- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
H3C SecPath L1000-CMW710-R8160P35 版本软件及说明书(2023年度稳定版本,支持RBM主备组网,推荐更低版本升级至本版本)
2023/7/3 21:17:53
下载: H3C SECPATHL1000-CMW710-R8160P35 版本说明书
表目录
表1 历史版本信息表....................................................................... 1
表2 版本配套表.............................................................................. 2
表3 MIB文件变更说明.................................................................... 4
表4 L1000-M/L1000-S硬件特性................................................... 12
表5 L1000-E硬件特性.................................................................. 12
表6 L1000-AK310/L1000-AK320/L1000-AK330/L1000-C硬件特性.............................................................................................. 13
表7 产品软件特性......................................................................... 14
表8 软件升级方式简介.................................................................. 19
表9 默认Web登录信息表............................................................. 28
表10 显示信息描述表................................................................... 30
表11 BootWare主菜单................................................................. 31
表12 BootWare操作菜单.............................................................. 32
表13 BootWare操作以太网子菜单................................................ 32
表14 以太网参数设置说明............................................................ 33
表15 文件控制子菜单................................................................... 34
本文介绍了R8160P35版本的特性、使用限制、存在问题及规避措施等,在加载R8160P35版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。
本文档需和随版本发布的《H3C SECPATHL1000-CMW710-R8160P35版本说明书(软件特性变更说明)》,以及本文“9 相关资料”中的文档一起配合使用。
版本号:Comware Software,Version 7.1.064, Release 8160P35
注:该版本号可在命令行任何视图下用display version命令查看,见注①。
版本号 | 基础版本号 | 发布日期 | 版本类型 | 备注 |
R8160P35 | R8160P2901 | 2023-06-16 | Release版本 | 技术支援 |
R8160P2901 | F8160P26 | 2022-12-26 | Release版本 | 年度版本,发布用服 |
F8160P26 | F8160P02 | 2022-08-12 | Feature版本 | 受限发布用服 |
F8160P02 | E8139P14 | 2020-07-28 | Feature版本 | 受限发布用服 |
E8139P14 | E8139P07 | 2020-05-11 | ESS版本 | 发布用服 |
E8139P07 | R8127P20 | 2019-08-28 | ESS版本 | 受限发布用服 |
R8127P20 | E8127P17 | 2019-06-26 | Release版本 | 发布用服 |
E8127P17 | R8117P26 | 2019-04-17 | ESS版本 | 受限发布用服 |
R8117P26 | R8117P20 | 2019-03-13 | Release版本 | 发布用服 |
R8117P20 | R8117P1801 | 2018-09-19 | Release版本 | 发布生产 |
R8117P1801 | R8117P15 | 2018-06-27 | Release版本 | 发布用服 |
R8117P15 | R8117P13 | 2018-04-25 | Release版本 | 发布用服 |
R8117P13 | R8117P12 | 2018-01-24 | Release版本 | 发布生产 |
R8117P12 | R8117P09 | 2017-12-27 | Release版本 | 发布用服 |
R8117P09 | E8117P06 | 2017-10-26 | Release版本 | 发布用服 |
E8117P06 | F8117P03 | 2017-07-28 | ESS版本 | 受限发布用服 |
F8117P03 | F8117P01 | 2017-05-25 | Feature版本 | 受限发布用服 |
F8117P01 | F8113 | 2017-03-27 | Feature版本 | 受限发布用服 |
F8113 | E8111 | 2016-11-23 | Feature版本 | 受限发布用服 |
建议使用以下浏览器:
· IE10及以上
· Firefox19及以上
· Chrome 31及以上
· Safari 5及以上版本
在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。
产品系列 | L1000系列 | ||
型号 | L1000-C L1000-AK310 | L1000-S L1000-M L1000-AK320 L1000-AK330 | L1000-E |
内存 | 8G | 8G | 16G |
FLASH | 8MB Nor Flash 1GB NandFlash | ||
BOOTROM版本号 | 1.07及以上版本 (该版本号可在命令行任何视图下用display version命令查看,见注②) | ||
目标文件名称及MD5校验码 | SECPATHL1000-CMW710-R8160P35.ipe: a5fe3ad24a21b87cc4cedb2afcb5c4e8 | ||
iMC版本号 | iMC-ACLM 7.3 (E0705P12) iMC-DM 7.3 (E0705P12) iMC EIA 7.3(TAM) (E0611P13) iMC-iCC 7.3 (E0705P12) iMC PLAT 7.3 (E0705P12) iMC SHM 7.3 (E0707L06) iMC SSM 7.3 (LBM)(E0505P03) iMC SSM 7.3 (SSM)(E0506H01) iMC-VLAN 7.3 (E0705P12) | ||
iNode 版本号 | iNode PC 7.3 (E0585) | ||
ADNET-FCAPS版本号 | E0709 | ||
AOM版本号 | E0706P01 | ||
示例:查看L1000-AK310的软件版本和BootWare版本号方式如下:
<Sysname> display version
H3C Comware Software, Version 7.1.064, Release 8160P35
Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath L1000-AK310 uptime is 2 weeks, 4 days, 15 hours, 11 minutes
Last reboot reason: User reboot
Boot image: flash:/l1000ade-cmw710-boot-R8160P35.bin
Boot image version: 7.1.064, Release 8160P35
Compiled May 06 2023 14:00:00
System image: flash:/l1000ade-cmw710-system-R8160P35.bin
System image version: 7.1.064, Release 8160P35
Compiled May 06 2023 14:00:00
Feature image(s) list:
flash:/l1000ade-cmw710-devkit-R8160P35.bin, version: 7.1.064
Compiled May 06 2023 14:00:00
flash:/l1000ade-cmw710-secescan-R8160P35.bin, version: 7.1.064
Compiled May 06 2023 14:00:00
SLOT 2
Uptime is 2 weeks, 4 days, 15 hours, 11 minutes
CPU type: Multi-core CPU
DDR3 SDRAM Memory 4094M bytes
Board PCB Version:Ver.A
CPLD_A Version: 2.0
CPLD_B Version: 3.0
Basic BootWare Version: 2.06
Extend BootWare Version: 2.06
Board PFC Version:Ver.A
