软件名称:H3CSecPathT1000AI-CMW710-R9660P51版本软件及说明书(年度稳定版本,推荐更低版本升级至本版本)
发布日期:2024/12/619:15:32
软件说明:
H3CSECPATHT1028&T1078-CMW710-R9660P51版本说明书
目录
表目录
表1历史版本信息表.......................................................................................................................1
表2版本配套表..............................................................................................................................2
表3ISSU版本兼容列表.................................................................................................................5
表4MIB文件变更说明...................................................................................................................7
表5T1000-AI-25/35、T1000-AK335、T1000-AK345设备系统配置表..........................................33
表6产品软件特性........................................................................................................................34
表7软件升级方式简介.................................................................................................................41
表9设置以太网口参数显示信息描述表.........................................................................................53
表10设置以太网口参数显示信息描述表.......................................................................................56
表11设置以太网口参数显示信息描述表.......................................................................................59
表12设置以太网口参数显示信息描述表.......................................................................................61
表13系统保留的快捷键...............................................................................................................63
表14BootWare基本段菜单项说明...............................................................................................64
表15BootWare基本段辅助子菜单说明........................................................................................66
表16BootWare扩展段主菜单说明...............................................................................................67
表17配置密码恢复功能...............................................................................................................69
表18串口子菜单说明...................................................................................................................70
表19以太网配置子菜单说明........................................................................................................71
表20以太网口参数设置说明........................................................................................................71
表21文件控制子菜单说明............................................................................................................72
表22BootWare操作子菜单说明...................................................................................................77
表23存储器操作子菜单说明........................................................................................................78
表24扩展段辅助子菜单说明........................................................................................................78
本文介绍了R9660P51版本的特性、使用限制、存在问题及规避措施等。加载R9660P51版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。
版本号:Comwaresoftware,Version7.1.064,Release9660P51
注:该版本号可在命令行任何视图下用displayversion命令查看,见注①
表1历史版本信息表
版本号
基础版本号
发布日期
版本类型
备注
R9660P51
R8760P40
2024-11-30
Release版本
发布生产+年度版本
R8760P38
2023-10-29
R8760P33
2023-8-25
发布生产
R8760P28
2023-3-31
R8760P26
2022-10-25
发布生产,同时新立项款型T1000-AK335过TR6
R8760P24
2022-08-20
发布年度版本
R8760P23
2022-06-17
发布生产,同时新立项款型T1000-AK335过TR5
R8760P21
2022-04-25
发布生产,同时新立项款型T1000-AK335过TR4A
E8760P18
2022-02-25
R8760P18
E8760P1212
2021-12-13
过TR6,发布生产
A8760P1211
2021-07-16
Ess版本
过TR5,发布生产
首次发布
Alpha版本
过TR4A,发布生产
在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。
表2版本配套表
产品系列
T1000-AI-25/35、T1000-AK335、T1000-AK345
型号
T1000-AI-25/35
T1000-AK335
T1000-AK345
内存
4GB
8GB
FLASH
4GBEMMCFlash
BOOTROM版本号
1.04
(该版本号可在命令行任何视图下用displayversion命令查看,见注②)
目标文件名称及MD5校验码
SECPATHT1028-CMW710-R9660P51.ipe
MD5校验值:05a192a93e5db620561f00fe77210de8
iMC版本号
iMCPLAT7.3(E0705P12)
iMCUBA7.3(E0707L06)
iMCEIA7.3(E0611P13)
iMCSHM7.3(E0707L06)
iMC-DMPLAT7.3(E0705P12)
iMC-iCCPLAT7.3(E0705P12)
iMC-ACLMPLAT7.3(E0705P12)
iNode版本号
iNodePC7.3(E0585)
CSAP-S版本号
E1143P0601
SMP安全业务管理平台版本号
E1112P02
云安全运维管理平台版本号
不支持
U-Center统一运维
AD-NET应用驱动网络
E0709
U-CenterAOM自动化管理
AD-Campus应用驱动园区网
AD-DC应用驱动数据中心
AD-WAN应用驱动广域网
云简网络
不涉及
2、安全业务-设备管理-地址组配置建议无特殊需求不要使用通配符子网地址类型;
3、安全业务-设备管理-业务配置动作参数需要先在设备web端启用对应参数。
表3版本配套表
T1000-AI-55/65、T1000-AK355入侵防御设备
T1000-AI-55/65、T1000-AK355
1.07
SECPATHT1078-CMW710-R9660P51.ipe
MD5校验值:6d1993339d7c4267a3db43a7f5bcd329
示例:查看T1000-AI-25的软件版本和Bootware版本号方式如下:
H3CComwareSoftware,Version7.1.064,Release9660P51----注①
[H3C-probe]disversion
H3CComwareSoftware,Version7.1.064,Release9660P51
H3CSecPathT1000uptimeis0weeks,0days,1hour,24minutes
Lastrebootreason:Userreboot
Bootimage:flash:/t1028ips-cmw710-boot-R9660P51.bin
Bootimageversion:7.1.064,Release9660P51
CompiledNov20202414:00:00
Systemimage:flash:/t1028ips-cmw710-system-R9660P51.bin
Systemimageversion:7.1.064,Release9660P51
SLOT1
CPUType:Multi-coreCPU
DDR4SDRAMMemory:3807MB
Flash:3728MB
BoardPCBVersion:Ver.A
CPLD_AVersion:2.0
CPLD_BVersion:1.0
ReleaseVersion:H3CSecPathT1000-9660P51
BasicBootWareVersion:1.04-------注②
ExtendBootWareVersion:1.04
BuckleBoardVersion:Ver.A
BaseBoardVersion:Ver.B
BackBoardVersion:Ver.A
HDDBackBoardVersion:Ver.A
BootType:Warm
[SUBCARD0]FixedSubcard(Hardware)Ver.A,(Driver)1.0,(Cpld)2.0
T1000-AI-55/65、T1000-AK355:
H3CSecPathT1000uptimeis0weeks,1day,17hours,39minutes
Lastrebootreason:AutoUpdatereboot
Bootimage:flash:/T1078IPS-CMW710-BOOT-R9660P51.bin
Systemimage:flash:/T1078IPS-CMW710-SYSTEM-R9660P51.bin
CPUtype:Multi-coreCPU
DDR4SDRAMMemory:8192Mbytes
FLASH:3728Mbytes
CPLD_AVersion:3.0
CPLD_BVersion:2.0
BasicBootWareVersion:1.07-------注②
ExtendBootWareVersion:1.07
[SUBCARD0]NSQ1F1G2MSPUOTXA(Hardware)Ver.A,(Driver)1.0,(Cpld)3.0
ISSU(In-ServiceSoftwareUpgrade,不中断业务升级)升级分为兼容性升级和不兼容性升级。由于18个月以上的版本不进行兼容性验证,下表仅列出本版本与18个月以内的历史版本之间的ISSU升级方式。关于ISSU的详细介绍,请参见与设备配套的“基础配置指导”中的“ISSU”。
表4ISSU版本兼容列表
当前版本
历史版本
