H3C SECPATH1000AIT&T1000AK355-CMW710-R8660P40 版本说明书

目  录

1 版本信息·· 1

1.1 版本号·· 1

1.2 历史版本信息·· 1

1.3 版本配套表·· 1

1.4 ISSU版本兼容列表·· 3

1.5 版本升级注意事项·· 3

2 硬件特性变更说明·· 3

3 软件特性及命令行变更说明·· 3

4 MIB变更说明·· 4

5 操作方式变更说明·· 4

6 版本使用限制及注意事项·· 4

7 License管理·· 5

7.1 License简介·· 5

7.2 License申请及安装·· 5

8 存在问题与规避措施·· 5

9 解决问题列表·· 5

9.1 R8660P40版本解决问题列表·· 5

9.2 R8660P33版本解决问题列表·· 8

9.3 R8660P27版本解决问题列表·· 11

9.4 R8660P20版本解决问题列表·· 11

9.5 R8660P18版本解决问题列表·· 15

9.6 R8660P0805版本解决问题列表·· 16

10 相关资料·· 16

11 技术支持·· 17

附录 A 本版本支持的软、硬件特性列表·· 18

A.1 版本硬件特性·· 18

A.2 版本软件特性·· 18

附录 B R8660P40及以前版本修复的安全漏洞·· 21

附录 C 软件升级操作指导·· 24

C.1 设备软件简介·· 24

C.1.1 BootWare程序·· 24

C.1.2 启动软件包·· 24

C.1.3 配置文件简介·· 25

C.2 软件升级方式简介·· 25

C.2.1 升级前的准备·· 26

C.2.2 设备升级环境·· 26

C.3 升级启动文件·· 27

C.3.1 通过命令行升级启动文件·· 27

C.3.2 通过Web方式升级启动文件·· 33

C.3.3 通过BootWare菜单升级启动文件·· 35

C.4 升级BootWare文件·· 39

C.4.1 通过命令行升级BootWare文件·· 40

C.4.2 通过BootWare菜单升级BootWare文件·· 40

C.5 软件升级失败的处理·· 45

附录 D 进入BootWare菜单·· 45

D.1 BootWare菜单的快捷键·· 45

D.2 进入BootWare基本段·· 46

D.2.1 修改串口参数·· 47

D.2.2 升级BootWare扩展段·· 47

D.2.3 升级完整的BootWare· 47

D.2.4 启动BootWare扩展段·· 48

D.2.5 启动备份的BootWare扩展段·· 48

D.2.6 进入基本段辅助子菜单·· 49

D.3 进行内存测试·· 49

D.4 进入BootWare扩展段·· 49

D.4.1 BootWare扩展段主菜单·· 49

D.4.2 配置密码恢复功能·· 52

D.4.3 启动应用程序·· 52

D.4.4 串口子菜单·· 53

D.4.5 以太网配置子菜单·· 53

D.4.6 文件控制子菜单·· 55

D.4.7 恢复出厂配置启动·· 68

D.4.8 忽略系统配置文件·· 68

D.4.9 BootWare操作子菜单·· 69

D.4.10 跳过console口认证·· 69

D.4.11 存储器操作子菜单·· 70

D.4.12 进入BootWare扩展段辅助子菜单·· 71

D.4.13 格式化文件系统·· 71

表目录

表1 历史版本信息表..................................................... 1

表2 版本配套表............................................................ 1

表3 ISSU版本兼容列表............................................... 3

表4 MIB文件变更说明................................................. 4

表5 T1000（千兆）、T1000（万兆）产品硬件特性..... 18

表6 产品软件特性...................................................... 18

表7 软件升级方式简介............................................... 25

表8 默认Web登录信息表.......................................... 34

表9 设置以太网口参数显示信息描述表....................... 36

表10 设置以太网口参数显示信息描述表..................... 38

表11 设置以太网口参数显示信息描述表..................... 41

表12 设置以太网口参数显示信息描述表..................... 44

表13 系统保留的快捷键............................................. 45

表14 BootWare基本段菜单项说明............................. 47

表15 BootWare基本段辅助子菜单说明...................... 49

表16 BootWare扩展段主菜单说明............................. 51

表17 配置密码恢复功能............................................. 52

表18 串口子菜单说明................................................. 53

表19 以太网配置子菜单说明...................................... 54

表20 以太网口参数设置说明...................................... 55

表21 文件控制子菜单说明.......................................... 55

表22 BootWare操作子菜单说明................................. 69

表23 存储器操作子菜单说明...................................... 70

表24 扩展段辅助子菜单说明...................................... 71

1  版本信息

1.1  版本号

版本号：H3C Comware Software, Version 7.1.064, Release 8660P40

注：该版本号可在命令行任何视图下用display version命令查看，见注①。

1.2  历史版本信息

表1 历史版本信息表

1.3  版本配套表

表2 版本配套表

示例：查看T1000-AI-50的软件版本和BootWare版本号方式如下：

<H3C>display  version 

H3C Comware Software, Version 7.1.064, Release 8660P40

Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.

H3C SecPath T1000 uptime is 0 weeks, 0 days, 4 hours, 33 minutes

Last reboot reason: User reboot   

Boot image: flash:/T1090IPS-CMW710-BOOT-R8660P40.bin

Boot image version: 7.1.064, Release 8660P40

  Compiled Oct 13 2023 14:00:00

System image: flash:/T1090IPS-CMW710-SYSTEM-R8660P40.bin

System image version: 7.1.064, Release 8660P40

  Compiled Oct 13 2023 14:00:00

Feature image(s) list:

  flash:/T1090IPS-CMW710-SECESCAN-R8660P40.bin, version: 7.1.064

    Compiled Oct 13 2023 14:00:00

SLOT 1

CPU type:           Multi-core CPU

DDR4 SDRAM Memory:  16384M bytes

FLASH:              7296M bytes

CPLD_A           Version:  1.0

CPLD_B           Version:  2.0

Release          Version:H3C SecPath T1000-8660P40 

Basic  BootWare  Version:1.09

Extend BootWare  Version:1.09

BuckleBoard Version:Ver.A

BackBoard1 Version:Ver.A

BackBoard2 Version:Ver.A

HD_BackBoard Version:Ver.A

Pcb Version:Ver.B

[SUBCARD 0] NSQ1F1MSPUOTXA(Hardware)Ver.B, (Driver)1.0, (Cpld)1.0

Boot Type: Warm

1.4  ISSU版本兼容列表

ISSU（In-Service Software Upgrade，不中断业务升级）升级分为兼容性升级和不兼容性升级。由于18个月以上的版本不进行兼容性验证，下表仅列出本版本与18个月以内的历史版本之间的ISSU升级方式。关于ISSU的详细介绍，请参见与设备配套的“基础配置指导”中的“ISSU”。

表3 ISSU版本兼容列表

1.5  版本升级注意事项

(1)        为保证硬件兼容性，不建议将设备出厂软件版本降级使用。

(2)        版本升级前，应确认当前加载的boot版本和system版本一致，否则容易导致版本升级失败。

2  硬件特性变更说明

无

3  软件特性及命令行变更说明

首次发布版本，不涉及特性变更。有关该版本及历史版本的软件特性及命令行的变更信息说明，请参见随版本发布的《软件特性变更说明》。

4  MIB变更说明

表4 MIB文件变更说明

5  操作方式变更说明

无

6  版本使用限制及注意事项

在更新软件版本之前，强烈建议您通过《H3C SECPATH1000AIT&T1000AK365-CMW710-

R8660P40版本说明书（软件特性变更说明）》了解版本间的软件特性变更情况，评估变更可能对业务造成的影响，同时请查阅相关的配套资料：

(1)        浏览器支持Chrome 31及以上版本、Firefox 19及以上版本、Safari 5及以上版本、Internet Explorer 9及以上版本。

