• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Service/Document_Software/Software_Download/IP_Security/ACG/H3C_SecPath_ACG1000/202110/1477002_30005_0.htm

H3C SecPath ACG1000-IMW110-R6611 版本软件及说明书 (仅支持2GB及以上内存硬件款型,更低版本须先升级至本版本后再继续升级至新版本)

H3C SecPath ACG1000-IMW110-R6611 版本软件及说明书 (仅支持2GB及以上内存硬件款型,更低版本须先升级至本版本后再继续升级至新版本)

2021/1/1 0:00:00


下载:

H3C SecPathACG1000-IMW110-R6611 版本说明书

 

1 版本信息·· 1

1.1 版本号·· 1

1.2 历史版本信息·· 1

1.3 版本配套表·· 2

1.4 版本升级注意事项·· 3

2 硬件特性变更说明·· 3

3 软件特性及命令行变更说明·· 3

4 MIB变更说明·· 4

5 操作方式变更说明·· 4

6 版本使用限制及注意事项·· 4

7 存在问题与规避措施·· 7

8 解决问题列表·· 9

8.1 SecPathACG1000-IMW110-R6611版本解决问题列表·· 9

8.2 SecPathACG1000-IMW110-F6610P03版本解决问题列表·· 10

8.3 SecPathACG1000-IMW110-F6610P02版本解决问题列表·· 11

8.4 SecPathACG1000-IMW110-F6610P01版本解决问题列表·· 12

8.5 SecPathACG1000-IMW110-F6610版本解决问题列表·· 13

8.6 SecPathACG1000-IMW110-R6609P06版本解决问题列表·· 13

8.7 SecPathACG1000-IMW110-R6609P02版本解决问题列表·· 14

8.8 SecPathACG1000-IMW110-R6609版本解决问题列表·· 15

8.9 SecPathACG1000-IMW110-F6608P01版本解决问题列表·· 16

8.10 SecPathACG1000-IMW110-F6608版本解决问题列表·· 16

8.11 SecPathACG1000-IMW110-R6606P08版本解决问题列表·· 16

8.12 SecPathACG1000-IMW110-R6606P07版本解决问题列表·· 17

8.13 SecPathACG1000-IMW110-R6606P06版本解决问题列表·· 18

8.14 SecPathACG1000-IMW110-R6606P05版本解决问题列表·· 18

8.15 SecPathACG1000-IMW110-R6606P04版本解决问题列表·· 19

8.16 SecPathACG1000-IMW110-R6606P03版本解决问题列表·· 19

8.17 SecPathACG1000-IMW110-R6606P02版本解决问题列表·· 19

8.18 SecPathACG1000-IMW110-R6606P01版本解决问题列表·· 20

8.19 SecPathACG1000-IMW110-R6606版本解决问题列表·· 20

8.20 SecPathACG1000-IMW110-R6605P03版本解决问题列表·· 21

8.21 SecPathACG1000-IMW110-R6605P02版本解决问题列表·· 21

8.22 SecPathACG1000-IMW110-R6605P01版本解决问题列表·· 21

8.23 SecPathACG1000-IMW110-R6605版本解决问题列表·· 21

8.24 SecPathACG1000-IMW110-R6604P01版本解决问题列表·· 23

8.25 SecPathACG1000-IMW110-R6604版本解决问题列表·· 24

8.26 SecPathACG1000-IMW110-F6603P03版本解决问题列表·· 25

8.27 SecPathACG1000-IMW110-F6603P02版本解决问题列表·· 25

8.28 SecPathACG1000-IMW110-R6603P01版本解决问题列表·· 26

8.29 SecPathACG1000-IMW110-R6603版本解决问题列表·· 27

8.30 SecPathACG1000-IMW110-E6602版本解决问题列表·· 28

9 相关资料·· 28

9.1 相关资料清单·· 28

9.2 资料获取方式·· 28

10 技术支持·· 29

附录 B 本版本支持的软、硬件特性列表·· 30

B.1 版本硬件特性·· 30

B.2 版本软件特性·· 33

附录 C 版本升级操作指导·· 37

C.1 设备软件简介·· 37

C.1.1 启动文件简介·· 37

C.1.2 配置文件·· 37

C.2 软件升级方式简介·· 37

C.3 升级前的准备·· 37

C.4 升级启动文件·· 38

C.4.1 通过命令行升级启动文件·· 38

C.4.2 通过Web升级启动文件·· 42

C.4.3 通过MenuBoot菜单升级启动文件·· 43

C.4.4 升级时间·· 45

C.5 软件升级失败的处理·· 45



本文介绍了SecPathACG1000-IMW110-R6611版本的特性、使用限制、存在问题及规避措施等,在加载版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。

本文档需和本文“相关资料”中的文档一起配合使用。

版本信息

1.1  版本号

版本号: i-Ware software,Version 1.10,Release 6611

注:该版本号可在任何视图下执行display version命令查看。

1.2  历史版本信息

表1 历史版本信息表

版本号

基础版本号

发布日期

版本类型

备注

R6611

F6610P03

2019-11-18

正式版本

解决问题

F6610P03

F6610P02

2019-10-15

正式版本

解决问题:解决非经上报导致设备频繁重启;HA主备透明模式部署,接口状态无法同步等问题

F6610P02

F6610P01

2019-08-15

正式版本

解决问题:解决无法直接跳转到Manager问题、解决HA主备系统配置显示不同步问题等

F6610P01

F6610

2019-07-25

正式版本

新增安全云联动特性、修复遗留问题

F6610

R6609P06

2019-05-14

特性版本

新增特性

R6609P06

R6609P02

2018-12-11

正式版本

解决问题:修复漏洞;解决LADP同步导致设备重启问题;解决GRE配置失效问题等

R6609P02

R6609

2018-09-17

正式版本

解决问题:修复任子行、中科新业、恒邦三家厂商的非经日志无法显示问题;超MTU值的非IP报文导致串联ACG设备出现延迟与丢包

R6609

F6608P01

2018-07-16

正式版本

解决问题;新增支持型号

F6608P01

F6608

2018/05/31

特性版本

解决问题

F6608

R6606

2018/01/24

特性版本

新增特性

R6606P08

R6606P07

2017/12/28

补丁版本

解决问题

R6606P07

R6606P06

2017/11/29

补丁版本

解决问题:未开启免认证时可绕过;QOS模式下支持流保序

R6606P06

R6606P05

2017/9/21

补丁版本

解决问题:snmp/ssh攻击导致内存耗尽问题等

R6606P05

R6606P04

2017/7/21

补丁版本

解决问题:支持保序功能,避免访问某些网站页面异常;某些特定环境下系统异常问题

R6606P04

R6606P03

2017/5/30

补丁版本

公司更名,支持新型号ACG1010-X1/ACG1030-X1/ACG1050-X1

R6606P03

R6606P02

2017/3/30

补丁版本

修改问题:ALG FTP映射网络不通问题

R6606P02

R6606P01

2016/12/12

补丁版本

 

R6606P01

R6606

2016/10/25

补丁版本

 

R6606

R6605P03

2016/7/5

正式版本

 

R6605P03

R6605P02

2016/5/24

补丁版本

 

R6605P02

R6605P01

2016/3/18

补丁版本

 

R6605P01

R6605

2015/12/31

补丁版本

 

R6605

R6604P01

2015/12/2

正式版本

 

R6604P01

R6604

2015/7/29

补丁版本

 

R6604

R6603P03

2015/6/16

正式版本

 

F6603P03

F6603P02

2015/4/27

特性版本

修复本地认证用户修改用户密码可控性bug

F6603P02

R6603P01

2015/3/5

特性版本

 

R6603P01

R6603

2015/2/3

补丁版本

本地Web认证、审计功能性能优化

R6603

Ess 6602

2014/12/26

正式版本

Release版本

Ess 6602

首次发布

2014/10/20

ESS版本

 

1.3  版本配套表

注意

在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。

 

表2 版本配套表

产品系列

H3C SecPath ACG1000系列

 

型号

ACG1000-SE-PWR

ACG1000-SE

ACG1030-X1

ACG1050-X1

ACG1000-AK230

ACG1000-AK240

ACG1000-AK250

ACG1000-AK260

ACG1000-TE

ACG1000-ME

ACG1060-X1

ACG1070-X1

ACG1000-C9130

ACG1000-C9150

ACG1000-C9160

ACG1000-AK215

ACG1000-AK225

ACG1000-AK255

ACG1000-AK265

ACG1000-AK270

ACG1000-AK280

ACG1000-AE

ACG1000-C9170

ACG1000-AK275

ACG1000-PE

ACG1000-EE

ACG1000-AK285

ACG1000-XE1

 

内存

2GB

4GB

8GB

16GB

目标文件名称

SecPathACG1000-IMW110-R6611.BIN

 

日志分析与管理平台版本号

 

备注

 

 

1.4  版本升级注意事项

版本升级前需备份原有配置文件,版本回退需清除配置导入原有配置文件即可。其他升级事项请参考章节6 版本使用限制及注意事项

硬件特性变更说明

软件特性及命令行变更说明

MIB变更说明

操作方式变更说明

版本使用限制及注意事项

1. R6609P06及以前版本升级到F6610及之后版本注意事项

·              R6609P06及以前版本升级到F6610及之后版本,其中IPv4策略模块配置为审计时,子策略中应用审计、url审计,恶意站点兼容为IPv4控制策略和IPv4审计策略,其中关键字支持配置所有应用且为阻断的兼容,升级后审计对象兼容为全部。

·              R6609P06及以前版本升级到F6610及之后版本,由于数据库表重新创建会丢失当天的审计日志、无线非经日志,升级版本之后新产生日志正常,因此为减少影响建议版本凌晨升级。

·              首次由R6609系列版本升级至F6610及之后版本时,为保证兼容性,特征库自动升级;后续继续升级F6610及之后版本,则不会更新原有版本特征库,需要手动升级或开启特征库自动升级。

·              R6609P06及以前版本升级到F6610及之后版本,特征库会变为F6610及之后版本带的特征库,F6610及之后版本回退R6609P06及以前版本的时候,特征库会变为R6609P06版本及以前版本的特征库,但特征库版本号仍显示为F6610及之后的版本号。

·              不适配Manager R0304及之前版本。

2. AK280E6401P01及以前版本升级到F6608及以上版本时万兆接口ID发生变动,需要重新对万兆口进行相关配置。

   ACG1000-AK280E6401P01及之前版本中万兆口IDXGE0/XGE1,为与设备外观丝印保持一致,F6608及以上版本中万兆口IDXGE0/XGE1改为XGE24/XGE25,新版本升级时会造成万兆口配置无法同步。可通过两种方式处理:

a.   在升级前,将配置文件导出,将XGE0关键字替换为XGE24,将XGE1关键字替换为XGE25,之后保存配置,当设备升级后重新导入配置文件即可。

b.    若未能及时保存配置文件,升级新版本后,可将万兆口相关配置重新配置。

3. 版本升级到F6608及以上版本时非经版本不需要清数据库,但需要注意如下事项

·              由于F6607F6608及以上版本非经日志字段有较大差别,升级后会重新生成新表,丢失当天的表,这样就会导致当天的审计日志丢失,但不会影响之前的老数据,所以升级时建议在凌晨12点后进行,将影响降到最低。

·              不带非经功能的版本可直接升级到F6608及以上版本,不需要清库,但建议在凌晨12点后进行,因为当天的表会重建,导致丢失当天的审计日志。

