H3C SECPATH1020T-1030T-1050T-1060T-1080T-CMW710-R8560P43 版本说明书

目录

1 版本信息·· 1

1.1 版本号·· 1

1.2 历史版本信息·· 1

1.3 版本配套表·· 1

1.4 ISSU版本兼容列表·· 3

1.5 版本升级注意事项·· 3

2 硬件特性变更说明·· 4

3 软件特性及命令行变更说明·· 4

4 MIB变更说明·· 4

5 操作方式变更说明·· 5

6 版本使用限制及注意事项·· 5

7 存在问题与规避措施·· 8

8 解决问题列表·· 8

8.1 R8560P43版本解决问题列表·· 8

8.2 R8560P35版本解决问题列表·· 12

8.3 R8560P27版本解决问题列表·· 13

8.4 R8560P22版本解决问题列表·· 13

8.5 R8560P18版本解决问题列表·· 17

8.6 F8560P10版本解决问题列表·· 20

8.7 R8536P2410版本解决问题列表·· 20

8.8 F8536P19版本解决问题列表·· 20

8.9 F8536P1217版本解决问题列表·· 20

8.10 F8536P1215版本解决问题列表·· 20

8.11 F8536P1209版本解决问题列表·· 20

8.12 F8536P1202版本解决问题列表·· 20

9 相关资料·· 20

9.1 相关资料清单·· 20

9.2 资料获取方式·· 21

10 技术支持·· 21

附录 A 本版本支持的软、硬件特性列表·· 22

A.1 版本硬件特性·· 22

A.2 版本软件特性·· 23

附录 B 修复的安全漏洞·· 26

B.1 R8560P43及以前版本修复的安全漏洞·· 26

附录 C 软件升级操作指导·· 29

C.1 设备软件简介·· 29

C.1.1 BootWare程序·· 29

C.1.2 启动软件包·· 29

C.1.3 配置文件简介·· 30

C.2 软件升级方式简介·· 30

C.2.1 升级前的准备·· 31

C.2.2 设备升级环境·· 31

C.3 升级启动文件·· 32

C.3.1 通过Web升级启动文件·· 32

C.3.2 通过命令行升级启动文件·· 35

C.3.3 通过BootWare菜单升级启动文件·· 41

C.4 升级BootWare文件·· 46

C.4.1 通过命令行升级BootWare文件·· 46

C.4.2 通过BootWare菜单升级BootWare文件·· 46

C.5 软件升级失败的处理·· 51

附录 D 进入BootWare菜单·· 52

D.1 BootWare菜单的快捷键·· 52

D.2 进入BootWare基本段·· 52

D.2.1 修改串口参数·· 53

D.2.2 升级BootWare扩展段·· 53

D.2.3 升级完整的BootWare· 54

D.2.4 启动BootWare扩展段·· 54

D.2.5 启动备份的BootWare扩展段·· 54

D.2.6 进入基本段辅助子菜单·· 55

D.3 进行内存测试·· 55

D.4 进入BootWare扩展段·· 55

D.4.1 BootWare扩展段主菜单·· 55

D.4.2 配置密码恢复功能·· 58

D.4.3 启动应用程序·· 58

D.4.4 串口子菜单·· 59

D.4.5 以太网配置子菜单·· 60

D.4.6 文件控制子菜单·· 61

D.4.7 恢复出厂配置启动·· 65

D.4.8 忽略系统配置文件·· 65

D.4.9 BootWare操作子菜单·· 66

D.4.10 跳过console口认证·· 66

D.4.11 存储器操作子菜单·· 67

D.4.12 进入BootWare扩展段辅助子菜单·· 68

D.4.13 格式化文件系统·· 68

表目录

表1 历史版本信息表....................................................................................................................... 1

表2 版本配套表.............................................................................................................................. 2

表3 ISSU版本兼容列表................................................................................................................. 3

表4 MIB文件变更说明................................................................................................................... 4

表5 T1020/T1030/T1050设备系统配置表.................................................................................... 22

表6 T1060/T1080设备系统配置表............................................................................................... 22

表7 T1000-AK340/T1000-AK350设备系统配置表........................................................................ 23

表8 产品软件特性........................................................................................................................ 23

