Kaspersky SD-WAN Releases

[Mike Rytov]

Тема для публикации расширенных release notes при выходе релизов с новой функциональностью и новостей о выходе патч релизов.

[Mike Rytov]

Kaspersky SD-WAN 2.3 (aka 2.24.9) release

Спойлер

Предостережение:

Статья не является официальной документацией. Ознакомиться с официальной документацией можно по ссылке.

Улучшение окна авторизации

В этом релизе было изменено окно авторизации. Теперь оно выглядит так:

В случае если пользователь был добавлен нескольким тенантам, то есть возможность выбрать в какой тенант необходимо залогиниться:

Изменения в сборе диагностической информации

Информация о dump flows и dump groups вынесена из Diag Info и теперь собирается отдельно. Для сбора dump flows и dump groups необходимо перейти во вкладку Утилиты → OpenFlow dump и запустить сбор информации.

После сбора архив с информацией OpenFlow можно загрузить в соседнем разделе "Файлы".

 

Добавлены отдельные образы виртуальных моделей vKESR

В новый релиз вошли шаблоны виртуальных машин для поддерживаемых гипервизоров: KVM и VMware. Шаблоны соответствуют моделям KESR M1 - M4 и пока отличаются только количеством vCPU и объёмом оперативной памяти. Ресурсы ВМ vKESR в шаблонах выбраны исходя из производительности железных устройств KESR. Ресурсы для ВМ выбраны для соответствия скорости виртуальных vKESR их физическим аналогам.

Реализовано шифрование по ГОСТ передаваемого между CPE трафика

ГОСТ шифрование реализовано в отдельных образах прошивок для отдельных устройств. Устройства с ГОСТ отправлены на сертификацию. В стандартном релизе прошивки с ГОСТ будут отсутствовать. Для получения прошивок с ГОСТ необходимо обратиться к вашему presales менеджеру.

Поддержка RedOS 7.3

Операционная система RedOS 7.3 Муром теперь может использоваться для оркестратора, контроллера и для развёртывания Toolserver, который используется для установки и обновления Kaspersky SD-WAN.

 

Появились варианты удаления CPE

Теперь удалить CPE можно по-разному. При нажатии на кнопку удаления появится окно выбора варианта удаления. Среди вариантов:

1. Удалить, отменить регистрацию и сбросить пароль
2. Сбросить до заводских параметров
3. Удалить принудительно

 

Удалить, отменить регистрацию и сбросить пароль

При выборе этого варианта удаления оркестратор изменит статус CPE на Сброс и отправит OOB таску, по которой на CPE будет сброшен пароль на значение kaspersky, отменит регистрацию в текущем оркестраторе и перезагрузит устройство. После получения от CPE подтверждения выполнения таски оркестратор удалит CPE из CPE Inventory. При этом сетевые настройки CPE останутся прежними и CPE придёт к оркестратору в значении "Неизвестно", а значит её можно зарегистрировать снова. Все эти действия актуальны для версии прошивки CPE и версии оркестратора не ниже 2.3.0. Если прошивка CPE или версия оркестратора ниже, то выполняется обычное удаление CPE, без изменения её настроек.

Сбросить до заводских параметров

При выборе этого варианта статус CPE также будет изменён на Сброс и будет отправлена OOB таска на CPE по которой настройки CPE будут сброшены в дефолт и CPE будет перезагружена. После получения подтверждения выполнения OOB таски оркестратор удалит устройство из CPE Inventory. Для повторной регистрации CPE необходимо заново применить ZTP URL на устройстве для передачи конфигурации.

Удалить принудительно

Этот вариант удаления соответствует стандартному удалению. CPE удаляется из оркестратора без каких-либо действий на CPE. Именно этот вариант удаления выполняется, если прошивки CPE ниже релиза 2.3.0. С помощью этого варианта удаления можно удалить CPE зависшее в любых статусах.

Перезапуск процесса регистрации CPE в случае сбоя

В случае если процесс регистрации CPE завершился с ошибкой, то во вкладке Service requests будет видно на каком этапе произошёл сбой. CPE перейдёт в статус Suspended/Приостановлено (может пробыть в этом статусе не более 24 часов, потом Error), будет возможно поправить причину не позволяющую зарегистрировать CPE и продолжить регистрацию, нажав на Resume/Возобновить или прервать регистрацию кнопкой Cancel/Отмена.

Появилась возможность указать IP основного оркестратора и резервного

Для отказа от необходимости настройки Virtual IP для оркестраторов появилась возможность указать в настройках CPE IP адрес резервного оркестратора, который может располагаться в другом ЦОДе. Эта настройка не подразумевает режим работы Active/Active, а используется только тогда, когда основной оркестратор перестаёт отвечать на запросы CPE.

Повышение безопасности VNF/PNF

Использование ранее загруженных образов PNF контроллера от версии 2.2 в релизе 2.3 не поддерживается. Необходимо использовать образ PNF контроллера из версии 2.3. Т.к. контейнер mockpnf необходим только на время развертывания PNF контроллера, то после развертывания рекомендуется его выключить.

В настройки PNF контроллера добавлено окно ввода CA сертификата "CA certificates". Можно вставлять только сертификаты формата PEM.  Если необходимо добавить несколько сертификатов, их необходимо вводить последовательно, каждый новый сертификат с новой строки (между сертификатами должен быть разделитель перевод строки \n). 