ISSU兼容性
SECPATHT1028&T1078-CMW710-R9660P51
SECPATHT1028&T1078-CMW710-R8760P40
兼容
SECPATHT1028&T1078-CMW710-R8760P38
SECPATHT1028&T1078-CMW710-R8760P33
不兼容
SECPATHT1028&T1078-CMW710-R8760P28
SECPATHT1028&T1078-CMW710-R8760P26
SECPATHT1028&T1078-CMW710-R8760P24
SECPATHT1028&T1078-CMW710-R8760P23
SECPATHT1028&T1078-CMW710-R8760P21
SECPATHT1028&T1078-CMW710-R8760P18
SECPATHT1028&T1078-CMW710-E8760P1212
不兼容(R8760P18为基线版本,与例外分支不支持ISSU)
无
有关本版本及历史版本的软件特性及命令行的变更信息说明,请参见随版本发布的文档《H3CSECPATHT1028&T1078-CMW710-R9660P51版本说明书(软件特性变更说明)》。
表5MIB文件变更说明
项目
MIB文件名称
模块名
说明
新增
/
修改
(1)浏览器支持Chrome31及以上版本、Firefox19及以上版本、Safari5及以上版本、InternetExplorer9及以上版本。
(2)双机热备只支持主备模式;双主模式性能低,不建议使用。
(3)不支持组播;不支持Portal;不支持MPLS;不支持QoS。
(4)DPI业务不支持热备。
(5)设备扩展槽(槽位1、2)均为低速槽位,低速槽位提供1*GE带宽。设备前面板固定口较多,请优先采用面板口进行配置,如果接口数量仍不能满足使用,再选择配置扩展接口卡。
(6)规格不宣称支持接口NAT,web上不显示,后台不作裁剪。
(7)三层以太网接口MTU值默认为1500字节,考虑网络传输效率,不建议修改接口MTU值。另外,接口MTU值如果小于150字节,将出现特征库自动升级失败的问题。
(8)端口扫描和IP扫描同时达到阈值时,报了IP扫描日志,但没有再报端口扫描日志。
(9)域间策略开启加速可能占用较多内存,此时,建议升级为安全策略。
(10)当设备外接PFC设备并且配置多对外部bypass接口时,避免将接口对的某个接口连续UP/Down,容易导致外部bypass接口状态显示不正确。
(11)支持双硬盘的设备,硬盘插入1号槽位时,通过displaydeviceharddisk命令查询容量,发现显示为0,当前实际只支持一块硬盘,该硬盘暂时只支持插在0槽位,有需求正在解决中。
(12)设备扩展槽(槽位1、2)均为低速槽位,低速槽位提供1*GE带宽。设备前面板固定口较多,请优先采用面板口进行配置,如果接口数量仍不能满足使用,再选择配置扩展接口卡。
(13)规格不宣称支持接口NAT,web上不显示,后台不作裁剪。
(14)如果操作系统的邮件协议(如:IMAP/POP/SMTP协议)和对应格式为非MIME格式(Uuencode格式除外),则DPI不支持该种格式的处理。
(16)海尔光bypass卡使用限制:
a.不支持热插拔。
b.不支持检测接口up/down,设备链路down无法切换到bypass卡。
c.不支持设备查看bypass状态,查看指示灯状态或者手动切换只能去机房操作。
d.单卡只能保护一对物理接口链路,无法满足现场聚合口保护,采用双卡规避方案。
e.现场原有版本Release8760P28插上bypass卡设备会循环重启。
(17)RBM使用trackinterface时,不支持和其他RBM联动模块共同配置,如trackvlan、vrrp、trackid、adjustcost。
(18)僵尸网络分析只能读取在trust-untrust域的数据。
(19)主接口和子接口的MAC地址需要保持一致。
(20)用户不支持单独绑定mac场景。
·无
·问题现象:设备异常重启。
·问题产生条件:打入异常报文导致内存被踩。
·问题现象:正反流量未走保持上一跳从同一个接口转发。
·问题产生条件:虚墙等价多出口开启ipv4和ipv6保持上一跳,打AFT流量。
·问题现象:两台设备重启完成后,备设备变成主,原本的主框设备部分接口配置和部分安全域配置丢失。
·问题产生条件:备设备合入堆叠时。
·问题现象:snmpd进程异常退出并生成core文件。
·问题产生条件:模拟发送设备支持的所有snmptrap操作,snmpd进程异常退出并生成core文件。
·问题现象:产生xmlcfgd的core文件。
·问题产生条件:创建防病毒策略,web会下两张表,因为并发问题会导致产生xmlcfgd的core文件。
·问题现象:dpid进程重启。
·问题产生条件:新建审计策略,在删除该审计策略,会导致dpid进程重启。
·问题现象:下一跳地址为必填项,导致实际应用不方便。
·问题产生条件:对于Web界面上出接口为dialer口的静态路由。
·问题现象:无法进行FLOOD拦截。
·问题产生条件:SIPFLOOD针对SIP注册报文,无法进行FLOOD拦截。
·问题现象:设备概率卡死。
·问题产生条件:开启tcp重组后,打入流量。
·问题现象:需要定制copp限速。
·问题产生条件:未定制copp限速。
·问题现象:mime+uuencode特征串存在分包,攻击概率性不识别。
·问题产生条件:mime+uuencode特征串存在分包,攻击概率性不识别。
·问题现象:基于模糊域名的功能不生效,可以通过将模糊域名改成精确域名来规避。
·问题产生条件:设备转发特定异常mime格式报文。
·问题现象:设备web缺少NAT策略联机帮助。
·问题产生条件:T系列设备缺少NAT策略联机帮助。
·问题现象:设备web上无法配置快速接入的路由模式。
·问题产生条件:T系列设备存在此问题。
·问题现象:设备通过web配置接口下vrf失败。
·问题产生条件:设备通过web配置接口下的vrf。
·问题现象:设备存在内存泄漏现象。
·问题产生条件:Web概览中,流量实时应用排行以及流量实时用户排行页面开启实时采集功能后,刷新页面。
·问题现象:存在ntopd内存泄漏。
·问题产生条件:Web流量日志开启日志聚合,打入流量。
·问题现象:影响IPS报文捕获功能。
·问题产生条件:开启IPS白名单开关。
·问题现象:设备下发设备主机配置失败。
·问题产生条件:设备通过RESTFULAPI带format下发日志主机配置。
·问题现象:web上查看该规则卡住,无返回值。
·问题产生条件:策略nat,配置dnat规则引用目的地址对象组,命令行删除dnat动作。
·问题现象:DPI特征库丢失。
·问题产生条件:设备配置堆叠,备设备快重启完成时,重启主设备。
·问题现象:引起内存站岗,导致设备内存门限问题。
·问题产生条件:ntopd频繁申请释放内存。
·问题产生条件:二层接口流量下。
·问题现象:自定义信誉用户态未验证规格上限及IP合法性。
·问题产生条件:自定义信誉用户态未验证是否达到规格上限直接进行了存储;用户态未验证ip合法性。
·问题现象:修改F5080系列设备IPSEC流量基于SPI分流。
·问题产生条件:修改F5080系列设备IPSEC流量基于SPI分流。
·问题现象:vrrp_CLI_MsgProc访问越界。
·问题产生条件:vrrp_CLI_MsgProc访问越界。
·问题现象:ike进程重启异常,需清空ikesa流量才能重新下发。
·问题产生条件:ike进程重启异常,需清空ikesa流量才能重新下发。
·问题现象:PIM组播接收端邻居路由学习vrrp地址异常,流量处理错误。
·问题产生条件:RBM+VRRP+组播+context组合场景下,VRRP备机升主在降备的过程中路由管理删除事件处理有误。
·问题现象:开启虚拟context,出现驱动代码踩内存越界问题。
·问题产生条件:Kasan版本,开启虚拟context。
·问题现象:终端热力图和终端信息表中ip地址/掩码长度侧显示的地址不对,和真实的地址相反。
·问题产生条件:超过3650条会话。
·问题现象:定制模块不存在。
·问题现象:一直报主备地址冲突。
·问题产生条件:VRRP+RBM主备组网F5030设备,配置nat或aft地址组,备机下全局地址管理,由于时序问题偶发设备断电启动后一直报主备地址冲突。
·问题现象:进程重启。
·问题产生条件:DPI嵌套流程中的一个子流程未判空,出现访问空指针。
·问题现象:备机设备与直连地址不通。
·问题产生条件:EVPN组网环境分支irf堆叠,主机和备机各一个物理口分别加入不同的聚合口,聚合口下配置ip后。
·问题现象:对应的主机名称下原有的IP地址残留。
·问题产生条件:不同对象组配置主机名相同的地址对象,匹配dns域名IP解析后,修改对应dnsip地址。
·问题现象:synack报文匹配不上vpn被丢弃。
·问题产生条件:升级后loopback988、987ipv6静态路由下一跳vpn不对。
·问题现象:默认放通DHCP业务。
·问题产生条件:默认放通DHCP业务。
·问题现象:备会话异常删除。
·问题产生条件:RBM双主组网下,发生配置变更。
·问题现象:fastlog内容被DPI识别。
·问题产生条件:旁路组网场景fastlog内容被DPI识别。
·问题现象:支持SD卡可以用来日志存储。
·问题产生条件:支持SD卡可以用来日志存储。
·问题现象:RBM在主上配置完,自动同步给备机之后,自动执行save保存。
·问题产生条件:RBM在主上配置完,自动同步给备机之后,自动执行save保存。
·问题现象:T1028系列设备版本启动后flash无法正常使用。
·问题产生条件:T1028系列设备版本启动后flash无法正常使用。
·问题现象:设备报ntopd进程异常并产生core文件,web界面报操作失败且无法修改其储存上限小于已用空间。
·问题产生条件:Web操作将审计业务已用空间12.4%修改更小数值。
·问题现象:设备打印NQA模块断言信息。
·问题产生条件:删除VLAN接口。
·问题现象:支持上报设备标识devSn,而其上传文件接口和样本请求检测消息均不支持增加设备SN标识。
·问题产生条件:防火墙设备对接云安全能力中心的云沙箱时。
·问题现象:VRRP+RBM主备组网,设备报主备地址冲突。
·问题产生条件:VRRP+RBM主备组网F5030设备,配置nat或aft地址组,备机下全局地址管理,设备断电重启后。
·问题现象:设备概率性异常重启。
·问题现象:修改审计策略的审计类型,修改后返回OK。
·问题产生条件:修改审计策略的审计类型,修改后返回OK,实际配置审计策略后类型是不允许修改的。
·问题现象:数据越界设备重启。
·问题现象:万兆口26~29口上插拔时报“Transceivertypenotsupported!”。
·问题产生条件:10GE电口模块0231AH0W(10G_BASE_T_AN_SFP)在万兆口26~29口上插拔时报“Transceivertypenotsupported!”,现需要支持该模块。
·问题现象:外部bypass功能缺少定制,需要增加。
·问题产生条件:外部bypass功能缺少定制。
·问题产生条件:带硬盘的4G内存设备cache内存占用过大,内存耗尽设备异常重启。
·问题现象:url过滤重定向动作不生效。
·问题产生条件:Referer头域包含需要匹配的url时。
·问题产生条件:跨版本升级走文本配置恢复。
·问题现象:请将设备Web界面设备型号统一改为系列模式。
·问题产生条件:新需求。
·问题现象:2123批次SKYHIGHEMMC存在概率性异常,EMMC会无法正常读写。
·问题产生条件:2123批次SKYHIGHEMMC默认设置为BackgroudAutoScan模式。
·问题现象:命令行挂死。
·问题产生条件:配置地址对象组并在ACL中引用,删除ACL后继续删除地址对象组。
·问题现象:icmp-error的debug不受acl控制直接刷屏。
·问题现象:概率性出现context挂住在STATICRT4/STATICRT6进程20min后才能恢复。
·问题产生条件:context内配置静态路由1k+,聚合子接口1k+,拷机反复启停context。
·问题产生条件:RBM+VRRP三层主备组网,多租户IPv4+IPv6混合流量下。
·问题现象:访问释放后的内存设备进入kdb。
·问题产生条件:RBM+VRRP双主组网,环境中存在分片报文,删除context时会释放根vsys的内存,后面释放分片资源的同时又加了分片统计导致。
·问题现象:通过restful接口,安全策略中无法删除源/目的/服务地址对象组存在问题。
·问题产生条件:通过restful接口,在安全策略中删除源/目的/服务地址对象组存在问题,并请排查安全策略中其他多引用项配置的表。
·问题现象:使用display命令查询关联表时cpu超时,设备重启。
·问题产生条件:配置AFT/NAT业务,打入流量产生大量关联表。
·问题现象:RBM主备组网下,在备设备WEB上点击状态切换,显示的信息有错别字。
·问题产生条件:RBM主备组网下,在备设备WEB上点击状态切换,显示的信息有错别字:此操作会将本端设备升级为运行主,把对端设备将为运行备,是否继续?“将”应为“降”。
·问题现象:web新建NQA,目的ip地址使用非法地址,报错后配置页面销毁。
·问题产生条件:web新建NQA,目的ip地址使用非法地址,报错后配置页面销毁,请保留配置页面。
·问题现象:自定义context名称长度结合报表模板名称长度(如满配),会导致报表自动导出失败。
·问题产生条件:自定义context名称长度结合报表模板名称长度(如满配),会导致报表自动导出失败。
·问题现象:sctp跨框流量不通。
·问题产生条件:sctp跨框流量不通。
·问题产生条件:大量安全策略配置情况下。
