• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Service/Document_Software/Software_Download/IP_Security/ACG/H3C_SecPath_ACG1000/202209/1679010_30005_0.htm

H3C SecPath ACG1000-IMW110-R6611P21 版本软件及说明书 (仅支持2GB及以上内存硬件款型、2022年度稳定版本)

H3C SecPath ACG1000-IMW110-R6611P21 版本软件及说明书 (仅支持2GB及以上内存硬件款型、2022年度稳定版本)

2022/9/1 20:22:36


下载:

H3C SecPathACG1000-IMW110-R6611P21 版本说明书

 

1 版本信息·· 1

1.1 版本号·· 1

1.2 历史版本信息·· 1

1.3 版本配套表·· 3

1.4 版本升级注意事项·· 4

2 硬件特性变更说明·· 4

3 软件特性及命令行变更说明·· 4

4 MIB变更说明·· 4

5 操作方式变更说明·· 5

6 版本使用限制及注意事项·· 5

6.1 使用限制·· 5

6.2 注意事项·· 7

7 License管理·· 9

7.1 License简介·· 9

7.2 License申请及安装·· 9

8 存在问题与规避措施·· 10

9 解决问题列表·· 14

9.1 SecPathACG1000-IMW110-R6611P21版本解决问题列表·· 14

9.2 SecPathACG1000-IMW110-R6611P20版本解决问题列表·· 14

9.3 SecPathACG1000-IMW110-R6611P19版本解决问题列表·· 14

9.4 SecPathACG1000-IMW110-R6611P18版本解决问题列表·· 14

9.5 SecPathACG1000-IMW110-R6611P17版本解决问题列表·· 15

9.6 SecPathACG1000-IMW110-R6611P16版本解决问题列表·· 15

9.7 SecPathACG1000-IMW110-R6611P15版本解决问题列表·· 16

9.8 SecPathACG1000-IMW110-R6611P13版本解决问题列表·· 16

9.9 SecPathACG1000-IMW110-R6611P12版本解决问题列表·· 17

9.10 SecPathACG1000-IMW110-R6611P11版本解决问题列表·· 17

9.11 SecPathACG1000-IMW110-R6611P10本解决问题列表·· 18

9.12 SecPathACG1000-IMW110-R6611P09版本解决问题列表·· 19

9.13 SecPathACG1000-IMW110-R6611P07版本解决问题列表·· 19

9.14 SecPathACG1000-IMW110-R6611P06版本解决问题列表·· 21

9.15 SecPathACG1000-IMW110-R6611L05版本解决问题列表·· 21

9.16 SecPathACG1000-IMW110-R6611P04版本解决问题列表·· 22

9.17 SecPathACG1000-IMW110-R6611P03版本解决问题列表·· 22

9.18 SecPathACG1000-IMW110-R6611P02版本解决问题列表·· 22

9.19 SecPathACG1000-IMW110-R6611P01版本解决问题列表·· 22

9.20 SecPathACG1000-IMW110-R6611版本解决问题列表·· 23

9.21 SecPathACG1000-IMW110-F6610P03版本解决问题列表·· 24

9.22 SecPathACG1000-IMW110-F6610P02版本解决问题列表·· 25

9.23 SecPathACG1000-IMW110-F6610P01版本解决问题列表·· 26

9.24 SecPathACG1000-IMW110-F6610版本解决问题列表·· 26

9.25 SecPathACG1000-IMW110-R6609P06版本解决问题列表·· 26

9.26 SecPathACG1000-IMW110-R6609P02版本解决问题列表·· 27

9.27 SecPathACG1000-IMW110-R6609版本解决问题列表·· 28

9.28 SecPathACG1000-IMW110-F6608P01版本解决问题列表·· 29

9.29 SecPathACG1000-IMW110-F6608版本解决问题列表·· 30

9.30 SecPathACG1000-IMW110-R6606P08版本解决问题列表·· 30

9.31 SecPathACG1000-IMW110-R6606P07版本解决问题列表·· 30

9.32 SecPathACG1000-IMW110-R6606P06版本解决问题列表·· 31

9.33 SecPathACG1000-IMW110-R6606P05版本解决问题列表·· 31

9.34 SecPathACG1000-IMW110-R6606P04版本解决问题列·· 32

9.35 SecPathACG1000-IMW110-R6606P03版本解决问题列表·· 32

9.36 SecPathACG1000-IMW110-R6606P02版本解决问题列表·· 32

9.37 SecPathACG1000-IMW110-R6606P01版本解决问题列表·· 33

9.38 SecPathACG1000-IMW110-R6606版本解决问题列表·· 34

9.39 SecPathACG1000-IMW110-R6605P03版本解决问题列表·· 34

9.40 SecPathACG1000-IMW110-R6605P02版本解决问题列表·· 34

9.41 SecPathACG1000-IMW110-R6605P01版本解决问题列表·· 34

9.42 SecPathACG1000-IMW110-R6605版本解决问题列表·· 35

9.43 SecPathACG1000-IMW110-R6604P01版本解决问题列表·· 36

9.44 SecPathACG1000-IMW110-R6604版本解决问题列表·· 38

9.45 SecPathACG1000-IMW110-F6603P03版本解决问题列表·· 38

9.46 SecPathACG1000-IMW110-F6603P02版本解决问题列表·· 39

9.47 SecPathACG1000-IMW110-R6603P01版本解决问题列表·· 39

9.48 SecPathACG1000-IMW110-R6603版本解决问题列表·· 40

9.49 SecPathACG1000-IMW110-E6602版本解决问题列表·· 41

10 故障定位与处理·· 41

11 相关资料·· 41

11.1 相关资料清单·· 41

11.2 资料获取方式·· 42

12 技术支持·· 42

附录 A 本版本支持的软、硬件特性列表·· 43

A.1 版本硬件特性·· 43

A.2 版本软件特性·· 46

附录 B 版本升级操作指导·· 50

B.1 设备软件简介·· 50

B.1.1 启动文件简介·· 50

B.1.2 配置文件·· 50

B.2 软件升级方式简介·· 50

B.3 升级前的准备·· 50

B.4 升级启动文件·· 51

B.4.1 通过命令行升级启动文件·· 51

B.4.2 通过Web升级启动文件·· 55

B.4.3 通过MenuBoot菜单升级启动文件·· 56

B.4.4 升级时间·· 58

B.5 软件升级失败的处理·· 58



本文介绍了SecPathACG1000-IMW110-R6611P21版本的特性、使用限制、存在问题及规避措施等,在加载版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。

本文档需和本文“相关资料”中的文档一起配合使用。

1 版本信息

1.1  版本号

版本号: i-Ware software,Version 1.10,Release 6611P21

注:该版本号可在任何视图下执行display version命令查看。

1.2  历史版本信息

表1-1 历史版本信息表

版本号

基础版本号

发布日期

版本类型

备注

R6611P21

R6611P20

2022-08-29

正式版本

解决问题

R6611P20

R6611P19

2022-03-31

正式版本

解决问题

R6611P19

R6611P18

2022-02-25

正式版本

解决问题

R6611P18

R6611P17

2022-01-24

正式版本

解决问题

R6611P17

R6611P16

2021-11-26

正式版本

解决问题

R6611P16

R6611P15

2021-09-28

正式版本

解决问题

R6611P15

R6611P13

2021-08-18

正式版本

解决问题

R6611P13

R6611P12

2021-06-30

正式版本

解决问题

R6611P12

R6611P11

2021-04-23

正式版本

解决问题

R6611P11

R6611P10

2021-03-12

正式版本

解决问题

R6611P10

R6611P09

2020-12-11

正式版本

解决问题

R6611P09

R6611P07

2020-10-29

正式版本

解决问题、新增特性

R6611P07

R6611P06

2020-09-16

正式版本

解决问题

R6611P06

R6611P04

2020-06-24

正式版本

解决问题、新增特性

R6611L05

R6611P04

2020-05-08

正式版本

解决问题:解决流量控制策略配置每IP限速,测试限速速率波动较大

R6611P04

R6611P03

2020-03-30

正式版本

解决问题:解决升级特征库后修改控制策略导致设备异常重启

R6611P03

R6611P02

2020-03-19

正式版本

解决问题

R6611P02

R6611P01

2020-02-28

正式版本

解决问题、新增特性

R6611P01

R6611

2020-01-06

正式版本

解决问题、新增特性

R6611

F6610P03

2019-11-18

正式版本

解决问题

F6610P03

F6610P02

2019-10-15

正式版本

解决问题:解决非经上报导致设备频繁重启;HA主备透明模式部署,接口状态无法同步等问题

F6610P02

F6610P01

2019-08-15

正式版本

解决问题:解决无法直接跳转到Manager问题、解决HA主备系统配置显示不同步问题等

F6610P01

F6610

2019-07-25

正式版本

新增安全云联动特性、修复遗留问题

F6610

R6609P06

2019-05-14

特性版本

新增特性

R6609P06

R6609P02

2018-12-11

正式版本

解决问题:修复漏洞;解决LADP同步导致设备重启问题;解决GRE配置失效问题等

R6609P02

R6609

2018-09-17

正式版本

解决问题:修复任子行、中科新业、恒邦三家厂商的非经日志无法显示问题;超MTU值的非IP报文导致串联ACG设备出现延迟与丢包

R6609

F6608P01

2018-07-16

正式版本

解决问题;新增支持型号

F6608P01

F6608

2018/05/31

特性版本

解决问题

F6608

R6606

2018/01/24

特性版本

新增特性

R6606P08

R6606P07

2017/12/28

补丁版本

解决问题

R6606P07

R6606P06

2017/11/29

补丁版本

解决问题:未开启免认证时可绕过;QOS模式下支持流保序

R6606P06

R6606P05

2017/9/21

补丁版本

解决问题:snmp/ssh攻击导致内存耗尽问题等

R6606P05

R6606P04

2017/7/21

补丁版本

解决问题:支持保序功能,避免访问某些网站页面异常;某些特定环境下系统异常问题

R6606P04

R6606P03

2017/5/30

补丁版本

公司更名,支持新型号ACG1010-X1/ACG1030-X1/ACG1050-X1

R6606P03

R6606P02

2017/3/30

补丁版本

修改问题:ALG FTP映射网络不通问题

R6606P02

R6606P01

2016/12/12

补丁版本

 

R6606P01

R6606

2016/10/25

补丁版本

 

R6606

R6605P03

2016/7/5

正式版本

 

R6605P03

R6605P02

2016/5/24

补丁版本

 

R6605P02

R6605P01

2016/3/18

补丁版本

 

R6605P01

R6605

2015/12/31

补丁版本

 

R6605

R6604P01

2015/12/2

正式版本

 

R6604P01

R6604

2015/7/29

补丁版本

 

R6604

R6603P03

2015/6/16

正式版本

 

F6603P03

F6603P02

2015/4/27

特性版本

修复本地认证用户修改用户密码可控性bug

F6603P02

R6603P01

2015/3/5

特性版本

 

R6603P01

R6603

2015/2/3

补丁版本

本地Web认证、审计功能性能优化

R6603

Ess 6602

2014/12/26

正式版本

Release版本

Ess 6602

首次发布

2014/10/20

ESS版本

 

1.3  版本配套表

注意

在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。

 

表1-2 版本配套表

产品系列

H3C SecPath ACG1000系列

 

型号

ACG1005-PWR

ACG1000-SE-PWR

ACG1000-SE

ACG1000-BE-PWR

ACG1000-BE

ACG1000-AK150

ACG1000-AK210

ACG1000-AK220

ACG1000-AK230

ACG1000-AK240

ACG1000-AK250

ACG1000-AK260

ACG1000-TE

ACG1000-ME

ACG1010-X1

ACG1030-X1

ACG1050-X1

ACG1060-X1

ACG1070-X1

ACG1000-C9130

ACG1000-C9150

ACG1000-C9160

ACG1000-AK215

ACG1000-AK225

ACG1000-AK255

ACG1000-AK265

ACG1000-B100

ACG1000-B200

ACG1000-B300

ACG1000-AK270

ACG1000-AK280

ACG1000-AE

ACG1000-C9170

ACG1000-AK275

ACG1000-PE

ACG1000-EE

ACG1000-AK285

ACG1000-XE1

 

内存

2GB

4GB

8GB

16GB

版本文件名称

 SecPathACG1000-IMW110-R6611P21.BIN

MD5: 24f7fd3c7bc8166a079a909917e29b2e

 

SSL VPN客户端

安卓:SSLVPNClient_20200519.apk

MD5: 9A6A75E7145BF91A8B3421341B672E4D

WindowsSSLVPNClient_20210802.exe

MD5: 4BA7409DFDAA0B5DAD3E11476E9EF4D0

 

日志分析与管理平台版本号

SecPathACG1000 SACG-7.0-R0305P04

 

行为感知分析平台版本号

SecPathACG1000BA-IMW110-E6401P01

 

备注

 

 

1.4  版本升级注意事项

版本升级前需备份原有配置文件,版本回退需清除配置导入原有配置文件即可。

内存1G设备不支持升级到R6611及以后版本。

R6611P21版本可用于2G内存及以上设备升级,不能用于升级1G内存设备,1G设备升级请参考对应的BI版本。

R6609P06及以前版本若直接升至R6611P21,请通过通过命令行进行升级,具体方法请参见附录C.4.1

其他升级事项请参考章节6 版本使用限制及注意事项。

2 硬件特性变更说明

3 软件特性及命令行变更说明

具体见软件特性变更说明书

4 MIB变更说明

5 操作方式变更说明

6 版本使用限制及注意事项

6.1  使用限制

1. 设备日志发送至manager R0305P04方式和日志内容说明

·              系统管理>系统设定>网管配置,NMS平台新增上传日志配置选项,可以配置为不上传日志、syslog日志、FTP上传。1G内存设备只能配置为不上传日志、syslog日志。

·              ACG上传日志配置为syslog/ftp日志,支持接收和展示ACG的系统日志(系统日志和操作日志)、审计日志(仅IPV4网站访问日志、IM聊天日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、其他日志)、安全日志(入侵防御日志、病毒防护日志、安全防护日志)、应用日志(应用流量日志、应用控制日志)NAT日志(仅支持IPV4 NAT日志)、控制策略日志(对应ACG上的流阻断日志)至ACG Manager;其他类型日志均不涉及。

·              控制策略日志支持通过配置syslog服务器外发,如果网管配置和syslog服务器外发两种方式同时配置,会导致Manager收到两份控制策略日志,建议配置网管配置进行syslog或者FTP方式上送该日志。

2. 设备和行为感知分析平台(BA对接使用说明

·              ACG设备R6611P06及之后版本支持和行为感知分析平台(BA)对接使用

·              ACG侧同步到BA的用户无法删除。可以根据ACG同步到BA的用户组进行选择分析或不分析,分析即占用授权,不分析不占用授权。

·               行为感知分析平台(BA操作系统时区时间、ACG设备时间、浏览器时间要保持一致

·              请勿将F6613基线或R6612基线版本对接BA后,再回退到到R6611基线版本对接BA使用。

·              由于安全红线问题BA E6401P01版本针对OpenSSL做过升级,和设备侧版本不一致出现兼容性问题,部分ACG设备版本WEB配置BA平台时获取不到同步策略名,建议升级R6612基线最新版本。

3. R611P06及以后版本各功能模块web输入框增加了异常注入字符校验,异常注入字符无法配置提交;R6611P06之前版本升级到R6611P06及以后版本,之前配置过异常注入字符的表项无法编辑修改,可以通过命令行进行修改或者在页面将原带有异常注入字符的配置去掉,然后新建不带异常注入字符的配置即可