NandFlash PCB Version:Ver.A
[SubSlot 0]16GE+8SFP (Hardware)Ver.A, (Driver)1.0, (Cpld)3.0
从D8104之前的版本升级到D8104及后续版本时,请提前做好配置保存及配置文件备份,然后删除设备上的MDB文件,但保留CFG配置文件,最后升级版本文件。升级后请注意关注配置有无丢失,如果有丢失需要重新进行配置。
无
有关本版本和历史版本的软件特性及命令行的变更信息说明,请参见随版本发布的文档《H3C SECPATHL1000-CMW710-R8160P35版本说明书(软件特性变更说明)》。
表3 MIB文件变更说明
版本号 | 项目 | MIB文件名称 | 模块名 | 说明 |
R8160P35 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8160P2901 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
F8160P26 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
F8160P02 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8139P14 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8139P07 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8127P20 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8127P17 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8117P26 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8117P20 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8117P1801 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8117P15 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8117P13 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8117P12 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8117P09 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8117P06 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
F8117P03 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
F8117P01 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
F8113 | 新增 | / | / | 无 |
修改 | / | / | 无 |
无
在更新软件版本之前,强烈建议您通过《H3C SECPATHL1000-CMW710-R8160P35版本说明书(软件特性变更说明)》了解版本间的软件特性变更情况,评估变更可能对业务造成的影响,同时请查阅相关的配套资料。
(1) 不支持Web与命令行混用,对于同一个特性模块,不能同时既使用命令行,又使用Web进行配置;
(2) Context数量请严格参照规格范围内使用。
(3) 不支持AFT与RBM组合。
(4) 不支持攻击防范和URPF、GRE、Tunnel。
(5) 处理SIP流量时,不支持IPv6。
(6) GSLB不支持IPv6和RBM双机组网
(7) LB不与MPLS、隧道一起使用。
(8) 基于Radius的持续性功能,如果报文是IP分片报文,且生成持续性的关键字段不在报文的首片中,则持续性表项生成失败。
(9) LB七层业务不支持热备。
(1) VRRP+RBM组网下,LB仅支持单业务的主备。
(2) RBM控制通道支持跨三层(标准协议栈),数据通道只支持二层。
(3) 不建议在内存不足的情况下进行Context的重启、开始、停止等操作,可能会导致Context异常。
(4) 建议使用逐流转发,不建议使用逐包。逐包转发可能导致LB业务异常
(5) 多个虚服务器引用同一个负载均衡策略时,各虚服务器的负载均衡动作对应的不同实服组需要同时做源地址转换或者都不做源地址转换。
(6) 不支持实时响应服务器应答更新负载均衡设备侧缓存文件,若服务器更新频繁可以调小缓存老化时间或考虑不缓存。
(7) VRRP+RBM组网,NQA模板不能RBM配置同步,需要两台设备同时配置并保存为基本配置。
License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。
产品需要通过License授权的软件功能以及License授权的相关属性,请参见产品配套的《H3C SecPath 负载均衡产品 License支持情况说明》。
H3C网站提供License的激活申请、设备授权迁移申请等功能:
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C 安全产品 License注册演示视频》、《H3C 安全产品 License注册演示图解》、《H3C 安全产品 License注册演示典型配置举例》和《H3C 安全产品 License使用指南》。
H3C提供了License相关的FAQ,如您在操作过程中遇到问题,可查阅《H3C 安全产品 License注册用户FAQ》。
无
· 问题现象:执行 dis current命令显示报错
· 问题产生条件:大配置情境下,执行dis current命令
· 问题描述:context下备份的会话并发数量翻倍。
· 问题产生条件:vrrp+rbm组网,context下打流,重启该context。
· 问题描述:内存模式下存在数据库wal文件大小超上限的情况。
· 问题产生条件:请没有硬盘情况下,开启日志dac功能(除了流量、威胁、文件过滤、url过滤、审计之外的业务,比如数据过滤、安全策略日志、安全策略命中计数dac log-collect service security-policycounting enable等),产生大量日志。
· 问题描述:虚服务器下arp-nd 接口批备时采用的接口索引,备份到备设备接口出错。
· 问题产生条件:该接口索引在备设备context下有,而根下没有,先在主设备上删除聚合子接口1,再在主设备上执行配置回滚,备设备恢复的配置出现了一个其他接口或者不存在的接口。
· 问题描述:流量特征规则类型为InLoopBack,Register-Tunnel口无法配置备份。
· 问题产生条件:流量特征规则类型为接口,包含InLoopBack,Register-Tunnel口,下发配置,在备机上查看。
· 问题描述:VRRP+RBM组网,设备重启。
· 问题产生条件:自定义context下配置出链路,链路名称过长,引用就近性,打开就近性调试开关。
· 问题描述:命令行和context卡死不能恢复。
· 问题产生条件:context下虚服务引用dpi策略,流量下跑脚本手动停止context。
· 问题描述:重定向类型的虚服务无法分发流量。
· 问题产生条件:在虚服务器下配置重定向类型。
· 问题描述:VRRP+RBM组网下,备设备探测失败,流量在备设备上不通。
· 问题产生条件:VRRP+RBM组网下,在主设备上配置带文件的自定义智能探测模板,流量切换至备设备。
· 问题描述:对象组命令行卡顿。
· 问题产生条件:配置大量域名解析。
无。
· 问题现象:设备存在漏洞CVE-2019-5489。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:设备存在TCP协议栈相关漏洞HSVD-201904-001。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:登录页面不显示设备型号。
· 问题产生条件:web方式访问设备。
· 问题现象:缓存策略被多个虚服务引用时,错误提示信息不明确。
· 问题产生条件:缓存策略被多个虚服务引用。
无。
无。
· 问题现象:设备存在安全漏洞CVE-2018-5407。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:设备存在安全漏洞CVE-2018-15473。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:设备存在Linux相关安全漏洞PSRT-20171207-Linux(CVE-2017-14954等10个)。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
无。
· 问题现象:设备存在openssl相关安全漏洞问题PSRT110642( CVE-2017-15896/CVE-2017-3737CVE-2017-3738)。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:请修改Curl相关安全漏洞PSRT20180503-Curl(CVE-2016-9586)。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:设备存在openssl相关安全漏洞PSRT110642(CVE-2017-15896/CVE-2017-3737CVE-2017-3738)。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:设备存在openssl相关安全漏洞问题PSRT110630(CVE-2017-3736)。
· 问题产生条件:设备进行系统漏洞扫描。
· 说明:重大问题同步。
· 问题现象:业务流量触发创建大量就近性表项,消耗大量内存。
· 问题产生条件:LLB Outbound就近性表项采用NQA ICMP类型探测。
无。
· 问题现象:不支持SSL POLICY在虚服务配置。
· 问题产生条件:SSL特性基于虚服务单独配置。
· 问题现象:配置成功条件时,只能选择“至少*个检测通过”,配置“全部通过”时,该命令下发不成功。
