H3C SecPath ACG1000-IMW110-R6616P02 版本软件及说明书 (支持2GB及以上内存硬件款型、2023年度稳定版本)
2024/1/9 19:27:58
H3C SecPathACG1000-IMW110-R6616P02 版本说明书
9.1 SecPathACG1000-IMW110-R6616P02版本解决问题列表·· 22
9.2 SecPathACG1000-IMW110-R6616版本解决问题列表·· 22
9.3 SecPathACG1000-IMW110-R6614P10版本解决问题列表·· 23
9.4 SecPathACG1000-IMW110-R6614P09版本解决问题列表·· 23
9.5 SecPathACG1000-IMW110-R6614P08版本解决问题列表·· 23
9.6 SecPathACG1000-IMW110-R6614L07版本解决问题列表·· 23
9.7 SecPathACG1000-IMW110-R6614L06版本解决问题列表·· 23
9.8 SecPathACG1000-IMW110-R6614P05版本解决问题列表·· 23
9.9 SecPathACG1000-IMW110-R6614P04版本解决问题列表·· 24
9.10 SecPathACG1000-IMW110-R6614P03版本解决问题列表·· 24
9.11 SecPathACG1000-IMW110-R6614L02版本解决问题列表·· 25
9.12 SecPathACG1000-IMW110-R6614P01版本解决问题列表·· 25
9.13 SecPathACG1000-IMW110-R6614版本解决问题列表·· 25
9.14 SecPathACG1000-IMW110-F6613P03版本解决问题列表·· 35
9.15 SecPathACG1000-IMW110-F6613P02版本解决问题列表·· 36
9.1 SecPathACG1000-IMW110-F6613P01版本解决问题列表·· 36
9.2 SecPathACG1000-IMW110-F6613版本解决问题列表·· 36
9.3 SecPathACG1000-IMW110-R6612版本解决问题列表·· 36
9.4 SecPathACG1000-IMW110-R6611P09版本解决问题列表·· 36
9.5 SecPathACG1000-IMW110-R6611P07版本解决问题列表·· 37
9.6 SecPathACG1000-IMW110-R6611P06版本解决问题列表·· 38
9.7 SecPathACG1000-IMW110-R6611L05版本解决问题列表·· 39
9.8 SecPathACG1000-IMW110-R6611P04版本解决问题列表·· 39
9.9 SecPathACG1000-IMW110-R6611P03版本解决问题列表·· 40
9.10 SecPathACG1000-IMW110-R6611P02版本解决问题列表·· 40
9.11 SecPathACG1000-IMW110-R6611P01版本解决问题列表·· 40
9.12 SecPathACG1000-IMW110-R6611版本解决问题列表·· 41
9.13 SecPathACG1000-IMW110-F6610P03版本解决问题列表·· 42
9.14 SecPathACG1000-IMW110-F6610P02版本解决问题列表·· 43
9.15 SecPathACG1000-IMW110-F6610P01版本解决问题列表·· 44
9.16 SecPathACG1000-IMW110-F6610版本解决问题列表·· 44
9.17 SecPathACG1000-IMW110-R6609P06版本解决问题列表·· 44
9.18 SecPathACG1000-IMW110-R6609P02版本解决问题列表·· 45
9.19 SecPathACG1000-IMW110-R6609版本解决问题列表·· 46
9.20 SecPathACG1000-IMW110-F6608P01版本解决问题列表·· 47
9.21 SecPathACG1000-IMW110-F6608版本解决问题列表·· 48
9.22 SecPathACG1000-IMW110-R6606P08版本解决问题列表·· 48
9.23 SecPathACG1000-IMW110-R6606P07版本解决问题列表·· 48
9.24 SecPathACG1000-IMW110-R6606P06版本解决问题列表·· 49
9.25 SecPathACG1000-IMW110-R6606P05版本解决问题列表·· 49
9.26 SecPathACG1000-IMW110-R6606P04版本解决问题列表·· 50
9.27 SecPathACG1000-IMW110-R6606P03版本解决问题列表·· 50
9.28 SecPathACG1000-IMW110-R6606P02版本解决问题列表·· 50
9.29 SecPathACG1000-IMW110-R6606P01版本解决问题列表·· 51
9.30 SecPathACG1000-IMW110-R6606版本解决问题列表·· 52
9.31 SecPathACG1000-IMW110-R6605P03版本解决问题列表·· 52
9.32 SecPathACG1000-IMW110-R6605P02版本解决问题列表·· 52
9.33 SecPathACG1000-IMW110-R6605P01版本解决问题列表·· 52
9.34 SecPathACG1000-IMW110-R6605版本解决问题列表·· 53
9.35 SecPathACG1000-IMW110-R6604P01版本解决问题列表·· 54
9.36 SecPathACG1000-IMW110-R6604版本解决问题列表·· 56
9.37 SecPathACG1000-IMW110-F6603P03版本解决问题列表·· 56
9.38 SecPathACG1000-IMW110-F6603P02版本解决问题列表·· 57
9.39 SecPathACG1000-IMW110-R6603P01版本解决问题列表·· 58
9.40 SecPathACG1000-IMW110-R6603版本解决问题列表·· 58
9.41 SecPathACG1000-IMW110-E6602版本解决问题列表·· 59
表目录
本文介绍了SecPathACG1000-IMW110-R6616P02版本的特性、使用限制、存在问题及规避措施等,在加载版本前,建议您备份配置文件,并进行内部验证,以避免可能存在的风险。
本文档需和随版本发布的《H3C SecPathACG1000-IMW110-R6616P02版本说明书(软件特性变更说明)》,以及本文“相关资料”中的文档一起配合使用。
版本号:i-Ware software,Version 1.10,Release 6616P02
注:该版本号可在任何视图下执行display version命令查看。
版本号 | 基础版本号 | 发布日期 | 版本类型 | 备注 |
R6616P02 | R6616 | 2023-12-28 | 正式版本 | 年度版本 |
R6616 | R6614P09 | 2023-09-26 | 正式版本 | 解决问题、合入新特性 |
R6614P10 | R6614P09 | 2023-08-18 | 正式版本 | 解决问题、合入新特性 |
R6614P09 | R6614P08 | 2023-06-30 | 正式版本 | 支持新款型、解决网上问题、新增特性 |
R6614P08 | R6614P05 | 2023-02-27 | 正式版本 | 解决问题、合入新特性 |
R6614L07 | R6614P05 | 2023-02-16 | 正式版本 | 新增特性 |
R6614L06 | R6614P05 | 2023-01-16 | 正式版本 | 新增特性 |
R6614P05 | R6614P04 | 2023-01-16 | 正式版本 | 解决问题 |
R6614P04 | R6614P03 | 2022-11-29 | 正式版本 | 解决问题 |
R6614P03 | R6614P01 | 2022-10-29 | 正式版本 | 解决问题、合入新特性 |
R6614L02 | R6614P01 | 2022-09-22 | 正式版本 | 合入新特性 |
R6614P01 | R6614 | 2022-09-02 | 正式版本 | 解决问题、新增特性 |
R6614 | F6613P03 | 2022-06-29 | 正式版本 | 解决问题、新增特性 |
F6613P03 | F6613P02 | 2022-03-31 | 特性版本 | 解决问题、新增特性 |
F6613P02 | F6613P01 | 2022-02-21 | 特性版本 | 解决问题、新增特性 |
F6613P01 | F6613 | 2021-08-30 | 特性版本 | 解决问题、新增特性 |
F6613 | R6612 | 2021-04-30 | 特性版本 | 新增特性 |
R6612 | R6611P09 | 2020-11-30 | 正式版本 | 新增特性 |
R6611P09 | R6611P07 | 2020-10-29 | 正式版本 | 解决问题、新增特性 |
R6611P07 | R6611P06 | 2020-09-16 | 正式版本 | 解决问题 |
R6611P06 | R6611P04 | 2020-06-24 | 正式版本 | 解决问题、新增特性 |
R6611L05 | R6611P04 | 2020-05-08 | 正式版本 | 解决问题:解决流量控制策略配置每IP限速,测试限速速率波动较大 |
R6611P04 | R6611P03 | 2020-03-30 | 正式版本 | 解决问题:解决升级特征库后修改控制策略导致设备异常重启 |
R6611P03 | R6611P02 | 2020-03-19 | 正式版本 | 解决问题 |
R6611P02 | R6611P01 | 2020-02-28 | 正式版本 | 解决问题、新增特性 |
R6611P01 | R6611 | 2020-01-06 | 正式版本 | 解决问题、新增特性 |
R6611 | F6610P03 | 2019-11-18 | 正式版本 | 解决问题 |
F6610P03 | F6610P02 | 2019-10-15 | 正式版本 | 解决问题:解决非经上报导致设备频繁重启;HA主备透明模式部署,接口状态无法同步等问题 |
F6610P02 | F6610P01 | 2019-08-15 | 正式版本 | 解决问题:解决无法直接跳转到Manager问题、解决HA主备系统配置显示不同步问题等 |
F6610P01 | F6610 | 2019-07-25 | 正式版本 | 新增安全云联动特性、修复遗留问题 |
F6610 | R6609P06 | 2019-05-14 | 特性版本 | 新增特性 |
R6609P06 | R6609P02 | 2018-12-11 | 正式版本 | 解决问题:修复漏洞;解决LADP同步导致设备重启问题;解决GRE配置失效问题等 |
R6609P02 | R6609 | 2018-09-17 | 正式版本 | 解决问题:修复任子行、中科新业、恒邦三家厂商的非经日志无法显示问题;超MTU值的非IP报文导致串联ACG设备出现延迟与丢包 |
R6609 | F6608P01 | 2018-07-16 | 正式版本 | 解决问题;新增支持型号 |
F6608P01 | F6608 | 2018/05/31 | 特性版本 | 解决问题 |
F6608 | R6606 | 2018/01/24 | 特性版本 | 新增特性 |
R6606P08 | R6606P07 | 2017/12/28 | 补丁版本 | 解决问题 |
R6606P07 | R6606P06 | 2017/11/29 | 补丁版本 | 解决问题:未开启免认证时可绕过;QOS模式下支持流保序 |
R6606P06 | R6606P05 | 2017/9/21 | 补丁版本 | 解决问题:snmp/ssh攻击导致内存耗尽问题等 |
R6606P05 | R6606P04 | 2017/7/21 | 补丁版本 | 解决问题:支持保序功能,避免访问某些网站页面异常;某些特定环境下系统异常问题 |
R6606P04 | R6606P03 | 2017/5/30 | 补丁版本 | 公司更名,支持新型号ACG1010-X1/ACG1030-X1/ACG1050-X1 |
R6606P03 | R6606P02 | 2017/3/30 | 补丁版本 | 修改问题:ALG FTP映射网络不通问题 |
R6606P02 | R6606P01 | 2016/12/12 | 补丁版本 |
|
R6606P01 | R6606 | 2016/10/25 | 补丁版本 |
|
R6606 | R6605P03 | 2016/7/5 | 正式版本 |
|
R6605P03 | R6605P02 | 2016/5/24 | 补丁版本 |
|
R6605P02 | R6605P01 | 2016/3/18 | 补丁版本 |
|
R6605P01 | R6605 | 2015/12/31 | 补丁版本 |
|
R6605 | R6604P01 | 2015/12/2 | 正式版本 |
|
R6604P01 | R6604 | 2015/7/29 | 补丁版本 |
|
R6604 | R6603P03 | 2015/6/16 | 正式版本 |
|
F6603P03 | F6603P02 | 2015/4/27 | 特性版本 | 修复本地认证用户修改用户密码可控性bug |
F6603P02 | R6603P01 | 2015/3/5 | 特性版本 |
|
R6603P01 | R6603 | 2015/2/3 | 补丁版本 | 本地Web认证、审计功能性能优化 |
R6603 | Ess 6602 | 2014/12/26 | 正式版本 | Release版本 |
Ess 6602 | 首次发布 | 2014/10/20 | ESS版本 | 无 |
在升级版本之前,请注意与本版本配套的软、硬件条件必须符合下表的要求。
| H3C SecPath ACG1000系列 | |||||
| 型号 | ACG1005-PWR ACG1000-SE-PWR ACG1000-SE ACG1000-BE-PWR ACG1000-BE ACG1000-AK150 ACG1000-AK230 ACG1000-AK240 ACG1000-AK250 ACG1000-AK260 ACG1000-TE ACG1000-ME ACG1010-X1 ACG1030-X1 ACG1050-X1 ACG1060-X1 ACG1070-X1 ACG1000-C9130 ACG1000-C9150 ACG1000-C9160 ACG1000-AK215 ACG1000-AK225 ACG1000-AK255 ACG1000-AK265 ACG1000-B100 ACG1000-B200 ACG1000-B300 ACG1000-AI-10 ACG1000-AK2010 | ACG1000-AK270 ACG1000-AK280 ACG1000-AE ACG1000-C9170 ACG1000-AK275 ACG1000-AI-30 ACG1000-AK9201 | ACG1000-PE ACG1000-EE ACG1000-AK285 ACG1000-ME-G ACG1000-AK9203 ACG1000-AK9205 ACG1000-AK9210 | ACG1000-XE1 ACG1000-AE-G ACG1000-Blade-E | ACG1000-Blade-X |
内存 | 2GB | 4GB | 8GB | 16GB | 32GB | |
| 目标文件名称及MD5校验码 | 1、ACG1000-ME-G&ACG1000-AE-G 升级包:SecPathACG1000-IMW110-R6616P02-ARM_FT.BIN MD5:FA23F236E2269AB60EE11A67DAD8ADD7 生产包:SecPathACG1000-IMW110-R6616P02-ARM_FT-ALL.BIN MD5: 46D6372C662A9E83E3415E0C3697EFB8
2、除“1”中型号外其他上表中列的型号 升级包:SecPathACG1000-IMW110-R6616P02.BIN MD5: D0F719A4A6F5337C587D4C5C7DAFA1A4 生产包:SecPathACG1000-IMW110-R6616P02-ALL.BIN MD5: DE0681BF8CE72CC536DBB361328482B9 | ||||
| SSL VPN客户端 | 安卓:SSLVPNClient_20200519.apk MD5:9A6A75E7145BF91A8B3421341B672E4D Windows:SSLVPNClient_20220824.exe MD5:E31D21844A23977DA596A8CD04D36EA5 | ||||
