H3C SecBladeIV NGFW LSQM2FWDSC0_LSQM2FWDSC8-CMW710-R8560P40 版本软件及说明书(2023年度稳定版本,支持RBM,推荐更低版本升级至本版本)
2023/12/4 14:19:44
H3C SECBLADEIVNGFW_LITE-CMW710-R8560P40 版本说明书
目 录
C.6.2 通过BootWare菜单升级BootWare文件·· 58
C.6.3 通过Console口利用Xmodem协议升级BootWare文件·· 60
表目录
表1 历史版本信息表....................................................................................................................... 1
表2 版本配套表.............................................................................................................................. 2
表3 版本配套表.............................................................................................................................. 3
表4 ISSU版本兼容列表................................................................................................................. 6
表5 MIB文件变更说明................................................................................................................... 7
表6 产品硬件特性(LSWM1FWD0/LSXM1FWDF1/IM-NGFWX-IV)........................................... 29
表7 产品硬件特性(LSQM1FWDSC0/LSUM1FWDEC0/LSCM1FWDSD0)................................ 29
表8 产品硬件特性(LSQM2FWDSC0)....................................................................................... 30
表9 产品硬件特性(LSQM2FWDSC8)(分销S7000E系列交换机 SecBlade NGFW 模块)....... 30
表10 产品软件特性...................................................................................................................... 31
表11 FW插卡型号以及适配的网络主机表.................................................................................... 38
表12 软件升级方式简介............................................................................................................... 40
表13 显示信息描述表................................................................................................................... 49
表14 BootWare主菜单................................................................................................................. 49
表15 以太网口子菜单................................................................................................................... 51
表16 以太网参数设置说明............................................................................................................ 51
表17 BootWare串口子菜单.......................................................................................................... 53
表18 BootWare操作菜单............................................................................................................. 59
表19 BootWare操作以太网子菜单............................................................................................... 59
表20 BootWare操作串口子菜单................................................................................................... 60
表21 文件控制子菜单................................................................................................................... 63
本文介绍了R8560P40版本的特性、使用限制、存在问题及规避措施等,在加载R8560P40版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。
本文档需和随版本发布的《H3C SECBLADEIVNGFW&SECBLADEIVNGFW_LITE-CMW710-R8560P40版本说明书(软件特性变更说明)》,以及本文“10 相关资料”中的文档一起配合使用。
版本号:H3C Comware Software, Version 7.1.064, Release 8560P40
注:该版本号可在命令行任何视图下用display version命令查看,见注①。
版本号 | 基础版本号 | 发布日期 | 版本类型 | 备注 |
R8560P40 | R8560P36 | 2023-10-29 | Release版本 | 发布生产+年度版本 |
R8560P36 | R8560P33 | 2023-06-27 | Release版本 | 发布生产,新立项插卡过TR6 |
R8560P33 | R8560P29 | 2023-03-28 | Release版本 | 发布生产,新立项插卡过TR5 |
R8560P29 | R8560P27 | 2022-11-16 | Release版本 | 发布生产+年度版本 |
R8560P27 | R8560P20 | 2022-09-19 | Release版本 | 发布生产 |
R8560P20 | R8520P2414 | 2022-01-27 | Release版本 | 发布生产 |
R8520P2414 | R8520P2412 | 2021-07-27 | Release版本 | 发布用服 |
R8520P2412 | F8520P16 | 2021-05-28 | Release版本 | 发布生产 |
F8520P16 | E8520P08 | 2020-06-23 | Feature版本 | 发布用服 |
E8520P08 | R8508P19 | 2019-09-27 | ESS版本 | 发布用服 |
R8508P19 | R8508P17 | 2019-06-17 | Release版本 | 分销插卡过TR5 |
R8508P17 | R8508P10 | 2019-04-17 | Release版本 | 分销插卡过TR4A |
R8508P10 | E8508P08 | 2018-09-16 | Release版本 | 过TR6,发布生产 |
E8508P08 | E8508P05 | 2018-06-26 | ESS版本 | 发布用服 |
E8508P05 | E8506P01 | 2018-04-18 | ESS版本 | 发布生产和用服 |
E8506P01 | 无 | 2017-12-20 | ESS版本 | 发布生产和用服 |
在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。
H3C SecBladeIVNGFW | ||||||
型号 | LSWM1FWD0 | LSQM1FWDSC0 | LSCM1FWDSD0 | LSUM1FWDEC0 | LSXM1FWDF1 | IM-NGFWX-IV |
应用于 | S6800/S6900/S7500E-XS及包装系列 | S7500E及包装系列 | S7500X-G | S10500及包装系列 | S12500X-AF/S12500F-AF及包装系列 | SR8800-X/CR16000-F及包装系列 |
备注:SecBlade系列安全插卡产品的软件版本与路由器&交换机主机框软件版本没有耦合对应关系。在SecBlade系列安全插卡可以正常在主机侧注册识别、状态正常的前提下,SecBlade系列安全插卡自身软件版本即可任意进行升级操作,无需关注路由器&交换机主机框软件版本。 | ||||||
内存 | 32G | 16G | 16G | 32G | 64G | 32G |
SD卡 | 8G | |||||
BOOTROM版本号 | 1.15 | |||||
目标文件名称及MD5校验码 | SECBLADEIVNGFW-CMW710-R8560P40.ipe MD5校验值:a1ee632d5d631c5e2931b60bfed5ef8d | |||||
S6800-2C配套版本 | F2429及以上版本 | |||||
S6800-4C配套版本 | F2429及以上版本 | |||||
S6900-2F配套版本 | F2429及以上版本,适配在产品代码为LS-6900-2F-H1交换机的任意扩展卡插槽上,需要使用R2609版本+H05补丁 | |||||
S6900-4F配套版本 | F2429及以上版本,适配在产品代码为LS-6900-4F-H1的交换机的扩展卡插槽1、2,需要使用R2609版本+H05补丁 | |||||
S7500E配套版本 | S7500E-CMW710- E7565P02及以上版本 | |||||
S7500X-G配套版本 | S7500XG-CMW710-E7753P01 及以上版本 | |||||
S10500配套版本 | S10500-CMW710- E7565P02及以上版本 | |||||
S12500X-AF配套版本 | S12500X-CMW710-R1150及以上版本 | |||||
S12500F-AF配套版本 | S12500F-CMW710-R1150及以上版本 | |||||
SR8800-X配套版本 | SR8800-CMW710-R7353P11及以上版本 | |||||
CR16000-F配套版本 | CR16000-CMW710-R7353P11及以上版本 | |||||
iMC版本号 | iMC-EIA(TAM) EIA 7.3 (E0628) iMC-EIA(UAM) EIA 7.3 (E0628) IMC-EAD 7.3 (E0628) iMC PLAT 7.3 (E0710) | |||||
iNode 版本号 | iNode PC 7.3 (E0626) | |||||
CSAP-S版本号 | E1143P0601 | |||||
SMP安全业务管理平台版本号 | E1112P02 | |||||
云安全运维管理平台版本号 | 不支持 | |||||
AD-NET 应用驱动网络 | E0709 | |||||
U-Center AOM自动化管理 | E0706P01 | |||||
ADWAN | 不支持 | |||||
ADDC | 不支持 | |||||
ADcampus | 不支持 | |||||
U-Center | 不支持 | |||||
云简网络 | 不支持 | |||||
备注 | 1、IMC服务器时间需要与设备时间保持一致; 2、安全业务-设备管理-地址组配置建议无特殊需求不要使用通配符子网地址类型; 3、安全业务-设备管理-业务配置动作参数需要先在设备web端启用对应参数 |
产品系列 | H3C SecBladeIVNGFW_LITE | ||
型号 | LSQM2FWDSC0 | LSCM2FWDSD0 | LSQM2FWDSC8 |
应用于 | S7500/S10500 | S7500X-G | S7000E |
备注:SecBlade系列安全插卡产品的软件版本与路由器&交换机主机框软件版本没有耦合对应关系。在SecBlade系列安全插卡可以正常在主机侧注册识别、状态正常的前提下,SecBlade系列安全插卡自身软件版本即可任意进行升级操作,无需关注路由器&交换机主机框软件版本。 | |||
内存 | 16G | ||
SD卡 | 8G | ||
BOOTROM版本号 | 2.00 (该版本号可在命令行任何视图下用display version命令查看,见注②) | ||
目标文件名称及MD5校验码 | SECBLADEIVNGFW_LITE-CMW710-R8560P40.ipe MD5校验值:3c81544ff301fd007d92f4059abdfac8 | ||
S7500E配套版本 | S7500E-CMW710- E7565P02及以上版本 | ||
S10500配套版本 | S10500-CMW710- E7565P02及以上版本 | ||
S7500X-G配套版本 | S7500XG-CMW710-E7753P01 及以上版本 | ||
S7000E配套版本 | S7000E-CMW710-R7585P05及以上版本 | ||
iMC版本号 | iMC-EIA(TAM) EIA 7.3 (E0628) iMC-EIA(UAM) EIA 7.3 (E0628) IMC-EAD 7.3 (E0628) iMC PLAT 7.3 (E0710) | ||
iNode 版本号 | iNode PC 7.3 (E0626) | ||
CSAP-S版本号 | E1143P0601 | ||
SMP安全业务管理平台版本号 | E1112P02 | ||
云安全运维管理平台版本号 | 不支持 | ||
AD-NET 应用驱动网络 | E0709 | ||
U-Center AOM自动化管理 | E0706P01 | ||
ADWAN | 不支持 | ||
ADDC | 不支持 | ||
ADcampus | 不支持 | ||
U-Center | 不支持 | ||
云简网络 | 不支持 | ||
备注 | 1、IMC服务器时间需要与设备时间保持一致; 2、安全业务-设备管理-地址组配置建议无特殊需求不要使用通配符子网地址类型; 3、安全业务-设备管理-业务配置动作参数需要先在设备web端启用对应参数 |
示例:查看 SecBlade IV的软件版本和BootWare版本号方式如下:
<H3C>dis version
H3C Comware Software, Version 7.1.064, Release 8560P40 ----注①
Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecBlade IV NGFW Module uptime is 0 weeks, 0 days, 22 hours, 47 minutes
Last reboot reason: User reboot
Boot image: sda0:/BLADE4FW-CMW710-BOOT-R8560P40.bin
Boot image version: 7.1.064, Release 8560P40
Compiled Oct 13 2023 14:00:00
System image: sda0:/BLADE4FW-CMW710-SYSTEM-R8560P40.bin
System image version: 7.1.064, Release 8560P40
Compiled Oct 13 2023 14:00:00
Feature image(s) list:
sda0:/BLADE4FW-CMW710-SECESCAN-R8560P40.bin, version: 7.1.064
Compiled Oct 13 2023 14:00:00
[H3C-probe]dis sys int version
H3C SecBlade IV NGFW Module V800R005B06D660SP40
Comware V700R001B64D060SP40
SLOT 1
Uptime is 0 weeks, 0 days, 0 hours, 10 minutes
CPU type: Multi-core CPU
DDR3 : 16368M bytes
SD0: 7695M bytes
Board PCB Version: Ver.A
CPLD Version: 3.0
Release Version: SecBlade FW Enhanced Module-8560P40
Basic BootWare Version:1.15
Extend BootWare Version:1.15
查看 SecBlade IV Lite插卡的软件版本和BootWare版本号方式如下:
<H3C>dis version
H3C Comware Software, Version 7.1.064, Release 8560P40
Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.