· 问题产生条件:web上配置实服务器配置健康检测方法。
· 问题现象:L系列支持安全策略。
· 问题产生条件:L系列支持安全策略。
无。
· 问题现象:错误提示信息有乱码。
· 问题产生条件:在Web的流量特征页面增加ACL,并且ACL名称输入错误。
· H3C SecPath L1000-E_L1000-M_L1000-S负载均衡设备 快速安装指南
· H3C SecPath L1000-E[L1000-M][L1000-S] 负载均衡设备 安装指导
· H3C SecPath L1000-C[L100-C] 负载均衡设备 快速安装指南
· H3C SecPath L1000-C[L100-C] 负载均衡设备 安装指导
· H3C SecPath L1000-AK系列负载均衡设备 快速安装指南
· H3C SecPath L1000-AK系列负载均衡设备 安装指导
· H3C SecPath [L100][L1000][L5000][ADE插卡]负载均衡产品 配置指导(V7)-6W400
· H3C SecPath [L100][L1000][L5000][ADE插卡]负载均衡产品 命令参考(V7)-6W400
您可以通过H3C网站(www.h3c.com)获取最新的产品资料:
(1) 请访问网址:http://www.h3c.com/cn/Technical_Documents;
(2) 选择产品类别和产品型号,即可查询和下载与该产品相关的手册。
用户支持邮箱:service@h3c.com
技术支持热线电话:400-810-0504(手机、固话均可拨打)
项目 | 描述 |
接口 | 1个配置口(CON) 2个外置USB host接口 16个千兆以太电口 8个千兆以太光口 |
扩展槽 | 2个扩展插槽,用于支持NSQM1TG4FBA、NSQM1GP4FBA、NSQM1GT4PFC模块 |
硬盘扩展槽 | 1个扩展插槽,支持扩展1块SATA硬盘 |
内存配置 | 8G DDR3 SDRAM |
Flash配置 | 8MB Nor Flash 1GB NandFlash |
电源 | 内置2块100W交流电源 |
(不含脚垫和挂耳) | 440mm×435mm×44.2mm |
环境温度 | · 工作:无硬盘0℃~45℃,带硬盘5℃~40℃ · 非工作:-40℃~70℃ |
环境湿度(无冷凝) | · 工作:不带硬盘5%RH~95%RH,带硬盘10%RH~80%RH · 非工作:5%RH~95%RH |
表5 L1000-E硬件特性
项目 | 描述 |
接口 | 1个配置口(CON) 2个外置USB host接口 16个千兆以太电口 8个千兆以太光口 2个万兆以太光口 |
扩展槽 | 2个扩展插槽,用于支持NSQM1TG4FBA、NSQM1GP4FBA、NSQM1GT4PFC模块 |
硬盘扩展插槽 | 2个硬盘扩展插槽,支持扩展2块SATA硬盘 |
内存配置 | 16G DDR3 VLP RDIMM |
Flash配置 | 8MB Nor Flash 1GB NandFlash |
电源 | 外置2个电源扩展插槽,支持交流和直流 |
外形尺寸(宽×深×高) (不含脚垫和挂耳) | 440mm×435mm×44.2mm |
环境温度 | · 工作:无硬盘0℃~45℃,带硬盘5℃~40℃ · 非工作:-40℃~70℃ |
环境湿度(无冷凝) | · 工作:不带硬盘5%RH~95%RH,带硬盘10%RH~80%RH · 非工作:5%RH~95%RH |
表6 L1000-AK310/L1000-AK320/L1000-AK330/L1000-C硬件特性
项目 | 描述 | |||
外形尺寸(宽×高×深) | L1000-AK310 | L1000-AK320 | L1000-AK330 | L1000-C |
重量(满插板) | 7.3KG | 7.3KG | 8.5KG | 7.3KG |
接口 | 1个配置口(CON) 2个外置USB host接口 16个千兆以太电口 8个千兆以太光口 | 1个配置口(CON) 2个外置USB host接口 16个千兆以太电口 8个千兆以太光口 | 1个配置口(CON) 2个外置USB host接口 16个千兆以太网电口 8千兆以太网光口 2个万兆以太网光口 | 1个配置口(CON) 2个外置USB host接口 16个千兆以太电口 8个千兆以太光口 |
扩展槽 | 2 | 2 | 2 | 2 |
硬盘扩展槽 | 1 | 1 | 2 | 1 |
内存配置 | 4GB | 8GB | 8GB | 4GB |
Flash配置 | 8MB Nor Flash 1GB NandFlash | |||
电源 | 内置2块100W交流电源 | 外置2个电源扩展插槽,支持交流和直流 | 内置2块100W交流电源 | |
环境温度 | · 工作:无硬盘0℃~45℃,带硬盘5℃~40℃ · 非工作:-40℃~70℃ | |||
环境湿度(无冷凝) | · 工作:无硬盘5%RH~95%RH,带硬盘10%RH~80%RH · 非工作:5%RH~95%RH | |||
业务 | 特性及描述 | |
服务器负载均衡 | 调度算法 | 加权轮转 随机 基于实服务器的加权最小连接 动态反馈 最小时间 带宽 最大带宽 源IP地址哈希 源IP地址CARP哈希 源IP地址和端口哈希 源IP地址和端口CARP哈希 目的IP地址哈希 目的IP地址CARP哈希 HTTP哈希 HTTP CARP哈希 基于成员的加权最小连接 基于优先级的调度算法 |
会话保持 | 基于源IP的会话保持 基于目的IP的会话保持 基于源IP+源端口的会话保持 基于目的IP+目的端口的会话保持 基于源IP+源端口+目的IP+目的端口的会话保持 基于源IP+目的IP的会话保持 基于HTTP报头的会话保持 基于HTTP cookie的会话保持 基于HTTP content的会话保持 基于HTTP URL的会话保持 基于SIP的会话保持 基于Radius属性的会话保持 基于DHCP属性的会话保持 基于SSL ID的会话保持 | |
健康检测 | ICMP TCP TcpHalfOpen FTP HTTP HTTPS SSL DNS Radius UDP POP3 RTSP IMAP4 SNMP SIP ARP SMTP snmp-dca WAP | |
HTTP策略 | Match cookie Match header Match URL Match content Match method Insert header action Rewrite header action | |
入方向链路负载均衡 | 入方向链路负载均衡 | DNS Listener DNS Map DNS Query Type DNS Zone DNS Reverse Zone Topology Region 带宽繁忙保护 链路健康检测 负载分担算法:最小连接数、随机、 轮询、静态就近性、动态就近性、带宽、最大带宽、地址HASH等 |
出方向链路负载均衡 | 出方向链路负载均衡 | 负载分担算法:最小连接数、随机、 轮询、地址HASH、带宽等 流量分类:源IP、ISP、ACL等 动态就近性 链路健康检测 ALG 带宽繁忙保护 |
DNS透明代理 | DNS透明代理 | 配置:DNS透明代理功能/DNS服务器池/服务器 负载分担算法:最小连接数、随机、 轮询、地址HASH、带宽等 链路健康检测 带宽繁忙保护 |
SSL卸载 | SSL卸载功能 | 支持SSL卸载功能: 卸载基于SSL的流量 SSL Server:支持SSL Server的所有功能,包括证书管理,认证等 SSL Client: 支持SSL Client功能,与后台的服务器可以进行SSL加密传输 |
管理 | 管理方式 | CLI(Telnet/SSH) 串口 支持标准网管SNMPV3,并且兼容SNMP V2C、SNMP V1 支持iMC |
组网 | 支持的组网环境 | 支持L4/L7服务器负载均衡 支持旁挂模式 |
B.1 F8160P26版本修复的安全漏洞
攻击者可利用该漏洞绕过安全限制,执行未授权的操作。
libssh2 输入验证错误漏洞libssh2是一款实现SSH2协议的客户端C库,它能够执行远程命令、文件传输,同时为远程的程序提供安全的传输通道。
TCP/IP SYN + FIN包过滤漏洞,远程主机不会丢弃设置了FIN标志的TCP SYN数据包。根据您使用的防火墙类型,攻击者可能会使用此漏洞绕过其规则。
远程主机利用TCP timestamp漏洞,获取正常上线运行时间。
Linux kernel信息泄露漏洞。
netkit telnet是一款使用在Linux平台中的telnet客户端程序。该程序主要用于使用TELNET协议与另一个主机进行交互通信。 Netkit telnet 0.17及之前版本中的telnetd的utility.c文件存在缓冲区错误漏洞。远程攻击者可利用该漏洞执行任意代码。
攻击者可利用该漏洞获取敏感信息。
攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。
源于crypto/ec/ecdsa_ossl.c文件的‘ecdsa_sign_setup()’函数未能正确的设置BN_FLG_CONSTTIME标识。本地攻击者利用该漏洞实施cache-timing攻击,获取ECDSA P-256私钥。
漏洞源于使用递归过度的恶意输入,构造的ASN.1类型可造成栈溢出,导致拒绝服务攻击。。
攻击者可利用该漏洞绕过访问限制,获取敏感信息。
生成算法存在安全漏洞。攻击者可利用该漏洞实施时序攻击,恢复私钥。
攻击者可利用该漏洞造成拒绝服务。
OpenSSL存在安全漏洞,攻击者可利用该漏洞绕过安全保护。
攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。
OpenSSL存在的一个本地信息泄露漏洞,本地攻击者可以利用该漏洞获取敏感信息,这可能有助于进一步的攻击。
修复OpenSSL存在的安全漏洞:OpenSSL在处理EDIPartyName (X.509GeneralName类型)时,使用的函数GENERAL_NAME_cmp中存在一处空指针取消引用,当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞。
加密算法本身问题,如果默认修改为不支持涉及漏洞的几种加密算法,可能会导致用户升级后WEB无法登陆问题。规避方案:[H3C-ssl-server-policy-fxm]ciphersuite下不要选包含DES、3DES、RC2这种block长度为8bytes的cbc算法,可以选aes_256_cbc等算法,然后重启https服务。