| IC卡认证客户端 | ic_card.exe MD5: 13D50425D832359798FA86E217E2984D | ||||
| BA配套版本号 | SecPathACG1000BA-IMW110-E6401P02及之后版本 | ||||
| ACG Manager配套版本号 | SecPathACG1000 SACG-7.0-R0306及之后版本 | ||||
| EBM配套版本号 | iNode PC 7.3 (E0589) | ||||
| XDR配套版本号 | XdrSetup-1.3.180.1_20230601.exe MD5:DC75FA38091057629A890A32A08A66F7 | ||||
| IMC配套版本号 | iMC PLAT 7.3 (E0710) | ||||
| 备注 | ACG1000-ME-G、ACG1000-AE-G 请务必使用SecPathACG1000-IMW110-R6616P02-ARM_FT.BIN版本。 其他款型设备,请使用SecPathACG1000-IMW110-R6616P02.BIN版本。 | ||||
1、版本升级前需备份原有配置文件,版本回退需清除配置导入原有配置文件即可。
ACG1000-ME-G、ACG1000-AE-G款型,请务必使用SecPathACG1000-IMW110-R6616P02-ARM_FT.BIN版本。
其他款型设备,请使用SecPathACG1000-IMW110-R6616P02.BIN版本。
2、内存1G设备不支持升级到R6611及以后版本。
R6614版本可用于2G内存及以上设备升级,不能用于升级1G内存设备。可以登录设备命令行,执行display hardware info命令查看设备内存大小。
3、跨版本升级后访问设备web页面前清除浏览器缓存,避免浏览器缓存导致登录异常及登录后页面显示异常。
4、R6609P06及以前版本若直接升至F6613及之后版本,请通过通过命令行进行升级,具体方法请参见附录B.4.1。
5、设备从R6611及后续版本升级到R6616版本及之后版本,版本升级配置兼容性说明:
1)版本及配置支持向上兼容,不支持向下兼容,为避免反复升降级版本或切换版本后出现配置丢失显示异常等问题,务必在低版本升级之前先将配置文件导出备份,后续版本进行降级时直接导入备份的配置文件即可确保配置恢复和显示正常
2)端口扫描立即条目只做一次配置恢复,不支持降级,降级后再次升级需要重新配置条目
3)弱密码扫描.立即扫描条目(弱密码扫描模块的立即扫描条目配置完成后立即开始扫描,扫描完成后,该条目变成历史记录,等于条目已经失效,不会写配置文件。升级后弱密码立即扫描条目不做恢复,重新配置即可。)
4)设备从R6616之前版本升级到R6616及之后版本时,本地创建的用户配置“初次认证修改密码”的,版本升级之后由于用户架构修改,不管之前是否修改过密码,版本升级之后初次认证仍需要修改密码,后续再升级R6616及之后版本已修改密码的不需要在修改密码。如果升级R6616及之后版本后不想修改密码,可以在本地用户配置中取消勾选“初次认证修改密码”项。
6、数据库升级兼容性注意事项:
设备从R6611及后续版本升级R6616版本之后,数据库只支持升级一次,若数据库升级后,回退到R6611及后续版本,再升级到R6616及之后版本,不再做日志升级兼容操作。
l 以下几个模块的数据不做恢复:
1)弱密码扫描.立即扫描条目和结果(弱密码扫描模块的立即扫描条目配置完成后立即开始扫描,扫描完成后,该条目变成历史记录,等于条目已经失效,不会写配置文件。升级后弱密码立即扫描条目不做恢复,重新配置即可。)
2)端口扫描立即条目只做一次配置恢复,不支持降级,降级后再次升级需要重新配置条目
3)端口扫描结果
4)用户信息中心模块历史的数据
5)终端发现日志,移动终端管理模块的移动终端管理数据和终端发现趋势的历史数据
这几类数据从R6611及后续版本升级到R6616版本之后数据不会恢复也不能从CLI通过命令下载。
数据库特性变化参考特性变更说明。
7、设备在三权模式下,从R6612系列及之前版本升级到R6614及之后版本,三权account、authority,audit和admin账户均被初始化,同时通过admin账户登录设备web页面,无法显示主页信息,需要重新配置admin权限
8、R6611P21及之前版本配置DHCP服务器个数规格没有限制,R6612及之后版本限制此规格为256个,升级后超过规格配置的DHCP服务无法配置启用。
9、ACG1030、ACG1040、ACG1050、ACG1000-S、ACG1000-AK140等停产款型不支持升级R6612及之后版本。
其他升级事项请参考章节6 版本使用限制及注意事项。
无
有关本版本及历史版本的软件特性及命令行的变更信息说明,请参见随版本发布的文档《H3C SecPathACG1000-IMW110-R6616P02版本说明书(软件特性变更说明书)》。
无
无
在更新软件版本之前,强烈建议您通过《H3C SecPathACG1000-IMW110-R6616P02版本说明书(软件特性变更说明书)》了解版本间的软件特性变更情况,评估变更可能对业务造成的影响,同时请查阅相关的配套资料。
· 版本升级后,日志恢复的形式如下:
1) “系统日志,操作日志,安全日志,告警日志, 资产日志“可以恢复,即UI界面上可以看到升级之前的日志。这5种日志,每种日志最大恢复50W条。
2) 除以上5种日志以外,“数据中心>日志中心”的其它所有日志升级之后,UI界面上看不到,用户想看升级之前的日志,需要通过FTP导出成CSV文件来查看。单次最大导出50W条
3) 除上述两类以外,其它存储在数据库里面的数据不做日志兼容性处理,即升级到R6616版本后,数据不提供日志恢复和导出。
4) 数据库升级日志兼容性列表:
升级后旧数据 | 日志类别 | 数据表名称 | |
处理方式 | |||
支持日志恢复 | 系统日志 | t_log_event |
|
操作日志 | t_log_operate |
| |
安全日志 | t_log_ips | 入侵防御 | |
log_ips_high_alarm | ips高阶告警-告警规则 | ||
t_log_av | 病毒防护 | ||
t_log_waf_ruledefend | WEB防护》规则防护 | ||
t_log_waf_advdefend | WEB防护》高级防护 | ||
t_log_attack | 安全防护 | ||
t_log_behavior_model | 行为模型 | ||
t_log_bfd | 防爆力破解 | ||
t_log_wpd | 弱密码防护 | ||
t_log_servconn | 非法外联防护 | ||
告警日志 | t_log_alarm | 系统管理》系统告警 | |
t_log_alarm | 系统管理》告警日志 | ||
资产日志 | log_assets_mgt | 策略配置》对象管理 | |
log_assets_serv | 策略配置》资产管理 | ||
支持日志导出(导入操作参考特性变更说明书) | 控制日志 | t_log_app_filter | 应用控制 |
t_log_malware_app | 恶意URL | ||
审计日志 | t_log_webaccess | 访问网站 | |
t_log_im | IM聊天软件 | ||
t_log_bbs | 社区日志 | ||
t_log_search_engine | 搜索引擎 | ||
t_log_mail | 邮件 | ||
t_log_file_transfer | 文件传输 | ||
t_log_relax_stock | 娱乐/股票 | ||
t_log_proto_audit | 协议审计 | ||
t_log_other | 其它应用 | ||
终端日志 | t_log_ushare | 共享接入 | |
t_log_login_logout | 用户上下线 | ||
t_log_term_mgt | 移动终端 | ||
t_log_quota | 流量限额 | ||
t_log_ddi_user_online_offline | DDI终端用户 | ||
t_log_user_reg | 用户自注册》用户注册申请 | ||
t_log_user_approval | 用户自注册》用户注册审批 | ||
终端审计日志 | t_log_inode_cdburn | 光驱刻录日志 | |
t_log_inode_print | 打印审计日志 | ||
t_log_inode_usb | USB设备识别日志 | ||
t_log_inode_btfile | 蓝牙文件审计日志 | ||
t_log_inode_btchg | 蓝牙配对改变日志 | ||
t_log_inode_web | 网页浏览记录日志 | ||
t_log_inode_forum | 论坛发帖记录日志 | ||
t_log_inode_mail | 邮件记录日志 | ||
t_log_inode_chat | 聊天记录日志 | ||
t_log_inode_app | 应用程序使用日志 | ||
客户端日志 | t_log_xdr_im | 聊天 | |
(ui别名: terminalim) | |||
t_log_xdr_browser | 浏览器日志 | ||
(ui别名: browser) | |||
t_log_xdr_mail | 邮件日志 | ||
(ui别名:terminalmail) | |||
t_log_xdr_usb | USB事件日志 | ||
(ui别名: usb) | |||
t_log_xdr_process | 进程列表日志 | ||
(ui别名: progress) |
1、 设备从R6611及后续版本升级R6616及之后版本之后,数据库只支持升级一次,若数据库升级后,回退到R6611及后续版本,再升级到R6616版本,不再做日志升级兼容操作。
2、 以下几个模块的数据不做恢复:
1) 弱密码扫描.立即扫描条目和结果(弱密码扫描模块的立即扫描条目配置完成后立即开始扫描,扫描完成后,该条目变成历史记录,等于条目已经失效,不会写配置文件。升级后弱密码立即扫描条目不做恢复,重新配置即可。)
2) 端口扫描立即条目只做一次配置恢复,不支持降级,降级后再次升级需要重新配置条目
3) 端口扫描结果
4) 用户信息中心模块历史的数据
5) 终端发现日志移动终端管理模块的移动终端管理数据和终端发现趋势的历史数据
这几类数据从R6611及后续版本升级到R6616版本之后数据不会恢复也不能从CLI通过命令导出。
· 日志每天记录上限说明;
1) 对于无硬盘设备,所有支持的日志的规格都是50万条。即:单日日志记录不能超过50万,累积日志记录也不能超过50万条
2) 对于有硬盘设备,系统日志和操作日志的规格是150万条。单日日志记录不能超过150万,累积日志记录也不能超过150万条
对于有硬盘设备,除系统日志和操作日志外,没有规格限制。单日日记纪录条数无限制,累积日志记录也无限制,但是会受制于磁盘容量限制
· 日志导出上限说明;
1) 不查询直接导出:导出的是所有日志。最多支持导出100万条数据(即如果日志量超过100万条,则导出最近的100万条日志),最多导出180天的数据(即如果日志量跨度超过180天,则导出最近的180天的日志)。
2) 查询后导出:导出的是经过查询后的日志。最多支持导出100万条最新的数据。
· 修改时间,日志保存删除说明:
预设条件:系统时间为2023-06-30,日志保存期限为90天。(为了便于说明问题每个月按30天计算)
· 日志保存期限的检测:
1) 若修改的系统时间变小(值为2023-05-29),则日志最大保存期限为[2023-02-30 至 2023-05-30]。
检测过程简述:
日志保存期限的检测任务,会在后台周期轮询; 检测日志文件最后修改的时间是否在[ 至 2023-02-30 至 2023-05-30]之内,若不在此范围则删除此日志文件。
说明:
日志检测的颗粒度是按照文件进行的(每个文件可以存储5万条日志),即根据文件最后的修改时间进行判断日志文件是否在保存期限范围[2023-02-30 至 2023-05-30]内;而不是对文件内的具体日志内容进行检测的,因此系统时间突然 变小会存在多删除日志的情况。
例如:
系统时间修改前2023-06-30 00:00:00,存在一个日志文件 /t_log_event/20230601-144600.log,
文件大小为5万条,最后一条日志的时间2023-06-01 14:46:00 ,第一条日志的时间是2023-05-01 14:46:00
系统时间修改成2023-05-29 00:00:00,则日志最大保存期限为[2023-02-30 至 2023-05-30],
需要删除 /t_log_event/20230601-144600.log 这个文件,则 [2023-05-01 至 2023-05-30 14:46:00]内的日志也被删除
2) 若修改的系统时间变大(值为2023-07-30),则日志最大保存期限为[ 2023-04-30 至 2023-07-30 ]。
检测过程简述:
日志保存期限的检测任务,会在后台周期轮询; 检测日志文件最后修改的时间是否在[ 2023-04-30 至 2023-07-30 ]之内,若不在此范围则删除此日志文件。
说明:
日志检测的颗粒度是按照文件进行的(每个文件可以存储5万条日志),即根据文件最后的修改时间进行判断日志文件是否在保存期限范围[2023-04-30 至 2023-07-30]内;而不是对文件内的具体日志内容进行检测的,因此系统时间突然 变大会存在少删除日志的情况。
例如:
系统时间修改前2023-06-30 00:00:00,存在一个日志文件 /t_log_event/20230430-144600.log,
文件大小为5万条,最后一条日志的时间2023-04-30 14:46:00 ,第一条日志的时间是2023-03-01 14:46:00
系统时间修改成2023-07-30 00:00:00,则日志最大保存期限为[2023-04-30 至 2023-07-30],
不需要删除 /t_log_event/20230430-144600.log 这个文件,则 [2023-03-01 14:46:00 至 2023-04-30 14:46:00]内的日志不会被删除
特例:
若系统时间修改的范围大于10天,则立即对系统和操作日志进行是否超出日志最大保存期限的检测,其他日志在凌晨4点进行日志最大保存期限的检测。系统和操作日志进行是否超出日志最大保存期限检测时,会保留cur.csv文件不被删除。
· 页面所有日志最大只展示最新的10000:
说明:
1) 若日志数目少于1万条,页面可以显示所有日志[通过翻页查看]
2) 若日志数目大于等于1万条,页面可以显示最新的1万条日志[通过翻页查看]
· 磁盘使用率很高,从R6616之前的版本升级到R6616版本时候, 旧的PG数据库日志删除机制:
说明:
根据R6616之前的版本中pg库日志原来的删除机制,R6616删除pg的逻辑设计如下:
硬盘使用率 >= 90%
- 获取pg库中,最老日志的日期(min_date)
- 删除/disk/mail/目录下小于min_date的文件
- 删除/disk/inode_file/log/目录下小于min_date的文件
硬盘使用率 >= 80%
1. 获取最老日志的日期(min_date)
2. 删除pg库中min_date日期的日志天表
3. 删除/disk/mail/目录下, min_date日期的文件
4. 删除/disk/inode_file/log/目录下, min_date日期的文件
5. 若此时硬盘使用率 >= 80%,且本轮删除老日志的循环次数小于20次,则重复(1-5)的步骤; 否则结束本轮老日志的删除。
说明:
1. logdb原来的删除机制不变,只对pg库的删除做了变更
2. pg库完全删除前,不删除新产生的日志
· R6611P03以前版本为:当磁盘使用率超过95%时开始进行删除,到85%时停止删除,随着磁盘容量越来越大,支持审计记录日志的越来越多,如果集中删除的同时又在写入大量新日志,可能会造成磁盘繁忙,存在风险。
· R6611P03及以后版本为:当磁盘使用率超过90%时就会删除日志,每半小时检查一次磁盘利用率,每次删除最老1天的日志,同时对于邮件、邮件附件、网盘文件这种留存的原始文件进行文件个数限制,每天最多10万个(邮件、邮件附件、网盘存储的文件个数共用同一个10万的规格),对于日志没有条数限制,即当此类日志超过10万时还会记录相关日志信息,但是无法下载原始文件。
默认情况下,设备对每秒产生的IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、命令日志和其他应用日志存在如下的阈值限制:
· ACG1000-SE-PWR ACG1000-ME/ACG1000-TE/ACG1060-X1/ ACG1000-C9130/ ACG1000-C9150/ ACG1000-C9160每秒25条。