H3C SecBlade IV NGFW Module uptime is 0 weeks, 0 days, 0 hours, 1 minute
Last reboot reason: User reboot
Boot image: flash:/BLADE4FW-lite-CMW710-BOOT-R8560P40.bin
Boot image version: 7.1.064, Release 8560P40
Compiled Oct 13 2023 14:00:00
System image: flash:/BLADE4FW-lite-CMW710-SYSTEM-R8560P40.bin
System image version: 7.1.064, Release 8560P40
Compiled Oct 13 2023 14:00:00
Feature image(s) list:
flash:/BLADE4FW-lite-CMW710-SECESCAN-R8560P40.bin, version: 7.1.064
Compiled Oct 13 2023 14:00:00
[H3C-probe]dis system internal version
H3C SecBlade IV NGFW Module V800R005B09D660SP40
Comware V700R001B64D060SP40
SLOT 1
Uptime is 0 weeks, 0 days, 0 hours, 15 minutes
CPU type: Multi-core CPU
DDR3 : 16368M bytes
Board PCB Version: Ver.A
CPLD Version: 4.0
Release Version: SecBlade FW Enhanced Module-8560P40
Basic BootWare Version:2.00
Extend BootWare Version:2.00 ------- 注②
ISSU(In-Service Software Upgrade,不中断业务升级)升级分为兼容性升级和不兼容性升级。由于18个月以上的版本不进行兼容性验证,下表仅列出本版本与18个月以内的历史版本之间的ISSU升级方式。关于ISSU的详细介绍,请参见与设备配套的“基础配置指导”中的“ISSU”。
表4 ISSU版本兼容列表
当前版本 | 历史版本 | ISSU兼容性 |
SECBLADEIVNGFW-LITE-CMW710-R8560P40 | SECBLADEIVNGFW-LITE-CMW710-R8560P36 | 兼容(IRF/RBM) |
SECBLADEIVNGFW-LITE-CMW710-R8560P36 | SECBLADEIVNGFW-LITE-CMW710-R8560P33 | 不兼容(IRF/RBM) |
SECBLADEIVNGFW-LITE-CMW710-R8560P33 | SECBLADEIVNGFW-LITE-CMW710-R8560P29 | 不兼容(IRF/RBM) |
SECBLADEIVNGFW-LITE-CMW710-R8560P29 | SECBLADEIVNGFW-LITE-CMW710-R8560P27 | 老插卡兼容,新立项的7500X-G插卡是首个版本不兼容 |
SECBLADEIVNGFW-LITE-CMW710-R8560P27 | SECBLADEIVNGFW-LITE-CMW710-R8560P20 | 兼容 |
SECBLADEIVNGFW-LITE-CMW710-R8560P20 | SECBLADEIVNGFW-LITE-CMW710-R8520P2414 | 不兼容(跨维护分支不支持ISSU升级) |
当前版本 | 历史版本 | ISSU兼容性 |
SECBLADEIVNGFW-CMW710-R8560P40 | SECBLADEIVNGFW-CMW710-R8560P36 | 兼容(IRF/RBM) |
SECBLADEIVNGFW-CMW710-R8560P36 | SECBLADEIVNGFW-CMW710-R8560P33 | 不兼容(IRF/RBM) |
SECBLADEIVNGFW-CMW710-R8560P33 | SECBLADEIVNGFW-CMW710-R8560P29 | 不兼容(IRF/RBM) |
SECBLADEIVNGFW-CMW710-R8560P29 | SECBLADEIVNGFW-CMW710-R8560P27 | 兼容(IRF/RBM),新立项的7500X-G插卡是首个版本不兼容 |
SECBLADEIVNGFW-CMW710-R8560P27 | SECBLADEIVNGFW-CMW710-R8560P24 | 兼容(IRF/RBM) |
SECBLADEIVNGFW-CMW710-R8560P24 | SECBLADEIVNGFW-CMW710-R8560P22 | 兼容(IRF/RBM) |
SECBLADEIVNGFW-CMW710-R8560P22 | SECBLADEIVNGFW-CMW710-R8560P19 | 兼容(IRF/RBM) |
| SECBLADEIVNGFW-CMW710-F8560P16 | 不兼容(R8560P19为基线版本,后续版本支持) |
| SECBLADEIVNGFW-CMW710- F8560P1203 | 不兼容(例外分支不支持ISSU) |
无
无
有关历史版本的特性及命令行的变更信息说明,请参见随历史版本发布的软件特性变更说明文档。
表5 MIB文件变更说明
版本号 | 项目 | MIB文件名称 | 模块名 | 说明 |
R8560P40 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8560P36 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8560P33 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8560P29 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8560P27 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8560P20 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8520P2414 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8520P2412 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
F8520P16 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8520P08 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8508P19 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8508P17 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
R8508P10 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8508P08 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8508P05 | 新增 | / | / | 无 |
修改 | / | / | 无 | |
E8506P01 | 新增 | / | / | 无 |
修改 | / | / | 无 |
无
在更新软件版本之前,强烈建议您通过《H3C SECBLADEIVNGFW &SECBLADEIVNGFW_LITE-CMW710-R8560P40 版本说明书(软件特性变更说明)》了解版本间的软件特性变更情况,评估变更可能对业务造成的影响,同时请查阅相关的配套资料:
(1) 浏览器支持Chrome 31及以上版本、Firefox 19及以上版本、Safari 5及以上版本、Internet Explorer 9及以上版本。
(2) SSL VPN Web接入方式,部分资源内容还不能进行URL改写。
(3) DPI业务不支持热备,ISSU升级过程中,老会话会出现Bypass的情况。同时, DPI业务在ISSU升级时不满足2秒内的性能规格,仍然需要2分钟左右。
(4) RTSP ALG对于setup报文载荷中的目的地址无法进行转换。
(5) 不支持web与命令行混用,对于同一个特性模块,不能同时既使用命令行,又使用WEB进行配置;
(6) 安全策略(默认加速)和对象策略开启加速的情况下,一条rule引用服务对象组嵌套的情况下,会将所有的源端口和目的端口进行或操作(如源端口是0到65535,目的端口是0到65535,开启加速算完之后会变成源目的端口都是0到65535),导致流量全通。
(7) 在同一设备上,一条报文流不能既做NAT又做AFT。
(8) AFT不支持双机热备、不支持VLAN口、子接口、成员口子接口的冗余口、Context下的共享口。
(9) 关于手工升级AV/URL特征库的使用说明:官网AV和URL区分大小库,名称中包含h的为大库,否则为小库。比如V7-AV-H-1.0.68.dat为大库,V7-AV-1.0.68.dat为小库。 用户手工升级AV和URL特征库时,设备内存8G以上,同时存储介质(Flash, SD卡,CF卡等)容量为1G以上才能默认升级大库,否则只能默认升级小库。
License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。
产品需要通过License授权的软件功能以及License授权的相关属性,请参见产品配套的《H3C SecBlade FW&IPS插卡产品 License支持情况说明》。
H3C网站提供License的激活申请、设备授权迁移申请等功能:
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C 安全产品 License注册演示视频》、《H3C 安全产品 License注册演示图解》、《H3C 安全产品 License注册演示典型配置举例》和《H3C 安全产品 License使用指南》。
H3C提供了License相关的FAQ,如您在操作过程中遇到问题,可查阅《H3C 安全产品 License注册用户FAQ》。
· 无。
· 问题现象:设备断电启动后一直报主备地址冲突。
· 问题产生条件:VRRP+RBM主备组网设备,配置nat或aft地址组,备机下全局地址管理,由于时序问题偶发设备断电启动后一直报主备地址冲突。
· 问题现象:备机会话关联表中inline id初始化赋值错误。
· 问题产生条件:RBM双机组网中,开启会话备份,二层inline bridge快转时,主上删掉bridge时。
· 问题现象:chrome浏览器https重定向失败。
· 问题产生条件:chrome浏览器https重定向失败。
· 问题现象:备机业务板进kdb。
· 问题产生条件:RBM双主组网,配置DPI与NTOP,流量只走RBM主设备,重启无流量的用户context使流量切换到备。
· 问题现象:设备异常重启。
· 问题产生条件:设备转发特定异常mime格式报文。
· 问题现象:设备web缺少NAT策略联机帮助。
· 问题产生条件:T系列设备缺少NAT策略联机帮助。
· 问题现象:设备web上无法配置快速接入的路由模式。
· 问题产生条件:T系列设备存在此问题。
· 问题现象:plink工具ssh登录设备,执行命令不受AAA命令授权控制。
· 问题产生条件:使用plink工具ssh登录设备。
· 问题现象:设备通过web配置接口下vrf失败。
· 问题产生条件:设备通过web配置接口下的vrf。
· 问题现象:设备存在内存泄漏现象。
· 问题产生条件:Web概览中,流量实时应用排行以及流量实时用户排行页面开启实时采集功能后,刷新页面。
· 问题现象:存在ntopd内存泄漏。
· 问题产生条件:Web流量日志开启日志聚合,打入流量。
· 问题现象:影响IPS报文捕获功能。
· 问题产生条件:开启IPS白名单开关。
· 问题现象:设备下发设备主机配置失败。
· 问题产生条件:设备通过RESTFUL API带format下发日志主机配置。
· 问题现象:web上查看该规则卡住,无返回值。
· 问题产生条件:策略nat,配置dnat规则引用目的地址对象组,命令行删除dnat动作。
· 问题现象:DPI特征库丢失。
· 问题产生条件:设备配置堆叠,备设备快重启完成时,重启主设备。
· 问题现象:引起内存站岗,导致设备内存门限问题。
· 问题产生条件:ntopd频繁申请释放内存。
· 问题现象:丢包会话对http、dns、ftp等应用层协议无法建立ipv4丢包会话,ipv6没有问题。
· 问题产生条件:二层接口流量下。
· 问题现象:自定义信誉用户态未验证规格上限及IP合法性。
· 问题产生条件:自定义信誉用户态未验证是否达到规格上限直接进行了存储 ;用户态未验证ip合法性。
· 问题现象:修改F5080系列设备IPSEC流量基于SPI分流。
· 问题产生条件:修改F5080系列设备IPSEC流量基于SPI分流。
· 问题现象:vrrp_CLI_MsgProc访问越界。
· 问题产生条件:vrrp_CLI_MsgProc访问越界。
· 问题现象:ike进程重启异常,需清空ike sa流量才能重新下发。
· 问题产生条件:ike进程重启异常,需清空ike sa流量才能重新下发。
· 问题现象: PIM组播接收端邻居路由学习vrrp地址异常,流量处理错误。
· 问题产生条件:RBM+VRRP+组播+context组合场景下,VRRP备机升主在降备的过程中路由管理删除事件处理有误。
· 问题现象:开启虚拟context,出现驱动代码踩内存越界问题。
· 问题产生条件:Kasan版本,开启虚拟context。
· 问题现象:终端热力图和终端信息表中ip地址/掩码长度侧显示的地址不对,和真实的地址相反。
· 问题产生条件:超过3650条会话。
· 问题现象:定制模块不存在。
· 问题产生条件:定制概览页面选择所有GLB相关模块,点击其他页面再切换到概览页面,定制模块不存在。
· 问题现象:设备异常重启。
· 问题产生条件:AV策略配置告警模板,并在安全策略引用该AV策略,打入http流量,安全策略去引用该AV策略。
· 问题现象:进程重启。
· 问题产生条件:DPI嵌套流程中的一个子流程未判空,出现访问空指针。
· 问题现象:备机设备与直连地址不通。
· 问题产生条件:EVPN组网环境分支irf堆叠,主机和备机各一个物理口分别加入不同的聚合口,聚合口下配置ip后。
· 问题现象:对应的主机名称下原有的IP地址残留。
· 问题产生条件:不同对象组配置主机名相同的地址对象,匹配dns域名IP解析后,修改对应dns ip地址。
· 问题现象:syn ack报文匹配不上vpn被丢弃。
· 问题产生条件:升级后loopback988、987ipv6静态路由下一跳vpn不对。
· 问题现象:默认放通DHCP业务。
· 问题产生条件:默认放通DHCP业务。
· 问题现象:备会话异常删除。
· 问题产生条件:RBM双主组网下,发生配置变更。
· 问题现象: fastlog内容被DPI识别。
· 问题产生条件:旁路组网场景fastlog内容被DPI识别。
· 问题现象:支持SD卡可以用来日志存储。
· 问题产生条件:支持SD卡可以用来日志存储。
· 问题现象:RBM在主上配置完,自动同步给备机之后,自动执行save保存。
· 问题产生条件:RBM在主上配置完,自动同步给备机之后,自动执行save保存。
· 问题现象:异常mime格式报文会导致设备踩内存。
· 问题产生条件:异常mime格式报文会导致设备踩内存。
· 问题现象:带宽管理引用带有@字符的用户名,下发报错Error: Load failed!。
· 问题产生条件:带宽管理引用带有@字符的用户名,下发报错Error: Load failed!。
· 问题现象:丢包会话对http、dns、ftp等应用层协议无法建立IPv4丢包会话,IPv6没有问题。
· 问题产生条件:二层接口流量下。
· 问题现象:带format下发日志主机配置失败。
· 问题产生条件:通过RESTFUL API带format下发日志主机配置失败。
· 问题现象:IKE SA对DPD报文的处理方式不正确。
· 问题产生条件:RL状态IKE SA对DPD报文的处理方式为:需要处理。
· 问题现象:执行命令不受AAA命令授权控制,存在安全风险。
· 问题产生条件:plink工具ssh登录,执行命令不受AAA命令授权控制,存在安全风险。
· 问题现象:Crc错包读取不准,和命令行看到的数据对不上。
· 问题产生条件:Crc错包读取不准,和命令行看到的数据对不上。
· 问题现象:设备转发特殊rtsp流量时,异常堆叠分裂重启。
· 问题产生条件:堆叠设备下,配置nat并开启nat alg rtsp功能,转发报文载荷transport传输协商字段里面有多个destination或多source字段的rtsp流量。
· 问题现象:设备nat outbound easy-ip port-range配置命令文本恢复失败。
· 问题产生条件:设备nat outbound easy-ip port-range配置,保存配置,然后进行文本方式配置恢复。
· 问题现象:设备配置基于域名的负载均衡功能不生效。
· 问题产生条件:设备配置基于域名的负载均衡功能,对于特定dns流量此功能不生效。