4. 设备内置1dnms管理员用于适配NMS网管,且此用户在web上不可见,命令行可见。所以管理员规格是20个,但是web上只能创建并显示19个。

5. R6611P03及以后版本磁盘使用率超高时删除方式变更

·              R6611P03以前版本为:当磁盘使用率超过95%时开始进行删除,到85%时停止删除,随着磁盘容量越来越大,支持审计记录日志的越来越多,如果集中删除的同时又在写入大量新日志,可能会造成磁盘繁忙,存在风险。

·              R6611P03及以后版本为:当磁盘使用率超过90%时就会删除日志,每半小时检查一次磁盘利用率,每次删除最老1天的日志,同时对于邮件、邮件附件、网盘文件这种留存的原始文件进行文件个数限制,每天最多10万个(邮件、邮件附件、网盘存储的文件个数共用同一个10万的规格),对于日志没有条数限制,即当此类日志超过10万时还会记录相关日志信息,但是无法下载原始文件。

6. 内存1G设备不支持升级到R6611及以后版本,仅支持2G及以上内存设备升级到R6611及之后版本

7. AK280E6401P01及以前版本升级到F6608及以上版本时万兆接口ID发生变动,需要重新对万兆口进行相关配置

ACG1000-AK280E6401P01及之前版本中万兆口IDXGE0/XGE1,为与设备外观丝印保持一致,F6608及以上版本中万兆口IDXGE0/XGE1改为XGE24/XGE25,新版本升级时会造成万兆口配置无法同步。可通过两种方式处理:

a)      在升级前,将配置文件导出,将XGE0关键字替换为XGE24,将XGE1关键字替换为XGE25,之后保存配置,当设备升级后重新导入配置文件即可。

b)      若未能及时保存配置文件,升级新版本后,可将万兆口相关配置重新配置。

8. 默认情况下,设备对每秒产生的其他应用类日志存在阈值限制

默认情况下,设备对每秒产生的IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、命令日志和其他应用日志存在如下的阈值限制:

·               ACG1000-SE-PWR ACG1000-ME/ACG1000-TE/ACG1060-X1/ ACG1000-C9130/ ACG1000-C9150/ ACG1000-C9160每秒25条。

·               ACG1000-AK230/ ACG1000-AK240/ ACG1000-AK250/ ACG1000-AK260/ ACG1000-AK270/ ACG1000-AE/ACG1070-X1/ ACG1000-C9170/ ACG1000-AK215/ ACG1000-AK225/ ACG1000-AK255/ ACG1000-AK265/ ACG1000-AK275/ ACG1000-AK285/每秒50条。

·              ACG1000-AK280/ ACG1000-AK285/ACG1000-EE/ACG1000-PE/ACG1000-XE1每秒100条。

9. 基于MAC策略转发限制

对于基于MAC的转发策略,只支持PC与设备直连的组网(其中可以有二层交换机)。

10. 用户导入限制

大批量用户导入时,导入操作会消耗大量的CPU资源,CPU资源无法满足时会导致其他进程无法响应现象。

11. 三权分立功能限制

三权分立模式下,权限管理员给系统管理员分配权限,默认为只读权限。可勾全选框,给系统管理员分配读写功能。

12. 报文分片无法达到QoS限制最大带宽

出接口MTU1500时,报文不需要分片,可以达到最大限制带宽;若自定义MTU小于1500,则由于分片导致QoS限制可能会出现未达到最大限制带宽。尽量避免报文分片场景。

13. ACG1000第三方认证每秒超过20用户同时登录,认证延时较大,性能较低

由于PHP性能导致RADIUSLDAP第三方认证每秒超过20个用户同时登录认证时延约为5秒。当有大量用户上线场景时建议选用iMC或本地认证方式。

14. ACG1000设备应用流量统计有时为空

在大流量系统负荷满的情况下,详细应用流量统计中,有些应用统计会出现统计为空的情况,影响查看应用流量统计中的应用及对应的用户信息。

15. 防共享上网存在误识别情况,难以保证100%识别

16. ACG1000-SEACG1000-SE-PWR中,Combo口的光口和电口先连接的接口UP,请避免Combo口同时连接电口和光口

17. 启用QOS保序功能后,无法完全杜绝QOS乱序现象,可能导致偶尔出现下载慢现象

18. IPSEC性能低

19. 日志导出功能有规格限制,日志量较大时使用受限,F6610之前版本只能导出最多25万条日志,F6610及以后版本日志导出支持基于时间范围导出,时间范围设置最多为14天,日志导出规格为10W条,超过10W条时,提示导出日志的结束时间,可将此结束时间配置为开始时间继续导出后面的日志

20. 不同用户登录同一台域内测试PC,在线用户只显示一个账号

21. 导入配置文件后,需要重启生效,在重启前请勿点击配置保存,否则当前配置文件就会覆盖导入的配置文件,重启后仍是原配置

22. 设备开启实时保存后使用限制

·              新设备不建议开启实时保存,由于开启后频繁快速操作或者配合HA使用时对设备资源消耗过大,可能存在以下现象:

(1)      SNMP用户同步过程中,连续生成2次录入用户任务,第一次的用户录入大概率无法同步到备设备;

(2)      IPv4控制策略引用一条空的url对象,然后在url对象页面添加内容,概率出现引用关系消失;

(3)      在自动保存配置的过程中,同时删除多个用户,提示信息有误等问题。

·              如果开启了实时保存,需要在每次执行完配置后等待1-2分钟,设备完全保存好配置后再进行相关的操作。

23. BA平台配置功能需要设备有存储才可见,无硬盘设备可以使用U盘或者TF充当存储。

24. 与云运维管理平台联动时,支持在云运维平台上查看ACG设备监控的设备信息、性能状态、设备状态;支持事件与告警;支持图形化web反向链接;支持版本管理、license管理、配置管理。

25. WEB防护、安全分析及统计报表功能仅支持在带有硬盘的ACG设备上使用。

6.2  注意事项

1. R6609P06及以前版本升级到F6610及之后版本注意事项

·              R6609P06及以前版本通过web管理页面升级版本时有150M大小的限制,而R6611P03版本超过了此大小,因此需要通过命令行进行升级。

·              R6609P06及以前版本升级到F6610及之后版本,其中IPv4策略模块配置为审计时,子策略中应用审计、url审计,恶意站点兼容为IPv4控制策略和IPv4审计策略,其中关键字支持配置所有应用且为阻断的兼容,升级后审计对象兼容为全部。

·              R6609P06及以前版本升级到F6610及之后版本,由于数据库表重新创建会丢失当天的审计日志、无线非经日志,升级版本之后新产生日志正常,因此为减少影响建议版本凌晨升级。

·              首次由R6609系列版本升级至F6610及之后版本时,为保证兼容性,特征库自动升级;后续继续升级F6610及之后版本,则不会更新原有版本特征库,需要手动升级或开启特征库自动升级。

·              R6609P06及以前版本升级到F6610及之后版本,特征库会变为F6610及之后版本带的特征库,F6610及之后版本回退R6609P06及以前版本的时候,特征库会变为R6609P06版本及以前版本的特征库,但特征库版本号仍显示为F6610及之后的版本号。

·              不适配Manager R0304及之前版本。

2. 版本升级到F6608及以上版本时非经版本不需要清数据库,但需要注意如下事项

·              由于F6607F6608及以上版本非经日志字段有较大差别,升级后会重新生成新表,丢失当天的表,这样就会导致当天的审计日志丢失,但不会影响之前的老数据,所以升级时建议在凌晨12点后进行,将影响降到最低。

·              不带非经功能的版本可直接升级到F6608及以上版本,不需要清库,但建议在凌晨12点后进行,因为当天的表会重建,导致丢失当天的审计日志。

3. HA功能使用限制及注意事项

·              HA环境下,不支持同步应用/用户流量统计,当HA设备切换后,不能看到原有的应用/用户流量统计数据。

·              HA主备同步时无法同步Web Portal自定义配置。

·              HA主主模式,同时配置监控地址同步和地址探测,接口down掉恢复正常后,主主状态不能恢复到正常状态,建议在HA主主模式避免配置地址探测,不影响业务使用。

4. 微信连wifi功能使用限制及注意事项

·              微信认证一台设备下只支持一个SSID,暂不支持多个SSID

·              微信公众号包含服务号、订阅号、企业号,微信连wifi功能支持订阅号和服务号,目前企业号本身没有微信连wifi功能。

·              若使用订阅号进行微信认证,PC在进行微信认证的时候,由于订阅号限制,手机微信扫描PC Portal页面上的二维码会提示未注册的情况,此情况跟微信更新有关,有时候不存在此限制。

·              微信认证用户IP必须在用户识别范围中,否则无法唤醒微信;因为在微信认证用户上线之前,终端会发送一个放通流量的报文给设备,设备根据此报文的五元组来确定用户IP,若用户IP不在识别范围内,设备IP在识别范围内则会导致设备的IP被识别成用户IP,终端流量不能放通,则无法唤起微信。

·              设备上的SSID是可选配置,可以为空,如果要设置,就一定要跟微信公众上号设置的SSID保持一致,否则可能导致微信公众号提示未注册的情况。

·              ACG下联设备为二层设备时,认证用户的网关不能是二层设备上的VLAN接口的IP地址,否则在ACG会出现用户MAC来回切换,一会是二层设备VLAN接口的MAC,一会是用户的真实MAC,导致不能唤起微信或认证成功后很快被踢下线。

·              微信认证支持手机扫描商户二维码自动连接SSID,有些IOS扫码后可直接根据页面提示跳转到设置里,有些IOS则需要手动进到设置中配置,此为IOS限制,一般安卓手机无此限制。

·              部分安卓手机弹出Portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,此时请更换浏览器尝试,如果能自动跳转,则忽略提示信息。

5. 流量劫持功能使用限制及注意事项

·              不支持HTTPS

·              自定义广告定义暂不支持ha同步,如HA切换后需要重新配置流量劫持。

·              自定义广告配置仅可由WEB界面来配置。

·              广告推送域名白名单仅支持命令行配置。

·              流量劫持广告弹出与出口网速带宽、广告过滤软件等都关,网速慢的情况下图片加载慢。

·              一个网页多个跳转后广告无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入;302跳转的情况可以处理。

·              网站弹出广告页面显示不完全受网速等条件限制,如广告弹出较慢刷新页面或者等待页面加载完全后,广告可以显示。

·              个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱);这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置。建议,在域名白名单排除掉该网站。

·              广告Server IP务必保证全网用户可达,否则无法进行广告推送。

·              一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个。建议:此类网站加入域名白名单排除掉该网站。

·              广告不弹出的情况下开启debug http hijack查看HTTP请求是否匹配到流量劫持。

7 License管理

7.1  License简介

License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。

产品需要通过License授权的软件功能以及License授权的相关属性,请参见产品配套的

H3C SecPath ACG1000系列应用控制网关License使用指南》

7.2  License申请及安装

H3C网站提供License的激活申请、设备授权迁移申请等功能:

http://www.h3c.com/cn/License

有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见H3C SecPath ACG1000系列应用控制网关License使用指南》

 

8 存在问题与规避措施

1. 202201211204

·              问题现象:1流阻断日志外发时,ICMP协议的内容里有源目端口,显示错误2安全防护日志ICMP协议的源目端口显示为0,显示错误

·              问题产生条件:1、触发ICMP流阻断,并设置外发;2、触发ICMP协议的安全防护策略。

·              规避措施:无,显示问题,不影响使用。

2. 202109020498

·              问题现象:HA组网下,长时间打用户上线流量,概率出现备机用户比主机多

·              问题产生条件: HA组网下,长时间打用户上线流量

·              规避措施:无,概率性问题,不影响使用

3. 202108310885

·              问题现象:入侵检测日志在系统展示的事件ID全部转换成了16进制,而导出的日志,全部是10进制数,数据不一致

·              问题产生条件: 导出入侵检测日志

·              规避措施:无,一致性,不影响使用

4. 202108310547

·              问题现象: 自定义应用的目标端口和IP地址均没有做重复校验,导致可以创建多条相同的地址或端口

·              问题产生条件: 添加相同自定义应用目标端口和IP

·              规避措施:删除重复的自定义应用

5. 202108310410

·              问题现象: IPS网络安全分析报表类别,其统计逻辑与业务系统的依赖关系比较特殊,当前页面的配置逻辑不能体现,较难理解。

·              问题产生条件: IPS网络安全分析报表勾选业务系统

·              规避措施:无,提示问题,不影响实际使用

6. 202108310332

·              问题现象: Radius用户同步中,用户组选择属性组和组织组后,清空选择的组后保存,一个成功一个失败,不一致

·              问题产生条件: 分别选择用户组和属性组,清空选择的组后再保存

·              规避措施:无, 一致性问题,不影响使用

7. 202108310300

·              问题现象: Web用户同步时,在URL参数名等位置置灰时输入”‘--“后保存,页面报错混乱。

·              问题产生条件:URL参数名等位置置灰时输入”‘--“后保存

·              规避措施:无,显示问题,不影响使用

8. 202108300994

·              问题现象:在线用户中,选择单个、当前页时,第三方用户同步的radius用户,提示不支持冻结,但选择所有页用户时,可以冻结。

·              问题产生条件:选择单个、当前页的第三方用户同步的radius用户

·              规避措施:为防止误冻结重要用户IP,不建议进行全选所有页冻结操作

9. 202108300913

·              问题现象:当病毒库和ips库升级失败时,页面升级失败记录里特征库版本号记录错误。

·              问题产生条件: 特征库升级失败

·              规避措施:无,显示问题,不影响使用

10. 202108300686

·              问题现象: 短信认证,初始状态,未选中的超时时间与无感知输入框未置灰,当手动勾选,取消后,却有置灰处理,实现不一致.

·              问题产生条件:手动勾选超时时间与无感知

·              规避措施:一致性问题,使用时重新勾选即可

11. 202108300179

·              问题现象: 非法外联防护,新建服务器外联地址,下发两个相同的的tcpudp端口,其中一个有前置0,另一个正常,提交后,页面报错,会将之前的配置删除

·              问题产生条件:下发两个相同的的tcpudp端口,其中一个有前置0,另一个正常

·              规避措施:重新添加

12. 202108271182

·              问题现象:配置一个全量的统计报表,生成报表后,网络安全-IPS网络安全分析-业务系统分布,生成的报表中业务系统下的统计项攻击趋势并未实现基于业务系统统计

·              问题产生条件:配置一个全量的统计报表

·              规避措施:无,影响较小

13. 202108271156

·              问题现象:当设备打流到内存占用达高峰后再降下来到剩余50%左右的水平后产生内存碎片,此时再下配置会由于,内存申请失败导致配置编译下发不成功,命令行报异常错误

·              问题产生条件:当设备打流到内存占用达高峰后再降下来到剩余50%左右的水平

·              规避措施:重新清理会话

14. 202108270870

·              问题现象: 控制/审计策略,编辑添加用户,在引用用户数达到64个的基础上,排除用户添加后报错已达达上限,而选中用户依旧可以添加一个后再报错

·              问题产生条件:引用用户达到最大规格

·              规避措施:无,提示问题,不影响功能使用

15. 202108260865

·              问题现象: 入侵检测日志告警规则,修改匹配频率大小后生成的第一条命中记录,日志数量与实际数量有差别,可能导致对攻击的误判

·              问题产生条件:修改匹配频率大小后生成的第一条命中记录

·              规避措施:勿频繁修改规则,可以新建规则

16. 202108260791

·              问题现象:用户管理,认证模板设置,编辑任何模板,输入不合法字符,提示信息多个冒号

·              问题产生条件:输入不合法字符

·              规避措施:无,提示问题,不影响功能使用

17. 202108260509

·              问题现象:控制策略,配置满规格的策略,选择其中一条反复点击移动到最前最后,设备因死锁触发重启

·              问题产生条件:配置满规格的策略,选择其中一条反复点击移动到最前最后

·              规避措施:无,极端操作,实际使用场景出现概率较低

18. 202108260367

·              问题现象: Web防护,前端下发了web防护策略的配置后,重启设备,大量命令未识别,配置丢失

·              问题产生条件:Web防护,前端下发了web防护策略的配置后,重启设备

·              规避措施:对配置规则尽量简化,同时减少规则量

19. 202108260327

·              问题现象:主页打开任意类别的审计日志,点重置后页面布局改变,多了一行标题

·              问题产生条件:主页打开任意类别的审计日志,点重置

·              规避措施:无,提示问题,不影响功能使用

20. 202108260197

·              问题现象: 安全设置-弱密码扫描:当定期执行任务在执行过程中,再新建立即执行任务,定期任务执行完成后,立即执行任务始终不会执行,且编辑该立即执行任务提交,提示“立即执行任务已存在”

·              问题产生条件:定期任务执行过程中,再新建立即执行任务

·              规避措施:删除立即执行任务,再新建立即执行任务

21. 202108260040

·              问题现象:特征库升级,HA主备机同时执行入侵防御特征库升级概率性出现异常报错,升级失败.