(2)        接口卡不支持配置堆叠。另外也不支持热插拔，如果热插拔，容易导致整机损坏。

(3)        光口卡只支持强制模式，不支持自协商模式。

(4)        不支持Web与命令行混用，对于同一个特性模块，不能同时既使用命令行，又使用Web进行配置。

(5)        相同型号设备才支持堆叠。

(6)        配置堆叠时，接口类型需保持一致。

(7)        设备扩展槽（槽位2、4）为低速槽位，低速槽位提供1*GE带宽；设备扩展槽（槽位1、3）为高速槽位，高速槽位提供2* 10GE带宽。设备前面板固定口较多，请优先采用面板口进行配置，如果接口数量仍不能满足使用，再选择配置扩展接口卡。

(8)        设备的机械硬盘裸机测试，内部振动时受风扇影响，硬盘读写衰减率超过测试标准。风扇增加减震措施后，测试通过（问题单202012030656）。

7  License管理

7.1  License简介

License即授权，指新华三技术有限公司授予用户使用特定软件功能的合法权限。

产品需要通过License授权的软件功能以及License授权的相关属性，请参见产品配套的《H3C SecPath T1000&T5000系列产品 License支持情况说明》。

7.2  License申请及安装

H3C网站提供License的激活申请、设备授权迁移申请等功能：

http://www.h3c.com/cn/License

有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息，请参见《H3C 安全产品 License注册演示视频》、《H3C 安全产品 License注册演示图解》、《H3C 安全产品 License注册演示典型配置举例》和《H3C 安全产品 License使用指南》。

H3C提供了License相关的FAQ，如您在操作过程中遇到问题，可查阅《H3C 安全产品 License注册用户FAQ》。

8  存在问题与规避措施

·            无。

9  解决问题列表

9.1  R8660P40版本解决问题列表

1. 202303281904

·            问题现象：设备异常重启。

·            问题产生条件：设备转发特定异常mime格式报文。

2. 202303250363

·            问题现象：设备web缺少NAT策略联机帮助。

·            问题产生条件：T系列设备缺少NAT策略联机帮助。

3. 202303250350

·            问题现象：设备web上无法配置快速接入的路由模式。

·            问题产生条件：T系列设备存在此问题。

4. 202302130765

·            问题现象：plink工具ssh登录设备，执行命令不受AAA命令授权控制。

·            问题产生条件：使用plink工具ssh登录设备。

5. 202302070501

·            问题现象：设备通过web配置接口下vrf失败。

·            问题产生条件：设备通过web配置接口下的vrf。

6. 202107220906

·            问题现象：设备存在内存泄漏现象。

·            问题产生条件：Web概览中，流量实时应用排行以及流量实时用户排行页面开启实时采集功能后，刷新页面。

7. 202107151191

·            问题现象：存在ntopd内存泄漏。

·            问题产生条件：Web流量日志开启日志聚合，打入流量。

8. 202012140152

·            问题现象：影响IPS报文捕获功能。

·            问题产生条件：开启IPS白名单开关。

9. 202303030371

·            问题现象：设备下发设备主机配置失败。

·            问题产生条件：设备通过RESTFUL API带format下发日志主机配置。

10. 202210250790

·            问题现象：web上查看该规则卡住，无返回值。

·            问题产生条件：策略nat，配置dnat规则引用目的地址对象组，命令行删除dnat动作。

11. 202208081444

·            问题现象：DPI特征库丢失。

·            问题产生条件：设备配置堆叠，备设备快重启完成时，重启主设备。

12. 202112290806

·            问题现象：引起内存站岗，导致设备内存门限问题。

·            问题产生条件：ntopd频繁申请释放内存。

13. 202105120225

·            问题现象：丢包会话对http、dns、ftp等应用层协议无法建立ipv4丢包会话,ipv6没有问题。

·            问题产生条件：二层接口流量下。

14. 202301120674

·            问题现象：自定义信誉用户态未验证规格上限及IP合法性。

·            问题产生条件：自定义信誉用户态未验证是否达到规格上限直接进行了存储 ；用户态未验证ip合法性。

15. 202306020862

·            问题现象：修改F5080系列设备IPSEC流量基于SPI分流。

·            问题产生条件：修改F5080系列设备IPSEC流量基于SPI分流。

16. 202309080714

·            问题现象：vrrp_CLI_MsgProc访问越界。

·            问题产生条件：vrrp_CLI_MsgProc访问越界。

17. 202305251888

·            问题现象：ike进程重启异常，需清空ike sa流量才能重新下发。

·            问题产生条件：ike进程重启异常，需清空ike sa流量才能重新下发。

18. 202309120987

·            问题现象： PIM组播接收端邻居路由学习vrrp地址异常，流量处理错误。

·            问题产生条件：RBM+VRRP+组播+context组合场景下，VRRP备机升主在降备的过程中路由管理删除事件处理有误。

19. 202307210461

·            问题现象：开启虚拟context，出现驱动代码踩内存越界问题。

·            问题产生条件：Kasan版本，开启虚拟context。

20. 202310080386

·            问题现象：终端热力图和终端信息表中ip地址/掩码长度侧显示的地址不对，和真实的地址相反。

·            问题产生条件：超过3650条会话。

21. 202304170871

·            问题现象：定制模块不存在。

·            问题产生条件：定制概览页面选择所有GLB相关模块，点击其他页面再切换到概览页面，定制模块不存在。

22. 202301041687

·            问题现象：一直报主备地址冲突。

·            问题产生条件：VRRP+RBM主备组网F5030设备，配置nat或aft地址组，备机下全局地址管理，由于时序问题偶发设备断电启动后一直报主备地址冲突。

