H3C SecPath F1000-C8102-CMW710-E6472P06 版本软件及说明书
2024/10/8 11:04:28
H3C SecPathF1000C8102-CMW710-E6472P06 版本说明书
9.1 SecPathF1000C8102-CMW710-E6472P06版本解决问题列表·· 8
9.2 SecPathF1000C8102-CMW710-E6472P05版本解决问题列表·· 8
9.3 SecPathF1000C8102-CMW710-E6472P04版本解决问题列表·· 8
9.4 SecPathF1000C8102-CMW710-E6472P03版本解决问题列表·· 9
9.5 SecPathF1000C8102-CMW710-E6472P02版本解决问题列表·· 10
9.6 SecPathF1000C8102-CMW710-E6472P01版本解决问题列表·· 10
9.7 SecPathF1000C8102-CMW710-E6472版本解决问题列表·· 10
9.8 SecPathF1000C8102-CMW710-E6471P01版本解决问题列表·· 10
9.9 SecPathF1000C8102-CMW710-E6471版本解决问题列表·· 11
附录 C E6472版本升级失败时CLI删除文件操作指导·· 25
C.1 登录设备,删除抓包、信息收集、异常信息等文件·· 25
表目录
本文介绍了H3C SecPathF1000C8102-CMW710-E6472P06版本的特性、使用限制、存在问题及规避措施等。本文档需和本文“相关资料”中的文档一起配合使用。
版本号:H3C Comware software,Version 7.1.064, Ess 6472P06
注:该版本号可在任何视图下执行display version命令查看。
版本号 | 基础版本号 | 发布日期 | 版本类型 | 备注 |
E6472P06 | E6472P05 | 2024/9/20 | 正式版本 | 解决问题 |
E6472P05 | E6472P04 | 2024/1/30 | 正式版本 | 解决问题 |
E6472P04 | E6472P03 | 2022/5/25 | 正式版本 | 解决遗留问题 |
E6472P03 | E6472P02 | 2022/4/15 | 正式版本 | 解决问题 |
E6472P02 | E6472P01 | 2021/6/30 | 正式版本 | 解决内部问题 |
E6472P01 | E6472P01 | 2020/1/15 | 正式版本 | 解决内部问题 |
E6472 | E6471P01 | 2019/07/26 | 正式版本 | 硬件升级适配、新增特性 |
E6471P01 | E6471 | 2018/11/26 | 正式版本 | 新增特性:与安全云联动 |
在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。
产品系列 | H3C SecPath F1000 系列 |
型号 | SecPath F1000-C8102 |
内存 | 2GB |
Bootware版本号 | v2.00 |
目标文件名称及MD5校验码 | 升级包:SecPathF1000C8102-CMW710-E6472P06.BIN MD5:61BA7A6478850B0EADB301052E685211 Menuboot文件:MENUBOOT-OCTEON-V4.5-20240118.BIN MD5:EE479E86C3EFDFC79712A53F8677C550 |
SSL VPN客户端 | 安卓:SSLVPNClient_20200519.apk MD5:9A6A75E7145BF91A8B3421341B672E4D Windows:SSLVPNClient_20200102.exe MD5:58539671974BBFD0F6628F525FBD62CE |
备注 | E6472P06版本仅支持flash是512M大小的设备升级使用,后台执行display hardware info命令可查看设备的flash大小 |
版本升级前需备份原有配置文件,版本回退需清除配置导入原有配置文件即可。
flash是256M的设备不支持升级该版本,后台执行display hardware info命令可查看设备的flash大小,2020年8月以后出厂的设备flash已经切到512M了,支持升级该版本。
如遇到升级版本后无法启动情况,请联系H3C技术服务人员。
其他升级事项请参考章节6 版本使用限制及注意事项。
无。
有关本版本及历史版本的软件特性及命令行的变更信息说明,请参见随版本发布的文档《H3C SecPathF1000C8102-CMW710-E6472P06版本说明书(软件特性变更说明书)》。。
无。
无。
在更新软件版本之前,强烈建议您通过《H3C SecPathF1000C8102-CMW710-E6472P06版本说明书(软件特性变更说明书)》了解版本间的软件特性变更情况,评估变更可能对业务造成的影响,同时请查阅相关的配套资料。
默认情况下,设备对每秒产生的IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、命令日志和其他应用日志存在如下的阈值限制:
对于基于MAC的转发策略,只支持PC与设备直连的组网(其中可以有二层交换机)。
大批量用户导入时,导入操作会消耗大量的CPU资源,CPU资源无法满足时会导致其他进程无法响应现象。
三权分立模式下,权限管理员给系统管理员分配权限,默认为只读权限。可勾全选框,给系统管理员分配读写功能。