·              问题产生条件:HA主备机同时执行入侵防御特征库升级

·              规避措施:HA环境下不建议备机执行任何除查看以为的操作

22. 202108251385

·              问题现象:防盗链的url包含多个特殊字符串组合时,提交后精确访问控制和csrf攻击防护处全部为空,内容消失

·              问题产生条件:防盗链的url包含多个特殊字符串组合

·              规避措施:配置规则时使用常规字符

23. 202108250472

·              问题现象:ipv6地址对象,通过查询输入内容为存在的网段或者掩码格式,查询后返回结果为空,实现存在问题

·              问题产生条件:查询输入内容为网段或者掩码格式

·              规避措施:无,显示问题,查询时建议使用名称查询

24. 202108250316

·              问题现象: 复制已添加的地址到地址范围或主机地址中,前会自动增加tap+换行符,此时提交成功后,所有已经添加的地址会被删除

·              问题产生条件:复制已添加的地址到地址范围或主机地址中

·              规避措施:复制后进行手动删除前面的空格

25. 202108241104

·              问题现象:安全事件分析,在安全事件分析详细页面,对XSS攻击类型的时间查看详细情况后关闭页面,弹出无关异常提示

·              问题产生条件:构造XSS攻击事件,并进行安全分析

·              规避措施:通过事件条目进行直接查看

26. 202108240425

·              问题现象:资产管理,针对有服务标识的资产,采用服务标识有很多种类,查询条件很特殊,只能用A:B中冒号后面内容进行搜索,需要在页面给出提示

·              问题产生条件:查询有服务表示的资产

·              规避措施:使用A:B中冒号后面内容进行搜索

27. 202108231304

·              问题现象: URL对象,当导入的url名称和url内容都超过1024条后,会多创建一条空的url对象。

·              问题产生条件:当导入的url名称和url内容都超过1024条后

·              规避措施:对空的url进行手动删除

28. 202108201372

·              问题现象:资产安全分析,在风险总览中下发查询条件为WEB高级防护时,下发后显示为WAF高级防护,显示不一致

·              问题产生条件:在风险总览中下发查询条件为WEB高级防护时

·              规避措施:无,提示问题,不影响使用

29. 202108201093

·              问题现象:新建聚合接口配置好ipv4ipv6地址将其加入ha通讯接口后,会将ipv4地址清除,但ipv6地址会残留

·              问题产生条件:新建聚合接口配置好ipv4ipv6地址将其加入ha通讯接口

·              规避措施:手动删除后,再添加

9 解决问题列表

9.1  SecPathACG1000-IMW110-R6611P21版本解决问题列表

1. 202208290791

·              问题现象:使用manager纳管ACG,在Manager侧点击web管理按钮,设备跳转失败

·              问题产生条件:点击web管理按钮从Manager跳转到ACG

9.2  SecPathACG1000-IMW110-R6611P20版本解决问题列表

1. 202203300978

·              问题现象:设备正常运行一段时间后,出现异常重启,导致业务中断

·              问题产生条件:设备上长时间有大量日志,占用内存较多缺少保护机制

2. 202203291520

·              问题现象:设备无法进行SSH或者Telnet登录

·              问题产生条件:设备长时间运行并受到网络攻击SSH无法登录,需要重启设备

3. 202203291521

·              问题现象:对桥口进行ARP扫描,扫描结果中ARP表项不完整

·              问题产生条件:设备物理口加入桥,对桥口配置IP并进行ARP扫描

4. 202203300943

·              问题现象:进行LDAP认证设备重启

·              问题产生条件:将两个LDAP服务器加入到同一个组里,并把用户同步到本地,开启第三方认证选择LDAP服务器,用户进行ldap认证,认证账号使用同步到本地的用户

9.3  SecPathACG1000-IMW110-R6611P19版本解决问题列表

1. 非经SDK软连接缺失

·            问题现象:部分设备处于离线状态,导致SDK无法获取设备日志。

·            问题产生条件:设备离线后,非经模块进程无法自恢复,需要重启设备

2. 设备异常重启

·            问题现象:设备正常运行一段时间后,出现异常重启,导致业务中断。

·            问题产生条件:设备上长时间有大量日志,占用内存较多缺少保护机制

9.4  SecPathACG1000-IMW110-R6611P18版本解决问题列表

1. 通过非经SDK的上线数据有缺失

·            问题现象:开启非经SDK功能,通过非经SDK的上线数据有缺失

·            问题产生条件:开启非经SDK功能,业务流量经过聚合口转发,接收报文流量的接口均为桥下的聚合口

2. 设备异常重启

·            问题现象:配置审计策略和BA平台,旁路回放业务流量到设备,一段时间后会概率出现异常重启。

·            问题产生条件:旁路回放业务流量到设备,配置审计策略以及BA平台,设备向BA上传日志

9.5  SecPathACG1000-IMW110-R6611P17版本解决问题列表

1. 接口状态同步组功能失效。

·            问题现象:开启端口联动功能,接口加入状态同步组后,由于同步组其他接口为down,该接口变为down状态,手动执行 shutdown掉再重新no shutdown该接口时,会把该接口up

·            问题产生条件:在接口状态同步组里添加一个up的接口和一个down的接口,将up的接口先shutdown再执行no shutdown,该接口会up

2. 苹果手机及电脑 https 无法弹portal

·            问题现象:配置部分 HTTPS网站弹portal的本地认证策略,手动打开苹果手机 (苹果电脑)浏览器输入后无法弹出认证,网站也无法打开。

·            问题产生条件:认证策略目的地址配置部分常用的域名地址,通过手机或ipad浏览器手动输入域名对应的https网页。

3.  PPPOE无法弹出防私接阻断页面。

·              问题现象:将桥口配置PPPOEwifi通过pppoe拨号获取IP地址,设备配置防共享策略,使用多个客户端访问未加密的网站,此时观察设备有限制共享阻断,但是访问网页确未加载阻断信息。

·              问题产生条件:桥口配置PPPOE并配置防共享策略。

9.6  SecPathACG1000-IMW110-R6611P16版本解决问题列表

1. 日志过滤页面,批量设置日志级别,会有几个模块无法被批量正确设置

·              问题现象:日志过滤页面,批量设置日志级别,弱密码防护日志、web高级防护日志等级别不正确。

·              问题产生条件:在日志过滤页面统一设置日志级别处频繁修改切换

2. 在服务对象中配置大量服务组,并按照下一个引用前一个和any的方式进行嵌套,一段时间后,web上编辑服务组,设备重启

·              问题现象:在服务对象中配置大量服务组,并按照下一个引用前一个和any的方式进行嵌套,一段时间后,web上编辑服务组,设备重启。

·              问题产生条件:创建大量服务组并级层嵌套编辑。

3. 配置满规格的认证服务器和服务器组,打入上线流量,使用脚本切换认证使用的服务器和服务器组,设备因内存泄露而重启。

·              问题现象:配置满规格的认证服务器和服务器组,打入上线流量,使用脚本切换认证使用的服务器和服务器组,设备因内存泄露而重启。

·              问题产生条件:创建满规格认证服务器和服务器组,打流量背景下来回切换认证服务器。

4. 多策略引用同一ipv4地址对象后,编辑修改该地址对象,设备因死锁重启。

·              问题现象:在多策略引用同一ipv4地址对象后,编辑修改该地址对象,设备因死锁重启。

·              问题产生条件:创建大量策略并引起同一IPV4对象,在流量背景下编辑此地址对象。

9.7  SecPathACG1000-IMW110-R6611P15版本解决问题列表

1.  开启非经SDK功能,通过iMC第三方用户同步用户,无法传递用户上下线信息给网监平台

·            问题现象:开启非经SDK功能,通过iMC第三方用户同步用户,无法传递用户上下线信息给网监平台

·            问题产生条件:开启非经SDK功能、通过iMC第三方用户同步用户

2. 授权管理导入License提示报错

·            问题现象:在授权管理页面导入含有特殊字符串的授权码,页面会出现提示“存在非法输入,请重新输入”。

·            问题产生条件:授权License中包含特殊字符

9.8  SecPathACG1000-IMW110-R6611P13版本解决问题列表

1.  Manager无法跳转到ACG

·            问题现象:网管中点击设备web管理按钮提示“你未登录平台禁止访问”,无法WEB登录ACG设备

·            问题产生条件: 在网管上注册acg设备,设备可以正常上线,运维中心-》设备管理-》点击设备的web管理按钮

2. 统计报表中发现有部分地址用户访问网站一栏是空白,但是匹配次数很多

·            问题现象:报表中上网行为统计里用户网站访问统计里域名显示为空白

·            问题产生条件:回放含有大量网站访问url的背景流量,设备旁路部署,配置审计策略,配置报表管理产生报表

3. 执行clear log all 命令后,设备出现卡死重启问题

·            问题现象:手动删除日志设备出现卡死重启

·            问题产生条件:设备配置IPv4全审计策略,回放邮件附件、网站访问等流量,使磁盘使用率高以及有大量的数据库日志表,执行clear log all 命令手动删除日志

4. 一信通短信厂商去掉前缀配置 

·            问题现象: 一信通出现厂商前缀。

·            问题产生条件: 切换短信厂商,如果上一个没有短信前缀配置,切换到一信通没有短信前缀配置,如果上一个有短信前缀配置,切换到一信通也有

5. 编辑服务器组设备重启

·            问题现象:编辑服务器组设备出现重启

·            问题产生条件:配置大量服务组,并按照下一个引用前一个的方式进行嵌套

6. 编辑地址对象设备重启 

·            问题现象:编辑地址对象设备重启。

·            问题产生条件:设备配置满规格地址对象,同时一个地址对象被大量策略引用,进行编辑该地址对象

7. 反复启用禁用接口设备异常重启 

·            问题现象:反复启用禁用接口设备异常重启。

·            问题产生条件: 配置大量目的NAT策略,引用同一个物理接口,该接口创建200个子接口,进行up/down该物理口

9.9  SecPathACG1000-IMW110-R6611P12版本解决问题列表

1. 使用Burp Suite工具绕过验证码登录web页面登录成功

·            问题现象:使用Burp Suite工具删除验证码也能成功登录设备。

·            问题产生条件:使用Burp Suite工具登录设备

2. 使用绿盟漏扫扫描设备含OpenSSH 命令注入中危漏洞(CVE-2020-15778)漏洞

·            问题现象:使用漏洞扫描系统扫描,存在openssh命令注入风险

·            问题产生条件:使用漏扫系统扫描系统设备

9.10  SecPathACG1000-IMW110-R6611P11版本解决问题列表

1. 管理员名称为0,登录修改密码提示用户不存在

·              问题现象:创建管理员名称为0,使用此管理员首次登录后要求修改密码,但修改密码提示“此用户不存在”。

·              问题产生条件:设备上创建名称为0的管理员进行登录并修改密码

2. HA主备组网,在主机配置user-imc port后备机不同步

·              问题现象:在主机上修改imc认证端口,然后备机查看该配置未同步。

·              问题产生条件:主机命令行下执行user-imc port XXX 

3. IPSEC快速配置保护网段引用接口,然后删除接口,再次查看IPSEC配置中还存在该接口

·              问题现象:IPSEC快速配置>保护网段配置,配置保护接口为桥接口或子接口或聚合接口,但引用后在网络配置>接口配置处没显示被引用而且可以删除,但快速配置中已删除的接口还存在可以提交。

·              问题产生条件:在IPSEC快速配置中引用聚合口桥口等,再删除引用接口

4. 设备WEB首页用户流量悬浮框应用上下行流量信息显示相反

·              问题现象:在首页用户流量悬浮框应用上下行流量信息显示相反。

·              问题产生条件:查看首页用户流量悬浮框应用上下行流量信息 

5. IP会话限制,打流触发大量会话冲突导致confirm失败,停止打流并清除会话后观察每IP会话限制里面连接数不释放

·              问题现象:每IP会话限制里面连接数不释放。

·              问题产生条件:打流触发大量会话冲突导致confirm失败,停止打流并清除会话后观察每IP会话限制里面连接数不释放

6. 策略分析导致设备CPU使用率高

·              问题现象:设备CPU使用率高。

·              问题产生条件:在IPv4控制策略中调用地址对象中存在排除地址,进行策略分析时调用算法接口的时候参数传入存在问题,导致无法完成策略分析持续占用CPU资源

7. 和特定设备对接时,由于芯片的兼容性问题导致镜像流量无统计

·              问题现象:和特定设备对接时,由于芯片的兼容性问题导致镜像流量无统计。

·              问题产生条件:和特定设备对接,marvell接口芯片在特定条件下频繁up/down 接口时收包出现异常 

·              解决方案:适配更新marvell提供新sdk版本,由于修改接口芯片sdk影响范围比较大,现场问题在其他局点出现概率极小,为了减少对在网ACG设备影响,版本中默认未更新sdk,需命令行配置并重启设备初始化芯片修改。新增命令行:marvell_98dx3236_xge_softcontrol on/off

9.11  SecPathACG1000-IMW110-R6611P10版本解决问题列表

1. HA主备模式,系统配置提示不相同

·              问题现象:HA主备模式下,HA监控提示配置不相同。

·              问题产生条件:设备上有大量IMC认证用户上线同时录入到本地用户组。

2. 微信认证页面公众号显示不全

·              问题现象:客户端微信认证页面,微信公众号显示不全。

·              问题产生条件:设备上配置超长字符微信公众号。

3. 主页新增会话数和当前会话数显示错误

·              问题现象:主页新增会话数和当前会话数的值显示错误。

·              问题产生条件:设备新增会话数。

4. 自定义URL概率不匹配

·              问题现象:自定义URL概率性不匹配。

·              问题产生条件:设备上配置自定义URL,控制策略引用自定义URL开启记录日志,访问该URL

5. 设备晚上九点上网高峰出现断网情况

·              问题现象:某局点晚上九点上网高峰出现断网的情况。

·              问题产生条件:通道配置每IP限速,触发超过限速的流量。

6. 设备异常重启WEB登录出现卡顿现象

·              问题现象:某局点设备异常重启,WEB登录卡顿。

·              问题产生条件:设备配置全审计策略,持续打入各种流量,同时含有一些附件。

7. WEB页面登录设备提示错误

·              问题现象:低版本升级到高版本后WEB页面登录设备,页面提示错误。

·              问题产生条件:低版本设备配置登录密码含有&字符,升级到高版本进行WEB页面登录

9.12  SecPathACG1000-IMW110-R6611P09版本解决问题列表

1. 设备做DNAT转换无法读取内部服务器节点

·              问题现象:设备配置静态NAT或目的NAT映射,通过SNMPwalk工具无法正常读取映射设备接口流量节点oid1.3.6.1.2.1.31.1.1.1.6.1)。