· ACG1000-AK230/ ACG1000-AK240/ ACG1000-AK250/ ACG1000-AK260/ ACG1000-AK270/ ACG1000-AE/ACG1070-X1/ ACG1000-C9170/ ACG1000-AK215/ ACG1000-AK225/ ACG1000-AK255/ ACG1000-AK265/ ACG1000-AK275/ ACG1000-AK285/每秒50条。
· ACG1000-AK280/ ACG1000-AK285/ACG1000-EE/ACG1000-PE/ACG1000-XE1每秒100条。
对于基于MAC的转发策略,只支持PC与设备直连的组网(其中可以有二层交换机)。
大批量用户导入时,导入操作会消耗大量的CPU资源,CPU资源无法满足时会导致其他进程无法响应现象。
由于PHP性能导致RADIUS和LDAP第三方认证每秒超过20个用户同时登录认证时延约为5秒。当有大量用户上线场景时建议选用iMC或本地认证方式。
在大流量系统负荷满的情况下,详细应用流量统计中,有些应用统计会出现统计为空的情况,影响查看应用流量统计中的应用及对应的用户信息。
· 新设备不建议开启实时保存,由于开启后频繁快速操作或者配合HA使用时对设备资源消耗过大,可能存在以下现象:
¡ SNMP用户同步过程中,连续生成2次录入用户任务,第一次的用户录入大概率无法同步到备设备;
¡ IPv4控制策略引用一条空的url对象,然后在url对象页面添加内容,概率出现引用关系消失;
¡ 在自动保存配置的过程中,同时删除多个用户,提示信息有误等问题。
· 如果开启了实时保存,需要在每次执行完配置后等待1-2分钟,设备完全保存好配置后再进行相关的操作。
· 审计策略:R6614版本审计策略>高级配置,多了终端型号参数、vlan、DSCP参数,manager上无这些参数。当前下发后,终端型号为any,vlan为any,DSCP为any。不影响下发。
· 控制策略:
· R6614版本控制策略描述下面有个“日志”选项,manager没此参数。当前下发后不勾选此选项,不影响配置下发。
· R6614控制策略>入侵防御配置,默认的规则模板有变,导致Manager这边无论配置的事件集是什么,下发到R6614 ACG规则模板都是ALL。另外R6614 ACG的入侵防御配置界面也有变化,R6614裁剪掉了一些功能。
· 控制策略>URL过滤>URL控制,R6614版本多了一个DNS过滤,而manager没此参数。当前下发后不勾选此选项,不影响配置下发。
· 控制策略>应用过滤>邮件控制,R6614版本多了接收邮件参数和附件名关键字参数,而manager没此参数,默认下发不勾选,不影响配置下发。
· 控制策略>应用过滤>web关键字>搜索引擎/http上传/网页内容,处理动作和ACG R6614版本有变化,R6614版本为放行、阻断;但manager是告警、拒绝。导致manager模板上配置的是告警,实际下发到R6614 ACG上对应为放行,拒绝对应阻断。不影响策略下发。
· ACG R6614版本上新增了控制策略>应用过滤>文件类型过滤和协议过滤功能,但Manager上无此参数配置。当前不影响下发。
· R6614版本控制策略>高级配置,多了终端型号、vlan、DSCP参数,manager上无此参数。当前下发后,终端型号为any,vlan为any,DSCP为any,不影响下发。
· 流量控制策略:流量控制策略>新建通道多了终端型号参数、vlan和DSCP参数,限制通道多了vlan和DSCP参数,manager上无此参数。当前下发后,终端类型为any,vlan为any,DSCP为any,不影响下发。
· 对象:应用对象,R6614版本和Manager的自定义应用配置界面发生变化。当前不影响下发。
· Manager配置模板中对特殊字符处理同R6611系列版本,R6614系列和R6611系列部分输出框对特殊字符的限制如果出现变化,会导致Manager端可以成功保存配置模板但是下发到ACG失败。
· IPV6:ACG R6614多处支持IPV6,但是Manager不支持。如:地址对象、审计策略、控制策略。
· 从ACG侧同步到BA的用户无法删除。可以根据ACG同步到BA的用户组进行选择分析或不分析,分析即占用授权,不分析不占用授权。
· 行为感知分析平台(BA)操作系统时区时间、ACG设备时间、浏览器时间要保持一致
· 请勿将R6614基线或F6613基线或6612基线版本对接BA后,再回退到到R6611基线版本对接BA使用。
1、EBM客户端修改IP地址后,在线终端的IP显示的还是修改之前的IP。
2、HA 主备环境中,备机可以修改插件模板, 防火墙的认证模板设置也是都可以配置的。
3、授权管理,在线终端 不支持HA主备环境。备机授权得重新导入,在线终端,流量同步过来会自动识别。
4、终端插件安装后需要重启才会生效。
5、聊天记录日志, 发送图片或者文件的时候,文件上传不是实时的 终端插件可能有延迟, 可能日志产生了,但是文件还没传完,一开始点击下载,可能存在 文件不存在的情况
6、论坛聊天记录,未实现
7、光驱刻录审计,必须指定特定的软件:C:\iNode DAMAgent\components\LdCdBurn.exe
8、光驱刻录日志,刻录文件大小 是指的总的文件夹的大小,详情里面会有文件夹里面每个文件的大小,不会每一条显示的某一个文件的大小。设计如此。
9、授权管理,在线终端 不支持HA主备环境。备机授权得重新导入,在线终端,流量同步过来会自动识。
10、蓝牙传输审计,只审计PC 发送的,不审计接收的。
11、终端插件客户端一旦安装了,授权使用数会加一,如果客户端卸载了不会立即减一,按照注册数判断,一个月自动清理一次。
12、移动终端不支持插件安装
13、邮件审计不支持 webMail 邮件审计目前未实现。
14、ACG上的EBM Server服务出现挂掉了,可能是下载hostid导致的。
15、当前设计EBM审计的图片名称会被改为其他字符串。
16、开启聊天图片监控,微信未审计到图片日志。
17、插件的安装以及每次重启inode会受到360杀毒软件的拦截。
18、EBM连续发多条聊天记录,存在漏审的现象。
19、EBM日志上传间隔和每次上报最大条数不准确。
20、微信版本仅支持3.4及之前版本审计
浏览器审计、控制支持的浏览器及推荐版本如下表。
浏览器 | 推荐版本 |
谷歌 64位 | 104.0.5112.81 |
火狐 64位 | 106.0.2 |
Microsoft Edge 64位 | 106.0.1370.52 |
IE11 64位 | 9.11.19041.0 |
360安全 64位 | 13.1.6230.0 |
360极速浏览器 32位 | 13.5.2036.0 |
搜狗浏览器 64位 | 11.0.1.34700 |
· 跨版本升级后访问设备web页面前清除浏览器缓存,避免浏览器缓存导致登录异常及登录后页面显示异常。
· 设备在三权模式下,从R6612系列及之前版本升级到R6614及之后版本,三权account、authority,audit和admin账户均被初始化,同时通过admin账户登录设备web页面,无法显示主页信息,需要重新配置admin权限
· R6611P21及之前版本配置DHCP服务器个数规格没有限制,R6612及之后版本限制此规格为256个,升级后超过规格配置的DHCP服务无法配置启用。
· ACG1030、ACG1040、ACG1050、ACG1000-S、ACG1000-AK140等停产款型不支持升级R6612及之后版本。
· 内存1G设备不支持升级到R6611及以后版本,仅支持2G及以上内存设备升级到R6611及以后的版本
· R6609P06及以前版本通过web管理页面升级版本时有150M大小的限制,而R6611P01版本超过了此大小,因此需要通过命令行进行升级。
· R6609P06及以前版本升级到F6610及之后版本,其中IPv4策略模块配置为审计时,子策略中应用审计、url审计,恶意站点兼容为IPv4控制策略和IPv4审计策略,其中关键字支持配置所有应用且为阻断的兼容,其余应用审计的关键字配置会丢失,需重新配置,升级后审计对象兼容为全部。
· R6609P06及以前版本升级到F6610及之后版本,由于数据库表重新创建会丢失当天的审计日志、无线非经日志,升级版本之后新产生日志正常,因此为减少影响建议版本凌晨升级。
· 首次由R6609系列版本升级至F6610及之后版本时,为保证兼容性,特征库自动升级;后续继续升级F6610系列版本,则不会更新原有版本特征库,需要手动升级或开启特征库自动升级。
· R6609P06及以前版本升级到F6610及之后版本特征库会变为F6610及之后版本带的特征库,F6610及之后回退R6609P06及以前版本的时候,特征库会变为R6609P06版本及以前版本的特征库,但特征库版本号仍显示为F6610及之后的版本号。
· R6611P06及以前版本升级到F6612P01及以后的版本,控制日志、审计日志丢升级当天的日志,之前的日志存在,升级后能正常记录日志,为防止当天日志丢失建议在凌晨进行版本升级。
· R6611P06及以前版本升级到F6612P01及之后版本,IPv4地址对象和IPv6地址对象合并为地址对象,IPv4审计策略更名为审计策略,IPv4控制策略和IPv6控制策略合并为控制策略,合并后IPv4策略在前面,IPv6策略在后面,如果超过控制策略规格,会丢失部分控制策略配置。
· R6611P06及以前的版本升级到R6614黑名单历史记录页面去掉,黑名单页面变更为黑名单记录,只有永久黑名单才支持配置恢复
· R6611P06及以前的版本升级到R6614 版本IPS复制的模板丢失,除了自定义规则,其它所有配置不进行恢复,如果原来控制策略中配置了IPS策略,则默认恢复为引用All模板的IPS策略
· R6611P03以前版本为:当磁盘使用率超过95%时开始进行删除,到85%时停止删除,随着磁盘容量越来越大,支持审计记录日志的越来越多,如果集中删除的同时又在写入大量新日志,可能会造成磁盘繁忙,存在风险。
· R6611P03及以后版本磁盘使用率超高时删除方式变更,R6611P03及以后版本为:当磁盘使用率超过90%时就会删除日志,每半小时检查一次磁盘利用率,每次删除最老1天的日志,同时对于邮件、邮件附件、网盘文件这种留存的原始文件进行文件个数限制,每天最多10万个(邮件、邮件附件、网盘存储的文件个数共用同一个10万的规格),对于日志没有条数限制,即当此类日志超过10万时还会记录相关日志信息,但是无法下载原始文件。
· 不适配Manager R0304及之前版本。
ACG1000-AK280在E6401P01及之前版本中万兆口ID为XGE0/XGE1,为与设备外观丝印保持一致,F6608及以上版本中万兆口ID由XGE0/XGE1改为XGE24/XGE25,新版本升级时会造成万兆口配置无法同步。可通过两种方式处理:
a. 在升级前,将配置文件导出,将XGE0关键字替换为XGE24,将XGE1关键字替换为XGE25,之后保存配置,当设备升级后重新导入配置文件即可。
b. 若未能及时保存配置文件,升级新版本后,可将万兆口相关配置重新配置。
· 由于F6607与F6608及以上版本非经日志字段有较大差别,升级后会重新生成新表,丢失当天的表,这样就会导致当天的审计日志丢失,但不会影响之前的老数据,所以升级时建议在凌晨12点后进行,将影响降到最低。
· 不带非经功能的版本可直接升级到F6608及以上版本,不需要清库,但建议在凌晨12点后进行,因为当天的表会重建,导致丢失当天的审计日志。
出接口MTU为1500时,报文不需要分片,可以达到最大限制带宽;若自定义MTU小于1500,则由于分片导致QoS限制可能会出现未达到最大限制带宽。尽量避免报文分片场景。
· HA环境下,不支持同步应用/用户流量统计,当HA设备切换后,不能看到原有的应用/用户流量统计数据。
· HA主备同步时无法同步Web Portal自定义配置。
· HA主主模式,同时配置监控地址同步和地址探测,接口down掉恢复正常后,主主状态不能恢复到正常状态,建议在HA主主模式避免配置地址探测,不影响业务使用。
· 微信认证一台设备下只支持一个SSID,暂不支持多个SSID。
· 微信公众号包含服务号、订阅号、企业号,微信连wifi功能支持订阅号和服务号,目前企业号本身没有微信连wifi功能。
· 若使用订阅号进行微信认证,PC在进行微信认证的时候,由于订阅号限制,手机微信扫描PC Portal页面上的二维码会提示未注册的情况,此情况跟微信更新有关,有时候不存在此限制。
· 微信认证用户IP必须在用户识别范围中,否则无法唤醒微信;因为在微信认证用户上线之前,终端会发送一个放通流量的报文给设备,设备根据此报文的五元组来确定用户IP,若用户IP不在识别范围内,设备IP在识别范围内则会导致设备的IP被识别成用户IP,终端流量不能放通,则无法唤起微信。
· 设备上的SSID是可选配置,可以为空,如果要设置,就一定要跟微信公众上号设置的SSID保持一致,否则可能导致微信公众号提示未注册的情况。
· ACG下联设备为二层设备时,认证用户的网关不能是二层设备上的VLAN接口的IP地址,否则在ACG会出现用户MAC来回切换,一会是二层设备VLAN接口的MAC,一会是用户的真实MAC,导致不能唤起微信或认证成功后很快被踢下线。
· 微信认证支持手机扫描商户二维码自动连接SSID,有些IOS扫码后可直接根据页面提示跳转到设置里,有些IOS则需要手动进到设置中配置,此为IOS限制,一般安卓手机无此限制。
· 部分安卓手机弹出Portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,此时请更换浏览器尝试,如果能自动跳转,则忽略提示信息。
· 不支持HTTPS。
· 自定义广告定义暂不支持ha同步,如HA切换后需要重新配置流量劫持。
· 自定义广告配置仅可由WEB界面来配置。
· 广告推送域名白名单仅支持命令行配置。
· 流量劫持广告弹出与出口网速带宽、广告过滤软件等都关,网速慢的情况下图片加载慢。
· 一个网页多个跳转后广告无法弹出原因是同一条连接发起了多个get请求只对第一个get请求作插入;302跳转的情况可以处理。
· 网站弹出广告页面显示不完全受网速等条件限制,如广告弹出较慢刷新页面或者等待页面加载完全后,广告可以显示。
· 个别网站在开启流量劫持的情况下,网页停留一段时间后,提示网页已重置(网页邮箱);这类网站会定期向服务器端发送请求报文,与流量劫持插入代码冲突,导致网页显示重置。建议,在域名白名单排除掉该网站。
· 广告Server IP务必保证全网用户可达,否则无法进行广告推送。
· 一些网站结构为frameset框架布局,主界面里包含多个其它请求,广告图片会显示多个。建议:此类网站加入域名白名单排除掉该网站。
· 广告不弹出的情况下开启debug http hijack查看HTTP请求是否匹配到流量劫持。
· 问题原因:
HA配置导入同步流程,在主墙导入配置后,配置是按照条目批量写入设备,有个时间差,此时立即删除配置,再次导入,容易造成配置不一致
· 规避方案:
1、配置不一致后,手动点击ha同步,配置发送给ha备机,备机重启后,ha状态一致(重启过程中不要操作主机)
2、导入过程中,不要立即删除配置,等导入配置并同步备机完成后,在进行操作
现象1:页面新建后页面未加载前,频繁点击新建,一段时间后页面”连接已重置“
现象2:分析类模块,页面需要请求大量数据,频繁切换,页面显示空白等待不响应
现象3:页面提示”服务器响应出错“
现象4:刷新页面后提示”无法访问网站“
问题原因:
(1)、浏览器每次进入页面,会开启一根请求进程
(2)、数据采用递归方式发起请求,直到数据获取成功后才会停止请求,在此过程中会发起很多次请求
(3)、每个请求处理完成后才会处理下一个请求
(4)、页面没响应完前,频繁操作,导致页面显示异常(浏览器的机制)
(5)、为了防止此类异常操作导致设备挂死影响正常转发业务,对web进程做了保护,此时会进行重启web进程后让页面恢复正常
综上,会出现服务器处理繁忙,部分请求响应失败,浏览器提示“服务器响应出错”的现象。
规避措施如下:访问设备页面数据加载完前不要频繁切换页面,等服务器响应完成后可以正常回显。
License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。
产品需要通过License授权的软件功能以及License授权的相关属性,请参见产品配套的
《H3C SecPath ACG1000系列应用控制网关License使用指南》。
H3C网站提供License的激活申请、设备授权迁移申请等功能:
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C SecPath ACG1000系列应用控制网关License使用指南》。
· 问题现象:策略配置-URL对象-自定义URL对象,对已有自定义URL对象进行编辑时,在关联URL中加入.加空格可以提交成功,保存再次进入编辑页面,空格消失,再次提交报错,新建自定义URL对象时也会报错
· 问题产生条件:配置自定义URL对象
· 规避措施:避免使用.空格。
· 问题现象:设备存在大量数据表的情况下,导出数据统计,一直提示正在生成文件,等了很久也没完成,刷新之后也没有可以导出的文件。研发确认是数据库里数据表太多,在生成过程中已经出错停止了,页面显示正在生成,需要和日志保存期限做关联!