· HA环境下,不支持微信认证用户和短信认证用户的同步。
· HA环境下,不支持同步应用/用户流量统计,当HA设备切换后,不能看到原有的应用/用户流量统计数据。
· HA主备同步时无法同步Web Portal自定义配置。
· HA主主模式,同时配置监控地址同步和地址探测,接口down掉恢复正常后,主主状态不能恢复到正常状态,建议在HA主主模式避免配置地址探测,不影响业务使用。
· 微信认证一台设备下只支持一个SSID,暂不支持多个SSID。
· 不支持HA主备、HA主主同步微信认证用户。
· 微信公众号包含服务号、订阅号、企业号,微信连wifi功能支持订阅号和服务号,目前企业号本身没有微信连wifi功能。
· 若使用订阅号进行微信认证,PC在进行微信认证的时候,由于订阅号限制,手机微信扫描PC Portal页面上的二维码会提示未注册的情况,此情况跟微信更新有关,有时候不存在此限制。
· 微信认证用户IP必须在用户识别范围中,否则无法唤醒微信;因为在微信认证用户上线之前,终端会发送一个放通流量的报文给设备,设备根据此报文的五元组来确定用户IP,若用户IP不在识别范围内,设备IP在识别范围内则会导致设备的IP被识别成用户IP,终端流量不能放通,则无法唤起微信。
· 设备上的SSID是可选配置,可以为空,如果要设置,就一定要跟微信公众上号设置的SSID保持一致,否则可能导致微信公众号提示未注册的情况。
· C8102下联设备为二层设备时,认证用户的网关不能是二层设备上的VLAN接口的IP地址,否则会出现用户MAC来回切换,一会是二层设备VLAN接口的MAC, 一会是用户的真实MAC,导致不能唤起微信或认证成功后很快被踢下线。
· 微信认证支持手机扫描商户二维码自动连接SSID,有些IOS扫码后可直接根据页面提示跳转到设置里,有些IOS则需要手动进到设置中配置,此为IOS限制,一般安卓手机无此限制。
· 部分安卓手机弹出Portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,此时请更换浏览器尝试,如果能自动跳转,则忽略提示信息。
· 不支持HTTPS。
· 自定义广告定义暂不支持HA同步,如HA切换后需要重新配置流量劫持。
· 自定义广告配置仅可由WEB界面来配置。
· 广告推送域名白名单仅支持命令行配置。
· 流量劫持广告弹出与出口网速带宽、广告过滤软件等都关,网速慢的情况下图片加载慢。
· 一个网页多个跳转后广告无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入;302跳转的情况可以处理。
· 网站弹出广告页面显示不完全受网速等条件限制,如广告弹出较慢刷新页面或者等待页面加载完全后,广告可以显示。
· 个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱);这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置。建议,在域名白名单排除掉该网站。
· 广告Server IP务必保证全网用户可达,否则无法进行广告推送。
· 一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个。建议:此类网站加入域名白名单排除掉该网站。
· 广告不弹出的情况下开启debug http hijack查看HTTP请求是否匹配到流量劫持。
·
· 关闭自协商时,接口默认为百兆全双工;
· 修改双工接口不会有up/down动作(当对端设置为自适应时,本端100M切换双工接口会有up/down动作)。
· E6471P01及以前版本升级到E6472P01版本,其中IPv4策略模块配置为审计时,子策略中应用审计、url审计,恶意站点兼容为IPv4控制策略和IPv4审计策略,其中关键字支持配置所有应用且为阻断的兼容,升级后审计对象兼容为全部。
· E6471P01及以前版本升级到E6472P01版本,由于数据库表重新创建会丢失当天的审计日志、无线非经日志,升级版本之后新产生日志正常,因此为减少影响建议版本凌晨升级。
· E6471P01及以前版本升级,特征库会变为升级版本带的特征库,E6472P01版本后续升级仍然是原来的特征库,不会更新为设备里所带的特征库,需要手动升级或开启特征库自动升级。
· E6471P01及以前版本升级到E6472P01版本特征库会变为E6472P01版本带的特征库, E6472P01回退E6471P01及以前版本的时候,特征库会变为E6471P01版本及以前版本的特征库,但特征库版本号仍显示为E6472P01的版本号。
· 不适配Manager R0304及之前版本。
· 由于存储空间限制,升级时可能会因空间不足导致版本升级失败,此时需要手动删除一些文件,具体删除操作参见附录C。
出接口MTU为1500时,报文不需要分片,可以达到最大限制带宽;若自定义MTU小于1500,则由于分片导致QoS限制可能会出现未达到最大限制带宽。尽量避免报文分片场景。
由于PHP性能导致RADIUS和LDAP第三方认证每秒超过20个用户同时登录认证时延约为5秒。当有大量用户上线场景时建议选用iMC或本地认证方式。
在大流量系统负荷满的情况下,详细应用流量统计中,有些应用统计会出现统计为空的情况,影响查看应用流量统计中的应用及对应的用户信息。
· 文件完整性被破坏后,文件不具备病毒属性,所以能够上传成功。
License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。
产品需要通过License授权的软件功能以及License授权的相关属性,请参见产品配套的《H3C SecPath F1000-C8102[F1000-ServerBlade] License使用指南》。