23. 202309010341

·            问题现象：设备异常重启。

·            问题产生条件：AV策略配置告警模板，并在安全策略引用该AV策略，打入http流量，安全策略去引用该AV策略。

24. 202310101783

·            问题现象：进程重启。

·            问题产生条件：DPI嵌套流程中的一个子流程未判空，出现访问空指针。

25. 202309131661

·            问题现象：备机设备与直连地址不通。

·            问题产生条件：EVPN组网环境分支irf堆叠，主机和备机各一个物理口分别加入不同的聚合口，聚合口下配置ip后。

26. 202309072235

·            问题现象：对应的主机名称下原有的IP地址残留。

·            问题产生条件：不同对象组配置主机名相同的地址对象，匹配dns域名IP解析后，修改对应dns ip地址。

27. 202309191742

·            问题现象：syn ack报文匹配不上vpn被丢弃。

·            问题产生条件：升级后loopback988、987ipv6静态路由下一跳vpn不对。

28. 202307251763

·            问题现象：默认放通DHCP业务。

·            问题产生条件：默认放通DHCP业务。

29. 202310131481

·            问题现象：备会话异常删除。

·            问题产生条件：RBM双主组网下，发生配置变更。

30. 202306091600

·            问题现象： fastlog内容被DPI识别。

·            问题产生条件：旁路组网场景fastlog内容被DPI识别。

31. 202304040168

·            问题现象：支持SD卡可以用来日志存储。

·            问题产生条件：支持SD卡可以用来日志存储。

32. 202309070275

·            问题现象：RBM在主上配置完，自动同步给备机之后，自动执行save保存。

·            问题产生条件：RBM在主上配置完，自动同步给备机之后，自动执行save保存。

9.2  R8660P33版本解决问题列表

1. 202112300358

·            问题现象：url过滤重定向动作不生效。

·            问题产生条件：Referer头域包含需要匹配的url时。

2. 202301160042

·            问题现象：请将设备Web界面设备型号统一改为系列模式。

·            问题产生条件：新需求。

3. 202209151648

·            问题现象：custom host相关配置除了ip信誉的其他的都会丢。

·            问题产生条件：跨版本升级走文本配置恢复。

4. 202208290804

·            问题现象：2123批次SKYHIGH EMMC存在概率性异常，EMMC会无法正常读写。

·            问题产生条件：2123批次SKYHIGH EMMC默认设置为Backgroud Auto Scan模式。

5. 202211151880

·            问题现象：命令行挂死。

·            问题产生条件：配置地址对象组并在ACL中引用，删除ACL后继续删除地址对象组。

6. 202208270490

·            问题现象：icmp-error的debug不受acl控制直接刷屏。

·            问题产生条件：打开session相关的debug。

7. 202208221416

·            问题现象：概率性出现context挂住在STATICRT4/STATICRT6进程20min后才能恢复。

·            问题产生条件：context内配置静态路由1k+,聚合子接口1k+，拷机反复启停context。

8. 202104250869

·            问题现象：设备主备状态反复震荡，一段时间后，两台设备的VRRP都是backup状态。

·            问题产生条件：RBM+VRRP三层主备组网，多租户IPv4+IPv6混合流量下。

9. 202210211135

·            问题现象：访问释放后的内存设备进入kdb。

·            问题产生条件：RBM+VRRP双主组网，环境中存在分片报文，删除context时会释放根vsys的内存，后面释放分片资源的同时又加了分片统计导致。

10. 202303101277

·            问题现象：通过restful接口，安全策略中无法删除源/目的/服务地址对象组存在问题。

·            问题产生条件：通过restful接口，在安全策略中删除源/目的/服务地址对象组存在问题，并请排查安全策略中其他多引用项配置的表。

11. 202302080891

·            问题现象：使用display命令查询关联表时cpu超时，设备重启。

·            问题产生条件：配置AFT/NAT业务，打入流量产生大量关联表。

12. 202303011456

·            问题现象：RBM主备组网下，在备设备WEB上点击状态切换，显示的信息有错别字。

·            问题产生条件：RBM主备组网下，在备设备WEB上点击状态切换，显示的信息有错别字：此操作会将本端设备升级为运行主，把对端设备将为运行备，是否继续？“将”应为“降”。

13. 202302170350

·            问题现象：web新建NQA，目的ip地址使用非法地址，报错后配置页面销毁。

·            问题产生条件：web新建NQA，目的ip地址使用非法地址，报错后配置页面销毁，请保留配置页面。

14. 202302230041

·            问题现象：自定义context名称长度结合报表模板名称长度（如满配），会导致报表自动导出失败。

·            问题产生条件：自定义context名称长度结合报表模板名称长度（如满配），会导致报表自动导出失败。

15. 202303091876

·            问题现象：sctp跨框流量不通。

·            问题产生条件：sctp跨框流量不通。

16. 202302201407

·            问题现象：设备启动时间太长。

·            问题产生条件：大量安全策略配置情况下。

17. 202303030957

·            问题现象：策略没有加到策略组里。

·            问题产生条件：在一个RPC中下发安全策略组和带有组配置的安全策略，发现策略没有加到策略组里。

18. 202302220833

·            问题现象：删除RBM，日志打印RBM状态切换，建议删除掉这个日志。

·            问题产生条件：删除RBM，日志打印RBM状态切换，建议删除掉这个日志。

19. 202302201544

·            问题现象：策略配置界面的查询框限制最大长度为32字符，实际下发查询时并未限制长度。

·            问题产生条件：NAT内部服务器-策略配置界面的查询框限制最大长度为32字符，实际下发查询时并未限制长度，请去除长度限制。

20. 202206140219

·            问题现象：按主题进行查询时，导出的是全部日志，未按条件筛选。

·            问题产生条件：应用审计邮件日志，按主题进行查询时，导出的是全部日志，未按条件筛选。

21. 202302090750

·            问题现象：rbm一致性检测不通过。

·            问题产生条件：acl的rule comment不支持结尾带空格，导致rbm一致性检测不通过。

22. 202303100598

·            问题现象：产生了core文件。

·            问题产生条件：secpd进程重启产生了core文件。

23. 202303100731

·            问题现象：优化内存告警门限。

·            问题产生条件：优化内存告警门限。

24. 202303020767

·            问题现象：单机状态下web与命令行实现不一致，建议统一改为提示“心跳断开不支持此操作”。

·            问题产生条件：单机状态下命令行执行RBM状态切换操作无提示信息，web提示“请勿在1分钟内重复执行此操作”，web与命令行实现不一致，建议统一改为提示“心跳断开不支持此操作”。

