow-unknown" на "ip firewall sessions unknown permit | deny | reject" с возможностью выбора действия при поступлении пакетов неподтвержденной tcp-сессии
  • Добавлен вывод информации о "Description" в команде "show security zone-pair"
• IPsec:
  • Реализован режим make_before_break для rekeying в IKEv2, регулируемый командой "security ike session reauthentication"
• Защита от атак:
  • Реализована защита от атаки типа arp-spoofing для отдельных интерфейсов
  • Реализовано логирование атак типа arp-spoofing
  • Реализована защита от DoS-/DDoS-атак для IPv6
• Лицензирование:
  • Реализована работа менеджера лицензий в VRF
  • Реализована возможность запуска запроса лицензии на ELM-север без ожидания истечения таймеров при помощи команды "update licence-manager licence"
  • Изменен вывод команды "show licence" с учётом возможности получения лицензий от ELM-сервера
• IDS/IPS:
  • Реализовано логирование потери связи с user-server сигнатур
  • Изменена последовательность обработки входящего трафика. На обработку трафик IDS/IPS поступает после работы Firewall
• Web filtering:
  • Реализована поддержка web filtering для протокола https
  • Реализована поддержка временных лицензий web filtering
  • Реализована возможность использования master-category при конфигурировании функционала web filtering
  • Актуализирован список категорий при конфигурировании функционала web filtering
  • ACL
    • Увеличено максимальное количество правил в ACL с 255 до 400 для ESR-15R

• VRRP:
  • Добавлен столбец "Group" в вывод команды "show vrrp"
• SLA-тест:
  • Реализован новый тип SLA-тестов – icmp-jitter
  • Реализована возможность установки пороговых значений как условие успешности SLA-теста
  • Реализована возможность задания "description" для IP SLA тестов
  • Реализовано хранение истории результатов работы SLA-тестов
  • Реализовано предоставление истории результатов работы SLA-тестов по SNMP
  • Изменен вывод команды "show ip sla test statistics <NUM>" для icmp-echo-тестов. Для неизмеряемых параметров нулевые значения заменены на прочерки
• Track:
  • Добавлено поле "description" в вывод команды "show tracks"

• VTI:
  • Реализована возможность указывать "local interface" вместо "local address" VTI-туннеля
• DMVPN:
  • Реализована возможность работы DMVPN-HUB за STATIC NAT
  • Добавлено отображение флага "P - protected" для NHRP-peers, для которых установлена IPsec-сессия в выводе команды "show ip nhrp peers"
  • Добавлен ключ "group name <GROUP-NAME>" для фильтрации вывода команды "show ip nhrp peers"
  • Удалена необходимость указания маски подсети в выводе команды "ip nhrp nhs"