H3C网站提供License的激活申请、设备授权迁移申请等功能:
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C SecPath F1000-C8102[F1000-ServerBlade] License使用指南》。
· 问题现象:web界面“Copyright © 2014-2022 新华三技术有限公司.保留一切权利 京ICP备07500749号-15”描述有问题,而且mib输出2014-2019New H3C Technologies Co.也有问题。
· 问题产生条件:进入web用户登录管理界面;使用mib browser读取节点信息。
· 规避措施:以产品Web界面前部分内容为准,显示问题不影响功能使用。
· 问题现象:由于C8102设备后续和ACG共用一套特征库版本,没有单独的URL特征库,需要把首页的URL版本信息,授权管理下的URL分类库升级服务,系统升级下的URL分类特征库升级和在线升级中的URL分类特征库相关信息屏蔽。
· 问题产生条件:查看首页的URL版本信息,授权管理下的URL分类库升级服务,系统升级下的URL分类特征库升级和在线升级中的URL分类特征库相关信息
· 规避措施:展示显示问题,不影响功能使用。
· 问题现象:1、IPS目录下无IPS自定义规则项,但是IPV4控制策略下的入侵防御选项中有自定义规则选项。2、入侵防御描述字段:不支持特殊字符&和+,但是输入这两个字符,保存后无提示。
· 规避措施:非核心功能,展示问题,不影响实际使用。
· 问题现象:1、C8102联动绿洲认证上线后,进入到在线用户,查看认证用户在线时长为25分钟,但是绿洲上还显示为2分钟(之前上线时长进行累加的),不会实时显示在线时长,只有绿洲用户下线后,绿洲上的时长才会更新。2、用户管理-认证管理-认证模板设置,反向代理时电脑和手机预览无法显示,调转到云运维平台首页。
· 问题产生条件:1、C8102联动绿洲认证上线后,进入到在线用户,查看认证用户在线时长为25分钟,但是绿洲上还显示为2分钟(之前上线时长进行累加的),不会实时显示在线时长,只有绿洲用户下线后,绿洲上的时长才会更新。2、用户管理-认证管理-认证模板设置,反向代理时电脑和手机预览无法显示。
· 规避措施:1、非C8102问题,绿洲统计逻辑,不影响使用。2、直接在C8102设备上查看用户管理-认证管理-认证模板设置里的预览模板。
· 问题现象:1、认证策略导出后,对接口和描述进行编辑再次导入,导入成功,但界面配置并没有改变。2、sslvpn客户端连接成功后,可以正常FTP资源,但是ping功能不生效(配置选择了any,单独勾选icmp也不行)。
· 问题产生条件:1、认证策略导出后,对接口和描述进行编辑再次导入,导入成功,但界面配置并没有改变。2、sslvpn客户端连接成功后,可以正常FTP资源,但是ping功能不生效(配置选择了any,单独勾选icmp也不行)。
· 规避措施:1、直接在web页面对认证策略进行编辑。2、可采用其他协调进行测试,如TCP协议。
· 问题现象:限额策略有日志的勾选配置,但是终端日志处没有“流量限额日志”。
· 问题产生条件:1、新建限额策略有日志的勾选配置,但是终端日志处没有“流量限额日志”。
· 规避措施:需要配置硬盘。
· 问题现象:在监控状态》在线用户处选择认证用户冻结所有页,会把移动用户的所有页也有冻结了。
· 问题产生条件:在监控状态》在线用户处选择认证用户冻结所有页,会把移动用户的所有页也有冻结了。
· 规避措施:可以选择冻结当前页进行批量冻结。
· 问题现象:设备长时间运行导致剩余存储空间变小或版本功能增多使得版本越来越大,会导致C8102无法升级使用最新版本。
· 问题产生条件:设备长时间运行导致剩余存储空间变小或版本功能增多使得版本越来越大,会导致C8102无法升级使用最新版本。
· 规避措施:升级前检查磁盘剩余空间,并进行数据清理后在进行升级。
· 问题现象:登录设备,在网络管理-路由-路由策略里,点击新建,对于其中的服务(FTP)和应用(百度贴吧)匹配不生效,无法完成策略路由牵引,请修改!
· 问题产生条件:登录设备,在网络管理-路由-路由策略里,点击新建,对于其中的服务(FTP)和应用(百度贴吧)进行策略路由牵引配置。
· 规避措施:影响范围较小,仅影响百度贴吧一个应用和FTP一个服务。
· 问题现象:登录设备,进入防火墙-流量管理-会话管理-会话监控,对会话进行筛选,选择源地址和目的地址,以及源端口,筛选出对应会话,然后点击上方重置按钮,源端口的筛选条件不会被重置,请修改!
· 问题产生条件:登录设备,进入防火墙-流量管理-会话管理-会话监控,对会话进行筛选,选择源地址和目的地址,以及源端口,筛选出对应会话,然后点击上方重置按钮,源端口的筛选条件不会被重置。
· 规避措施:在查询条件里手动清除源端口。
· 问题现象:设备只有256M的Flash,这个空间只够存储软件版本和特征库,对于设备应用缓存模块支持不了,而且界面显示有可用空间,实际并无可用空间,请修改!
· 问题产生条件:设备只有256M的Flash,这个空间只够存储软件版本和特征库,对于设备应用缓存模块支持不了,而且界面显示有可用空间,实际并无可用空间。
· 规避措施:无。
· 问题现象:E6472P05版本及之前版本,存在文件上传、SQL注入等漏洞。
· 问题产生条件:渗透测试。
· 问题现象:E6472P04版本及之前版本存在一些注入类漏洞问题。
· 问题产生条件:渗透测试。
· 问题现象:之前版本存在命令执行漏洞CNVD-C-2022-135801,以及文件上传漏洞CNVD-C-2022-135792,请修改!