25. 202301130123

·            问题现象：概览一定操作下，偶现返回的模块定制是重复的，导致概览卡死。

·            问题产生条件：概览一定操作下，偶现返回的模块定制是重复的，导致概览卡死，web增加规避手段，下发配置之前增加去重处理。

26. 202303180816

·            问题现象：链路流量统计web页面统计异常。

·            问题产生条件：链路流量统计web页面统计异常。

27. 202302220366

·            问题现象：自定义context共享口的web上tcp mss的提示范围显示有误，下发的tcp mss，再次编辑不会显示。

·            问题产生条件：自定义context共享口的web上tcp mss的提示范围显示有误，下发的tcp mss，再次编辑不会显示。

9.3  R8660P27版本解决问题列表

1. 202203241279

·            问题现象：应用分析中心-文件过滤相关模块把其它类型的应用都统计到http、smtp两个应用里。

·            问题产生条件：设备打入不同应用的文件过滤流量。

2. 202106221029

·            问题现象：风险系数脆弱性维度未考虑IP信誉、DNS信誉以及安全策略是否引用WAF、URL。

·            问题产生条件：风险系数脆弱性维度未考虑IP信誉、DNS信誉以及安全策略是否引用WAF、URL。

3. 202203291075

·            问题现象：设备无法识别。

·            问题产生条件：配置防病毒检测级别为medium，打入对应报文。

4. 202203080753

·            问题现象：设备工作异常，建议支持日志独立存储。

·            问题产生条件：设备开启安全策略日志。

5. 202208020581

·            问题现象：设备起来后，端口流量不通。

·            问题产生条件：反复上下电和反复热复位测试过程中。

9.4  R8660P20版本解决问题列表

1. 202107200142

·            问题现象：概率性死循环重启。

·            问题产生条件：设备在热插拔U盘时。

2. 202201050510

·            问题现象：secp进程用户态内存泄露。

·            问题产生条件：设备创建vsys后，反复重启vsysd进程。

3. 202112170420

·            问题现象：ipv6的AVC限速不生效。

·            问题产生条件：开启inspect bypass。

4. 202112131792

·            问题现象：进程启动失败。

·            问题产生条件：加载dev包文件。

5. 202112290093

·            问题现象：ipv6接入资源中的路由列表表项配置不能实备。

·            问题产生条件：RBM组网，context下。

6. 202112281005

·            问题现象：view /proc/cpuinfo里面增加厂商信息和cpu具体型号信息。

·            问题产生条件：新需求。

7. 202103110447

·            问题现象：设备出现死循环后不重启，内存持续升高不释放，直到内存耗尽

·            问题产生条件：设备因为异常导致有单核出现死循环。

8. 202201050371

·            问题现象：同一个三元组流的分片报文和非分片报文不能按照三元组分流上送同一个核处理。

·            问题产生条件：CN78XX CN73XX CPU设备配置三元组分流。

9. 202201040678

·            问题现象：域名方式时无法发送邮件。

·            问题产生条件：邮件服务器中邮件服务器地址配置为域名方式时。

10. 202112310060

·            问题现象：新建日志主机中的安全策略日志应修改为安全策略配置日志防止混淆。

·            问题产生条件：WEB上系统-日志配置-基本配置-快速日志。

11. 202112221291

·            问题现象：无法命中规则。

·            问题产生条件：配置IPS策略，打入符合特征的攻击报文（subac带care_all选项）。

12. 202201050068

·            问题现象：web只能显示主墙的检查结果；根墙只能显示主墙的结果，都未显示虚墙是否一致，实现不合理。

·            问题产生条件：RBM配置信息一致性检查。

13. 202201051343

·            问题现象：内存需进行优化。

·            问题产生条件：混合流量下开启数据过滤功能，单板1.5W/s新建17W会话并发下业务板反复进出内存门限，NTOP进程所在业务板NTOP进程用户态占用约3G左右。

14. 202112231404

·            问题现象：打入相同URI的流量无法命中CC攻击。

·            问题产生条件：CC攻击防护路径为8的倍数时。

15. 202201040066

·            问题现象：设备业务板死机进kdb。

·            问题产生条件：打入应用层流量，将app-profile下的waf策略从default切换到带CC防攻击的自定义waf策略。

16. 202112151220

·            问题现象：带宽策略未显示完整或不显示ipv6报文流标签及扩展报文头。

·            问题产生条件：配置带有多个ipv6扩展头的带宽策略，高级查询的查询结果中。

17. 202112221169

·            问题现象：URL分类搜索不支持模糊匹配和精准匹配“cisco”。

·            问题产生条件：URL分类搜索需要支持模糊匹配和精准匹配“cisco”。

18. 202112210283

·            问题现象：保存配置后重启此用户context报启动超时context起不来。

·            问题产生条件：用户context下创建vsys，vsys下创建安全策略。

19. 202110270540

·            问题现象：创建服务对象组无法达到1024规格。

·            问题产生条件：当前服务对象组与协议端口共用1024的规格，实际创建时在满足条件的基础上会提示达到上限，无法创建成功。

20. 202112231548

·            问题现象：不支持icmp日志输出国电日志格式。

·            问题产生条件：新需求，需要支持icmp日志输出国电日志格式。

21. 202112070212

·            问题现象：RBM重新连接后切换记录记录的切换原因是Local device rebooted，但是设备并没有重启。

·            问题产生条件：RBM组网下，在主墙下删除RBM配置再重新下发RBM配置。

22. 202112240054

·            问题现象：DR优先级配置成0后下发不生效。

·            问题产生条件：WEB-ADVPN-VAMC-隧道配置。

23. 202112280141

·            问题现象：统计计数，一部分有计数，一部分没计数。

·            问题产生条件：多业务板卡，出接口nat匹配统计计数。

24. 202112150914

·            问题现象：重启备机context，启动完成后会话没有批备到备机。

·            问题产生条件：RBM+Context组网，关闭配置信息自动备份功能情况下。

25. 202112231515

·            问题现象：两个不同版本间有会话同步问题。

·            问题产生条件：RBM环境下，两个不同版本间有会话同步问题，请进行兼容性处理。

26. 202112280071

·            问题现象：web只能显示主墙的检查结果；根墙只能显示主墙的结果，都未显示虚墙是否一致，实现不合理。

·            问题产生条件：RBM配置信息一致性检查。

27. 202112170459

·            问题现象：context,Context下的实备功能不生效。

·            问题产生条件：RBM主备组网下，先在备设备上建立Context起来后，在在主设备上建立同名同id的context,Context。

28. 202112201465

·            问题现象：二层转发环境，sctp报文不通，cookie_Ack被丢弃。

·            问题产生条件：F1090等小端设备。

29. 202112141220

·            问题现象：打开web界面安全策略---编辑---查看安全域Vlan79属于未选中。

·            问题产生条件：命令行下创建安全域Vlan79,安全策略引用安全域为vlan79。

30. 202112210016

·            问题现象：定制功能失效。

·            问题产生条件：清空flash下custom.conf文件中的内容使其变成大小为0字节的文件。

31. 202110110494

·            问题现象：打攻击流量设备出现断言。针对各邮件协议发生app-change时，AC匹配概率性存在失败。

·            问题产生条件：打攻击流量设备出现断言。针对各邮件协议发生app-change时，AC匹配概率性存在失败。

32. 202112310056

·            问题现象：正常的ipv6报文被识别为非法报文丢弃。

·            问题产生条件：携带hop by hop +dest扩展头的正常的ipv6报文。

33. 202112150013

·            问题现象：ATK模块导致业务板异常重启。

·            问题产生条件：Context启停操作。

34. 202112291376

·            问题现象：ntop进程异常生成core文件。

·            问题产生条件：开启对应的日志开关并打入匹配审计和ips的流量日志。

35. 202110290703

·            问题现象：主设备因访问非法地址导致进kdb。

·            问题产生条件：IRF主备组网，流量压力下跑脚本重启自定义context。

36. 202201050830

·            问题现象：合入aft支持热备项目。

·            问题产生条件：新需求。

9.5  R8660P18版本解决问题列表

1. 202110191203

·            问题现象：端口无法up。

·            问题产生条件：Marvell PHY 88E1680芯片出的所有接口对接S6800-54交换机时，自协商无法完成，导致端口无法up。

2. 202110120308

·            问题现象：设备启动恢复需很长时间。

·            问题产生条件：设备配置6万条URL过滤黑名单，重启设备后，配置检查重复导致设备启动恢复需很长时间。

3. 202110260796

·            问题现象：僵尸网络日志动作有误。

·            问题产生条件：av策略配置重定向动作，测试仪打入病毒流量，产生的威胁日志动作为重定向，但是产生的僵尸网络日志动作为允许。

4. 202110181190

·            问题现象：安全策略引用ipv6全范围地址段对象不生效。

·            问题产生条件：安全策略引用ipv6全范围地址段对象不生效。

5. 202108091276

·            问题现象：内存越界或访问释放后内存导致进kdb。

·            问题产生条件：irf主备组网，流量下拷机六个小时后主设备内存越界或者512字节大小内模块访问释放后内存导致进kdb。

6. 202110191133

·            问题现象：NAT66/NAT64引用ipv6全范围地址段对象不生效。

·            问题产生条件：NAT66/NAT64引用ipv6全范围地址段对象不生效。

7. 202111080021

·            问题现象：威胁日志加入白名单时不生效。

·            问题产生条件：威胁日志加入白名单时要开启白名单并激活一下才能生效，请再web上添加提示信息。

8. 202110260900

·            问题现象：web无法访问。

·            问题产生条件：实服务组以及其内的成员中均添加大量的自定义监控策略后，会产生xmlcfgd的core文件，此时会将对应的文件删除导致web无法访问。