· 问题现象:特征库自动升级失败。
· 问题产生条件:设备中存在大量内存碎片时自动进行特征库升级。
· 问题现象:删除context后,独享到此context的vlan转发异常。
· 问题产生条件:配置context下共享permit vlanA的二层接口,并独享vlan A,然后删除此context。
· 问题现象:设备不支持超过60个字符的长域名。
· 问题产生条件:设备需配置超过60个字符的长域名。
· 问题现象:设备开启防病毒功能后,未进行MD5值检查。
· 问题产生条件:设备开启防病毒功能,开启报文定长扫描或文件定长扫描,并配置undo inspect md5-fixed-length enable。
· 问题现象:设备接口在Shutdown情况下有报文进来导致设备重启。
· 问题产生条件:设备对接口执行shutdown操作后,此接口仍有收光现象。
· 问题现象:设备web页面响应慢。
· 问题产生条件:设备配置引用uflt ips av的应用安全策略。
· 问题现象:设备回滚/升级apr特征库时,异常重启。
· 问题产生条件:设备配置多条应用组,每条应用内引用9000条左右应用,进行回滚/升级apr特征库操作。
· 问题现象:RBM双机环境下,RBM批备状态异常。
· 问题产生条件:RBM双机环境,反复执行配置增删、RBM通道up/down操作。
· 问题现象:逻辑buffer挂死,报文不再进行转发。
· 问题产生条件:RBM双主组网下,syn-ack报文持续relay到备设备。
· 问题现象:f5000cn40设备display system internal kernel memory dump address命令不显示。
· 问题产生条件:f5000cn40设备display system internal kernel memory dump address命令不显示。
· 问题现象:上行部分报文会上送node3控制核,占用控制核资源。
· 问题产生条件:单机环境下,不开启RBM功能,测试仪打入7层流程进行转发。
· 问题现象:发现burst 10000个报文,会丢好几千的报文。
· 问题产生条件:设备打入9212大包大流量后,再通过测试仪burst报文。
· 问题现象:逻辑通道挂死,报文不在转发。
· 问题产生条件:RBM环境下,设备打入混合报文,持续一定时间。
· 问题现象:概率出现RBM通道聚合口概率无法选中的现象。
· 问题产生条件:RBM主备环境下,通道采用聚合口方式,通过跑脚本同时重启主机和备机。
· 问题现象:读取的数据和命令行看到的数据对不上。
· 问题产生条件:通过mib节点方式进行crc错包读取。
· 问题现象:命令行挂死。
· 问题产生条件:配置地址对象组并在ACL中引用,删除ACL后继续删除地址对象组。
· 问题现象:无法在设备显示ntop日志。
· 问题产生条件:安全策略日志在开启快速日志后。
· 问题现象: RBM主设备重启后,批备一直不能结束,后面配置都不能在实备。
· 问题产生条件:NQA没有上报RBM_LIB_MSG_CFG_SYNC_FINISH事件。
· 问题现象:系统提示请求异常。
· 问题产生条件:连接云平台,点击配置管理。
· 问题现象:概览卡死,Web增加规避手段,下发配置之前增加去重处理。
· 问题产生条件:概览页面,偶现返回的模块定制是重复的。
· 问题现象:设备小概率无法正常启动,需按照厂家建议将芯片默认设置中的Backgroud Auto Scan模式关闭来进行规避。
· 问题产生条件:如设备的EMMC FLASH为SKYHIGH,某些批次芯片有bug。
· 问题现象:Web登录失败,SSH登录正常。
· 问题产生条件:使用hwtacacs方式认证。
· 问题现象:小内存设备的内存占用率高并产生告警。
· 问题产生条件:page cache是Linux内核的一种文件缓存机制,用于缓存一些磁盘文件,通过把磁盘文件缓存到内存中,减少系统对磁盘IO的操作,从而提高系统的读写性能。但是,如果page cache的使用率较高,会占用大量的系统内存。
· 问题现象:备设备出现secpd进程的core文件。
· 问题产生条件:IRF组网,安全策略引用url分类,七层混合流量下拷机反复重启dpid进程。
· 问题现象:用户mdc2的cpu告警利用率log信息显示100%, 管理mdc内正常
· 问题产生条件:防火墙存在MDC的情况下,设备启动。
· 问题现象:web无法登陆。
· 问题产生条件:密码老化过期后多次登录web,xmlcfg进程挂死在pwd锁上,同时主线程下起了大量的线程无法释放。
· 问题现象:登录设备web,web页面显示空白。
· 问题产生条件:设备用户配置系统自带的规则下定义规则,并使用这个用户登录设备web。
· 问题现象:设备全局nat64规则时,匹配此规则的alg业务不通。
· 问题产生条件:设备开启nat alg功能,同时配置全局nat64和全局nat44规则。
· 问题现象:设备配置域名信誉,流量匹配命中域名后动作未生效。
· 问题产生条件:设备配置域名信誉,将该域名加入例外,然后修改该域名所属攻击分类的动作,再将该域名移出例外。
· 问题现象:安全策略里引用了av规则,web页面不显示。
· 问题产生条件:设备进行主控主备切换,直接删除引用了av规则的app-profile。
· 问题现象:设备异常重启。
· 问题产生条件:设备开启丢包会话、保持上一跳功能,打入匹配的流量。
· 问题现象:设备异常重启。
· 问题产生条件:虚墙中配置avc策略,构建流量命中此avc策略,重启此context。
· 问题现象:设备概率出现虚拟分片重组失败后续分片报文被安全策略丢包。
· 问题产生条件:设备配置域间策略security-zone intra-zone default permit,保存配置重启设备。
· 问题现象:概率出现RBM通道聚合无法选中,RBM连接断开的问题。
· 问题产生条件:设备进行RBM堆叠,RBM通道为聚合选中,进行重启设备。
· 问题现象:自定义context重启失败,会一直停留在stopping状态。
· 问题产生条件: 根墙下未配置atk策略,自定义context中配置了atk策略。
· 问题现象:icmp-error的debug不受acl控制直接刷屏。
· 问题产生条件: 打开session相关的debug。
· 问题现象:证书续申请失败,并且无法自动恢复。
· 问题产生条件:RA证书过期时进行证书续申请操作。
· 问题现象:概率性出现context挂住在STATICRT4/STATICRT6进程20min后才能恢复。
· 问题产生条件: context内配置静态路由1k+,聚合子接口1k+,拷机反复启停context。
· 问题现象:快转时设备无法生成dns snoop表项问题。
· 问题产生条件:设备开启DNS SNOOP+DNS透明代理功能。
· 问题现象:命令行挂死。
· 问题产生条件:配置地址对象组并在ACL中引用,删除ACL后继续删除地址对象组。
· 问题现象:icmp-error的debug不受acl控制直接刷屏。
· 问题产生条件:打开session相关的debug。
· 问题现象:概率性出现context挂住在STATICRT4/STATICRT6进程20min后才能恢复。
· 问题产生条件:context内配置静态路由1k+,聚合子接口1k+,拷机反复启停context。
· 问题现象:ipsec策略会一直处于加载中。
· 问题产生条件:新建ipsec策略,保护数据流下发后会生成一条acl,此时返回acl编辑,添加一条策略引用地址对象,返回点击ipsec策略。
· 问题现象:设备主备状态反复震荡,一段时间后,两台设备的VRRP都是backup状态。
· 问题产生条件:RBM+VRRP三层主备组网,多租户IPv4+IPv6混合流量下。
· 问题现象:配置WEB业务,资源组绑定web资源后,下发失败。
· 问题产生条件:通过WEB新建SSL VPN访问实例,只配置WEB业务,资源组绑定web资源后。
· 问题现象:访问释放后的内存设备进入kdb。
· 问题产生条件:RBM+VRRP双主组网,环境中存在分片报文,删除context时会释放根vsys的内存,后面释放分片资源的同时又加了分片统计导致。
· 问题现象:pppd进程进入死循环。
· 问题产生条件:LNS设备收到携带ipv4 option全0的IPCP NAK报文时。
· 问题现象:通过restful接口,安全策略中无法删除源/目的/服务地址对象组存在问题。
· 问题产生条件:通过restful接口,在安全策略中删除源/目的/服务地址对象组存在问题,并请排查安全策略中其他多引用项配置的表。
· 问题现象:使用display命令查询关联表时cpu超时,设备重启。
· 问题产生条件:配置AFT/NAT业务,打入流量产生大量关联表。
· 问题现象:当vpn不存在时没有提供提示信息或者报错。
· 问题产生条件:NAT/AFT配置绑定vpn,当vpn不存在时请提供提示信息或者报错。
· 问题现象:RBM主备组网下,在备设备WEB上点击状态切换,显示的信息有错别字。
· 问题产生条件:RBM主备组网下,在备设备WEB上点击状态切换,显示的信息有错别字:此操作会将本端设备升级为运行主,把对端设备将为运行备,是否继续?“将”应为“降”。
· 问题现象:web新建NQA,目的ip地址使用非法地址,报错后配置页面销毁。
· 问题产生条件:web新建NQA,目的ip地址使用非法地址,报错后配置页面销毁,请保留配置页面。
· 问题现象:自定义context名称长度结合报表模板名称长度(如满配),会导致报表自动导出失败。
· 问题产生条件:自定义context名称长度结合报表模板名称长度(如满配),会导致报表自动导出失败。
· 问题现象:sctp跨框流量不通。
· 问题产生条件:sctp跨框流量不通。
· 问题现象:设备启动时间太长。
· 问题产生条件:大量安全策略配置情况下。
· 问题现象:策略没有加到策略组里。
· 问题产生条件:在一个RPC中下发安全策略组和带有组配置的安全策略,发现策略没有加到策略组里。
· 问题现象:删除RBM,日志打印RBM状态切换,建议删除掉这个日志。
· 问题产生条件:删除RBM,日志打印RBM状态切换,建议删除掉这个日志。
· 问题现象:当前内置的INode超过50M,但是在SSLVPN全局配置中上传客户端文件最大只能上传50M。
· 问题产生条件:当前内置的INode超过50M,但是在SSLVPN全局配置中上传客户端文件最大只能上传50M。
· 问题现象:策略配置界面的查询框限制最大长度为32字符,实际下发查询时并未限制长度。
· 问题产生条件:NAT内部服务器-策略配置界面的查询框限制最大长度为32字符,实际下发查询时并未限制长度,请去除长度限制。
· 问题现象:按主题进行查询时,导出的是全部日志,未按条件筛选。
· 问题产生条件:应用审计邮件日志,按主题进行查询时,导出的是全部日志,未按条件筛选。
· 问题现象:rbm一致性检测不通过。
· 问题产生条件:acl的rule comment不支持结尾带空格,导致rbm一致性检测不通过。
· 问题现象:产生了core文件。
· 问题产生条件:secpd进程重启产生了core文件。
· 问题现象:优化内存告警门限。
· 问题产生条件:优化内存告警门限。
· 问题现象:单机状态下web与命令行实现不一致,建议统一改为提示“心跳断开不支持此操作”。
· 问题产生条件:单机状态下命令行执行RBM状态切换操作无提示信息,web提示“请勿在1分钟内重复执行此操作”,web与命令行实现不一致,建议统一改为提示“心跳断开不支持此操作”。
· 问题现象:概览一定操作下,偶现返回的模块定制是重复的,导致概览卡死。
· 问题产生条件:概览一定操作下,偶现返回的模块定制是重复的,导致概览卡死,web增加规避手段,下发配置之前增加去重处理。
· 问题现象:链路流量统计web页面统计异常。
· 问题产生条件:链路流量统计web页面统计异常。
· 问题现象:自定义context共享口的web上tcp mss的提示范围显示有误,下发的tcp mss,再次编辑不会显示。
· 问题产生条件:自定义context共享口的web上tcp mss的提示范围显示有误,下发的tcp mss,再次编辑不会显示。
· 问题现象:url过滤重定向动作不生效。
· 问题产生条件:Referer头域包含需要匹配的url时。
· 问题现象:终端命令下发后占用内存过高,导致断网。
· 问题产生条件:终端命令下发后占用内存过高,导致断网。
· 问题现象:新模块产生的NTOP日志不会滚动覆盖。
· 问题产生条件:无外存情况下,当分配给NTOP的内存满时。
· 问题现象:内存泄漏。
· 问题产生条件:全局nat源地址静态转换规则反复使能时内存有泄漏,tag 6170076内存一直增长。
· 问题现象:设备内存耗尽重启。
· 问题产生条件:VRRP+RBM主备组网,背景流量下执行拷机脚本,RBM备机因消息队列信息过多而占用主控内存不释放。
· 问题现象:本端rbm状态一直不切换且查看内核下rbm状态对端无信息。
· 问题产生条件:RBM双主track vlan的环境下,在rbm客户端全局删除remote-backup group,再web页面恢复之前的配置。
· 问题现象:设备web页面被拦截,无法登录。
· 问题产生条件:RBM主备组网,安全策略引用URL 过滤。
· 问题现象:RBM两台设备都处于批备状态不能自动恢复正常状态,配置和数据都不能时备。
· 问题产生条件:VRRP+RBM主备组网,用C100测试仪模拟约1W用户上下线的过程中通过脚本使RBM主备发生频繁切换,长时间运行后RBM通道出现异常。
· 问题现象:导入安全策略的配置,地址对象包含排除地址以及url策略时无法导入成功。
· 问题产生条件:导入安全策略的配置,地址对象包含排除地址以及url策略时无法导入成功。
· 问题现象:ipsec策略会一直处于加载中。
· 问题产生条件:新建ipsec策略,保护数据流下发后会生成一条acl,此时返回acl编辑,添加一条策略引用地址对象,返回点击ipsec策略。
· 问题现象:无法通过其他合法X-Forwarded-For字段获取真实IP。
· 问题产生条件:配置真实IP检测结果取X-Forwarded-For最后一个地址,HTTP报文存在多个X-Forwarded-For字段且最后一个X-Forwarded-For字段不合法时。
· 问题现象:导出本地秘钥对报错。
· 问题产生条件:输入满长的合法字符后导出时会自动添加前缀长度。
· 问题现象:配置无法下发,查询功能处理也有问题。
· 问题产生条件:源地址池对于合法的ipv6地址校验有误。
· 问题现象:主机用户context的VRRP没有回应ARP给到RBM导致状态一直处于backup,无法回切流量不通。
· 问题产生条件:RBM+VRRP主备组网,当备机异常使得RBM心跳线Down后。
· 问题现象:SSLVPN没有放通本机辅助安全策略。
· 问题产生条件:SSLVPN放通本机辅助安全策略。
· 问题现象:secp进程用户态内存泄露。
· 问题产生条件:设备创建vsys后,反复重启vsysd进程。
· 问题现象:添加删除nat配置影响当前链接。
· 问题产生条件:新需求“添加删除nat配置不影响当前链接,只对新建链接生效”。
· 问题现象:ipv6的AVC限速不生效。
· 问题产生条件:开启inspect bypass。
· 问题现象:进程启动失败。
· 问题产生条件:加载dev包文件。
· 问题现象:sslvpn的外网侧连接死锁业务板重启。
· 问题产生条件:设备从内网服务器收到报文后,通过sslvpn-ac口送给sslvpn模块转发,在调用TCP发送后,又送给了SSLVPN-AC口,重入了转发。
· 问题现象:ipv6接入资源中的路由列表表项配置不能实备。
· 问题产生条件:RBM组网,context下。
· 问题现象:view /proc/cpuinfo里面增加厂商信息和cpu具体型号信息。
· 问题产生条件:新需求。
· 问题现象:设备概率性死循环重启。
· 问题产生条件:设备在热插拔u盘的时候。
· 问题现象:同一个三元组流的分片报文和非分片报文不能按照三元组分流上送同一个核处理。
· 问题产生条件:CN78XX CN73XX CPU设备配置三元组分流。
· 问题现象:域名方式时无法发送邮件。
· 问题产生条件:邮件服务器中邮件服务器地址配置为域名方式时。
· 问题现象:新建日志主机中的安全策略日志应修改为安全策略配置日志防止混淆。
· 问题产生条件:WEB上系统-日志配置-基本配置-快速日志。
· 问题现象:无法命中规则。
· 问题产生条件:配置IPS策略,打入符合特征的攻击报文(subac带care_all选项)。
· 问题现象:web只能显示主墙的检查结果;根墙只能显示主墙的结果,都未显示虚墙是否一致,实现不合理。
· 问题产生条件:RBM配置信息一致性检查。
· 问题现象:内存需进行优化。
· 问题产生条件:混合流量下开启数据过滤功能,单板1.5W/s新建17W会话并发下业务板反复进出内存门限,NTOP进程所在业务板NTOP进程用户态占用约3G左右。
· 问题现象:打入相同URI的流量无法命中CC攻击。
· 问题产生条件:CC攻击防护路径为8的倍数时。
· 问题现象:设备业务板死机进kdb。
· 问题产生条件:打入应用层流量,将app-profile下的waf策略从default切换到带CC防攻击的自定义waf策略。
· 问题现象:带宽策略未显示完整或不显示ipv6报文流标签及扩展报文头。
· 问题产生条件:配置带有多个ipv6扩展头的带宽策略,高级查询的查询结果中。
· 问题现象:URL分类搜索不支持模糊匹配和精准匹配“cisco”。
· 问题产生条件:URL分类搜索需要支持模糊匹配和精准匹配“cisco”。
· 问题现象:保存配置后重启此用户context报启动超时context起不来。