· 问题产生条件:设备存在大量数据表的情况下,导出数据统计
· 规避措施:无,设备长时间运行存在大量数据表的情况下才可能出现。
· 问题现象:自定义URL内容提示信息支持句号,实际配置的时候不支持此字符。
· 问题产生条件:自定义URL内容配置带“。”
· 规避措施:避免自定义URL内容配置带句号。
· 问题现象:邮件日志点击详情,无法查看附件名。
· 问题产生条件:查看邮件日志详情
· 规避措施:无;仅显示问题,影响范围较小。
· 问题现象:微信认证使用小程序认证方式,部分手机型号通过浏览器进行认证偶发性出现小程序跳转不过去。
· 问题产生条件:微信认证使用小程序认证方式
· 规避措施:通过打开无线网认证界面进行认证。
· 问题现象:终端行为管理>业务插件>在线终端,统计计数比实际的记录多1条,记录不准确。
· 问题产生条件:使用EBM终端上线。
· 规避措施:无;仅显示问题,影响范围较小。
· 问题现象:微信认证,认证方式选择小程序时,还会对认证URL认证方式下的认证步骤说明进行校验。
· 问题产生条件:认证步骤说明配置不支持字符,微信认证选择小程序。
· 规避措施:认证步骤说明配置支持的字符。
· 问题现象:软件层面版本升级时未校验硬件平台。
· 问题产生条件:升级版本
· 规避措施:请web界面升级正确的版本,若升级错误可在menboot下重新升级正确的版本。
无
· 问题现象:无线非经》厂商配置》应用关系对照表,在已存在应用关系对应配置情况下重复创建,可以直接提交,缺少判断,只能查询到默认配置的应用关系对应情况,删除时需要删除两次才能把默认的应用关系对应配置删除。
· 问题产生条件:在已存在应用关系对应配置情况下重复创建,提交后查询的还是系统默认的配置,需要删除两次才能删除系统默认配置。
· 问题现象:在线用户有0.0.0.0的在线用户展示和统计,应该过滤,不展示也不显示。
· 问题产生条件:网络中存在0.0.0.0地址的用户。
· 问题现象:钉钉认证,部分手机钉钉认证过程中,通过触发的portal 跳转钉钉页面失败,概率出现无法跳转的现象。
· 问题产生条件:手机进行钉钉认证。
· 问题现象:无硬盘设备页面修改日志保存期限提交失败。
· 问题产生条件:无硬盘设备页面修改日志保存期限。
· 问题现象:设备出现断网。
· 问题产生条件:设备配置EBM功能并长时间运行。
· 问题现象:web页面登录时,输入用户名密码验证码后双击回车键登录主页卡死。
· 问题产生条件:登录时双击回车键。
· 问题现象:配置URL阻断,使用浏览器访问阻断的URL可以访问成功。
· 问题产生条件:使用谷歌浏览器访问阻断的URL。
无
无
· 问题现象:内网资产管理由于安全加固修改,导致无硬盘设备发现资产无法入库,无资产数据。
· 问题产生条件:使用无硬盘的设备升级至R6614P04。
· 问题现象:进入到服务器管理》短信服务配置有些配置下发提交无反应,既不提示成功,也不提示失败。
· 问题产生条件:开启WAF防护,配置短信服务器。
· 问题现象:ARP/ND攻击防护中,ARP表项展示,对于mac全0的有统计,但是web页面不显示。
· 问题产生条件:构造mac全0的进行ARP攻击。
· 问题现象:数据库用户同步,配置sql查询语句为selct!@~%&^%$#@!*()_+[];'./{}:后,点击提交没反应,数据库服务器列表也显示不出来。
· 问题产生条件:数据库用户同步sql语句配置为异常字符。
· 问题现象:1、服务器管理-短信服务,网关地址,提示字符1-1024,但是实际输入1024个字符提示,输入的内容长度超过最长限制。2、服务器管理-短信服务-贝壳找房,短信内容前缀,提示输入1-31字符,实际输入32字符也可以成功保存3、服务器管理-短息服务-http协议-报文主体,参数值没有提示支持的长度,响应成功标记缺少长度以及字符校验。
· 问题产生条件:1、配置1024个字符。2、短信服务器短信内容前缀配置为32个字符。3、服务器管理http协议报文主体配置不在支持范围的长度。
· 问题现象:1、 终端自注册,注册信息提交后提示“注册信息提交成功,即可上网”,实际如果选择的是审批,需要审批后才能上网。提示不合理。2、 审批列表如果查询的用户名较长,会导致web界面排版显示异常。
· 问题产生条件:1、终端自注册配置为审批。2、审批列表查询用户名输入超过支持的字符长度的内容。
· 问题现象:1、二维码认证,访客填写用户信息较长会导致二维码展示不出来2、访客填写的用户信息为 异常字符,会导致展示出来的二维码扫描不出来。
· 问题产生条件:1、二维码认证输入的访客信息信息超出实际支持的字符。2、二维码认证访客填写的字符包含异常字符。
· 问题现象:ACG联动IMC进行portal server 进行无感知认证,在IMC侧强制下线用户,ACG 侧用户下线失败。
· 问题产生条件:ACG联动IMC进行portal server进行无感知认证,并在IMC侧强制用户下线。
无
· 问题现象:版本由于snmp存在内存泄漏,导致设备异常重启。
· 问题产生条件:网络中有snmp攻击,攻击者使用带有错误的snmp团体报文连接设备,触发设备发送大量 snmp inform(trap)报文,inform报文需要等待服务器响应,acg等待处理响应的过程不会释放内存,导致短时间大量攻击时内存存在被耗尽的情况。
· 问题现象:流量下多次点击导出用户邮件审计报表,用户上网行为次数统计报表后页面无响应,report进程异常,与xml vtysh交互无响应,同时配置丢失,只能重启恢复。
· 问题产生条件:流量下多次点击导出报表。
· 问题现象:SNMP配置中的TRAP地址检验不准确,导致输入0时,提交成功后,此处的字段不生效,且一些非法地址可以输入并配置成功。
· 问题产生条件:TRAP地址输入框检验不准确,非法输入配置成功。
· 问题现象:自定义监测地址处输入html实体字符后被反转义导致输入和显示不一致。
· 问题产生条件:自定义监测地址处输入html实体字符后被反转义。
· 问题现象:认证策略,下载的模板里面,action里的认证方式与数字序号匹配不一致。
· 问题产生条件:认证策略下载模板或导入认证策略。
· 问题现象:修改插件推送模板,系统日志记录内容有误。
· 问题产生条件:修改插件推送模板,系统日志记录内容有误。
· 问题现象:网管页面,认证配置设备注册名称长度范围和注册密码长度范围与manager上名称和密码长度范围不一致,会影响manager和设备侧对接,请统一。
· 问题产生条件:manager纳管ACG。
· 问题现象:资产识别设定页面,排除地址间用;分隔时报ipv6子网掩码范围不对,提示错误。
· 问题产生条件:资产识别设定页面,配置排除地址。
· 问题现象:黑名单页面导入较长文件名时提示不明确。
· 问题产生条件:黑名单页面导入较长文件名。
· 问题现象:经过NAT64转换的用户流量,用户实时流速挂在了目的V6地址和转换后的源V4,上下行均有统计;而用户流量统计在这两个地址上分别只了下行和上行有值,统计逻辑混乱需整改。
· 问题产生条件:用户均没有挂在原始的会话源IP上;实时统计和流量汇总统计上/下行矛盾。
· 问题现象:manager上控制日志文件控制类型日志的源端口和目的端口与设备上反了,应以设备为准。
· 问题产生条件:设备发送日志到manager。
· 问题现象:流量穿过设备且无任何NAT,微信收消息的审计日志,在manager上呈现的日志,源/目的端口和设备反了,设备端的问题。
· 问题产生条件:设备发送日志到manager。
· 问题现象:在用户自注册对象中,用户自选所属组的用户组移动后,用户组的路径未更新。
· 问题产生条件:用户组路径信息没有随用户组的变化而更新,获取的还是以前的信息。
· 问题现象:配置源NAT,控制策略,审计策略等配置,流量下反复增删源NAT,一段时间后设备重启。
· 问题产生条件:配置源NAT,控制策略,审计策略等配置,流量下反复增删源NAT。
· 问题现象:新建应用缓存,不勾选模糊匹配的情况下,对URL输入的校验存在问题导致无法下发URL配置。
· 问题产生条件:配置应用缓存。
· 问题现象:编辑包含1w条内容的URL分类“-1”,内容新增失败,新建其它URL分类也无法添加类似内容,均提示配置已存在于分类-1,实际配置并不存在;配置URL内容时设备会对部分字符做转义,导致下发内容与实际配置不符。
· 问题产生条件:编辑包含1w条内容的URL分类“-1”,内容新增失败;配置URL内容时设备会对部分字符做转义,导致下发内容与实际配置不符。
· 问题现象:在http协议的短信服务中,报文主体的参数设置,删除中间参数后,无法提交。
· 问题产生条件:配置http协议的短信服务。
· 问题现象:入侵日志未对X-Forward-For字段做校验,可构造报文进行XSS注入攻击。
· 问题产生条件:XSS注入攻击。
· 问题现象:新建SNMP用户,用户名为~时,弹出的提示信息是操作失败,错误信息不明确,请优化。
· 问题产生条件:配置SNMP用户名为~。
· 问题现象:跑脚本增删bgp配置,怀疑由于进程残留,导致无法新建发布网段,导致流量不通,严重影响使用。
· 问题产生条件:后台执行no router bgp。
· 问题现象:SSLVPN策略导出后资源配置被截断,导出内容不全;导入时长度限制为2047,导致导入策略无法引用所有资源。
· 问题产生条件:导入导出SSLVPN策略。
· 问题现象:代理策略匹配次数未做点击清零,但是可点击状态且高亮,提单优化。
· 问题产生条件:点击代理策略匹配次数。
· 问题现象:编辑SSLVPN全局配置,串口打印异常“ cp: can't stat 'mnt/syscfg.con': No such file or directory”。
· 问题产生条件:编辑SSLVPN全局配置。
· 问题现象:添加黑名单自定义时间秒数换算后的结果,换算单位与预定义不一致,展示风格与预定义不一致,不方便查看。
· 问题产生条件:查看黑名单。
· 问题现象:攻击链查询窗口处标题有误。
· 问题产生条件:查看攻击链查询窗口。
· 问题现象:新建IKE策略选择本地源端口时,接口下拉框仅可选择4094个子接口,命令行配置则可选择满规格12287子接口中的任意接口,请修改。
· 问题产生条件:命令行配置新建IKE策略。
· 问题现象:黑名单页面,页面选择每页50时,全选的启用、禁用按钮不生效。
· 问题产生条件:全选黑名单的启用、禁用按钮。
· 问题现象:安全事件分析查看数据详情的链接和日志中心查询数据的表格不一致,导致查看详情时源/目的端口、源/目的Mac显示为空,而日志中心处数据显示是原始日志完全的,请修改。
· 问题产生条件:安全事件分析查看数据详情的链接和日志中心查询数据的表格不一致。
· 问题现象:搜索关键字排名,关键字中含特殊字符,有排名结果,但点进去日志内容为空。
· 问题产生条件:搜索关键字排名。
· 问题现象:自定义url,一个条目里面配置多个对象,编辑查看发现最后多了一个回车符,会导致数量+1,满规格对象配置的时候编辑查看无法提交。
· 问题产生条件:自定义url配置多个对象。
· 问题现象:HA主备测试环境配置端口扫描任务,没有存在在执行的任务,新建的立即执行的任务不执行,同时设备出现异常重启,异常重启后重新配置端口扫描任务可以执行,设备有大量子接口和策略配置,怀疑和设备重启之前进程挂死有关,已收集异常信息同步进行确认,请优化说明!
· 问题产生条件:在没有存在在执行的任务的HA主备环境中配置立即执行的端口扫描任务。
· 问题现象:短信服务http服务,如果中间有参数空着,提交后查看和之前配置的不一样
· 问题产生条件:短信服务http服务中,中间空置一条参数。
· 问题现象:入侵防御日志有编码问题。
· 问题产生条件:查看入侵防御日志。
· 问题现象:开启应用缓存功能,配置大量接口(8000多子接口),测试仪打流,设备CPU 100%没办法访问,流量基本不通,确认是应用缓存开了之后查找本地ip,遍历所有接口导致,请修改!
· 问题产生条件:开启应用缓存功能,配置大量接口,测试仪打流。
· 问题现象:Dhcp option 43配置之后无名称记录,查看存在多个无名称的配置,保存配置重启,打印Unknown command,重启之后配置丢失,请修改!
· 问题产生条件:配置Dhcp option 43。
· 问题现象:登录页面,验证码输入中待特殊字符,登录跳转到404 - Not Found页面,请修改!