9. 202111010839

·            问题现象：主设备重启。

·            问题产生条件：IRF组网下，配置TCP代理、全局nat、应用审计等安全业务，自定义context中打ftp和UDP流量，跑主备倒换脚本后重启堆叠主设备，主设备起来后又deadloop重启。

10. 202110271153

·            问题现象：配置不备份。

·            问题产生条件：VRRP+RBM主备组网，web配置SSLVPN资源组名称带空格字符，配置不备份。

11. 202110271511

·            问题现象：web页面为空，授权资源失败。

·            问题产生条件：VRRP+RBM主备组网，主设备新建一个字典序大的SSLVPN资源组B并授权，再新建一个小的字典序SSLVPN资源组A不授权，重启备设备，等备设备起来后，在主设备登录SSLVPN的web网关，主备倒换后，刷新web页面为空，授权资源失败。

12. 202108041387

·            问题现象：主设备访问非法地址进kdb。

·            问题产生条件：irf主备组网，两个自定义context均配置tcp应用代理，打入匹配的http流量一段时间后执行reboot虚墙。

13. 202109290284

·            问题现象：http流量，命不中url过滤策略。

·            问题产生条件：安全策略中引用http的应用，测试仪打入http流量，命不中url过滤策略。

14. 202110180794

·            问题现象：威胁日志加入白名单时不生效。

问题产生条件：威胁日志加入白名单时要开启白名单并激活一下才能生效，请再web上添加提示信息。

9.6  R8660P0805版本解决问题列表

首个版本，无。

10  相关资料

·            H3C SecPath T1000-AI-X5系列入侵防御系统 快速安装指南

·            H3C SecPath T1000-AI-X5系列防火墙 安装指导

·            H3C SecPath T1000[T5000][IPS插卡]系列入侵防御系统 配置指导(V7)(R8560 R8660)

·            H3C SecPath T1000[T5000][IPS插卡]系列入侵防御系统 命令参考(V7)(R8560 R8660)

·            H3C SecPath 入侵防御系统 Web配置指导(V7)(R8X60)

·            H3C 安全产品 日志信息参考(V7)(R8X60 R9X60 E1185)

11  技术支持

用户支持邮箱：service@h3c.com

技术支持热线电话：400-810-0504（手机、固话均可拨打）

网址：http://www.h3c.com

附录 A 本版本支持的软、硬件特性列表

A.1 版本硬件特性

表5 T1000（千兆）、T1000（万兆）产品硬件特性

A.2 版本软件特性

表6 产品软件特性

附录 B R8660P40及以前版本修复的安全漏洞

1. CVE-2017-3735

攻击者可利用该漏洞绕过安全限制，执行未授权的操作。

2. CVE-2019-3855

libssh2 输入验证错误漏洞libssh2是一款实现SSH2协议的客户端C库，它能够执行远程命令、文件传输，同时为远程的程序提供安全的传输通道。

3. HSVD-201904-001

TCP/IP SYN + FIN包过滤漏洞，远程主机不会丢弃设置了FIN标志的TCP SYN数据包。根据您使用的防火墙类型，攻击者可能会使用此漏洞绕过其规则。

4. HSVD-201902-001

远程主机利用TCP timestamp漏洞，获取正常上线运行时间。

5. HSVD-201901-016

CVE-2019-548：Linux kernel信息泄露漏洞。

6. javascript框架库漏洞

javascript框架库漏洞和目标URL存在内部IP地址泄露漏洞。

7. CVE-2020-10188

netkit telnet是一款使用在Linux平台中的telnet客户端程序。该程序主要用于使用TELNET协议与另一个主机进行交互通信。Netkit telnet  0.17及之前版本中的telnetd的utility.c文件存在缓冲区错误漏洞。远程攻击者可利用该漏洞执行任意代码。

8. WEB js漏洞

Web漏扫发现js的中微漏洞。

9. WEB CSRF漏洞

SSLVPN Web页面存在CSRF漏洞。

10. HTTP方法漏洞

通过调用OPTIONS方法，可以确定每个目录上允许哪些HTTP方法。

11. CRLF注入漏洞

当发送HTTP请求中包含Cookie信息，且Cookie中包含domain是一个设备上配置的domain值，或者请求为GET/enterdomain.cgi?domain=%0d%0aSomeCustomInjectedHeader:%0d%0aset

-cookie:iamyy HTTP1/1时，触发CRLF注入漏洞。

12. CVE-2019-1547

攻击者可利用该漏洞获取敏感信息。

13. CVE-2019-1563

攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。

14. CVE-2016-7056

源于crypto/ec/ecdsa_ossl.c文件的‘ecdsa_sign_setup()’函数未能正确的设置BN_FLG_CONSTTIME标识。本地攻击者利用该漏洞实施cache-timing攻击，获取ECDSA P-256私钥。

15. CVE-2018-0739

漏洞源于使用递归过度的恶意输入，构造的ASN.1类型可造成栈溢出，导致拒绝服务攻击。

16. CVE-2019-1559

攻击者可利用该漏洞绕过访问限制，获取敏感信息。

17. CVE-2018-0737

生成算法存在安全漏洞。攻击者可利用该漏洞实施时序攻击，恢复私钥。

18. CVE-2018-0732

攻击者可利用该漏洞造成拒绝服务（挂起）。

19. CVE-2019-1552

OpenSSL存在安全漏洞，攻击者可利用该漏洞绕过安全保护。

20. CVE-2019-1563

攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。

21. CVE-2018-5407

OpenSSL存在的一个本地信息泄露漏洞，本地攻击者可以利用该漏洞获取敏感信息，这可能有助于进一步的攻击。

22. X-Frame-Options属性漏洞

http报文没有设置X-Frame-Options字段，可能导致非同源的iframe插入，从而导致点击劫持。

23. CVE-2011-1473

内核SSL没有处理关闭SSL重协商字段，导致ssl客户端可以重协商成功。

24. CVE-2021-23841/CVE-2021-23840/CVE-2020-1971

修复OpenSSL存在的安全漏洞：OpenSSL在处理EDIPartyName （X.509GeneralName类型）时，使用的函数GENERAL_NAME_cmp中存在一处空指针取消引用，当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞。

25. CVE-2016-6329

加密算法本身问题，如果默认修改为不支持涉及漏洞的几种加密算法，可能会导致用户升级后WEB无法登陆问题。规避方案：[UNIS-ssl-server-policy-fxm]ciphersuite下不要选包含DES、3DES、RC2这种block长度为8bytes的cbc算法，可以选aes_256_cbc等算法，然后重启https服务。

26. CVE-2022-0778

修复OpenSSL BN_mod_sqrt拒绝服务漏洞：证书解析使用的BN_mod_sqrt()函数存在一个错误，它会导致在非质数的情况下永远循环。通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的，因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外，当解析特制的私钥时(包含显式椭圆曲线参数)，也可以触发无限循环。易受攻击的情况如下：使用服务器证书的TLS客户端；使用客户端证书的TLS服务器；托管服务提供商从客户处获取证书或私钥；证书颁发机构解析来自订阅者的认证请求；任何其他解析ASN.1椭圆曲线参数的程序。

