Новые функции в ExtremeXOS 15.2

31 августа 2012 вышла новая версия ПО для коммутаторов Extreme Networks, ExtremeXOS 15.2. В новом софте появилось довольно много интересной функциональности, основные моменты которых описаны ниже.
Также совместно ExtremeXOS 15.2 вышли и новые модели коммутаторов - это Summit X440-L2-24t и SummitX440-L2-48t, которые ориентированные на уровень доступа и стоят существенно меньше моделей X440-24t и SummitX440-48t.

Поддержка SFP модулей
В ПО 15.2 появилась поддержка 10/100/1000 BASE-T SFP (10065, 10070H) модулей на коммутаторах Summit 670 и BlackDiamond X8.

Новый 24V источник питания для E4G-400 и X460
Модель 10933 – это 300W DC источник питания теперь, который теперь доступен для коммутаторов E4G-400 и X460(без PoE портов).
Модель 10933 используется в отказоустойчивых конфигурациях с возможностью горячей замены. Источник питания спроектирован, чтобы равномерно распределять нагрузку между всеми установленными источниками питания. Данные источник может принять +24V и -48V DC на входе.

ACL – поддержка redirect трафика на группу портов
ACL redirect-port-list позволяет «ловить» пакеты, проходящие через коммутатор и перенаправоять их в порт или группу портов в обход логике коммутационной матрицы. Добавлен новый ACL action modifier “redirect-port-list” с помощью которого, можно перенапрвлять пакеты в группу портов.

entry redirect_port_list_example {
if {
protocol udp;
} then {
redirect-port-list 1:3,2:4,2:6;
}
}

В описанном выше примере, весь UDP трафик будет размножен и перенаправлен в порты 1:3,2:4,2:6.

Возможность создания L3 VPN
Начиная с ПО ExtremeXOS 15.2, в коммутаторах Extreme появилась поддержка Layer 3 VPN. Данная функциональность позволяет объединять сегменты сети на 3-уровне через сеть MPLS. Также имеется поддержка следующих возможностей:
• PE - CE маршрутизация: статика или BGP
• VPN-IPv4 address family
• QoS в BGP/MPLS VPN
• SNMP для мониторинга VRF
Релиз ПО с поддержкой L3 VPN является ограниченным и выдается по запросу.

Улучшения в области мультикаста

В ПО версии 15.2 предоставляет значительные улучшения в области управления адресами, шлюзом по умолчанию и DNS настройками в сетях IPv6. Следующая таблица суммаризует возможности, доступные в ПО версии 15.2

DHCPv6 Relay (RFC 3315)
DHCPv6 Relay позволяет перенаправлять DHCPv6 сообщения от клиентов на DHCPv6 сервер.

configure bootprelay ipv6 option interface-id [
| none] [vlan | all]

[enable|disable] bootprelay {ipv4 | ipv6} {vlan [] |
{{vr} } | all [{vr} ]}

configure bootprelay [{ipv4} {vlan []} [add
| delete [|all]] | ipv6 {vlan []} [add
| delete [|all]]] {vr []}

show bootprelay {ipv4 | ipv6} configuraion {{vlan } |
{vr }}

IPv6 Router Advertisment (RA) фильтрация
В IPv6 сетях конечная станция может автоматически обнаруживать IP/DNS конфигурацию путем использования link-local router solicitation сообщений.
Локальный IPv6 маршрутизатор может аннонсировать IPv6 router advertisments (RAs) сообщения в сторону локальной сети. Эти сообщения будут включать в себя настройки шлюза по умолчанию, параметров DNS и т.д.
С одной стороны данный подход очень прост, но с другой стороны данный подход уязвим к spoofing атакам со стороны ложных ”маршрутизаторов”, которые тоже могут аннонсироватиь RA параметры.
Возможны следующие два варианта фильтрации RA сообщений:
• Нежелательные сообщения RA, возникшие из-за ошибки в настройке маршрутизатора
• Нежелательные сообщения RA, создаваемые ложным “маршрутизатором”.
ExtremeOS 15.2 способен выявлять и нейтрализовывать данные типы атак с помощью ACL (реализовано с помощью icmp type match criteria для IPv6 пакетов)