· 问题产生条件:登陆页面验证码输入特殊字符点击登录。
· 问题现象:创建弱密码扫描任务,开始日期显示星期四(实际日期),刷新一下显示星期五(日期有误),再刷新就正常了,非必现,但是每次重新创建之后刷新出现概率很高,请修改!
· 问题产生条件:创建弱密码扫描任务。
· 问题现象:R6611系列、R6612系列版本存在命令注入漏洞(CNVD-C-2022-201810、CNVD-C-2022-207904、CNVD-C-2022-239805),以及OpenSSL拒绝服务漏洞(CVE-2022-0778),同时F6613和R6614版本也涉及OpenSSL拒绝服务漏洞(CVE-2022-0778)和命令注入漏洞(CNVD-C-2022-239805)问题,请修改!
· 问题产生条件:存在相关漏洞。
· 问题现象:R6612系列版本存在命令执行漏洞(CNVD-C-2022-241034、CNVD-C-2022-220902、CNVD-C-2022-261204、CNVD-C-2022-296934),请修改!
· 问题产生条件:存在相关漏洞。
· 问题现象:策略配置-安全设置-安全防护-弱密码防护的HTTP服务参数设置中URL字段未进行url合法输入校验,与其他模块实现不一致。
· 问题产生条件:弱密码防护的HTTP服务参数设置中URL字段输入非法url。
· 问题现象:控制策略配置应用过滤-文件过滤,打ftp传输文件产生应用控制日志,没法识别行为,日志导出的行为是(null),应该是上传或下载。
· 问题产生条件:打ftp传输文件,导出产生的应用控制日志。
· 问题现象:配置满规格控制策略,删除一条后再创建一条后保存配置重启,由于再创建的策略id复用了已存在的策略id导致配置丢失。
· 问题产生条件:满规格控制策略下,删除一条再创建一条后保存配置重启。
· 问题现象:点击保存配置后开始保存的进度条展示页面,提交和取消按钮没有屏蔽,还可以点击操作,但无效。
· 问题产生条件:主页点击保存配置。
· 问题现象:接口下配置主从ipv6地址为eui-64类型后,去使能eui-64,将该地址保存为静态配置方式,主地址报冲突无法保存,从地址正常下发
· 问题产生条件:接口下配置主从ipv6地址。
· 问题现象:数据中心-统计报表-数据统计,IPS网络安全分析处显示了攻击目的Top20的数据,导出文件时设置Top值300,实际导出的文件只有Top10的数据,实现不明确,请修改。。
· 问题产生条件:导出IPS网络安全分析Top值为300的报表。
· 问题现象:导出终端日志-用户自注册日志后,串口打印Failed to identify log type. 导致该动作无法被统计到操作日志中。
· 问题产生条件:导出终端日志-用户自注册日志后,串口打印Failed to identify log type。
· 问题现象:主页-行为管理-流量分析,展示的信息不可链接跳转,但是鼠标是可点击的小手状态,请修改。
· 问题产生条件:鼠标挪移到流量分析上。
· 问题现象:数据中心-统计报表-数据统计,IPS网络安全分析处,攻击目的TOP的百分比全部显示为“INF%”,无法正常显示数据。
· 问题产生条件:查看IPS网络安全分析。
· 问题现象:配置文件较大的情况下,修改一些配置,页面保存完配置进行重启,配置没有完全保存到。主备同步配置后,备机起来仍与主设备不同。
· 问题产生条件:主备环境下导入较大的配置文件。
· 问题现象:HA环境中,用户生成ha对比的配置文件时过慢超过150s,导致主设备AAA模块被lock,主设备异常重启。
· 问题产生条件:HA环境中生成ha对比的配置文件。
· 问题现象:由于缺乏mysql数据库登录特征,导致无法审计到mysql数据库登录动作。
· 问题产生条件:特征库问题。
· 问题现象:导入用户,当excel中"绑定地址"格式错误时,设备校验失败导致一直处于“导入用户”状态,请修改。
· 问题产生条件:导入"绑定地址"格式错误的用户excel。
· 问题现象:安全日志中日志分类名称,只有“入侵日志”名称未能和功能名称统一,不完整,应该是“入侵防御日志”,请优化。
· 问题产生条件:查看安全日志日志分类名称。
· 问题现象:保存配置,设备串口打印Error: Failed to send and receive message。
· 问题产生条件:保存配置。
· 问题现象:控制策略配置文件类型过滤,在论坛回帖回复内容包含文件类型关键字时被误识别为文件并进行文件类型过滤动作处理。
· 问题产生条件:发送包含文件类型关键字的内容。
· 问题现象:用户上网行为次数统计报表页面用户上网统计数据为空。。
· 问题产生条件:查看用户上网行为次数统计报表。
· 问题现象:控制策略配置文件类型过滤,然后上传能命中过滤规则的超长名称文件,应用控制日志不更新,重启后日志显示为空。
· 问题产生条件:上传能命中过滤规则的超长名称文件。
· 问题现象:属性组下,选择用户所有页,再点击删除,会错误的将自定义的用户组删除。。
· 问题产生条件:属性组下,选择用户所有页,再点击删除。
· 问题现象:在一个用户组下,用选择全部的所有页选择,移动到用户子组下,用户子组消失,创建同名用户子组,提示已存在。
· 问题产生条件:将用户组移动到用户子组下。
· 问题现象:模板上对隔离和阻断的关联关系处理逻辑存在问题。
· 问题产生条件:配置入侵防御模板。
· 问题现象:SSLVPN模块多处导入功能存在异常,请统一修改。
· 问题产生条件:配置SSLVPN资源。
· 问题现象:监测对象处不支持属性组,请裁剪属性组子树。
· 问题产生条件:配置故障监控中心。
· 问题现象:流量下查看资产安全分析-攻击链详情,源目的端口源目的mac信息为空,原始日志数据中是有该信息的,停流后一段时间后才能查询到
· 问题产生条件:大流量背景下查看攻击链详情
· 问题现象:恶意网站访问排名和用户恶意网站审计此时统计排名,百分比皆是INF%,功能失效。
· 问题产生条件:查看意网站访问排名和用户恶意网站审计排名。
· 问题现象:审计日志-其他日志,对同一个会话有报文交互生成2条相同源目的端口号的日志,发送到manager其中一条日志的源/目的端口号必然反。
· 问题产生条件:设备外发日志到Manager。
· 问题现象:流控策略,新建线路和通道时修改带宽单位,带宽数值会变化,新建限制和惩罚通道修改带宽单位,带宽数值不会变化,实现不一样。
· 问题产生条件:配置流控策略的带宽数值。
· 问题现象:一定流量下,控制策略日志中http应用被误识别成了h.245 p2p流媒体应用。
· 问题产生条件:配置控制策略。
· 问题现象:统计报表-配置管理,新建IPS业务系统名称是非法字符~或者和其他合法字符混用,弹出的提示信息为空。
· 问题产生条件:配置IPS业务系统名称。
· 问题现象:adobe打开pdf报表,所有的“排名”,都渲染成了“排吊”。
· 问题产生条件:使用adobe打开pdf报表。
· 问题现象:Web防护-防护策略-精确访问控制,精确访问控制规则对于描述信息的校验存在问题,导致可以新增含非法字符的精确访问规则,但提交防护策略时报错,且提示信息模糊,未指出具体错误模块。
· 问题产生条件:配置精确访问控制规则。
· 问题现象:配置IP-MAC绑定,名称取最长,保存配置重启后配置丢失
· 问题产生条件:配置超长的IP-MAC绑定名称。
· 问题现象:高级防护页面,被攻击URLTOP10悬浮url显示的位置需要优化,稍微长点的url即使鼠标放在最右边,也看不到完整的url
· 问题产生条件:鼠标查看较长的url
· 问题现象:规则防护和高级防护页面,被攻击URL TOP10,后面url悬浮显示的次数不对,全部是第一条的次数。
· 问题产生条件:查看被攻击URL TOP10
· 问题现象:认证策略页面,全选当前页无法上下移动。
· 问题产生条件: 上下移动认证策略
· 问题现象:IPsec配置界面,IKE查询框须与该模块其它查询框名称保持一致。。
· 问题产生条件:使用IKE查询框
· 问题现象:入侵日志-告警规则,浏览器的分辨率是100%时,打开的标签只能显示6个,其他的4个标签被隐藏,需要调整分辨率才能看到,需优化。
· 问题产生条件:查看告警规则
· 问题现象:新建角色授权为只读的数据中心或策略配置等管理用户并登录设备,多处业务模块中,只读授权的角色管理员可以越权下载导出或删除数据配置,只读角色管理员越权。
· 问题产生条件:使用只读权限管理员登录
· 问题现象:持续配置200+个接口的ospf6,进程卡死,系统日志报无法分配内存,命令行持续报错卡住。
· 问题产生条件:配置较多子接口的ospf进程
· 问题现象:新建角色授权为“主页”的管理用户并登录设备,多处有统计的数据可以点击链接至详情,之后内容为空,若未放开访问权限请增加说明。
· 问题产生条件:使用授权主页功能的用户登录设备
· 问题现象:新建角色授权为“数据中心”的管理用户并登录设备,各模块对于“登录用户没有操作权限”弹框格式不一致,请统一。
· 问题产生条件:使用授权数据中心功能的用户登录设备
· 问题现象:配置自定义IPS规则,HTTP协议字段取X-Forward-For时,配置方式选择等于时实际实现为包含。
· 问题产生条件:配置IPS规则X-Forward-For字段
· 问题现象:在manager集中运维中,先将设备配置文件备份,再保存配置文件重启,设备提示cp: can't stat '/mnt/cert_name': No such file or directory。。
· 问题产生条件:使用manager纳管设备进行集中运维
· 问题现象:postgresql数据库的表中有带#的字段时,详细内容中的#转义有误。
· 问题产生条件:使用postgresql数据库
· 问题现象:http文件下载方向,从服务器下载到病毒文件后,日志详情归属地被错误标记到了源ip处了。
· 问题产生条件:http下载文件
· 问题现象:接口状态同步组处理聚合口逻辑问题,在没有删除接口状态同步组配置的情况下,依次删除聚合口成员口,最后一个物理口不能up。
· 问题产生条件:配置接口状态同步组
· 问题现象:安全域与接口名字一样时,先创建接口,再创建安全域会提示不允许创建;先创建安全域后创建接口,可以创建成功。
· 问题产生条件:配置安全域和接口名字一致。
· 问题现象:新建一个立即执行的弱密码扫描任务,配置刚下发在“待执行”状态时开始日期为“星期四”,任务执行后才变为实际创建时间。
· 问题产生条件:新建弱密码扫描任务
· 问题现象:背景流量下拷机反复增/删、隧道口反复引用/去应用IPsec及IKE策略,一段时间后,IPsec内存占用不释放。
· 问题产生条件:反复增删、引用IPsec的IKE策略
· 问题现象:HA环境下,配置控制策略、nat、审计策略等,打七层和四层流量匹配,主设备跑控制策略启停和保存配置脚本,一段时间后,主设备ifmd-1631 is locked,并生成nmi的core文件,主设备重启。
· 问题产生条件:大量背景流下,反复启用禁用策略
· 问题现象:禁用聚合接口,将物理口从聚合接口删除,物理口状态还是禁用。up的物理口加入到聚合接口仍然是up,实现不合理。
· 问题产生条件:禁用聚合接口
· 问题现象:控制策略、审计策略、流量控制策略等涉及VLAN匹配的地方,vlan配置边界范围和生效情况需要重新梳理,现在功能实现矛盾。
· 问题产生条件:策略处配置vlan
· 问题现象:域名类型的http代理请求,配合全局dns使用,修改dns服务器地址时,走了新的域名解析流程,未走dns缓存流程,需要修改。
· 问题产生条件:http代理配合全局dns使用
· 问题现象:Postgresql数据库使用pgadmin4客户端增删改表中的数据时,审计日志中的其他应用日志没有审计记录。
· 问题产生条件:Postgresql数据库使用pgadmin4客户端增删改表中的数据
· 问题现象:限制通道特定操作下,编辑限制通道提示“保障带宽不能大于最大带宽”,请修改!。
· 问题产生条件:配置限制通道
· 问题现象:ips模块缺少严重程度字段,有些已有字段存在歧义,请修改!。
· 问题产生条件:配置ips模块
· 问题现象:设备解析处理LDAP异常报文出错,导致设备异常重启。
· 问题产生条件:解析LDAP异常报文
· 问题现象:本地web认证界面,偶发性出现输入用户名密码后点击登录按钮没反应。经研发定位,初步定位未认证加密提交流程中加解密不对称导致。
· 问题产生条件:进行本地认证
· 问题现象:设备正常运行一段时间后,出现异常重启,导致业务中断
· 问题产生条件:设备上长时间有大量日志,占用内存较多缺少保护机制
· 问题现象:设备无法进行SSH或者Telnet登录
· 问题产生条件:设备长时间运行并受到网络攻击SSH无法登录,需要重启设备
· 问题现象:对桥口进行ARP扫描,扫描结果中ARP表项不完整
· 问题产生条件:设备物理口加入桥,对桥口配置IP并进行ARP扫描
· 问题现象:进行LDAP认证设备重启
· 问题产生条件:将两个LDAP服务器加入到同一个组里,并把用户同步到本地,开启第三方认证选择LDAP服务器,用户进行ldap认证,认证账号使用同步到本地的用户
· 问题现象:短信认证页面无法获取验证码,portal页面提示未知异常
· 问题产生条件:设备配置先配置一个错误的DNS,然后在修改为正确的DNS,进行短信认证
· 问题现象:设备运行120多天,flow内存使用率很高且不释放,导致出现业务异常中断,web页面也无法访问
· 问题产生条件:开启用户态协议栈及https弹portal,配置认证策略,认证的https请求不完整报文过设备(例如有TCP三次握手和GET等报文,但无后续RST、FIN结束报文),同时设备要长时间运行,至少要49天后才会开始内存泄漏
· 问题现象:从ACG manager管理ACG设备页面,登录失败,提示“你未登录平台禁止访问”
· 问题产生条件:ACG manager管理ACG设备页面
· 问题现象:使用绿盟漏扫扫描设备含OpenSSH 命令注入中危漏洞(CVE-2020-15778)漏洞
· 问题产生条件:使用绿盟漏扫扫描
无
· 问题现象:设备配置静态NAT或目的NAT映射,通过SNMPwalk工具无法正常读取映射设备接口流量节点oid(1.3.6.1.2.1.31.1.1.1.6.1)。
· 问题产生条件:设备做DNAT转换读取内部节点。
· 问题现象:新建自定义URL对象,里面包含200条自定义url,提交后再次点击编辑进行修改,可以添加url或者不做修改再次提交会提示达到256的规格,配置无法正常下发。
· 问题产生条件:新建自定义URL,配置200条域名提交,再次编辑不做修改或添加域名提交。
· 问题现象:使用漏洞扫描软件扫描ACG或者使用谷歌浏览器通过查看框架的源代码查看首页Jquery版本为3.3.1。
· 问题产生条件:使用漏洞扫描软件扫描ACG或者使用谷歌浏览器通过查看框架的源代码查看首页Jquery版本。
· 问题现象:漏洞扫描软件提示有中危漏洞,需要升级JQuery版本至3.5.0或者以上版本。
· 问题产生条件:使用洞扫描软件扫描ACG设备。
· 问题现象:设备重启后无法正常启动。
· 问题产生条件:手动杀死进程,产生core文件,在mnt目录下查看超出了5个core文件
· 问题现象:ACG设备执行立即同步LDAP用户,查看设备上不能同步2500个用户。
· 问题产生条件:AD服务器上配置2500个用户,设备配置ldap服务器以及AD用户同步配置,执行立即同步,查看设备同步用户数。
· 问题现象:内网环境进行ping操作有丢包。
· 问题产生条件:250M背景流+15M dns流量,设备不断新建地址对象,配置不能命中的域名,执行ping操作。
· 问题现象:在线用户处查看用户为静态绑定,该用户无流量在线时长显示为70小时,不自动下线。
· 问题产生条件:本地创建用户并配置IP地址,触发流量使用户上线后停掉流量。