4. 默认情况下,设备对每秒产生的其他应用类日志存在阈值限制

默认情况下,设备对每秒产生的IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、命令日志和其他应用日志存在如下的阈值限制:

·               ACG1000-SE-PWR ACG1000-ME/ACG1000-TE/ACG1060-X1/ ACG1000-C9130/ ACG1000-C9150/ ACG1000-C9160每秒25条。

·               ACG1000-AK230/ ACG1000-AK240/ ACG1000-AK250/ ACG1000-AK260/ ACG1000-AK270/ ACG1000-AE/ACG1070-X1/ ACG1000-C9170/ ACG1000-AK215/ ACG1000-AK225/ ACG1000-AK255/ ACG1000-AK265/ ACG1000-AK275/ ACG1000-AK285/每秒50条。

·              ACG1000-AK280/ ACG1000-AK285/ACG1000-EE/ACG1000-PE/ACG1000-XE1每秒100条。

5. 基于MAC策略转发限制

对于基于MAC的转发策略,只支持PC与设备直连的组网(其中可以有二层交换机)。

6. 用户导入限制

大批量用户导入时,导入操作会消耗大量的CPU资源,CPU资源无法满足时会导致其他进程无法响应现象。

7. 三权分立功能限制

三权分立模式下,权限管理员给系统管理员分配权限,默认为只读权限。可勾全选框,给系统管理员分配读写功能。

8. 报文分片无法达到QoS限制最大带宽

出接口MTU1500时,报文不需要分片,可以达到最大限制带宽;若自定义MTU小于1500,则由于分片导致QoS限制可能会出现未达到最大限制带宽。尽量避免报文分片场景。

9. ACG1000第三方认证每秒超过20用户同时登录,认证延时较大,性能较低

由于PHP性能导致RADIUSLDAP第三方认证每秒超过20个用户同时登录认证时延约为5秒。当有大量用户上线场景时建议选用iMC或本地认证方式。

10. ACG1000设备应用流量统计有时为空

在大流量系统负荷满的情况下,详细应用流量统计中,有些应用统计会出现统计为空的情况,影响查看应用流量统计中的应用及对应的用户信息。

11. HA功能使用限制及注意事项

·              HA环境下,不支持同步应用/用户流量统计,当HA设备切换后,不能看到原有的应用/用户流量统计数据。

·              HA主备同步时无法同步Web Portal自定义配置。

·              HA主主模式,同时配置监控地址同步和地址探测,接口down掉恢复正常后,主主状态不能恢复到正常状态,建议在HA主主模式避免配置地址探测,不影响业务使用。

12. 微信连wifi功能使用限制及注意事项

·              微信认证一台设备下只支持一个SSID,暂不支持多个SSID

·              微信公众号包含服务号、订阅号、企业号,微信连wifi功能支持订阅号和服务号,目前企业号本身没有微信连wifi功能。

·              若使用订阅号进行微信认证,PC在进行微信认证的时候,由于订阅号限制,手机微信扫描PC Portal页面上的二维码会提示未注册的情况,此情况跟微信更新有关,有时候不存在此限制。

·              微信认证用户IP必须在用户识别范围中,否则无法唤醒微信;因为在微信认证用户上线之前,终端会发送一个放通流量的报文给设备,设备根据此报文的五元组来确定用户IP,若用户IP不在识别范围内,设备IP在识别范围内则会导致设备的IP被识别成用户IP,终端流量不能放通,则无法唤起微信。

·              设备上的SSID是可选配置,可以为空,如果要设置,就一定要跟微信公众上号设置的SSID保持一致,否则可能导致微信公众号提示未注册的情况。

·              ACG下联设备为二层设备时,认证用户的网关不能是二层设备上的VLAN接口的IP地址,否则在ACG会出现用户MAC来回切换,一会是二层设备VLAN接口的MAC 一会是用户的真实MAC,导致不能唤起微信或认证成功后很快被踢下线。

·              微信认证支持手机扫描商户二维码自动连接SSID,有些IOS扫码后可直接根据页面提示跳转到设置里,有些IOS则需要手动进到设置中配置,此为IOS限制,一般安卓手机无此限制。

·              部分安卓手机弹出Portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,此时请更换浏览器尝试,如果能自动跳转,则忽略提示信息。

13. 流量劫持功能使用限制及注意事项

·              不支持HTTPS

·              自定义广告定义暂不支持ha同步,如HA切换后需要重新配置流量劫持。

·              自定义广告配置仅可由WEB界面来配置。

·              广告推送域名白名单仅支持命令行配置。

·              流量劫持广告弹出与出口网速带宽、广告过滤软件等都关,网速慢的情况下图片加载慢。

·              一个网页多个跳转后广告无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入;302跳转的情况可以处理。

·              网站弹出广告页面显示不完全受网速等条件限制,如广告弹出较慢刷新页面或者等待页面加载完全后,广告可以显示。

·              个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱);这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置。建议,在域名白名单排除掉该网站。

·              广告Server IP务必保证全网用户可达,否则无法进行广告推送。

·              一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个。建议:此类网站加入域名白名单排除掉该网站。

·              广告不弹出的情况下开启debug http hijack查看HTTP请求是否匹配到流量劫持。

14. 防共享上网存在误识别情况,难以保证100%识别

15. ACG1000-SEACG1000-SE-PWR中,Combo口的光口和电口先连接的接口UP,请避免Combo口同时连接电口和光口

16. 启用QOS保序功能后,无法完全杜绝QOS乱序现象,可能导致偶尔出现下载慢现象

17. IPSEC性能低

18. 日志导出功能有规格限制,日志量较大时使用受限,只能导出最多25万条日志;

19. 不同用户登录同一台域内测试PC,在线用户只显示一个账号

20. 导入配置文件后,需要重启生效,在重启前请勿点击配置保存,否则当前配置文件就会覆盖导入的配置文件,重启后仍是原配置

21. 设备开启实时保存后使用限制

新设备不建议开启实时保存后,由于开启后频繁快速操作或者配合HA使用时对设备资源消耗过大,可能存在以下现象:

(1)      SNMP用户同步过程中,连续生成2次录入用户任务,第一次的用户录入大概率无法同步到备设备;

(2)      IPv4控制策略引用一条空的url对象,然后在url对象页面添加内容,概率出现引用关系消失;

(3)      在自动保存配置的过程中,同时删除多个用户,提示信息有误等问题。

如果开启了实时保存,需要在每次执行完配置后等待1-2分钟,设备完全保存好配置后再进行相关的操作。

22. 使用Manager R0304配合F6610及之后版本使用时,不支持策略(审计/控制)下发,策略管理相关功能无效,其他功能验证可正常使用。

23. 与云运维管理平台联动时,支持在云运维平台上查看ACG设备监控的设备信息、性能状态、设备状态;支持事件与告警;支持图形化web反向链接;支持版本管理、license管理、配置管理。

存在问题与规避措施

1. 特定顺序下配置IPv4策略,可以配置应用策略为空的IPv4策略

·              问题现象:先正常配置一条IPv4策略后,点击修改策略,将应用策略删除后,点击取消,会出现应用策略为空的IPv4策略。

·              规避措施:无。

2. 配置接口状态探测后,若与地址探测的接口为同一个接口,无法通过shutdown/no shutdown恢复接口状态

·              问题现象:配置接口状态探测后,如果该接口与地址探测的接口为同一个接口,则对接口进行shutdown操作后,无法通过no shutdown来恢复接口。

·              规避措施:可通过删除地址探测配置恢复。

3. 非经特性规格限制、升级后出现部分场所和AP下发失败

·              问题现象:从R6606P08版本升级到R6609P06版本,升级前场所数量可能会超过新版本的默认规格,导致超规格的部分出现下发失败的现象。

·              规避措施:升级前请先确认场所规数量,升级到R6609P06版本后,通过命令wxfj-place <1-3000>修改规格与之匹配,然后重启设备即可恢复之前下发失败的场所,但不建议修改规格,可能会出现设备性能不足的情况,导致数据非经审计数据丢失。

4. 开启广告推送导致少部分网页打不开

·              问题现象:有部分网页因为开启广告推送出现无法访问的现象

·              规避措施:通过白名单解决,针对此网站不推送广告。

5. ubuntu使用apt工具更新程序防共享误识别后阻断用户上网

·              问题现象:ubuntu使用apt工具更新程序防共享误识别后,阻断用户上网

·              规避措施:建议阻断阈值在原来的基础上加1

6. 导入配置文件方式无法恢复管理员双因子认证配置

·              问题现象:将包含管理员双因子认证的配置文件导出,设备恢复出厂后,再次导入之前配置文件,管理员双因子的配置没有恢复。

·              规避措施:手动生成CA根证书,然后重新开启管理员双因子认证配置。

7. 应用缓存中命令行方式不能上传带有汉字的文件

·              问题现象:命令行方式不能上传带有汉字的文件。

·              规避措施:通过UI上传,另外建议应用缓存不要使用带汉字的文件资源。

8. QoS线路配置在子接口上切换流量到物理口后,流表没老化之前QoS一直可以匹配上

·              问题现象:QoS线路配置在子接口上切换流量到物理口后,流表没老化之前QoS一直可以匹配上。

·              规避措施:无。

9. 当设备内存使用率较高,修改DNS-DNAT配置提交时提示“地址探测内存分配失败”,点击取消按钮,配置仍然被下发

·              问题现象:当设备内存使用率较高,修改DNS-DNAT配置提交时提示“地址探测内存分配失败”,点击取消按钮,配置仍然被下发。

·              规避措施:无。

10. HTTP文件下载审计日志记录有时不完整

·              问题现象:CPU高于70%时,同时下载多个HTTP文件时审计日志中只记录了第一个文件,只有在一条流上传输多个文件时才会出现。

·              规避措施:无。

11. 阻断所有网页浏览(包含IP形式访问的网页),URL白名单放通的域名会不生效

·           问题现象:阻断网页浏览,URL过滤阻断IP地址,URL白名单放通www.qq.com,仍然无法访问www.qq.com

·           规避方法:无

12. HA主备环境下,开启LDAP用户同步,ldap同步过来的用户添加至组织结构上同步不一致,导致HA主备配置不相同

·           问题现象:HA主备环境下,开启LDAP用户同步,ldap同步过来的用户添加至组织结构上同步不一致,导致HA主备配置不相同。

·           规避方法:无

13. 导入配置文件方式无法恢复管理员双因子认证配置

·           问题现象:包含管理员双因子认证的配置文件导出,设备恢复出厂后,再次导入之前配置文件,管理员双因子的配置没有恢复。

·           规避措施:手动生成CA根证书,然后重新开启管理员双因子认证配置。

14. 内存大小为1G的设备,多种情况可能引起导致控制核资源不足导致设备重启。

·           问题现象:内存大小为1G的设备,满配置、大流量并不停写入操作可能引起导致控制核资源不足,导致设备重启。

·           规避措施:无。

15. 使用IPV6地址尝试登录的管理员在登录次数超限被阻断时,系统管理 > 管理员页面中阻断用户的登录地址显示不正确

·           问题现象:使用IPV6地址尝试登录的管理员在登录次数超限被阻断时,系统管理 > 管理员页面中阻断用户的登录地址显示为255.255.255.255,显示不正确