·              问题产生条件:设备做DNAT转换读取内部节点。

2. 修改自定义URL对象报错

·              问题现象:新建自定义URL对象,里面包含200条自定义url,提交后再次点击编辑进行修改,可以添加url或者不做修改再次提交会提示达到256的规格,配置无法正常下发。

·              问题产生条件:新建自定义URL,配置200条域名提交,再次编辑不做修改或添加域名提交。

3. 首页jquery版本是3.3.1

·              问题现象:使用漏洞扫描软件扫描ACG或者使用谷歌浏览器通过查看框架的源代码查看首页Jquery版本为3.3.1

·              问题产生条件:使用漏洞扫描软件扫描ACG或者使用谷歌浏览器通过查看框架的源代码查看首页Jquery版本。

9.13  SecPathACG1000-IMW110-R6611P07版本解决问题列表

1. 使用漏洞扫描软件扫描出JQuery版本相关中危漏洞

·              问题现象:漏洞扫描软件提示有中危漏洞,需要升级JQuery版本至3.5.0或者以上版本。

·              问题产生条件:使用洞扫描软件扫描ACG设备。

2. 设备重启后无法正常启动

·              问题现象:设备重启后无法正常启动。

·              问题产生条件:手动杀死进程,产生core文件,在mnt目录下查看超出了5core文件

3. LDAP用户同步不完整

·              问题现象:ACG设备执行立即同步LDAP用户,查看设备上不能同步2500个用户。

·              问题产生条件:AD服务器上配置2500个用户,设备配置ldap服务器以及AD用户同步配置,执行立即同步,查看设备同步用户数

4. 内网用户上网有丢包

·              问题现象:内网环境进行ping操作有丢包。

·              问题产生条件:250M背景流+15M dns流量,设备不断新建地址对象,配置不能命中的域名,执行ping操作。

5. 静态绑定IP用户不下线

·              问题现象:在线用户处查看用户为静态绑定,该用户无流量在线时长显示为70小时,不自动下线。

·              问题产生条件:本地创建用户并配置IP地址,触发流量使用户上线后停掉流量。

6. URL自定义对象配置问题

·              问题现象:1、控制策略url过滤配置test2www.zzzyjy.cn:8091)放通,访问test2无法访问。2、编辑地址对象test2时,报错配置重启。

·              问题产生条件:1、自定义url配置test2 www.zzzyjy.cn:8091),控制策略设置url过滤规则,test2放通,拒绝所有url。访问test2 可看到无法访问。2、配置地址对象test2 http://www.zzzyjy.cn:8091,提交后点击编辑。

7. 抓包文件导出报错404,配置文件导出失败

·              问题现象:1、导出设备抓包文件,提示404-Not Found2、导出配置文件,提示配置文件导出失败。

·              问题产生条件: 访问设备,导出设备抓包文件有404提示;部分已停产设备导出配置文件失败。

8. 设备重启后,用户绑定IP地址范围异常丢失

·              问题现象:设备重启后发现绑定的用户ip地址范围丢失,设备串口有error信息打印。

·              问题产生条件:1、新建用户test,配置主机地址为1.1.1.12、新建用户test1,配置地址范围1.1.1.1-1.1.1.100,排除地址1.1.1.13、保存配置重启即可看到现象。

9. 本地认证时,输入超长密码设备异常重启

·              问题现象:客户端本地认证页面输入超长密码后,设备连接不上。

·              问题产生条件:配置本地认证,测试仪打流,客户端本地认证页面输入超长密码,具体数据为复制的一篇超长txt文本内容,点击提交。

10. 认证策略配置自动录入后在线用户显示不合理

·              问题现象:第三方LDAP认证,认证策略配置自动录入,在线用户处查看只有属性组ldap用户,组织结构中无该用户

·              问题产生条件:配置web本地认证,启用第三方LDAP认证,认证策略配置自动录入,查看在线用户组织结构显示

11. 设备流量统计图显示异常

·              问题现象:设备健康统计整机转发流量页面选择最近一小时,面积图呈现齿轮状。

·              问题产生条件:设备健康统计整机转发流量页面选择最近一小时。

12. 设备开启QOS相关策略,CPU使用率偏高

·              问题现象:设备开启QOS相关策略,查看CPU使用率偏高。

·              问题产生条件:设备开启QOS策略,测试仪打入流量。

13. 设备cpu使用率过高,导致设备低概率异常重启

·              问题现象:CPU使用率过高,设备异常重启。

·              问题产生条件:现网流量200M的情况下,开启审计cpu 100%,设备低概率重启。

9.14  SecPathACG1000-IMW110-R6611P06版本解决问题列表

1. https网站认证完无法跳转之前访问的页面

·              问题现象:本地认证配置中页面跳转设置为之前访问的网站,在认证时访问https的网站进行认证,但是认证完成之后不会跳转到之前访问的页面。

·              问题产生条件:开启本地认证,页面跳转设置配置为之前访问的页面

2. 用户上网延迟卡顿问题

·              问题现象:设备HA主备透明模式部署,用户反馈上网卡顿丢包,终端Ping出口设备延迟有丢包。

·              问题产生条件:配置每用户限速流控策略、流量超过配置的每用户限速流量、WEB界面修改已配置的流控通道优先级

3. 用户组织结构中存在相同的用户组名,流量控制策略引用下发不正确

·              问题现象:设备配置流量控制策略,1.引用组织结构下两个相同名称的用户组,策略提交之后,再次点击编辑提交,只显示一个用户组;2.引用组织结构下两个相同的用户组中的一个,策略提交之后,再次点击编辑提交,然后查看并不是刚开始配置引用的那一个用户组了。

·              问题产生条件:用户组织结构中存在相同的用户组名、流量控制策略进行引用配置

4. 防暴力破解,点击服务,选中已勾选的服务,不做修改或修改参数之后再次提交,之前修改的服务为不勾选状态;防暴力破解日志页面不显示,但是导出有日志

·              问题现象:触发防暴力破解后,页面日志不显示,导出可以看到相应的日志。

·              问题产生条件:启用防暴力破解功能,点击服务,选中已勾选的服务,不做修改提交,查看服务选中情况;触发防暴力破解,查看日志记录情况。

5. 安全防护的问题

·              问题现象:WEB防护策略,禁用第一条策略,启用第二条策略的网页防篡改功能,防篡改网页缓存页面无法正常显示缓存数据;导出web防护的高级防护日志,日志级别为“错误”的没有值。

·              问题产生条件:配置WEB防护策略,禁用第一条策略,启用第二条策略的网页防篡改功能,查看防篡改网页缓存页面;日志级别选择错误,触发WEB防护策略,导出查看WEB防护的高级防护日志。

6. 未启用解密策略情况下,加密网站URL控制功能不生效

·              问题现象:未开启解密策略的情况下,URL控制配置拒绝访问“商业”类网站,但是访问https://www.taobao.com类加密网站仍可以访问成功。

·              问题产生条件:不开启解密策略,配置拒绝的URL控制策略,可以成功访问。

9.15  SecPathACG1000-IMW110-R6611L05版本解决问题列表

1. 流量控制策略配置每IP限速,测试限速速率波动较大

·              问题现象:流量控制策略配置每IP限速,测试限速速率波动较大。

·              问题产生条件:配置流量控制策略,使用每IP限速。

9.16  SecPathACG1000-IMW110-R6611P04版本解决问题列表

1. 背景流下升级特征库后删除或者修改引用应用分类的控制策略,大概率出现设备异常重启

·              问题现象:背景流下在较老的特征库升级到新特征库后,删除或者修改引用应用分类的控制策略,大概率出现设备异常重启。

·              问题产生条件:升级的新特征库较老特征库分类中有新增加的应用,且此分类升级前被策略进行了引用。

9.17  SecPathACG1000-IMW110-R6611P03版本解决问题列表

1. 背景流下磁盘使用较高(90%以上)的情况下出现异常重启

·              问题现象:设备配置审计、控制策略,测试仪长时间打混合应用流量,产生各种日志,在磁盘使用较高(90%以上)的情况下出现异常重启。

·              问题产生条件:大量的smtp邮件审计文件,磁盘使用率超过95%触发删除日志文件。

2. 支持与openldap认证对接

·              问题现象:与openldap服务器对接无法认证成功。

·              问题产生条件:开启第三方ldap认证,ldap服务器使用openldap

9.18  SecPathACG1000-IMW110-R6611P02版本解决问题列表

1. 设备升级到R6611P01版本一直卡住不动,无法正常启动

·              问题现象:设备升级到R6611P01版本一直卡住不动,无法正常启动,然后再次掉电重启可正常启动。

·              问题产生条件:配置文件中带有日志相关配置项升级新版本启动。

2. 设备运行过程中出现异常重启

·              问题现象:设备运行一段时间后出现了异常重启现象。

·              问题产生条件:大量现网业务长时间运行。

9.19  SecPathACG1000-IMW110-R6611P01版本解决问题列表

1. 升级OpenSSL 版本,漏洞修复

·              问题现象:原OpenSSL版本存在安全隐患,存在open ssl漏洞以及rsa数字证书漏洞,故升级到OpenSSL 1.0.2t版本。

·              问题产生条件:无。

2. LDAP认证输入错误用户名密码不提示

·              问题现象:LDAP认证,输入错误的用户名密码之后,认证页面无响应,无提示信息。

·              问题产生条件:第三方认证选择LDAP服务器组。

3. 审计日志下任一类型日志超过50000条之后,一定操作下查询,数据显示异常

·              问题现象:审计日志下任一类型日志超过50000条之后,一定操作下查询,数据显示异常。

·              问题产生条件:审计日志下任一类型日志超过50000条之后,查询后返回到第一页。

4. IP-MAC绑定\认证策略导入功能未对异常字符校验,导入大量异常字符导致页面异常,导入少量异常字符则无法修改

·              问题现象:IP-MAC绑定\认证策略导入功能未对异常字符校验,导入大量异常字符导致页面异常,导入少量异常字符则无法修改。

·              问题产生条件:IP-MAC绑定\认证策略导入异常字符。

5. HA主备环境下,创建报表管理任务后通过ftp方式发送,主备设备首次会生成同名的文件,无法两个都正常发送成功

·              问题现象:HA主备环境下,创建报表管理任务后通过ftp方式发送,主备设备首次会生成同名的文件,无法两个都正常发送成功。

·              问题产生条件:HA主备环境,创建报表管理任务,并通过FTP发送。

9.20  SecPathACG1000-IMW110-R6611版本解决问题列表

1. 审计日志查询页面下,通过SQL注入攻击查询含有大量返回项的过滤项,网页挂死,一段时间后设备狗叫重启

·              问题现象:审计日志查询页面下,通过SQL注入攻击查询含有大量返回项的过滤项,网页挂死,一段时间后设备狗叫重启。

·              问题产生条件:审计日志存在大量日志,查询输入’--SQL注入攻击。

2. 配置厂商配置与场所配置并导出,修改厂商配置的对接厂商为“请选择”并提交,再导入场所配置文件,导入失败后设备重启

·              问题现象:配置厂商配置与场所配置并导出,修改厂商配置的对接厂商为“请选择”并提交,再导入场所配置文件,导入失败后设备重启。

·              问题产生条件:将无线非经的厂商修改为请选择,然后导入厂商配置。

3. 配置256个聚合子接口,通过pppoe协商获得IP,第253254子接口pppoe 会话持续震荡,串口在输入任何命令后持续打印2019/08/15 02:44:11 unknown: can"t accept app socket : accept_sock 5, Too many open files,影响使用

·              问题现象:配置256个聚合子接口,通过pppoe协商获得IP,第253254子接口pppoe 会话持续震荡,串口在输入任何命令后持续打印2019/08/15 02:44:11 unknown: can"t accept app socket : accept_sock 5, Too many open files,影响使用。

·              问题产生条件:配置256个聚合子接口,通过pppoe协商获得IP

4. HA主主环境下,流量匹配源nat、目的natipv4控制策略、dns服务,打流到设备cpu100%,其中一台设备重启

·              问题现象:HA主主环境下,流量匹配源nat、目的natipv4控制策略、dns服务,打流到设备cpu100%,其中一台设备重启启。

·              问题产生条件:HA主主环境,打sip业务流量。

5. HA主备环境下,主设备曾经切换为备有备过来的会话,配置了SNATdnatGRE隧道口,打ftpsipnghttp混合流停流后,清除会话,主设备NAT模块段错误死机

·              问题现象:HA主备环境下,主设备曾经切换为备有备过来的会话,配置了SNATdnatGRE隧道口,打ftpsipnghttp混合流停流后,清除会话,主设备NAT模块段错误死机。

·              问题产生条件:HA主备。

6. 负载均衡->链路负载均衡,没有流量,Control Memory很高的情况下,命令行配置链路负载均衡,web界面一定操作下,设备狗叫重启

·              问题现象:负载均衡->链路负载均衡,没有流量,Control Memory很高的情况下,命令行配置链路负载均衡,web界面一定操作下,设备狗叫重启。

·              问题产生条件:CLI下只配置一个接口,在页面编辑链路负载均衡策略下发。

9.21  SecPathACG1000-IMW110-F6610P03版本解决问题列表

1. 非经上报导致设备频繁重启

·              问题现象:网络时断时续,后来发现对端设备上显示连接ACG的端口up/downup/down,再登录ACG的网管地址,发现设备刚启动两分钟,也就是ACG设备异常重启了。

·              问题产生条件:开启无线非经功能,配置上报周期为5分钟,网络不好导致非经FTP上报的zip文件上传失败,而且失败累积的次数小于10次。

2. HA主备透明模式部署,接口状态无法同步

·              问题现象:设备HA主备透明模式部署,25/26接口配置了接口状态同步组,在开启fdb refresh enable命令后,出现将25口拔掉后,26接口不down的情况。

·              问题产生条件:HA主备透明模式部署,开启fdb refresh enable,配置接口状态同步组。

3. HA系统配置无法同步

·              问题现象:设备HA主备透明模式部署,HA监控显示两端配置不相同,手动同步配置,备机启动后依然显示不相同。

·              问题产生条件:将接口加入到聚合口或桥口,然后在HA主机同步配置到备机,备机重启后加入到桥口或聚合口的物理口下会自动出现允许https访问的配置。

4. 用户上下线日志中存在大量用户下线原因为未知

·              问题现象:用户上下线日志中存在大量用户下线原因为未知

·              问题产生条件:imc第三方同步用户发送过来的同一IP对应用户发生改变,导致前一用户被踢出时出现下线原因显示为“未知”。

5. DP内存使用率一直97%以上不释放

·              问题现象:将所有业务流量停止,清除所有会话后,DP内存使用率一直显示97%以上不释放。

·              问题产生条件:某接口上配置了大量的子接口,每个子接口上都配置了IP地址,然后在对端设备频繁shutdownno shutdown所连接口,此时会造成设备物理口及其子接口频繁shutdownno shutdown,一段时间后出现DP内存不释放的现象。

6. 无线非经任子行对接,设备资料创建时间不对

·              问题现象:无线非经上报设备资料中属性create_time有问题,出现24:07:57,导致平台报错。

·              问题产生条件:设备资料创建时间字段添加了错误的时间,导致出现上述问题,目前修改为上报时获取设备当前的时间点进行上报,不会在出现此问题。