· 问题现象:1、控制策略url过滤配置test2(www.zzzyjy.cn:8091)放通,访问test2无法访问。2、编辑地址对象test2时,报错配置重启。
· 问题产生条件:1、自定义url配置test2 (www.zzzyjy.cn:8091),控制策略设置url过滤规则,test2放通,拒绝所有url。访问test2 可看到无法访问。2、配置地址对象test2 为http://www.zzzyjy.cn:8091,提交后点击编辑。
· 问题现象:1、导出设备抓包文件,提示404-Not Found。2、导出配置文件,提示配置文件导出失败。
· 问题产生条件: 访问设备,导出设备抓包文件有404提示;部分已停产设备导出配置文件失败。
· 问题现象:设备重启后发现绑定的用户ip地址范围丢失,设备串口有error信息打印。
· 问题产生条件:1、新建用户test,配置主机地址为1.1.1.1。2、新建用户test1,配置地址范围1.1.1.1-1.1.1.100,排除地址1.1.1.1。3、保存配置重启即可看到现象。
· 问题现象:客户端本地认证页面输入超长密码后,设备连接不上。
· 问题产生条件:配置本地认证,测试仪打流,客户端本地认证页面输入超长密码,具体数据为复制的一篇超长txt文本内容,点击提交。
· 问题现象:第三方LDAP认证,认证策略配置自动录入,在线用户处查看只有属性组ldap用户,组织结构中无该用户。
· 问题产生条件:配置web本地认证,启用第三方LDAP认证,认证策略配置自动录入,查看在线用户组织结构显示。
· 问题现象:设备健康统计整机转发流量页面选择最近一小时,面积图呈现齿轮状。
· 问题产生条件:设备健康统计整机转发流量页面选择最近一小时。
· 问题现象:设备开启QOS相关策略,查看CPU使用率偏高。
· 问题产生条件:设备开启QOS策略,测试仪打入流量。
· 问题现象:CPU使用率过高,设备异常重启。
· 问题产生条件:现网流量200M的情况下,开启审计cpu 100%,设备低概率重启。
· 问题现象:本地认证配置中页面跳转设置为之前访问的网站,在认证时访问https的网站进行认证,但是认证完成之后不会跳转到之前访问的页面。
· 问题产生条件:开启本地认证,页面跳转设置配置为之前访问的页面
· 问题现象:设备HA主备透明模式部署,用户反馈上网卡顿丢包,终端Ping出口设备延迟有丢包。
· 问题产生条件:配置每用户限速流控策略、流量超过配置的每用户限速流量、WEB界面修改已配置的流控通道优先级
· 问题现象:设备配置流量控制策略,1.引用组织结构下两个相同名称的用户组,策略提交之后,再次点击编辑提交,只显示一个用户组;2.引用组织结构下两个相同的用户组中的一个,策略提交之后,再次点击编辑提交,然后查看并不是刚开始配置引用的那一个用户组了。
· 问题产生条件:用户组织结构中存在相同的用户组名、流量控制策略进行引用配置
· 问题现象:触发防暴力破解后,页面日志不显示,导出可以看到相应的日志。
· 问题产生条件:启用防暴力破解功能,点击服务,选中已勾选的服务,不做修改提交,查看服务选中情况;触发防暴力破解,查看日志记录情况。
· 问题现象:WEB防护策略,禁用第一条策略,启用第二条策略的网页防篡改功能,防篡改网页缓存页面无法正常显示缓存数据;导出web防护的高级防护日志,日志级别为“错误”的没有值。
· 问题产生条件:配置WEB防护策略,禁用第一条策略,启用第二条策略的网页防篡改功能,查看防篡改网页缓存页面;日志级别选择“错误”,触发WEB防护策略,导出查看WEB防护的高级防护日志。
· 问题现象:未开启解密策略的情况下,URL控制配置拒绝访问“商业”类网站,但是访问https://www.taobao.com类加密网站仍可以访问成功。
· 问题产生条件:不开启解密策略,配置拒绝的URL控制策略,可以成功访问。
· 问题现象:流量控制策略配置每IP限速,测试限速速率波动较大。
· 问题产生条件:配置流量控制策略,使用每IP限速。
· 问题现象:背景流下在较老的特征库升级到新特征库后,删除或者修改引用应用分类的控制策略,大概率出现设备异常重启。
· 问题产生条件:升级的新特征库较老特征库分类中有新增加的应用,且此分类升级前被策略进行了引用。
· 问题现象:设备配置审计、控制策略,测试仪长时间打混合应用流量,产生各种日志,在磁盘使用较高(90%以上)的情况下出现异常重启。
· 问题产生条件:大量的smtp邮件审计文件,磁盘使用率超过95%触发删除日志文件。
· 问题现象:与openldap服务器对接无法认证成功。
· 问题产生条件:开启第三方ldap认证,ldap服务器使用openldap。
· 问题现象:设备升级到R6611P01版本一直卡住不动,无法正常启动,然后再次掉电重启可正常启动。
· 问题产生条件:配置文件中带有日志相关配置项升级新版本启动。
· 问题现象:设备运行一段时间后出现了异常重启现象。
· 问题产生条件:大量现网业务长时间运行。
· 问题现象:原OpenSSL版本存在安全隐患,存在open ssl漏洞以及rsa数字证书漏洞,故升级到OpenSSL 1.0.2t版本。
· 问题产生条件:无。
· 问题现象:LDAP认证,输入错误的用户名密码之后,认证页面无响应,无提示信息。
· 问题产生条件:第三方认证选择LDAP服务器组。
· 问题现象:审计日志下任一类型日志超过50000条之后,一定操作下查询,数据显示异常。
· 问题产生条件:审计日志下任一类型日志超过50000条之后,查询后返回到第一页。
· 问题现象:IP-MAC绑定\认证策略导入功能未对异常字符校验,导入大量异常字符导致页面异常,导入少量异常字符则无法修改。
· 问题产生条件:IP-MAC绑定\认证策略导入异常字符。
· 问题现象:HA主备环境下,创建报表管理任务后通过ftp方式发送,主备设备首次会生成同名的文件,无法两个都正常发送成功。
· 问题产生条件:HA主备环境,创建报表管理任务,并通过FTP发送。
· 问题现象:审计日志查询页面下,通过SQL注入攻击查询含有大量返回项的过滤项,网页挂死,一段时间后设备狗叫重启。
· 问题产生条件:审计日志存在大量日志,查询输入’--的SQL注入攻击。
· 问题现象:配置厂商配置与场所配置并导出,修改厂商配置的对接厂商为“请选择”并提交,再导入场所配置文件,导入失败后设备重启。
· 问题产生条件:将无线非经的厂商修改为请选择,然后导入厂商配置。
· 问题现象:配置256个聚合子接口,通过pppoe协商获得IP,第253、254子接口pppoe 会话持续震荡,串口在输入任何命令后持续打印2019/08/15 02:44:11 unknown: can"t accept app socket : accept_sock 5, Too many open files,影响使用。
· 问题产生条件:配置256个聚合子接口,通过pppoe协商获得IP。
· 问题现象:HA主主环境下,流量匹配源nat、目的nat、ipv4控制策略、dns服务,打流到设备cpu100%,其中一台设备重启启。
· 问题产生条件:HA主主环境,打sip业务流量。
· 问题现象:HA主备环境下,主设备曾经切换为备有备过来的会话,配置了SNAT、dnat、GRE隧道口,打ftp、sipng、http混合流停流后,清除会话,主设备NAT模块段错误死机。
· 问题产生条件:HA主备。
· 问题现象:负载均衡->链路负载均衡,没有流量,Control Memory很高的情况下,命令行配置链路负载均衡,web界面一定操作下,设备狗叫重启。
· 问题产生条件:CLI下只配置一个接口,在页面编辑链路负载均衡策略下发。
· 问题现象:网络时断时续,后来发现对端设备上显示连接ACG的端口up/down、up/down,再登录ACG的网管地址,发现设备刚启动两分钟,也就是ACG设备异常重启了。
· 问题产生条件:开启无线非经功能,配置上报周期为5分钟,网络不好导致非经FTP上报的zip文件上传失败,而且失败累积的次数小于10次。
· 问题现象:设备HA主备透明模式部署,25/26接口配置了接口状态同步组,在开启fdb refresh enable命令后,出现将25口拔掉后,26接口不down的情况。
· 问题产生条件:HA主备透明模式部署,开启fdb refresh enable,配置接口状态同步组。
· 问题现象:设备HA主备透明模式部署,HA监控显示两端配置不相同,手动同步配置,备机启动后依然显示不相同。
· 问题产生条件:将接口加入到聚合口或桥口,然后在HA主机同步配置到备机,备机重启后加入到桥口或聚合口的物理口下会自动出现允许https访问的配置。
· 问题现象:用户上下线日志中存在大量用户下线原因为“未知”。
· 问题产生条件:imc第三方同步用户发送过来的同一IP对应用户发生改变,导致前一用户被踢出时出现下线原因显示为“未知”。
· 问题现象:将所有业务流量停止,清除所有会话后,DP内存使用率一直显示97%以上不释放。
· 问题产生条件:某接口上配置了大量的子接口,每个子接口上都配置了IP地址,然后在对端设备频繁shutdown、no shutdown所连接口,此时会造成设备物理口及其子接口频繁shutdown、no shutdown,一段时间后出现DP内存不释放的现象。
· 问题现象:无线非经上报设备资料中属性create_time有问题,出现24:07:57,导致平台报错。
· 问题产生条件:设备资料创建时间字段添加了错误的时间,导致出现上述问题,目前修改为上报时获取设备当前的时间点进行上报,不会在出现此问题。
· 问题现象:F6610及以上版本被R0304版本Manager纳管后,web界面上存在数据中心的按钮,但是不支持跳转。
· 问题产生条件:无。
· 问题现象:一定配置下,主机手动同步配置,备机重启后,两者显示配置不同。
· 问题产生条件:主机手动同步配置。
· 问题现象:在SSL VPN的资源池页面,选择多个资源后点击“导出”按钮,web页面刷新后实际无导出,也没有任何错误提示。
· 问题产生条件:选择5个左右的SSL VPN资源进行导出。
· 问题现象:在上网行为管理/证书管理/自动获取CRL页面,点击“立即获取”后,即使网络不可达无法正常获取,页面也只单纯刷新一次,无失败的提示。
· 问题产生条件:自动化获取CRL失败。
· 问题现象:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线后,用户上下线日志中显示下线原因为未知。
· 问题产生条件:web认证、单点登录认证、portal认证和免认证的用户被ACG管理员强制下线败。
· 问题现象:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码空白的情况下提示“保护网段不能为空”的错误提示信息。
· 问题产生条件:在IPsec快速配置页面,保护网段配置选择“保护接口”,掩码留为空白。
· 问题现象:某惩罚通道被防共享模块引用,点删除按钮,页面没有任何提示;类似的,删除被引用的公告页面,也无提示消息。
· 问题产生条件:惩罚通道和公共页面被防共享模块引用后,点击删除按钮。
· 问题现象:ACG F6610命令行配置邮箱服务器收件地址命令行中receiver拼写错误,2、配置审计策略,out-interface下的参数显示IF_IN,参数错误应为OUT_IN。
· 问题产生条件:ACG F6610,命令行配置邮箱服务器;配置审计策略时,查看out-interface的参数显示。
· 问题现象:在静态路由配置界面,新增一条与已有配置相同目的地址,不同出接口的配置,保存无任何提示,列表页面也无显示。
· 问题产生条件:新增一条与已有配置相同目的地址,不同出接口的静态路由。
· 问题现象:FTP服务器设置密码中包含“@#”等特殊字符时,无法验证通过。
· 问题产生条件:FTP服务器设置密码中包含“@#”等特殊字符时。
· 问题现象:修改微信认证用户名为tid,非经平台收到的终端上下线日志存在异常,日志中用户名信息为openid。
· 问题产生条件:配置微信认证取tid为用户名,查看非经日志用户名内容为openid。
· 问题现象:开启混合认证移动终端使用微信认证有认证过程,但无法认证成功,切换为单独的微信认证可以成功。
· 问题产生条件:开启混合认证。
无,首次发布。
· 问题现象:radius管理员用户登录WEB界面,提示与第三方认证服务器连接失败,但是登录到设备上查看日志提示用户名或密码错误,与实际不符合。
· 问题产生条件:radius管理员登陆ACG设备。
· 问题现象:网络配置->DHCP服务器->排除范围中编辑第一条信息显示第二条信息的内容,编辑第二条信息显示第一条信息内容。
· 问题产生条件:使用DHCP排除范围地址功能。
· 问题现象:存在curl-remote buffer漏洞和openssh漏洞。
· 问题产生条件:无。
· 问题现象: LDAP+web认证测试时,有时出现设备重启。
· 问题产生条件:openldap库的私有连接connect超时。
· 问题现象:ACG中开启认证策略,接口未开启任何服务时,输入http://X.X.X.X(设备IP):8000端口可以打开ACG web认证页面。
· 问题产生条件:ACG开启认证策略,在接口未开启任何服务时,输入http://X.X.X.X(设备IP):8000。
· 问题现象:配置广告对象,需添加图片中包含特殊字符?和=时,提示图片URL格式错误。
· 问题产生条件:URL配置含有特殊字符?和=。
· 问题现象:当cpu 0核很高的时候,导致监听用户无法上线,产生大量匿名用户可以上网 。
· 问题产生条件:cpu 0核使用率将近100%。
· 问题现象:配置GRE over IPSec时,GRE隧道无法建立 。
· 问题产生条件:配置GRE VPN 隧道。
· 问题现象:设备串接进网络中,网络延迟大,丢包严重。
· 问题产生条件:网络中存在超过MTU值的非IP报文。
· 问题现象:任子行、中科新业、恒邦三家厂商的非经日志无法显示。
· 问题产生条件:使用非经功能,商场选择为任子行、中科新业、恒邦中任何一家。
· 问题现象:HA环境下,仅支持本地认证用户同步,不支持微信认证用户和短信认证用户的同步。
· 问题产生条件:HA环境下,用户认证方式为短信认证和微信认证。
· 问题现象:为兼容之前的版本,负载均衡策略中存在“应用”栏,可配置但不生效。R6609P02版本将“应用”栏置灰以避免误解。
· 问题产生条件:无。
· 问题现象:LDAP服务器只同步AD域用户的登录名,而不是通过通用名标识cn和upn区分AD域用户的显示名和登录名。
· 问题产生条件:LDAP服务器同步AD域用户。
· 问题现象:ACG认证过程中用户名称不区分大小写,导致与区分用户名大小写的LDAP服务器同步时策略无法使用。R6609P02版本默认LDAP认证时用户名称区分大小写,但可通过命令行进行修改。
· 问题产生条件:部分LDAP服务器区分用户名大小写,部分不区分。
· 问题现象:不开Https解密策略的情况下无法审计主流https网站。
· 问题产生条件:无。
· 问题现象:修改无线非经配置后小概率出现设备web界面无法访问。
· 问题产生条件:修改无线非经配置。
· 问题现象:PC访问服务器时,在TCP三次握手后会话被异常删除,导致连接断开,数据无法加载。
· 问题产生条件:无。
· 问题现象:接口同步组中的接口在频繁执行shutdown/no shutdown操作后概率性不UP。
· 问题产生条件:使用脚本频繁shutdown/no shutdown接口状态同步组中的接口。
· 问题现象:设备运行一段时间概率 性出现短信认证点击发送验证码无反应,已经认证上线的用户可以正常上网。
· 问题产生条件:设备长时间运行,CPU使用率较高时会出现php-cgi进程异常退出无法自启动导致认证异常。
· 问题现象:防共享功能,IOS11.3误识别被阻断。
· 问题产生条件:IOS11.3及以上终端使用时间戳 方式进行识别,一个终端会被识别成多个用户。