·           规避措施:无

16. 在新建服务器负载均衡策略页面,新建一个地址对象,查看地址对象分组错误

·           问题现象:在新建服务器负载均衡策略页面,新建一个地址对象,查看地址对象分组错误

·           规避措施:上网行为管理>对象管理>地址对象页面新建地址对象后,在服务器负载均衡策略页面进行调用

17. 测试仪打入四七层混合流量,配置DHCP,控制策略,nat等混合业务,通过脚本创建大量的聚合子接口,一定时间后设备异常重启

·           问题现象:测试仪打入四七层混合流量,配置DHCP,控制策略,nat等混合业务,通过脚本创建大量的聚合子接口,一定时间后设备异常重启。

·           规避措施:无

解决问题列表

8.1  SecPathACG1000-IMW110-R6611版本解决问题列表

1. 审计日志查询页面下,通过SQL注入攻击查询含有大量返回项的过滤项,网页挂死,一段时间后设备狗叫重启

·           问题现象:审计日志查询页面下,通过SQL注入攻击查询含有大量返回项的过滤项,网页挂死,一段时间后设备狗叫重启

·           问题产生条件:审计日志存在大量日志,查询输入’--SQL注入攻击

2. 配置厂商配置与场所配置并导出,修改厂商配置的对接厂商为“请选择”并提交,再导入场所配置文件,导入失败后设备重启

·           问题现象:配置厂商配置与场所配置并导出,修改厂商配置的对接厂商为“请选择”并提交,再导入场所配置文件,导入失败后设备重启

·           问题产生条件:将无线非经的厂商修改为请选择,然后导入厂商配置

3. 配置256个聚合子接口,通过pppoe协商获得IP,第253254子接口pppoe 会话持续震荡,串口在输入任何命令后持续打印2019/08/15 02:44:11 unknown: can"t accept app socket : accept_sock 5, Too many open files,影响使用

·           问题现象:配置256个聚合子接口,通过pppoe协商获得IP,第253254子接口pppoe 会话持续震荡,串口在输入任何命令后持续打印2019/08/15 02:44:11 unknown: can"t accept app socket : accept_sock 5, Too many open files,影响使用

·           问题产生条件:配置256个聚合子接口,通过pppoe协商获得IP

4. HA主主环境下,流量匹配源nat、目的natipv4控制策略、dns服务,打流到设备cpu100%,其中一台设备重启

·           问题现象:HA主主环境下,流量匹配源nat、目的natipv4控制策略、dns服务,打流到设备cpu100%,其中一台设备重启启

·           问题产生条件:HA主主环境,打sip业务流量

5. HA主备环境下,主设备曾经切换为备有备过来的会话,配置了SNATdnatGRE隧道口,打ftpsipnghttp混合流停流后,清除会话,主设备NAT模块段错误死机

·           问题现象:HA主备环境下,主设备曾经切换为备有备过来的会话,配置了SNATdnatGRE隧道口,打ftpsipnghttp混合流停流后,清除会话,主设备NAT模块段错误死机

·           问题产生条件:HA主备

6. 负载均衡->链路负载均衡,没有流量,Control Memory很高的情况下,命令行配置链路负载均衡,web界面一定操作下,设备狗叫重启

·           问题现象:负载均衡->链路负载均衡,没有流量,Control Memory很高的情况下,命令行配置链路负载均衡,web界面一定操作下,设备狗叫重启

·           问题产生条件:CLI下只配置一个接口,在页面编辑链路负载均衡策略下发。

8.2  SecPathACG1000-IMW110-F6610P03版本解决问题列表

1. 非经上报导致设备频繁重启

·           问题现象:网络时断时续,后来发现对端设备上显示连接ACG的端口up/downup/down,再登录ACG的网管地址,发现设备刚启动两分钟,也就是ACG设备异常重启了

·           问题产生条件:开启无线非经功能,配置上报周期为5分钟,网络不好导致非经FTP上报的zip文件上传失败,而且失败累积的次数小于10次。

2. HA主备透明模式部署,接口状态无法同步

·           问题现象:设备HA主备透明模式部署,25/26接口配置了接口状态同步组,在开启fdb refresh enable命令后,出现将25口拔掉后,26接口不down的情况。

·           问题产生条件:HA主备透明模式部署,开启fdb refresh enable,配置接口状态同步组。

3. HA系统配置无法同步

·           问题现象:设备HA主备透明模式部署,HA监控显示两端配置不相同,手动同步配置,备机启动后依然显示不相同

·           问题产生条件:将接口加入到聚合口或桥口,然后在HA主机同步配置到备机,备机重启后加入到桥口或聚合口的物理口下会自动出现允许https访问的配置。

4. 用户上下线日志中存在大量用户下线原因为未知

·           问题现象:用户上下线日志中存在大量用户下线原因为未知

·           问题产生条件:imc第三方同步用户发送过来的同一IP对应用户发生改变,导致前一用户被踢出时出现下线原因显示为“未知”。

5. DP内存使用率一直97%以上不释放

·           问题现象:将所有业务流量停止,清除所有会话后,DP内存使用率一直显示97%以上不释放

·           问题产生条件:某接口上配置了大量的子接口,每个子接口上都配置了IP地址,然后在对端设备频繁shutdownno shutdown所连接口,此时会造成设备物理口及其子接口频繁shutdownno shutdown,一段时间后出现DP内存不释放的现象。

6. 无线非经任子行对接,设备资料创建时间不对

·           问题现象:无线非经上报设备资料中属性create_time有问题,出现24:07:57,导致平台报错。

·           问题产生条件:设备资料创建时间字段添加了错误的时间,导致出现上述问题,目前修改为上报时获取设备当前的时间点进行上报,不会在出现此问题。

8.3  SecPathACG1000-IMW110-F6610P02版本解决问题列表

1. 无法跳转到Manager界面

·           问题现象:F6610及以上版本被R0304版本Manager纳管后,web界面上存在数据中心的按钮,但是不支持跳转。

·           问题产生条件:无。

2. HA主备系统配置显示不同步问题

·           问题现象: 一定配置下,主机手动同步配置,备机重启后,两者显示配置不同。

·           问题产生条件:主机手动同步配置。

3. sslvpn的资源池页面,选择多个资源(五个左右)进行导出,无法导出成功

·           问题现象:在sslVPN的资源池页面,选择多个资源后点击导出按钮,web页面刷新后实际无导出,也没有任何错误提示。

·           问题产生条件:选择5个左右的sslvpn资源进行导出。

4. 自动获取CRL失败后无提示

·           问题现象:在上网行为管理/证书管理/自动获取CRL页面,点击“立即获取”后,即使网络不可达无法正常获取,页面也只单纯刷新一次,无失败的提示。

·           问题产生条件:自动化获取CRL失败。

5. 用户被ACG管理员强制下线后,用户上下线日志中显示下线原因为未知

·           问题现象:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线后,用户上下线日志中显示下线原因为未知。

·           问题产生条件:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线败。

6. IPsec快速配置页面,保护网段配置选择“保护接口”,掩码空白的情况下提示信息错误

·           问题现象:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码空白的情况下提示“保护网段不能为空”的错误提示信息。

·           问题产生条件:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码留为空白。

7. 某惩罚通道被防共享模块引用,点删除按钮,页面没有任何提示;类似的,删除被引用的公告页面,也无提示消息。

·           问题现象:某惩罚通道被防共享模块引用,点删除按钮,页面没有任何提示;类似的,删除被引用的公告页面,也无提示消息。

·           问题产生条件:惩罚通道和公共页面被防共享模块引用后,点击删除按钮。

8. 命令行错误信息修改

·           问题现象:ACG F6610命令行配置邮箱服务器收件地址命令行中receiver拼写错误,2、配置审计策略,out-interface下的参数显示IF_IN,参数错误应为OUT_IN

·           问题产生条件:ACG F6610,命令行配置邮箱服务器;配置审计策略时,查看out-interface的参数显示。

9. 新增一条与已有配置相同目的地址,不同出接口的配置,保存无任何提示,列表页面也无显示

·           问题现象:在静态路由配置界面,新增一条与已有配置相同目的地址,不同出接口的配置,保存无任何提示,列表页面也无显示。

·           问题产生条件:新增一条与已有配置相同目的地址,不同出接口的静态路由。

10. FTP服务器设置密码中包含“@#”等特殊字符时,无法验证通过

·           问题现象:FTP服务器设置密码中包含“@#”等特殊字符时,无法验证通过。

·           问题产生条件:FTP服务器设置密码中包含“@#”等特殊字符时。

 

8.4  SecPathACG1000-IMW110-F6610P01版本解决问题列表

1. 修改微信认证用户名为tid,非经平台收到的终端上下线日志存在异常,日志中用户名信息为openid

·           问题现象:修改微信认证用户名为tid,非经平台收到的终端上下线日志存在异常,日志中用户名信息为openid

·           问题产生条件:配置微信认证取tid为用户名,查看非经日志用户名内容为openid

2. 开启混合认证移动终端使用微信认证有认证过程,但无法认证成功,切换为单独的微信认证可以成功

·           问题现象:开启混合认证移动终端使用微信认证有认证过程,但无法认证成功,切换为单独的微信认证可以成功。

·           问题产生条件:开启混合认证。

8.5  SecPathACG1000-IMW110-F6610版本解决问题列表

无,首次发布。

8.6  SecPathACG1000-IMW110-R6609P06版本解决问题列表

1. radius管理员用户登录WEB界面,提示与第三方认证服务器连接失败,但是登录到设备上查看日志提示用户名或密码错误,与实际不符合

·           问题现象:radius管理员用户登录WEB界面,提示与第三方认证服务器连接失败,但是登录到设备上查看日志提示用户名或密码错误,与实际不符合。

·           问题产生条件:radius管理员登陆ACG设备。

2. 编辑DHCP排除范围地址时显示与实际不对应

·           问题现象:网络配置->DHCP服务器->排除范围中编辑第一条信息显示第二条信息的内容,编辑第二条信息显示第一条信息内容。

·           问题产生条件:使用DHCP排除范围地址功能。

3. 修复curl-remote buffer漏洞和openssh漏洞

·              问题现象:存在curl-remote buffer漏洞和openssh漏洞

·              问题产生条件:无。

4. LDAP同步时设备重启

·              问题现象: LDAP+web认证测试时,有时出现设备重启。

·              问题产生条件:openldap库的私有连接connect超时。

5. 开启认证策略但未对接口开启服务时,依然能访问 http 8000端口问题

·              问题现象:ACG中开启认证策略,接口未开启任何服务时,输入http://X.X.X.X(设备IP:8000端口可以打开ACG web认证页面。

·              问题产生条件:ACG开启认证策略,在接口未开启任何服务时,输入http://X.X.X.X(设备IP:8000

6.  URL格式中包含有特殊字符报错的问题

·              问题现象:配置广告对象,需添加图片中包含特殊字符?和=时,提示图片URL格式错误。

·              问题产生条件:URL配置含有特殊字符?和=

7. ACG对接radius无法识别用户上线

·              问题现象:当cpu 0核很高的时候,导致监听用户无法上线,产生大量匿名用户可以上网 

·              问题产生条件:cpu 0核使用率将近100%

8. GRE VPN隧道无法建立

·              问题现象:配置GRE over IPSec时,GRE隧道无法建立 

·              问题产生条件:配置GRE VPN 隧道。

8.7  SecPathACG1000-IMW110-R6609P02版本解决问题列表

1. 设备串接进网络中网络卡顿丢包严重的问题

·              问题现象:设备串接进网络中,网络延迟大,丢包严重。

·              问题产生条件:网络中存在超过MTU值的非IP报文。

2. 任子行、中科新业、恒邦三家厂商的非经日志无法显示的问题

·              问题现象:任子行、中科新业、恒邦三家厂商的非经日志无法显示。

·              问题产生条件:使用非经功能,商场选择为任子行、中科新业、恒邦中任何一家。

3. 短信认证和微信认证用户不支持主主/主备环境同步的问题

·              问题现象:HA环境下,仅支持本地认证用户同步,不支持微信认证用户和短信认证用户的同步。

·              问题产生条件:HA环境下,用户认证方式为短信认证和微信认证。

4. 负载均衡策略中“应用”一栏可配置但不生效的问题

·              问题现象:为兼容之前的版本,负载均衡策略中存在“应用”栏,可配置但不生效。R6609P02版本将“应用”栏置灰以避免误解。

·              问题产生条件:无。

5. LDAP服务器通用名标识不管配置cn还是upn都只同步的显示名的问题

·              问题现象:LDAP服务器只同步AD域用户的登录名,而不是通过通用名标识cnupn区分AD域用户的显示名和登录名。

·              问题产生条件:LDAP服务器同步AD域用户。

6. LDAP认证时不区分用户名大小写的问题

·              问题现象:ACG认证过程中用户名称不区分大小写,导致与区分用户名大小写的LDAP服务器同步时策略无法使用。R6609P02版本默认LDAP认证时用户名称区分大小写,但可通过命令行进行修改。