· 问题产生条件:用户context下创建vsys,vsys下创建安全策略。
· 问题现象:创建服务对象组无法达到1024规格。
· 问题产生条件:当前服务对象组与协议端口共用1024的规格,实际创建时在满足条件的基础上会提示达到上限,无法创建成功。
· 问题现象:不支持icmp日志输出国电日志格式。
· 问题产生条件:新需求,需要支持icmp日志输出国电日志格式。
· 问题现象:重新配置目的地址转换动作为no-nat无法配置。
· 问题产生条件:配置全局NAT双向转换规则,先配置目的地址转换动作为no-nat,然后配置源地址转换动作并绑定vsys,再将目的地址转换动作删除。
· 问题现象:RBM重新连接后切换记录记录的切换原因是Local device rebooted,但是设备并没有重启。
· 问题产生条件:RBM组网下,在主墙下删除RBM配置再重新下发RBM配置。
· 问题现象:DR优先级配置成0后下发不生效。
· 问题产生条件:WEB-ADVPN-VAMC-隧道配置。
· 问题现象:统计计数,一部分有计数,一部分没计数。
· 问题产生条件:多业务板卡,出接口nat匹配统计计数。
· 问题现象:重启备机context,启动完成后会话没有批备到备机。
· 问题产生条件:RBM+Context组网,关闭配置信息自动备份功能情况下。
· 问题现象:两个不同版本间有会话同步问题。
· 问题产生条件:RBM环境下,两个不同版本间有会话同步问题,请进行兼容性处理。
· 问题现象:匹配全局NAT流量下冗余切换内存分配异常进入KDB。
· 问题产生条件:GRE隧道打入分片的应用层协议流量,开启ALG。
· 问题现象:备设备不同步,导致主备配置不一致。
· 问题产生条件:VRRP双机热备组网,nat policy(基于对象组的动态nat、基于对象组的动态nat444)配置,主设备上配置后备设备同步,但主设备上删除配置。
· 问题现象:输入26个字母及0-9数字进行查询,c/d/e/i/o/r/s/t/v/y/3/7查询无效。
· 问题产生条件:SSLVPN 模板管理的WEB页面。
· 问题现象:web只能显示主墙的检查结果;根墙只能显示主墙的结果,都未显示虚墙是否一致,实现不合理。
· 问题产生条件:RBM配置信息一致性检查。
· 问题现象:context,Context下的实备功能不生效。
· 问题产生条件:RBM主备组网下,先在备设备上建立Context起来后,在在主设备上建立同名同id的context,Context。
· 问题现象:二层转发环境,sctp报文不通,cookie_Ack被丢弃。
· 问题产生条件:F1090等小端设备。
· 问题现象:trace.log日志中报NAT66模块日志。
· 问题产生条件:出接口配置nat outbound,打v4/v6混合流量。
· 问题现象:打开web界面安全策略---编辑---查看安全域Vlan79属于未选中。
· 问题产生条件:命令行下创建安全域Vlan79,安全策略引用安全域为vlan79。
· 问题现象:定制功能失效。
· 问题产生条件:清空flash下custom.conf文件中的内容使其变成大小为0字节的文件。
· 问题现象:0x81d0049(sslvpn)内存泄露。
· 问题产生条件:反复点击发送短信验证码但不进行登录操作。
· 问题现象:0x81d004b内存长时间不释放。
· 问题产生条件:未绑定手机号用户首次登录时发送绑定手机号的验证码后无认证超时限制。
· 问题现象:打攻击流量设备出现断言。针对各邮件协议发生app-change时,AC匹配概率性存在失败。
· 问题产生条件:打攻击流量设备出现断言。针对各邮件协议发生app-change时,AC匹配概率性存在失败。
· 问题现象:主备倒换后,iNode自动重连失败,同时出现iNode卡顿或卡死的情况。
· 问题产生条件:IRF冗余主备组网,使用最新的E0585版本INode做短信认证。
· 问题现象:单板不进行伪模块告警。
· 问题产生条件:在LSQM2FWDSC0上插入 未写入电子标签的SFP+光模块时。
· 问题现象:正常的ipv6报文被识别为非法报文丢弃。
· 问题产生条件:携带hop by hop +dest扩展头的正常的ipv6报文。
· 问题现象:ATK模块导致业务板异常重启。
· 问题产生条件:Context启停操作。
· 问题现象:ntop进程异常生成core文件。
· 问题产生条件:开启对应的日志开关并打入匹配审计和ips的流量日志。
· 问题现象:主设备因访问非法地址导致进kdb。
· 问题产生条件:IRF主备组网,流量压力下跑脚本重启自定义context。
· 问题现象:IPsecPolicy模式下对于IPSEC感兴趣流,缺省不进行源NAT转换。
· 问题产生条件:新需求。
· 问题现象:合入aft支持热备项目。
· 问题产生条件:新需求。
· 问题现象:设备不定时出现重启。
· 问题产生条件:开启DPI,回放异常抓包报文。
· 问题现象:h3c的FW设备加载到SSM-G2平台,从平台登录web,跳转失败,不能从SSM-G2平台登录web。
· 问题产生条件:h3c的FW设备加载到SSM-G2平台,从平台登录web,跳转失败,不能从SSM-G2平台登录web。
无。
无。
无。
无。
无。
无。
无。
首次发布,无解决问题列表。
· H3C LSQM2FWDSC8 单板手册
· H3C SecPath F1000[F5000][FW插卡][vFW]系列防火墙 配置指导(V7)(R8X60 R9X60 E8X60 E9X60 E1185)
· H3C SecPath F1000[F5000][FW插卡][vFW]系列防火墙 命令参考(V7)(R8X60 R9X60 E8X60 E9X60 E1185)
· H3C SecPath F100[F1000]系列防火墙 命令参考(V7)(R8560 R8860 R9360 R9560 R9660)
· H3C SecPath F100[F1000]系列防火墙 配置指导(V7)(R8560 R8860 R9360 R9560 R9660)
· H3C SecPath 防火墙产品 Web配置指导(RXX60 EXX60 E1185)(V7)
· H3C 安全产品 日志信息参考(V7)(R8X60 R9X60 E1185)
您可以通过H3C网站(www.h3c.com)获取最新的产品资料:
(1) 请访问网址:http://www.h3c.com/cn/Technical_Documents;
(2) 选择产品类别和产品型号,即可查询和下载与该产品相关的手册。
用户支持邮箱:service@h3c.com
技术支持热线电话:400-810-0504(手机、固话均可拨打)
表6 产品硬件特性(LSWM1FWD0/LSXM1FWDF1/IM-NGFWX-IV)
项目 | LSWM1FWD0 | LSXM1FWDF1 | IM-NGFWX-IV |
应用于 | S6800/S6900 | S12500X-AF/S12500F-AF | SR8800-X/CR16000-F |
尺寸(高 × 宽 × 深) | 40.1mm×214mm×274mm | 50mm×433mm×515mm | 40.1mm×399.2mm×376.8 mm |
重量 | 2.1kg | 7.4kg | 4.8kg |
最大功耗 | 150W | 280W | 198W |
SDRAM配置 | 8个内存插槽 标配32GB(4根8GB VLP RDIMM) 要求成对插入,并且规格一致 | 8个内存插槽 标配64GB(8根8GB DDR3 SDRAM) 要求成对插入,并且规格一致 | 8个内存插槽 标配32GB(4根8GB VLP RDIMM) 要求成对插入,并且规格一致 |
固定接口 | 1个配置口(CON) 1个10/100/1000BASE-T管理以太网接口 一个1000BASE-X SFP光接口 1个USB接口 | 1个配置口(CON) 1个10/100/1000BASE-T管理以太网接口 1个USB接口 | 1个配置口(CON) 1个10/100/1000BASE-T管理以太网接口 1个USB接口 |
SD卡插槽数量及规格 | 1个内置SD卡插槽,标配为8GB | ||
环境温度 | 工作:5℃~40℃ 非工作:-40℃~70℃ | 工作:0℃~45℃ 非工作:-40℃~70℃ | 工作:0℃~40℃ 非工作:-40℃~70℃ |
环境湿度 | 工作:10%~80% 非工作:5%~90% | 工作:10%~95% 非工作:5%~95% | 工作:10%~80% 非工作:5%~90% |
表7 产品硬件特性(LSQM1FWDSC0/LSUM1FWDEC0/LSCM1FWDSD0)
项目 | LSQM1FWDSC0 | LSCM1FWDSD0 | LSUM1FWDEC0 |
应用于 | S7500E/S7600/S7500E-S | S7500X-G | S10500/S7600-X/S12500-S/S7500E-X |
尺寸(高 × 宽 × 深) | 40.1mm × 399.2mm × 376.8mm | 40.1mm × 399.2mm × 376.8mm | |
重量 | 3.8kg | 3.8kg | |
SDRAM配置 | 标配16GB(2根8GB VLP RDIMM) | 1个内置Micro-SD卡插槽,标配为8GB | |
固定接口 | 1个配置口(CON) 1个10/100/1000BASE-T管理以太网接口 1个USB接口 | 1个配置口(CON) 1个10/100/1000BASE-T管理以太网接口 1个USB接口 | |
SD卡插槽数量及规格 | 1个内置Micro-SD卡插槽,标配为8GB | ||
环境温度 | 工作:0℃~45℃ 非工作:-40℃~70℃ | 工作:0℃~45℃ 非工作:-40℃~70℃ | |
环境湿度 | 工作:10%RH~80%RH 非工作:5%RH~90%RH | 工作:10%RH~80%RH 非工作:5%RH~90%RH |
项目 | LSQM2FWDSC0 | LSCM2FWDSD0 |
适用主机 | S7500/S10500 | S7500X-G |
尺寸(高 × 宽 × 深) | 40.1 × 399.2 × 376.8 mm(H×W×L) | |
重量 | 2.1kg | |
最大功耗 | 150W | |
SDRAM配置 | 标配16GB | |
固定接口 | 1个配置口(CON) 1个10/100/1000BASE-T管理以太网接口 1个1000BASE-X SFP光接口 1个USB接口 4个万兆SFP+接口 | |
SD卡插槽数量及规格 | 1个内置SD卡插槽,标配为8GB | |
环境温度 | 工作:5℃~40℃ 非工作:-40℃~73℃ | |
环境湿度 | 工作:10%~80% 非工作:5%~90% |
表9 产品硬件特性(LSQM2FWDSC8)(分销S7000E系列交换机 SecBlade NGFW 模块)
项目 | LSQM2FWDSC8 |
适用主机 | · S7003E交换机(业务槽位2~业务槽位3。必须搭配增强版主控板) · S7006E交换机(业务槽位2~业务槽位6。必须搭配增强版主控板) |
尺寸(高×宽×深) | 40.1mm × 399.2mm × 376.8mm |
固定接口 | 1个Console接口 2个USB接口 2个千兆Combo接口 4个万兆光口 内部4个万兆接口,用于与交换机侧连接 |
内存 | 16GB |
硬盘 | 一个硬盘插槽 |
Flash配置 | 1GB |
环境温度 | 工作:0~45℃ 非工作:-40~70℃ |
环境湿度 | 工作:10%RH~80%RH 非工作:5%RH~90%RH |
属性 | 说明 | |
网络安全性 | 认证、授权和审计(AAA)服务 | RADIUS/HWTACACS+ CHAP认证 PAP认证 支持Domain域认证 |
防火墙 | 包过滤 基于安全域的访问控制 基于时间段的访问控制 ASPF状态包过滤 支持虚拟防火墙 防攻击特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址扫描、端口扫描、SYN Flood、ICMP Flood攻击防范 URL过滤 ICMP重定向或不可达报文控制功能 Tracert报文控制功能 带路由记录选项IP报文控制功能 静态和动态黑名单功能 P2P限流 支持HTTP、SMTP、POP3、FTP、TELNET协议内容过滤 | |
安全管理 | 攻击实时日志 黑名单日志 会话日志 二进制格式日志功能 流量统计和分析功能 安全事件统计功能 | |
NAT | 支持地址池方式的地址变换 支持使用ACL控制地址转换 支持Easy IP 支持NAT Server 可配置支持地址转换的有效时间 支持多种ALG,包括FTP,DNS,H323、NBT、ILS、RTSP、SQLNET、SIP、RSH、MGCP等 支持NAT444 | |
VPN | IPSec/IKE | 支持AH、ESP协议 支持手工或通过IKE自动建立安全联盟 ESP支持DES、3DES和AES三种加密算法 支持MD5及SHA-1验证算法 支持IKE主模式及野蛮模式 支持DPD 支持NAT穿越 |
L2TP | 支持L2TP协议 | |
GRE | GRE隧道协议 | |
内容过滤&审计 | 内容过滤&审计 | 收件人和发件人过滤 附件名称及内容检查 邮件主题及内容检查 FTP上传/下载文件过滤 支持匹配中文编码方式 |
IPS | 入侵防御系统 | 全面的网络安全防护能力 实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为,实现对网络应用、网络基础设施和网络性能的全面保护。 全面、及时的攻击特征库 特征库覆盖全面,包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征,同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征 支持零日漏洞 支持自定义snort特征 提供丰富的响应方式包括源阻断、丢弃、允许、限流、TCP Reset、捕获原始报文、重定向、记录日志、告警等 |
DDOS | DOS/DDOS攻击防范 | 支持单包攻击包括SYN Flood、UDP Flood、ICMP Flood、ACK Flood、RST Flood,DNS Flood、HTTP Flood 支持畸形包攻击如:Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、IP分片报文攻击、分片报文攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、ICMP重定向或不可达报文 扫描窥探攻击防范:端口扫描、地址扫描、IP路由记录选项报文、Tracert报文 静态和动态黑名单功能 连接数限制 |
防病毒 | 防病毒 | 内置专业病毒库 支持多种协议上的病毒检测 支持周期及实时病毒库更新 |
带宽管理 | 带宽管理 | 设置上行最大带宽 设置下行最大带宽 设置上行保证带宽 设置下行保证带宽 可根据不同参数指定带宽通道(支持源安全域、目的安全域、源地址、目的地址、应用或应用组、时间段、用户) 带宽通道支持父子通道 支持针对接口配置带宽 支持AVC报表与日志(userlog、本地日志、本地报表) 阻断、限流、不限流 |
网络协议 | 局域网协议 | Ethernet_II VLAN |
IP服务 | ARP 静态域名解析 IP地址借用 DHCP中继 DHCP服务器 DHCP客户端 | |
IP路由 | 静态路由管理 RIP-1/RIP-2 OSPF BGP 路由策略 策略路由 | |
IPv6 | IPv6基本协议 | 协议处理 以太网链路层 ICMPv6 IPv6地址管理 PMTU Socket TCP6 UDP6 RAWIP6 Ping6 DNS6 TraceRT6 Telnet6 FIB6 DHCPv6 Client DHCPv6 Relay |
IPv6路由及组播 | RIPng OSPFv3 BGP4+ 静态路由 策略路由 PIM-SM PIM-DM | |
IPv6安全 | NAT-PT Manual tunnel IPV6 over ipv4 GRE tunnel(RFC2784) 6to4 tunnel (RFC3056) ISATAP Tunnel IPv6 Packet Filter RADIUS DS-Lite | |
网络可靠性 | VRRP | VRRP |
配置管理 | 命令行接口 | 通过Console口进行本地配置 通过Telnet或SSH进行本地或远程配置 配置命令分级保护,确保未授权用户无法配置设备 详尽的调试信息,帮助诊断网络故障 提供网络测试工具,如Tracert、Ping命令等,迅速诊断网络是否正常 用Telnet命令直接登录并管理其它网络设备 FTP Server/Client,可以使用FTP下载、上载配置文件和应用程序 支持TFTP上传下载文件 支持日志功能 文件系统管理 User-interface配置,提供对登录用户多种方式的认证和授权功能 |
WEB网管接口 | 支持WEB管理员的超时下线 支持WEB用的登录和鉴权 支持通过WEB方式进行设备管理、设备监控、防火墙策略配置等功能 | |
支持标准网管 SNMPv3,并且兼容SNMPv2c、SNMPv1 支持NTP时间同步 |
B.1 R8560P40及以前版本修复的安全漏洞
攻击者可利用该漏洞绕过安全限制,执行未授权的操作。
libssh2 输入验证错误漏洞libssh2是一款实现SSH2协议的客户端C库,它能够执行远程命令、文件传输,同时为远程的程序提供安全的传输通道。
TCP/IP SYN + FIN包过滤漏洞,远程主机不会丢弃设置了FIN标志的TCP SYN数据包。根据您使用的防火墙类型,攻击者可能会使用此漏洞绕过其规则。