27. CVE-2021-3711

修复OpenSSL SM2解密缓冲区溢出漏洞，该漏洞由于 OpenSSL解密SM2加密数据时调用API  函数EVP_PKEY_decrypt，其计算缓冲区大小存在错误导致导致缓冲区溢出。

28. CVE-2021-3712

修复OpenSSL ASN.1 strings读取缓冲区溢出漏洞，该漏洞由于 OpenSSL用于存储ASN.1字符串的结构ASN_1_String在创建是没有严格遵守字符串的Null字节结尾，在打印时可能发生读取缓冲区溢出。

29. 栈溢出漏洞

Comware系统处理 flag 参数时会根据用户提供的字符串长度将数据拷贝到栈缓冲区，没有合理限制拷贝长度，存在栈溢出漏洞，攻击者多次触发此漏洞最终将导致 web 管理不可用，造成拒绝服务攻击。

附录 C 软件升级操作指导

C.1 设备软件简介

设备软件主要包括Bootware程序和启动软件包。

·            Bootware文件对存储器进行容量检查和测试，初始化硬件并显示设备的硬件参数。

·            启动文件一方面提供对主要部件的硬件驱动和适配功能，另一方面实现对业务特性的支持。

C.1.1 BootWare程序

设备开机最先运行的程序是BootWare程序，它能够引导硬件启动、引导启动软件包运行、提供BootWare菜单功能。BootWare程序存储在设备的BootWare（芯片）中。完整的BootWare包含BootWare基本段和BootWare扩展段。

·            BootWare基本段是指完成系统基本初始化的BootWare。

·            BootWare扩展段具有丰富的人机交互功能，用于接口的初始化，可以实现升级应用程序和引导系统。

通常情况下，BootWare文件是一个后缀名为.btw的文件（例如：main.btw）。

C.1.2 启动软件包

1. 启动软件包的分类

启动软件包是用于引导设备启动的程序文件，按其功能可以分为以下几类：

·            Boot软件包（简称Boot包）：包含Linux内核程序，提供进程管理、内存管理、文件系统管理、应急Shell等功能。

·            System软件包（简称System包）：包含Comware内核和基本功能模块的程序，比如设备管理、接口管理、配置管理和路由模块等。

·            Feature软件包（简称Feature包）：用于业务定制的程序，能够提供更丰富的业务。一个Feature包可能包含一种或多种业务。是否支持Feature包以及支持哪些Feature包与设备的型号有关，请以设备的实际情况为准。

·            Patch软件包（简称补丁包）：用来修复设备软件缺陷的程序文件。补丁包与软件版本一一对应，补丁包只能修复与其对应的启动软件包的缺陷，不涉及功能的添加和删除。

设备必须具有Boot包和System包才能正常运行，Feature包可以根据用户需要选择安装，补丁包只在需要修复设备软件缺陷时安装。

30. 启动软件包的发布形式

启动软件包有以下两种发布形式：

·            BIN文件：后缀为.bin的文件。一个BIN文件就是一个启动软件包。要升级的BIN文件之间版本必须兼容才能升级成功。

·            IPE（Image Package Envelope，复合软件包套件）文件：后缀为.ipe的文件。它是多个软件包的集合，产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户将该IPE文件加载到设备后，设备会自动将它解压缩成多个BIN文件。用户再使用这些BIN文件升级设备即可，从而能够减少启动软件包之间的版本管理问题。

31. 主/备用启动软件包以及软件包列表

用户在配置设备下次启动使用的软件包时，需要指定软件包的名称，以及软件包的主用/备用属性。

·            设备会将所有具有主用属性的软件包的名称存储在主用启动软件包列表中，将所有具有备用属性的软件包的名称存储在备用启动软件包列表中。

·            当设备启动时，优先使用主用启动软件包列表中的软件包，如果主用启动软件包列表中软件包不存在或者不可用，再使用备用启动软件包列表中的软件包。

C.1.3 配置文件简介

配置文件是用来保存配置的文件。配置文件主要用于：

·            将当前配置保存到配置文件，以便设备重启后，这些配置能够继续生效。

·            使用配置文件，用户可以非常方便地查阅配置信息。

设备缺省的配置文件名为startup.cfg。

C.2 软件升级方式简介

表7 软件升级方式简介

C.2.1 升级前的准备

TFTP（Trivial File Transfer Protocol，简单文件传输协议）是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。设备作为TFTP Client，文件服务器（通常为PC）作为TFTP Server，用户通过在终端输入相应命令，可将本设备的启动文件上传到文件服务器上，或者从文件服务器下载启动文件到设备中。

FTP（File Transfer Protocol，文件传输协议）在TCP/IP协议族中属于应用层协议，主要向用户提供远程主机之间的文件传输。设备作为FTP Client，文件服务器（通常为PC）为FTP Server。

在升级设备启动文件前，请完成如下准备工作：

·            在设备出厂前，已配置接口GigabitEthernet1/0/0的IP地址为192.168.0.1/24。此接口已被加入Management安全域，且安全域Management和Local之间可以互通。

·            管理员也可以根据实际网络需求，自定义用于软件升级的安全域和接口IP地址，并正确配置安全域间实例以保证所配置的安全域与Local安全域之间可以互通。有关安全域和安全域间实例的详细介绍请参见“基础配置指导”中的“安全域”。用户需配置文件服务器IP地址，确保设备与文件服务器路由可达。

·            开启文件服务器的TFTP/FTP Server功能。

·            通过配置终端登录到设备的命令行配置界面中。

·            将设备的升级启动文件拷贝到文件服务器上，并正确设置TFTP/FTP Server的访问路径。

C.2.2 设备升级环境

配置PC的IP地址为192.168.0.2，子网掩码为255.255.255.0，下文中所有的软件升级配置举例，组网图的具体环境如下：

C.3 升级启动文件

C.3.1 通过命令行升级启动文件

通过命令行升级启动文件，可以采用以下方式：

·            使用TFTP协议升级设备的启动文件

·            使用FTP协议升级设备的启动文件

1. 使用TFTP协议升级设备的启动文件

设备作为TFTP Client，访问TFTP文件服务器的指定路径，完成启动文件的备份与升级操作，

具体操作步骤如下：

(1)        备份当前启动文件和配置文件

# 在命令行配置界面的任意视图下，执行save命令保存设备当前配置信息：

<Sysname> save

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[cfa0:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

cfa0:/startup.cfg exists, overwrite? [Y/N]:y

Validating file. Please wait...

Saved the current configuration to mainboard device successfully.