·              问题产生条件:部分LDAP服务器区分用户名大小写,部分不区分。

7. 不开Https解密策略的情况下无法审计主流https网站的问题

·              问题现象:不开Https解密策略的情况下无法审计主流https网站。

·              问题产生条件:无。

8. 低概率下设备web界面无法登陆的问题

·              问题现象:修改无线非经配置后小概率出现设备web界面无法访问。

·              问题产生条件:修改无线非经配置。

9. PC访问服务器资源时不能正常加载数据

·              问题现象: PC访问服务器时,在TCP三次握手后会话被异常删除,导致连接断开,数据无法加载。

·              问题产生条件:无。

10. 接口同步组中的接口在频繁执行shutdown/no shutdown操作后概率性不UP

·              问题现象:接口同步组中的接口在频繁执行shutdown/no shutdown操作后概率性不UP

·              问题产生条件:使用脚本频繁shutdown/no shutdown接口状态同步组中的接口。

8.8  SecPathACG1000-IMW110-R6609版本解决问题列表

1. 短信认证点击发送验证码无反应

·              问题现象:设备运行一段时间概率 性出现短信认证点击发送验证码无反应,已经认证上线的用户可以正常上网。

·              问题产生条件:设备长时间运行,CPU使用率较高时会出现php-cgi进程异常退出无法自启动导致认证异常。

2. 防共享功能,IOS11.3终端误识别被阻断

·              问题现象:防共享功能,IOS11.3误识别被阻断。

·              问题产生条件:IOS11.3及以上终端使用时间戳 方式进行识别,一个终端会被识别成多个用户。

3. 设备运行一段时间后web认证界面弹不出来

·              问题现象: 设备运行一段时间后web认证界面弹不出来,手动输入认证界面的URL也无法加载认证界面。

·              问题产生条件:大量认证用户的场景中开启本地认证。

4. 开启非经功能长时间运行硬盘使用率很高

·              问题现象: 开启非经功能长时间运行,硬盘使用率很高,达到95%以上后没有自动清除数据库中的非经日志。

·              问题产生条件:开启非经功能长时间运行。

5. 使用360wifi共享热点,手机上网断开后使用PC上网,审计日志中的终端类型仍然为手机

·              问题现象:使用360wifi共享热点,手机上网断开后使用PC上网,审计日志中的终端类型仍然为手机。

·              问题产生条件:使用共享热点上网,多终端接入。

6. ping down接口时页面和后台提示不一致

·              问题现象: ping down接口时页面和后台提示不一致。

·              问题产生条件:将接口shutdown,然后分别在CLIUIping此接口的IP地址。

7. 四层背景流量下,新建子接口的主IP与从IP冲突后多次提交,设备异常重启。

·              问题现象:四层背景流量下,新建子接口的主IP与从IP冲突后多次提交,设备异常重启。

·              问题产生条件:配置DDNS,同时创建大量子接口,子接口下主从IP冲突,然后不停的点击提交。

8.9  SecPathACG1000-IMW110-F6608P01版本解决问题列表

1. ACG1000配置微信白名单,阻断http网页浏览之后微信无法正常发送图片。

·              问题现象:ACG1000配置微信白名单,阻断http网页浏览之后微信无法正常发送图片。

·              问题产生条件:配置微信白名单,通过IPV4策略阻断网页浏览应用。

2. LDAP认证慢,输入账号名密码之后需要10s左右完成认证

·              问题现象: LDAP认证慢,输入账号名密码之后需要10s左右完成认证。

·              问题产生条件:配置本地认证,认证服务器配置为LDAP

3. 用户信息中心查询功能只能在第一页查询,其他也查询无查询结构返回

·              问题现象: 用户信息中心根据用户名查询只能查询第一页的记录,其他页的数据查询后无结果返回。

·              问题产生条件:用户信息中心根据用户名查询,查询的数据在其他页。

4. 主主组网,当HA绑定的地址探测状态是正常的情况下,设备的HA状态依然是N

·              问题现象: 主主组网,当HA绑定的地址探测状态是正常的情况下,设备的HA状态依然是N

·              问题产生条件:HA环境绑定地址探测,备机地址探测不生效。

5. 创建一个密码为a1<>+=/^*:[{)的用户,无法登陆设备进行管理,并弹出空白提示框

·              问题现象: 创建一个密码为a1<>+=/^*:[{)的用户,无法登陆设备进行管理,并弹出空白提示框。

·              问题产生条件:创建管理员账号,密码使用特殊字符会存在转义问题。

6. HA主备环境测试仪打新建同时回放微信流量,一段时间后出现内存泄露crash

·              问题现象: HA主备环境测试仪打新建同时回放微信流量,一段时间后出现内存泄露crash

·              问题产生条件:开WEB认证,同时回放微信流量。

8.10  SecPathACG1000-IMW110-F6608版本解决问题列表

8.11  SecPathACG1000-IMW110-R6606P08版本解决问题列表

1、  修改备机管理员密码,导致设备主备配置无法同步

·              问题现象:两台ACG设备做HA,发现状态显示配置不同步;手动点击同步,备机重启后状态仍显示配置不同步。

·              问题产生条件:两台ACG设备开启HA功能,并手动修改备机设备的管理员密码使其主备管理员密码不一致。

2、  在多出口场景下,配置基于应用的策略路由,偶尔出现设备接口流量瞬间降为零情况

·              问题现象:ACG设备有三个出口,其中一条出口配置基于应用(P2P流量)的策略路由,设备在网运行过程中不定时出现基于应用的策略路由出口流量瞬间降为零的现象,导致部分网络业务不通。

·              问题产生条件:ACG设备配置三个出口,其中一条配置基于应用的策略路由,内网访问外网产生该应用流量就会有该问题现象。

3、  邮件日志文件有时不能被删除

·              问题现象:clear database无法清除后台邮件日志数据。

·              问题产生条件:ACG中接收大量邮件日志,例如邮件日志占用磁盘空间50%时,执行clear database清楚数据库命令后,硬盘使用空间不会完全释放。

4、  当通过CSV文件导入绑定多MAC用户信息时,用户只能导入一个MAC信息

·              问题现象:用户绑定了两个静态MAC地址,通过csv文件导入设备,导入后发现只成功导入了一个MAC地址。

·              问题产生条件:在用户页面添加一个账号绑定三个MAC地址,导出之后,打开csv文件看有三个MAC地址,将设备原有配置删除再次导入csv文件,查看用户绑定的MAC地址只有最后一个。

5、  特定条件下设备异常重启

·              问题现象:特定条件下设备异常重启。

·              问题产生条件:向设备打入特殊的telnet报文,概率出现重启情况。

8.12  SecPathACG1000-IMW110-R6606P07版本解决问题列表

1. Portal认证修改URl可以跳过认证问题

·              问题现象:设备开启免认证和Portal认证,Portal认证可修改URl可以跳过Portal认证,进行上网。

·              问题产生条件:设备开启免认证和Portal认证,修改Portal认证的URL,手动访问free认认证的Portal页面。

2. 跨三层认证成功mac再同步时会把用户踢出问题

·              问题现象:跨三层认证成功mac再同步时会把用户踢出。

·              问题产生条件:开启跨三层MAC地址学习,关闭MAC地址学习,用户进行认证,再开启MAC地址学习。

3. 开启QOS功能后,Http下载文件慢问题

·              问题现象:开启QOS策略后,HTTP服务器外网下载文件速度慢。

·              问题产生条件:ACG设备桥模式部署,设备开启QOS功能,外网PC通过Http下载内网服务器资源。

8.13  SecPathACG1000-IMW110-R6606P06版本解决问题列表

1. SNMP攻击导致内存泄露问题

·              问题现象:设备开启了SNMP功能,在遭到SNMP攻击时异常重启。

·              问题产生条件:大量SNMP报文冲击造成snmpd内存泄露。

2. SSH攻击导致内存泄露问题

·              问题现象:设备开启了SSH端口,在遭到SSH攻击时异常重启。

·              问题产生条件:SSH每用户登陆或不登陆都会创建一个ssh进程,所以遇到ssh攻击时,会创建大量的ssh进程,最后导致系统内存耗尽,设备重启。

3. ACG1000光口关闭后依然会发光导致对端不能联动关闭问题

·              问题现象:ACG1000设备光口shutdown后,仍然会发光,有时导致对端设备端口不能联动关闭。

·              问题产生条件:硬件在shutdown的时候,没有关光,对端设备检测到有光的情况下就是UP的。

4. APPLE CNA机制增加探测域名导致免认证失败

·              问题现象:ACG1000设备开启免认证功能,使用苹果手机弹出认证界面后WiFi图标无法点亮。

·              问题产生条件:Apple用户在通过网络身份认证后,重新向APPLE服务器发起连接,由于没有域名探测机制,导致再次被设备重定向。

5. Menuboot中恢复初始密码有时不成功

·              问题现象:有些情况下在menuboot下重置管理员密码,密码重置不成功。

·              问题产生条件:管理员密码忘记或者admin状态被禁用,有时在menuboot中重置不生效。

8.14  SecPathACG1000-IMW110-R6606P05版本解决问题列表

1. IPsec连接失败问题

·              问题现象:IPSec穿越NAT场景下,分支结构有可能出现隧道接口down掉情况从而导致vpn业务中断。

·              问题产生条件:分支机构收到源端口号500到目的端口号4500的二阶段SA删除信息,接着又收到源端口号4500到目的端口号4500的二阶段SA删除信息。

2. QQ邮箱上传大附件死机问题

·              问题现象:ACG断网时内存使用突增到100%,之后内存下降到15%cpu下降到趋于0

·              问题产生条件:当一个流很大,并且传输速率很快的时候,该问题有时出现。

3. HA主主组网环境下设备出现挂死问题

·              问题现象:HA主主模式下,设备出现死机重启现象。

·              问题产生条件:HA主主模式配置下,未配置NAT功能,其中一台设备收到另外设备的同步流量中包含有NAT相关信息。

4. 访问某些百度页面无法打开问题

·              问题现象:访问百度网页有打不开主页的情况。

·              问题产生条件:当设备收到乱序的IP报文后,没有进行保序操作。

8.15  SecPathACG1000-IMW110-R6606P04版本解决问题列表

1、  读取设备mib节点无法获取设备对应的软件版本信息

·              问题现象:通过mib browser读取设备相关mib节点信息,无法获取到设备的版本信息。

·              问题产生条件:开启SNMP,在mib browser中导入设备对应的mib库。

2、  OpenSSH存在漏洞

·              问题现象:通过漏扫设备对ACG设备进行漏洞扫描,发现OpenSSH存在漏洞;