IPv6 Router Advertisement (RA) - настройка DNS параметров
Данная функциональность добавляет поддержку RFC6106. RFC6106 определяет новые опции для протокола Neigbor Discovery (ND) для сетей IPv6:
• The Recursive DNS Server (RDNSS) option
• The DNS Search List (DNSSL) option
Для IPv6 сетей, которые полагаются на IPv6 stateless Autoconfiguration, вышеуказанные опции позволяют конечной станции выполнить настройки DNS параметров. Это полезно в случаях, где отсутствует DHCPv6 сервисы или у коненых станций нет DHCPv6 клиента. Для сетей, где DHCPv6 присутствует, RA based DNS configuration не нужен.

configure {vlan} router-discovery {ipv6} rdnss-lifetime
[ | infinity | auto]

configure {vlan} router-discovery {ipv6} delete rdnss
[|all]

configure {vlan} router-discovery {ipv6} dnssl-lifetime
[ | infinity | auto]

configure {vlan} router-discovery {ipv6} add dnssl
{{dnssl-lifetime} [ | infinity]}

configure {vlan} router-discovery {ipv6} delete dnssl
[|all]

Поддержка произвольных DHCP опций
Текущая команда configure vlan dhcp-options теперь расширена и позволяет вводить код для любой DHCP опции. Ранее были возможны только 3 опции (шлюз, DNS и WINS). Команды show dhcp-server и show vlan {vlan} dhcp-config теперь показывают опцию, которая была настроена.

Multicast Listener Discovery (MLD)v2
MLDv2 является частью стека IPv6. MLD используется IPv6 маршрутизаторами для обнарежения мультикаст подписчиков в локальной сети, также как и IGMP в сетях IPv4. MLD является составной часью ICMPv6. MLDv2 очень сильно похож на IGMPv3. Протокол описан в RFC3810, далее обовлен в RFC4604.

MLD snooping
MLD Snooping выполняет те же функции, что и IGMP snooping, но работает с протоколом IPv6. MLD snooping 
помогает оптимизировать мультикастовые потоки IPv6 трафика и направляет мультикастовые потоки только в те порты, которым данные потоки необходимы. В ПО 15.2 поддерживается как MLD snooping v1 так v2. MLD snooping proxy функциональность позволяет минимизировать количество Multicast Listener Report сообщений в локальный сети.

MLAG и MLD
ExtremeXOS 15.2 поддерживает IGMP/MLD синхронизацию между MLAG соседями. ExtremeXOS 15.2 создает и синхронизирует мультикастовые таблицы на обоих MLAG соседях, что позволяет бесперебойно маршрутизировать мультикаст трафик в случае падения MLAG порта.

Identity Management Database – Включать/выключать identity snooping
Технология Identity Management делает уровень доступа более интеллектуальным и позволяет контролировать доступ к сети. Identity Manager определяет identities через следующие протоколы:
• Forwarding database (FDB)

• IPARP

• IPSecurity Dynamic Host Configuration Protocol (DHCP) Snooping
• Link Layer Discovery Protocol (LLDP)

• Netlogin

• Kerberos
Данная функциональность позволяет включать и выключать обнаружение identities, вызванное с помощью вышеуказанных протоколов.

configure identity-management detection [on | off] [fdb | iparp |
ipsecurity | kerberos | lldp | netlogin | all] ports [ |
all]

IDM – наследование match критерий—автоматическое наследование child роли
При использовании данной функциональности child role автоматически наследует match criteria parent role:

• Текущие роли должы иметь больший приоритет, чем их предшественники.
• После того, как данная функциональность включена, нельзя настраивать child role c меньшим приоритетом, чем у parent.
• После включения данной функциональности, изменяется порядок ролей в соответствии с parent-child отношениями.
• Identity проверяется сначала по правилам в child role, а затем по правилам parent role.