远程主机利用TCP timestamp漏洞,获取正常上线运行时间。
CVE-2019-548:Linux kernel信息泄露漏洞。
javascript框架库漏洞和目标URL存在内部IP地址泄露漏洞。
netkit telnet是一款使用在Linux平台中的telnet客户端程序。该程序主要用于使用TELNET协议与另一个主机进行交互通信。Netkit telnet 0.17及之前版本中的telnetd的utility.c文件存在缓冲区错误漏洞。远程攻击者可利用该漏洞执行任意代码。
Web漏扫发现js的中微漏洞。
SSLVPN Web页面存在CSRF漏洞。
通过调用OPTIONS方法,可以确定每个目录上允许哪些HTTP方法。
当发送HTTP请求中包含Cookie信息,且Cookie中包含domain是一个设备上配置的domain值,或者请求为GET/enterdomain.cgi?domain=%0d%0aSomeCustomInjectedHeader:%0d%0aset
-cookie:iamyy HTTP1/1时,触发CRLF注入漏洞。
攻击者可利用该漏洞获取敏感信息。
攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。
源于crypto/ec/ecdsa_ossl.c文件的‘ecdsa_sign_setup()’函数未能正确的设置BN_FLG_CONSTTIME标识。本地攻击者利用该漏洞实施cache-timing攻击,获取ECDSA P-256私钥。
漏洞源于使用递归过度的恶意输入,构造的ASN.1类型可造成栈溢出,导致拒绝服务攻击。
攻击者可利用该漏洞绕过访问限制,获取敏感信息。
生成算法存在安全漏洞。攻击者可利用该漏洞实施时序攻击,恢复私钥。
攻击者可利用该漏洞造成拒绝服务(挂起)。
OpenSSL存在安全漏洞,攻击者可利用该漏洞绕过安全保护。
攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。
OpenSSL存在的一个本地信息泄露漏洞,本地攻击者可以利用该漏洞获取敏感信息,这可能有助于进一步的攻击。
http报文没有设置X-Frame-Options字段,可能导致非同源的iframe插入,从而导致点击劫持。
内核SSL没有处理关闭SSL重协商字段,导致ssl客户端可以重协商成功。
修复OpenSSL存在的安全漏洞:OpenSSL在处理EDIPartyName (X.509GeneralName类型)时,使用的函数GENERAL_NAME_cmp中存在一处空指针取消引用,当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞。
加密算法本身问题,如果默认修改为不支持涉及漏洞的几种加密算法,可能会导致用户升级后WEB无法登陆问题。规避方案:[UNIS-ssl-server-policy-fxm]ciphersuite下不要选包含DES、3DES、RC2这种block长度为8bytes的cbc算法,可以选aes_256_cbc等算法,然后重启https服务。
修复OpenSSL BN_mod_sqrt拒绝服务漏洞:证书解析使用的BN_mod_sqrt()函数存在一个错误,它会导致在非质数的情况下永远循环。通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的,因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外,当解析特制的私钥时(包含显式椭圆曲线参数),也可以触发无限循环。易受攻击的情况如下:使用服务器证书的TLS客户端;使用客户端证书的TLS服务器;托管服务提供商从客户处获取证书或私钥;证书颁发机构解析来自订阅者的认证请求;任何其他解析ASN.1椭圆曲线参数的程序。
修复OpenSSL SM2解密缓冲区溢出漏洞,该漏洞由于 OpenSSL解密SM2加密数据时调用API 函数EVP_PKEY_decrypt,其计算缓冲区大小存在错误导致导致缓冲区溢出。
修复OpenSSL ASN.1 strings读取缓冲区溢出漏洞,该漏洞由于 OpenSSL用于存储ASN.1字符串的结构ASN_1_String在创建是没有严格遵守字符串的Null字节结尾,在打印时可能发生读取缓冲区溢出。
Comware系统处理 flag 参数时会根据用户提供的字符串长度将数据拷贝到栈缓冲区,没有合理限制拷贝长度,存在栈溢出漏洞,攻击者多次触发此漏洞最终将导致 web 管理不可用,造成拒绝服务攻击。
· 本章显示信息仅为软件升级过程的举例说明,实际显示信息与设备版本的实际情况相关,可能会略有差别,请以设备版本实际显示信息情况为准。
· H3C SecBlade IV NGFW插卡(V7版本)(以下简称NGFW插卡)的默认存储介质为SD卡。
C.1 NGFW插卡与主网络设备适配关系
NGFW插卡是业界领先的网络流量统计分析产品。NGFW插卡可以承载在不同主网络设备上,插卡型号以及适配的主网络设备类型如下表所示。
表11 FW插卡型号以及适配的网络主机表
插卡型号(V7版本) | 适配的主网络设备(V7版本) |
LSQM2FWDSC0 | S7500系列交换机/S10500系列交换机 |
LSCM2FWDSD0 | S7500X-G交换机 |
插卡型号(V7版本) | 适配的主网络设备(V7版本) |
LSWM1FWD0 | S6800-2C系列交换机/S6800-4C系列交换机 |
LSQM1FWDSC0 | S7500E/S7600/S7500E-S系列交换机 |
LSUM1FWDEC0 | S10500/S7600-X/S12500-S/S7500E-X |
LSXM1FWDF1 | S12500X-AF交换机/S12500F-AF交换机 |
IM-NGFWX-IV | SR8800-X/CR16000-F系列路由器 |
LSCM1FWDSD0 | S7500X-G交换机 |
本章以LSQM2FWDSC0插卡在S7500系列交换机上的软件升级为例进行说明,其它插卡操作方式类似。
设备软件主要包括Bootware程序和启动软件包。
· Bootware文件对存储器进行容量检查和测试,初始化硬件并显示设备的硬件参数。
· 启动文件一方面提供对主要部件的硬件驱动和适配功能,另一方面实现对业务特性的支持。
设备开机最先运行的程序是BootWare程序,它能够引导硬件启动、引导启动软件包运行、提供BootWare菜单功能。BootWare程序存储在设备的BootWare(芯片)中。完整的BootWare包含BootWare基本段和BootWare扩展段。
· BootWare基本段是指完成系统基本初始化的BootWare。
· BootWare扩展段具有丰富的人机交互功能,用于接口的初始化,可以实现升级应用程序和引导系统。
通常情况下,BootWare文件是一个后缀名为.btw的文件(例如:main.btw)。
1. 启动软件包的分类
启动软件包是用于引导设备启动的程序文件,按其功能可以分为以下几类:
· Boot软件包(简称Boot包):包含Linux内核程序,提供进程管理、内存管理、文件系统管理、应急Shell等功能。
· System软件包(简称System包):包含Comware内核和基本功能模块的程序,比如设备管理、接口管理、配置管理和路由模块等。
· Feature软件包(简称Feature包):用于业务定制的程序,能够提供更丰富的业务。一个Feature包可能包含一种或多种业务。是否支持Feature包以及支持哪些Feature包与设备的型号有关,请以设备的实际情况为准。
· Patch软件包(简称补丁包):用来修复设备软件缺陷的程序文件。补丁包与软件版本一一对应,补丁包只能修复与其对应的启动软件包的缺陷,不涉及功能的添加和删除。
设备必须具有Boot包和System包才能正常运行,Feature包可以根据用户需要选择安装,补丁包只在需要修复设备软件缺陷时安装。
2. 启动软件包的发布形式
启动软件包有以下两种发布形式:
· BIN文件:后缀为.bin的文件。一个BIN文件就是一个启动软件包。要升级的BIN文件之间版本必须兼容才能升级成功。
· IPE(Image Package Envelope,复合软件包套件)文件:后缀为.ipe的文件。它是多个软件包的集合,产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户将该IPE文件加载到设备后,设备会自动将它解压缩成多个BIN文件。用户再使用这些BIN文件升级设备即可,从而能够减少启动软件包之间的版本管理问题。
3. 主/备用启动软件包以及软件包列表
用户在配置设备下次启动使用的软件包时,需要指定软件包的名称,以及软件包的主用/备用属性。
· 设备会将所有具有主用属性的软件包的名称存储在主用启动软件包列表中,将所有具有备用属性的软件包的名称存储在备用启动软件包列表中。
· 当设备启动时,优先使用主用启动软件包列表中的软件包,如果主用启动软件包列表中软件包不存在或者不可用,再使用备用启动软件包列表中的软件包。
配置文件是用来保存配置的文件。配置文件主要用于:
· 将当前配置保存到配置文件,以便设备重启后,这些配置能够继续生效。
· 使用配置文件,用户可以非常方便地查阅配置信息。
设备缺省的配置文件名为startup.cfg。
升级对象 | 升级方式 | 说明 |
升级启动文件 | 通过命令行升级启动文件 | · 升级设备的启动文件或BootWare文件后,需要重新启动该设备,在重启过程中,设备的各项业务功能将不可用 · 由于不同软件版本之间配置文件信息不兼容,会造成升级后设备的配置与升级前不相同,请您仔细查阅相应章节内容,以便确认待升级版本的特性变更情况 |
通过BootWare菜单升级启动文件 | ||
升级BootWare文件 | 通过命令行升级BootWare文件 | |
通过BootWare菜单升级BootWare文件 | ||
通过Console口利用Xmodem协议升级BootWare文件 |
· 进行软件升级前请确认需要使用的启动软件包版本及BootWare版本,确保使用正确的升级文件。
· 下文中的举例仅做参考,设备的显示信息请以实际情况为准。
· TFTP/FTP Server由用户自己购买和安装,设备不附带此软件。
· 进行软件升级前请确认需要使用的启动软件包版本及BootWare版本,确保使用正确的升级文件。
TFTP(Trivial File Transfer Protocol,简单文件传输协议)是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。设备作为TFTP Client,文件服务器(通常为PC)作为TFTP Server,用户通过在终端输入相应命令,可将本设备的启动文件上传到文件服务器上,或者从文件服务器下载启动文件到设备中。
FTP(File Transfer Protocol,文件传输协议)在TCP/IP协议族中属于应用层协议,主要向用户提供远程主机之间的文件传输。设备作为FTP Client,文件服务器(通常为PC)为FTP Server。
在升级设备启动文件前,请完成如下准备工作:
· 在设备出厂前,已配置接口GigabitEthernet1/0/1的IP地址为192.168.0.1/24。用户需配置文件服务器IP地址,确保设备与文件服务器路由可达。
· 开启文件服务器的TFTP/FTP Server功能。
· 开启Telnet服务。
· 通过配置终端登录到设备的命令行配置界面中。
· 将设备的升级启动文件拷贝到文件服务器上,并正确设置TFTP/FTP Server的访问路径。
C.5.1 通过命令行升级启动文件
通过命令行升级启动文件,可以采用以下方式:
· 使用TFTP协议升级设备的启动文件
· 使用FTP协议升级设备的启动文件
1. 使用TFTP协议升级设备的启动文件
设备作为TFTP Client,访问TFTP文件服务器的指定路径,完成启动文件的备份与升级操作,
具体操作步骤如下:
(1) 备份当前启动文件和配置文件
# 在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
<Sysname> save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[sda0:/startup_admin.cfg]
(To leave the existing filename unchanged, press the enter key):
sda0:/startup_admin.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
<Sysname>
# 在命令行配置界面的用户视图下,执行dir命令查看设备当前的文件系统,确认启动文件及配置文件名,以及SD卡的剩余空间,保证SD卡有足够空间放入新的启动文件:
<Sysname> dir
Directory of sda0:
0 -rw- 73822208 Dec 28 2015 10:29:18 8042fw4_B64D008SP03.ipe
1 -rw- 62863360 Jan 19 2016 09:27:00 8042fw4_B64D009.ipe
2 -rw- 63032320 Feb 02 2016 13:37:04 8042fw4_B64D010.ipe
3 -rw- 146060288 Feb 02 2016 14:25:06 8042fw4_debug_1214.ipe
4 -rw- 8505344 Feb 20 2016 11:08:48 blade4fw-cmw710-boot-a8302.bin
5 -rw- 157696 Feb 20 2016 11:09:26 blade4fw-cmw710-devkit-a8302.bin
6 -rw- 125999104 Feb 20 2016 11:08:52 blade4fw-cmw710-system-a8302.bin
7 -rw- 888 Feb 02 2016 10:40:24 certnew.cer
8 drw- - Jan 04 2016 09:21:26 context
9 drw- - Dec 19 2015 15:52:02 diagfile
10 drw- - Dec 19 2015 15:52:02 dpi
11 -rw- 2816016 Jan 19 2016 09:20:24 firewall.exp
12 -rw- 735 Feb 20 2016 11:16:55 hostkey
13 -rw- 5751 Feb 26 2016 16:44:48 ifindex.dat
14 drw- - Dec 19 2015 15:52:02 license
15 -rw- 2476 Feb 02 2016 14:23:14 local.pfx
16 drw- - Dec 20 2015 15:52:02 logfile
17 drw- - Feb 20 2016 11:16:54 pkey
18 drw- - Feb 20 2016 11:16:52 pki
19 drw- - Dec 19 2015 15:52:02 seclog
20 -rw- 591 Feb 20 2016 11:16:55 serverkey
21 -rw- 3281 Dec 19 2015 16:00:56 startup.cfg
22 -rw- 58733 Dec 19 2015 16:00:56 startup.mdb
23 -rw- 9655 Dec 21 2015 14:06:52 startup_1217.cfg
24 -rw- 47930 Feb 26 2016 16:44:49 startup_admin.cfg
25 -rw- 380082 Feb 26 2016 16:44:49 startup_admin.mdb
26 -rw- 222 Feb 01 2016 15:01:52 test111111
27 -rw- 1205 Feb 01 2016 15:02:18 testdsa333333
7550532 KB total (7051036 KB free)
<Sysname>
# 在命令行配置界面的用户视图下,执行tftp put命令分别将配置文件startup.cfg备份到TFTP文件服务器上:
<Sysname> tftp 192.168.0.2 put startup.cfg vpn-instance management
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 3281 0 0 100 3281 0 188k --:--:-- --:--:-- --:--:-- 356k
<Sysname>
(2) 升级启动文件
本节中,以即将升级的启动文件8042fw4_d010.ipe,版本为A8302为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
# 在命令行配置界面的用户视图下,执行tftp get命令将启动文件8042fw4_d010.ipe导入到设备的SD卡中:
<Sysname> tftp 192.168.0.2 get 8042fw4_d010.ipe vpn-instance management
Press CTRL+C to abort.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 60.1M 100 60.1M 0 0 459k 0 0:02:14 0:02:14 --:--:-- 458k
Writing file...Done.