· 问题产生条件:渗透测试。
· 问题现象:1、新建一个限额策略匹配源地址流量日限额20M,惩罚设置为限速一分钟。客户端下载一个500M的文件,当流量达到20M时,被限速2M/S,限速一分钟结束后,客户端上网状态变为“正常上网”,但是之前的下载连接依然在限速2M/S。2、漏扫扫出中危OpenSSH安全漏洞。
· 问题产生条件:1、限额策略惩罚配置限速。2、存在漏洞。
· 问题现象:ftp病毒检测动作为阻断,文件上传产生病毒阻断日志了,但是文件上传成功了。
· 问题产生条件:ftp病毒检测动作为阻断,文件上传产生病毒阻断日志了,但是文件上传成功了。
· 问题现象:1、入侵检测日志“用户名称”取得是目的地址,病毒防护日志的“用户名称”取得是源地址。
· 问题产生条件:入侵检测日志“用户名称”取得是目的地址,病毒防护日志的“用户名称”取得是源地址。
· 问题现象:在安全防护>黑名单>黑名单记录中,左边的勾选框没有实际作用,厂商已知,请修改。
· 问题产生条件:在安全防护>黑名单>黑名单记录中,左边的勾选框没有实际作用。
· 问题现象:配置与安全云联动命令后,更改命令(如变更URL地址、协商端口)时,会概率卡顿几秒中,等待一段时间后即可恢复,厂商已知。
· 问题产生条件:配置与安全云联动命令后,更改命令(如变更URL地址、协商端口)时,会概率卡顿几秒中,等待一段时间后即可恢复。
· 问题现象:使用http或者https登录WEB界面,TAB标签显示为H3C F1000,请将其修改为H3C F1000-C8102,免得用户和H3C防火墙混淆。此外请将“安全产品管理平台”这几个字修改为“F1000-C8102 防火墙。
· 问题产生条件:使用http或者https登录WEB界面,TAB标签显示为H3C F1000,请将其修改为H3C F1000-C8102,免得用户和H3C防火墙混淆。此外请将“安全产品管理平台”这几个字修改为“F1000-C8102 防火墙。
· 问题现象:之前版本存在CVE-2019-11072、CVE-2018-19052漏洞,命令执行和命令注入漏洞CNVD-C-2022-142819、CNVD-C-2022-142549,Open SSL 安全漏洞CVE-2022-0778,以及断电启动失败问题。
· 问题产生条件:存在漏洞和断电启动失败问题
1. 使用绿盟漏扫扫描设备存在中高危漏洞
· 问题现象:使用绿盟漏扫扫描设备存在CVE-2016-2183 、Diffie-Hellman 公共密钥过弱、 CVE-2020-15778等中高危漏洞
· 问题产生条件:使用绿盟漏扫扫描
2.设备存在弱口令漏洞
· 问题现象:设备默认管理员密码存在弱口令漏洞
· 问题产生条件:使用设备默认管理员密码
无
· 问题现象:修改微信认证用户名为tid,非经平台收到的终端上下线日志存在异常,日志中用户名信息为openid。
· 问题产生条件:配置微信认证取tid为用户名,查看非经日志用户名内容为openid。
· 问题现象:开启混合认证移动终端使用微信认证有认证过程,但无法认证成功,切换为单独的微信认证可以成功。
· 问题产生条件:开启混合认证。
· 问题现象:radius管理员用户登录WEB界面,提示与第三方认证服务器连接失败,但是登录到设备上查看日志提示用户名或密码错误,与实际不符合。
· 问题产生条件:radius管理员用户登录设备。
· 问题现象:IPS日志导出查看,多了用户id记录,行为使用数字表示;AV日志导出查看,数据乱序,行为使用数字表示;安全日志导出查看,ICMP flood攻击日志端口号数据异常。
· 问题产生条件:导出应用日志查看。
· 问题现象:使用winddows server开启LDAP服务,同步LDAP用户,需要输入windows server管理员用户的密码,但是对于带有部分特殊字符的windows server管理员的密码(如!,#等),设备做了使用限制,导致无法输入管理员密码,也就无法同步LDAP用户
· 问题产生条件:同步LDAP用户且windows server管理员的密码带有特殊字符。
首次发布,无。
您可以通过访问如下链接获取帮助:
· 请访问网址http://www.h3c.com/cn/Technical_Documents ,选择产品类型和产品型号,在“诊断维护”分类下查询相关案例。
· H3C SecPath F1000-C8102防火墙 快速安装指南
· H3C SecPath F1000-C8102防火墙安装指导
· H3C SecPath F1000-C8102[F1000-ServerBlade] Web配置指导-
· H3C SecPath F1000-C8102[F1000-ServerBlade] 配置指导
· H3C SecPath F1000-C8102[F1000-ServerBlade] 命令参考
您可以通过H3C网站(www.h3c.com)获取最新的产品资料:
(1) 请访问网址:http://www.h3c.com/cn/Technical_Documents;
(2) 选择产品类别和产品型号,即可查询和下载与该产品相关的手册。
用户支持邮箱:service@h3c.com
技术支持热线电话:400-810-0504(手机、固话均可拨打)
SecPath F1000-C8102 | |
管理接口 | 1 |
业务接口 | 8GE(电) |
USB接口 | 2 |
硬盘 | 0 |
尺寸(长×高×深/mm) | 330*230*43.6mm |
电源 | 100~240V AC |
重量 | 2.5 Kg |
功能 | 子功能 | 描述 |
上网行为管理 | 流量管理 | 支持虚拟线路和分级带宽管理,可支持4级通道嵌套 |
支持基于用户/应用/服务/IP/时间的带宽限制 | ||
支持每IP限速、带宽保障和多优先级管理 | ||
应用过滤和审计 | 支持针对网络社区/P2P/文件传输/电子商务/IM/炒股/网络多媒体/网络游戏/远程控制等进行控制 | |
支持针对应用类/单个应用的应用审计 | ||
支持对应用的行为动作审计 | ||
支持对应用的行为内容的审计 | ||
支持网站、邮件、论坛发贴、搜索关键字过滤和审计 | ||
审计日志级别(紧急、告警、严重、错误、警示、通知、信息) | ||
URL过滤 | 内置URL分类库,可针对广告/成人/艺术/在线音乐/BBS/博彩/商业/犯罪/教育/娱乐/赌博/游戏/医疗健康/违反道德/求职招聘等类别网站进行过滤和审计 | |
支持恶意URL和自定义URL过滤 | ||
用户管理 | 用户 | 支持批量导入导出用户或用户组 |
用户属性支持本地用户、Radius用户、LDAP用户、静态绑定地址用户 | ||
在线用户管理 | 在线用户状态显示(用户名、所属组、登录地址、认证方式、登录时间/冻结时间、状态、在线时长) | |
在线用户操作:非认证账号可以冻结/解冻,认证用户可以注销、冻结/解冻 | ||
IMC联动 | 与IMC联动 | |
对于未识别出用户的流量,策略将其web访问的流量重定向到指定的portal页面 | ||
用户认证成功后,记录该用户信息。 | ||
用户认证成功后的访问流量, 可识别并定期刷新 | ||
对认证用户进行细粒度业务控制 | ||
推送认证页面,接收Portal用户的认证信息 | ||
发起用户认证请求以及用户下线通知 | ||