·              问题产生条件:对设备进行漏洞扫描。

3、  ACG1000iMC配合用户组同步存在问题

·              问题现象:对某些iMC用户,用户信息中心和在线用户管理显示的所属组不一致。

·              问题产生条件:用户登陆成功后注销下线,下线后在iMC上修改该用户用户组名称,修改后再次登录上线。

8.16  SecPathACG1000-IMW110-R6606P03版本解决问题列表

1、  ACG设备做目的NAT映射FTP服务器不通

·              问题现象:客户端通过ACG的目的NAT访问内网FTP服务数据连接不通(FTP服务器端口为21,目的NAT配置为非21转换为21),FTP被动模式访问。

·              问题产生条件:FTP客户端通过被动模式连接映射后的服务器和端口。

8.17  SecPathACG1000-IMW110-R6606P02版本解决问题列表

1. ACG1000-SE对接H3C MSR或锐捷设备,光口不亮

·              问题现象:与MSR等硬件设备对接光口不亮。

·              问题产生条件:MSR等设备对接。

2. ACG1000微信认证不成功问题

·              问题现象:PC的分辨率是1024*760或者更低就被错误识别成移动端,导致认证不成功;

·              问题产生条件:PC分辨率为1024*760

3. ACG1000设备WebCLI无法查看到设备硬件SN序列号

·              问题现象:无法在WebCLI中查看SN序列号。

·              问题产生条件:升级到R6606P01版本;

4. 迅雷下载时应用被识别为点对点上传或下载,有时阻断P2P类无法成功

·              问题现象:迅雷误识别

·              问题产生条件:使用迅雷下载并阻断

5. ACG1000-M带宽保障使用异常,用户所在组显示异常

·              问题现象:用户信息中心显示用户组与在线用户组显示组别不一致。

·              问题产生条件:使用iMC同步用户认证。

8.18  SecPathACG1000-IMW110-R6606P01版本解决问题列表

1. 微信认证跳转URL有误问题

·              问题现象:微信认证跳转URL有误问题。

·              问题产生条件:客户从demo版本升级到新版本后使用微信跳转页面。

2. 本地WEB认证,只选择强制重登录间隔项,输入用户名和密码不能登录。

·              问题现象:无法认证成功,点击登录按钮重新弹出认证界面。

·              问题产生条件:开启强制登录间隔后。

3. 防共享上网误识别的优化

·              问题现象:防共享误识别。

·              问题产生条件:客户针对防共享识别率测试

4. 本地WEB认证,登录按键无反应

·              问题现象:认证点击提交按钮无反映。

·              问题产生条件:IOS设备进行本地Web认证。

5. IPSEC快速配置无响应

·              问题现象:页面一直显示加载中。

·              问题产生条件:使用审计用户登录,ipsec快速配置后提交。

6. 审计用户系统维护下的信息收集无权限提示

·              问题现象:页面未提示无权限。

·              问题产生条件:审计用户登录,系统维护下的信息收集,点击删除按钮,弹出提示框后点击确定。

7. 审计用户ssl vpn无权限提示

·              问题现象:页面未提示无权限。

·              问题产生条件:使用审计用户登录,ssl vpn监控下的清除按钮。

8.19  SecPathACG1000-IMW110-R6606版本解决问题列表

1. 微信HTTPS方式登录显示异常

·              问题现象:微信认证二维码图片预览显示异常。

·              问题产生条件:微信认证预览功能开启HTTPS未开启HTTP的情况下。

2. 加入URL白名单后会出现不能访问

·              问题现象:访问加入白名单的URL会出现不能访问。

·              问题产生条件:添加URL白名单。

8.20  SecPathACG1000-IMW110-R6605P03版本解决问题列表

1. PPPOE拨号成功状态下掉线,无法自动重连PPPOE

·              问题现象:PPPOE拨号成功状态下掉线,无法自动重连PPPOE

·              问题产生条件:PPPOE服务器发送报文异常,致不能重新拨号。

2. 通过文件导入的方式可导入带空格的用户名,导入后无法删除该用户。

·              问题现象:无法删除带空格的用户。

·              问题产生条件:配置文件导入时用户名带空格

8.21  SecPathACG1000-IMW110-R6605P02版本解决问题列表

1. 本地用户导入时,用户名超过10个字符,显示异常

·              问题现象:显示异常,无法显示完全。点击操作打开之后为空白,并且无法删除此用户。

·              问题产生条件:本地用户导入操作时,用户名超过10个字符导致。

2. 新设备上线不断重启

·              问题现象:设备不断重启。

·              问题产生条件:接口接收缺少字节的异常报文,导致设备重启。

8.22  SecPathACG1000-IMW110-R6605P01版本解决问题列表

1. 添加设备型号K使用了小写,统一改为大写

·              问题现象:在系统信息和命令行查看设备型号,字符k显示小写。

·              问题产生条件:这个问题是由于没注意字符大小些导致的。

2. 非认证用户用户IP冻结功能不生效

·              问题现象:非认证用户用户IP冻结功能不生效。

·              问题产生条件:目前冻结动作冻结的是用户,然后匿名用户没有用户名,所以导致无法冻结匿名用户。

8.23  SecPathACG1000-IMW110-R6605版本解决问题列表

1. 禁用某个用户后,该用户原先的配置都被删除。

·              问题现象:用户被禁用后配置被清空。

·              问题产生条件:这个问题是 由于源码设计不易用导致的,具体原因为在禁用时后台会将该用户信息清楚仅保留用户名称。

2. 清配置重启无法把存储中的文件存储删除

·              问题现象:App缓存,上传大量文件,包含一些大文件,清除配置重启设备,webui上显示文件删除,其实后端仍占用存储空间,需要进入后才能清理。

·              问题产生条件:进行erase 清除配置时,只是清除了配置信息,并没有对文件进行清除,所以导致bug中问题。

3. Ha主主,本地认证用户不能实时同步

·              问题现象:ha主主,配置同步session,其中一台设备上线,另外一台设备不实时同步。

·              问题产生条件:用户同步时,状态检查错误,造成同步用户的ipcdeny掉。

4. 服务质量探测条目横坐标时间不准

·              问题现象:最近一天横轴显示时间点间隔不是整2小时,前后会差几分钟。

·              问题产生条件:在挂载定时器时,为了减少地址器的误差,减了一部分误差产生的时间,实际不需要。

5. 设备向网管端注册,注册地址为0.0.0.0

·              问题现象:设备向网管端注册,注册地址为0.0.0.0

·              问题产生条件:设备自动注册,源ip地址获取方式有点问题,不是从socket获取的,而是通过查路由得到,某些情况下会出问题。

6. 负载策略为基于带宽时,某接口未配置带宽,策略仍然生效

·              问题现象:配置基于优先级的负载均衡(未开启会话保持),其中某个接口不配置带宽, 修改策略为基于带宽,策略仍然生效。

·              问题产生条件:基于带宽比的负载均衡策略,如果组下有未配置带宽的接口,则该负载均衡组不会生效。而对于策略为优先级的负载均衡组,则没有该要求。

7. 静态绑定用户(绑定MACIP),只有用户上线日志,无下线日志

·              问题现象:测试仪打流,静态绑定的MAC用户,流停止后,40分钟后,绑定MAC的用户老化后,无下线日志。

·              问题产生条件:用户超时下线时,会先做一些清理动作,其中就有识别结果recog与它所属的用户解绑定,将识别结果中的。
用户置空,然后会发下线日志。发日志时需要用到识别结果中的用户信息,但是在之前已将用户置空,所以未能发送日志;

8. 三权模式,修改管理员账号用户名与其它系统管理员相同无错误提示

·              问题现象:三权模式下,当已经存在用户名为test的系统管理员账号时,把另一个账号管理员修改为test的用户名,修改成功。

·              问题产生条件:针对新修改的用户名称没有进行重名判断,所以导致bug中问题;

9. ACG审计webmail时异常重启

·              问题现象:ACG审计邮件时,使用QQ邮箱发送邮件,邮件接收者地址有单数的反斜杠且反斜杠刚好在第1024个字符时设备重启。

·              问题产生条件:当使用QQ发邮件时,邮件接收者地址有单数反斜杠且反斜杠刚好在第1024个字符时导致。

10. 模块收集功能中ip route 显示不完全

·              问题现象:系统信息收集导出后查看配置信息,路由信息无法显示。

·              问题产生条件:信息导出,路由部分为show 而非dispaly

11. 配置MAC绑定的用户,该用户登录时会生成IPv4IPv6会话各一个,且IPv6会话无法冻结

·              问题现象:当在线用户同步显示IPv4IPV6地址时,冻结V6地址无法生效。

·              问题产生条件:由于用户冻结实现只对v4地址冻结,未对用户做处理。

12. 修改DHCP排除范围,填写错误的参数后填写正确的参数,发现实际执行的是新建操作,而非修改

·              问题现象:DHCP排除范围地址段提交错误报错后为新建,易用性较差。

·              问题产生条件:由于重新提交错误地址,前台未与后台交互,先行在前台创建用户下发后台;

13. 上传相同URL的文件时,会导致存储空间显示不正确。

·              问题现象:上传同一URL不同文件的app缓存,显示剩余存储空间不正确。

·              问题产生条件:后台文件存储为同一文件,导致文件覆盖。

14. 新建HA管理IP,操作日志中记录的是修改操作。

·              问题现象:新建管理IP,操作日志为modify

·              问题产生条件:后台没有对应新建管理ip日志。

8.24  SecPathACG1000-IMW110-R6604P01版本解决问题列表

1. SecPath ACG1040 微信认证失效

·              问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。

·              问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。

2. SecPath ACG1040限制P2P软件和流媒体之后,百度文库PPT和豆丁网内容打不开

·              问题现象:配置P2P下载、流媒体策略拒绝后,网页上无法查看百度文库PPT和豆丁网内容。

·              问题产生条件:流媒体预定义组中包含了flash特征,致使配置流媒体阻断策略后无法访问PPT等内容。

3. SecPath ACG1040配置微信认证后android手机首次点击认证URL直接弹出认证页面问题

·              问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。

·              问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。

4. SecPath ACG1000-S微信认证部分安卓手机无法认证成功

·              问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。

·              问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。

5. SecPath ACG1000-M 上网178个小时就上不了网

·              问题现象:ACG接收iMC下发的用户信息后,ACG会在178个小时会自动将该用户强制下线。

·              问题产生条件:设备端未对iMC推送的用户类型做特殊控制,致使iMC下发的用户在线时长是默认值,超出默认值后设备将会对该用户进行强制下线操作。

6. SecPath ACG1000-A本地认证用户下线之后迅雷还能下载

·              问题现象:设备中存在本地认证配置的背景下,用户使用迅雷在某些特殊的服务器上进行下载。将该在用户本地认证的状态下强制下线,迅雷仍可下载。

·              问题产生条件:本地认证用户下线后,ACG会清除该用户的所有会话。但公网上的某些迅雷服务器会主动向内网建立会话,这些由外到内的报文没有匹配到用户策略而直接放行。

7. 微信认证发送关键字接收回复的时间长

·              问题现象:使用微信认证策略,向已关注的公众号中发送关键字。收到的回复信息时间较长。

·              问题产生条件:微信V6.1版本发送关键字时,某些报文使用非808080端口。设备端收到非808080端口的报文会进行重传。重传次数较多,导致发送关键字延迟大。