修复OpenSSL BN_mod_sqrt拒绝服务漏洞:证书解析使用的BN_mod_sqrt()函数存在一个错误,它会导致在非质数的情况下永远循环。通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。易受攻击的情况如下:使用服务器证书的TLS客户端;使用客户端证书的TLS服务器;托管服务提供商从客户处获取证书或私钥;证书颁发机构解析来自订阅者的认证请求;任何其他解析ASN.1椭圆曲线参数的程序。
· 各款型产品软件升级方法相同,请根据本章描述的方法进行操作。
· 各款型产品的默认存储介质可能存在差异,本章以CF卡为例进行介绍。
· 软件升级过程中的显示信息与设备的版本及型号有关,具体显示信息请以实际情况为准。
· 在软件升级过程中,禁止关闭电源或重启设备。
设备软件主要包括Bootware程序和启动软件包。
· Bootware文件对存储器进行容量检查和测试,初始化硬件并显示设备的硬件参数。
· 启动文件一方面提供对主要部件的硬件驱动和适配功能,另一方面实现对业务特性的支持。
设备开机最先运行的程序是BootWare程序,它能够引导硬件启动、引导启动软件包运行、提供BootWare菜单功能。BootWare程序存储在设备的BootWare(芯片)中。完整的BootWare包含BootWare基本段和BootWare扩展段。
· BootWare基本段是指完成系统基本初始化的BootWare。
· BootWare扩展段具有丰富的人机交互功能,用于接口的初始化,可以实现升级应用程序和引导系统。
通常情况下,BootWare文件是一个后缀名为.btw的文件(例如:main.btw)。
1. 启动软件包的分类
启动软件包是用于引导设备启动的程序文件,按其功能可以分为以下几类:
· Boot软件包(简称Boot包):包含Linux内核程序,提供进程管理、内存管理、文件系统管理、应急Shell等功能。
· System软件包(简称System包):包含Comware内核和基本功能模块的程序,比如设备管理、接口管理、配置管理和路由模块等。
· Feature软件包(简称Feature包):用于业务定制的程序,能够提供更丰富的业务。一个Feature包可能包含一种或多种业务。是否支持Feature包以及支持哪些Feature包与设备的型号有关,请以设备的实际情况为准。
· Patch软件包(简称补丁包):用来修复设备软件缺陷的程序文件。补丁包与软件版本一一对应,补丁包只能修复与其对应的启动软件包的缺陷,不涉及功能的添加和删除。
设备必须具有Boot包和System包才能正常运行,Feature包可以根据用户需要选择安装,补丁包只在需要修复设备软件缺陷时安装。
2. 启动软件包的发布形式
启动软件包有以下两种发布形式:
· BIN文件:后缀为.bin的文件。一个BIN文件就是一个启动软件包。要升级的BIN文件之间版本必须兼容才能升级成功。
· IPE(Image Package Envelope,复合软件包套件)文件:后缀为.ipe的文件。它是多个软件包的集合,产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户将该IPE文件加载到设备后,设备会自动将它解压缩成多个BIN文件。用户再使用这些BIN文件升级设备即可,从而能够减少启动软件包之间的版本管理问题。
3. 主/备用启动软件包以及软件包列表
用户在配置设备下次启动使用的软件包时,需要指定软件包的名称,以及软件包的主用/备用属性。
· 设备会将所有具有主用属性的软件包的名称存储在主用启动软件包列表中,将所有具有备用属性的软件包的名称存储在备用启动软件包列表中。
· 当设备启动时,优先使用主用启动软件包列表中的软件包,如果主用启动软件包列表中软件包不存在或者不可用,再使用备用启动软件包列表中的软件包。
配置文件是用来保存配置的文件。配置文件主要用于:
· 将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。
· 使用配置文件,用户可以非常方便地查阅配置信息。
设备缺省的配置文件名为startup.cfg。
升级对象 | 升级方式 | 说明 |
升级启动文件 | 通过命令行升级启动文件 | · 升级设备的启动文件或BootWare文件后,需要重新启动该设备,在重启过程中,设备的各项业务功能将不可用 · 由于不同软件版本之间配置文件信息不兼容,会造成升级后设备的配置与升级前不相同,请您仔细查阅相应章节内容,以便确认待升级版本的特性变更情况 |
通过Web方式升级启动文件 | ||
通过BootWare菜单升级BootWare文件 | 通过以太网口利用TFTP/FTP升级BootWare文件 | |
通过Console口利用Xmodem协议升级BootWare文件 |
· 进行软件升级前请确认需要使用的启动软件包版本及BootWare版本,确保使用正确的升级文件。
· 下文中的举例仅做参考,设备的显示信息请以实际情况为准。
· TFTP/FTP Server由用户自己购买和安装,设备不附带此软件。
· 进行软件升级前请确认需要使用的启动软件包版本及BootWare版本,确保使用正确的升级文件。
TFTP(Trivial File Transfer Protocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。设备作为TFTP Client,文件服务器(通常为PC)作为TFTP Server,用户通过在终端输入相应命令,可将本设备的启动文件上传到文件服务器上,或者从文件服务器下载启动文件到设备中。
FTP(File Transfer Protocol,文件传输协议)在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输。设备作为FTP Client,文件服务器(通常为PC)为FTP Server。
在升级设备启动文件前,请完成如下准备工作:
· 在设备出厂前,已配置接口GigabitEthernet1/0/0的IP地址为192.168.0.1/24。此接口已被加入Management安全域,且安全域Management和Local之间可以互通。
· 管理员也可以根据实际网络需求,自定义用于软件升级的安全域和接口IP地址,并正确配置安全域间实例以保证所配置的安全域与Local安全域之间可以互通。有关安全域和安全域间实例的详细介绍请参见“基础配置指导”中的“安全域”。用户需配置文件服务器IP地址,确保设备与文件服务器路由可达。
· 开启文件服务器的TFTP/FTP Server功能。
· 通过配置终端登录到设备的命令行配置界面中。
· 将设备的升级启动文件拷贝到文件服务器上,并正确设置TFTP/FTP Server的访问路径。
C.4.1 通过命令行升级启动文件
通过命令行升级启动文件,可以采用以下方式:
· 使用TFTP协议升级设备的启动文件
· 使用FTP协议升级设备的启动文件
1. 使用TFTP协议升级设备的启动文件
设备作为TFTP Client,访问TFTP文件服务器的指定路径,完成启动文件的备份与升级操作,
具体操作步骤如下:
(1) 备份当前启动文件和配置文件
# 在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
<Sysname> save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
<Sysname>
# 在命令行配置界面的用户视图下,执行dir命令查看设备当前的文件系统,确认启动文件及配置文件名,以及Flash的剩余空间,保证Flash有足够空间放入新的启动文件:
<Sysname> dir
Directory of cfa0:
0 drw- - Jul 06 2022 15:04:22 context
1 drw- - Jul 05 2022 10:01:40 diagfile
2 drw- - Jul 05 2022 10:36:20 dpi
3 -rw- 735 Jul 05 2022 10:01:48 hostkey
4 -rw- 735 Jul 05 2022 09:24:34 hostkey_v3
5 -rw- 805 Nov 27 2022 19:50:26 ifindex.dat
6 drw- - Nov 27 2022 19:40:15 license
7 drw- - Jul 06 2022 10:27:44 logfile
8 drw- - Nov 27 2022 19:40:32 pki
9 -rw- 1676 Jul 05 2022 09:40:20 private-data.txt
10 drw- - Jul 05 2022 09:24:26 seclog
11 -rw- 591 Nov 27 2022 19:40:32 serverkey
12 -rw- 3928 Nov 27 2022 19:50:27 startup.cfg
13 -rw- 77641 Nov 27 2022 19:50:27 startup.mdb
16 drw- - Nov 27 2022 19:40:27 versionInfo
252164 KB total (146614 KB free)
<Sysname>
# 在命令行配置界面的用户视图下,执行tftp put命令分别将配置文件startup.cfg备份到TFTP文件服务器上:
<Sysname> tftp 192.168.0.2 put startup.cfg vpn-instance management
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 3950 0 0 100 3950 0 204k --:--:-- --:--:-- --:--:-- 642k
<Sysname>
(2) 升级启动文件
本节中,以即将升级的启动文件.main.ipe,版本R8514P10为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
# 在命令行配置界面的用户视图下,执行tftp get命令将启动文件main.ipe导入到设备的Flash中:
<Sysname> tftp 192.168.100.9 get l1000_ade.ipe
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 102M 100 102M 0 0 461k 0 0:03:48 0:03:48 --:--:-- 554k
Writing file...Done.