提供用户自服务选项,链接到中央Radius服务器提供的自服务页面完成相应功能。 | ||
强制用户在访问网页时需重定向至指定Portal server并认证 | ||
记录portal上用户上下线信息日志 | ||
发送accounting-on报文同步IMC服务器用户下线 | ||
配置密钥用于审计设备用户同步上下线 | ||
认证服务器管理 | 支持Radius\LDAP认证服务器和服务器组 | |
认证服务器组支持主备和集群 | ||
支持短信验证码验证身份实现wifi认证上网 | ||
支持微信关注公众账号实现wifi认证上网 | ||
统计集 | 应用流量统计 | 应用统计总览可视 |
应用比例图呈现 | ||
应用统计趋势图总览 | ||
应用统计详细信息展现 | ||
应用与用户维度耦合 | ||
应用TOP统计 | ||
用户流量统计 | 用户统计总览 | |
支持用户统计柱状呈现 | ||
用户统计详细信息总览与应用维度耦合 | ||
支持查看单个用户的应用趋势及应用TOP列表 | ||
用户TOP统计 | ||
网络基础功能 | 接口 | 支持子接口、桥接口、聚合接口 |
DHCP | 支持DHCP中继、DHCP服务器、DHCP客户端 | |
DHCP服务器支持IP-MAC绑定、租期管理、排除地址等属性 | ||
会话管理 | 支持地址对象的限制;支持源IP的会话数、每秒新建的限制 | |
会话统计:显示当前IP地址的连接数 | ||
NAT | 支持多种NAT ALG,包括FTP、H.323、SIP、PPTP、SIP等 | |
支持源地址、目的地址NAT,支持一对一、一对多、多对多地址转换 | ||
路由 | 支持静态路由、动态路由(RIP\OSPF)、策略路由 | |
支持基于源地址/目的地址/服务/用户/应用的策略路由 | ||
支持ISP路由,内置运营商路由表,可自定议ISP路由 | ||
VPN | 支持AH、ESP协议\支持手工或通过IKE自动建立安全联盟,ESP支持DES、3DES、AES多种加密算法,支持MD5及SHA-1验证算法 | |
支持IKE主模式及野蛮模式,支持NAT穿越和DPD检测 | ||
接口探测 | 支持ping地址监控条目 | |
支持tcpsyn地址监控条目 | ||
支持dns地址监控条目 | ||
支持接口类型:物理接口,子接口,桥接口,聚合接口,隧道接口 | ||
地址探测组 | 支持多个地址探测从属组关系 | |
分为严格模式和非严格模式(严格模式即所有探测条目均成功组状态才成功,非严格模式探测条目间为独立状态) | ||
支持对探测组描述 | ||
路由探测 | 支持探测路由以确保路由有效性 | |
支持场景及部署方式 | 支持静态路由或ISP路由联动 | |
支持与接口状态联动 | ||
支持与HA联动 | ||
日志说明 | 可对地址探测失效、恢复有日志记录 | |
安全防护 | 攻击防护 | 支持基于接口的IP和端口扫描防护 |
支持SYNflood、UDPflood、ICMPflood、DNSflood攻击防护和异常包防护(支持Ping of Death、Land-Base、Tear Drop、TCP Flag、Winnuke、Smurf、IP选项、IP Spoof、Jolt2) | ||
支持与IP地址黑名单联动,禁用地址访问 | ||
支持IP-MAC绑定和唯一性检查 | ||
系统管理 | 部署方式 | 旁路、串接、混合部署 |
配置文件 | 配置文件导入导出 | |
双备份配置 | ||
系统升级 | 支持系统软件本地升级和远程升级 | |
特征库可自动和手动升级 | ||
SNMP | 支持SNMP代理 | |
支持版本:v1、v2、v3 | ||
SNMP用户:支持创建/修改/删除用户信息。认证方式:None、MD5、SHA | ||
日志配置 | 支持3组Syslog发送服务器并可远程发送到日志分析管理平台 | |
支持日志级别过滤,支持设备映射表 |
· 本章显示信息仅为软件升级过程的举例说明,实际显示信息与设备版本的实际情况相关,可能会略有差别,请以设备版本实际显示信息情况为准。
· 设备的默认存储介质为CF卡。
设备软件主要包括系统启动文件和MenuBoot文件。
启动文件是用于引导设备启动的程序文件。
通常情况下,启动文件是后缀名为.bin的文件(例如:SECPATHF1000C8102-CMW710-E6471.BIN)。
配置文件是保存设备配置信息的文件。配置文件主要用于:
· 将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。
· 使用配置文件,用户可以非常方便地查阅配置信息。
设备的配置文件名为syscfg.data、syscfg.bcp,其中,syscfg.data用于保存同时支持通过命令行与Web所做的配置,syscfg.bcp用于备份配置文件。
· 执行copy running-config backup-config 命令将当前运行文件拷贝到备份配置中。
· 执行copy startup-config backup-config 命令将已保存的配置文件拷贝到备份配置中。
· 执行copy backup-config startup-config 命令将备份配置文件恢复到启动文件中。
升级对象 | 升级方式 | 说明 |
升级启动文件 | 通过命令行升级启动文件 | · 对于Web方式升级启动文件,无需开启TFTP/FTP Server功能 · 由于不同软件版本之间配置文件信息不兼容,会造成升级后设备的配置与升级前不相同,请您仔细查阅相应章节内容,以便确认待升级版本的特性变更情况 |
通过Web升级启动文件 | ||
通过MenuBoot菜单升级启动文件 |
TFTP/FTP Server由用户自己购买和安装,设备不附带此软件。
TFTP(Trivial File Transfer Protocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。设备作为TFTP Client,文件服务器(通常为PC)作为TFTP Server,用户通过在终端输入相应命令,可将本设备的启动文件上传到文件服务器上,或者从文件服务器下载启动文件到设备中。
FTP(File Transfer Protocol,文件传输协议)在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输。设备作为FTP Client,文件服务器(通常为PC)为FTP Server。
在升级设备启动文件前,请完成如下准备工作:
· 配置ACG的管理口IP地址。
· 开启文件服务器的TFTP/FTP Server功能。
· 通过配置终端登录到命令行配置界面中。
· 将升级启动文件拷贝到文件服务器上,并正确设置TFTP/FTP Server的访问路径。
B.4.1 通过命令行升级启动文件
· 通过命令行升级启动文件,可以采用以下方式:使用FTP协议升级设备的启动文件
· 使用TFTP协议升级设备的启动文件
· 使用FTP协议升级设备的启动文件
1. 使用TFTP协议升级设备的启动文件
设备作为TFTP Client,访问TFTP文件服务器的指定路径,完成启动文件的备份与升级操作,具体操作步骤如下:
(1) 备份当前启动文件和配置文件
步骤1 在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