·问题现象:策略没有加到策略组里。
·问题产生条件:在一个RPC中下发安全策略组和带有组配置的安全策略,发现策略没有加到策略组里。
·问题现象:删除RBM,日志打印RBM状态切换,建议删除掉这个日志。
·问题产生条件:删除RBM,日志打印RBM状态切换,建议删除掉这个日志。
·问题现象:策略配置界面的查询框限制最大长度为32字符,实际下发查询时并未限制长度。
·问题产生条件:NAT内部服务器-策略配置界面的查询框限制最大长度为32字符,实际下发查询时并未限制长度,请去除长度限制。
·问题现象:按主题进行查询时,导出的是全部日志,未按条件筛选。
·问题产生条件:应用审计邮件日志,按主题进行查询时,导出的是全部日志,未按条件筛选。
·问题现象:rbm一致性检测不通过。
·问题产生条件:acl的rulecomment不支持结尾带空格,导致rbm一致性检测不通过。
·问题现象:产生了core文件。
·问题产生条件:secpd进程重启产生了core文件。
·问题现象:优化内存告警门限。
·问题产生条件:优化内存告警门限。
·问题现象:单机状态下web与命令行实现不一致,建议统一改为提示“心跳断开不支持此操作”。
·问题产生条件:单机状态下命令行执行RBM状态切换操作无提示信息,web提示“请勿在1分钟内重复执行此操作”,web与命令行实现不一致,建议统一改为提示“心跳断开不支持此操作”。
·问题现象:概览一定操作下,偶现返回的模块定制是重复的,导致概览卡死。
·问题产生条件:概览一定操作下,偶现返回的模块定制是重复的,导致概览卡死,web增加规避手段,下发配置之前增加去重处理。
·问题现象:链路流量统计web页面统计异常。
·问题产生条件:链路流量统计web页面统计异常。
·问题现象:自定义context共享口的web上tcpmss的提示范围显示有误,下发的tcpmss,再次编辑不会显示。
·问题产生条件:自定义context共享口的web上tcpmss的提示范围显示有误,下发的tcpmss,再次编辑不会显示。
·问题现象:控制器下发覆盖相同natserver规则命令,下发的命令缺少vrrp配置。
·问题产生条件:vrrp组网下,设备上存在natserver规则命令,控制器需要下发相同的natserver规则命令且需要绑定vrrpid进行覆盖。
·问题现象:natserver命令下发较慢。
·问题产生条件:设备配置3万条的natserver命令。
·问题现象:配置natstatic命令下发较慢。
·问题产生条件:设备配置3万条的natstatic命令。
·问题现象:netconf下发慢,下发400条后速率达到18s/条。
·问题产生条件:设备配置大量的natserver命令,通过netconf接口下发。
·问题现象:设备web概览页面提示储空间达到上限。
·问题产生条件:设备未配置硬盘,设备存放到内存中的ntop日志达到规格。
·问题现象:堆叠融合时备机起不来,报错是objpd进程异常。
·问题产生条件:设备配置中同时存在安全策略和域间引用非首条对象策略,并且对象策略下打开日志开关,重启设备。
·问题现象:设备报bjpd进程一直starting,需要过40多分钟才能启动
·问题产生条件:设备存在大量的域间策略的情况下,整机重启来升级版本,context走文本恢复。
·问题现象:概率出现新增地址(1.1.1.1)这个模糊域对应的地址对象组地址不下内核。
·问题产生条件:在现有模糊域名地址对象组配置下,如果新增地址比已有地址要小(例如:已解析地址2.2.2.2,再新增解析地址1.1.1.1)的情况下。
·问题现象:概率出现源备机中VRRP状态正确,RBM状态为主,但是源主设备VRRP和RBM全部为备状态。
·问题产生条件:VRRP+RBM双主环境,先重启备机后,立马重启主机。
·问题现象:ipv6类型的安全策略会一直停留在请稍后,无法通过web下发该配置。
·问题产生条件:通过web登陆进行访问设备,并编辑ipv6类型的安全策略页面。
·问题现象:ftp数据通道主动模式不通。
·问题产生条件:静态nat转换配置结合Reversible以及ACL匹配情况下,做ftp业务。
·问题现象:设备概率出现DNSsnooping不生效的情况。
·问题产生条件:堆叠环境下,设备配置dnssnoopingenable保存配置,重启设备。
·问题现象:安全策略加速卡在RCU_wait,加速事件堆积,导致安全策略配置变更无法下内核。
·问题产生条件:设备上配置包含有大量域名的对象组,并在安全策略引用,并配置dnsserver。
·问题现象:主会话老化后被删除,备会话一直存在不会同步删除。
·问题产生条件:在去堆叠服务链场景,虚拟ping外网建立会话,主备会话一致,然后删除该服务链。
·规避措施:避免流量下有会话时删除服务链。
·问题现象:上线用户数只有4个。
·问题产生条件:脚本反复使能/去使能MAC认证,Radius方案下满配,测试仪打入4k未知源mac进行MAC认证。
·问题现象:无法发送邮件。
·问题产生条件:邮件服务器中邮件服务器地址配置为域名方式时。
·问题产生条件:插入硬盘,打入源目IP变化数量较多的流量,开启流量日志和会话统计。
·问题现象:后报CLIPlugInlicenseRegisterCmdFailed。
·问题产生条件:IRF主备组网,D060SP18版本ISSU升级到D060SP20版本过程中,从设备更新完版本,主设备执行issurunswitchover主备倒换重启。
·问题产生条件:设备与某短信服务器对接,在SSLVPN网关页面上绑定手机号,点击获取验证码。
·问题产生条件:设备在流量压力下或者反复启停用户自定义Context的场景下。
·问题现象:速率慢,大约3M/s。
·问题产生条件:过设备的HTTP流量下载。
·问题现象:出接口变化且接口所属域也发生变化,且会话上打了NAT标记,出现丢包删会话。
·问题产生条件:NAT和NAT66在出接口会做检查时。
·问题现象:导致占用dbm内存。
·问题产生条件:在用户身份识别导入用户时,一个用户隶属于多个用户组(用户组1、用户组2、用户组3…….)配置中虽然只同步了用户组1,但是设备上会记录下来该用户隶属于的所有用户组的关系。
·问题现象:可能出现读越界,导致设备异常重启。
·问题产生条件:开启DPI功能后,当处理的文件类型发生变化时。
·问题现象:VSYS控制块指针造成了访问越界,空指针保护失效,取到的是随机值,造成内存异常设备重启。
·问题产生条件:VSYS仅支持适配NAT,不支持适配NAT66。
·问题现象:主设备的blade板重启。
·问题产生条件:irf冗余组网,在ipv4、ipv6混合流下,查看ipv4丢包会话时,重启自定义context。
·问题现象:BM线程踩了未初始化的数据导致缺省内产生rbmd的core文件。
·问题产生条件:变更RBM主备组网为RBM双主组网,配置顺序不同则现象不同。
·问题现象:主设备重启。
·问题产生条件:RBM环境下,设备默认开启了丢包会话功能,业务流量下在主设备上反复重启自定义context。
·问题现象:出现RBM角色备往RBM主同步配置的情况。
·问题产生条件:RBM角色主所在的主主控重启后,RBM断开重连。
·问题现象:安全策略会显示重复的两条rule规则。
·问题现象:安全策略dbm数据异常,影响到安全策略配置操作。
·问题产生条件:策略规则下配有Profile,重启设备时,profileID是可能发生变化。
·问题现象:应用分析中心关于流量的统计没数据。
·问题现象:RBM备需要等10秒超时才能升。
·问题产生条件:RBM环境下,将主下电重启后主。
·问题现象:context一直stopping状态。
·问题产生条件:堆叠环境下,用户context下配置大量的域间策略,context走文本恢复,reboot此用户context。
·问题现象:加载系统日志页面慢。
·问题产生条件:设备开启流量日志功能,通过web界面打开设备概览。
·问题现象:工作模式修改不了,提示操作失败。
·问题产生条件:web-网络-接口:编辑接口设置。
·问题现象:无法对黑洞路由进行过滤。
·问题产生条件:使用isis引入直连的方式来发布路由,并配置filter-policyprefix-listisis-prefixexportdirect命令。
·问题现象:黑洞mac功能不生效。
·问题产生条件:使用web进行配置黑洞mac功能。
·问题现象:ping直连下一跳首包丢包
·问题产生条件:RBM+VRRP组网下,ping流量匹配NAToutbound且ping的源地址指定为VRRP虚地址。
·问题现象:web页面上的应用分析中心关于流量的统计没数据
·问题现象:设备挂死;串口无响应,流量不通
·问题产生条件:4.4内核arm64设备运行中
·问题现象:在自定义Context内基于共享口创建的子接口MAC地址全0,报文无法转发。
·问题产生条件:物理口或聚合口共享到用户自定义Context下。
·问题现象:web上获取不到地址组配置,无法进行外联学习。
·问题产生条件:当外联防护学习下发约900条地址组及以上。
·问题现象:打入级别为medium的报文,设备无法识别。
·问题产生条件:配置防病毒检测级别为medium。
·问题产生条件:设备打入不同应用的文件过滤流量。
·问题现象:IPv6的受保护IP列表端口错误。
·问题产生条件:ATK策略配置DNSflood检测端口为非默认端口,加入DNS客户端认证。
·问题现象:独立日志(filter日志),不能够单独查看filter日志。
·问题产生条件:安全策略命中匹配独立日志(filter日志)。
·问题现象:应用分析中心加载慢。
·问题产生条件:应用分析中心加载慢。
·问题现象:预定义分类为空,只有自定义分类。
·问题产生条件:配置url自定义分类并打流匹配,查看url过滤趋势页面的统计条件。
·问题现象:下载失败。
·问题产生条件:导出安全动作告警模板,由于downloadtmp的方式加载路径不是从flash获取。
·问题现象:无法打开新建弹窗。
·问题产生条件:系统-高可靠性-NQA,新建NQA后,再次点击新建。
·问题现象:模块中的数据不再更新。
·问题产生条件:概览页面下对监控模块放大后再还原,点击刷新或者配置自动刷新。
·问题现象:命中详情页面中特征A对应的动作为undefined,不正确。
·问题产生条件:ips策略使能特征A的自定义功能,不配置动作,打入匹配特征A的流量。
·问题现象:业务口不通。
·问题产生条件:堆叠环境,用vlan-interface口做mad检测,堆叠备机的业务口先配置二层,vlan和mad口保持一致,后将业务口切成三层。
·问题现象:未能重新获取配置,必须点击刷新才能显示。
·问题产生条件:RBM备机,下发ipv4代理策略,ipv6代理策略,ipv4选路策略,ipv6选路策略时。
·问题现象:没有显示历史文件列表。
·问题产生条件:系统-高级虚拟化-虚拟设备。
·问题现象:导出报下载文件出错。
·问题产生条件:AV告警模板导出报下载文件。
·问题现象:页面一直处于请稍候状态。
·问题产生条件:web应用防护页面,跨天查询后,先对页面数据进行翻页操作,再进行后一天操作后。
·问题现象:主设备反复重启,且没有重启记录。
·问题产生条件:irf主备组网,自定义context中配置500多条全局nat66策略均引用自定义服务和自定义对象,打入七层持续流量。
·问题现象:修改Userlog为异步方式。
·问题产生条件:修改Userlog为异步方式。
·问题现象:配置日志里新旧配置均为多条,ntop数据库中只存了一条。
·问题产生条件:IPS策略下批量设置规则的严重级别,确定后再修改之前设置过的规则的状态、动作。
·问题现象:ATK/ClientVerify/IPv4TrustClients和ATK/ClientVerify/IPv6TrustClients表get只返回32条数据。
·问题产生条件:信任列表超过32条。
·问题现象:页面挂住。
·问题现象:主备设备重复下地址管理,报地址冲突。
·问题产生条件:VRRP+RBM主备组网,配置nat64类型的地址转换时无VRRP配置。
·问题产生条件:Ntopd进程启动后,rebootslot。
·问题现象:ftp业务不通。
·问题产生条件:升级版本,子会话在dpi处理中匹配安全策略。
·问题现象:页面一直卡在请稍后,只能刷新恢复。
·问题产生条件:打入流量匹配文件过滤,在文件过滤趋势页面查询任意无数据的文件类型。
·问题现象:命中规则了还继续检测。
·问题产生条件:AV配置FTP动作为阻断,设备通过ftpget本地样本。
·问题现象:前端判断ip地址不一致就报冲突导致合法配置下发不了。
·问题产生条件:RADIUS方案的主备服务器后端冲突校验以ip+vpn+port作为索引,但是前端判断ip地址不一致。
·问题现象:ntopd进程异常重启。
·问题产生条件:全局使能traffic-policy。
·问题现象:清除根系统和所有虚拟系统下的统计数据。
·问题产生条件:在根系统或者任意虚拟系统下执行清除IPv6受保护IP统计数据操作。
·问题现象:Userlog遍历接口超时导致触发deadloop重启。
·问题产生条件:irf主备组网,无流量压力下,重启其中一台设备。
·问题现象:文件识别功能不生效。
·问题产生条件:文件过滤功能,因office系列版本更新,导致文档的识别特征有变化,传输对应文件识别功能不生效。
·问题现象:收到双机的邮件告警。
·问题产生条件:RBM双主组网,开启DPI业务支持高可靠性,配置防病毒邮件告警,打病毒流量走一台设备,由于发邮件动作没判断是否是复制报文导致邮件服务器收到双机的邮件告警。
·问题现象:防病毒配置文件web页面异常。
·问题产生条件:防病毒配置文件引用例外自定义引用,删除自定义应用后保存配置重启。
·问题现象:备设备也会重启的现象。