<Sysname>
# 在命令行配置界面的用户视图下,执行boot-loader命令设置设备下次启动使用的启动文件为8042fw4_d010.ipe,并指定启动文件类型为main:
<Sysname> boot-loader file sda0:/ 8042fw4_d010.ipe slot 1 main
Verifying the file sda0:/8042fw4_d010.ipe on slot 1............Done.
H3C SecBlade IV NGFW Module images in IPE:
BLADE4FW-CMW710-BOOT-A8302.bin
BLADE4FW-CMW710-SYSTEM-A8302.bin
This command will set the main startup software images. Continue? [Y/N]:Y
Add images to slot 1.
Decompressing file BLADE4FW-CMW710-BOOT-A8302.bin to sda0:/BLADE4FW-CMW710-BOOT-
A8302.bin...Done.
Decompressing file BLADE4FW-CMW710-SYSTEM-A8302.bin to sda0:/BLADE4FW-CMW710-SYS
TEM-A8302.bin...............Done.
Decompression completed.
You are recommended to delete the .ipe file after you set startup software image
s for all slots.
Do you want to delete sda0:/8042fw4_d010.ipe now? [Y/N]:N
The images that have passed all examinations will be used as the main startup so
ftware images at the next reboot on slot 1
# 在命令行配置界面的用户视图下,执行display boot-loader命令查看设备的启动程序文件信息:
<Sysname> display boot-loader
Software images on slot 1:
Current software images:
sda0:/BLADE4FW-CMW710-BOOT-A8302.bin
sda0:/BLADE4FW-CMW710-SYSTEM-A8302.bin
sda0:/BLADE4FW-CMW710-DEVKIT-A8302.bin
Main startup software images:
sda0:/BLADE4FW-CMW710-BOOT-A8302.bin
sda0:/BLADE4FW-CMW710-SYSTEM-A8302.bin
Backup startup software images:
None
<Sysname>
# 在命令行配置界面的用户视图下,执行reboot命令重启设备:
<Sysname> reboot
Start to check configuration with next startup configuration file, please wait.
........DONE!
This command will reboot the device. Continue? [Y/N]:y
……略……
# 设备重启后,通过display version命令查看设备的启动文件版本信息是否与升级的启动文件一致。
<Sysname> display version
H3C Comware Software, Version 7.1.064, Alpha 8302
Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C SecBlade IV NGFW Module uptime is 0 weeks, 6 days, 5 hours, 49 minutes
Last reboot reason: User reboot
Boot image: sda0:/BLADE4FW-CMW710-BOOT-A8302.bin
Boot image version: 7.1.064, Alpha 8302
Compiled Jan 26 2016 16:00:00, DEBUG SOFTWARE
System image: sda0:/BLADE4FW-CMW710-SYSTEM-A8302.bin
System image version: 7.1.064, Alpha 8302
Compiled Jan 26 2016 16:00:00, DEBUG SOFTWARE
Feature image(s) list:
sda0:/BLADE4FW-CMW710-DEVKIT-A8302.bin, version: 7.1.064
Compiled Jan 26 2016 16:00:00, DEBUG SOFTWARE
SLOT 1
CPU type: Multi-core CPU
DDR3 : 65520M bytes
SD0: 7392M bytes
Board PCB Version: Ver.A
CPLD Version: 1.0
Release Version:SecBlade IV FW Enhanced Module-8302
Basic BootWare Version:1.03
Extend BootWare Version:1.03
<Sysname>
2. 使用FTP协议升级设备的启动文件
设备作为FTP Client,访问FTP文件服务器的指定路径,完成启动文件的备份及升级操作,具体操作步骤如下:
(1) 备份当前启动文件和配置文件
# 在命令行配置界面的任意视图下,执行save命令保存设备当前配置信息:
<Sysname> save
The current configuration will be written to the device. Are you sure? [Y/N]:Y
Please input the file name(*.cfg)[sda0:/startup_admin.cfg]
(To leave the existing filename unchanged, press the enter key):
sda0:/startup_admin.cfg exists, overwrite? [Y/N]:Y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.
<Sysname>
# 在命令行配置界面的用户视图下,执行dir命令查看设备当前的文件系统,确认启动文件及配置文件名,以及SD卡的剩余空间,保证SD卡有足够空间放入新的启动文件:
<Sysname> dir
Directory of sda0:
0 -rw- 73822208 Dec 28 2015 10:29:18 8042fw4_B64D008SP03.ipe
1 -rw- 62863360 Jan 19 2016 09:27:00 8042fw4_B64D009.ipe
2 -rw- 63032320 Feb 02 2016 13:37:04 8042fw4_B64D010.ipe
3 -rw- 63036416 Feb 26 2016 16:54:43 8042fw4_d010.ipe
4 -rw- 146060288 Feb 02 2016 14:25:06 8042fw4_debug_1214.ipe
5 -rw- 5390336 Feb 26 2016 16:58:08 BLADE4FW-CMW710-BOOT-A8302.bin
6 -rw- 57638912 Feb 26 2016 16:58:10 BLADE4FW-CMW710-SYSTEM-A8302.bin
7 -rw- 157696 Feb 20 2016 11:09:26 blade4fw-cmw710-devkit-a8302.bin
8 -rw- 888 Feb 02 2016 10:40:24 certnew.cer
9 drw- - Jan 04 2016 09:21:26 context
10 drw- - Dec 19 2015 15:52:02 diagfile
11 drw- - Dec 19 2015 15:52:02 dpi
12 -rw- 2816016 Jan 19 2016 09:20:24 firewall.exp
13 -rw- 735 Feb 20 2016 11:16:55 hostkey
14 -rw- 5751 Feb 26 2016 17:02:30 ifindex.dat
15 drw- - Dec 19 2015 15:52:02 license
16 -rw- 2476 Feb 02 2016 14:23:14 local.pfx
17 drw- - Dec 20 2015 15:52:02 logfile
18 drw- - Feb 20 2016 11:16:54 pkey
19 drw- - Feb 20 2016 11:16:52 pki
20 drw- - Dec 19 2015 15:52:02 seclog
21 -rw- 591 Feb 20 2016 11:16:55 serverkey
22 -rw- 3281 Dec 19 2015 16:00:56 startup.cfg
23 -rw- 58733 Dec 19 2015 16:00:56 startup.mdb
24 -rw- 9655 Dec 21 2015 14:06:52 startup_1217.cfg
25 -rw- 47930 Feb 26 2016 17:02:31 startup_admin.cfg
26 -rw- 380082 Feb 26 2016 17:02:32 startup_admin.mdb
27 -rw- 222 Feb 01 2016 15:01:52 test111111
28 -rw- 1205 Feb 01 2016 15:02:18 testdsa333333
7550532 KB total (7059280 KB free)
<Sysname>
在文件服务器上启动FTP Server程序,设置启动文件所在的路径,以及FTP用户名和密码。本例设置用户名为user123,密码为123456。
# 在命令行配置界面的用户视图下,执行ftp命令登录FTP文件服务器,根据系统提示输入登录用户名和密码:
<Sysname> ftp 192.168.0.2 vpn-instance management
Press CTRL+C to abort.
Connected to 192.168.0.2 (192.168.0.2).
220 3Com 3CDaemon FTP Server Version 2.0
User (192.168.0.2:(none)): user123
331 User name ok, need password
Password:
230 User logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
# 在FTP客户端视图下,执行put命令分别将配置文件startup.cfg备份到FTP文件服务器上:
ftp> put startup.cfg
227 Entering passive mode (192,168,0,2,10,0)
125 Using existing data connection
226 Closing data connection; File transfer successful.
3281 bytes sent in 0.005 seconds (706.22 Kbytes/s)
ftp>
(2) 升级启动文件
本节中,以即将升级的启动文件8042fw4_d010.ipe,版本为A8302为例,介绍升级启动文件的过程。实际使用时,请根据启动文件的实际文件名称进行配置。
# 在FTP客户端视图下,执行get命令将启动文件8042fw4_d010.ipe导入到设备的SD卡中:
ftp> get 8042fw4_d010.ipe
227 Entering passive mode (192,168,0,2,10,2)
125 Using existing data connection
226 Closing data connection; File transfer successful.
63036416 bytes received in 21.853 seconds (2.75 Mbytes/s)
ftp>
# 在FTP客户端视图下,执行quit命令,返回到命令行配置界面的用户视图:
ftp> quit
221 Service closing control connection
<Sysname>
# 在命令行配置界面的用户视图下,执行boot-loader命令设置设备下次启动使用的启动文件为8042fw4_d010.ipe,并指定启动文件类型为main:
<Sysname> boot-loader file sda0:/ 8042fw4_d010.ipe slot 1 main
Verifying the file sda0:/8042fw4_d010.ipe on slot 1............Done.
H3C SecBlade IV NGFW Module images in IPE:
BLADE4FW-CMW710-BOOT-A8302.bin
BLADE4FW-CMW710-SYSTEM-A8302.bin
This command will set the main startup software images. Continue? [Y/N]:Y
Add images to slot 1.
Decompressing file BLADE4FW-CMW710-BOOT-A8302.bin to sda0:/BLADE4FW-CMW710-BOOT-
A8302.bin...Done.
Decompressing file BLADE4FW-CMW710-SYSTEM-A8302.bin to sda0:/BLADE4FW-CMW710-SYS
TEM-A8302.bin.............Done.
Decompression completed.
You are recommended to delete the .ipe file after you set startup software image
s for all slots.
Do you want to delete sda0:/8042fw4_d010.ipe now? [Y/N]:N
The images that have passed all examinations will be used as the main startup so
ftware images at the next reboot on slot 1.
# 在命令行配置界面的用户视图下,执行display boot-loader命令查看设备的启动程序文件信息:
<Sysname> display boot-loader
Software images on slot 1:
Current software images:
sda0:/BLADE4FW-CMW710-BOOT-A8302.bin
sda0:/BLADE4FW-CMW710-SYSTEM-A8302.bin
sda0:/BLADE4FW-CMW710-DEVKIT-A8302.bin
Main startup software images:
sda0:/BLADE4FW-CMW710-BOOT-A8302.bin
sda0:/BLADE4FW-CMW710-SYSTEM-A8302.bin
Backup startup software images:
None
<Sysname>
如上显示信息中,下一次启动的程序文件已经设置为8042fw4_d010.ipe。
# 在命令行配置界面的用户视图下,执行reboot命令重启设备:
<Sysname> reboot
Start to check configuration with next startup configuration file, please wait.
........DONE!
This command will reboot the device. Continue? [Y/N]:y
Now rebooting, please wait...
……略……
# 设备重启后,通过display version命令查看设备的启动文件版本信息是否与升级的启动文件一致
<Sysname> display version
H3C Comware Software, Version 7.1.064, Alpha 8302
Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C SecBlade IV NGFW Module uptime is 0 weeks, 6 days, 6 hours, 22 minutes
Last reboot reason: User reboot
Boot image: sda0:/BLADE4FW-CMW710-BOOT-A8302.bin
Boot image version: 7.1.064, Alpha 8302
Compiled Jan 26 2016 16:00:00, DEBUG SOFTWARE
System image: sda0:/BLADE4FW-CMW710-SYSTEM-A8302.bin
System image version: 7.1.064, Alpha 8302
Compiled Jan 26 2016 16:00:00, DEBUG SOFTWARE
Feature image(s) list:
sda0:/BLADE4FW-CMW710-DEVKIT-A8302.bin, version: 7.1.064
Compiled Jan 26 2016 16:00:00, DEBUG SOFTWARE
SLOT 1
CPU type: Multi-core CPU
DDR3 : 65520M bytes
SD0: 7392M bytes
Board PCB Version: Ver.A
CPLD Version: 1.0
Release Version:SecBlade IV FW Enhanced Module-8302
Basic BootWare Version:1.03
Extend BootWare Version:1.03
<Sysname>
C.5.2 通过BootWare菜单升级启动文件
通过BootWare菜单升级启动文件,可以采用以下方式:
· 通过以太网口利用TFTP/FTP升级启动文件
· 通过Console口利用Xmodem协议升级启动文件
通过以太网口升级比Console口升级速度快,在以太网口无故障情况下,建议使用以太网口升级。
(1) 设备上电和重新启动的过程中,在配置终端的屏幕上首先将显示
System is starting...
Press Ctrl+D to access BASIC-BOOTWARE MENU...
Press Ctrl+T to start heavy memory test
Booting Normal Extended BootWare
The Extended BootWare is self-decompressing....Done.
****************************************************************************
* *
* H3C SecBlade IV BootWare, Version 1.03 *
* *
****************************************************************************
Copyright (c) 2004-2015 Hangzhou H3C Technologies Co., Ltd.