9.22  SecPathACG1000-IMW110-F6610P02版本解决问题列表

1. 无法跳转到Manager界面

·              问题现象:F6610及以上版本被R0304版本Manager纳管后,web界面上存在数据中心的按钮,但是不支持跳转。

·              问题产生条件:无。

2. HA主备系统配置显示不同步问题

·              问题现象:一定配置下,主机手动同步配置,备机重启后,两者显示配置不同。

·              问题产生条件:主机手动同步配置。

3. sslvpn的资源池页面,选择多个资源(五个左右)进行导出,无法导出成功

·              问题现象:在SSL VPN的资源池页面,选择多个资源后点击“导出”按钮,web页面刷新后实际无导出,也没有任何错误提示。

·              问题产生条件:选择5个左右的SSL VPN资源进行导出。

4. 自动获取CRL失败后无提示

·              问题现象:在上网行为管理/证书管理/自动获取CRL页面,点击“立即获取”后,即使网络不可达无法正常获取,页面也只单纯刷新一次,无失败的提示。

·              问题产生条件:自动化获取CRL失败。

5. 用户被ACG管理员强制下线后,用户上下线日志中显示下线原因为未知

·              问题现象:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线后,用户上下线日志中显示下线原因为未知。

·              问题产生条件:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线败。

6. IPsec快速配置页面,保护网段配置选择“保护接口”,掩码空白的情况下提示信息错误

·              问题现象:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码空白的情况下提示“保护网段不能为空”的错误提示信息。

·              问题产生条件:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码留为空白。

7. 某惩罚通道被防共享模块引用,点删除按钮,页面没有任何提示;类似的,删除被引用的公告页面,也无提示消息。

·              问题现象:某惩罚通道被防共享模块引用,点删除按钮,页面没有任何提示;类似的,删除被引用的公告页面,也无提示消息。

·              问题产生条件:惩罚通道和公共页面被防共享模块引用后,点击删除按钮。

8. 命令行错误信息修改

·              问题现象:ACG F6610命令行配置邮箱服务器收件地址命令行中receiver拼写错误,2、配置审计策略,out-interface下的参数显示IF_IN,参数错误应为OUT_IN

·              问题产生条件:ACG F6610,命令行配置邮箱服务器;配置审计策略时,查看out-interface的参数显示。

9. 新增一条与已有配置相同目的地址,不同出接口的配置,保存无任何提示,列表页面也无显示

·              问题现象:在静态路由配置界面,新增一条与已有配置相同目的地址,不同出接口的配置,保存无任何提示,列表页面也无显示。

·              问题产生条件:新增一条与已有配置相同目的地址,不同出接口的静态路由。

10. FTP服务器设置密码中包含“@#”等特殊字符时,无法验证通过

·              问题现象:FTP服务器设置密码中包含“@#”等特殊字符时,无法验证通过。

·              问题产生条件:FTP服务器设置密码中包含“@#”等特殊字符时。

9.23  SecPathACG1000-IMW110-F6610P01版本解决问题列表

1. 修改微信认证用户名为tid,非经平台收到的终端上下线日志存在异常,日志中用户名信息为openid

·              问题现象:修改微信认证用户名为tid,非经平台收到的终端上下线日志存在异常,日志中用户名信息为openid

·              问题产生条件:配置微信认证取tid为用户名,查看非经日志用户名内容为openid

2. 开启混合认证移动终端使用微信认证有认证过程,但无法认证成功,切换为单独的微信认证可以成功

·              问题现象:开启混合认证移动终端使用微信认证有认证过程,但无法认证成功,切换为单独的微信认证可以成功。

·              问题产生条件:开启混合认证。

9.24  SecPathACG1000-IMW110-F6610版本解决问题列表

无,首次发布。

9.25  SecPathACG1000-IMW110-R6609P06版本解决问题列表

1. radius管理员用户登录WEB界面,提示与第三方认证服务器连接失败,但是登录到设备上查看日志提示用户名或密码错误,与实际不符合

·              问题现象:radius管理员用户登录WEB界面,提示与第三方认证服务器连接失败,但是登录到设备上查看日志提示用户名或密码错误,与实际不符合。

·              问题产生条件:radius管理员登陆ACG设备。

2. 编辑DHCP排除范围地址时显示与实际不对应

·              问题现象:网络配置->DHCP服务器->排除范围中编辑第一条信息显示第二条信息的内容,编辑第二条信息显示第一条信息内容。

·              问题产生条件:使用DHCP排除范围地址功能。

3. 修复curl-remote buffer漏洞和openssh漏洞

·              问题现象:存在curl-remote buffer漏洞和openssh漏洞

·              问题产生条件:无。

4. LDAP同步时设备重启

·              问题现象: LDAP+web认证测试时,有时出现设备重启。

·              问题产生条件:openldap库的私有连接connect超时。

5. 开启认证策略但未对接口开启服务时,依然能访问 http 8000端口问题

·              问题现象:ACG中开启认证策略,接口未开启任何服务时,输入http://X.X.X.X(设备IP:8000端口可以打开ACG web认证页面。

·              问题产生条件:ACG开启认证策略,在接口未开启任何服务时,输入http://X.X.X.X(设备IP:8000

6.  URL格式中包含有特殊字符报错的问题

·              问题现象:配置广告对象,需添加图片中包含特殊字符?和=时,提示图片URL格式错误。

·              问题产生条件:URL配置含有特殊字符?和=

7. ACG对接radius无法识别用户上线

·              问题现象:当cpu 0核很高的时候,导致监听用户无法上线,产生大量匿名用户可以上网 

·              问题产生条件:cpu 0核使用率将近100%

8. GRE VPN隧道无法建立

·              问题现象:配置GRE over IPSec时,GRE隧道无法建立 

·              问题产生条件:配置GRE VPN 隧道。

9.26  SecPathACG1000-IMW110-R6609P02版本解决问题列表

1. 设备串接进网络中网络卡顿丢包严重的问题

·              问题现象:设备串接进网络中,网络延迟大,丢包严重。

·              问题产生条件:网络中存在超过MTU值的非IP报文。

2. 任子行、中科新业、恒邦三家厂商的非经日志无法显示的问题

·              问题现象:任子行、中科新业、恒邦三家厂商的非经日志无法显示。

·              问题产生条件:使用非经功能,商场选择为任子行、中科新业、恒邦中任何一家。

3. 短信认证和微信认证用户不支持主主/主备环境同步的问题

·              问题现象:HA环境下,仅支持本地认证用户同步,不支持微信认证用户和短信认证用户的同步。

·              问题产生条件:HA环境下,用户认证方式为短信认证和微信认证。

4. 负载均衡策略中“应用”一栏可配置但不生效的问题

·              问题现象:为兼容之前的版本,负载均衡策略中存在“应用”栏,可配置但不生效。R6609P02版本将“应用”栏置灰以避免误解。

·              问题产生条件:无。

5. LDAP服务器通用名标识不管配置cn还是upn都只同步的显示名的问题

·              问题现象:LDAP服务器只同步AD域用户的登录名,而不是通过通用名标识cnupn区分AD域用户的显示名和登录名。

·              问题产生条件:LDAP服务器同步AD域用户。

6. LDAP认证时不区分用户名大小写的问题

·              问题现象:ACG认证过程中用户名称不区分大小写,导致与区分用户名大小写的LDAP服务器同步时策略无法使用。R6609P02版本默认LDAP认证时用户名称区分大小写,但可通过命令行进行修改。

·              问题产生条件:部分LDAP服务器区分用户名大小写,部分不区分。

7. 不开Https解密策略的情况下无法审计主流https网站的问题

·              问题现象:不开Https解密策略的情况下无法审计主流https网站。

·              问题产生条件:无。

8. 低概率下设备web界面无法登陆的问题

·              问题现象:修改无线非经配置后小概率出现设备web界面无法访问。

·              问题产生条件:修改无线非经配置。

9. PC访问服务器资源时不能正常加载数据

·              问题现象:PC访问服务器时,在TCP三次握手后会话被异常删除,导致连接断开,数据无法加载。

·              问题产生条件:无。

10. 接口同步组中的接口在频繁执行shutdown/no shutdown操作后概率性不UP

·              问题现象:接口同步组中的接口在频繁执行shutdown/no shutdown操作后概率性不UP

·              问题产生条件:使用脚本频繁shutdown/no shutdown接口状态同步组中的接口。

9.27  SecPathACG1000-IMW110-R6609版本解决问题列表

1. 短信认证点击发送验证码无反应

·              问题现象:设备运行一段时间概率 性出现短信认证点击发送验证码无反应,已经认证上线的用户可以正常上网。

·              问题产生条件:设备长时间运行,CPU使用率较高时会出现php-cgi进程异常退出无法自启动导致认证异常。

2. 防共享功能,IOS11.3终端误识别被阻断

·              问题现象:防共享功能,IOS11.3误识别被阻断。

·              问题产生条件:IOS11.3及以上终端使用时间戳 方式进行识别,一个终端会被识别成多个用户。

3. 设备运行一段时间后web认证界面弹不出来

·              问题现象:设备运行一段时间后web认证界面弹不出来,手动输入认证界面的URL也无法加载认证界面。

·              问题产生条件:大量认证用户的场景中开启本地认证。

4. 开启非经功能长时间运行硬盘使用率很高

·              问题现象:开启非经功能长时间运行,硬盘使用率很高,达到95%以上后没有自动清除数据库中的非经日志。

·              问题产生条件:开启非经功能长时间运行。

5. 使用360wifi共享热点,手机上网断开后使用PC上网,审计日志中的终端类型仍然为手机

·              问题现象:使用360wifi共享热点,手机上网断开后使用PC上网,审计日志中的终端类型仍然为手机。

·              问题产生条件:使用共享热点上网,多终端接入。

6. ping down接口时页面和后台提示不一致

·              问题现象: ping down接口时页面和后台提示不一致。

·              问题产生条件:将接口shutdown,然后分别在CLIUIping此接口的IP地址。

7. 四层背景流量下,新建子接口的主IP与从IP冲突后多次提交,设备异常重启。

·              问题现象:四层背景流量下,新建子接口的主IP与从IP冲突后多次提交,设备异常重启。

·              问题产生条件:配置DDNS,同时创建大量子接口,子接口下主从IP冲突,然后不停的点击提交。

9.28  SecPathACG1000-IMW110-F6608P01版本解决问题列表

1. ACG1000配置微信白名单,阻断http网页浏览之后微信无法正常发送图片。

·              问题现象:ACG1000配置微信白名单,阻断http网页浏览之后微信无法正常发送图片。

·              问题产生条件:配置微信白名单,通过IPV4策略阻断网页浏览应用。

2. LDAP认证慢,输入账号名密码之后需要10s左右完成认证

·              问题现象:LDAP认证慢,输入账号名密码之后需要10s左右完成认证。

·              问题产生条件:配置本地认证,认证服务器配置为LDAP

3. 用户信息中心查询功能只能在第一页查询,其他也查询无查询结构返回

·              问题现象:用户信息中心根据用户名查询只能查询第一页的记录,其他页的数据查询后无结果返回。

·              问题产生条件:用户信息中心根据用户名查询,查询的数据在其他页。

4. 主主组网,当HA绑定的地址探测状态是正常的情况下,设备的HA状态依然是N

·              问题现象:主主组网,当HA绑定的地址探测状态是正常的情况下,设备的HA状态依然是N

·              问题产生条件:HA环境绑定地址探测,备机地址探测不生效。

5. 创建一个密码为a1<>+=/^*:[{)的用户,无法登陆设备进行管理,并弹出空白提示框

·              问题现象:创建一个密码为a1<>+=/^*:[{)的用户,无法登陆设备进行管理,并弹出空白提示框。

·              问题产生条件:创建管理员账号,密码使用特殊字符会存在转义问题。

6. HA主备环境测试仪打新建同时回放微信流量,一段时间后出现内存泄露crash

·              问题现象: HA主备环境测试仪打新建同时回放微信流量,一段时间后出现内存泄露crash

·              问题产生条件:开WEB认证,同时回放微信流量。

9.29  SecPathACG1000-IMW110-F6608版本解决问题列表

·             

9.30  SecPathACG1000-IMW110-R6606P08版本解决问题列表

1. 修改备机管理员密码,导致设备主备配置无法同步

·              问题现象:两台ACG设备做HA,发现状态显示配置不同步;手动点击同步,备机重启后状态仍显示配置不同步。

·              问题产生条件:两台ACG设备开启HA功能,并手动修改备机设备的管理员密码使其主备管理员密码不一致。

2. 在多出口场景下,配置基于应用的策略路由,偶尔出现设备接口流量瞬间降为零情况

·              问题现象:ACG设备有三个出口,其中一条出口配置基于应用(P2P流量)的策略路由,设备在网运行过程中不定时出现基于应用的策略路由出口流量瞬间降为零的现象,导致部分网络业务不通。

·              问题产生条件:ACG设备配置三个出口,其中一条配置基于应用的策略路由,内网访问外网产生该应用流量就会有该问题现象。

3. 邮件日志文件有时不能被删除

·              问题现象:clear database无法清除后台邮件日志数据。

·              问题产生条件:ACG中接收大量邮件日志,例如邮件日志占用磁盘空间50%时,执行clear database清楚数据库命令后,硬盘使用空间不会完全释放。

4. 当通过CSV文件导入绑定多MAC用户信息时,用户只能导入一个MAC信息

·              问题现象:用户绑定了两个静态MAC地址,通过csv文件导入设备,导入后发现只成功导入了一个MAC地址。

·              问题产生条件:在用户页面添加一个账号绑定三个MAC地址,导出之后,打开csv文件看有三个MAC地址,将设备原有配置删除再次导入csv文件,查看用户绑定的MAC地址只有最后一个。

5. 特定条件下设备异常重启

·              问题现象:特定条件下设备异常重启。

·              问题产生条件:向设备打入特殊的telnet报文,概率出现重启情况。

9.31  SecPathACG1000-IMW110-R6606P07版本解决问题列表

1. Portal认证修改URl可以跳过认证问题

·              问题现象:设备开启免认证和Portal认证,Portal认证可修改URl可以跳过Portal认证,进行上网。

·              问题产生条件:设备开启免认证和Portal认证,修改Portal认证的URL,手动访问free认认证的Portal页面。

2. 跨三层认证成功mac再同步时会把用户踢出问题

·              问题现象:跨三层认证成功mac再同步时会把用户踢出。

·              问题产生条件:开启跨三层MAC地址学习,关闭MAC地址学习,用户进行认证,再开启MAC地址学习。

3. 开启QOS功能后,Http下载文件慢问题

·              问题现象:开启QOS策略后,HTTP服务器外网下载文件速度慢。

·              问题产生条件:ACG设备桥模式部署,设备开启QOS功能,外网PC通过Http下载内网服务器资源。

9.32  SecPathACG1000-IMW110-R6606P06版本解决问题列表

1. SNMP攻击导致内存泄露问题

·              问题现象:设备开启了SNMP功能,在遭到SNMP攻击时异常重启。

·              问题产生条件:大量SNMP报文冲击造成snmpd内存泄露。

2. SSH攻击导致内存泄露问题

·              问题现象:设备开启了SSH端口,在遭到SSH攻击时异常重启。

·              问题产生条件:SSH每用户登陆或不登陆都会创建一个ssh进程,所以遇到ssh攻击时,会创建大量的ssh进程,最后导致系统内存耗尽,设备重启。