8. 新建用户,绑定IP无法成功问题

·              问题现象:新建和编辑用户类型为静态绑定IP,提交后类型显示为空。

·              问题产生条件:新建和编辑用户类型前后台参数不一致导致,后台对前端配置的参数不识别。出现配置为空的现象。

9. IE9\IE8本地用户登陆不成功问题

·              问题现象:正常配置自定义Portal页面功能,完成后使用IE9浏览器进行本地认证。输入用户名、密码后点击登录按钮无反应。

·              问题产生条件:IE9浏览器对JS调试代码的不兼容导致在该浏览器下认证异常。

10. 自定义Portal页面功能,影响本地认证用户“允许修改密码”的配置失效

·              问题现象:用户配置不允许修改密码,自定义Portal界面仍然出现修改密码按钮,能够进行修改密码操作。

·              问题产生条件:自定义认证界面未判断用户修改密码的参数,导致问题的产生。

11. IPv4策略下查看应用审计的子策略,翻页查看失效

·              问题现象:创建IPv4策略,在此策略中添加20条以上的应用审计策略。点击策略的展开按钮(按钮在ID后面有颜色的方块处),翻页查看应用审计策略时,第二页仍显示第一页的审计策略,第三页、第四页也是相同的情况。

·              问题产生条件:因Web中的策略索引信息没有上传到CP,导致查看应用审计策略分页显示失效。

8.25  SecPathACG1000-IMW110-R6604版本解决问题列表

1. 开启应用识别后新建性能大幅下降

·              问题现象:开启应用识别后新建性能比未开启下降约70%

·              问题产生条件:开启应用识别后测试新建性能与未开启做比对。

2. 曾引用过的RADIUS组无法被删除

·              问题现象:曾引用的RADIUS组可以被删除。

·              问题产生条件:RADIUS组在被引用后做修改为不再引用,再对该RADIUS组执行删除动作。

3. 策略路由接口未做存在性检测

·              问题现象: 接口为非pppoe接口仍可被策略路由引用,导致路由失效。

·              问题产生条件:接口为pppoe接口被策略路由引用,修改为物理接口后该路由仍可引用该接口。

4. 等价路由负载环境、本地始发ping会丢包

·              问题现象:本地始发ping从等价路由转发有丢包。

·              问题产生条件:新建两条等价路由,ping包从本地始发,指定本地IP为源ping对端环回口时会一通、一不通的回显。

5. 策略路由无法选择应用组

·              问题现象:策略路由仅可选则单个应用无法选择应用组。

·              问题产生条件:策略路由仅可选择单个应用,无法选择类似“P2P下载”这类应用组。

6. 登录页面为https://x.x.x.x/webui/?g=main 登录框显示为三个

·              问题现象:管理设备后缀为/webui/?g=main登录框显示为3个。

·              问题产生条件:管理ip后缀为/webui/?g=main

7. 使用RADIUS认证,限制用户登录数无效

·              问题现象:RADIUS认证限制用户登录数为23个用户认证登录均可成功。

·              问题产生条件:第三方用户由于没有添加登陆限制,导致该用户登录数无效。

8、微信认证页面配置认证URL带有“/”,微信认证功能异常

·              问题现象:微信认证时,当跳转URL中同时含有hostpath字段时,认证失败。

·              问题产生条件:解析URL时添加对“/”符号的识别。

8.26  SecPathACG1000-IMW110-F6603P03版本解决问题列表

1. 配置本地认证用户不允许修改用户密码,登录成功后刷新计时页面仍可显示修改密码按钮。

·           问题现象:配置本地认证用户并禁止该用户修改密码,使用创建的用户认证,认证成功后刷新计时页面就会出现修改密码按钮。

·           问题产生条件:刷新页面同时,如果用户已登录会发送keepalive请求,但keepalive接口里未增加是否允许修改密码的属性。

8.27  SecPathACG1000-IMW110-F6603P02版本解决问题列表

1. iMC用户认证成功后,设备重启,iMC用户未下线

·              问题现象:ACGiMC做联动Portal认证,设备重启后,显示iMC服务器上用户仍然在线。

·              问题产生条件:ACGiMC做联动Portal认证,用户已经认证成功,可正常使用网络,设备重启,显示设备认证用户已下线,但iMC服务器上显示认证用户仍在线。

2. ACG1000作为Portal认证设备,iMC强制用户下线时,ACG1000只发送了RADIUS计费停止报文,但没有通知Portal Server将用户下线,结果是用户侧Portal再次上线失败,需要重复上线才能成功

·              问题现象:Portal Server端用户未下线,导致再次上线时失败。

·              问题产生条件:ACGiMC做联动Portal认证,用户已经认证成功后,iMC强制用户下线,ACG未同步下线报文给Portal Server,导致下一次用户上线将无法成功。

3. iMC用户认证未归属于正确的用户组内

·              问题现象:用户处于root组内,而没有归属于正确的用户组内。

·              问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。

4. iMC上每账户只允许1IP登录时,ACG上却存在不同IP地址的重名用户

·              问题现象:用户处于root组内,而没有归属于正确的用户组内。

·              问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。

5. 在认证页面输入错误的密码,认证不成功,提示“设备拒绝请求”,而不是“密码错误”

·              问题现象:iMC联动认证时,在认证页面输入错误的密码,认证不成功,提示“设备拒绝请求”,而不是“密码错误”。

·              问题产生条件: iMC联动认证时,在认证页面输入错误的密码。

6. 不支持非对称路由转发

·              问题现象:当请求方向报文不经过ACG转发,而响应报文通过ACG转发时,默认ACG会将SYN ACK报文丢弃,导致业务不通。

·              问题产生条件: iMC联动认证时,请求方向报文和响应报文转发路径不一致导致。

7. 本地认证用户不支持控制是否允许修改密码

·              问题现象:当配置本地认证用户策略,多用户使用同一个用户登录时,如某个用户更改当前用户密码后其他用户均无法使用该用户登录。

·              问题产生条件:配置本地认证用户策略时,未对是否修改密码选项进行控制

8.28  SecPathACG1000-IMW110-R6603P01版本解决问题列表

1. 开启本地Web认证功能后,控制平面性能耗尽

·              问题现象:开启本地Web认证功能后,CPU core0利用率达到100%

·              问题产生条件:开启本地Web认证功能,并发30个以上的认证用户。

2. 开启全部审计功能后,控制平面性能耗尽

·              问题现象:开启审计所有模块审计功能后,CPU core0利用率达到100%

·              问题产生条件:开启所有模块的审计功能并记录到本地数据库,按照产品规格打入背景流量。

3. 本地Web认证的页面跳转失败

·              问题现象:本地Web认证成功后,页面不再跳转到配置的URL页面。

·              问题产生条件:本地Web认证成功后修改密码。

4. 本地Web认证配合RADIUS服务器时,设备异常重启

·              问题现象:本地Web认证密码存放在第三方RADIUS服务器上,认证时设备异常重启

·              问题产生条件:进行本地Web认证时将用户名密码存放在第三方服务器上,认证时输入错误的用户名和密码。

8.29  SecPathACG1000-IMW110-R6603版本解决问题列表

1. 长时间应用连接统计流量有偏差

·              问题现象:流量监控统计有偏差。

·              问题产生条件:某种应用的连接长时间保持或存在跨天的情况;在应用的连接断开之前,无法看到该业务的流量统计,流量监控统计有偏差。

2. 被拒绝的应用连接仍统计少量流量

·              问题现象:被拒绝的应用连接仍统计少量流量。

·              问题产生条件:被IPv4策略拒绝的流量在流量排名界面上仍然能够查看到少量流量。流量匹配到动作为阻断的IPv4策略,产生的流量阻断会话包含部分流量。

3. 小于1秒的应用连接不统计流量

·              问题现象:无法看到部分特殊应用的流量统计信息。

·              问题产生条件:应用连接维持时间小于1秒时,无法统计该类应用流量。

4. 首页流量统计存在偏差

·              问题现象:首页流量统计存在偏差。

·              问题产生条件:应用连接保持时间小于10秒,首页流量统计存在偏差。

5. 隧道配置出错后无法直接修改

·              问题现象:配置IPv6隧道时,无法在页面中直接修改。

·              问题产生条件:配置IPv6隧道时,使用地址或接口方式配置产生错误后,无法在页面中直接修改。

6. 用户组添加用户时选择框被清空

·              问题现象:在用户组中添加大量用户时,用户选择框被清空。

·              问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。

7. 关键字创建时区分大小写,匹配时不区分大小写

·              问题现象:创建与匹配关键字对象时大小写区分实现不一致。

·              问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。

8. iMC做配合认证,用户定时被踢下线

·              问题现象:用户认证通过以后定时被设备踢下线。

·              问题产生条件:用户通过iMC做认证,ACG做为Portal设备,用户认证成功以后会定期被ACG踢下线。

9. iMC提踢出用户不生效

·              问题现象:在iMC踢出用户不生效

·              问题产生条件:ACGiMC做联动Portal认证时,在iMC上踢出用户,ACG上并未踢出用户,用户仍在线,可正常通信。

10. iMC上用户在线时长全部为0

·              问题现象:ACGiMC做联动Portal认证,iMC上用户在线时长全部为0

·              问题产生条件:ACGiMC做联动Portal认证,用户已经认证成功,可正常使用网络,但是在线时长信息有误,全部为0

11. ACG上踢出用户无法再次认证

·              问题现象:ACG上提出用户无法再次认证,重复登录后才能认证。

·              问题产生条件:在ACG上踢出用户后,如果再重新打开页面认证,会出现“Portal认证失败,该用户正在认证中,请稍后重试。”,需要重新上线二三次才可以正常上线。

8.30  SecPathACG1000-IMW110-E6602版本解决问题列表

首次发布,无问题列表。

相关资料

9.1  相关资料清单

·              H3C SecPath ACG1000系列应用控制网关 快速安装指

·              H3C SecPath ACG10X0-X1系列应用控制网关 快速安装指南

·              H3C SecPath ACG1000-X[1000-AK2X0]系列应用控制网关 快速安装指南

·              H3C SecPath ACG1000-C9000系列应用控制网关 快速安装指南

·              H3C SecPath ACG1000系列应用控制网关 安装指导

·              H3C SecPath ACG1000产品License激活申请和注册操作指导(E6411_R6609_F6610)

·              H3C SecPath ACG1000系列应用控制网关 Web配置指导(F6610)

·              H3C SecPath ACG1000系列应用控制网关 典型配置举例(F6610)

·              H3C SecPath ACG1000系列应用控制网关 命令参考(F6610)

·              H3C SecPath ACG1000系列应用控制网关 配置指导(F6610)

9.2  资料获取方式

您可以通过H3C网站(www.h3c.com)获取最新的产品资料:

(1)      请访问网址:http://www.h3c.com/cn/Technical_Documents

(2)      选择产品类别和产品型号,即可查询和下载与该产品相关的手册。

10  技术支持

用户支持邮箱:service@h3c.com

技术支持热线电话:400-810-0504(手机、固话均可拨打)

网址:http://www.h3c.com

 


附录 B 本版本支持的软、硬件特性列表

B.1 版本硬件特性

表B-1 产品硬件特性

项目

SecPath ACG1000-AK230

SecPath ACG1000-AK240

SecPath ACG1000-AK250

SecPath ACG1000-AK260

SecPath ACG1000-AK270

SecPath ACG1000-AK280

管理接口

任一业务接口

任一业务接口

专用带外管理GE

专用带外管理GE

专用带外管理GE

专用带外管理GE

业务接口

4GE(Combo)+10GE()