·问题产生条件:用bypass口做堆叠口,会出现重启主设备后,备设备也会重启的现象,需要修改不支持配置bypass口为堆叠口。
·问题现象:报文无法转发。
·问题产生条件:物理口或聚合口共享到用户context下,在用户context内基于共享口创建的子接口MAC地址全0。
·问题现象:误命中url信誉。
·问题产生条件:设备升级官网1.0.70url信誉特征库,打入www.google.com的流量。
·问题现象:查看视图下存在可配置的CC攻击应用命令行,配置后bdr不显示。
·问题产生条件:waf的default策略规定不允许编辑,但查看视图下存在可配置的CC攻击应用命令行,配置后bdr不显示,该命令行请删除。
·问题现象:流量TOP数据存在数据与所在的日表、月表不对应的问题。
·问题产生条件:流量TOP数据存在数据与所在的日表、月表不对应的问题。
·问题产生条件:性能问题,需优化。
·问题现象:没有变动配置文件,却更新了oid节点hh3cCfgRunModifiedLast的值。
·问题现象:内存越界致使进程退出产生scdd的core文件。
·问题产生条件:主备组网配置服务器外联学习后打入流量命中产生地址,点击下拉每页显示50条数据。
·问题现象:输入查询条件获取结果为空,点击确定后报错提示不存在地址,无法下发。
·问题产生条件:地址对象内包含有地址内容。
·问题现象:风险调优的安全策略下的应用无法展开。
·问题产生条件:升级高版本apr特征库,打应用层流量匹配安全策略并生成调优表项,再将特征库降级回低版本。
·问题现象:记录日志选项被遮盖无法选中。
·问题产生条件:编辑url过滤策略,开启url信誉功能。
·问题现象:略调优时出现互相同步,配置循环下发的现象。
·问题产生条件:RBM主备设备的角色均配置为配置主。
·问题现象:无法跳转编辑,提示配置不存在。
·问题产生条件:用户导入策略,引用内容为空的LDAP方案后,点击该方案名称。
·问题现象:DMZ口配置对于绝大数用户没有意义,请去掉配置向导中的DMZ的配置。
·问题产生条件:易用性优化。
·问题现象:安全策略未勾选“启用”是否生效状态也会显示生效。
·问题现象:点击新建,页面无反应。
·问题产生条件:火狐浏览器,安全策略页面。
·问题现象:编辑存在逻辑问题。
·问题产生条件:策略NAT安全域选项框选择多个安全域时。
·问题现象:设备命不中46290规则。
·问题产生条件:BPS测试仪回放46290攻击报文,由于content选项的一个pattern字段被切分在三个报文中。
·问题现象:文件类型组的引用关系不正确,数据过滤也有类似问题。
·问题产生条件:配置文件过滤策略时,新建名称包含大写的文件类型组并引用,配置下发后。
·问题现象:内存泄露。
·问题产生条件:DPI组件异常分支存在内存泄露。
·问题现象:会话列表的应用出现未知应用。
·问题产生条件:会话列表的应用出现未知应用。
·问题现象:DNS解析异常。
·问题产生条件:优化修改APR出厂库。
·问题现象:新款型在后台打开接口NAT。
·问题产生条件:新款型在后台打开接口NAT。
·问题现象:无法应用ASPF自定义策略。
·问题产生条件:新款型设备裁掉了域间策略。
·问题现象:日志中真实源IP检测结果不一致。
·问题产生条件:置真实IP检测,同一条流同时命中IPS特征与WAF特征。
·问题现象:WEB上下发Hybrid类型接口的VLAN有问题,与命令行的实现不一致。
·问题产生条件:WEB上下发Hybrid类型接口的VLAN有问题,与命令行的实现不一致。
·问题现象:非知名端口ftp流量会话处application有误。
·问题产生条件:非知名端口ftp流量会话处application仍为general_tcp。
·问题现象:威胁日志筛选攻击分类后,日志导出显示为0条。
·问题产生条件:威胁日志筛选攻击分类后,日志导出显示。
·问题现象:日志文件中记录的日志总数是实际日志数量的两倍。
·问题产生条件:导出应用审计日志。
·问题现象:生成的四季度报表为空,自定义范围为10月~12月时,报表内容为空。
·问题产生条件:只12月份有数据时,生成的四季度报表为空,报表模板页面手动导出报表时自定义范围为11月~12月,导出的报表正常,自定义范围为10月~12月时,报表内容为空。
·问题现象:沙箱模块的trace打印太频繁。
·问题产生条件:沙箱模块的trace打印。
·问题现象:web下修改portal接口配置后portal无感知认证配置被删除。
·问题产生条件:命令行下配置portal无感知认证并在接口引用。
·问题现象:对象组中有多段地址,no-pat表项备份不全。
·问题产生条件:VRRP+RBM主备组网,配置全局nat44双向转换,源地址池使用对象组。
·问题现象:RBMContext状态peer状态不对,设备不能进行主备切换。
·问题产生条件:创建自定义Context并进行RBM连通后,保存配置进行设备重启。
·问题现象:RBM连接无法建立。
·问题产生条件:配置RBM为双主模式,通道为聚合口。
·问题现象:配置2条easy-ip方式的natserver规则,配置下发过程中会提示配置错误,且这2条规则均不生效,删除第一条后第3条仍不生效。
·问题产生条件:natserver端口映射配置指定IP地址为接口地址的natserver规则。
·问题现象:第二条配置无法下发,但备机却下发了配置。
·问题产生条件:RBM组网,natserver端口映射配置easy-ip方式的natserver规则,再配置指定IP地址为接口地址inside地址相同的natserver规则。
·问题现象:ntopd进程异常退出,生成core文件。
·问题产生条件:背景流量下,MWEB概览页面-流量实时排行中关闭/开启展示实时数据详情功能。
·问题现象:CC攻击防护配置,例外ip地址非法时,下发后后端返回路径不全,导致报错标识出错。
·问题产生条件:CC攻击防护配置,例外ip地址非法时,下发后后端返回路径不全,导致报错标识出错。
·问题现象:日志不能聚合。
·问题产生条件:小端设备自定义用户context下日志。
·问题现象:聚合无法选中该接口,需要手工shut/undoshut才能恢复。
·问题产生条件:聚合成员口加入inline转发后再拿出来。
·问题现象:端口无法up。
·问题产生条件:MarvellPHY88E1680芯片出的所有接口对接交换机时,自协商无法完成。
·问题产生条件:设备配置6万条URL过滤黑名单,重启设备后。
·问题现象:威胁日志动作为重定向,但是产生的僵尸网络日志动作为允许。
·问题产生条件:AV策略配置重定向动作,测试仪打入病毒流量,产生威胁日志。
·问题现象:地址段对象不生效。
·问题产生条件:安全策略引用ipv6全范围。
·问题现象:主设备内存越界或者512字节大小内模块访问释放后内存导致进kdb。
·问题产生条件:irf主备组网,流量下拷机六个小时。
·问题现象:威胁日志加入白名单时要开启白名单并激活一下才能生效,没有提示信息。
·问题产生条件:威胁日志加入白名单时要开启白名单并激活才能生效。
·问题现象:重启堆叠主设备,主设备起来后又deadloop重启。
·问题产生条件:IRF组网下,配置TCP代理、全局nat、应用审计等安全业务,自定义context中打ftp和UDP流量,进行主备倒换。
·问题现象:主设备访问非法地址进kdb。
·问题现象:缺省flash下概率性产生cmtnlmgrd的core文件。
·问题产生条件:IRF主备组网,流量下在自定义context内执行rebootforce。
·问题现象:跨版本间升级聚合配置丢失。
·问题产生条件:web配置日志聚合后。
·问题现象:虚墙内产生AVC的core文件。
·问题产生条件:IRF主备组网,配置大量AVC子策略引用同一条通道,web执行禁用全部,禁用未完成的同时reboot虚墙。
·问题现象:存在修改任意文件下载&删除(严重)漏洞。
·问题产生条件:修改任意文件下载&删除(严重)漏洞。
·问题现象:户context下配置RBM+VRRP组网,配置不回切模式,重启主机,原主机启动并待context启动后,RBM状态回切。
·问题产生条件:户context下配置RBM+VRRP组网,配置不回切模式,重启主机,原主机启动并待context启动后,RBM状态回切。
·问题产生条件:用户context下配置RBM+VRRP组网,配置非抢占模式。
·问题现象:备机会话恢复流程在添加hash时,进行会话查重时,查到小会话当成normal会话使用。
·问题产生条件:机会话恢复流程在添加hash时,进行会话查重时,查到小会话当成normal会话使用。
·问题现象:设备死循环异常重启。
·问题产生条件:设备在持续流量下进行高cpu测试。
无。
首次发布,无问题解决列表。
·H3CSecPathT1000-AI-X5系列入侵防御系统快速安装指南
·H3CSecPathT1000-AI-X5系列防火墙安装指导
·H3CSecPathT1000[T5000][IPS插卡]系列入侵防御系统配置指导(V7)(R8560R8660)
·H3CSecPathT1000[T5000][IPS插卡]系列入侵防御系统命令参考(V7)(R8560R8660)
·H3CSecPath入侵防御系统Web配置指导(V7)(R8X60)
·H3C安全产品日志信息参考(V7)(R8X60R9X60E1185)
附录A本版本支持的软、硬件特性列表
A.1版本硬件特性
表6T1000-AI-25/35、T1000-AK335、T1000-AK345设备系统配置表
描述
外形尺寸(宽×深×高)
(不含脚垫和挂耳)
440mm×435mm×44.2mm
重量(净重)
5.4Kg
接口
1个配置口(CON)
1个管理以太网口
16个千兆电口
4个COMBO口
6个千兆光口
2个万兆光口
2个USB2.0
扩展槽
2个
硬盘扩展槽
支持1个硬盘扩展槽位
内存配置
T1000-AI-25/35、T1000-AK335:4GB
T1000-AK345:8GB
Flash配置
电源
150W
环境温度
·工作:无硬盘0°C~45°C,带硬盘5°C~40°C
·非工作:-40°C~70°C
环境湿度(无冷凝)
·工作:无硬盘5%RH~95%RH,带硬盘10%RH~90%RH
·非工作:5%RH~95%RH
表7T1000-AI-55/65、T1000-AK355设备系统配置表
5.6Kg
1个配置口(RJ45或者MicroUSB)
1个RJ45管理口
2个外置USBhost接口
16个千兆以太电口
4个千兆Combo口
4个千兆以太光口
6个万兆以太光口
2个(slot1为低速槽位、slot2为高速槽位)
支持2个硬盘扩展槽位
A.2版本软件特性
表8产品软件特性
属性
网络安全性
RADIUS
CHAP验证
PAP验证
支持Domain域认证
基础安全访问控制
包过滤
基于安全区域的访问控制
ASPF状态包过滤
支持虚拟IPS
安全管理
攻击实时日志
黑名单日志
会话日志
流量统计和分析功能
安全事件统计功能
DPI深度安全
应用层检测引擎
IPS
URL过滤
数据过滤
文件过滤
防病毒
数据分析中心
代理策略
WAF
API防御
入侵防御系统
全面的网络安全防护能力
实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。
全面、及时的攻击特征库
特征库覆盖全面,包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征
支持零日漏洞
支持自定义Snort特征
提供丰富的响应方式包括源阻断、丢弃、允许、限流、TCPReset、捕获原始报文、重定向、记录日志、告警等
DDOS
DOS/DDOS攻击防范
支持单包攻击包括SYNFlood、UDPFlood、ICMPFlood、ACKFlood、RSTFlood,DNSFlood、HTTPFlood
支持畸形包攻击如:Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文
扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文
静态和动态黑名单功能
连接数限制
内置专业病毒库
支持多种协议上的病毒检测
支持周期及实时病毒库更新
带宽管理
设置上行最大带宽
设置下行最大带宽
设置上行保证带宽
设置下行保证带宽
带宽通道支持父子通道
支持针对接口配置带宽
支持AVC报表与日志(userlog、本地日志、本地报表)
限流、不限流
网络协议
局域网协议
Ethernet_II
VLAN
IP服务
ARP
静态域名解析
IP地址借用
IP路由
静态路由管理
RIP-1/RIP-2
OSPF
路由策略
策略路由
IPv6
IPv6基本协议
协议处理
以太网链路层
ICMPv6
IPv6地址管理
PMTU
Socket
TCP6
UDP6
RAWIP6
Ping6
DNS6
TraceRT6
Telnet6
FIB6
IPv6路由及组播
RIPng
OSPFv3
静态路由
IPv6安全
IPv6PacketFilter
Radius
网络可靠性
VRRP
IRF
IRF堆叠
双机热备
会话热备
配置同步
配置管理
命令行接口
通过Console口进行本地配置
通过Telnet或SSH进行本地或远程配置
详尽的调试信息,帮助诊断网络故障
提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常
FTPServer/Client,可以使用FTP下载、上载配置文件和应用程序
支持TFTP上传下载文件
支持日志功能
文件系统管理
Web网管接口
支持Web管理员的超时下线
支持通过Web方式进行设备管理、设备监控、防火墙策略配置等功能
支持标准网管SNMPV3,并且兼容SNMPV2C、SNMPV1