· 问题现象:设备运行一段时间后web认证界面弹不出来,手动输入认证界面的URL也无法加载认证界面。
· 问题产生条件:大量认证用户的场景中开启本地认证。
· 问题现象:开启非经功能长时间运行,硬盘使用率很高,达到95%以上后没有自动清除数据库中的非经日志。
· 问题产生条件:开启非经功能长时间运行。
· 问题现象:使用360wifi共享热点,手机上网断开后使用PC上网,审计日志中的终端类型仍然为手机。
· 问题产生条件:使用共享热点上网,多终端接入。
· 问题现象: ping down接口时页面和后台提示不一致。
· 问题产生条件:将接口shutdown,然后分别在CLI和UI上ping此接口的IP地址。
· 问题现象:四层背景流量下,新建子接口的主IP与从IP冲突后多次提交,设备异常重启。
· 问题产生条件:配置DDNS,同时创建大量子接口,子接口下主从IP冲突,然后不停的点击提交。
· 问题现象:ACG1000配置微信白名单,阻断http网页浏览之后微信无法正常发送图片。
· 问题产生条件:配置微信白名单,通过IPV4策略阻断网页浏览应用。
· 问题现象:LDAP认证慢,输入账号名密码之后需要10s左右完成认证。
· 问题产生条件:配置本地认证,认证服务器配置为LDAP。
· 问题现象:用户信息中心根据用户名查询只能查询第一页的记录,其他页的数据查询后无结果返回。
· 问题产生条件:用户信息中心根据用户名查询,查询的数据在其他页。
· 问题现象:主主组网,当HA绑定的地址探测状态是正常的情况下,设备的HA状态依然是N。
· 问题产生条件:HA环境绑定地址探测,备机地址探测不生效。
· 问题现象:创建一个密码为a1<>+=/^*:[{)的用户,无法登陆设备进行管理,并弹出空白提示框。
· 问题产生条件:创建管理员账号,密码使用特殊字符会存在转义问题。
· 问题现象: HA主备环境测试仪打新建同时回放微信流量,一段时间后出现内存泄露crash。
· 问题产生条件:开WEB认证,同时回放微信流量。
· 无
· 问题现象:两台ACG设备做HA,发现状态显示配置不同步;手动点击同步,备机重启后状态仍显示配置不同步。
· 问题产生条件:两台ACG设备开启HA功能,并手动修改备机设备的管理员密码使其主备管理员密码不一致。
· 问题现象:ACG设备有三个出口,其中一条出口配置基于应用(P2P流量)的策略路由,设备在网运行过程中不定时出现基于应用的策略路由出口流量瞬间降为零的现象,导致部分网络业务不通。
· 问题产生条件:ACG设备配置三个出口,其中一条配置基于应用的策略路由,内网访问外网产生该应用流量就会有该问题现象。
· 问题现象:clear database无法清除后台邮件日志数据。
· 问题产生条件:ACG中接收大量邮件日志,例如邮件日志占用磁盘空间50%时,执行clear database清楚数据库命令后,硬盘使用空间不会完全释放。
· 问题现象:用户绑定了两个静态MAC地址,通过csv文件导入设备,导入后发现只成功导入了一个MAC地址。
· 问题产生条件:在用户页面添加一个账号绑定三个MAC地址,导出之后,打开csv文件看有三个MAC地址,将设备原有配置删除再次导入csv文件,查看用户绑定的MAC地址只有最后一个。
· 问题现象:特定条件下设备异常重启。
· 问题产生条件:向设备打入特殊的telnet报文,概率出现重启情况。
· 问题现象:设备开启免认证和Portal认证,Portal认证可修改URl可以跳过Portal认证,进行上网。
· 问题产生条件:设备开启免认证和Portal认证,修改Portal认证的URL,手动访问free认认证的Portal页面。
· 问题现象:跨三层认证成功mac再同步时会把用户踢出。
· 问题产生条件:开启跨三层MAC地址学习,关闭MAC地址学习,用户进行认证,再开启MAC地址学习。
· 问题现象:开启QOS策略后,HTTP服务器外网下载文件速度慢。
· 问题产生条件:ACG设备桥模式部署,设备开启QOS功能,外网PC通过Http下载内网服务器资源。
· 问题现象:设备开启了SNMP功能,在遭到SNMP攻击时异常重启。
· 问题产生条件:大量SNMP报文冲击造成snmpd内存泄露。
· 问题现象:设备开启了SSH端口,在遭到SSH攻击时异常重启。
· 问题产生条件:SSH每用户登陆或不登陆都会创建一个ssh进程,所以遇到ssh攻击时,会创建大量的ssh进程,最后导致系统内存耗尽,设备重启。
· 问题现象:ACG1000设备光口shutdown后,仍然会发光,有时导致对端设备端口不能联动关闭。
· 问题产生条件:硬件在shutdown的时候,没有关光,对端设备检测到有光的情况下就是UP的。
· 问题现象:ACG1000设备开启免认证功能,使用苹果手机弹出认证界面后WiFi图标无法点亮。
· 问题产生条件:Apple用户在通过网络身份认证后,重新向APPLE服务器发起连接,由于没有域名探测机制,导致再次被设备重定向。
· 问题现象:有些情况下在menuboot下重置管理员密码,密码重置不成功。
· 问题产生条件:管理员密码忘记或者admin状态被禁用,有时在menuboot中重置不生效。
· 问题现象:IPSec穿越NAT场景下,分支结构有可能出现隧道接口down掉情况从而导致vpn业务中断。
· 问题产生条件:分支机构收到源端口号500到目的端口号4500的二阶段SA删除信息,接着又收到源端口号4500到目的端口号4500的二阶段SA删除信息。
· 问题现象:ACG断网时内存使用突增到100%,之后内存下降到15%,cpu下降到趋于0。
· 问题产生条件:当一个流很大,并且传输速率很快的时候,该问题有时出现。
· 问题现象:HA主主模式下,设备出现死机重启现象。
· 问题产生条件:HA主主模式配置下,未配置NAT功能,其中一台设备收到另外设备的同步流量中包含有NAT相关信息。
· 问题现象:访问百度网页有打不开主页的情况。
· 问题产生条件:当设备收到乱序的IP报文后,没有进行保序操作。
· 问题现象:通过mib browser读取设备相关mib节点信息,无法获取到设备的版本信息。
· 问题产生条件:开启SNMP,在mib browser中导入设备对应的mib库。
· 问题现象:通过漏扫设备对ACG设备进行漏洞扫描,发现OpenSSH存在漏洞;
· 问题产生条件:对设备进行漏洞扫描。
· 问题现象:对某些iMC用户,用户信息中心和在线用户管理显示的所属组不一致。
· 问题产生条件:用户登陆成功后注销下线,下线后在iMC上修改该用户用户组名称,修改后再次登录上线。
· 问题现象:客户端通过ACG的目的NAT访问内网FTP服务数据连接不通(FTP服务器端口为21,目的NAT配置为非21转换为21),FTP被动模式访问。
· 问题产生条件:FTP客户端通过被动模式连接映射后的服务器和端口。
· 问题现象:与MSR等硬件设备对接光口不亮。
· 问题产生条件:MSR等设备对接。
· 问题现象:PC的分辨率是1024*760或者更低就被错误识别成移动端,导致认证不成功。
· 问题产生条件:PC分辨率为1024*760。
· 问题现象:无法在Web和CLI中查看SN序列号。
· 问题产生条件:升级到R6606P01版本。
· 问题现象:迅雷误识别。
· 问题产生条件:使用迅雷下载并阻断。
· 问题现象:用户信息中心显示用户组与在线用户组显示组别不一致。
· 问题产生条件:使用iMC同步用户认证。
· 问题现象:微信认证跳转URL有误问题。
· 问题产生条件:客户从demo版本升级到新版本后使用微信跳转页面。
· 问题现象:无法认证成功,点击登录按钮重新弹出认证界面。
· 问题产生条件:开启强制登录间隔后。
· 问题现象:防共享误识别。
· 问题产生条件:客户针对防共享识别率测试 。
· 问题现象:认证点击提交按钮无反映。
· 问题产生条件:IOS设备进行本地Web认证。
· 问题现象:页面一直显示加载中。
· 问题产生条件:使用审计用户登录,IPsec快速配置后提交。
· 问题现象:页面未提示无权限。
· 问题产生条件:审计用户登录,系统维护下的信息收集,点击删除按钮,弹出提示框后点击确定。
· 问题现象:页面未提示无权限。
· 问题产生条件:使用审计用户登录,SSL VPN监控下的清除按钮。
· 问题现象:微信认证二维码图片预览显示异常。
· 问题产生条件:微信认证预览功能开启HTTPS未开启HTTP的情况下。
· 问题现象:访问加入白名单的URL会出现不能访问。
· 问题产生条件:添加URL白名单。
· 问题现象:PPPoE拨号成功状态下掉线,无法自动重连PPPoE。
· 问题产生条件:PPPoE服务器发送报文异常,致不能重新拨号。
· 问题现象:无法删除带空格的用户。
· 问题产生条件:配置文件导入时用户名带空格。
· 问题现象:显示异常,无法显示完全。点击操作打开之后为空白,并且无法删除此用户。
· 问题产生条件:本地用户导入操作时,用户名超过10个字符导致。
· 问题现象:设备不断重启。
· 问题产生条件:接口接收缺少字节的异常报文,导致设备重启。
· 问题现象:在系统信息和命令行查看设备型号,字符k显示小写。
· 问题产生条件:这个问题是由于没注意字符大小些导致的。
· 问题现象:非认证用户用户IP冻结功能不生效。
· 问题产生条件:目前冻结动作冻结的是用户,然后匿名用户没有用户名,所以导致无法冻结匿名用户。
· 问题现象:用户被禁用后配置被清空。
· 问题产生条件:这个问题是 由于源码设计不易用导致的,具体原因为在禁用时后台会将该用户信息清楚仅保留用户名称。
· 问题现象:App缓存,上传大量文件,包含一些大文件,清除配置重启设备,webui上显示文件删除,其实后端仍占用存储空间,需要进入后才能清理。
· 问题产生条件:进行erase 清除配置时,只是清除了配置信息,并没有对文件进行清除,所以导致bug中问题。
· 问题现象:HA主主,配置同步session,其中一台设备上线,另外一台设备不实时同步。
· 问题产生条件:用户同步时,状态检查错误,造成同步用户的ipc被deny掉。
· 问题现象:最近一天横轴显示时间点间隔不是整2小时,前后会差几分钟。
· 问题产生条件:在挂载定时器时,为了减少地址器的误差,减了一部分误差产生的时间,实际不需要。
· 问题现象:设备向网管端注册,注册地址为0.0.0.0。
· 问题产生条件:设备自动注册,源IP地址获取方式有点问题,不是从socket获取的,而是通过查路由得到,某些情况下会出问题。
· 问题现象:配置基于优先级的负载均衡(未开启会话保持),其中某个接口不配置带宽, 修改策略为基于带宽,策略仍然生效。
· 问题产生条件:基于带宽比的负载均衡策略,如果组下有未配置带宽的接口,则该负载均衡组不会生效。而对于策略为优先级的负载均衡组,则没有该要求。
· 问题现象:测试仪打流,静态绑定的MAC用户,流停止后,40分钟后,绑定MAC的用户老化后,无下线日志。
· 问题产生条件:用户超时下线时,会先做一些清理动作,其中就有识别结果recog与它所属的用户解绑定,将识别结果中的。
用户置空,然后会发下线日志。发日志时需要用到识别结果中的用户信息,但是在之前已将用户置空,所以未能发送日志;
· 问题现象:三权模式下,当已经存在用户名为test的系统管理员账号时,把另一个账号管理员修改为test的用户名,修改成功。
· 问题产生条件:针对新修改的用户名称没有进行重名判断,所以导致bug中问题;
· 问题现象:ACG审计邮件时,使用QQ邮箱发送邮件,邮件接收者地址有单数的反斜杠且反斜杠刚好在第1024个字符时设备重启。
· 问题产生条件:当使用QQ发邮件时,邮件接收者地址有单数反斜杠且反斜杠刚好在第1024个字符时导致。
· 问题现象:系统信息收集导出后查看配置信息,路由信息无法显示。
· 问题产生条件:信息导出,路由部分为show 而非dispaly。
· 问题现象:当在线用户同步显示IPv4及IPv6地址时,冻结v6地址无法生效。
· 问题产生条件:由于用户冻结实现只对v4地址冻结,未对用户做处理。
· 问题现象:DHCP排除范围地址段提交错误报错后为新建,易用性较差。
· 问题产生条件:由于重新提交错误地址,前台未与后台交互,先行在前台创建用户下发后台;
· 问题现象:上传同一URL不同文件的app缓存,显示剩余存储空间不正确。
· 问题产生条件:后台文件存储为同一文件,导致文件覆盖。
· 问题现象:新建管理IP,操作日志为modify。
· 问题产生条件:后台没有对应新建管理IP日志。
· 问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。
· 问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。
· 问题现象:配置P2P下载、流媒体策略拒绝后,网页上无法查看百度文库PPT和豆丁网内容。
· 问题产生条件:流媒体预定义组中包含了flash特征,致使配置流媒体阻断策略后无法访问PPT等内容。
· 问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。
· 问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。
· 问题现象:使用安卓系统V6.1后的微信版本进行微信认证,首次认证时会弹出认证导航页面,需进行第二次认证操作才可通过认证。
· 问题产生条件:微信V6.1之后版本,微信端更改了交互报文的格式,设备未对新格式的URL适配而导致。
· 问题现象:ACG接收iMC下发的用户信息后,ACG会在17、8个小时会自动将该用户强制下线。
· 问题产生条件:设备端未对iMC推送的用户类型做特殊控制,致使iMC下发的用户在线时长是默认值,超出默认值后设备将会对该用户进行强制下线操作。
· 问题现象:设备中存在本地认证配置的背景下,用户使用迅雷在某些特殊的服务器上进行下载。将该在用户本地认证的状态下强制下线,迅雷仍可下载。
· 问题产生条件:本地认证用户下线后,ACG会清除该用户的所有会话。但公网上的某些迅雷服务器会主动向内网建立会话,这些由外到内的报文没有匹配到用户策略而直接放行。
· 问题现象:使用微信认证策略,向已关注的公众号中发送关键字。收到的回复信息时间较长。
· 问题产生条件:微信V6.1版本发送关键字时,某些报文使用非80、8080端口。设备端收到非80、8080端口的报文会进行重传。重传次数较多,导致发送关键字延迟大。
· 问题现象:新建和编辑用户类型为静态绑定IP,提交后类型显示为空。
· 问题产生条件:新建和编辑用户类型前后台参数不一致导致,后台对前端配置的参数不识别。出现配置为空的现象。
· 问题现象:正常配置自定义Portal页面功能,完成后使用IE9浏览器进行本地认证。输入用户名、密码后点击登录按钮无反应。
· 问题产生条件:IE9浏览器对JS调试代码的不兼容导致在该浏览器下认证异常。
· 问题现象:用户配置不允许修改密码,自定义Portal界面仍然出现修改密码按钮,能够进行修改密码操作。
· 问题产生条件:自定义认证界面未判断用户修改密码的参数,导致问题的产生。
· 问题现象:创建IPv4策略,在此策略中添加20条以上的应用审计策略。点击策略的展开按钮(按钮在ID后面有颜色的方块处),翻页查看应用审计策略时,第二页仍显示第一页的审计策略,第三页、第四页也是相同的情况。
· 问题产生条件:因Web中的策略索引信息没有上传到CP,导致查看应用审计策略分页显示失效。
· 问题现象:开启应用识别后新建性能比未开启下降约70%。
· 问题产生条件:开启应用识别后测试新建性能与未开启做比对。
· 问题现象:曾引用的RADIUS组可以被删除。
· 问题产生条件:RADIUS组在被引用后做修改为不再引用,再对该RADIUS组执行删除动作。
· 问题现象:接口为非PPPoE接口仍可被策略路由引用,导致路由失效。
· 问题产生条件:接口为PPPoE接口被策略路由引用,修改为物理接口后该路由仍可引用该接口。
· 问题现象:本地始发ping从等价路由转发有丢包。