表9 软件升级方式简介................................................................................................................. 30

表10 默认Web登录信息表.......................................................................................................... 32

表11 设置以太网口参数显示信息描述表....................................................................................... 43

表12 设置以太网口参数显示信息描述表....................................................................................... 45

表13 设置以太网口参数显示信息描述表....................................................................................... 48

表14 设置以太网口参数显示信息描述表....................................................................................... 50

表15 系统保留的快捷键............................................................................................................... 52

表16 BootWare基本段菜单项说明............................................................................................... 53

表17 BootWare基本段辅助子菜单说明........................................................................................ 55

表18 BootWare扩展段主菜单说明............................................................................................... 57

表19 配置密码恢复功能............................................................................................................... 58

表20 串口子菜单说明................................................................................................................... 59

表21 以太网配置子菜单说明........................................................................................................ 60

表22 以太网口参数设置说明........................................................................................................ 61

表23 文件控制子菜单说明............................................................................................................ 61

表24 BootWare操作子菜单说明................................................................................................... 66

表25 存储器操作子菜单说明........................................................................................................ 67

表26 扩展段辅助子菜单说明........................................................................................................ 68

本文介绍了R8560P43版本的特性、使用限制、存在问题及规避措施等。加载R8560P43版本前，建议您备份配置文件，并进行内部验证，以避免可能存在的风险。

本文档需和随版本发布的《H3C SECPATH1020T-1030T-1050T-1060T-1080F-CMW710- R8560P43版本说明书 （软件特性变更说明）》，以及本文“9  相关资料”中的文档一起配合使用。

1  版本信息

1.1  版本号

版本号：Comware software, Version 7.1.064, Release 8560P43

注：该版本号可在命令行任何视图下用display version命令查看，见注①

1.2  历史版本信息

表1 历史版本信息表

1.3  版本配套表

表2 版本配套表

示例：查看T1080的软件版本和Bootware版本号方式如下：

<H3C> display version

H3C Comware Software, Version 7.1.064, Release 8560P43       ----注①

Copyright (c) 2004-2024 New H3C Technologies Co., Ltd. All rights reserved.    

H3C SecPath T1080 uptime is 0 weeks, 0 days, 0 hours, 5 minutes                

Last reboot reason: User reboot                

Boot image: flash:/t1000ips-cmw710-boot-R8560P43.bin                           

Boot image version: 7.1.064, Release 8560P43                                     

Compiled Jan 17 2024 14:00:00                  

System image: flash:/t1000ips-cmw710-system-R8560P43.bin                       

System image version: 7.1.064, Release 8560P43      

Compiled Jan 17 2024 14:00:00

Uptime is 0 weeks, 0 days, 0 hours, 4 minutes

CPU type: Multi-core CPU

DDR3 SDRAM Memory      8190M bytes

Board PCB        Version:Ver.A

CPLD_A           Version:  1.0

CPLD_B           Version:  3.0  

Basic  BootWare  Version: 2.06          ----注②      

Extend BootWare  Version: 2.06  

Board PFC        Version:Ver.A  

NandFlash PCB    Version:Ver.A  

HD PCB           Version:Ver.A     

[SubSlot 0]16GE+8SFP+2XGE  (Hardware)Ver.A, (Driver)1.0, (Cpld)3.0

1.4  ISSU版本兼容列表

ISSU（In-Service Software Upgrade，不中断业务升级）升级分为兼容性升级和不兼容性升级。由于18个月以上的版本不进行兼容性验证，下表仅列出本版本与18个月以内的历史版本之间的ISSU升级方式。关于ISSU的详细介绍，请参见与设备配套的“基础配置指导”中的“ISSU”。

表3 ISSU版本兼容列表

1.5  版本升级注意事项

无

2  硬件特性变更说明

无

3  软件特性及命令行变更说明

有关本版本及历史版本的软件特性及命令行的变更信息说明，请参见随版本发布的文档《H3C SECPATH1020T-1030T-1050T-1060T- 1080F-CMW710- R8560P43版本说明书（软件特性变更说明）》。