附录B修复的安全漏洞
B.1R9660P51及以前版本修复的安全漏洞
libssh2输入验证错误漏洞libssh2是一款实现SSH2协议的客户端C库,它能够执行远程命令、文件传输,同时为远程的程序提供安全的传输通道。
TCP/IPSYN+FIN包过滤漏洞,远程主机不会丢弃设置了FIN标志的TCPSYN数据包。根据您使用的防火墙类型,攻击者可能会使用此漏洞绕过其规则。
CVE-2019-548:Linuxkernel信息泄露漏洞。
javascript框架库漏洞和目标URL存在内部IP地址泄露漏洞。
netkittelnet是一款使用在Linux平台中的telnet客户端程序。该程序主要用于使用TELNET协议与另一个主机进行交互通信。Netkittelnet0.17及之前版本中的telnetd的utility.c文件存在缓冲区错误漏洞。远程攻击者可利用该漏洞执行任意代码。
Web漏扫发现js的中微漏洞。
SSLVPNWeb页面存在CSRF漏洞。
通过调用OPTIONS方法,可以确定每个目录上允许哪些HTTP方法。
当发送HTTP请求中包含Cookie信息,且Cookie中包含domain是一个设备上配置的domain值,或者请求为GET/enterdomain.cgidomain=%0d%0aSomeCustomInjectedHeader:%0d%0aset
-cookie:iamyyHTTP1/1时,触发CRLF注入漏洞。
攻击者可利用该漏洞获取敏感信息。
攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。
源于crypto/ec/ecdsa_ossl.c文件的‘ecdsa_sign_setup()’函数未能正确的设置BN_FLG_CONSTTIME标识。本地攻击者利用该漏洞实施cache-timing攻击,获取ECDSAP-256私钥。
漏洞源于使用递归过度的恶意输入,构造的ASN.1类型可造成栈溢出,导致拒绝服务攻击。
攻击者可利用该漏洞绕过访问限制,获取敏感信息。
生成算法存在安全漏洞。攻击者可利用该漏洞实施时序攻击,恢复私钥。
攻击者可利用该漏洞造成拒绝服务(挂起)。
OpenSSL存在安全漏洞,攻击者可利用该漏洞绕过安全保护。
OpenSSL存在的一个本地信息泄露漏洞,本地攻击者可以利用该漏洞获取敏感信息,这可能有助于进一步的攻击。
内核SSL没有处理关闭SSL重协商字段,导致ssl客户端可以重协商成功。
修复OpenSSL存在的安全漏洞:OpenSSL在处理EDIPartyName(X.509GeneralName类型)时,使用的函数GENERAL_NAME_cmp中存在一处空指针取消引用,当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞。
修复OpenSSLBN_mod_sqrt拒绝服务漏洞:证书解析使用的BN_mod_sqrt()函数存在一个错误,它会导致在非质数的情况下永远循环。通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。易受攻击的情况如下:使用服务器证书的TLS客户端;使用客户端证书的TLS服务器;托管服务提供商从客户处获取证书或私钥;证书颁发机构解析来自订阅者的认证请求;任何其他解析ASN.1椭圆曲线参数的程序。
修复OpenSSLSM2解密缓冲区溢出漏洞,该漏洞由于OpenSSL解密SM2加密数据时调用API函数EVP_PKEY_decrypt,其计算缓冲区大小存在错误导致导致缓冲区溢出。
修复OpenSSLASN.1strings读取缓冲区溢出漏洞,该漏洞由于OpenSSL用于存储ASN.1字符串的结构ASN_1_String在创建是没有严格遵守字符串的Null字节结尾,在打印时可能发生读取缓冲区溢出。
Comware系统处理flag参数时会根据用户提供的字符串长度将数据拷贝到栈缓冲区,没有合理限制拷贝长度,存在栈溢出漏洞,攻击者多次触发此漏洞最终将导致web管理不可用,造成拒绝服务攻击。
附录C软件升级操作指导
·各款型产品软件升级方法相同,请根据本章描述的方法进行操作。
·各款型产品的默认存储介质可能存在差异,本章以CF卡为例进行介绍。
·软件升级过程中的显示信息与设备的版本及型号有关,具体显示信息请以实际情况为准。
·在软件升级过程中,禁止关闭电源或重启设备。
C.1设备软件简介
设备软件主要包括Bootware程序和启动软件包。
·Bootware文件对存储器进行容量检查和测试,初始化硬件并显示设备的硬件参数。
·启动文件一方面提供对主要部件的硬件驱动和适配功能,另一方面实现对业务特性的支持。
C.1.1BootWare程序
设备开机最先运行的程序是BootWare程序,它能够引导硬件启动、引导启动软件包运行、提供BootWare菜单功能。BootWare程序存储在设备的BootWare(芯片)中。完整的BootWare包含BootWare基本段和BootWare扩展段。
·BootWare基本段是指完成系统基本初始化的BootWare。
·BootWare扩展段具有丰富的人机交互功能,用于接口的初始化,可以实现升级应用程序和引导系统。
通常情况下,BootWare文件是一个后缀名为.btw的文件(例如:main.btw)。
C.1.2启动软件包
1.启动软件包的分类
启动软件包是用于引导设备启动的程序文件,按其功能可以分为以下几类:
·Boot软件包(简称Boot包):包含Linux内核程序,提供进程管理、内存管理、文件系统管理、应急Shell等功能。
·System软件包(简称System包):包含Comware内核和基本功能模块的程序,比如设备管理、接口管理、配置管理和路由模块等。
·Feature软件包(简称Feature包):用于业务定制的程序,能够提供更丰富的业务。一个Feature包可能包含一种或多种业务。是否支持Feature包以及支持哪些Feature包与设备的型号有关,请以设备的实际情况为准。
·Patch软件包(简称补丁包):用来修复设备软件缺陷的程序文件。补丁包与软件版本一一对应,补丁包只能修复与其对应的启动软件包的缺陷,不涉及功能的添加和删除。
设备必须具有Boot包和System包才能正常运行,Feature包可以根据用户需要选择安装,补丁包只在需要修复设备软件缺陷时安装。
启动软件包有以下两种发布形式:
·BIN文件:后缀为.bin的文件。一个BIN文件就是一个启动软件包。要升级的BIN文件之间版本必须兼容才能升级成功。
·IPE(ImagePackageEnvelope,复合软件包套件)文件:后缀为.ipe的文件。它是多个软件包的集合,产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户将该IPE文件加载到设备后,设备会自动将它解压缩成多个BIN文件。用户再使用这些BIN文件升级设备即可,从而能够减少启动软件包之间的版本管理问题。
用户在配置设备下次启动使用的软件包时,需要指定软件包的名称,以及软件包的主用/备用属性。
·设备会将所有具有主用属性的软件包的名称存储在主用启动软件包列表中,将所有具有备用属性的软件包的名称存储在备用启动软件包列表中。
·当设备启动时,优先使用主用启动软件包列表中的软件包,如果主用启动软件包列表中软件包不存在或者不可用,再使用备用启动软件包列表中的软件包。
C.1.3配置文件简介
配置文件是用来保存配置的文件。配置文件主要用于:
·将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。
·使用配置文件,用户可以非常方便地查阅配置信息。
设备缺省的配置文件名为startup.cfg。
C.2软件升级方式简介
表9软件升级方式简介
升级对象
升级方式
升级启动文件
通过Web升级启动文件
通过命令行升级启动文件
通过BootWare菜单升级启动文件
·升级设备的启动文件或BootWare文件后,需要重新启动该设备,在重启过程中,设备的各项业务功能将不可用
·由于不同软件版本之间配置文件信息不兼容,会造成升级后设备的配置与升级前不相同,请您仔细查阅相应章节内容,以便确认待升级版本的特性变更情况
通过BootWare菜单升级BootWare文件
通过命令行升级BootWare文件
·进行软件升级前请确认需要使用的启动软件包版本及BootWare版本,确保使用正确的升级文件。
·下文中的举例仅做参考,设备的显示信息请以实际情况为准。
C.2.1升级前的准备
·TFTP/FTPServer由用户自己购买和安装,设备不附带此软件。
·为了保险起见,在配置主用下次启动软件包/IPE文件时,建议将主用下次启动软件包/IPE文件进行备份,再将备份文件设置为备用下次启动软件包/IPE文件。
TFTP(TrivialFileTransferProtocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。设备作为TFTPClient,文件服务器(通常为PC)作为TFTPServer,用户通过在终端输入相应命令,可将本设备的启动文件上传到文件服务器上,或者从文件服务器下载启动文件到设备中。
FTP(FileTransferProtocol,文件传输协议)在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输。设备作为FTPClient,文件服务器(通常为PC)为FTPServer。
在升级设备启动文件前,请完成如下准备工作:
·在设备出厂前,已配置接口GigabitEthernet1/0/0的IP地址为192.168.0.1/24。此接口已被加入Management安全域,且安全域Management和Local之间可以互通。
·管理员也可以根据实际网络需求,自定义用于软件升级的安全域和接口IP地址,并正确配置安全域间实例以保证所配置的安全域与Local安全域之间可以互通。有关安全域和安全域间实例的详细介绍请参见“基础配置指导”中的“安全域”。用户需配置文件服务器IP地址,确保设备与文件服务器路由可达。
·开启文件服务器的TFTP/FTPServer功能。
·将设备的升级启动文件拷贝到文件服务器上,并正确设置TFTP/FTPServer的访问路径。
C.2.2设备升级环境
下文中所有的软件升级配置举例,组网的具体环境如下:
·设备与PC之间采用直连方式进行连接,PC作为TFTP/FTP的服务器端,设备作为TFTP/FTP的客户端。
·PC通过以太网双绞线连接到设备的GE1/0/0接口。
·首先将配置电缆的RJ-45插头插入设备的Console口,再将配置电缆DB-9(孔)插头插入PC机(或终端)的串口插座上。
·使用设备的出厂配置进行软件升级。
PC的IP地址为192.168.0.2,子网掩码为255.255.255.0。
C.3升级启动文件
实际使用时,请根据启动文件的实际文件名称进行配置。
C.3.1通过Web升级启动文件
通过Web升级启动文件,可以采用以下方式:
·通过上传.bin文件的方式升级设备
·通过上传.ipe文件的方式升级设备
设备支持Web网管功能,管理员可以使用Web界面方便直观地管理、维护和升级。
默认配置
用户名
admin
密码
接口GigabitEthernet1/0/0的IP地址
192.168.0.1/24
各产品的默认管理接口请以实际情况为准,本章验证设备的管理口为GigabitEthernet1/0/0。
(1)连接设备和PC
用以太网线将PC和设备的以太网口相连,建议连在以太网管理口。
(2)为PC配置IP地址,确保能与设备互通
修改IP地址为192.168.0.0/24(除192.168.0.1)子网内任意地址,例如192.168.0.2。
(4)选择“系统>升级中心>软件更新”,进入如下图所示的页面。
(5)单击<立即升级>按钮,弹出立即升级配置页面,启动文件类型选择“bin”类型,如图C-1所示。
图C-1升级系统软件
(6)点击“自动删除当前所有启动文件”选项,删除当前所有启动文件。删除完成后,选择待升级的启动文件。
·如果bin文件大于磁盘剩余空间,建议勾选“自动删除当前所有启动文件”选项,删除当前所有启动文件。
·设备在没有任何启动文件的情况下,无法进行重启操作。
图C-2删除当前所有启动文件
(7)单击<确定>按钮开始进行软件升级。
图C-3选择待升级的启动文件
(5)单击<立即升级>按钮,弹出立即升级配置页面,如下图所示。
图1升级系统软件
(6)选择待升级的启动文件。
单击<确定>按钮开始进行软件升级。
C.3.2通过命令行升级启动文件
通过命令行升级启动文件,可以采用以下方式:
·使用TFTP协议升级设备的启动文件
·使用FTP协议升级设备的启动文件
1.使用TFTP协议升级设备的启动文件
设备作为TFTPClient,访问TFTP文件服务器的指定路径,完成启动文件的备份与升级操作,
具体操作步骤如下:
(1)备份当前启动文件和配置文件
#在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
Thecurrentconfigurationwillbewrittentothedevice.Areyousure[Y/N]:y
Pleaseinputthefilename(*.cfg)[cfa0:/startup.cfg]
(Toleavetheexistingfilenameunchanged,presstheenterkey):
cfa0:/startup.cfgexists,overwrite[Y/N]:y
Validatingfile.Pleasewait...
Savedthecurrentconfigurationtomainboarddevicesuccessfully.