<Sysname>
# 在命令行配置界面的用户视图下,执行boot-loader命令设置设备下次启动使用的启动文件为l1000_ade.ipe,并指定启动文件类型为l1000_ade.ipe:
<Sysname> boot-loader file flash:/l1000_ade.ipe all main
Verifying the file flash:/l1000_ade.ipe on slot 1.......Done.
H3C SecPath L1000-AK320 images in IPE:
l1000ade-cmw710-boot-R8160P2901.bin
l1000ade-cmw710-system-R8160P2901.bin
l1000ade-cmw710-secescan-R8160P2901.bin
This command will set the main startup software images. Please do not reboot any MPU during the upgrade. Continue? [Y/N]:y
Add images to slot 1.
File flash:/l1000ade-cmw710-boot-R8160P2901.bin already exists on slot 1.
File flash:/l1000ade-cmw710-system-R8160P2901.bin already exists on slot 1.
File flash:/l1000ade-cmw710-secescan-R8160P2901.bin already exists on slot 1.
Overwrite the existing files?[Y/N]:y
Decompressing file l1000ade-cmw710-boot-R8160P2901.bin to flash:/l1000ade-cmw710-boot-R8160P2901.bin..................Done.
Decompressing file l1000ade-cmw710-system-R8160P2901.bin to flash:/l1000ade-cmw710-system-R8160P2901.bin.................................................................................................................................................................................................................................................Done.
Decompressing file l1000ade-cmw710-secescan-R8160P2901.bin to flash:/l1000ade-cmw710-secescan-R8160P2901.bin..............................Done.
Verifying the file flash:/l1000ade-cmw710-boot-R8160P2901.bin on slot 1...Done.
Verifying the file flash:/l1000ade-cmw710-system-R8160P2901.bin on slot 1......Done.
Verifying the file flash:/l1000ade-cmw710-secescan-R8160P2901.bin on slot 1...Done.
The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1.
Decompression completed.
Do you want to delete flash:/l1000_ade.ipe now? [Y/N]:N
<Sysname>
# 在命令行配置界面的用户视图下,执行display boot-loader命令查看设备的启动程序文件信息:
<Sysname> display boot-loader
Software images on slot 1:
Current software images:
flash:/l1000ade-cmw710-boot-R8160P2901.bin
flash:/l1000ade-cmw710-system-R8160P2901.bin
flash:/l1000ade-cmw710-secescan-R8160P2901.bin
Main startup software images:
flash:/l1000ade-cmw710-boot-R8160P2901.bin
flash:/l1000ade-cmw710-system-R8160P2901.bin
flash:/l1000ade-cmw710-secescan-R8160P2901.bin
Backup startup software images:
None
<Sysname>
# 在命令行配置界面的用户视图下,执行reboot命令重启设备:
<Sysname> reboot
Start to check configuration with next startup configuration file, please wait.
........DONE!
This command will reboot the device. Continue? [Y/N]:y
System is starting...
……略……
# 设备重启后,通过display version命令查看设备的启动文件版本信息是否与升级的启动文件一致。
<Sysname> display version
H3C Comware Software, Version 7.1.064, Release 8160P2901
Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath L1000-AK320 uptime is 0 weeks, 0 days, 2 hours, 10 minutes
Last reboot reason: User reboot
Boot image: flash:/l1000ade-cmw710-boot-R8160P2901.bin
Boot image version: 7.1.064, Release 8160P2901
Compiled Oct 31 2022 14:00:00
System image: flash:/l1000ade-cmw710-system-R8160P2901.bin
System image version: 7.1.064, Release 8160P2901
Compiled Oct 31 2022 14:00:00
Feature image(s) list:
flash:/l1000ade-cmw710-secescan-R8160P2901.bin, version: 7.1.064
Compiled Oct 31 2022 14:00:00
SLOT 1
Uptime is 0 weeks, 0 days, 2 hours, 10 minutes
CPU type: Multi-core CPU
DDR3 SDRAM Memory 8190M bytes
Board PCB Version:Ver.A
CPLD_A Version: 2.0
CPLD_B Version: 4.0
Basic BootWare Version: 2.06
Extend BootWare Version: 2.06
Board PFC Version:Ver.A
NandFlash PCB Version:Ver.A
[SubSlot 0]16GE+8SFP (Hardware)Ver.A, (Driver)1.0, (Cpld)4.0
<Sysname>
2. 使用FTP协议升级设备的启动文件
设备作为FTP Client,访问FTP文件服务器的指定路径,完成启动文件的备份及升级操作,具体操作步骤如下:
(1) 备份当前启动文件和配置文件
# 在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
<Sysname> save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
<Sysname>
# 在命令行配置界面的用户视图下,执行dir命令查看设备当前的文件系统,确认启动文件及配置文件名,以及Flash的剩余空间,保证Flash有足够空间放入新的启动文件:
<Sysname> dir
Directory of cfa0:
0 drw- - Jul 06 2022 15:04:22 context
1 drw- - Jul 05 2022 10:01:40 diagfile
2 drw- - Jul 05 2022 10:36:20 dpi
3 -rw- 735 Jul 05 2022 10:01:48 hostkey
4 -rw- 735 Jul 05 2022 09:24:34 hostkey_v3
5 -rw- 805 Nov 27 2022 19:50:26 ifindex.dat
6 drw- - Nov 27 2022 19:40:15 license
7 drw- - Jul 06 2022 10:27:44 logfile
8 drw- - Nov 27 2022 19:40:32 pki
9 -rw- 1676 Jul 05 2022 09:40:20 private-data.txt
10 drw- - Jul 05 2022 09:24:26 seclog
11 -rw- 591 Nov 27 2022 19:40:32 serverkey
12 -rw- 3928 Nov 27 2022 19:50:27 startup.cfg
13 -rw- 77641 Nov 27 2022 19:50:27 startup.mdb
14 -rw- 5069824 Nov 27 2022 19:28:00 main-cmw710-boot-r8514p10.bin
15 -rw- 102857728 Nov 27 2022 19:28:12 main-cmw710-system-r8514p10.bin
16 drw- - Nov 27 2022 19:40:27 versionInfo
252164 KB total (146614 KB free)
<Sysname>
在文件服务器上启动FTP Server程序,设置启动文件所在的路径,以及FTP用户名和密码。本例设置用户名为user123,密码为123456。
# 在命令行配置界面的用户视图下,执行ftp命令登录FTP文件服务器,根据系统提示输入登录用户名和密码:
<Sysname> ftp 192.168.0.2
Press CTRL+C to abort.
Connected to 192.168.0.2 (192.168.0.2).
220 3Com 3CDaemon FTP Server Version 2.0
User (192.168.0.2:(none)): user123
331 User name ok, need password
Password:
230 User logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
# 在FTP客户端视图下,执行put命令分别将配置文件startup.cfg备份到FTP文件服务器上:
ftp> put startup.cfg
227 Entering passive mode (192,168,0,2,26,3)
125 Using existing data connection
.