Compiled Date : Nov 26 2015
Memory Type : DDR3 SDRAM
Memory Size : 65536MB
Memory Speed : 667MHz
Flash Size : 8MB
sda0 Size : 7392MB
CPLD Version : 1.0
PCB Version : Ver.A
BootWare Validating...
Press Ctrl+B to access EXTENDED-BOOTWARE MENU...
BootWare password: Not required. Please press Enter to continue.
(2) 当出现“Press Ctrl+B to enter extended boot menu...”时,立即键入<Ctrl+B>,系统提示“BootWare password: Not required. Please press Enter to continue.”,按下<Enter>键后,系统将进入BootWare主菜单。
在显示信息中可以查看是否使能密码恢复功能。
显示信息 | 说明 |
Password recovery capability is enabled. | 密码恢复功能处于开启状态 |
Password recovery capability is disabled. | 密码恢复功能处于关闭状态 |
Password recovery capability is enabled.
Note: The current operating device is sda0
Enter < Storage Device Operation > to select device.
==========================<EXTENDED-BOOTWARE MENU>==========================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Restore to Factory Default Configuration |
|<6> Skip Current System Configuration |
|<7> BootWare Operation Menu |
|<8> Skip Authentication for Console Login |
|<9> Storage Device Operation |
|<0> Reboot |
============================================================================
Ctrl+Z: Access EXTENDED ASSISTANT MENU
Ctrl+C: Display Copyright
Ctrl+F: Format File System
Enter your choice(0-9):
该菜单含义如下:
表14 BootWare主菜单
菜单项 | 说明 |
<1> Boot System | 引导启动文件 |
<2> Enter Serial SubMenu | 进入串口子菜单。子菜单详细描述请参见表17 |
<3> Enter Ethernet SubMenu | 进入以太网口子菜单。子菜单详细描述请参见表15 |
<4> File Control | 文件控制子菜单。子菜单详细描述请参见表21 |
<5> Restore to Factory Default Configuration | 恢复到出厂配置状态 · 该功能仅在密码恢复功能处于关闭状态下执行有效 · 执行该功能后,系统将删除用户当前使用的配置文件,并且以空配置启动。请谨慎使用该功能 |
<6> Skip Current System Configuration | 跳过当前配置进行启动,只是本次生效。该功能一般在用户丢失口令之后使用 该功能仅在密码恢复功能处于开启状态下执行有效 |
<7> BootWare Operation Menu | BootWare操作子菜单,用于BootWare程序操作 |
<8> Skip Authentication for Console Login | 跳过Console口认证登录进行启动,只是本次生效。该功能一般在丢失Console口口令之后使用 该功能仅在密码恢复功能处于开启状态下执行有效 |
<9> Storage Device Operation | 存储设备控制菜单,用于存储设备的选择 |
<0> Reboot | 重新启动设备 |
可以使用命令password-recovery enable开启密码恢复功能,用命令undo password-recovery enable关闭密码恢复功能。
2. 通过以太网口利用TFTP/FTP升级启动文件
(1) 在BootWare主菜单下键入<3>,可以进入以太网口子菜单,系统显示如下:
==========================<Enter Ethernet SubMenu>==========================
|Note:the operating device is sda0 |
|<1> Download Image Program To SDRAM And Run |
|<2> Update Main Image File |
|<3> Update Backup Image File |
|<4> Download Files(*.*) |
|<5> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
|<Ensure The Parameter Be Modified Before Downloading!> |
============================================================================
Enter your choice(0-5):
以太网口子菜单中各选项解释如下:
菜单项 | 说明 |
<1> Download Image Program To SDRAM And Run | 通过以太网接口下载启动文件到内存并启动 该功能仅在密码恢复功能处于开启状态下执行有效 |
<2> Update Main Image File | 升级主启动文件 |
<3> Update Backup Image File | 升级备用启动文件 |
<4> Download Files(*.*) | 将文件服务器上文件下载到设备 |
<5> Modify Ethernet Parameter | 修改以太网接口参数 |
<0> Exit To Main Menu | 返回BootWare主菜单 |
(2) 键入<5>进入以太网口配置菜单
==========================<ETHERNET PARAMETER SET>==========================
|Note: '.' = Clear field. |
| '-' = Go to previous field. |
| Ctrl+D = Quit. |
============================================================================
Protocol (FTP or TFTP) :tftp
Load File Name : 8042fw4_d010.ipe
:
Target File Name : 8042fw4_d010.ipe
:
Server IP Address :192.168.0.2
Local IP Address :192.168.0.1
Subnet Mask :255.255.255.0
Gateway IP Address :0.0.0.0
显示 | 说明 |
'.' = Clear field | 快捷键:“.”表示清除当前输入 |
'-' = Go to previous field | 快捷键:“-”表示返回到前一个参数域 |
Ctrl+D = Quit | 快捷键:表示退出参数配置界面 |
Protocol (FTP or TFTP) | 使用的传输协议,可以为FTP或者TFTP |
Load File Name | 下载文件名,要与下载的实际文件名一致 |
Target File Name | 下载到设备后的目标文件名。缺省情况下与下载文件名一致 |
Server IP Address | TFTP/FTP服务器的IP地址 |
Local IP Address | 本地IP地址,为TFTP/FTP客户端设置的IP地址,即设备用于升级的以太网口的地址 |
Gateway IP Address | 网关IP地址,当与服务器不在同一网段时需要配置网关地址 |
(3) 以升级主启动文件为例,在以太网口子菜单键入<2>:
Loading.....................................................................
............................................................................
............................................................................
............................................................................
............................................................................
........................Done.
63036416 bytes downloaded!
Image file BLADE4FW-CMW710-BOOT-A8302.bin is self-decompressing.............
Saving file sda0:/BLADE4FW-CMW710-BOOT-A8302.bin ......
............................................................................
.................Done.
Image file BLADE4FW-CMW710-SYSTEM-A8302.bin is self-decompressing... ........
Saving file sda0:/BLADE4FW-CMW710-SYSTEM-A8302.bin .........................
............................................................................
.................Done.
==========================<Enter Ethernet SubMenu>==========================
|Note:the operating device is sda0 |
|<1> Download Image Program To SDRAM And Run |
|<2> Update Main Image File |
|<3> Update Backup Image File |
|<4> Download Files(*.*) |
|<5> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
|<Ensure The Parameter Be Modified Before Downloading!> |
============================================================================
Enter your choice(0-5):
当设备上有重名的文件存在时,将提示“The file already exists,Overwrite it? [Y/N]”当选择Y时,会覆盖设备上重名的文件;当选择N时,将提示“Cancel to overwrite the file.”。
(4) 选择<0>,返回BootWare主菜单。再选择<1>,引导系统。
3. 通过Console口利用Xmodem协议升级启动文件
(1) 通过Console口升级启动文件,在BootWare主菜单下键入<2>,就会进入串口子菜单,菜单内容如下:
===========================<Enter Serial SubMenu>===========================
|Note:the operating device is cfa0 |
|<1> Download Image Program To SDRAM And Run |
|<2> Update Main Image File |
|<3> Update Backup Image File |
|<4> Download Files(*.*) |
|<5> Modify Serial Interface Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-5):
各选项含义如下:
表17 BootWare串口子菜单
菜单项 | 说明 |
<1> Download Image Program To SDRAM And Run | 通过串口下载启动文件到内存并启动 该功能仅在密码恢复功能处于开启状态下执行有效 |
<2> Update Main Image File | 升级主启动文件 |
<3> Update Backup Image File | 升级备用启动文件 |
<4> Download Files(*.*) | 将文件服务器上文件下载到设备 |
<5> Modify Serial Interface Parameter | 修改串口参数 |
<0> Exit To Main Menu | 返回BootWare主菜单 |
· 如果下载波特率选择为9600bps,用户不用修改超级终端的波特率,不用进行下面的第(2)至(7)步操作,直接进入第(8)步的操作。
· 如修改下载波特率,请确保终端与设备串口波特率修改一致。
(2) 在串口子菜单中,键入<5>,系统会提示修改串口波特率。通常.bin文件大小大于10MB,即使修改波特率为115200 bps,升级启动文件的时间也要使用大约为30分钟,请根据实际情况,选择合适的下载波特率,例如键入<5>,即选择115200bps:
===============================<BAUDRATE SET>===============================
|Note:'*'indicates the current baudrate |
| Change The HyperTerminal's Baudrate Accordingly |
|---------------------------<Baudrate Available>---------------------------|
|<1> 9600(Default)* |
|<2> 19200 |
|<3> 38400 |
|<4> 57600 |
|<5> 115200 |
|<0> Exit |
============================================================================
Enter your choice(0-5):
Baudrate has been changed to 115200 bps.
Please change the terminal's baudrate to 115200 bps, press ENTER when ready.
(3) 单击超级终端的[呼叫/断开]菜单项,即断开超级终端和设备的连接。
图1 断开终端连接
(4) 点击[文件/属性]菜单,在弹出的超级终端对话框单击<配置(F)…>按钮,进入如图3所示的COM口属性对话框。
图2 超级终端属性对话框
(5) 在“每秒位数(B):”列表项选择115200,其它选项采用默认值,单击<确定>按钮。
图3 COM口属性对话框
(6) 设置完波特率后,点击[呼叫/呼叫]按钮,重新建立超级终端和设备的连接。
图4 重新建立连接
回车后,终端显示如下信息:
The current baudrate is 115200 bps
===============================<BAUDRATE SET>===============================
|Note:'*'indicates the current baudrate |
| Change The HyperTerminal's Baudrate Accordingly |
|---------------------------<Baudrate Available>---------------------------|
|<1> 9600(Default) |
|<2> 19200 |
|<3> 38400 |
|<4> 57600 |
|<5> 115200* |
|<0> Exit |
============================================================================
Enter your choice(0-5):
(7) 在波特率设置菜单中键入<0>,返回串口子菜单。终端显示如下信息:
===========================<Enter Serial SubMenu>===========================
|Note:the operating device is cfa0 |
|<1> Download Image Program To SDRAM And Run |
|<2> Update Main Image File |
|<3> Update Backup Image File |
|<4> Download Files(*.*) |
|<5> Modify Serial Interface Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-5):
(8) 根据所需升级的启动文件类型在串口子菜单中键入2~3,选择升级主用启动文件或者备用启动文件。此处以升级主用启动文件为例。在串口子菜单下键入<2>,终端显示信息:
Please Start To Transfer File, Press <Ctrl+C> To Exit.
Waiting ...CCCCC
(9) 此时,终端窗口选择[传送\发送文件],在弹出的对话框(如下图)中点击[浏览]按扭,选择需要下载的软件,并将下载使用的协议改为XModem。
图5 [发送文件]对话框
(10) 选择完成后,点击[发送]按钮,系统弹出如下图所示的界面。
图6 正在发送文件界面
文件下载成功后,终端显示如下信息:
Download successfully!
63036416 bytes downloaded!
Input the File Name: 8042fw_b54.ipe
Updating File cfa0:/ 8042fw_b54.ipe..............................................
.....................................................Done!
===========================<Enter Serial SubMenu>===========================
|Note:the operating device is cfa0 |
|<1> Download Image Program To SDRAM And Run |
|<2> Update Main Image File |
|<3> Update Backup Image File |
|<4> Download Files(*.*) |
|<5> Modify Serial Interface Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-5):
(11) 升级成功后,在串口子菜单键入<0>,返回到BootWare主菜单,然后键入<1>,启动系统。
如果通过改变串口波特率下载文件来升级启动文件,完成升级后应及时将超级终端的连接波特率恢复为9600bps,以防止重新启动时终端无法显示信息。
BootWare文件(.btw文件)是否和启动文件(.ipe文件)打包,与设备发布的版本有关,请和H3C技术支持人员确认后再执行相应的升级操作。本节仅介绍通过命令行和BootWare菜单单独升级BootWare文件的过程。
请按以下步骤升级BootWare文件:
(1) 使用FTP或者TFTP,将BootWare文件拷贝到设备存储介质的根目录下。
(2) 使用bootrom update升级BootWare文件:
<System> bootrom update file sda0:/fw_v2.04.btw slot 1
This command will update bootrom file, Continue? [Y/N]:y
Now updating bootrom, please wait...
Updating basic bootrom!
Update basic bootrom success!
Updating extended bootrom!
Update extended bootrom success!
Update bootrom success!
<System>
(3) 执行reboot命令重启设备。
C.6.2 通过BootWare菜单升级BootWare文件
使用该方法升级BootWare文件操作仅在密码恢复功能处于开启状态下执行有效。
(1) 通过以太网口利用TFTP/FTP升级BootWare文件
(2) 进入BootWare菜单,操作方法请参见“C.5.21. 进入BootWare菜单”。
(3) 在BootWare菜单下键入<7>,可以进入BootWare操作菜单,系统显示如下:
=========================<BootWare Operation Menu>==========================
|Note:the operating device is sda0 |
|<1> Backup Full BootWare |
|<2> Restore Full BootWare |
|<3> Update BootWare By Serial |
|<4> Update BootWare By Ethernet |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
BootWare操作菜单中各选项解释如下:
表18 BootWare操作菜单
菜单项 | 说明 |
<1> Backup Full BootWare | 备份完整BootWare |
<2> Restore Full BootWare | 恢复完整BootWare |
<3> Update BootWare By Serial | 通过串口升级BootWare |
<4> Update BootWare By Ethernet | 通过以太网接口升级BootWare |
<0> Exit To Main Menu | 返回BootWare主菜单 |
(4) 键入<4>进入BootWare操作以太网口子菜单:
===================<BOOTWARE OPERATION ETHERNET SUB-MENU>===================
|<1> Update Full BootWare |
|<2> Update ExtendED BootWare |
|<3> Update Basic BootWare |
|<4> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
BootWare操作以太网口子菜单中各选项解释如下:
表19 BootWare操作以太网子菜单
菜单项 | 说明 |
<1> Update Full BootWare | 升级完整BootWare |
<2> Update Extended BootWare | 升级扩展段BootWare |
<3> Update Basic BootWare | 升级基本段BootWare |
<4> Modify Ethernet Parameter | 修改以太网接口参数 |
<0> Exit To Main Menu | 返回BootWare主菜单 |
(5) 键入<4>进入以太网口配置菜单
==========================<ETHERNET PARAMETER SET>==========================
|Note: '.' = Clear field. |
| '-' = Go to previous field. |
| Ctrl+D = Quit. |
============================================================================
Protocol (FTP or TFTP) :TFTP
Load File Name :fw_v2.04.btw
:
Target File Name :fw_v2.04.btw
:
Server IP Address :192.168.0.2
Local IP Address :192.168.0.1
Subnet Mask :255.255.255.0
Gateway IP Address :0.0.0.0
以太网参数设置的详细说明请参见表16。
(6) 以升级完整的BootWare为例,在BootWare操作以太网子菜单键入<1>:
===================<BOOTWARE OPERATION ETHERNET SUB-MENU>===================
|<1> Update Full BootWare |
|<2> Update Extended BootWare |
|<3> Update Basic BootWare |
|<4> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4): 1
Loading............Done!