#在命令行配置界面的用户视图下,执行dir命令查看设备当前的文件系统,确认启动文件及配置文件名,以及CF的剩余空间,保证CF有足够空间放入新的启动文件:
Directoryofcfa0:
0drw--Jul06201715:04:22context
1drw--Jul05201710:01:40diagfile
2drw--Jul05201710:36:20dpi
3-rw-735Jul05201710:01:48hostkey
4-rw-735Jul05201709:24:34hostkey_v3
5-rw-805Nov27201719:50:26ifindex.dat
6drw--Nov27201719:40:15license
7drw--Jul06201710:27:44logfile
8drw--Nov27201719:40:32pki
9-rw-1676Jul05201709:40:20private-data.txt
10drw--Jul05201709:24:26seclog
11-rw-591Nov27201719:40:32serverkey
12-rw-3928Nov27201719:50:27startup.cfg
13-rw-77641Nov27201719:50:27startup.mdb
14drw--Nov27201719:40:27versionInfo
252164KBtotal(146614KBfree)
#在命令行配置界面的用户视图下,执行tftpput命令分别将配置文件startup.cfg备份到TFTP文件服务器上:
PressCTRL+Ctoabort.
%Total%Received%XferdAverageSpeedTimeTimeTimeCurrent
DloadUploadTotalSpentLeftSpeed
10039500010039500204k--:--:----:--:----:--:--642k
(2)升级启动文件
本节中,以即将升级的启动文件main.ipe,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
#在命令行配置界面的用户视图下,执行tftpget命令将启动文件main.ipe导入到设备的CF中:
100102M100102M00461k00:03:480:03:48--:--:--554k
Writingfile...Done.
#在命令行配置界面的用户视图下,执行boot-loader命令设置设备下次启动使用的启动文件为main.ipe,并指定启动文件类型为main:
Verifyingthefilecfa0:/main.ipeonslot1.........Done.
H3CSecPathimagesinIPE:
main-cmw710-boot-XXX.bin
main-cmw710-system-XXX.bin
Thiscommandwillsetthemainstartupsoftwareimages.Pleasedonotrebootany
MPUduringtheupgrade.Continue[Y/N]:y
Addimagestoslot1.
Filecfa0:/main-cmw710-boot-XXX.binalreadyexistsonslot1.
Filecfa0:/main-cmw710-system-XXX.binalreadyexistsonslot1.
Overwritetheexistingfiles[Y/N]:y
Decompressingfilemain-cmw710-boot-XXX.bintocfa0:/main-cmw710-bo
ot-XXX.bin..........Done.
Decompressingfilemain-cmw710-system-XXX.bintocfa0:/main-cmw710-
system-XXX.bin.............................................................
................................................................................
...............................Done.
Verifyingthefilecfa0:/main-cmw710-boot-XXX.binonslot1...Done.
Verifyingthefilecfa0:/main-cmw710-system-XXX.binonslot1.........D
one.
Theimagesthathavepassedallexaminationswillbeusedasthemainstartupso
ftwareimagesatthenextrebootonslot1.
Decompressioncompleted.
Doyouwanttodeletecfa0:/main.ipenow[Y/N]:N
#在命令行配置界面的用户视图下,执行displayboot-loader命令查看设备的启动程序文件信息:
Softwareimagesonslot1:
Currentsoftwareimages:
cfa0:/main-cmw710-boot-XXX.bin
cfa0:/main-cmw710-system-XXX.bin
Mainstartupsoftwareimages:
Backupstartupsoftwareimages:
#在命令行配置界面的用户视图下,执行reboot命令重启设备:
Starttocheckconfigurationwithnextstartupconfigurationfile,pleasewait.
........DONE!
Thiscommandwillrebootthedevice.Continue[Y/N]:y
Systemisstarting...
……略……
#设备重启后,通过displayversion命令查看设备的启动文件版本信息是否与升级的启动文件一致。
H3CComwareSoftware,Version7.1.064,ReleaseXXX
H3CSecPathuptimeis0weeks,0days,0hours,21minutes
Lastrebootreason:Warmreboot
Bootimage:cfa0:/main-cmw710-boot-XXX.bin
Bootimageversion:7.1.064,ReleaseXXX
CompiledNov10201716:00:00
Systemimage:cfa0:/main-cmw710-system-XXX.bin
Systemimageversion:7.1.064,ReleaseXXX
DDR3SDRAMMemory16382Mbytes
CF0Card247Mbytes
CPLD_AVersion:1.0
ReleaseVersion:SecPathXXX
BasicBootWareVersion:2.05
ExtendBootWareVersion:2.05
2.使用FTP协议升级设备的启动文件
设备作为FTPClient,访问FTP文件服务器的指定路径,完成启动文件的备份及升级操作,具体操作步骤如下:
在文件服务器上启动FTPServer程序,设置启动文件所在的路径,以及FTP用户名和密码。本例设置用户名为user123,密码为123456。
Connectedto192.168.0.2(192.168.0.2).
2203Com3CDaemonFTPServerVersion2.0
User(192.168.0.2:(none)):user123
331Usernameok,needpassword
Password:
230Userloggedin
RemotesystemtypeisUNIX.
Usingbinarymodetotransferfiles.
ftp>
#在FTP客户端视图下,执行put命令分别将配置文件startup.cfg备份到FTP文件服务器上:
ftp>putstartup.cfg
227Enteringpassivemode(192,168,0,2,26,3)
125Usingexistingdataconnection
.
226Closingdataconnection;Filetransfersuccessful.
3950bytessentin0.001seconds(4.13Mbytes/s)
#在FTP客户端视图下,执行get命令将启动文件main.ipe导入到设备的CF中:
ftp>getmain.ipe
227Enteringpassivemode(192,168,0,2,8,252)
107934720bytesreceivedin187.994seconds(560.68Kbytes/s)
#在FTP客户端视图下,执行quit命令,返回到命令行配置界面的用户视图:
ftp>quit
221Serviceclosingcontrolconnection
Decompressingfilemain-cmw710-system-XXX.bintocfa0:/main-cmw710-system-XXX.bin.............................................................
Softwareimagesonslot2:
如上显示信息中,下一次启动的程序文件已经设置为main.ipe。
#设备重启后,通过displayversion命令查看设备的启动文件版本信息是否与升级的启动文件一致
C.3.3通过BootWare菜单升级启动文件
通过BootWare菜单升级启动文件,可以采用以下方式:
·通过管理用以太网口利用TFTP升级启动文件
·通过管理用以太网口利用FTP升级启动文件
有关BootWare的详细介绍请参考附录D进入BootWare菜单。
(1)在PC上运行TFTPServer程序,并指定下载程序的文件路径。
==========================
|Note:theoperatingdeviceissda0|
|<1>DownloadImageProgramToSDRAMAndRun|
|<2>UpdateMainImageFile|
|<3>UpdateBackupImageFile|
|<4>DownloadFiles(*.*)|
|<5>ModifyEthernetParameter|
|<0>ExitToMainMenu|
|
============================================================================
Enteryourchoice(0-5):
在设置参数时,直接输入新的参数即可;不输入参数,直接回车则不做修改,保留原有参数。
终端显示如下:
======================
|Note:'.'=Clearfield.|
|'-'=Gotopreviousfield.|
|Ctrl+D=Quit.|
Protocol(FTPorTFTP):tftp
LoadFileName:main.ipe
TargetFileName:main.ipe
ServerIPAddress:192.168.0.2
LocalIPAddress:192.168.0.1
SubnetMask:255.255.255.0
GatewayIPAddress:0.0.0.0
表11设置以太网口参数显示信息描述表
显示信息
'.'=Clearfield
在菜单项中键入“.”表示清除当前输入
'-'=Gotopreviousfield
在菜单项中键入“-”表示返回到前一个参数域
Ctrl+D=Quit
快捷键
Protocol(FTPorTFTP)
选择通过FTP/TFTP升级启动文件
LoadFileName
下载文件的名称,要与下载的文件名一致
TargetFileName
下载到设备后的目标文件名,文件的后缀需要和下载文件的后缀保持一致
ServerIPAddress
FTP/TFTP服务器的IP地址
LocalIPAddress
设备IP地址
SubnetMask
设备子网掩码
GatewayIPAddress
网关IP地址,如果设备与下载文件所在PC不在同一个网段中,需要配置网关IP地址
(3)根据所需升级的启动文件类型在以太网口子菜单中键入2或3,选择升级主用启动文件、备用启动文件。此处以升级主用启动文件为例。在以太网口子菜单中键入<2>,终端显示如下信息:
Loading.....................................................................
............................................................................
.........................Done!
94786560bytesdownloaded!
Imagefilemain-cmw710-boot-XXX.binisself-decompressing...
Savingfilesda0:/main-cmw710-boot-XXX.bin......Done.
Imagefilemain-cmw710-system-XXX.binisself-decompressing...
Savingfilesda0:/main-cmw710-system-XXX.bin.......................
..................Done..
(4)升级成功后,在以太网口子菜单中键入<0>,返回到BootWare扩展段主菜单,然后键入<1>,继续启动设备。
Protocol(FTPorTFTP):ftp
FTPUserName:admin
FTPUserPassword:******
表12设置以太网口参数显示信息描述表
FTPUserName
FTP用户名
FTPUserPassword
FTP下载密码
(5)根据所需升级的启动文件类型在以太网口子菜单中键入2或3,选择升级主用启动文件、备用启动文件。此处以升级主用启动文件为例。在以太网口子菜单中键入<2>,终端显示如下信息:
..................Done.
升级成功后,在以太网口子菜单中键入<0>,返回到BootWare扩展段主菜单,然后键入<1>,继续启动设备。
C.4升级BootWare文件
BootWare文件(.btw文件)是否和启动文件(.ipe文件)打包,与设备发布的版本有关,请和H3C技术支持人员确认后再执行相应的升级操作。本节仅介绍通过命令行和BootWare菜单单独升级BootWare文件的过程。
C.4.1通过命令行升级BootWare文件
请按以下步骤升级BootWare文件:
(1)使用FTP或者TFTP,将BootWare文件拷贝到设备存储介质的根目录下。
(2)使用bootromupdate升级BootWare文件:
Thiscommandwillupdatebootromfile,Continue[Y/N]:y
Nowupdatingbootrom,pleasewait...
Updatingbasicbootrom!
Updatebasicbootromsuccess!
Updatingextendedbootrom!
Updateextendedbootromsuccess!
Updatebootromsuccess!
(3)执行reboot命令重启设备。
C.4.2通过BootWare菜单升级BootWare文件
通过BootWare菜单升级BootWare,可以采用以下方式:
111.通过管理用以太网口利用TFTP升级BootWare
2.通过管理用以太网口利用FTP升级BootWare
有关BootWare的详细介绍请参考附录D进入BootWare菜单
=========================
|<1>BackupFullBootWare|
|<2>RestoreFullBootWare|
|<3>UpdateBootWareBySerial|
|<4>UpdateBootWareByEthernet|
Enteryourchoice(0-4):
(3)在BootWare操作子菜单中,键入<4>,进入通过以太网口升级BootWare子菜单。终端显示如下:
===================
|<1>UpdateFullBootWare|
|<2>UpdateExtendedBootWare|
|<3>UpdateBasicBootWare|
|<4>ModifyEthernetParameter|
==========================
LoadFileName:main.btw
:
TargetFileName:main.btw
表13设置以太网口参数显示信息描述表
选择通过FTP/TFTP升级BootWare
子网掩码
(6)根据所需升级的BootWare类型在通过以太网口升级BootWare子菜单中键入1~3,选择升级完整BootWare、扩展BootWare或者基本BootWare。此处以升级完整BootWare为例。在通过以太网口升级BootWare子菜单中键入<1>,终端显示如下信息:
Loading..............Done.
64245bytesdownloaded!
UpdatingBasicBootWare[Y/N]
(7)键入
UpdatingBasicBootWare........Done.
UpdatingExtendedBootWare[Y/N]
(8)键入
UpdatingExtendedBootWare.........Done!