H3C# save config
Building configuration...
Save configuration ok !
步骤2 在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:
H3C# display version
H3C Comware software,Version 7.1.064, Ess 6471, Build time is Oct 30 2018 08:05:59System uptime: 2 days 22 hours 7 minutes
Firmware is SECPATHF1000C8102-CMW710-E6471.BIN
Application signature version: 20180622
URL category version: 20180621
IPS signature version: 20160618
Virus protection version: 20180612
Software S/N : 110005400118037893240151
Device S/N : 219801A1KBH16C000002
Model : F1000-C8102
Platform : PLATFORM_CN7020_C8102
Basic Functionality : License valid
Application Audit and Control : License valid
URL Category : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Intrusion Prevention System : License valid
Virus Protection : License valid
Application Audit and Control Update Service : License valid
URL Category Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
Intrusion Prevention System Update Service : License valid
Virus Protection Update Service : License valid
步骤3 在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.data备份到TFTP文件服务器上:
H3C# copy startup-config tftp 192.168.0.2 syscfg.data
H3C#
(2) 升级启动文件
本节中,以即将升级的启动文件SECPATHF1000C8102-CMW710-E6471.BIN为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
步骤4 在命令行配置界面的用户视图下,执行copy tftp命令将启动文件SECPATHF1000C8102-CMW710-E6471.BIN 导入到CF卡中:
H3C# copy tftp 192.168.2.185 SECPATHF1000C8102-CMW710-E6471.BIN ver
Download file SECPATHF1000C8102-CMW710-E6471.BIN ....
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
#####################################################
Download file(SECPATHF1000C8102-CMW710-E6471.BIN) success.
Checking images valid success.
Install system................................................ success
Update images success.
步骤5 在命令行配置界面的用户视图下,执行reboot命令重启设备:
H3C# reboot
Save current configuration? Please enter "y/n" to confirm: y
Building configuration...
Save configuration ok !
The system will be rebooted! Please enter "y/n" to confirm: y
……略……
步骤6 设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致
H3C Comware software,Version 7.1.064, Ess 6471, Build time is Oct 30 2018 08:05:59
System uptime: 2 days 22 hours 7 minutes
Firmware is SECPATHF1000C8102-CMW710-E6471.BIN
Application signature version: 20180622
URL category version: 20180621
IPS signature version: 20160618
Virus protection version: 20180612
Software S/N : 110005400118037893240151
Device S/N : 219801A1KBH16C000002
Model : F1000-C8102
Platform : PLATFORM_CN7020_C8102
Basic Functionality : License valid
Application Audit and Control : License valid
URL Category : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Intrusion Prevention System : License valid
Virus Protection : License valid
Application Audit and Control Update Service : License valid
URL Category Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
Intrusion Prevention System Update Service : License valid
Virus Protection Update Service : License valid
2. H3C#使用FTP协议升级设备的启动文件
设备作为FTP Client,访问FTP文件服务器的指定路径,完成启动文件的备份及升级操作,具体操作步骤如下:
(1) 备份当前启动文件和配置文件
步骤1 在命令行配置界面的用户视图下,执行save命令保存设备当前配置信息:
H3C# save config
Building configuration...