3. ACG1000光口关闭后依然会发光导致对端不能联动关闭问题

·              问题现象:ACG1000设备光口shutdown后,仍然会发光,有时导致对端设备端口不能联动关闭。

·              问题产生条件:硬件在shutdown的时候,没有关光,对端设备检测到有光的情况下就是UP的。

4. APPLE CNA机制增加探测域名导致免认证失败

·              问题现象:ACG1000设备开启免认证功能,使用苹果手机弹出认证界面后WiFi图标无法点亮。

·              问题产生条件:Apple用户在通过网络身份认证后,重新向APPLE服务器发起连接,由于没有域名探测机制,导致再次被设备重定向。

5. Menuboot中恢复初始密码有时不成功

·              问题现象:有些情况下在menuboot下重置管理员密码,密码重置不成功。

·              问题产生条件:管理员密码忘记或者admin状态被禁用,有时在menuboot中重置不生效。

9.33  SecPathACG1000-IMW110-R6606P05版本解决问题列表

1. IPsec连接失败问题

·              问题现象:IPSec穿越NAT场景下,分支结构有可能出现隧道接口down掉情况从而导致vpn业务中断。

·              问题产生条件:分支机构收到源端口号500到目的端口号4500的二阶段SA删除信息,接着又收到源端口号4500到目的端口号4500的二阶段SA删除信息。

2. QQ邮箱上传大附件死机问题

·              问题现象:ACG断网时内存使用突增到100%,之后内存下降到15%cpu下降到趋于0

·              问题产生条件:当一个流很大,并且传输速率很快的时候,该问题有时出现。

3. HA主主组网环境下设备出现挂死问题

·              问题现象:HA主主模式下,设备出现死机重启现象。

·              问题产生条件:HA主主模式配置下,未配置NAT功能,其中一台设备收到另外设备的同步流量中包含有NAT相关信息。

4. 访问某些百度页面无法打开问题

·              问题现象:访问百度网页有打不开主页的情况。

·              问题产生条件:当设备收到乱序的IP报文后,没有进行保序操作。

9.34  SecPathACG1000-IMW110-R6606P04版本解决问题列表

1. 读取设备mib节点无法获取设备对应的软件版本信息

·              问题现象:通过mib browser读取设备相关mib节点信息,无法获取到设备的版本信息。

·              问题产生条件:开启SNMP,在mib browser中导入设备对应的mib库。

2. OpenSSH存在漏洞

·              问题现象:通过漏扫设备对ACG设备进行漏洞扫描,发现OpenSSH存在漏洞;

·              问题产生条件:对设备进行漏洞扫描。

3. ACG1000iMC配合用户组同步存在问题

·              问题现象:对某些iMC用户,用户信息中心和在线用户管理显示的所属组不一致。

·              问题产生条件:用户登陆成功后注销下线,下线后在iMC上修改该用户用户组名称,修改后再次登录上线。

9.35  SecPathACG1000-IMW110-R6606P03版本解决问题列表

1. ACG设备做目的NAT映射FTP服务器不通

·              问题现象:客户端通过ACG的目的NAT访问内网FTP服务数据连接不通(FTP服务器端口为21,目的NAT配置为非21转换为21),FTP被动模式访问。

·              问题产生条件:FTP客户端通过被动模式连接映射后的服务器和端口。

9.36  SecPathACG1000-IMW110-R6606P02版本解决问题列表

1. ACG1000-SE对接H3C MSR或锐捷设备,光口不亮

·              问题现象:与MSR等硬件设备对接光口不亮。

·              问题产生条件:MSR等设备对接。

2. ACG1000微信认证不成功问题

·              问题现象:PC的分辨率是1024*760或者更低就被错误识别成移动端,导致认证不成功。

·              问题产生条件:PC分辨率为1024*760

3. ACG1000设备WebCLI无法查看到设备硬件SN序列号

·              问题现象:无法在WebCLI中查看SN序列号。

·              问题产生条件:升级到R6606P01版本。

4. 迅雷下载时应用被识别为点对点上传或下载,有时阻断P2P类无法成功

·              问题现象:迅雷误识别。

·              问题产生条件:使用迅雷下载并阻断。

5. ACG1000-M带宽保障使用异常,用户所在组显示异常

·              问题现象:用户信息中心显示用户组与在线用户组显示组别不一致。

·              问题产生条件:使用iMC同步用户认证。

9.37  SecPathACG1000-IMW110-R6606P01版本解决问题列表

1. 微信认证跳转URL有误问题

·              问题现象:微信认证跳转URL有误问题。

·              问题产生条件:客户从demo版本升级到新版本后使用微信跳转页面。

2. 本地WEB认证,只选择强制重登录间隔项,输入用户名和密码不能登录。

·              问题现象:无法认证成功,点击登录按钮重新弹出认证界面。

·              问题产生条件:开启强制登录间隔后。

3. 防共享上网误识别的优化

·              问题现象:防共享误识别。

·              问题产生条件:客户针对防共享识别率测试

4. 本地WEB认证,登录按键无反应

·              问题现象:认证点击提交按钮无反映。

·              问题产生条件:IOS设备进行本地Web认证。

5. IPSEC快速配置无响应

·              问题现象:页面一直显示加载中。

·              问题产生条件:使用审计用户登录,IPsec快速配置后提交。

6. 审计用户系统维护下的信息收集无权限提示

·              问题现象:页面未提示无权限。

·              问题产生条件:审计用户登录,系统维护下的信息收集,点击删除按钮,弹出提示框后点击确定。

7. 审计用户ssl vpn无权限提示

·              问题现象:页面未提示无权限。

·              问题产生条件:使用审计用户登录,SSL VPN监控下的清除按钮。

9.38  SecPathACG1000-IMW110-R6606版本解决问题列表

1. 微信HTTPS方式登录显示异常

·              问题现象:微信认证二维码图片预览显示异常。

·              问题产生条件:微信认证预览功能开启HTTPS未开启HTTP的情况下。

2. 加入URL白名单后会出现不能访问

·              问题现象:访问加入白名单的URL会出现不能访问。

·              问题产生条件:添加URL白名单。

9.39  SecPathACG1000-IMW110-R6605P03版本解决问题列表

1. PPPoE拨号成功状态下掉线,无法自动重连PPPoE

·              问题现象:PPPoE拨号成功状态下掉线,无法自动重连PPPoE

·              问题产生条件:PPPoE服务器发送报文异常,致不能重新拨号。

2. 通过文件导入的方式可导入带空格的用户名,导入后无法删除该用户。

·              问题现象:无法删除带空格的用户。

·              问题产生条件:配置文件导入时用户名带空格

9.40  SecPathACG1000-IMW110-R6605P02版本解决问题列表

1. 本地用户导入时,用户名超过10个字符,显示异常

·              问题现象:显示异常,无法显示完全。点击操作打开之后为空白,并且无法删除此用户。

·              问题产生条件:本地用户导入操作时,用户名超过10个字符导致。

2. 新设备上线不断重启

·              问题现象:设备不断重启。

·              问题产生条件:接口接收缺少字节的异常报文,导致设备重启。

9.41  SecPathACG1000-IMW110-R6605P01版本解决问题列表

1. 添加设备型号K使用了小写,统一改为大写

·              问题现象:在系统信息和命令行查看设备型号,字符k显示小写。

·              问题产生条件:这个问题是由于没注意字符大小些导致的。

2. 非认证用户用户IP冻结功能不生效

·              问题现象:非认证用户用户IP冻结功能不生效。

·              问题产生条件:目前冻结动作冻结的是用户,然后匿名用户没有用户名,所以导致无法冻结匿名用户。

9.42  SecPathACG1000-IMW110-R6605版本解决问题列表

1. 禁用某个用户后,该用户原先的配置都被删除。

·              问题现象:用户被禁用后配置被清空。

·              问题产生条件:这个问题是 由于源码设计不易用导致的,具体原因为在禁用时后台会将该用户信息清楚仅保留用户名称。

2. 清配置重启无法把存储中的文件存储删除

·              问题现象:App缓存,上传大量文件,包含一些大文件,清除配置重启设备,webui上显示文件删除,其实后端仍占用存储空间,需要进入后才能清理。

·              问题产生条件:进行erase 清除配置时,只是清除了配置信息,并没有对文件进行清除,所以导致bug中问题。

3. Ha主主,本地认证用户不能实时同步

·              问题现象:HA主主,配置同步session,其中一台设备上线,另外一台设备不实时同步。

·              问题产生条件:用户同步时,状态检查错误,造成同步用户的ipcdeny掉。

4. 服务质量探测条目横坐标时间不准

·              问题现象:最近一天横轴显示时间点间隔不是整2小时,前后会差几分钟。

·              问题产生条件:在挂载定时器时,为了减少地址器的误差,减了一部分误差产生的时间,实际不需要。

5. 设备向网管端注册,注册地址为0.0.0.0

·              问题现象:设备向网管端注册,注册地址为0.0.0.0

·              问题产生条件:设备自动注册,源IP地址获取方式有点问题,不是从socket获取的,而是通过查路由得到,某些情况下会出问题。

6. 负载策略为基于带宽时,某接口未配置带宽,策略仍然生效

·              问题现象:配置基于优先级的负载均衡(未开启会话保持),其中某个接口不配置带宽, 修改策略为基于带宽,策略仍然生效。

·              问题产生条件:基于带宽比的负载均衡策略,如果组下有未配置带宽的接口,则该负载均衡组不会生效。而对于策略为优先级的负载均衡组,则没有该要求。

7. 静态绑定用户(绑定MACIP),只有用户上线日志,无下线日志

·              问题现象:测试仪打流,静态绑定的MAC用户,流停止后,40分钟后,绑定MAC的用户老化后,无下线日志。

·              问题产生条件:用户超时下线时,会先做一些清理动作,其中就有识别结果recog与它所属的用户解绑定,将识别结果中的。
用户置空,然后会发下线日志。发日志时需要用到识别结果中的用户信息,但是在之前已将用户置空,所以未能发送日志;

8. 三权模式,修改管理员账号用户名与其它系统管理员相同无错误提示

·              问题现象:三权模式下,当已经存在用户名为test的系统管理员账号时,把另一个账号管理员修改为test的用户名,修改成功。

·              问题产生条件:针对新修改的用户名称没有进行重名判断,所以导致bug中问题;

9. ACG审计webmail时异常重启

·              问题现象:ACG审计邮件时,使用QQ邮箱发送邮件,邮件接收者地址有单数的反斜杠且反斜杠刚好在第1024个字符时设备重启。

·              问题产生条件:当使用QQ发邮件时,邮件接收者地址有单数反斜杠且反斜杠刚好在第1024个字符时导致。

10. 模块收集功能中ip route 显示不完全

·              问题现象:系统信息收集导出后查看配置信息,路由信息无法显示。

·              问题产生条件:信息导出,路由部分为show 而非dispaly

11. 配置MAC绑定的用户,该用户登录时会生成IPv4IPv6会话各一个,且IPv6会话无法冻结

·              问题现象:当在线用户同步显示IPv4IPv6地址时,冻结v6地址无法生效。

·              问题产生条件:由于用户冻结实现只对v4地址冻结,未对用户做处理。

12. 修改DHCP排除范围,填写错误的参数后填写正确的参数,发现实际执行的是新建操作,而非修改

·              问题现象:DHCP排除范围地址段提交错误报错后为新建,易用性较差。

·              问题产生条件:由于重新提交错误地址,前台未与后台交互,先行在前台创建用户下发后台;

13. 上传相同URL的文件时,会导致存储空间显示不正确。

·              问题现象:上传同一URL不同文件的app缓存,显示剩余存储空间不正确。

·              问题产生条件:后台文件存储为同一文件,导致文件覆盖。

14. 新建HA管理IP,操作日志中记录的是修改操作。

·              问题现象:新建管理IP,操作日志为modify

·              问题产生条件:后台没有对应新建管理IP日志。

9.43  SecPathACG1000-IMW110-R6604P01版本解决问题列表

1. SecPath ACG1040 微信认证失效

·              问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。

·              问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。

2. SecPath ACG1040限制P2P软件和流媒体之后,百度文库PPT和豆丁网内容打不开

·              问题现象:配置P2P下载、流媒体策略拒绝后,网页上无法查看百度文库PPT和豆丁网内容。

·              问题产生条件:流媒体预定义组中包含了flash特征,致使配置流媒体阻断策略后无法访问PPT等内容。

3. SecPath ACG1040配置微信认证后android手机首次点击认证URL直接弹出认证页面问题

·              问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。

·              问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。

4. SecPath ACG1000-S微信认证部分安卓手机无法认证成功

·              问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。

·              问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。

5. SecPath ACG1000-M 上网178个小时就上不了网

·              问题现象:ACG接收iMC下发的用户信息后,ACG会在178个小时会自动将该用户强制下线。

·              问题产生条件:设备端未对iMC推送的用户类型做特殊控制,致使iMC下发的用户在线时长是默认值,超出默认值后设备将会对该用户进行强制下线操作。

6. SecPath ACG1000-A本地认证用户下线之后迅雷还能下载

·              问题现象:设备中存在本地认证配置的背景下,用户使用迅雷在某些特殊的服务器上进行下载。将该在用户本地认证的状态下强制下线,迅雷仍可下载。

·              问题产生条件:本地认证用户下线后,ACG会清除该用户的所有会话。但公网上的某些迅雷服务器会主动向内网建立会话,这些由外到内的报文没有匹配到用户策略而直接放行。

7. 微信认证发送关键字接收回复的时间长

·              问题现象:使用微信认证策略,向已关注的公众号中发送关键字。收到的回复信息时间较长。

·              问题产生条件:微信V6.1版本发送关键字时,某些报文使用非808080端口。设备端收到非808080端口的报文会进行重传。重传次数较多,导致发送关键字延迟大。

8. 新建用户,绑定IP无法成功问题

·              问题现象:新建和编辑用户类型为静态绑定IP,提交后类型显示为空。

·              问题产生条件:新建和编辑用户类型前后台参数不一致导致,后台对前端配置的参数不识别。出现配置为空的现象。

9. IE9\IE8本地用户登陆不成功问题

·              问题现象:正常配置自定义Portal页面功能,完成后使用IE9浏览器进行本地认证。输入用户名、密码后点击登录按钮无反应。

·              问题产生条件:IE9浏览器对JS调试代码的不兼容导致在该浏览器下认证异常。

10. 自定义Portal页面功能,影响本地认证用户“允许修改密码”的配置失效

·              问题现象:用户配置不允许修改密码,自定义Portal界面仍然出现修改密码按钮,能够进行修改密码操作。

·              问题产生条件:自定义认证界面未判断用户修改密码的参数,导致问题的产生。

11. IPv4策略下查看应用审计的子策略,翻页查看失效

·              问题现象:创建IPv4策略,在此策略中添加20条以上的应用审计策略。点击策略的展开按钮(按钮在ID后面有颜色的方块处),翻页查看应用审计策略时,第二页仍显示第一页的审计策略,第三页、第四页也是相同的情况。