(9)BootWare升级成功后,在通过以太网口升级BootWare子菜单中键入<0>,返回到BootWare操作子菜单,再键入<0>,返回到BootWare主菜单。
(10)在BootWare主菜单中键入<0>,重新启动设备。
表14设置以太网口参数显示信息描述表
(6)根据所需升级的BootWare类型在以太网口子菜单中键入1~3,选择升级完整BootWare、扩展BootWare或者基本BootWare。此处以升级完整BootWare为例。在以太网口子菜单中键入<1>,终端显示如下信息:
Loading.......Done.
UpdatingExtendedBootWare.........Done.
(9)BootWare升级成功后,在通过以太网口升级BootWare子菜单中键入<0>,返回到BootWare操作子菜单,再键入<0>,返回到BootWare扩展段主菜单。
C.5软件升级失败的处理
升级失败后,系统会使用原来的版本运行。用户可以通过以下方式尝试解决软件升级失败问题。
(1)请检查物理接口是否连接完好,请确保接口物理连接正确,并观察指示灯是否正常。
(3)查看超级终端上的显示信息,请检查是否有输入错误等。可能出现的输入错误如下:
·利用Xmodem协议下载时,如果选择了9600bps以外的波特率进行下载,没有及时修改超级终端的波特率。超级终端的波特率和Console口的波特率必须保持一致;
·在使用TFTP协议进行软件升级时,输入的IP地址、文件名称或指定的TFTPServer的工作路径有误;
·在使用FTP协议进行软件升级时,输入的IP地址、文件名称、指定的FTPServer的工作路径、FTP用户名或FTP密码有误。
(5)请检查设备CF的剩余空间大小是否足够保存待下载的文件。
(6)如果文件在加载结束后出现如下提示:Somethingiswrongwiththefile.请检查文件是否可用。
附录D进入BootWare菜单
D.1BootWare菜单的快捷键
为便于用户对常用功能进行快捷操作,系统提供了一些快捷键供用户使用。只要用户按下某个快捷键,系统即可执行对应的BootWare操作。
表15系统保留的快捷键
快捷键
BootWare中所在提示信息
对应功能
PressCtrl+DtoaccessBASIC-BOOTWAREMENU
设备启动时进入BootWare基本段
表示退出参数设置页面
PressCtrl+Ttostartmemorytest
在BootWare基本段键入时进行内存测试
AccessBASICASSISTANTMENU
在BootWare基本段键入时进入基本段辅助子菜单
accessEXTENDED-BOOTWAREMENU
设备启动时进入BootWare扩展段
PleaseStartToTransferFile,Press
停止并退出文件加载操作
Info:PressCtrl+CtoabortorreturntoEXTENDED-ASSISTANTMENU
中止或返回扩展段辅助子菜单
Ctrl+F:FormatFileSystem
在BootWare扩展段键入时进行格式化当前操作的储存介质
MemoryTest(pressCtrl+Ctoskipit,pressCtrl+EtoECHOINFO)
打印测试过程信息
Ctrl+Z:AccessEXTENDEDASSISTANTMENU
在扩展段键入时可以进入扩展段辅助子菜单
D.2进入BootWare基本段
设备上电后,内存、串口和Sda0依次启动,当设备显示信息中出现“PressCtrl+DtoaccessBASIC-BOOTWAREMENU”时,键入
出现“PressCtrl+DtoaccessBASIC-BOOTWAREMENU”的4秒钟之内,键入
·如果用户想进入基本段但没有及时键入
·如果用户在4秒内没有键入
======================
|<1>ModifySerialInterfaceParameter|
|<3>UpdateFullBootWare|
|<4>BootExtendedBootWare|
|<5>BootBackupExtendedBootWare|
|<0>Reboot|
Ctrl+U:AccessBASICASSISTANTMENU
表16BootWare基本段菜单项说明
菜单项
含义
<1>ModifySerialInterfaceParameter
修改串口参数
具体请参见D.2.1
<2>UpdateExtendedBootWare
升级BootWare扩展段
具体请参见D.2.2
<3>UpdateFullBootWare
升级完整的BootWare,包括基本段、扩展段
具体请参见D.2.3
<4>BootExtendedBootWare
启动BootWare扩展段
具体请参见D.2.4
<5>BootBackupExtendedBootWare
启动备份的BootWare扩展段
具体请参见D.2.5
<0>Reboot
重启设备
-
进入基本段辅助子菜单
具体请参见D.2.6
D.2.1修改串口参数
在BootWare基本段菜单项中选择<1>,回车确认后,可以根据需要设置串口波特率(设备上的串口就是Console口,默认波特率是9600bps)。
Enteryourchoice(0-5):1
===============================
|Note:'*'indicatesthecurrentbaudrate|
|ChangeTheHyperTerminal'sBaudrateAccordingly|
|---------------------------
|<1>9600(Default)*|
|<2>19200|
|<3>38400|
|<4>57600|
|<5>115200|
|<0>Exit|
D.2.2升级BootWare扩展段
在BootWare基本段菜单项中选择<2>,回车确认后,将仅升级BootWare扩展段。
Enteryourchoice(0-5):2
PleaseStartToTransferFile,Press
Waiting...CCC
D.2.3升级完整的BootWare
在BootWare基本段菜单项中选择<3>,回车确认后,将升级完整的BootWare。
Enteryourchoice(0-5):3
D.2.4启动BootWare扩展段
在BootWare基本段菜单项中选择<4>,回车确认后,设备将启动BootWare扩展段。
Enteryourchoice(0-5):4
BootingNormalExtendedBootWare.
TheExtendedBootWareisself-decompressing....Done.
****************************************************************************
**
*H3CSecPathBootWare,Version1.05*
CompiledDate:Aug312017
MemoryType:DDR3SDRAM
MemorySize:16384MB
Sda0Size:8MB
sda0Size:3728MB
CPLDVersion:1.0
PCBVersion:Ver.B
BootWareValidating...
PressCtrl+BtoaccessEXTENDED-BOOTWAREMENU...
Loadingthemainimagefiles...
Loadingfilesda0:/Main-CMW710-SYSTEM-XXX.bin.......................
...........................Done.
Imagefilesda0:/Main-CMW710-BOOT-XXX.binisself-decompressing......
.................................................Done.
Systemimageisstarting...
D.2.5启动备份的BootWare扩展段
在BootWare基本段菜单项中选择<5>,回车确认后,设备将启动备份的BootWare扩展段。BootWare的备份操作可以参见D.4.9BootWare操作子菜单。
Enteryourchoice(0-5):5
BootingBackupExtendedBootWare.
TheExtendedBootWareisself-decompressing............................Done!
密码恢复功能处于开启状态时,不支持此选项。关于CLI中密码恢复功能的具体配置,参见D.4.2配置密码恢复功能。
D.2.6进入基本段辅助子菜单
在BootWare基本段菜单中,键入
===========================
|<1>RAMTest|
Enteryourchoice(0-1):
表17BootWare基本段辅助子菜单说明
<1>RAMTest
内存测试
<0>ExitToMainMenu
返回BootWare基本段菜单
D.3进行内存测试
当显示信息出现“PressCtrl+Ttostartmemorytest”时,在4秒之内键入
在执行内存测试前,请先咨询H3C技术支持人员,在其正确的指导下进行操作。
D.4进入BootWare扩展段
D.4.1BootWare扩展段主菜单
设备上电后,如果未选择进入基本段,则设备会直接运行BootWare扩展段程序,当显示信息出现“PressCtrl+BtoaccessEXTENDED-BOOTWAREMENU...”时,键入
PressCtrl+DtoaccessBASIC-BOOTWAREMENU...
PressCtrl+Ttostartheavymemorytest..
BootingNormalExtendedBootWare
Passwordrecoverycapabilityisenabled.
Note:Thecurrentoperatingdeviceissda0
Enter
·出现“PressCtrl+BtoaccessEXTENDED-BOOTWAREMENU...”的5秒钟之内,键入
·如果用户想进入扩展段但没有及时键入
·如果用户在5秒内没有键入
键入
==========================
|<1>BootSystem|
|<2>EnterSerialSubMenu|
|<3>EnterEthernetSubMenu|
|<4>FileControl|
|<5>RestoretoFactoryDefaultConfiguration|
|<6>SkipCurrentSystemConfiguration|
|<7>BootWareOperationMenu|
|<8>SkipAuthenticationforConsoleLogin|
|<9>StorageDeviceOperation|
Enteryourchoice(0-9):
该菜单各选项含义如表18所示:
表18BootWare扩展段主菜单说明
·Passwordrecoverycapabilityisenabled
·Passwordrecoverycapabilityisdisabled.
BootWare扩展段菜单首行信息,通过此信息可确认密码恢复功能所处的开启/关闭状态(扩展段主/子菜单中一些选项的配置与当前设备上是否开启密码恢复功能的配置有关,关于CLI中密码恢复功能的具体配置,参见D.4.2配置密码恢复功能):
·Passwordrecoverycapabilityisenabled:密码恢复功能处于开启状态可以选择跳过Console口认证密码,跳过配置文件选项。
·Passwordrecoverycapabilityisdisabled:密码恢复功能处于关闭状态可以选择恢复出厂配置选项。
密码恢复功能对BootWare扩展段的具体影响,请参见D.4.2配置密码恢复功能
<1>BootSystem
继续启动设备
<2>EnterSerialSubMenu
进入串口子菜单,详细描述请参见D.4.4
<3>EnterEthernetSubMenu
进入以太网口子菜单(通过以太网口子菜单可以实现利用FTP/TFTP协议升级启动文件等操作),详细描述请参见D.4.5
<4>FileControl
进入文件控制子菜单(通过文件控制子菜单可以实现显示文件、设置文件类型、删除文件等操作),详细描述请参见D.4.6
<5>RestoretoFactoryDefaultConfiguration
恢复设备出厂配置(系统会恢复出厂设置并以空配置启动),详细描述请参见D.4.7
·密码恢复功能处于开启状态时,不支持此选项
·密码恢复功能处于关闭状态时,支持此选项
<6>SkipCurrentSystemConfiguration
跳过当前配置文件,详细描述请参见D.4.8
·密码恢复功能处于开启状态时,支持此选项
·密码恢复功能处于关闭状态时,不支持此选项
<7>BootWareOperationMenu
进入BootWare操作子菜单(在BootWare操作子菜单中可以备份、升级和恢复BootWare),详细描述请参见D.4.9
<8>SkipAuthenticationforConsoleLogin
跳过串口认证功能,详细描述请参见D.4.10
<9>StorageDeviceOperation
进入扩展段辅助子菜单,详细描述请参见D.4.12
格式化文件系统,详细描述请参见D.4.13
重新启动设备
D.4.2配置密码恢复功能
在丢失密码的情况下,可通过如下操作进入BootWare扩展段菜单:
·通过Console口连接设备、并对设备进行断电重启。
·在设备启动过程中,根据提示按
·当用户丢失Console口认证密码时,可以选择跳过Console口认证或者跳过配置文件选项来进入CLI命令行。
·当用户忘记用户级别切换密码时,可以选择恢复设备的出厂配置或者跳过配置文件来进入CLI命令行。
密码恢复功能的开启/关闭会影响BootWare菜单选项:
·当密码恢复功能处于开启状态可以选择跳过Console口认证,跳过配置文件;
·当密码恢复功能处于关闭状态可以选择恢复出厂配置。
密码恢复功能的配置请参考表19。
表19配置密码恢复功能
操作
命令
进入系统视图
system-view
开启密码恢复功能
password-recoveryenable
可选
缺省情况下,密码恢复功能处于开启状态
关闭密码恢复功能
undopassword-recoveryenable
在使用配置密码恢复功能时,建议用户使用配套的启动文件和BootWare程序,以免出现版本不兼容问题。
D.4.3启动应用程序
在BootWare扩展段主菜单项中选择<1>,回车确认后,系统启动应用程序进入命令行界面。
Enteryourchoice(0-9):1
Loadingfilecfa0:/main-cmw710-system-XXX.bin.........................
.....................................................Done.
Loadingfilecfa0:/main-cmw710-boot-XXX.bin...........................
...................................Done.
Imagefilecfa0:/main-cmw710-boot-XXX.binisself-decompressing.......