4GE(Combo)+10GE()

12GE+12SPF

12GE+12SPF

12GE+12SPF

12GE+12SPF+2XFP

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

扩展槽

2

2

1

1

1

1

接口模块

PoE供电接口

支持8个口POE

尺寸(长×高×深/mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

额定功率

25W

120W(POE)+25W

60W*2

60W*2

60W*2

60W*2

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

重量

4.7KG

5.1KG

5.1KG

5.1KG

5.1KG

5.1KG

 

项目

ACG1000-SE-PWR

ACG1000-SE

管理接口

任一业务接口

任一业务接口

业务接口

4GE(Combo)+10GE()

4GE(Combo)+10GE()

BYPASS接口

ge0ge1支持断电bypass

ge0ge1支持断电bypass

扩展槽

接口模块

PoE供电接口

支持8POE

Port 6-13支持POE

尺寸(长×高×深/mm

440*44*263

440*44*263

额定功率

25W+120WPOE

25W

电源

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

重量

3.1KG

2.9KG

 

项目

ACG1000-TE

ACG1000-ME

ACG1060-X1

ACG1070-X1

ACG1000-AE

ACG1000-PE

ACG1000-EE

ACG1000-XE1

管理接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

业务接口

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)+2万兆

12GE(光)+12GE(电)+4万兆

12GE(光)+12GE(电)+4万兆

12GE(光)+12GE(电)+8万兆

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持2bypassGE0GE1GE2GE3

支持2bypassGE0GE1GE2GE3

支持2bypassGE0GE1GE2GE3

扩展槽

1

接口模块

PoE供电接口

尺寸(长×高×深/mm

440*44*263

440*44*263

440*44*263

440*44*263

440*86*300

440*86*415

440*86*415

440*86*415

额定功率

120W

120W

120W

120W

120W

300W

300W

300W

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

重量

3.85kg

3.85kg

3.85kg

3.85kg

5.2kg

8.2kg

8.2kg

8.2kg

 

项目

ACG1000- C9130

ACG1000- C9150

ACG1000- C9160

ACG1000- C9170

管理接口

任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

1*GE(电)和任一业务接口

业务接口

4GE(Combo)+10GE()

12GE(光)+12GE(电)

12GE(光)+12GE(电)

12GE(光)+12GE(电)+2万兆

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

扩展槽

1TF卡扩展

1

接口模块

PoE供电接口

尺寸(长×高×深/mm

440*44*263

440*44*263

440*44*263

440*86*300

额定功率

25W

120W

120W

120W

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

重量

2.9kg

3.85kg

3.85kg

5.2kg

 

项目

ACG1000-AK215

ACG1000-AK225

ACG1000-AK255

ACG1000-AK265

ACG1000-AK275

ACG1000-AK285

管理接口

任一业务接口

任一业务接口

专用带外管理GE

专用带外管理GE

专用带外管理GE

专用带外管理GE

业务接口

10GE()

10GE+1SFP

12GE+12SPF

12GE+12SPF

12GE+12SPF

12*GE+12*SPF+4*SFP+

BYPASS接口

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持一对GE口(GE0GE1

支持2GE口(GE0GE1GE2GE3

扩展槽

2

2

1

1

1

接口模块

PoE供电接口

支持4个口POE

尺寸(长×高×深/mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*300mm

440*86*415mm

额定功率

25W

60W(POE)+25W

60W*2

60W*2

60W*2

300W

电源

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

100~240V AC

可靠性

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

100,000小时

重量

4.5KG

4.5KG

5.1KG

5.1KG

5.1KG

8.2KG

 

B.2 版本软件特性

表B-2 产品软件特性

功能

子功能

描述

上网行为管理

流量管理

支持虚拟线路和分级带宽管理,可支持4级通道嵌套

支持基于用户/应用/服务/IP/时间的带宽限制

支持每IP限速、带宽保障和多优先级管理

应用过滤和审计

支持针对网络社区/P2P/文件传输/电子商务/IM/炒股/网络多媒体/网络游戏/远程控制等进行控制

支持针对应用类/单个应用的应用审计

支持对应用的行为动作审计

支持对应用的行为内容的审计

支持网站、邮件、论坛发贴、搜索关键字过滤和审计

审计日志级别(紧急、告警、严重、错误、警示、通知、信息)

URL过滤

内置URL分类库,可针对广告/成人/艺术/在线音乐/BBS/博彩/商业/犯罪/教育/娱乐/赌博/游戏/医疗健康/违反道德/求职招聘等类别网站进行过滤和审计

支持恶意URL和自定义URL过滤

用户管理

用户

支持批量导入导出用户或用户组

用户属性支持本地用户、RADIUS用户、LDAP用户、静态绑定地址用户

在线用户管理

在线用户状态显示(用户名、所属组、登录地址、认证方式、登录时间/冻结时间、状态、在线时长)

在线用户操作:非认证账号可以冻结/解冻,认证用户可以注销、冻结/解冻

iMC联动

iMC联动

对于未识别出用户的流量,策略将其Web访问的流量重定向到指定的Portal页面

用户认证成功后,记录该用户信息。

用户认证成功后的访问流量,可识别并定期刷新

对认证用户进行细粒度业务控制

推送认证页面,接收Portal用户的认证信息

发起用户认证请求以及用户下线通知

提供用户自服务选项,链接到中央RADIUS服务器提供的自服务页面完成相应功能

强制用户在访问网页时需重定向至指定Portal server并认证

记录Portal上用户上下线信息日志

发送accounting-on报文同步iMC服务器用户下线

配置密钥用于审计设备用户同步上下线

认证服务器管理

支持RADIUS\LDAP认证服务器和服务器组

认证服务器组支持主备和集群

支持短信验证码验证身份实现wifi认证上网

支持微信关注公众账号实现wifi认证上网

统计集

应用流量统计

应用统计总览可视

应用比例图呈现

应用统计趋势图总览

应用统计详细信息展现

应用与用户维度耦合

应用TOP11统计

用户流量统计

用户统计总览

支持用户统计柱状呈现

用户统计详细信息总览与应用维度耦合

支持查看单个用户的应用趋势及应用TOP列表

用户TOP15\50\100统计

网络基础功能

接口

支持子接口、桥接口、聚合接口

DHCP

支持DHCP中继、DHCP服务器、DHCP客户端

DHCP服务器支持IP-MAC绑定、租期管理、排除地址等属性

会话管理

支持地址对象的限制;支持源IP的会话数、每秒新建的限制

会话统计:显示当前IP地址的连接数

NAT

支持多种NAT ALG,包括DNSFTPH.323ILSMSNNBTPPTPSIP

支持源地址、目的地址NAT,支持一对一、一对多、多对多地址转换

路由

支持静态路由、动态路由(RIP\OSPF)、策略路由

支持基于源地址/目的地址/服务/用户/应用的策略路由

支持ISP路由,内置运营商路由表,可自定议ISP路由

VPN

支持AHESP协议\支持手工或通过IKE自动建立安全联盟,ESP支持DES3DESAES多种加密算法,支持MD5SHA-1验证算法

支持IKE主模式及野蛮模式,支持NAT穿越和DPD检测

接口探测

支持ping地址监控条目

支持tcpsyn地址监控条目

支持dns地址监控条目

支持接口类型:物理接口,子接口,桥接口,聚合接口,隧道接口

地址探测组

支持多个地址探测从属组关系

分为严格模式和非严格模式(严格模式即所有探测条目均成功组状态才成功,非严格模式探测条目间为独立状态)

支持对探测组描述

路由探测

支持探测路由以确保路由有效性

支持场景及部署方式

支持静态路由或ISP路由联动

支持与接口状态联动

支持与HA联动

日志说明

可对地址探测失效、恢复有日志记录

安全防护

攻击防护

支持基于接口的IP和端口扫描防护

支持SYNfloodUDPfloodICMPfloodDNSflood攻击防护和异常包防护(支持Ping of DeathLand-BaseTear DropTCP FlagWinnukeSmurfIP选项、IP SpoofJolt2

支持与IP地址黑名单联动,禁用地址访问

支持IP-MAC绑定和唯一性检查

系统管理

部署方式

旁路、串接、混合部署

配置文件

配置文件导入导出

双备份配置

系统升级

支持系统软件本地升级和远程升级

特征库可自动和手动升级

SNMP

支持SNMP代理

支持版本:v1v2v3

SNMP用户:支持创建/修改/删除用户信息。认证方式:NoneMD5SHA

日志配置

支持3Syslog发送服务器并可远程发送到日志分析管理平台

支持日志级别过滤,支持设备映射表


附录 C 版本升级操作指导

说明

·       本章显示信息仅为软件升级过程的举例说明,实际显示信息与设备版本的实际情况相关,可能会略有差别,请以设备版本实际显示信息情况为准。

·       设备的默认存储介质为CF卡。

 

C.1 设备软件简介

设备软件主要包括系统启动文件和MenuBoot文件。

C.1.1 启动文件简介

启动文件是用于引导设备启动的程序文件。

通常情况下,启动文件是后缀名为.bin的文件(例如:SecPathACG1000-IMW110-R6603P02.BIN)。

C.1.2 配置文件

配置文件是保存设备配置信息的文件。配置文件主要用于:

·              将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。

·              使用配置文件,用户可以非常方便地查阅配置信息。

设备的配置文件名为syscfg.consyscfg.bcp,其中,syscfg.con用于保存同时支持通过命令行与Web所做的配置,syscfg.bcp用于备份配置文件。

·              执行copy running-config backup-config 命令将当前运行文件拷贝到备份配置中。

·              执行copy startup-config backup-config 命令将已保存的配置文件拷贝到备份配置中。

·              执行copy backup-config startup-config 命令将备份配置文件恢复到启动文件中。

C.2 软件升级方式简介

表3 软件升级方式简介

升级对象

升级方式

说明

升级启动文件

通过命令行升级启动文件

·       对于Web方式升级启动文件,无需开启TFTP/FTP Server功能

·       由于不同软件版本之间配置文件信息不兼容,会造成升级后设备的配置与升级前不相同,请您仔细查阅相应章节内容,以便确认待升级版本的特性变更情况

通过Web升级启动文件

通过MenuBoot菜单升级启动文件

 

C.3 升级前的准备

注意

TFTP/FTP Server由用户自己购买和安装,设备不附带此软件。

 

TFTPTrivial File Transfer Protocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。设备作为TFTP Client,文件服务器(通常为PC)作为TFTP Server,用户通过在终端输入相应命令,可将本设备的启动文件上传到文件服务器上,或者从文件服务器下载启动文件到设备中。

FTPFile Transfer Protocol,文件传输协议)在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输。设备作为FTP Client,文件服务器(通常为PC)为FTP Server

在升级设备启动文件前,请完成如下准备工作:

·              配置ACG的管理口IP地址。

·              开启文件服务器的TFTP/FTP Server功能。

·              通过配置终端登录到命令行配置界面中。

·              将升级启动文件拷贝到文件服务器上,并正确设置TFTP/FTP Server的访问路径。

图1 设备升级环境

C.4 升级启动文件

C.4.1 通过命令行升级启动文件

·              通过命令行升级启动文件,可以采用以下方式:使用FTP协议升级设备的启动文件

·              使用TFTP协议升级设备的启动文件

·              使用FTP协议升级设备的启动文件

1. 使用TFTP协议升级设备的启动文件

设备作为TFTP Client,访问TFTP文件服务器的指定路径,完成启动文件的备份与升级操作,具体操作步骤如下:

(1)      备份当前启动文件和配置文件

步骤1     在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:

H3C# save config

Building configuration...