Показ топологии CPE в тенанте

Добавлена возможность пользователя через портал самообслуживания увидеть сетевую топологию, а также устройства своего тенанта. Устройства, не принадлежащие пользовательскому тенанту, так же отображаются на карте, но управлять ими пользователь не может.

Изменение зон и шаблонов межсетевого экрана

В релизе появилась возможность изменять зоны и шаблоны межсетевого экрана, в том числе дефолтные. Для пользователя Admin доступны для редактирования все зоны, для пользователя тенанта только те, что были созданы в тенанте и для тенанта (при его создании). Удалить и переименовать системные зоны нельзя. Шаблоны межсетевого экрана можно изменять и переименовывать (в том числе дефолтные).

Реализована поддержка протокола CFM для туннелей

Механизм позволяет отслеживать состояние туннеля между overlay линками CPE для более быстрого переключения на резервный канал передачи данных. Для CFM задается интервал отправки контрольных сообщений в пределах: 300ms, 1s (default), 10s, 1min. После отсутствия контрольных сообщений в течении 3.5 интервалов произойдёт переключение. Включить CFM можно как для всех линков на CPE (через темплейт или при настройке конкретной CPE), так и гранулярно для каждого линка.

Добавление порта CPE в программный коммутатор напрямую (L2 mode)

Реализован механизм добавления интерфейса CPE напрямую в ovs/swos программный коммутатор. Ранее для реализации L2 соединения приходилось объединять ovs-lan и overlay интерферйсы с помощью bridge, что накладывало некоторые ограничения на передачу трафика на 2-м уровне. 

При создании интерфейса теперь можно выбрать "L2-режим". Создастся OpenFlow-порт с номером, который вы укажете. 

Затем необходимо создать сервисный интерфейс из созданного на предыдущем шаге OpenFlow-порта.

И уже потом использовать этот порт в транспортном сервисе для объединения L2 доменов за CPE.

Поддержка работы сетевых приложений во всех VRF 

Для включения работы DHCP протокола во всех VRF необходимо в пункте меню CPE или её шаблона выставить значение "Использовать сетевые сервисы UDP во всех VRF". "Использовать RAW sockets во всех VRF" выставлена по дефолту и используется для обратной совместимости с приложениями, использующими raw сокеты. Best practice - оставлять эту настройку без изменения. "Использовать сетевые сервисы TCP во всех VRF" нужен для возможности подключения по ssh к интерфейсу, принадлежащему не дефолтному VRF.

Повторная инициализация записи OpenFlow правил контроллером на CPE

Для того, чтобы побороть возможную рассинхронизацию OpenFlow правил на контроллере и на CPE в меню настройки контроллера во вкладке коммутаторы в кнопке "Управление" были добавлены пункты "Удалить и перезаписать OpenFlow-правила" и "Перезагрузить транспортные сервисы".

Функция "Удалить и перезаписать OpenFlow-правила" позволяет удалить на выбранном коммутаторе все имеющиеся на нем flow и groups. По сути, эта функция проводит программный коммутатор (ovs) через процедуру, как при перезагрузке CPE (это действие приведёт к перерыву передачи трафика на время перезаписи правил).

Функция "Перезагрузить транспортные сервисы" позволяет выполнить процедуру reprovision для выбранных на следующем этапе транспортных сервисов. 

Контроллер пришлёт заново на коммутатор OpenFlow правила по всем выбранным транспортным сервисам, в которых участвует CPE. Переприслать заново правила на все CPE, участвующие в конкретном транспортном сервисе всё ещё можно через кнопку Управление → Перезагрузить транспортного сервиса.

Особенности релиза

Проведение обновления

Важно!

Обновление на релиз 2.3 может привести к потере VRF на тех CPE, которые наследуют их из шаблона. Перед обновлением необходимо экспортировать все CPE Templates для сохранения настроек VRF. После обновления импортировать шаблоны обратно. Для CPE у которых VRF настроен через Override никаких дополнительных действий не требуется.

 

Вышел патч релиз 2.3.1, исправляющий эту ситуацию.

Для обновления существующих vCPE на новые прошивки vKESR необходимо сначала привести в соответствие vCPU и Memory образу, на который планируется обновление, и только затем обновлять.

 

Шаблоны для тенантов

Теперь при создании тенанта для него создаются один шаблон межсетевого экрана, 3 зоны межсетевого экрана и один шаблон NetFlow для предоставления возможности изменять их пользователям тенанта при использовании продукта. Но при удалении тенанта все эти 5 объектов остаются в оркестраторе и их удаление необходимо произвести вручную.

Появилась вкладка Система

Во вкладку Система переехали некоторые элементы управления, документации и логирования.

Переработан общий вид Web интерфейса

В том числе переработано окно редактирования транстпортных сервисов. Теперь добавлять и редактировать сервисные интерфейсы стало намного удобнее.

Edited Monday at 08:09 AM by Mike Rytov

[Mike Rytov]

Kaspersky SD-WAN 2.3.1 release

Для того, чтобы убрать необходимость реимпортировать (экспортировать до обновления и импортировать после обновления) шаблоны CPE с кастомными VRF в версии 2.3 был выпущен патч релиз 2.3.1. Его необходимо использовать для обновления с 2.2.4 минуя версию 2.3 во избежание проблем с VRF. Если функционал VRF не используется или реимпортировать шаблоны CPE не составит труда, то можно использовать релиз 2.3.

Для получения ссылки на патч релиз обратитесь в техническую поддержку.

Edited November 7 by Mike Rytov