# 在命令行配置界面的用户视图下，执行dir命令查看设备当前的文件系统，确认启动文件及配置文件名，以及CF的剩余空间，保证CF有足够空间放入新的启动文件：

<Sysname> dir

Directory of cfa0:

   0 drw-           - Jul 06 2017 15:04:22   context

   1 drw-           - Jul 05 2017 10:01:40   diagfile

   2 drw-           - Jul 05 2017 10:36:20   dpi

   3 -rw-         735 Jul 05 2017 10:01:48   hostkey

   4 -rw-         735 Jul 05 2017 09:24:34   hostkey_v3

   5 -rw-         805 Nov 27 2017 19:50:26   ifindex.dat

   6 drw-           - Nov 27 2017 19:40:15   license

   7 drw-           - Jul 06 2017 10:27:44   logfile

   8 drw-           - Nov 27 2017 19:40:32   pki

   9 -rw-        1676 Jul 05 2017 09:40:20   private-data.txt

  10 drw-           - Jul 05 2017 09:24:26   seclog

  11 -rw-         591 Nov 27 2017 19:40:32   serverkey

  12 -rw-        3928 Nov 27 2017 19:50:27   startup.cfg

  13 -rw-       77641 Nov 27 2017 19:50:27   startup.mdb

  14 drw-             - Nov 27 2017 19:40:27   versionInfo

252164 KB total (146614 KB free)

# 在命令行配置界面的用户视图下，执行tftp put命令分别将配置文件startup.cfg备份到TFTP文件服务器上：

<Sysname> tftp 192.168.0.2 put startup.cfg vpn-instance management

Press CTRL+C to abort.

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100  3950    0     0  100  3950      0   204k --:--:-- --:--:-- --:--:--  642k

(2)        升级启动文件

# 在命令行配置界面的用户视图下，执行tftp get命令将启动文件main.ipe导入到设备的CF中：

<Sysname> tftp 192.168.100.9 get main.ipe

Press CTRL+C to abort.

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed

100  102M  100  102M    0     0   461k      0  0:03:48  0:03:48 --:--:--  554k

Writing file...Done.

<Sysname>

# 在命令行配置界面的用户视图下，执行boot-loader命令设置设备下次启动使用的启动文件为main.ipe，并指定启动文件类型为main：

<Sysname> boot-loader file cfa0:/main.ipe all main

Verifying the file cfa0:/main.ipe on slot 1.........Done.

H3C SecPath T5010 images in IPE:

  main-cmw710-boot-R8514P10.bin

  main-cmw710-system-R8514P10.bin

This command will set the main startup software images. Please do not reboot any

 MPU during the upgrade. Continue? [Y/N]:y

Add images to slot 1.

File cfa0:/main-cmw710-boot-R8514P10.bin already exists on slot 1.

File cfa0:/main-cmw710-system-R8514P10.bin already exists on slot 1.

Overwrite the existing files? [Y/N]:y

Decompressing file main-cmw710-boot-R8514P10.bin to cfa0:/main-cmw710-bo

ot-R8514P10.bin..........Done.

Decompressing file main-cmw710-system-R8514P10.bin to cfa0:/main-cmw710-

system-R8514P10.bin.............................................................

................................................................................

...............................Done.

Verifying the file cfa0:/main-cmw710-boot-R8514P10.bin on slot 1...Done.

Verifying the file cfa0:/main-cmw710-system-R8514P10.bin on slot 1.........D

one.

The images that have passed all examinations will be used as the main startup so

ftware images at the next reboot on slot 1.

Decompression completed.

Do you want to delete cfa0:/main.ipe now? [Y/N]:N

<Sysname>

# 在命令行配置界面的用户视图下，执行display boot-loader命令查看设备的启动程序文件信息：

<Sysname> display boot-loader

Software images on slot 1:

Current software images:

  cfa0:/main-cmw710-boot-R8514P09.bin

  cfa0:/main-cmw710-system-R8514P09.bin

Main startup software images:

  cfa0:/main-cmw710-boot-R8514P10.bin

  cfa0:/main-cmw710-system-R8514P10.bin

Backup startup software images:

  cfa0:/main-cmw710-boot-R8514P09.bin

  cfa0:/main-cmw710-system-R8514P09.bin

<Sysname>

# 在命令行配置界面的用户视图下，执行reboot命令重启设备：

<Sysname> reboot

 Start to check configuration with next startup configuration file, please wait.

........DONE!

 This command will reboot the device. Continue? [Y/N]:y

System is starting...

……略……

# 设备重启后，通过display version命令查看设备的启动文件版本信息是否与升级的启动文件一致。

<Sysname> display version

H3C Comware Software, Version 7.1.064, Release 8514P10

Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.

H3C SecPath T5010 uptime is 0 weeks, 0 days, 0 hours, 21 minutes

Last reboot reason: Warm reboot

Boot image: cfa0:/main-cmw710-boot-R8514P10.bin

Boot image version: 7.1.064, Release 8514P10

  Compiled Nov 10 2017 16:00:00

System image: cfa0:/main-cmw710-system-R8514P10.bin

System image version: 7.1.064, Release 8514P10

  Compiled Nov 10 2017 16:00:00

SLOT 1

CPU type: Multi-core CPU

DDR3 SDRAM Memory      16382M bytes

CF0 Card         247M bytes

Board PCB        Version:Ver.A

CPLD_A           Version:  1.0

CPLD_B           Version:  2.0

Release          Version:SecPath T5010-8514P10

Basic  BootWare  Version: 2.05

Extend BootWare  Version: 2.05

<Sysname>

2. 使用FTP协议升级设备的启动文件

设备作为FTP Client，访问FTP文件服务器的指定路径，完成启动文件的备份及升级操作，具体操作步骤如下：

(1)        备份当前启动文件和配置文件

# 在命令行配置界面的任意视图下，执行save命令保存设备当前配置信息：

<Sysname> save

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[cfa0:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

cfa0:/startup.cfg exists, overwrite? [Y/N]:y

Validating file. Please wait...

Saved the current configuration to mainboard device successfully.

<Sysname>

# 在命令行配置界面的用户视图下，执行dir命令查看设备当前的文件系统，确认启动文件及配置文件名，以及CF的剩余空间，保证CF有足够空间放入新的启动文件：

<Sysname> dir

Directory of cfa0:

   0 drw-           -  Jul 06  2017  15:04:22   context

   1 drw-           -  Jul 05  2017  10:01:40   diagfile

   2 drw-           -  Jul 05  2017  10:36:20   dpi

   3 -rw-         735  Jul 05  2017  10:01:48   hostkey

   4 -rw-         735  Jul 05  2017  09:24:34   hostkey_v3

   5 -rw-         805  Nov 27  2017  19:50:26   ifindex.dat

   6 drw-           -  Nov 27  2017  19:40:15   license

   7 drw-           -  Jul 06  2017  10:27:44   logfile

   8 drw-           -  Nov 27  2017  19:40:32   pki

   9 -rw-        1676 Jul 05  2017  09:40:20   private-data.txt

  10 drw-           - Jul 05  2017  09:24:26   seclog

  11 -rw-         591 Nov 27  2017  19:40:32   serverkey

  12 -rw-        3928 Nov 27  2017  19:50:27   startup.cfg

  13 -rw-       77641 Nov 27  2017  19:50:27   startup.mdb

  14 drw-           -  Nov 27  2017  19:40:27   versionInfo

252164 KB total (146614 KB free)

<Sysname>

在文件服务器上启动FTP Server程序，设置启动文件所在的路径，以及FTP用户名和密码。本例设置用户名为user123，密码为123456。

# 在命令行配置界面的用户视图下，执行ftp命令登录FTP文件服务器，根据系统提示输入登录用户名和密码：

<Sysname> ftp 192.168.0.2

Press CTRL+C to abort.

Connected to 192.168.0.2 (192.168.0.2).

220 3Com 3CDaemon FTP Server Version 2.0

User (192.168.0.2:(none)): user123

331 User name ok, need password

Password:

230 User logged in

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

# 在FTP客户端视图下，执行put命令分别将配置文件startup.cfg备份到FTP文件服务器上：

ftp> put startup.cfg

227 Entering passive mode (192,168,0,2,26,3)

125 Using existing data connection

.