IDM Policy/ACL порядок
Данная функциональность позволяет изменять порядок политик или динамических правил, ассоциированных с ролью, даже во время их выполнения.

configure identity-management role add [policy
{{before | after} } | dynamic-rule
{{before | after} }] {first | last}

IDM – поддержка нескольких Windows доменов
Некоторые предпиятия достаточно большие, чтобы иметь несколько Windows доменов или суб-доменов в своей сети. Данный подход позволяет администраторам управлять сетью более эффективно. Каждый из доменов может иметь свой собственный LDAP сервер. Ранее ExtremeXOS поддерживал до 8 LDAP серверов в одной домене. Теперь IDM поддерживает несколько Windows доментов:
• Имеется возможность настроить base-dn и привязать пользователей к каждому домену.
• Подразумевается, что base-dn такой же как и настроенный domain-name, если иначе не определено.
• После обновления ПО, base-dn настроенныеранее, становится default domain name. Это можно менять.
• После обновления ПО, LDAP сервера, настроенные ранее, привязываются к default domain.
• Имеется возможность добавлять до 8 доментов в identity manager.

• Имеется возможность добавлять до 8 LDAP серверов к каждому домену.

IDM – поддержка Network Zone
Network zone в IDM позволяет сетевуму администратору группировать различные сервера, приложения или ресурсы в специальные зоны. Соотвественно сетевые политики могут применяться сразу к зонам, а не к отдельным серверам.
Имеется возможность добавлять или убирать IP или MAC адрес в политиках путем использования атрибута “source-zone” или “destination-zone”
Когда удаляется IP или MAC адрес из зоны, а затем зона обновляется, то все политики, содержащие данную зону автоматически обновляются.

Поддержка PIM v4 на MLAG
Нововведения в ПО 15.2 убирают следующие ограничения в MLAG:
• VLAN’ы не принадлежащие MLAG peer коммутатору, не должны быть проброшены через ISC канал и должны быть проброшены через не ISC канал, если они присутствуют на двух коммутаторах.
• Мультикаст маршрутизация через MLAG пира не работает.
Следующая команда в ПО 15.2 показывает информацию о ingress VLAN на всех MLAG пирах.

show pim cache {{detail} | {state-refresh} {mlag-peer-info}
{ {}}}

Улучшения LAG
В ПО 15.2 увеличено количество портов в одной LAG группе c 16 до 32 на коммутаторах Summit X670 и с 16 до 64 на коммутаторах BlackDiamond X8.

Масштабирование IPv6 LPM и host маршрутов
В ExtremeXOS 15.2 увеличены следующие таблицы IPv6 маршрутов, на коммутаторов Summit X480 и BlackDiamond 8800 с xl модулями:
• Предел IPv6 LPM маршрутов увеличен с 8,192 до 245,760.
• Предел IPv6 host маршрутов учеличен c ~4,000 до 8,192.
Совместное использование IPv6 и IPv4 позволяет использовать до 49,152 IPv6 маршрутов и до 475,104 IPv4 маршрутов одновременно.

configure forwarding external-tables [l2-only | l3-only {ipv4 |
ipv4-and-ipv6 | ipv6} | acl-only | l2-and-l3 | l2-and-l3-and-acl |
l2-and-l3-and-ipmc | none]

IP cходимсть в кольцевых топологиях
В ExtremeXOS 15.2 появилась возможность улучшить время сходимости в кольцевых топологиях.

configure iparp fast-convergence [on|off]

По умолчанию iparp fast-convergence выключен

Интеграция EAPS и CFM
В ExtremeXOS 15.2 появилась возможность интеграции CFM и протокола EAPS. EAPS работает совместно с процессом CFM, чтобы создать point-to-point down MEPs для мониторинга связности. CFM модуль теперь оповестит EAPS о любых проблеманх link-connectivity.
Создать имя группы MEP при создании MEP:

configure cfm domain association
[ports add [[end-point [up|down]
{ group } ] | [intermediate-point]] | vpls add
intermediate-point {linktrace-data [system-name | private-ip]}
| isid add intermediate-point]

Назначить имя группы MEP существующему MEP:

configure cfm domain association
ports end-point [up|down] [add|delete] group

NetLogin и IP Security фунции на одном и том же порту
ExtremeXOS NetLogin выполняет функции аутентификации, авторизации и аккаунтинга и позволяет определить того, кто запрашивает доступ к сети. Совместно с IP сетевые администраторы могут усилить безопасность.
IP security функциональность в ExtremeXOS 15.2 включает:
• DHCP snooping и концепцию доверенных DHCP серверов
• Source IP lockdown
• ARP learning and validation
• Gratuitous ARP protection