Save configuration ok !
步骤2 在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:
H3C# display version
H3C Comware software,Version 7.1.064, Ess 6471, Build time is Oct 30 2018 08:05:59
System uptime: 2 days 22 hours 7 minutes
Firmware is SECPATHF1000C8102-CMW710-E6471.BIN
Application signature version: 20180622
URL category version: 20180621
IPS signature version: 20160618
Virus protection version: 20180612
Software S/N : 110005400118037893240151
Device S/N : 219801A1KBH16C000002
Model : F1000-C8102
Platform : PLATFORM_CN7020_C8102
Basic Functionality : License valid
Application Audit and Control : License valid
URL Category : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Intrusion Prevention System : License valid
Virus Protection : License valid
Application Audit and Control Update Service : License valid
URL Category Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
Intrusion Prevention System Update Service : License valid
Virus Protection Update Service : License valid
步骤3 在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.data备份到FTP文件服务器上:
H3C# copy startup-config ftp anonymous test 192.168.0.2 syscfg.data
(2) 升级启动文件
本节中,以启动文件SECPATHF1000C8102-CMW710-E6471.BIN为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
步骤4 在命令行配置界面的用户视图下,执行copy ftp命令将启动文件SECPATHF1000C8102-CMW710-E6471.BIN导入到设备的CF卡中:
H3C# copy ftp 192.168.2.185 SECPATHF1000C8102-CMW710-E6471.BIN ver
Download file SECPATHF1000C8102-CMW710-E6471.BIN ....
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
#####################################################
Download file(SECPATHF1000C8102-CMW710-E6471.BIN) success.
Checking images valid success.
Install system................................................ success
Update images success.
步骤5 在命令行配置界面的用户视图下,执行reboot命令重启设备:
H3C# reboot
Save current configuration? Please enter "y/n" to confirm: y
Building configuration...
Save configuration ok !
The system will be rebooted! Please enter "y/n" to confirm: y
步骤6 设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致
H3C Comware software,Version 7.1.064, Ess 6471, Build time is Oct 30 2018 08:05:59System uptime: 2 days 22 hours 7 minutes
Firmware is SECPATHF1000C8102-CMW710-E6471.BIN
Application signature version: 20180622
URL category version: 20180621
IPS signature version: 20160618
Virus protection version: 20180612
Software S/N : 110005400118037893240151
Device S/N : 219801A1KBH16C000002
Model : F1000-C8102
Platform : PLATFORM_CN7020_C8102
Basic Functionality : License valid
Application Audit and Control : License valid
URL Category : License valid
Malware URL Category : License valid
Virtual Private Network : License valid
Intrusion Prevention System : License valid
Virus Protection : License valid
Application Audit and Control Update Service : License valid
URL Category Update Service : License valid
Malware URL Category Update Service : License valid
Virtual Private Network Tunnel Limit : License valid
Intrusion Prevention System Update Service : License valid
Virus Protection Update Service : License valid
B.4.2 通过Web升级启动文件
设备支持Web网管功能,管理员可以使用Web界面方便直观地管理、维护和升级。
设备在出厂前,已经设置了缺省的Web登录信息,用户可以直接使用该缺省信息登录Web界面。
表4 设备缺省Web登录信息表
登录信息项 | 设备默认配置 |
用户名 | admin |
密码 | admin |
接口IP地址 | 192.168.1.1/24 |
(1) 连接设备和PC。
用以太网线将PC和设备的以太网口相连。
(2) 为PC配置IP地址,确保能与设备互通。
修改IP地址为192.168.1.0/24(除192.168.1.1),例如192.168.1.2。
(3) 启动浏览器,输入登录信息。
在PC上启动浏览器,在地址栏中输入IP地址“192.168.1.1”后回车,即可进入设备的Web登录页面,输入设备默认的用户名、密码和验证码,单击<登录>按钮即可登录。
(4) 在导航栏中选择“系统管理 > 系统设定>系统升级”,进入如下图所示的页面。
(5) 单击<上传>按钮开始进行软件升级。
软件升级需要一定的时间。升级完成后,手动执行重启命令重启设备。
B.4.3 通过MenuBoot菜单升级启动文件
通过MenuBoot菜单升级启动文件,可以采用以下方式:
·
· 通过以太网口利用FTP升级启动文件
1. 连接console线缆进入MenuBoot菜单
以下显示信息与设备实际情况相关,可能会略有差别。
设备上电和重新启动的过程中,在配置终端的屏幕上首先将显示 输入Ctrl+C进入menuboot 菜单,
PrRss Ctrl+C to stop auto start : 03
reading menuboot
.......................................[ 25.391419] tmp421 0-004c: Could not read configuration register (-5)
/sbin/rc starting
Mounting file systems
Setting up loopback
……
===============================================================
| BOOT MENU(V2.0-20140812) |
| 1. Upgrade image by FTP. |
| 2. Upgrade menuboot by FTP. |
| 3. Check and repare file system. |
| 4. Reset administrator passowrd. |
| 5. Producing test. |
| 6. Aging test. |
| 7. Display production and aging recored. |
| 8. Advance functions. |
| 0. Reboot. |
| |
===============================================================
该菜单含义如下:
表5 MenuBoot主菜单
说明 | |
<1> Upgrade image by FTP | 通过FTP升级启动文件 |
<2> Upgrade menuboot by FTP | 通过FTP升级menuboot |
<3> Check and repare file system | 检测/修复文件系统 |
<4> Reset administrator passowrd | 恢复管理员默认密码 |
<5> Producing test | 装备测试,检查端口基础通讯功能 |
<6> Aging test | 老化测试,长时间进行收发报文压力测试 |
<7> Display production and aging recored | 显示装备测试和老化测试的结果 |
<8> Advance functions | 暂不支持 |
<0> Reboot | 重新启动设备 |
2. 通过以太网口利用FTP升级启动文件
(1) 在MenuBoot主菜单下键入<1>,可以进入通过FTP升级启动文件,分别输入如下信息:
Please input your choice[0-8]:1
Local IP[A.B.C.D/M]:192.168.0.1/24
Server IP[A.B.C.D]:192.168.0.2
Gateway IP[A.B.C.D]:192.168.0.254
image name[xxx.bin]:SECPATHF1000C8102-CMW710-E6471.BIN
显示 | 说明 |
LOCAL IP | 设备自己的IP地址 |
Server IP | FTP服务器IP地址 |
Gateway IP | 网关IP地址,当与服务器不在同一网段时需要配置网关地址 |
image name | 升级版本名称 |
(2) 升级完成后,键入<0>重启设备使新升级文件生效:
Download file SECPATHF1000C8102-CMW710-E6471.BIN ....