226 Closing data connection; File transfer successful.
3950 bytes sent in 0.001 seconds (4.13 Mbytes/s)
ftp>
(2) 升级启动文件
本节中,以即将升级的启动文件main.ipe,版本为R8514P10为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
# 在FTP客户端视图下,执行get命令将启动文件l1000_ade.ipe导入到设备的Flash中:
ftp> get l1000_ade.ipe
227 Entering passive mode (192,168,0,2,8,252)
125 Using existing data connection
226 Closing data connection; File transfer successful.
107934720 bytes received in 187.994 seconds (560.68 Kbytes/s)
ftp>
# 在FTP客户端视图下,执行quit命令,返回到命令行配置界面的用户视图:
ftp> quit
221 Service closing control connection
<Sysname>
# 在命令行配置界面的用户视图下,执行boot-loader命令设置设备下次启动使用的启动文件为l1000_ade.ipe,并指定启动文件类型为l1000_ade.ipe:
<Sysname>boot-loader file flash:/l1000_ade.ipe all main
Verifying the file flash:/l1000_ade.ipe on slot 1.......Done.
H3C SecPath L1000-AK320 images in IPE:
l1000ade-cmw710-boot-R8160P2901.bin
l1000ade-cmw710-system-R8160P2901.bin
l1000ade-cmw710-secescan-R8160P2901.bin
This command will set the main startup software images. Please do not reboot any MPU during the upgrade. Continue? [Y/N]:y
Add images to slot 1.
File flash:/l1000ade-cmw710-boot-R8160P2901.bin already exists on slot 1.
File flash:/l1000ade-cmw710-system-R8160P2901.bin already exists on slot 1.
File flash:/l1000ade-cmw710-secescan-R8160P2901.bin already exists on slot 1.
Overwrite the existing files?[Y/N]:y
Decompressing file l1000ade-cmw710-boot-R8160P2901.bin to flash:/l1000ade-cmw710-boot-R8160P2901.bin..................Done.
Decompressing file l1000ade-cmw710-system-R8160P2901.bin to flash:/l1000ade-cmw710-system-R8160P2901.bin.................................................................................................................................................................................................................................................Done.
Decompressing file l1000ade-cmw710-secescan-R8160P2901.bin to flash:/l1000ade-cmw710-secescan-R8160P2901.bin..............................Done.
Verifying the file flash:/l1000ade-cmw710-boot-R8160P2901.bin on slot 1...Done.
Verifying the file flash:/l1000ade-cmw710-system-R8160P2901.bin on slot 1......Done.
Verifying the file flash:/l1000ade-cmw710-secescan-R8160P2901.bin on slot 1...Done.
The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1.
Decompression completed.
Do you want to delete flash:/l1000_ade.ipe now? [Y/N]:N
<Sysname>
# 在命令行配置界面的用户视图下,执行display boot-loader命令查看设备的启动程序文件信息:
<Sysname> display boot-loader
Software images on slot 1:
Current software images:
flash:/l1000ade-cmw710-boot-R8160P2901.bin
flash:/l1000ade-cmw710-system-R8160P2901.bin
flash:/l1000ade-cmw710-secescan-R8160P2901.bin
Main startup software images:
flash:/l1000ade-cmw710-boot-R8160P2901.bin
flash:/l1000ade-cmw710-system-R8160P2901.bin
flash:/l1000ade-cmw710-secescan-R8160P2901.bin
Backup startup software images:
None
< Sysname>
如上显示信息中,下一次启动的程序文件已经设置为main.ipe。
# 在命令行配置界面的用户视图下,执行reboot命令重启设备:
<Sysname> reboot
Start to check configuration with next startup configuration file, please wait.
........DONE!
This command will reboot the device. Continue? [Y/N]:y
System is starting...
……略……
# 设备重启后,通过display version命令查看设备的启动文件版本信息是否与升级的启动文件一致
<Sysname> display version
H3C Comware Software, Version 7.1.064, Release 8160P2901
Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecPath L1000-AK320 uptime is 0 weeks, 0 days, 2 hours, 10 minutes
Last reboot reason: User reboot
Boot image: flash:/l1000ade-cmw710-boot-R8160P2901.bin
Boot image version: 7.1.064, Release 8160P2901
Compiled Oct 31 2022 14:00:00
System image: flash:/l1000ade-cmw710-system-R8160P2901.bin
System image version: 7.1.064, Release 8160P2901
Compiled Oct 31 2022 14:00:00
Feature image(s) list:
flash:/l1000ade-cmw710-secescan-R8160P2901.bin, version: 7.1.064
Compiled Oct 31 2022 14:00:00
SLOT 1
Uptime is 0 weeks, 0 days, 2 hours, 10 minutes
CPU type: Multi-core CPU
DDR3 SDRAM Memory 8190M bytes
Board PCB Version:Ver.A
CPLD_A Version: 2.0
CPLD_B Version: 4.0
Basic BootWare Version: 2.06
Extend BootWare Version: 2.06
Board PFC Version:Ver.A
NandFlash PCB Version:Ver.A
[SubSlot 0]16GE+8SFP (Hardware)Ver.A, (Driver)1.0, (Cpld)4.0
<Sysname>
C.4.2 通过Web方式升级启动文件
IPS产品支持Web网管功能,管理员可以使用Web界面方便直观地管理、维护和升级。
IPS产品在出厂前,已经设置了默认的Web登录信息,用户可以直接使用该默认信息登录Web界面。默认Web登录信息请参见表2。
· 用户首次登录Web网管时可以使用缺省帐号或通过命令行创建新的Web登录帐号进行登录。本例以使用缺省账号登录为例,登录完成后为了确保设备的安全性,建议立即修改默认登录密码或创建新的管理员帐号并删除设备缺省帐号。
· 软件升级需要一定的时间。在软件升级的过程中,请不要在Web上进行任何操作,否则软件升级可能会中断。
表9 默认Web登录信息表
登录信息项 | 默认配置 |
用户名 | admin |
密码 | admin |
接口GigabitEthernet1/0/0的IP地址 | 192.168.0.1/24 |
(1) 连接设备和PC
用以太网线将PC和设备的以太网口相连,建议连在以太网管理口。
(2) 为PC配置IP地址,确保能与设备互通
修改IP地址为192.168.0.0/24(除192.168.0.1)子网内任意地址,例如192.168.0.2。
(3) 启动浏览器,输入登录信息
在PC上启动浏览器,在地址栏中输入IP地址“192.168.0.1”后回车,即可进入设备的Web登录页面,输入设备默认的用户名和密码,单击<登录>按钮即可登录。
(4) 选择“系统 > 升级中心 > 软件更新”,进入如下图所示的页面。
图1 软件更新页面
(5) 单击<升级系统软件>按钮,弹出升级系统软件配置页面,如下图所示。
图2 升级系统软件页面
(6) 选择待升级的启动文件。
(7) 单击<确定>按钮开始进行软件升级。
BootWare文件(.btw文件)是否和启动文件(.ipe文件)打包,与设备发布的版本有关,请和H3C技术支持人员确认后再执行相应的升级操作。本节仅介绍通过命令行和BootWare菜单单独升级BootWare文件的过程。
请按以下步骤升级BootWare文件:
(1) 使用FTP或者TFTP,将BootWare文件拷贝到设备存储介质的根目录下。
(2) 使用bootrom update升级BootWare文件:
<System> bootrom update cfa0:/main.btw slot 2
This command will update bootrom file, Continue? [Y/N]:y
Now updating bootrom, please wait...
Updating basic bootrom!
Update basic bootrom success!
Updating extended bootrom!
Update extended bootrom success!
Update bootrom success!