·              问题产生条件:因Web中的策略索引信息没有上传到CP,导致查看应用审计策略分页显示失效。

9.44  SecPathACG1000-IMW110-R6604版本解决问题列表

1. 开启应用识别后新建性能大幅下降

·              问题现象:开启应用识别后新建性能比未开启下降约70%

·              问题产生条件:开启应用识别后测试新建性能与未开启做比对。

2. 曾引用过的RADIUS组无法被删除

·              问题现象:曾引用的RADIUS组可以被删除。

·              问题产生条件:RADIUS组在被引用后做修改为不再引用,再对该RADIUS组执行删除动作。

3. 策略路由接口未做存在性检测

·              问题现象:接口为非PPPoE接口仍可被策略路由引用,导致路由失效。

·              问题产生条件:接口为PPPoE接口被策略路由引用,修改为物理接口后该路由仍可引用该接口。

4. 等价路由负载环境、本地始发ping会丢包

·              问题现象:本地始发ping从等价路由转发有丢包。

·              问题产生条件:新建两条等价路由,ping包从本地始发,指定本地IP为源ping对端环回口时会一通、一不通的回显。

5. 策略路由无法选择应用组

·              问题现象:策略路由仅可选则单个应用无法选择应用组。

·              问题产生条件:策略路由仅可选择单个应用,无法选择类似“P2P下载”这类应用组。

6. 登录页面为https://x.x.x.x/webui/?g=main 登录框显示为三个

·              问题现象:管理设备后缀为/webui/?g=main登录框显示为3个。

·              问题产生条件:管理IP后缀为/webui/?g=main

7. 使用RADIUS认证,限制用户登录数无效

·              问题现象:RADIUS认证限制用户登录数为23个用户认证登录均可成功。

·              问题产生条件:第三方用户由于没有添加登陆限制,导致该用户登录数无效。

8. 8、微信认证页面配置认证URL带有“/”,微信认证功能异常

·              问题现象:微信认证时,当跳转URL中同时含有hostpath字段时,认证失败。

·              问题产生条件:解析URL时添加对“/”符号的识别。

9.45  SecPathACG1000-IMW110-F6603P03版本解决问题列表

1. 配置本地认证用户不允许修改用户密码,登录成功后刷新计时页面仍可显示修改密码按钮。

·              问题现象:配置本地认证用户并禁止该用户修改密码,使用创建的用户认证,认证成功后刷新计时页面就会出现修改密码按钮。

·              问题产生条件:刷新页面同时,如果用户已登录会发送keepalive请求,但keepalive接口里未增加是否允许修改密码的属性。

9.46  SecPathACG1000-IMW110-F6603P02版本解决问题列表

1. iMC用户认证成功后,设备重启,iMC用户未下线

·              问题现象:ACGiMC做联动Portal认证,设备重启后,显示iMC服务器上用户仍然在线。

·              问题产生条件:ACGiMC做联动Portal认证,用户已经认证成功,可正常使用网络,设备重启,显示设备认证用户已下线,但iMC服务器上显示认证用户仍在线。

2. ACG1000作为Portal认证设备,iMC强制用户下线时,ACG1000只发送了RADIUS计费停止报文,但没有通知Portal Server将用户下线,结果是用户侧Portal再次上线失败,需要重复上线才能成功

·              问题现象:Portal Server端用户未下线,导致再次上线时失败。

·              问题产生条件:ACGiMC做联动Portal认证,用户已经认证成功后,iMC强制用户下线,ACG未同步下线报文给Portal Server,导致下一次用户上线将无法成功。

3. iMC用户认证未归属于正确的用户组内

·              问题现象:用户处于root组内,而没有归属于正确的用户组内。

·              问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。

4. iMC上每账户只允许1IP登录时,ACG上却存在不同IP地址的重名用户

·              问题现象:用户处于root组内,而没有归属于正确的用户组内。

·              问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。

5. 在认证页面输入错误的密码,认证不成功,提示“设备拒绝请求”,而不是“密码错误”

·              问题现象:iMC联动认证时,在认证页面输入错误的密码,认证不成功,提示“设备拒绝请求”,而不是“密码错误”。

·              问题产生条件: iMC联动认证时,在认证页面输入错误的密码。

6. 不支持非对称路由转发

·              问题现象:当请求方向报文不经过ACG转发,而响应报文通过ACG转发时,默认ACG会将SYN ACK报文丢弃,导致业务不通。

·              问题产生条件: iMC联动认证时,请求方向报文和响应报文转发路径不一致导致。

7. 本地认证用户不支持控制是否允许修改密码

·              问题现象:当配置本地认证用户策略,多用户使用同一个用户登录时,如某个用户更改当前用户密码后其他用户均无法使用该用户登录。

·              问题产生条件:配置本地认证用户策略时,未对是否修改密码选项进行控制。

9.47  SecPathACG1000-IMW110-R6603P01版本解决问题列表

1. 开启本地Web认证功能后,控制平面性能耗尽

·              问题现象:开启本地Web认证功能后,CPU core0利用率达到100%

·              问题产生条件:开启本地Web认证功能,并发30个以上的认证用户。

2. 开启全部审计功能后,控制平面性能耗尽

·              问题现象:开启审计所有模块审计功能后,CPU core0利用率达到100%

·              问题产生条件:开启所有模块的审计功能并记录到本地数据库,按照产品规格打入背景流量。

3. 本地Web认证的页面跳转失败

·              问题现象:本地Web认证成功后,页面不再跳转到配置的URL页面。

·              问题产生条件:本地Web认证成功后修改密码。

4. 本地Web认证配合RADIUS服务器时,设备异常重启

·              问题现象:本地Web认证密码存放在第三方RADIUS服务器上,认证时设备异常重启

·              问题产生条件:进行本地Web认证时将用户名密码存放在第三方服务器上,认证时输入错误的用户名和密码。

9.48  SecPathACG1000-IMW110-R6603版本解决问题列表

1. 长时间应用连接统计流量有偏差

·              问题现象:流量监控统计有偏差。

·              问题产生条件:某种应用的连接长时间保持或存在跨天的情况;在应用的连接断开之前,无法看到该业务的流量统计,流量监控统计有偏差。

2. 被拒绝的应用连接仍统计少量流量

·              问题现象:被拒绝的应用连接仍统计少量流量。

·              问题产生条件:被IPv4策略拒绝的流量在流量排名界面上仍然能够查看到少量流量。流量匹配到动作为阻断的IPv4策略,产生的流量阻断会话包含部分流量。

3. 小于1秒的应用连接不统计流量

·              问题现象:无法看到部分特殊应用的流量统计信息。

·              问题产生条件:应用连接维持时间小于1秒时,无法统计该类应用流量。

4. 首页流量统计存在偏差

·              问题现象:首页流量统计存在偏差。

·              问题产生条件:应用连接保持时间小于10秒,首页流量统计存在偏差。

5. 隧道配置出错后无法直接修改

·              问题现象:配置IPv6隧道时,无法在页面中直接修改。

·              问题产生条件:配置IPv6隧道时,使用地址或接口方式配置产生错误后,无法在页面中直接修改。

6. 用户组添加用户时选择框被清空

·              问题现象:在用户组中添加大量用户时,用户选择框被清空。

·              问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。

7. 关键字创建时区分大小写,匹配时不区分大小写

·              问题现象:创建与匹配关键字对象时大小写区分实现不一致。

·              问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。

8. iMC做配合认证,用户定时被踢下线

·              问题现象:用户认证通过以后定时被设备踢下线。

·              问题产生条件:用户通过iMC做认证,ACG做为Portal设备,用户认证成功以后会定期被ACG踢下线。

9. iMC提踢出用户不生效

·              问题现象:在iMC踢出用户不生效

·              问题产生条件:ACGiMC做联动Portal认证时,在iMC上踢出用户,ACG上并未踢出用户,用户仍在线,可正常通信。

10. iMC上用户在线时长全部为0

·              问题现象:ACGiMC做联动Portal认证,iMC上用户在线时长全部为0

·              问题产生条件:ACGiMC做联动Portal认证,用户已经认证成功,可正常使用网络,但是在线时长信息有误,全部为0

11. ACG上踢出用户无法再次认证

·              问题现象:ACG上提出用户无法再次认证,重复登录后才能认证。

·              问题产生条件:在ACG上踢出用户后,如果再重新打开页面认证,会出现“Portal认证失败,该用户正在认证中,请稍后重试。”,需要重新上线二三次才可以正常上线。

9.49  SecPathACG1000-IMW110-E6602版本解决问题列表

首次发布,无问题列表。

10 故障定位与处理

您可以通过访问如下链接获取帮助:

·              请访问网址http://www.h3c.com/cn/Technical_Documents ,选择产品类型和产品型号,在“诊断维护”分类下查询相关案例。

·              请访问知了社区网址https://zhiliao.h3c.com/,输入产品型号或功能关键字,搜索相关案例。

11 相关资料

11.1  相关资料清单

·              H3C SecPath ACG1000系列应用控制网关 快速安装指南

·              H3C SecPath ACG10X0[BX00]系列应用控制网关 快速安装指南

·              H3C SecPath ACG1000系列应用控制网关 安装指导

·              H3C SecPath ACG1000产品License激活申请和注册操作指导

·              H3C SecPath ACG1000系列应用控制网关 Web配置指导

·              H3C SecPath ACG1000系列应用控制网关 典型配置举例

·              H3C SecPath ACG1000系列应用控制网关 命令参考

·              H3C SecPath ACG1000系列应用控制网关 配置指导

 

11.2  资料获取方式

您可以通过H3C网站(www.h3c.com)获取最新的产品资料:

(1)      请访问网址:http://www.h3c.com/cn/Technical_Documents

(2)      选择产品类别和产品型号,即可查询和下载与该产品相关的手册。

12 技术支持

用户支持邮箱:service@h3c.com

技术支持热线电话:400-810-0504(手机、固话均可拨打)

网址:http://www.h3c.com

 


附录 A 本版本支持的软、硬件特性列表

A.1 版本硬件特性

表A-1 产品硬件特性

项目

SecPath ACG1000-AK230

SecPath ACG1000-AK240

SecPath ACG1000-AK250

SecPath ACG1000-AK260

SecPath ACG1000-AK270

SecPath ACG1000-AK280

管理接口

任一业务接口

任一业务接口

专用带外管理GE

专用带外管理GE

专用带外管理GE

专用带外管理GE

业务接口

4GE(Combo)+10GE()

4GE(Combo)+10GE()

12GE+12SPF

12GE+12SPF

12GE+12SPF

12GE+12SPF+2XFP

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

扩展槽

2

2

1

1

1

1

接口模块

PoE供电接口

支持8个口POE

尺寸(长×高×深/mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

额定功率

25W

120W(POE)+25W

60W*2

60W*2

60W*2

60W*2

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

重量

4.7KG

5.1KG

5.1KG

5.1KG

5.1KG

5.1KG

 

项目

ACG1000-SE-PWR

ACG1000-SE

ACG1030-X1

ACG1050-X1

管理接口

任一业务接口

任一业务接口

任一业务接口

任一业务接口

业务接口

4GE(Combo)+10GE()

4GE(Combo)+10GE()

4GE(Combo)+10GE()

4GE(Combo)+10GE()

BYPASS接口

ge0ge1支持断电bypass

ge0ge1支持断电bypass

ge0ge1支持断电bypass

ge0ge1支持断电bypass

扩展槽

1

1

接口模块

PoE供电接口

支持8POE

Port 6-13支持POE

支持8POE

Port 6-13支持POE

尺寸(长×高×深/mm

440*44*263

440*44*263

440*44*263

440*44*263

额定功率

25W+120WPOE

25W

25W

125W+25W

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

重量

3.1KG

2.9KG

2.9KG

3.1KG

 

项目

ACG1000-TE

ACG1000-ME

ACG1060-X1

ACG1070-X1

ACG1000-AE

ACG1000-PE

ACG1000-EE

ACG1000-XE1

管理接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

业务接口

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)+2万兆

12GE(光)+12GE(电)+4万兆

12GE(光)+12GE(电)+4万兆

12GE(光)+12GE(电)+8万兆

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持2bypassGE0GE1GE2GE3

支持2bypassGE0GE1GE2GE3

支持2bypassGE0GE1GE2GE3

扩展槽

1

接口模块

PoE供电接口

尺寸(长×高×深/mm

440*44*263

440*44*263

440*44*263

440*44*263

440*86*300

440*86*415

440*86*415

440*86*415

额定功率

120W

120W

120W

120W

120W

300W

300W

300W

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

重量

3.85kg

3.85kg

3.85kg

3.85kg

5.2kg

8.2kg

8.2kg

8.2kg

 

项目

ACG1000- C9130

ACG1000- C9150

ACG1000- C9160

ACG1000- C9170

管理接口

任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

业务接口

4GE(Combo)+10GE()

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)+2万兆

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

扩展槽

1TF卡扩展

1

接口模块

PoE供电接口

尺寸(长×高×深/mm

440*44*263

440*44*263

440*44*263

440*86*300

额定功率

25W

120W

120W

120W

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

重量

2.9kg

3.85kg

3.85kg

5.2kg

 

项目

ACG1000-AK215

ACG1000-AK225

ACG1000-AK255

ACG1000-AK265

ACG1000-AK275

ACG1000-AK285

管理接口

任一业务接口

任一业务接口

专用带外管理GE

专用带外管理GE

专用带外管理GE

专用带外管理GE

业务接口

10GE()

10GE+1SFP

12GE+12SPF

12GE+12SPF

12GE+12SPF

12*GE+12*SPF+4*SFP+

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持2GE口(GE0GE1GE2GE3

扩展槽

2

2

1

1

1

接口模块

PoE供电接口

支持4个口POE

尺寸(长×高×深/mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*415mm

额定功率

25W

60W(POE)+25W

60W*2

60W*2

60W*2

300W

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

重量

4.5KG

4.5KG

5.1KG

5.1KG

5.1KG

8.2KG

 

A.2 版本软件特性

表A-2 产品软件特性

功能

子功能

描述

上网行为管理

流量管理

支持虚拟线路和分级带宽管理,可支持4级通道嵌套

支持基于用户/应用/服务/IP/时间的带宽限制

支持每IP限速、带宽保障和多优先级管理

应用过滤和审计

支持针对网络社区/P2P/文件传输/电子商务/IM/炒股/网络多媒体/网络游戏/远程控制等进行控制

支持针对应用类/单个应用的应用审计

支持对应用的行为动作审计

支持对应用的行为内容的审计

支持网站、邮件、论坛发贴、搜索关键字过滤和审计

审计日志级别(紧急、告警、严重、错误、警示、通知、信息)

URL过滤

内置URL分类库,可针对广告/成人/艺术/在线音乐/BBS/博彩/商业/犯罪/教育/娱乐/赌博/游戏/医疗健康/违反道德/求职招聘等类别网站进行过滤和审计

支持恶意URL和自定义URL过滤

用户管理

用户

支持批量导入导出用户或用户组

用户属性支持本地用户、RADIUS用户、LDAP用户、静态绑定地址用户

在线用户管理

在线用户状态显示(用户名、所属组、登录地址、认证方式、登录时间/冻结时间、状态、在线时长)

在线用户操作:非认证账号可以冻结/解冻,认证用户可以注销、冻结/解冻

iMC联动

iMC联动

对于未识别出用户的流量,策略将其Web访问的流量重定向到指定的Portal页面

用户认证成功后,记录该用户信息。

用户认证成功后的访问流量,可识别并定期刷新

对认证用户进行细粒度业务控制

推送认证页面,接收Portal用户的认证信息

发起用户认证请求以及用户下线通知

提供用户自服务选项,链接到中央RADIUS服务器提供的自服务页面完成相应功能

强制用户在访问网页时需重定向至指定Portal server并认证

记录Portal上用户上下线信息日志

发送accounting-on报文同步iMC服务器用户下线

配置密钥用于审计设备用户同步上下线

认证服务器管理

支持RADIUS\LDAP认证服务器和服务器组

认证服务器组支持主备和集群

支持短信验证码验证身份实现wifi认证上网

支持微信关注公众账号实现wifi认证上网

统计集

应用流量统计

应用统计总览可视

应用比例图呈现

应用统计趋势图总览

应用统计详细信息展现

应用与用户维度耦合

应用TOP11统计

用户流量统计

用户统计总览

支持用户统计柱状呈现

用户统计详细信息总览与应用维度耦合

支持查看单个用户的应用趋势及应用TOP列表

用户TOP15\50\100统计

网络基础功能

接口

支持子接口、桥接口、聚合接口

DHCP

支持DHCP中继、DHCP服务器、DHCP客户端

DHCP服务器支持IP-MAC绑定、租期管理、排除地址等属性

会话管理

支持地址对象的限制;支持源IP的会话数、每秒新建的限制

会话统计:显示当前IP地址的连接数

NAT

支持多种NAT ALG,包括DNSFTPH.323ILSMSNNBTPPTPSIP

支持源地址、目的地址NAT,支持一对一、一对多、多对多地址转换

路由

支持静态路由、动态路由(RIP\OSPF)、策略路由

支持基于源地址/目的地址/服务/用户/应用的策略路由

支持ISP路由,内置运营商路由表,可自定议ISP路由

VPN

支持AHESP协议\支持手工或通过IKE自动建立安全联盟,ESP支持DES3DESAES多种加密算法,支持MD5SHA-1验证算法

支持IKE主模式及野蛮模式,支持NAT穿越和DPD检测

接口探测

支持ping地址监控条目

支持tcpsyn地址监控条目

支持dns地址监控条目

支持接口类型:物理接口,子接口,桥接口,聚合接口,隧道接口

地址探测组

支持多个地址探测从属组关系

分为严格模式和非严格模式(严格模式即所有探测条目均成功组状态才成功,非严格模式探测条目间为独立状态)