· 问题产生条件:新建两条等价路由,ping包从本地始发,指定本地IP为源ping对端环回口时会一通、一不通的回显。
· 问题现象:策略路由仅可选则单个应用无法选择应用组。
· 问题产生条件:策略路由仅可选择单个应用,无法选择类似“P2P下载”这类应用组。
· 问题现象:管理设备后缀为/webui/?g=main登录框显示为3个。
· 问题产生条件:管理IP后缀为/webui/?g=main。
· 问题现象:RADIUS认证限制用户登录数为2,3个用户认证登录均可成功。
· 问题产生条件:第三方用户由于没有添加登陆限制,导致该用户登录数无效。
· 问题现象:微信认证时,当跳转URL中同时含有host和path字段时,认证失败。
· 问题现象:配置本地认证用户并禁止该用户修改密码,使用创建的用户认证,认证成功后刷新计时页面就会出现修改密码按钮。
· 问题产生条件:刷新页面同时,如果用户已登录会发送keepalive请求,但keepalive接口里未增加是否允许修改密码的属性。
· 问题现象:ACG与iMC做联动Portal认证,设备重启后,显示iMC服务器上用户仍然在线。
· 问题产生条件:ACG与iMC做联动Portal认证,用户已经认证成功,可正常使用网络,设备重启,显示设备认证用户已下线,但iMC服务器上显示认证用户仍在线。
· 问题现象:Portal Server端用户未下线,导致再次上线时失败。
· 问题产生条件:ACG与iMC做联动Portal认证,用户已经认证成功后,iMC强制用户下线,ACG未同步下线报文给Portal Server,导致下一次用户上线将无法成功。
· 问题现象:用户处于root组内,而没有归属于正确的用户组内。
· 问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。
· 问题现象:用户处于root组内,而没有归属于正确的用户组内。
· 问题产生条件:用户下线后在短时间内(大概五分钟)再次上线时,ACG1000上查看在线用户时,用户处于root组下,而没有归属于正确的用户组内。
· 问题现象:iMC联动认证时,在认证页面输入错误的密码,认证不成功,提示“设备拒绝请求”,而不是“密码错误”。
· 问题产生条件: iMC联动认证时,在认证页面输入错误的密码。
· 问题现象:当请求方向报文不经过ACG转发,而响应报文通过ACG转发时,默认ACG会将SYN ACK报文丢弃,导致业务不通。
· 问题产生条件: iMC联动认证时,请求方向报文和响应报文转发路径不一致导致。
· 问题现象:当配置本地认证用户策略,多用户使用同一个用户登录时,如某个用户更改当前用户密码后其他用户均无法使用该用户登录。
· 问题产生条件:配置本地认证用户策略时,未对是否修改密码选项进行控制。
· 问题现象:开启本地Web认证功能后,CPU core0利用率达到100%。
· 问题产生条件:开启本地Web认证功能,并发30个以上的认证用户。
· 问题现象:开启审计所有模块审计功能后,CPU core0利用率达到100%。
· 问题产生条件:开启所有模块的审计功能并记录到本地数据库,按照产品规格打入背景流量。
· 问题现象:本地Web认证成功后,页面不再跳转到配置的URL页面。
· 问题产生条件:本地Web认证成功后修改密码。
· 问题现象:本地Web认证密码存放在第三方RADIUS服务器上,认证时设备异常重启
· 问题产生条件:进行本地Web认证时将用户名密码存放在第三方服务器上,认证时输入错误的用户名和密码。
· 问题现象:流量监控统计有偏差。
· 问题产生条件:某种应用的连接长时间保持或存在跨天的情况;在应用的连接断开之前,无法看到该业务的流量统计,流量监控统计有偏差。
· 问题现象:被拒绝的应用连接仍统计少量流量。
· 问题产生条件:被IPv4策略拒绝的流量在流量排名界面上仍然能够查看到少量流量。流量匹配到动作为阻断的IPv4策略,产生的流量阻断会话包含部分流量。
· 问题现象:无法看到部分特殊应用的流量统计信息。
· 问题产生条件:应用连接维持时间小于1秒时,无法统计该类应用流量。
· 问题现象:首页流量统计存在偏差。
· 问题产生条件:应用连接保持时间小于10秒,首页流量统计存在偏差。
· 问题现象:配置IPv6隧道时,无法在页面中直接修改。
· 问题产生条件:配置IPv6隧道时,使用地址或接口方式配置产生错误后,无法在页面中直接修改。
· 问题现象:在用户组中添加大量用户时,用户选择框被清空。
· 问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。
· 问题现象:创建与匹配关键字对象时大小写区分实现不一致。
· 问题产生条件:用户组添加用户数最大为1024,当添加超过1024个用户到用户组时,会导致成员选择框被清空。
· 问题现象:用户认证通过以后定时被设备踢下线。
· 问题产生条件:用户通过iMC做认证,ACG做为Portal设备,用户认证成功以后会定期被ACG踢下线。
· 问题现象:在iMC踢出用户不生效
· 问题产生条件:ACG与iMC做联动Portal认证时,在iMC上踢出用户,ACG上并未踢出用户,用户仍在线,可正常通信。
· 问题现象:ACG与iMC做联动Portal认证,iMC上用户在线时长全部为0。
· 问题产生条件:ACG与iMC做联动Portal认证,用户已经认证成功,可正常使用网络,但是在线时长信息有误,全部为0。
· 问题现象:ACG上提出用户无法再次认证,重复登录后才能认证。
· 问题产生条件:在ACG上踢出用户后,如果再重新打开页面认证,会出现“Portal认证失败,该用户正在认证中,请稍后重试。”,需要重新上线二三次才可以正常上线。
首次发布,无问题列表。
您可以通过访问如下链接获取帮助:
· 请访问网址http://www.h3c.com/cn/Technical_Documents ,选择产品类型和产品型号,在“诊断维护”分类下查询相关案例。
· 请访问知了社区网址https://zhiliao.h3c.com/,输入产品型号或功能关键字,搜索相关案例。
· H3C SecPath ACG1000系列应用控制网关 快速安装指南
· H3C SecPath ACG10X0[BX00]系列应用控制网关 快速安装指南
· H3C SecPath ACG1000-X[AK2X0][AK2X5]系列应用控制网关 快速安装指南
· H3C SecPath ACG1000-C9000系列应用控制网关 快速安装指南
· H3C SecPath ACG1000系列应用控制网关 安装指导
· H3C SecPath ACG1000系列应用控制网关 License使用指南
· H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)
· H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6614)
· H3C SecPath ACG1000系列应用控制网关 命令参考(R6614)
· H3C SecPath ACG1000系列应用控制网关 配置指导(R6614)
您可以通过H3C网站(www.h3c.com)获取最新的产品资料:
(1) 请访问网址:http://www.h3c.com/cn/Technical_Documents;
(2) 选择产品类别和产品型号,即可查询和下载与该产品相关的手册。
用户支持邮箱:service@h3c.com
技术支持热线电话:400-810-0504(手机、固话均可拨打)
项目 | SecPath ACG1000-AK230 | SecPath ACG1000-AK240 | SecPath ACG1000-AK250 | SecPath ACG1000-AK260 | SecPath ACG1000-AK270 | SecPath ACG1000-AK280 |
管理接口 | 任一业务接口 | 任一业务接口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 |
业务接口 | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) | 12GE+12SPF | 12GE+12SPF | 12GE+12SPF | 12GE+12SPF+2XFP |
BYPASS接口 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) |
扩展槽 | 2 | 2 | 1 | 1 | 1 | 1 |
接口模块 | 无 | 无 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 支持8个口POE | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm |
额定功率 | 25W | 120W(POE)+25W | 60W*2 | 60W*2 | 60W*2 | 60W*2 |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 4.7KG | 5.1KG | 5.1KG | 5.1KG | 5.1KG | 5.1KG |
项目 | ACG1000-SE-PWR | ACG1000-SE | ACG1030-X1 | ACG1050-X1 |
管理接口 | 任一业务接口 | 任一业务接口 | 任一业务接口 | 任一业务接口 |
业务接口 | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) | 4GE(Combo)+10GE(电) |
BYPASS接口 | ge0、ge1支持断电bypass | ge0、ge1支持断电bypass | ge0、ge1支持断电bypass | ge0、ge1支持断电bypass |
扩展槽 | 无 | 无 | 1 | 1 |
接口模块 | 无 | 无 | 无 | 无 |
PoE供电接口 | 支持8口POE Port 6-13支持POE | 无 | 无 | 支持8口POE Port 6-13支持POE |
尺寸(长×高×深/mm) | 440*44*263 | 440*44*263 | 440*44*263 | 440*44*263 |
额定功率 | 25W+120W(POE) | 25W | 25W | 125W+25W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 3.1KG | 2.9KG | 2.9KG | 3.1KG |
项目 | ACG1000-TE | ACG1000-ME | ACG1060-X1 | ACG1070-X1 | ACG1000-AE | ACG1000-PE | ACG1000-EE | ACG1000-XE1 |
管理接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 |
业务接口 | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电)+2万兆 | 12GE(光)+12GE(电)+4万兆 | 12GE(光)+12GE(电)+4万兆 | 12GE(光)+12GE(电)+8万兆 |
BYPASS接口 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持2对bypass(GE0和GE1、GE2和GE3) | 支持2对bypass(GE0和GE1、GE2和GE3) | 支持2对bypass(GE0和GE1、GE2和GE3) |
扩展槽 | 无 | 无 | 无 | 无 | 1 | 无 | 无 | 无 |
接口模块 | 无 | 无 | 无 | 无 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 无 | 无 | 无 | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*44*263 | 440*44*263 | 440*44*263 | 440*44*263 | 440*86*300 | 440*86*415 | 440*86*415 | 440*86*415 |
额定功率 | 120W | 120W | 120W | 120W | 120W | 300W | 300W | 300W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 3.85kg | 3.85kg | 3.85kg | 3.85kg | 5.2kg | 8.2kg | 8.2kg | 8.2kg |
项目 | ACG1000- C9130 | ACG1000- C9150 | ACG1000- C9160 | ACG1000- C9170 |
管理接口 | 任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 | 1*GE(电)和任一业务接口 |
业务接口 | 4GE(Combo)+10GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电) | 12GE(光)+12GE(电)+2万兆 |
BYPASS接口 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) |
扩展槽 | 1TF卡扩展 | 无 | 无 | 1 |
接口模块 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*44*263 | 440*44*263 | 440*44*263 | 440*86*300 |
额定功率 | 25W | 120W | 120W | 120W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |
重量 | 2.9kg | 3.85kg | 3.85kg | 5.2kg |
项目 | ACG1000-AK215 | ACG1000-AK225 | ACG1000-AK255 | ACG1000-AK265 | ACG1000-AK275 | ACG1000-AK285 |
管理接口 | 任一业务接口 | 任一业务接口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 | 专用带外管理GE口 |
业务接口 | 10GE(电) | 10GE+1SFP | 12GE+12SPF | 12GE+12SPF | 12GE+12SPF | 12*GE+12*SPF+4*SFP+ |
BYPASS接口 | 无 | 无 | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持一对GE口(GE0和GE1) | 支持2对GE口(GE0和GE1;GE2和GE3) |
扩展槽 | 2 | 2 | 1 | 1 | 1 | 无 |
接口模块 | 无 | 无 | 无 | 无 | 无 | 无 |
PoE供电接口 | 无 | 支持4个口POE | 无 | 无 | 无 | 无 |
尺寸(长×高×深/mm) | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*300mm | 440*86*415mm |
额定功率 | 25W | 60W(POE)+25W | 60W*2 | 60W*2 | 60W*2 | 300W |
电源 | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC | 100~240V AC |
可靠性 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 | ≥100,000小时 |