226 Closing data connection; File transfer successful.

3950 bytes sent in 0.001 seconds (4.13 Mbytes/s)

ftp>

(2)        升级启动文件

# 在FTP客户端视图下，执行get命令将启动文件main.ipe导入到设备的CF中：

ftp> get main.ipe

227 Entering passive mode (192,168,0,2,8,252)

125 Using existing data connection

226 Closing data connection; File transfer successful.

107934720 bytes received in 187.994 seconds (560.68 Kbytes/s)

ftp>

# 在FTP客户端视图下，执行quit命令，返回到命令行配置界面的用户视图：

ftp> quit

221 Service closing control connection

<Sysname>

# 在命令行配置界面的用户视图下，执行boot-loader命令设置设备下次启动使用的启动文件为main.ipe，并指定启动文件类型为main：

<Sysname> boot-loader file cfa0:/main.ipe all main

Verifying the file cfa0:/main.ipe on slot 1.........Done.

H3C SecPath T5010 images in IPE:

  main-cmw710-boot-R8514P10.bin

  main-cmw710-system-R8514P10.bin

This command will set the main startup software images. Please do not reboot any

 MPU during the upgrade. Continue? [Y/N]:y

Add images to slot 1.

File cfa0:/main-cmw710-boot-R8514P10.bin already exists on slot 1.

File cfa0:/main-cmw710-system-R8514P10.bin already exists on slot 1.

Overwrite the existing files? [Y/N]:y

Decompressing file main-cmw710-boot-R8514P10.bin to cfa0:/main-cmw710-bo

ot-R8514P10.bin..........Done.

Decompressing file main-cmw710-system-R8514P10.bin to cfa0:/main-cmw710-

system-R8514P10.bin.............................................................

................................................................................

...............................Done.

Verifying the file cfa0:/main-cmw710-boot-R8514P10.bin on slot 1...Done.

Verifying the file cfa0:/main-cmw710-system-R8514P10.bin on slot 1.........D

one.

The images that have passed all examinations will be used as the main startup so

ftware images at the next reboot on slot 1.

Decompression completed.

Do you want to delete cfa0:/main.ipe now? [Y/N]:N

<Sysname>

# 在命令行配置界面的用户视图下，执行display boot-loader命令查看设备的启动程序文件信息：

<Sysname> display boot-loader

Software images on slot 2:

Current software images:

  cfa0:/main-cmw710-boot-R8514P09.bin

  cfa0:/main-cmw710-system-R8514P09.bin

Main startup software images:

  cfa0:/main-cmw710-boot-R8514P10.bin

  cfa0:/main-cmw710-system-R8514P10.bin

Backup startup software images:

  cfa0:/main-cmw710-boot-R8514P09.bin

  cfa0:/main-cmw710-system-R8514P09.bin

<Sysname>

如上显示信息中，下一次启动的程序文件已经设置为main.ipe。

# 在命令行配置界面的用户视图下，执行reboot命令重启设备：

<Sysname> reboot

 Start to check configuration with next startup configuration file, please wait.

........DONE!

 This command will reboot the device. Continue? [Y/N]:y

System is starting...

……略……

# 设备重启后，通过display version命令查看设备的启动文件版本信息是否与升级的启动文件一致

<Sysname> display version

H3C Comware Software, Version 7.1.064, Release 8514P10

Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.

H3C SecPath T5010 uptime is 0 weeks, 0 days, 0 hours, 21 minutes

Last reboot reason: Warm reboot

Boot image: cfa0:/main-cmw710-boot-R8514P10.bin

Boot image version: 7.1.064, Release 8514P10

  Compiled Nov 10 2017 16:00:00

System image: cfa0:/main-cmw710-system-R8514P10.bin

System image version: 7.1.064, Release 8514P10

  Compiled Nov 10 2017 16:00:00

SLOT 1

CPU type: Multi-core CPU

DDR3 SDRAM Memory      16382M bytes

CF0 Card         247M bytes

Board PCB        Version:Ver.A

CPLD_A           Version:  1.0

CPLD_B           Version:  2.0

Release          Version:SecPath T5010-8514P10

Basic  BootWare  Version: 2.05

Extend BootWare  Version: 2.05

<Sysname>

C.3.2 通过Web方式升级启动文件

设备支持Web网管功能，管理员可以使用Web界面方便直观地管理、维护和升级。

设备在出厂前，已经设置了默认的Web登录信息，用户可以直接使用该默认信息登录Web界面。默认Web登录信息请参见表8默认Web登录信息表。

表8 默认Web登录信息表

(1)        连接设备和PC

用以太网线将PC和设备的以太网口相连，建议连在以太网管理口。

(2)        为PC配置IP地址，确保能与设备互通

修改IP地址为192.168.0.0/24（除192.168.0.1）子网内任意地址，例如192.168.0.2。

(3)        启动浏览器，输入登录信息

在PC上启动浏览器，在地址栏中输入IP地址“192.168.0.1”后回车，即可进入设备的Web登录页面，输入设备默认的用户名和密码，单击<登录>按钮即可登录。

(4)        选择“系统 > 升级中心 > 软件更新”，进入如下图所示的页面。

(5)        单击<升级系统软件>按钮，弹出升级系统软件配置页面，如下图所示。

图1 升级系统软件

(6)        选择待升级的启动文件。

(7)        单击<确定>按钮开始进行软件升级。

C.3.3 通过BootWare菜单升级启动文件

通过BootWare菜单升级启动文件，可以采用以下方式：

·            通过管理用以太网口利用TFTP升级启动文件

·            通过管理用以太网口利用FTP升级启动文件

32. 通过管理用以太网口利用TFTP升级启动文件

(1)        在PC上运行TFTP Server程序，并指定下载程序的文件路径。

(2)        在PC上运行终端仿真程序，通过Console口登录到设备上，然后通过reboot命令重启设备，进入BootWare扩展段主菜单，有关BootWare扩展段主菜单的进入方式请参见D.4进入BootWare扩展段，系统出现提示“Enter your choice(0-9):”后，键入<3>，进入以太网口子菜单，终端显示信息如下：

==========================<Enter Ethernet SubMenu>==========================

|Note:the operating device is sda0                                         |

|<1> Download Image Program To SDRAM And Run                               |

|<2> Update Main Image File                                                |

|<3> Update Backup Image File                                              |

|<4> Download Files(*.*)                                                   |

|<5> Modify Ethernet Parameter                                             |

|<0> Exit To Main Menu                                                     |

|<Ensure The Parameter Be Modified Before Downloading!>                    |

============================================================================

Enter your choice(0-5):

(1)        在以太网口子菜单中，键入<5>，设置以太网口的相关参数。

终端显示如下：

======================<ETHERNET PARAMETER SET>==============================

|Note:       '.' = Clear field.                                            |

|            '-' = Go to previous field.                                   |

|          Ctrl+D = Quit.                                                  |

============================================================================

Protocol (FTP or TFTP):tftp

Load File Name        :main.ipe

Target File Name      :main.ipe

Server IP Address     :192.168.0.2

Local IP Address      :192.168.0.1

Subnet Mask           :255.255.255.0

Gateway IP Address    :0.0.0.0

表9 设置以太网口参数显示信息描述表