支持对探测组描述

路由探测

支持探测路由以确保路由有效性

支持场景及部署方式

支持静态路由或ISP路由联动

支持与接口状态联动

支持与HA联动

日志说明

可对地址探测失效、恢复有日志记录

安全防护

攻击防护

支持基于接口的IP和端口扫描防护

支持SYNfloodUDPfloodICMPfloodDNSflood攻击防护和异常包防护(支持Ping of DeathLand-BaseTear DropTCP FlagWinnukeSmurfIP选项、IP SpoofJolt2

支持与IP地址黑名单联动,禁用地址访问

支持IP-MAC绑定和唯一性检查

系统管理

部署方式

旁路、串接、混合部署

配置文件

配置文件导入导出

双备份配置

系统升级

支持系统软件本地升级和远程升级

特征库可自动和手动升级

SNMP

支持SNMP代理

支持版本:v1v2v3

SNMP用户:支持创建/修改/删除用户信息。认证方式:NoneMD5SHA

日志配置

支持3Syslog发送服务器并可远程发送到日志分析管理平台

支持日志级别过滤,支持设备映射表


附录 B 版本升级操作指导

说明

·       本章显示信息仅为软件升级过程的举例说明,实际显示信息与设备版本的实际情况相关,可能会略有差别,请以设备版本实际显示信息情况为准。

·       设备的默认存储介质为CF卡。

 

B.1 设备软件简介

设备软件主要包括系统启动文件和MenuBoot文件。

B.1.1 启动文件简介

启动文件是用于引导设备启动的程序文件。

通常情况下,启动文件是后缀名为.bin的文件(例如:SecPathACG1000-IMW110-R6603P02.BIN)。

B.1.2 配置文件

配置文件是保存设备配置信息的文件。配置文件主要用于:

·              将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。

·              使用配置文件,用户可以非常方便地查阅配置信息。

设备的配置文件名为syscfg.consyscfg.bcp,其中,syscfg.con用于保存同时支持通过命令行与Web所做的配置,syscfg.bcp用于备份配置文件。

·              执行copy running-config backup-config 命令将当前运行文件拷贝到备份配置中。

·              执行copy startup-config backup-config 命令将已保存的配置文件拷贝到备份配置中。

·              执行copy backup-config startup-config 命令将备份配置文件恢复到启动文件中。

B.2 软件升级方式简介

表B-1 软件升级方式简介

升级对象

升级方式

说明

升级启动文件

通过命令行升级启动文件

·       对于Web方式升级启动文件,无需开启TFTP/FTP Server功能

·       由于不同软件版本之间配置文件信息不兼容,会造成升级后设备的配置与升级前不相同,请您仔细查阅相应章节内容,以便确认待升级版本的特性变更情况

通过Web升级启动文件

通过MenuBoot菜单升级启动文件

 

B.3 升级前的准备

注意

TFTP/FTP Server由用户自己购买和安装,设备不附带此软件。

 

TFTPTrivial File Transfer Protocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。设备作为TFTP Client,文件服务器(通常为PC)作为TFTP Server,用户通过在终端输入相应命令,可将本设备的启动文件上传到文件服务器上,或者从文件服务器下载启动文件到设备中。

FTPFile Transfer Protocol,文件传输协议)在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输。设备作为FTP Client,文件服务器(通常为PC)为FTP Server

在升级设备启动文件前,请完成如下准备工作:

·              配置ACG的管理口IP地址。

·              开启文件服务器的TFTP/FTP Server功能。

·              通过配置终端登录到命令行配置界面中。

·              将升级启动文件拷贝到文件服务器上,并正确设置TFTP/FTP Server的访问路径。

图12-1 设备升级环境

B.4 升级启动文件

B.4.1 通过命令行升级启动文件

·              通过命令行升级启动文件,可以采用以下方式:使用FTP协议升级设备的启动文件

·              使用TFTP协议升级设备的启动文件

·              使用FTP协议升级设备的启动文件

使用TFTP协议升级设备的启动文件

设备作为TFTP Client,访问TFTP文件服务器的指定路径,完成启动文件的备份与升级操作,具体操作步骤如下:

备份当前启动文件和配置文件

步骤1     在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:

H3C# save config

Building configuration...

 

Save configuration ok !

步骤2     在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:

H3C# display version

i-Ware software,Version 1.10, Release 6605, Build time is Jan 28 2015 17:31:46

System uptime: 0 days 0 hours 42 minutes

Firmware is SecPathACG1000-IMW110-R6605.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100100115022860784559

Model           : ACG1000-S

Platform        : PLATFORM_MC1220

 

Basic Functionality                             : License valid

Application Audit and Control                   : License valid

Malware URL Category                            : License valid

Virtual Private Network                         : License valid

Application Audit and Control Update Service    : License valid

Malware URL Category Update Service             : License valid

Virtual Private Network Tunnel Limit            : License valid

步骤3     在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.con备份到TFTP文件服务器上:

H3C# copy startup-config tftp 192.168.0.2 syscfg.con

H3C#

升级启动文件

说明

本节中,以即将升级的启动文件SecPathACG1000-IMW110-F6603P02.BIN,版本1.10, Release 6603P02为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。

 

步骤4     在命令行配置界面的用户视图下,执行copy tftp命令将启动文件SecPathACG1000-IMW110-F6603P02.BIN 导入到CF卡中:

H3C# copy tftp 192.168.2.185 SecPathACG1000-IMW110-F6603P02.BIN ver

Download file SecPathACG1000-IMW110-F6603P02.BIN ....

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

#####################################################

Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.

Checking images valid success.

Install system................................................ success

Update images success.

步骤5     在命令行配置界面的用户视图下,执行reboot命令重启设备:

H3C# reboot

Save current configuration? Please enter "y/n"  to confirm:  y

Building configuration...

 

Save configuration ok !

The system will be rebooted! Please enter "y/n"  to confirm:  y

……略……

步骤6     设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致

H3C# display version

i-Ware software,Version 1.10, Release 6603P02, Build time is Mar  5 2015 15:32:26

System uptime: 0 days 0 hours 5 minutes

Firmware is SecPathACG1000-IMW110-F6603P02.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100100115022860784559

Device S/N      : 219801A0QQ914AP00001

Model           : ACG1000-S

Platform        : PLATFORM_MC1220

 

Basic Functionality                             : License valid

Application Audit and Control                   : License valid

Malware URL Category                            : License valid

Virtual Private Network                         : License valid

Application Audit and Control Update Service    : License valid

Malware URL Category Update Service             : License valid

Virtual Private Network Tunnel Limit            : License valid

H3C#使用FTP协议升级设备的启动文件

设备作为FTP Client,访问FTP文件服务器的指定路径,完成启动文件的备份及升级操作,具体操作步骤如下:

备份当前启动文件和配置文件

步骤7     在命令行配置界面的用户视图下,执行save命令保存设备当前配置信息:

H3C# save config

Building configuration...

Save configuration ok !

步骤8     在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:

H3C# display version

i-Ware software,Version 1.10,Release 6603P01, Build time is Jan 28 2015 17:31:46

System uptime: 0 days 0 hours 42 minutes

Firmware is SecPathACG1000-IMW110-R6603P01.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100200114052620813527

Model           : ACG1000-M

Platform        : PLATFORM_MC5200

 

Basic Functionality                             : License valid

Application Audit and Control                   : License valid

Malware URL Category                            : License valid

Virtual Private Network                         : License valid

Application Audit and Control Update Service    : License valid

Malware URL Category Update Service             : License valid

Virtual Private Network Tunnel Limit            : License valid

步骤9     在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.con备份到FTP文件服务器上:

H3C# copy startup-config ftp anonymous test 192.168.0.2 syscfg.con

升级启动文件

说明

本节中,以即将升级的启动文件SecPathACG1000-IMW110-F6603P02.BIN,版本1.10,Release 6603P02为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。

 

步骤10  在命令行配置界面的用户视图下,执行copy  ftp命令将启动文件SecPathACG1000-IMW110-R6603.BIN导入到设备的CF卡中:

H3C# copy ftp user password 192.168.2.185 SecPathACG1000-IMW110-F6603P02.BIN ver

Download file SecPathACG1000-IMW110-F6603P02.BIN ....

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

#####################################################

Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.

Checking images valid success.

Install system................................................ success

Update images success.

 

步骤11  在命令行配置界面的用户视图下,执行reboot命令重启设备:

H3C# reboot

Save current configuration? Please enter "y/n"  to confirm:  y

Building configuration...

Save configuration ok !

The system will be rebooted! Please enter "y/n"  to confirm:  y

步骤12  设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致

H3C# display version

i-Ware software,Version 1.10, Release 6603P02, Build time is Mar  5 2015 15:32:26

System uptime: 0 days 0 hours 5 minutes

Firmware is SecPathACG1000-IMW110-F6603P02.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100100115022860784559

Device S/N      : 219801A0QQ914AP00001

Model           : ACG1000-S

Platform        : PLATFORM_MC1220

 

Basic Functionality                             : License valid

Application Audit and Control                   : License valid

Malware URL Category                            : License valid

Virtual Private Network                         : License valid

Application Audit and Control Update Service    : License valid

Malware URL Category Update Service             : License valid

Virtual Private Network Tunnel Limit            : License valid

B.4.2 通过Web升级启动文件

设备支持Web网管功能,管理员可以使用Web界面方便直观地管理、维护和升级。

设备在出厂前,已经设置了缺省的Web登录信息,用户可以直接使用该缺省信息登录Web界面。

表B-2 设备缺省Web登录信息表

登录信息项

设备默认配置

用户名

admin

密码

admin

接口IP地址

192.168.1.1/24

连接设备和PC

用以太网线将PC和设备的以太网口相连。

PC配置IP地址,确保能与设备互通。

修改IP地址为192.168.1.0/24(除192.168.1.1),例如192.168.1.2

启动浏览器,输入登录信息。

PC上启动浏览器,在地址栏中输入IP地址“192.168.1.1”后回车,即可进入设备的Web登录页面,输入设备默认的用户名、密码和验证码,单击<登录>按钮即可登录。

在导航栏中选择“系统管理 > 系统设定>系统升级”,进入如下图所示的页面。

图12-2 软件升级

 

单击<上传>按钮开始进行软件升级。

警告

软件升级需要一定的时间。升级完成后,手动执行重启命令重启设备。

B.4.3 通过MenuBoot菜单升级启动文件

通过MenuBoot菜单升级启动文件,可以采用以下方式:

·              通过以太网口利用FTP升级启动文件

连接console线缆进入MenuBoot菜单

说明

以下显示信息与设备实际情况相关,可能会略有差别。

设备上电和重新启动的过程中,在配置终端的屏幕上首先将显示 输入Ctrl+C进入menuboot 菜单,

PrRss Ctrl+C to stop auto start : 03

reading menuboot

.......................................[   25.391419] tmp421 0-004c: Could not read configuration register (-5)

/sbin/rc starting

Mounting file systems

Setting up loopback

……

        ===============================================================

        |            BOOT MENU(V2.0-20140812)                         |

        |  1. Upgrade image by FTP.                                   |

        |  2. Upgrade menuboot by FTP.                                |

        |  3. Check and repare file system.                           |

        |  4. Reset administrator passowrd.                           |

        |  5. Producing test.                                         |

        |  6. Aging test.                                             |

        |  7. Display production and aging recored.                   |

        |  8. Advance functions.                                      |

        |  0. Reboot.                                                 |

        |                                                             |

        ===============================================================

该菜单含义如下:

表B-3 MenuBoot主菜单

菜单项

说明

<1> Upgrade image by FTP

通过FTP升级启动文件

<2> Upgrade menuboot by FTP

通过FTP升级menuboot

<3> Check and repare file system

检测/修复文件系统

<4> Reset administrator passowrd

恢复管理员默认密码

<5> Producing test

装备测试,检查端口基础通讯功能

<6> Aging test

老化测试,长时间进行收发报文压力测试

<7> Display production and aging recored

显示装备测试和老化测试的结果

<8> Advance functions

暂不支持

<0> Reboot

重新启动设备

2. 通过以太网口利用FTP升级启动文件

MenuBoot主菜单下键入<1>,可以进入通过FTP升级启动文件,分别输入如下信息:

Please input your choice[0-8]:1

Local IP[A.B.C.D/M]:192.168.0.1/24

Server IP[A.B.C.D]:192.168.0.2

Gateway IP[A.B.C.D]:192.168.0.254

image name[xxx.bin]:SecPathACG1000-IMW110-F6603P02.BIN

表B-4 以太网参数设置说明

显示

说明

LOCAL IP

设备自己的IP地址

Server IP

FTP服务器IP地址

Gateway IP

网关IP地址,当与服务器不在同一网段时需要配置网关地址

image name

升级版本名称

 

升级完成后,键入<0>重启设备使新升级文件生效:

Download file SecPathACG1000-IMW110-F6603P02.BIN ....

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

##############################################

Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.

Checking images valid success.

Install system......................................................................... success

Update images success.

 

        ===============================================================

        |            BOOT MENU(V2.0-20140812)                         |

        |  1. Upgrade image by FTP.                                   |

        |  2. Upgrade menuboot by FTP.                                |

        |  3. Check and repare file system.                           |

        |  4. Reset administrator passowrd.                           |

        |  5. Producing test.                                         |

        |  6. Aging test.                                             |

        |  7. Display production and aging recored.                   |

        |  8. Advance functions.                                      |

        |  0. Reboot.                                                 |

        |                                                             |

        ===============================================================

 

Please input your choice[0-8]: 0

B.4.4 升级时间

设备加载升级文件,需要2分钟左右

设备重启,需要3分钟左右

B.5 软件升级失败的处理

升级失败后,用户可以通过以下方式尝试解决软件升级失败问题。

请检查物理接口是否连接完好,请确保接口物理连接正确,并观察指示灯是否正常。

通过Console口登录设备时,请检查超级终端相关参数是否设置正确,如波特率、数据位等。

请检查FTP Server或者TFTP Server等软件是否正常运行,相关设置是否正确。

如果文件在加载结束后出现如下提示:image desc magic check fail.请检查文件是否可用。

如果上述检查均正常,请联系H3C技术服务人员。

 


1. 任何从本网站下载的软件都是H3C公司受著作权保护的产品。

2. 使用软件必须受最终用户许可协议的条款的约束,该许可协议随软件附上或包含在软件中。

3. 除非最终用户首先同意许可协议的条款,否则不能安装任何附有或内含许可协议的软件。

4. 软件仅供最终用户根据许可协议的规定下载使用。

5. 最终用户在用下载软件进行升级及使用的过程中,应严格遵守操作指导书,对于未按指导书而引起的问题,责任由使用者自负。

6. 对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止,并可导致严重的民事及刑事处罚。

7. 所下载的软件版本仅限美国以外的地区使用。

新华三官网
联系我们