648192 bytes downloaded!
Updating Basic BootWare? [Y/N]Y
Updating Basic BootWare...........Done!
Updating Extended BootWare? [Y/N]Y
Updating Extended BootWare...........Done!
===================<BOOTWARE OPERATION ETHERNET SUB-MENU>===================
|<1> Update Full BootWare |
|<2> Update Extended BootWare |
|<3> Update Basic BootWare |
|<4> Modify Ethernet Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
(7) 升级成功后,返回到BootWare主菜单。再选择<0>,重新启动系统。
C.6.3 通过Console口利用Xmodem协议升级BootWare文件
(1) 进入BootWare菜单,操作方法请参见“C.5.21. 进入BootWare菜单”。
(2) 键入<7>进入BootWare操作菜单。在BootWare操作菜单中键入<3>,进入BootWare操作串口子菜单:
====================<BOOTWARE OPERATION SERIAL SUB-MENU>====================
|<1> Update Full BootWare |
|<2> Update Extended BootWare |
|<3> Update Basic BootWare |
|<4> Modify Serial Interface Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
BootWare操作串口子菜单中各选项解释如下:
表20 BootWare操作串口子菜单
菜单项 | 说明 |
<1> Update Full BootWare | 升级完整BootWare |
<2> Update Extended BootWare | 升级扩展段BootWare |
<3> Update Basic BootWare | 升级基本段BootWare |
<4> Modify Serial Interface Parameter | 修改串口参数 |
<0> Exit To Main Menu | 返回BootWare主菜单 |
(3) 键入<1>,升级完整BootWare:
Please Start To Transfer File, Press <Ctrl+C> To Exit.
Waiting ...CCCCCCCCCCCCCCCCCCCCCCCCC...
(4) 此时,终端窗口选择[传送\发送文件],在弹出的对话框(如下图)中点击[浏览]按扭,选择需要下载的软件,并将下载使用的协议改为XModem。
图7 [发送文件]对话框
(5) 选择完成后,点击[发送]按钮,系统弹出如下图所示的界面。
图8 正在发送文件界面
文件下载成功后,终端显示如下信息:
Download successfully!
648192 bytes downloaded!
Updating Basic BootWare? [Y/N]Y
Updating Basic BootWare...........Done!
Updating Extended BootWare? [Y/N]Y
Updating Extended BootWare...........Done!
====================<BOOTWARE OPERATION SERIAL SUB-MENU>====================
|<1> Update Full BootWare |
|<2> Update Extended BootWare |
|<3> Update Basic BootWare |
|<4> Modify Serial Interface Parameter |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-4):
(6) 升级成功后,返回到BootWare主菜单,然后键入<0>,重新启动系统。
C.7 通过BootWare菜单进行文件管理
在BootWare主菜单中键入<4>,系统将进入文件控制子菜单。通过这个菜单可以显示SD卡中所有文件,设置启动文件类型,删除文件操作,提示信息如下:
===============================<File CONTROL>===============================
|Note:the operating device is sda0 |
|<1> Display All File(s) |
|<2> Set Image File type |
|<3> Set Bin File type |
|<4> Set Configuration File type |
|<5> Delete File |
|<6> Copy File |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-6):
各选项含义如下:
菜单项 | 说明 |
<1> Display All File(s) | 显示所有文件 |
<2> Set Image File type | 设置启动.ipe文件类型 |
<3> Set Bin File type | 设置启动.bin文件类型 该.bin文件指由.ipe解压后的文件 |
<4> Set Configuration File type | 设置配置文件类型 |
<5> Delete File | 删除文件 |
<6> Copy File | 复制文件 |
<0> Exit To Main Menu | 返回BootWare主菜单 |
1. 显示所有文件
在文件控制子菜单键入<1>,显示所有文件信息。
Display all file(s) in sda0:
'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED
============================================================================
|NO. Size(B) Time Type Name |
|1 5751 Feb/26/2016 17:02:30 N/A sda0:/ifindex.dat |
|2 47930 Feb/26/2016 17:02:30 M sda0:/startup_admin.cfg |
|3 380082 Feb/26/2016 17:02:32 N/A sda0:/startup_admin.mdb |
|4 963 Dec/19/2015 15:52:02 N/A sda0:/license/210231a4es00000000|
|01.did |
|5 10485566 Feb/26/2016 18:32:48 N/A sda0:/logfile/logfile.log |
|6 1566 Feb/20/2016 11:16:52 N/A sda0:/pki/https-server.p12 |
|7 1257 Feb/20/2016 11:16:52 N/A sda0:/pki/ca-137dd966-d41df32220|
|2c05df1b6cf11e2357a8c2.cer |
|8 1796 Feb/20/2016 11:16:52 N/A sda0:/pki/f9d5c16a7f42203f8c1954|
|32354a3271.info |
|9 1671 Feb/20/2016 11:16:52 N/A sda0:/pki/lo-f9d5c16a7f42203f8c1|
|95432354a3271-0.cer |
163 57638912 Feb/26/2016 18:09:54 M sda0:/blade4fw-cmw710-system-a83|
|02.bin |
|10 157696 Feb/20/2016 11:09:26 N/A sda0:/blade4fw-cmw710-devkit-a83|
|02.bin |
|11 888 Feb/02/2016 10:40:24 N/A sda0:/certnew.cer |
|12 2816016 Jan/19/2016 09:20:24 N/A sda0:/firewall.exp |
|13 62863360 Jan/19/2016 09:27:00 N/A sda0:/8042fw4_b64d009.ipe |
|14 63036416 Feb/26/2016 17:17:38 N/A sda0:/8042fw4_d010.ipe |
|15 2476 Feb/02/2016 14:23:14 N/A sda0:/local.pfx |
|17 63032320 Feb/02/2016 13:37:04 N/A sda0:/8042fw4_b64d010.ipe |
|18 146060288 Feb/02/2016 14:25:06 N/A sda0:/8042fw4_debug_1214.ipe |
===============================<File CONTROL>===============================
|Note:the operating device is sda0 |
|<1> Display All File(s) |
|<2> Set Image File type |
|<3> Set Bin File type |
|<4> Set Configuration File type |
|<5> Delete File |
|<6> Copy File |
|<0> Exit To Main Menu |
============================================================================
Enter your choice(0-6):
2. 设置.ipe启动文件类型
(1) 在文件控制子菜单下键入<2>,进入设置启动文件类型菜单:
'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED
============================================================================
|NO. Size(B) Time Type Name |
|1 73822208 Dec/28/2015 10:29:18 N/A sda0:/8042fw4_b64d008sp03.ipe |
|2 62863360 Jan/19/2016 09:27:00 N/A sda0:/8042fw4_b64d009.ipe |
|3 63036416 Feb/26/2016 17:17:38 N/A sda0:/8042fw4_d010.ipe |
|4 63032320 Feb/02/2016 13:37:04 N/A sda0:/8042fw4_b64d010.ipe |
|5 146060288 Feb/02/2016 14:25:06 N/A sda0:/8042fw4_debug_1214.ipe |
|0 Exit |
================================================================
(2) Enter file No.:输入要修改的文件的编号,按<ENTER>,系统提示对文件类型进行更改:
Modify the file attribute:
============================================================================
|<1>+Main |
|<2>+Backup |
|<0> Exit |
============================================================================
Enter your choice(0-2):
(3) 输入文件类型的编号选择待设置的类型,这里设置为main属性为例,键入数字1,终端显示信息如下:
Enter your choice(0-2):1
This operation may take several minutes. Please wait....
Image file BLADE4FW-CMW710-BOOT-A8301P09.bin is self-decompressing...
Saving file sda0:/BLADE4FW-CMW710-BOOT-A8301P09.bin ........................
..................................................Done.
Image file BLADE4FW-CMW710-SYSTEM-A8301P09.bin is self-decompressing...
Saving file sda0:/BLADE4FW-CMW710-SYSTEM-A8301P09.bin ......................
.............................................Done.
Set the file attribute success!
3. 设置.bin启动文件类型
在文件控制子菜单下键入<3>,进入设置启动文件类型显示界面。
Enter your choice(0-6): 3
'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED
============================================================================
|NO. Size(B) Time Type Name |
|1 5390336 Feb/26/2016 18:09:50 N/A sda0:/blade4fw-cmw710-boot-a8302 |
|.bin |
|2 57638912 Feb/26/2016 18:09:54 N/A sda0:/blade4fw-cmw710-system-a83 |
|02.bin |
|3 157696 Feb/20/2016 11:09:26 N/A sda0:/blade4fw-cmw710-devkit-a83 |
|02.bin |
|4 5374976 Feb/26/2016 18:38:54 M sda0:/blade4fw-cmw710-boot-a8301 |
|p09.bin |
|5 68440064 Feb/26/2016 18:38:58 M sda0:/blade4fw-cmw710-system-a83 |
|01p09.bin |
|0 Exit |
============================================================================
Note:Select .bin files. One but only one boot image and system image must
be included.
Enter file No.(Allows multiple selection):1
Enter another file No.(0-Finish choice):3
Enter another file No.(0-Finish choice):4
Enter another file No.(0-Finish choice):0
You have selected:
sda0:/blade4fw-cmw710-boot-a8302.bin
sda0:/blade4fw-cmw710-devkit-a8302.bin
sda0:/blade4fw-cmw710-boot-a8301p09.bin
Modify the file attribute:
============================================================================
|<1>+Main |
|<2>+Backup |
|<0> Exit |
============================================================================
Enter your choice(0-2):1
This operation may take several minutes. Please wait....
Set the file attribute success!
4. 删除文件
(1) 在文件控制子菜单下键入<5>,可进入删除文件选项:
Deleting the file in sda0:
'M' = MAIN 'B' = BACKUP 'N/A' = NOT ASSIGNED
============================================================================
|1 5751 Feb/26/2016 17:02:30 N/A sda0:/ifindex.dat |
|2 47930 Feb/26/2016 17:02:30 M sda0:/startup_admin.cfg |
|3 380082 Feb/26/2016 17:02:32 N/A sda0:/startup_admin.mdb |
|4 963 Dec/19/2015 15:52:02 N/A sda0:/license/210231a4es00000000 |
|01.did |
|5 10485566 Feb/26/2016 18:32:48 N/A sda0:/logfile/logfile.log |
|6 1566 Feb/20/2016 11:16:52 N/A sda0:/pki/https-server.p12 |
|7 1257 Feb/20/2016 11:16:52 N/A sda0:/pki/ca-137dd966-d41df32220 |
|2c05df1b6cf11e2357a8c2.cer |
|8 1796 Feb/20/2016 11:16:52 N/A sda0:/pki/f9d5c16a7f42203f8c1954 |
|32354a3271.info |
|9 1671 Feb/20/2016 11:16:52 N/A sda0:/pki/lo-f9d5c16a7f42203f8c1 |
|95432354a3271-0.cer |
163 57638912 Feb/26/2016 18:09:54 M sda0:/blade4fw-cmw710-system-a83 |
|02.bin |
|10 157696 Feb/20/2016 11:09:26 N/A sda0:/blade4fw-cmw710-devkit-a83 |
|02.bin |
|11 888 Feb/02/2016 10:40:24 N/A sda0:/certnew.cer |
|12 2816016 Jan/19/2016 09:20:24 N/A sda0:/firewall.exp |
|13 62863360 Jan/19/2016 09:27:00 N/A sda0:/8042fw4_b64d009.ipe |
|14 63036416 Feb/26/2016 17:17:38 N/A sda0:/8042fw4_d010.ipe |
|15 2476 Feb/02/2016 14:23:14 N/A sda0:/local.pfx |
|17 63032320 Feb/02/2016 13:37:04 N/A sda0:/8042fw4_b64d010.ipe |
|18 146060288 Feb/02/2016 14:25:06 N/A sda0:/8042fw4_debug_1214.ipe |
|0 Exit |
============================================================================
Enter file No.:
(2) 输入要删除文件的编号,按<ENTER>,系统提示如下,表示删除成功:
The file you selected is sda0:/ 8042fw4_b64d009.ipe,Delete it? [Y/N]Y
Deleting..............Done!
升级失败后,系统会使用原来的版本运行。用户可以通过以下方式尝试解决软件升级失败问题。
(1) 请检查物理接口是否连接完好,请确保接口物理连接正确,并观察指示灯是否正常。
(2) 通过Console口登录设备时,请检查超级终端相关参数是否设置正确,如波特率、数据位等。
(3) 查看超级终端上的显示信息,请检查是否有输入错误等。输入错误可能包括以下:
· 利用Xmodem协议下载时,如果选择了9600bps以外的波特率进行下载,没有及时修改超级终端的波特率。超级终端的波特率和Console口的波特率必须保持一致;
· 在使用TFTP协议进行软件升级时,输入的IP地址、文件名称或指定的TFTP Server的工作路径有误;
· 在使用FTP协议进行软件升级时,输入的IP地址、文件名称、指定的FTP Server的工作路径、FTP用户名或FTP密码有误。
(4) 请检查FTP Server或者TFTP Server等软件是否正常运行,相关设置是否正确。
(5) 请检查设备SD卡的剩余空间大小是否足够保存待下载的文件。
(6) 如果文件在加载结束后出现如下提示:Something is wrong with the file.请检查文件是否可用。
1. 任何从本网站下载的软件都是H3C公司受著作权保护的产品。
2. 使用软件必须受最终用户许可协议的条款的约束,该许可协议随软件附上或包含在软件中。
3. 除非最终用户首先同意许可协议的条款,否则不能安装任何附有或内含许可协议的软件。
4. 软件仅供最终用户根据许可协议的规定下载使用。
5. 最终用户在用下载软件进行升级及使用的过程中,应严格遵守操作指导书,对于未按指导书而引起的问题,责任由使用者自负。
6. 对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止,并可导致严重的民事及刑事处罚。
7. 所下载的软件版本仅限美国以外的地区使用。