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
################################################################
##############################################
Download file(SECPATHF1000C8102-CMW710-E6471.BIN) success.
Checking images valid success.
Install system......................................................................... success
Update images success.
===============================================================
| BOOT MENU(V2.0-20140812) |
| 1. Upgrade image by FTP. |
| 2. Upgrade menuboot by FTP. |
| 3. Check and repare file system. |
| 4. Reset administrator passowrd. |
| 5. Producing test. |
| 6. Aging test. |
| 7. Display production and aging recored. |
| 8. Advance functions. |
| 0. Reboot. |
| |
===============================================================
Please input your choice[0-8]: 0
设备加载升级文件,需要2分钟左右
设备重启,需要3分钟左右
升级失败后,用户可以通过以下方式尝试解决软件升级失败问题。
(1) 请检查物理接口是否连接完好,请确保接口物理连接正确,并观察指示灯是否正常。
(2) 通过Console口登录设备时,请检查超级终端相关参数是否设置正确,如波特率、数据位等。
(3) 请检查FTP Server或者TFTP Server等软件是否正常运行,相关设置是否正确。
(4) 如果文件在加载结束后出现如下提示:image desc magic check fail.请检查文件是否可用。
(5) 如果上述检查均正常,请联系H3C技术服务人员。
附录 C E6472版本升级失败时CLI删除文件操作指导
设备由于存储空间限制,在配置过一些占用空间的功能时(应用缓存、抓包功能、异常信息)可能会因空间不足导致版本升级失败,此时需要手动删除一些文件才能正常升级。比如删除设备抓包、信息收集、异常信息收集,如果删除这些还没有足够的空间升级版本,需要删除设备内部存储的一些文件,具体操作如下:
(1) 系统管理 > 系统维护 > 抓包工具,删除抓包文件
(2) 系统管理 > 系统维护 > 信息收集,删除收集的信息文件
(3) 系统管理 > 系统维护 > 信息收集,删除收集的异常信息文件
(1) 此操作需要连接设备console口。
PC通过串口管理工具(SecureCRT、putty等),使用console线连接设备console口;
查看PC上的串口:右键点击“我的电脑”—>“管理”,在弹出的对话框左侧点击“设备管理”,在右边列出的设备中,打开“端口(COM和LPT)”,查看使用的COM端口;
串口管理工具:新建串口连接,设置端口参数为PC查看的COM端口,设置波特率9600,去勾选RTS/CTS;
串口登陆成功后,按照提示输入用户名及密码(默认为admin/admin,若有修改,按照实际输入即可)。
(2) 可删除如下文件:
SplVxName.txt 、SplVxName.txt.tz 、main01.hdb 、main02.hdb 、main03.hdb 、main04.hdb 、main05.hdb、main06.hdb 、main07.hdb 、main08.hdb 、main09.hdb 、main10.hdb 、main11.hdb 、main12.hdb 、main13.hdb 、main14.hdb 、main15.hdb 、main16.hdb 、main17.hdb 、main18.hdb 、main19.hdb 、main20.hdb
a. 保存配置,重启设备,在提示:Press Ctrl+B to access EXTENDED-BOOTWARE MENU...时,按“Ctrl+B”进入到EXTENDED-BOOTWARE MENU下:
b. 按4,进入到File CONTROL菜单:
c. 按1,查看所有文件,找到要删除的文件对应的编号:
d. 按5,输入要删除文件对应编号,回车,然后输入Y:
e. 如果需要删除多个文件,重复(3)和(4)步骤。
f. 按0,回到EXTENDED-BOOTWARE MENU下:
g. 按0,重启设备:
h. 设备启动后按照附录B升级版本的操作进行版本升级操作即可。
1. 任何从本网站下载的软件都是H3C公司受著作权保护的产品。
2. 使用软件必须受最终用户许可协议的条款的约束,该许可协议随软件附上或包含在软件中。
3. 除非最终用户首先同意许可协议的条款,否则不能安装任何附有或内含许可协议的软件。
4. 软件仅供最终用户根据许可协议的规定下载使用。
5. 最终用户在用下载软件进行升级及使用的过程中,应严格遵守操作指导书,对于未按指导书而引起的问题,责任由使用者自负。
6. 对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止,并可导致严重的民事及刑事处罚。
7. 所下载的软件版本仅限美国以外的地区使用。