<System>
(3) 执行reboot命令重启设备。
C.5.2 通过以太网口利用TFTP/FTP升级BootWare文件
· 使用该方法升级BootWare文件操作仅在密码恢复功能处于开启状态下执行有效。
· 可以使用命令password-recovery enable开启密码恢复功能,用命令undo password-recovery enable关闭密码恢复功能。
设备上电和重新启动的过程中,在配置终端的屏幕上首先将显示
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Press Ctrl+T to start heavy memory test
Booting Normal Extended BootWare
The Extended BootWare is self-decompressing.......Done.
*****************************************************************
* *
* H3C SecPath BootWare, Version 2.05 *
* *
*****************************************************************
Compiled Date : Feb 25 2016
CPU Type : XXX
CPU Clock Speed : 1400MHz
Memory Type : DDR3 SDRAM
Memory Size : 16384MB
Memory Speed : 1333MHz
BootWare Size : 768KB
Flash Size : 8MB
cfa0 Size : 247MB
CPLD_A Version : 1.0
CPLD_B Version : 2.0
PCB Version : Ver.A
BootWare Validating...
Press Ctrl+B to access EXTENDED-BOOTWARE MENU...
当出现“Press Ctrl+B to access EXTENDED-BOOTWARE MENU...”时,立即按下<Ctrl+B>,系统将进入BootWare主菜单。
在显示信息中可以查看是否使能密码恢复功能。
显示信息 | 说明 |
Password recovery capability is enabled. | 密码恢复功能处于开启状态 |
Password recovery capability is disabled. | 密码恢复功能处于关闭状态 |
Password recovery capability is disabled.
Note: The current operating device is cfa0
Enter < Storage Device Operation > to select device.
===========================<EXTEND-BOOTWARE MENU>===========================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Restore to Factory Default Configuration |
|<6> Skip Current System Configuration |
|<7> BootWare Operation Menu |
|<8> Skip Authentication for Console Login |
|<9> Storage Device Operation |
|<0> Reboot |
============================================================================
Ctrl+Z: Access EXTEND-ASSISTANT MENU
Ctrl+F: Format File System
Enter your choice(0-9):
该菜单含义如下:
表11 BootWare主菜单
菜单项 | 说明 |
<1> Boot System | 引导启动文件 |
<2> Enter Serial SubMenu | 进入串口子菜单 |
<3> Enter Ethernet SubMenu | 进入以太网口子菜单 |
<4> File Control | 文件控制子菜单 |
<5> Restore to Factory Default Configuration | 恢复到出厂配置状态
· 该功能仅在密码恢复功能处于关闭状态下执行有效 · 执行该功能后,系统将删除用户当前使用的配置文件,并且以空配置启动。请谨慎使用该功能 |
<6> Skip Current System Configuration | 跳过当前配置进行启动,只是本次生效。该功能一般在用户丢失口令之后使用
该功能仅在密码恢复功能处于开启状态下执行有效 |
<7> BootWare Operation Menu | BootWare操作子菜单,用于BootWare程序操作 |
<8> Skip Authentication for Console Login | 跳过Console口认证登录进行启动,只是本次生效。该功能一般在丢失Console口口令之后使用
该功能仅在密码恢复功能处于开启状态下执行有效 |
<9> Storage Device Operation | 存储设备控制菜单,用于存储设备的选择 |
<0> Reboot | 重新启动设备 |
(2) 在BootWare菜单下键入<7>,可以进入BootWare操作菜单,系统显示如下:
=========================<BootWare Operation Menu>==========================
|Note:the operating device is flash |
|<1> Backup Full BootWare |
|<2> Restore Full BootWare |
|<3> Update BootWare By Serial |
|<4> Update BootWare By Ethernet |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
BootWare操作菜单中各选项解释如下:
表12 BootWare操作菜单
菜单项 | 说明 |
<1> Backup Full BootWare | 备份完整BootWare |
<2> Restore Full BootWare | 恢复完整BootWare |
<3> Update BootWare By Serial | 通过串口升级BootWare |
<4> Update BootWare By Ethernet | 通过以太网接口升级BootWare |
<0> Exit To Main Menu | 返回BootWare主菜单 |
(3) 键入<4>进入BootWare操作以太网口子菜单:
===================<BOOTWARE OPERATION ETHERNET SUB-MENU>===================
|<1> Update Full BootWare |
|<2> Update Extend BootWare |
|<3> Update Basic BootWare |
|<4> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
BootWare操作以太网口子菜单中各选项解释如下:
表13 BootWare操作以太网子菜单
菜单项 | 说明 |
<1> Update Full BootWare | 升级完整BootWare |
<2> Update Extend BootWare | 升级扩展段BootWare |
<3> Update Basic BootWare | 升级基本段BootWare |
<4> Modify Ethernet Parameter | 修改以太网接口参数 |
<0> Exit To Main Menu | 返回BootWare主菜单 |
(4) 键入<4>进入以太网口配置菜单
==========================<ETHERNET PARAMETER SET>==========================
|Note: '.' = Clear field. |
| '-' = Go to previous field. |
| Ctrl+D = Quit. |
============================================================================
Protocol (FTP or TFTP) :TFTP
Load File Name :main.btw
:
Target File Name :main.btw
:
Server IP Address :192.168.0.2
Local IP Address :192.168.0.1
Gateway IP Address :0.0.0.0
以太网参数设置的详细说明见表7。
显示 | 说明 |
'.' = Clear field | 快捷键:“.”表示清除当前输入 |
'-' = Go to previous field | 快捷键:“-”表示返回到前一个参数域 |
Ctrl+D = Quit | 快捷键:表示退出参数配置界面 |
Protocol (FTP or TFTP) | 使用的传输协议,可以为FTP或者TFTP |
Load File Name | 下载文件名,要与下载的实际文件名一致 |
Target File Name | 下载到设备后的目标文件名。缺省情况下与下载文件名一致 |
Server IP Address | TFTP/FTP服务器的IP地址 |
Local IP Address | 本地IP地址,为TFTP/FTP客户端设置的IP地址,即设备用于升级的以太网口的地址 |
Gateway IP Address | 网关IP地址,当与服务器不在同一网段时需要配置网关地址 |
(5) 以升级完整的BootWare为例,在BootWare操作以太网子菜单键入<1>:
===================<BOOTWARE OPERATION ETHERNET SUB-MENU>===================
|<1> Update Full BootWare |
|<2> Update Extend BootWare |
|<3> Update Basic BootWare |
|<4> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4): 1
Loading............Done!
418156 bytes downloaded!
Updating Basic BootWare? [Y/N]Y
Updating Basic BootWare...........Done!
Updating Extend BootWare? [Y/N]Y
Updating Extend BootWare...........Done!
