Kaspersky SD-WAN Release 2.4

[Ilya Support]

Отдельная тема для публикации расширенных release notes 2.4.x при выходе релизов с новой функциональностью и новостей о выходе патч релизов.

[Ilya Support]

Kaspersky SD-WAN 2.4 (aka 2.25.03) release

 

Использование статических MAC-адресов для интерфейсов overlay

В GUI оркестратора появилась возможность автоматического генерирование MAC адресов для overlay интерфейсов CPE.  Это ускорит построение топологии и позволит добавляемым в сеть устройствам сразу включиться в передачу пользовательского трафика. 

MAC адрес генерируется при регистрации новой CPE и сохраняется при перезагрузке устройства.
Настройка назначения статического MAC-адреса для интерфейса overlay выполняется в шаблоне CPE или непосредственно на странице CPE: в разделе Network выбрать интерфейс overlay и отметить опцию Generate MAC automatically.

MAC адреса раздаются из пула 2c:c4:4f:91:00:00 - 2c:c4:4f:91:ff:ff.

Повышение масштабируемости контроллера - Active Active Multimaster

Улучшены показатели масштабируемости одного кластера контроллеров за счет возможности запрашивать общие данные (read operations) с любого узла кластера контроллеров, что позволит распределить нагрузку между ними. 
Оркестратор поддерживает три варианта работы с операциями чтения для кластера контроллеров, между которыми можно переключаться в режиме реального времени:
1.    Все операции выполняются только на основном узле (Primary Node Only). Является режимом по умолчанию.
2.    Режим балансировки (Prioritize random Secondary Node) - операции чтения общих данных выполняются с приоритетом через выбранный оркестратором второстепенный узел кластера контроллеров. 
3.    Режим ручного указания узла (Select Manually) - операции чтения общих данных выполняются через явно указанный администратором узел кластера контроллеров.

 

Маршрутизация на основе политик (PBR)

Policy Based Routing (PBR) позволяет перенаправить трафик в соответствии с политиками - определенными пользователем правилами и фильтрами. 
Настройка PBR может быть выполнена в шаблоне CPE или на странице отдельного устройства CPE.
При создании политики маршрутизации могут использоваться следующие критерии:
-    Source IP address
-    Destination IP address
-    Source Port
-    Destination Port
-    Source Interface
-    Destination Interface (указывается только для пакетов, исходящих непосредственно от CPE).
-    IP протокол
Каждой политике маршрутизации назначается приоритет, что позволяет управлять последовательностью применения правил.

 

Изоляция VRF путем добавления blackhole-маршрута

Добавление blackhole маршрута позволяет гарантировать полную изоляцию VRF.
Чтобы обеспечить дополнительную изоляцию трафика для виртуальной таблицы маршрутизации,   при создании VRF необходимо отметить опцию Добавить blackhole-маршрут.

 

В результате при сохранении VRF в разделе Статические маршруты автоматически будет создан blackhole-маршрут 0.0.0.0/0.

 

 

По умолчанию эта опция выключена. При отсутствии blackhole-маршрута трафик может попадать в другие виртуальные таблицы маршрутизации.

 

Поддержка протокола BGP в дополнительных таблицах VRF (multiple VRF's for BGP feature)

Поддержка протокола динамической маршрутизации (BGP) — ранее в дополнительных таблицах VRF (виртуальной маршрутизации и переадресации) можно было настроить только статическую маршрутизацию, теперь появилась поддержка протокола динамической маршрутизации BGP. Это повышает привлекательность продукта для предприятий со сложными сетевыми инфраструктурами.

При добавлении экземпляра BGP есть возможность отнести его к определённому VRF.

 

 

Cтатическое резервирование для DHCP

Централизованное управление статическим резервированием IP-адресов, выдаваемых по DHCP, обеспечивает стабильное сетевое подключение для устройств, требующих постоянных IP-адресов.

Раздел DHCP был перенесён в отдельный пункт меню в настройках CPE - "DHCP"

 

При добавлении через GUI три обязательных поля подсвечиваются (Network interface alias, MAC address и IP address)

Если IP адрес не входит в подсеть DHCP, выводится предупреждение "IP address is not in a subnet"

 

Возможность подключения CPE с ролью Gateway к контроллеру и оркестратору через LAN-порт

Данная функция позволяет администратору SD-WAN организовать связность CPE с оркестратором и контроллером через указанный LAN-порт .

По умолчанию для подключения к оркестратору и контроллеру используются WAN-интерфейсы. В SD-WAN 2.4 при включении опций "NAT and disjoint WAN underlay" - > "NAT/PAT" или "Disjoint WAN underlay" для sdwan интерфейса появилась опция Assign VRF, которая позволяет указать VRF, содержащий альтернативный маршрут для связи с контроллером.

 

 

Отображение реальных IP адресов и портов при использовании NAT на вкладке Соединения

В целях упрощения диагностики и увеличения прозрачности на странице Соединения (Links) теперь указываются действительные IP адреса и порты, используемые при построении туннелей, а также топологические признаки соединений – NAT/PAT и WAN Disjoin.