 

Save configuration ok !

步骤2     在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:

H3C# display version

i-Ware software,Version 1.10, Release 6605, Build time is Jan 28 2015 17:31:46

System uptime: 0 days 0 hours 42 minutes

Firmware is SecPathACG1000-IMW110-R6605.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100100115022860784559

Model           : ACG1000-S

Platform        : PLATFORM_MC1220

 

Basic Functionality                             : License valid

Application Audit and Control                   : License valid

Malware URL Category                            : License valid

Virtual Private Network                         : License valid

Application Audit and Control Update Service    : License valid

Malware URL Category Update Service             : License valid

Virtual Private Network Tunnel Limit            : License valid

步骤3     在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.con备份到TFTP文件服务器上:

H3C# copy startup-config tftp 192.168.0.2 syscfg.con

H3C#

(2)      升级启动文件

说明

本节中,以即将升级的启动文件SecPathACG1000-IMW110-F6603P02.BIN,版本1.10, Release 6603P02为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。

 

步骤4     在命令行配置界面的用户视图下,执行copy tftp命令将启动文件SecPathACG1000-IMW110-F6603P02.BIN 导入到CF卡中:

H3C# copy tftp 192.168.2.185 SecPathACG1000-IMW110-F6603P02.BIN ver

Download file SecPathACG1000-IMW110-F6603P02.BIN ....

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

#####################################################

Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.

Checking images valid success.

Install system................................................ success

Update images success.

步骤5     在命令行配置界面的用户视图下,执行reboot命令重启设备:

H3C# reboot

Save current configuration? Please enter "y/n"  to confirm:  y

Building configuration...

 

Save configuration ok !

The system will be rebooted! Please enter "y/n"  to confirm:  y

……略……

步骤6     设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致

H3C# display version

i-Ware software,Version 1.10, Release 6603P02, Build time is Mar  5 2015 15:32:26

System uptime: 0 days 0 hours 5 minutes

Firmware is SecPathACG1000-IMW110-F6603P02.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100100115022860784559

Device S/N      : 219801A0QQ914AP00001

Model           : ACG1000-S

Platform        : PLATFORM_MC1220

 

Basic Functionality                             : License valid  

Application Audit and Control                   : License valid  

Malware URL Category                            : License valid  

Virtual Private Network                         : License valid  

Application Audit and Control Update Service    : License valid  

Malware URL Category Update Service             : License valid  

Virtual Private Network Tunnel Limit            : License valid  

2. H3C#使用FTP协议升级设备的启动文件

设备作为FTP Client,访问FTP文件服务器的指定路径,完成启动文件的备份及升级操作,具体操作步骤如下:

(1)      备份当前启动文件和配置文件

步骤1     在命令行配置界面的用户视图下,执行save命令保存设备当前配置信息:

H3C# save config

Building configuration...

Save configuration ok !

步骤2     在命令行配置界面的用户视图下,执行display version命令,确认当前版本号:

H3C# display version

i-Ware software,Version 1.10,Release 6603P01, Build time is Jan 28 2015 17:31:46

System uptime: 0 days 0 hours 42 minutes

Firmware is SecPathACG1000-IMW110-R6603P01.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100200114052620813527

Model           : ACG1000-M

Platform        : PLATFORM_MC5200

 

Basic Functionality                             : License valid

Application Audit and Control                   : License valid

Malware URL Category                            : License valid

Virtual Private Network                         : License valid

Application Audit and Control Update Service    : License valid

Malware URL Category Update Service             : License valid

Virtual Private Network Tunnel Limit            : License valid

步骤3     在命令行配置界面的用户视图下,执行copy startup-config将配置文件syscfg.con备份到FTP文件服务器上:

H3C# copy startup-config ftp anonymous test 192.168.0.2 syscfg.con

(2)      升级启动文件

说明

本节中,以即将升级的启动文件SecPathACG1000-IMW110-F6603P02.BIN,版本1.10,Release 6603P02为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。

 

步骤4     在命令行配置界面的用户视图下,执行copy  ftp命令将启动文件SecPathACG1000-IMW110-F6603P02.BIN导入到设备的CF卡中:

H3C# copy ftp 192.168.2.185 SecPathACG1000-IMW110-F6603P02.BIN ver

Download file SecPathACG1000-IMW110-F6603P02.BIN ....

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

#####################################################

Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.

Checking images valid success.

Install system................................................ success

Update images success.

 

步骤5     在命令行配置界面的用户视图下,执行reboot命令重启设备:

H3C# reboot

Save current configuration? Please enter "y/n"  to confirm:  y

Building configuration...

Save configuration ok !

The system will be rebooted! Please enter "y/n"  to confirm:  y

步骤6     设备重启后,通过display version命令查看设备的当前版本信息是否与升级的版本一致

H3C# display version

i-Ware software,Version 1.10, Release 6603P02, Build time is Mar  5 2015 15:32:26

System uptime: 0 days 0 hours 5 minutes

Firmware is SecPathACG1000-IMW110-F6603P02.BIN

 

Application signature version: ACG-APP-R3.1.4

 

Software S/N    : 110100100115022860784559

Device S/N      : 219801A0QQ914AP00001

Model           : ACG1000-S

Platform        : PLATFORM_MC1220

 

Basic Functionality                             : License valid   

Application Audit and Control                   : License valid  

Malware URL Category                            : License valid  

Virtual Private Network                         : License valid  

Application Audit and Control Update Service    : License valid  

Malware URL Category Update Service             : License valid  

Virtual Private Network Tunnel Limit            : License valid 

C.4.2 通过Web升级启动文件

设备支持Web网管功能,管理员可以使用Web界面方便直观地管理、维护和升级。

设备在出厂前,已经设置了缺省的Web登录信息,用户可以直接使用该缺省信息登录Web界面。

表4 设备缺省Web登录信息表

登录信息项

设备默认配置

用户名

admin

密码

admin

接口IP地址

192.168.1.1/24

(1)      连接设备和PC

用以太网线将PC和设备的以太网口相连。

(2)      PC配置IP地址,确保能与设备互通。

修改IP地址为192.168.1.0/24(除192.168.1.1),例如192.168.1.2

(3)      启动浏览器,输入登录信息。

PC上启动浏览器,在地址栏中输入IP地址“192.168.1.1”后回车,即可进入设备的Web登录页面,输入设备默认的用户名、密码和验证码,单击<登录>按钮即可登录。

(4)      在导航栏中选择“系统管理 > 系统设定>系统升级”,进入如下图所示的页面。

图2 软件升级

 

(5)      单击<上传>按钮开始进行软件升级。

警告

软件升级需要一定的时间。升级完成后,手动执行重启命令重启设备。

C.4.3 通过MenuBoot菜单升级启动文件

通过MenuBoot菜单升级启动文件,可以采用以下方式:

·              通过以太网口利用FTP升级启动文件

1. 连接console线缆进入MenuBoot菜单

说明

以下显示信息与设备实际情况相关,可能会略有差别。

设备上电和重新启动的过程中,在配置终端的屏幕上首先将显示 输入Ctrl+C进入menuboot 菜单,

PrRss Ctrl+C to stop auto start : 03

reading menuboot

.......................................[   25.391419] tmp421 0-004c: Could not read configuration register (-5)

/sbin/rc starting

Mounting file systems

Setting up loopback

……

        ===============================================================

        |            BOOT MENU(V2.0-20140812)                         |

        |  1. Upgrade image by FTP.                                   |

        |  2. Upgrade menuboot by FTP.                                |

        |  3. Check and repare file system.                           |

        |  4. Reset administrator passowrd.                           |

        |  5. Producing test.                                         |

        |  6. Aging test.                                             |

        |  7. Display production and aging recored.                   |

        |  8. Advance functions.                                      |

        |  0. Reboot.                                                 |

        |                                                             |

        ===============================================================

该菜单含义如下:

表5 MenuBoot主菜单

菜单项

说明

<1> Upgrade image by FTP

通过FTP升级启动文件

<2> Upgrade menuboot by FTP

通过FTP升级menuboot

<3> Check and repare file system

检测/修复文件系统

<4> Reset administrator passowrd

恢复管理员默认密码

<5> Producing test

装备测试,检查端口基础通讯功能

<6> Aging test

老化测试,长时间进行收发报文压力测试

<7> Display production and aging recored

显示装备测试和老化测试的结果

<8> Advance functions

暂不支持

<0> Reboot

重新启动设备

2. 通过以太网口利用FTP升级启动文件

(1)      MenuBoot主菜单下键入<1>,可以进入通过FTP升级启动文件,分别输入如下信息:

Please input your choice[0-8]:1

Local IP[A.B.C.D/M]:192.168.0.1/24

Server IP[A.B.C.D]:192.168.0.2

Gateway IP[A.B.C.D]:192.168.0.254

image name[xxx.bin]:SecPathACG1000-IMW110-F6603P02.BIN

表6 以太网参数设置说明

显示

说明

LOCAL IP

设备自己的IP地址

Server IP

FTP服务器IP地址

Gateway IP

网关IP地址,当与服务器不在同一网段时需要配置网关地址

image name

升级版本名称

 

(2)      升级完成后,键入<0>重启设备使新升级文件生效:

Download file SecPathACG1000-IMW110-F6603P02.BIN ....

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

################################################################

##############################################

Download file(SecPathACG1000-IMW110-F6603P02.BIN) success.

Checking images valid success.

Install system......................................................................... success

Update images success.

 

        ===============================================================

        |            BOOT MENU(V2.0-20140812)                         |

        |  1. Upgrade image by FTP.                                   |

        |  2. Upgrade menuboot by FTP.                                |

        |  3. Check and repare file system.                           |

        |  4. Reset administrator passowrd.                           |

        |  5. Producing test.                                         |

        |  6. Aging test.                                             |

        |  7. Display production and aging recored.                   |

        |  8. Advance functions.                                      |

        |  0. Reboot.                                                 |

        |                                                             |

        ===============================================================

 

Please input your choice[0-8]: 0

C.4.4 升级时间

设备加载升级文件,需要2分钟左右

设备重启,需要3分钟左右

C.5 软件升级失败的处理

升级失败后,用户可以通过以下方式尝试解决软件升级失败问题。

(1)      请检查物理接口是否连接完好,请确保接口物理连接正确,并观察指示灯是否正常。

(2)      通过Console口登录设备时,请检查超级终端相关参数是否设置正确,如波特率、数据位等。

(3)      请检查FTP Server或者TFTP Server等软件是否正常运行,相关设置是否正确。

(4)      如果文件在加载结束后出现如下提示:image desc magic check fail.请检查文件是否可用。

(5)      如果上述检查均正常,请联系H3C技术服务人员。

 


1. 任何从本网站下载的软件都是H3C公司受著作权保护的产品。

2. 使用软件必须受最终用户许可协议的条款的约束,该许可协议随软件附上或包含在软件中。

3. 除非最终用户首先同意许可协议的条款,否则不能安装任何附有或内含许可协议的软件。

4. 软件仅供最终用户根据许可协议的规定下载使用。

5. 最终用户在用下载软件进行升级及使用的过程中,应严格遵守操作指导书,对于未按指导书而引起的问题,责任由使用者自负。

6. 对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止,并可导致严重的民事及刑事处罚。

7. 所下载的软件版本仅限美国以外的地区使用。

联系我们