===================<BOOTWARE OPERATION ETHERNET SUB-MENU>===================
|<1> Update Full BootWare |
|<2> Update Extend BootWare |
|<3> Update Basic BootWare |
|<4> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
(6) 升级成功后,返回到BootWare主菜单。再选择<0>,重新启动系统。
C.6 通过BootWare菜单进行文件管理
在BootWare主菜单中键入<4>,系统将进入文件控制子菜单。通过这个菜单可以显示Flash中所有文件,设置启动文件类型,删除文件操作,提示信息如下:
===============================<File CONTROL>===============================
|Note:the operating device is flash |
|<1> Display All File(s) |
|<2> Set Image File type |
|<3> Set Bin File type |
|<4> Set Configuration File type |
|<5> Delete File |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-5):
各选项含义如下:
菜单项 | 说明 |
<1> Display All File(s) | 显示所有文件 |
<2> Set Image File type | 设置启动.ipe文件类型 |
<3> Set Bin File type | 设置启动.bin文件类型
该.bin文件指由.ipe解压后的文件 |
<4> Set Configuration File type | 设置配置文件类型 |
<3> Delete File | 删除文件 |
<0> Exit To Main Menu | 返回BootWare主菜单 |
1. 显示所有文件
在文件控制子菜单键入<1>,显示所有文件信息。
Display all file(s) in flash:
'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED
============================================================================
|NO. Size(B) Time Type Name |
|1 5069824 Nov/27/2022 20:17:48 M cfa0:/main-cmw710-boot-r8514 |
|p10.bin |
|2 102857728 Nov/27/2022 20:18:00 M cfa0:/main-cmw710-system-r85 |
|14p10.bin |
|3 16 Nov/27/2022 19:40:26 N/A cfa0:/versioninfo/versionctl.dat |
|4 536 Nov/27/2022 19:40:26 N/A cfa0:/versioninfo/version0.dat |
|5 965 Nov/27/2022 19:40:16 N/A cfa0:/license/210235a1rr00000000 |
|01.did |
|6 591 Nov/27/2022 19:40:32 N/A cfa0:/serverkey |
|7 805 Nov/28/2022 08:20:28 N/A cfa0:/ifindex.dat |
|8 3945 Nov/28/2022 08:20:28 M cfa0:/startup.cfg |
|9 77671 Nov/28/2022 08:20:28 N/A cfa0:/startup.mdb |
|10 107934720 Nov/27/2022 20:29:08 N/A cfa0:/main.ipe |
|11 8238 Nov/30/2022 16:45:40 N/A cfa0:/logfile/logfile.log |
|12 1566 Nov/27/2022 19:40:32 N/A cfa0:/pki/https-server.P13 |===========================================================================
===============================<File CONTROL>===============================
|Note:the operating device is flash |
|<1> Display All File(s) |
|<2> Set Image File type |
|<3> Set Bin File type |
|<4> Set Configuration File type |
|<5> Delete File |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-5):
2. 设置.ipe启动文件类型
(1) 在文件控制子菜单下键入<2>,进入设置启动文件类型菜单:
'M' = MAIN 'B' = BACKUP 'S' = SECURE 'N/A' = NOT ASSIGNED
============================================================================
|NO. Size(B) Time Type Name |
|1 107934720 Nov/27/2022 20:29:08 N/A cfa0:/main.ipe |
|0 Exit |
============================================================================
(2) Enter file No.:输入要修改的文件的编号,按<ENTER>,系统提示对文件类型进行更改:
Modify the file attribute:
============================================================================
|<1> +Main |
|<2> +Backup |
|<0> Exit |
============================================================================
Enter your choice(0-2):
(3) 输入文件类型的编号选择待设置的类型,这里设置为main属性为例,键入数字1,终端显示信息如下:
Enter your choice(0-2):1
This operation may take several minutes. Please wait....
The file is exist,will you overwrite it? [Y/N]Y
Image file main-cmw710-boot-r8514p10.bin is self-decompressing...
Saving file cfa0:/main-cmw710-boot-r8514p10.bin .......... ....Done.
Image file main-cmw710-system-r8514p10.bin is self-decompressing...
Saving file cfa0:/main-cmw710-system-r8514p10.bin .........................
...............................................Done.
Set the file attribute success!
3. 设置.bin启动文件类型
在文件控制子菜单下键入<3>,进入设置启动文件类型显示界面。
'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED
============================================================================
|NO. Size(B) Time Type Name |
|1 5069824 Nov/30/2022 16:53:56 M cfa0:/main-cmw710-boot-r8514 |
|p10.bin |
|2 102857728 Nov/30/2022 16:54:14 M cfa0:/main-cmw710-system-r85 |
|14p10.bin |
|0 Exit |
============================================================================
Note:Select .bin files. One but only one boot image and system image must
be included.
Enter file No.(Allows multiple selection):1
Enter another file No.(0-Finish choice):2
Enter another file No.(0-Finish choice):0 //选择0,表示结束选择其他文件
You have selected:
cfa0:/main-cmw710-boot-r8514p10.bin
cfa0:/main-cmw710-system-r8514p10.bin
Modify the file attribute:
============================================================================
|<1>+Main |
|<2>+Backup |
|<0> Exit |
============================================================================
Enter your choice(0-2):1
This operation may take several minutes. Please wait....
Set the file attribute success!
4. 删除文件
(1) 在文件控制子菜单下键入<5>,可进入删除文件选项:
Deleting the file in flash:
'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED
============================================================================
|NO. Size(B) Time Type Name |
|1 5069824 Nov/30/2022 16:53:56 M cfa0:/main-cmw710-boot-r8514 |
|p10.bin |
|2 102857728 Nov/30/2022 16:54:14 M cfa0:/main-cmw710-system-r85 |
|14p10.bin |
|3 16 Nov/27/2022 19:40:26 N/A cfa0:/versioninfo/versionctl.dat |
|4 536 Nov/27/2022 19:40:26 N/A cfa0:/versioninfo/version0.dat |
|5 965 Nov/27/2022 19:40:16 N/A cfa0:/license/210235a1rr00000000 |
|01.did |
|6 591 Nov/27/2022 19:40:32 N/A cfa0:/serverkey |
|7 805 Nov/28/2022 08:20:28 N/A cfa0:/ifindex.dat |
|8 3945 Nov/28/2022 08:20:28 M cfa0:/startup.cfg |
|9 77671 Nov/28/2022 08:20:28 N/A cfa0:/startup.mdb |
|10 107934720 Nov/27/2022 20:29:08 N/A cfa0:/main.ipe |
|11 8238 Nov/30/2022 16:45:40 N/A cfa0:/logfile/logfile.log |
|12 1566 Nov/27/2022 19:40:32 N/A cfa0:/pki/https-server.P13 |
|0 Exit |
============================================================================
Enter file No.:
(2) 输入要删除文件的编号,按<ENTER>,系统提示如下,表示删除成功:
The file you selected is flash:/NSQ1MPBLA_V2.vme,Delete it? [Y/N]Y
Deleting..............Done!
升级失败后,系统会使用原来的版本运行。用户可以通过以下方式尝试解决软件升级失败问题。
(1) 请检查物理接口是否连接完好,请确保接口物理连接正确,并观察指示灯是否正常。
(2) 通过Console口登录设备时,请检查超级终端相关参数是否设置正确,如波特率、数据位等。
(3) 查看超级终端上的显示信息,请检查是否有输入错误等。输入错误可能包括以下:
¡ 利用Xmodem协议下载时,如果选择了9600bps以外的波特率进行下载,没有及时修改超级终端的波特率。超级终端的波特率和Console口的波特率必须保持一致;
¡ 在使用TFTP协议进行软件升级时,输入的IP地址、文件名称或指定的TFTP Server的工作路径有误;
¡ 在使用FTP协议进行软件升级时,输入的IP地址、文件名称、指定的FTP Server的工作路径、FTP用户名或FTP密码有误。
(4) 请检查FTP Server或者TFTP Server等软件是否正常运行,相关设置是否正确。
(5) 请检查设备Flash的剩余空间大小是否足够保存待下载的文件。
(6) 如果文件在加载结束后出现如下提示:Something is wrong with the file.请检查文件是否可用。
1. 任何从本网站下载的软件都是H3C公司受著作权保护的产品。
2. 使用软件必须受最终用户许可协议的条款的约束,该许可协议随软件附上或包含在软件中。
3. 除非最终用户首先同意许可协议的条款,否则不能安装任何附有或内含许可协议的软件。
4. 软件仅供最终用户根据许可协议的规定下载使用。
5. 最终用户在用下载软件进行升级及使用的过程中,应严格遵守操作指导书,对于未按指导书而引起的问题,责任由使用者自负。
6. 对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止,并可导致严重的民事及刑事处罚。
7. 所下载的软件版本仅限美国以外的地区使用。
支持
售前咨询
售后咨询
人工在线咨询