........Done.
D.4.4串口子菜单
在BootWare扩展段主菜单中选择<2>,回车确认后,进入串口子菜单。
Enteryourchoice(0-9):2
===========================
|<5>ModifySerialInterfaceParameter|
该菜单各选项含义如表20所示:
表20串口子菜单说明
<1>DownloadImageProgramToSDRAMAndRun
加载启动文件到SDRAM并运行(关闭密码恢复功能后不支持该操作)
<2>UpdateMainImageFile
升级主用启动文件(新加载的程序文件将自动被设置为Main属性,原带有Main属性的程序文件中的该属性将被取消)
<3>UpdateBackupImageFile
升级备用启动文件(新加载的程序文件将自动被设置为backup属性,原带有backup属性的程序文件中的该属性将被取消)
<4>DownloadFiles(*.*)
将文件服务器上文件下载到设备
<5>ModifySerialInterfaceParameter
修改串口参数(设备串口的默认波特率是9600bps。用户修改了Console口波特率后,到下次重启时,又会重新恢复到默认波特率9600bps)
返回BootWare扩展段主菜单
D.4.5以太网配置子菜单
在BootWare扩展段主菜单中选择<3>,回车确认后,进入以太网配置子菜单。在此菜单中用户可以设置通过以太网口进行软件升级加载时采用文件传输协议(FTP/TFTP)进行文件升级、TFTP/FTP服务器的IP地址、本地IP地址、网关IP地址等内容。
Enteryourchoice(0-9):3
该菜单各选项含义如表21所示:
表21以太网配置子菜单说明
升级备份启动文件
<5>ModifyEthernetParameter
修改以太网口参数(具体界面信息及含义,见下文)
若操作主控板文件下载,请选择<4>,回车确认后,进入以太网口参数修改界面。
Enteryourchoice(0-4):4
======================
===========================================================================
表22以太网口参数设置说明
显示
快捷键:“.”表示清除该项设置
快捷键:“-”表示返回到上一个设置项
快捷键:
使用的传输协议,可以为FTP或者TFTP
下载文件名,要与下载的实际文件名一致
存储的目标文件名。缺省情况下与服务器端文件名一致
TFTP/FTP服务器的IP地址(需要设置掩码时,请使用冒号“:”隔开,如:192.168.0.2:24)
本地IP地址,为TFTP/FTP客户端设置的IP地址
网关IP地址,当与服务器不在同一网段时需要配置网关地址
FTP用户名,传输协议为TFTP时,无此选项
FTP用户密码,传输协议为TFTP时,无此选项
D.4.6文件控制子菜单
在BootWare扩展段主菜单中选择<4>,回车确认后,进入文件控制子菜单。在文件控制子菜单中,可以进行显示文件、设置文件类型、删除文件等操作。
Enteryourchoice(0-9):4
===============================
|Note:theoperatingdeviceiscfa0|
|<1>DisplayAllFile(s)|
|<2>SetImageFiletype|
|<3>SetBinFiletype|
|<4>SetConfigurationFiletype|
|<5>DeleteFile|
该菜单各选项含义如表23所示:
表23文件控制子菜单说明
<1>DisplayAllFile(s)
显示所有文件
<2>SetImageFiletype
设置启动文件类型
<3>SetBinFiletype
设置bin启动文件类型
<4>SetConfigurationFiletype
设置配置文件类型
<5>DeleteFile
删除文件
1.显示所有文件
在文件控制子菜单下键入<1>,进入文件属性显示界面。
Displayallfile(s)incfa0:
'M'=MAIN'B'=BACKUP'N/A'=NOTASSIGNED
|NO.Size(B)TimeTypeName|
|1956Jan/21/201917:59:34N/Acfa0:/ifindex.dat|
|224671Mar/28/201809:08:56N/Acfa0:/wdydiudie.cfg|
|3735Mar/28/201809:18:22N/Acfa0:/hostkey|
|4116549Oct/09/201713:51:02N/Acfa0:/lwb-t5k.cfg|
|5963Mar/27/201815:24:12N/Acfa0:/license/history/deviceid_2|0180327152412.did|
|6965Mar/27/201815:24:12N/Acfa0:/license/210235a1rsh164000006.did|
|73237Dec/25/201715:14:54N/Acfa0:/license/ngips2017122515235923325.ak|
|83249Apr/16/201816:40:28N/Acfa0:/license/ngips2018041616523608292.ak|
|95331968Aug/15/201710:30:04N/Acfa0:/.trash/main-cmw710-boot-XXX.bin|
|102056192Aug/12/201718:05:54N/Acfa0:/.trash/main-cmw710-devkit-XXX.bin|
|11103891968Aug/15/201713:07:04N/Acfa0:/.trash/main-cmw710-system-XXX.bin_|
|0Exit|
2.设置启动文件类型
在文件控制子菜单下键入<2>,进入设置启动文件类型显示界面。
|1123384832Jan/21/201917:20:04N/Acfa0:/main.ipe|
输入文件的编号选择待设置的启动文件,这里以选择编号为1的文件为例,键入数字1,终端显示信息如下:
EnterfileNo.:1
Modifythefileattribute:
|<1>+Main|
|<2>+Backup|
Enteryourchoice(0-2):
输入文件类型的编号选择待设置的类型,这里设置为main属性为例,键入数字1,终端显示信息如下:
Enteryourchoice(0-2):1
Thisoperationmaytakeseveralminutes.Pleasewait....
Thefileisexist,willyouoverwriteit[Y/N]Y
Savingfilecfa0:/main-cmw710-boot-XXX.bin........................
.................Done.
Savingfilecfa0:/main-cmw710-system-XXX.bin......................
.....................................................................Done.
Setthefileattributesuccess!
3.设置bin启动文件类型
在文件控制子菜单下键入<3>,进入设置启动文件类型显示界面。
|15331968Aug/15/201710:30:04N/Acfa0:/.trash/main-cmw710-boot-XXX.bin|
|2103891968Aug/15/201713:07:04N/Acfa0:/.trash/main-cmw710-system-XXX.bin|
|32056192Aug/12/201718:05:54N/Acfa0:/.trash/main-cmw710-devkit-XXX.bin|
Note:Select.binfiles.Onebutonlyonebootimageandsystemimagemust
beincluded.
EnterfileNo.(Allowsmultipleselection):1
EnteranotherfileNo.(0-Finishchoice):2
EnteranotherfileNo.(0-Finishchoice):0
Youhaveselected:
4.删除文件
在文件控制子菜单下键入<5>,进入文件删除界面。
Deletingthefileincfa0:
EnterfileNo.:
输入文件编号选择待删除的文件,这里以删除编号为2的文件为例,键入数字2,终端显示信息如下:
Thefileyouselectedissda0:/test.cfg,Deleteit[Y/N]
键入
Deleting.....Done!
D.4.7恢复出厂配置启动
选择该选项并重启设备后,设备会先自动删除下次启动配置文件和备份启动配置文件,再以出厂配置启动:
·开启密码恢复功能后不支持该操作。
·关闭密码恢复功能后执行该操作,会删除设备存储介质中指定的下次启动配置文件和备份启动配置文件。为了设备的安全,建议关闭密码恢复功能,这样可以有效地防止非法用户获取启动配置文件。
(1)密码恢复功能处于开启状态时
当设备密码恢复功能处于开启状态时,在BootWare扩展段主菜单中选择<5>、回车确认后,系统会提示需要关闭密码恢复功能才能恢复设备的出厂配置。
Enteryourchoice(0-9):5
Passwordrecoverycapabilityisenabled.Toperformthisoperation,firstdisablethepasswordrecoverycapabilityusingtheundopassword-recoveryenablecommandinCLI.
(2)密码恢复功能处于关闭状态时
当设备密码恢复功能处于关闭状态时,在BootWare扩展段主菜单中选择<5>、回车确认后,系统会恢复出厂设置并以空配置启动。
Becausethepasswordrecoverycapabilityisdisabled,thisoperationcancausetheconfigurationfilestobedeleted,andthesystemwillstartupwithfactorydefaults.Areyousuretocontinue[Y/N]Y
Setting...Done.
D.4.8忽略系统配置文件
关闭密码恢复功能后不支持该操作。
当设备密码恢复功能处于开启状态时,在BootWare扩展段主菜单中选择<6>、回车确认后,设备下次加载主机软件时会忽略配置文件中的所有配置以出厂配置进行启动(该选项每次设置后仅生效一次)。
Enteryourchoice(0-9):6
FlagSetSuccess.
当设备密码恢复功能处于关闭状态时,在BootWare扩展段主菜单中选择<6>、回车确认后,系统会提示需要开启密码恢复功能,才能设置下次启动时忽略配置文件中的所有配置。
Passwordrecoverycapabilityisdisabled.Toperformthisoperation,firstenablethepasswordrecoverycapabilityusingthepassword-recoveryenablecommandinCLI.
D.4.9BootWare操作子菜单
在BootWare扩展段主菜单中选择<7>,回车确认后,进入BootWare操作子菜单。
Enteryourchoice(0-9):7
该菜单各选项含义如表24所示:
表24BootWare操作子菜单说明
<1>BackupFullBootWare
备份完整BootWare
<2>RestoreFullBootWare
恢复完整BootWare
<3>UpdateBootWareBySerial
通过串口升级BootWare
<4>UpdateBootWareByEthernet
通过以太网口升级BootWare
D.4.10跳过console口认证
在BootWare扩展段主菜单中选择<8>,回车确认后,系统将跳过Console口认证,选择该选项并重启设备后,设备将以下次启动配置文件启动,但会跳过Console口认证密码,即让配置的Console口认证密码在启动时不生效。
·关闭密码恢复功能后不支持该操作。
Enteryourchoice(0-9):8
当设备密码恢复功能处于开启状态时,在BootWare扩展段主菜单中选择<8>、回车确认后,系统将清除设备上用户级别切换的密码。
ClearImagePasswordSuccess!
当设备密码恢复功能处于关闭状态时,在BootWare扩展段主菜单中选择<8>、回车确认后,系统会提示需要开启密码恢复功能,才能清除设备上用户级别切换的密码。
D.4.11存储器操作子菜单
在BootWare扩展段主菜单中选择<9>,回车确认后,进入存储器操作子菜单。
Enteryourchoice(0-9):9
==============================
|<1>DisplayAllAvailableNonvolatileStorageDevice(s)|
|<2>SetTheOperatingDevice|
|<3>SetTheDefaultBootDevice|
Enteryourchoice(0-3):
该菜单各选项含义如表25所示:
表25存储器操作子菜单说明
<1>DisplayAllAvailableNonvolatileStorageDevice(s)
显示所有可用的非易失性存储器件
<2>SetTheOperatingDevice
设置当前读写操作所用存储器件
<3>SetTheDefaultBootDevice
设置默认启动存储器件
返回BootWare主菜单
D.4.12进入BootWare扩展段辅助子菜单
在BootWare扩展段主菜单中,键入
==========================
|<1>DisplayMemory|
|<2>SearchMemory|
表26扩展段辅助子菜单说明
<1>DisplayMemory
查看设备指定的内存信息
<2>SearchMemory
可以搜索用户指定内容的内存信息
D.4.13格式化文件系统
在BootWare扩展段主菜单中,键入
Warning:Allfilesonsda0willbelost!Areyousuretoformat[Y/N]
格式化操作将导致存储介质上的所有文件丢失,并且不可恢复,请谨慎使用。
本网站软件下载使用须知:
1.任何从本网站下载的软件都是H3C公司受著作权保护的产品。
2.使用软件必须受最终用户许可协议的条款的约束,该许可协议随软件附上或包含在软件中。
3.除非最终用户首先同意许可协议的条款,否则不能安装任何附有或内含许可协议的软件。
4.软件仅供最终用户根据许可协议的规定下载使用。
5.最终用户在用下载软件进行升级及使用的过程中,应严格遵守操作指导书,对于未按指导书而引起的问题,责任由使用者自负。
6.对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止,并可导致严重的民事及刑事处罚。