4  MIB变更说明

表4 MIB文件变更说明

5  操作方式变更说明

无

6  版本使用限制及注意事项

在更新软件版本之前，强烈建议您通过《H3C SECPATH1020T-1030T-1050T-1060T-1080T-

CMW710-R8560P43版本说明书（软件特性变更说明）》了解版本间的软件特性变更情况，评估变更可能对业务造成的影响，同时请查阅相关的配套资料：

1. Web操作使用限制及注意事项

(1)      浏览器使用Chrome 31及以上版本、Firefox 19及以上版本、Safari 5及以上版本、Internet Explorer 9及以上版本。

(2)      不支持Web与命令行混用，对于同一个特性模块，不能同时既使用命令行，又使用Web进行配置。

(3)      使用Web登录设备时，不支持IPv6地址登录。

(4)      Web监控和概览等页面暂不提供联机帮助，统一返回主页面。

(5)      Web页面进行DPI配置下发或变更，点击提交后，Web上显示设置成功，后台可能没有处理完成，此时流量经过设备，会出现暂时无法识别现象。

(6)      Web上不支持配置URL过滤策略默认动作为重定向。

(7)      Web上系统日志仍然显示AV病毒日志、文件过滤日志信息。

2. 版本升级使用限制及注意事项

(1)      IRF设备通过ISSU从不支持安全策略的版本升级到支持安全策略的版本，安全策略配置没有自动转换，必须整机重启后才能转换。

(2)      ISSU升级前，应确认当前加载的boot版本和system版本一致。

(3)      ISSU升级不支持跨分支版本升级。

(4)      ISSU升级后，当两个版本模块有差异时，需要清除浏览器缓存，Web才能正常显示配置信息。

3. 堆叠及主备切换使用限制及注意事项

(1)      双机热备只支持主备模式；双主模式性能低，不建议使用。

(2)      在非稳态下，不建议对设备进行重启、倒换等操作，如整框重启、主备倒换、重启安全板卡、重启/开始/停止自定义Context等。（设备/单板/MDC/Context启动需要一定的时间，才能达到Stable状态。如果设备/单板/MDC/Context长时间未进入Stable状态时，系统是处于非稳态的。）

(3)      双机热备的环境下开启连接数限制功能，由于没有做stat-nodes节点的备份，主备切换后，会导致限制的会话数翻倍。

(4)      设备款型、品牌、软件版本、BOM等保持一致才能堆叠。

(5)      产品只支持双机堆叠，两台设备要保持严格对称一致（包括版本、品牌、插卡类型和接口等）。

(6)      不支持环堆

(7)      不允许配置组网的过程中出现堆叠口不对称的情况（即必须保证堆叠线两端要么都是普通以太口，要么都是堆叠口）

(8)      堆叠必须直连，堆叠不能经过交换机中转。

(9)      开启双机热备功能后，在流量不断的情况下，执行清除会话的命令（例如：reset session table，在接口上使能或者去使能nat outbound等），会导致最终主备机会话数不一致，请谨慎使用。

(10)   不要在自定义用户Context修改逐包或逐流转发模式的操作，请在缺省Context下操作。

4. Context使用限制及注意事项

(1)      不建议在内存不足的情况下进行Context的重启、开始、停止等操作，可能会导致Context概率性起不来。

(2)      自定义Context数量，请参考规格数量使用。

(3)      不要在自定义用户Context下进行修改逐包或逐流转发模式的操作，请在缺省Context下操作。

5. DPI特性及场景使用限制及注意事项

(1)      DPI 业务不支持热备。

(2)      升级新的软件版本，应同步升级最新的特征库版本。

(3)      DPI日志报表都有一定延时，超出规格后自动删除最旧的记录。

(4)      开启应用识别时，在未识别前经过设备的报文的应用类型统计可能不准确，只能按照未识别之前的应用类型进行统计。

(5)      命令行升级特征库的时候，不能通过绑定vpn instance的端口进行升级。

(6)      POST请求，不支持重定向动作。

(7)      不支持跨VPN进行应用识别。

(8)      多通道协议，安全策略配置阻断子会话时，阻断不成功，需要配置父会话的阻断动作。

(9)      触发内存门限告警后，DPI业务无法下发规则。

(10)   AVC配置根据自定义应用进行新建速率限制和新建会话数目限制时，仍可查看到会话信息。

(11)   DPI业务（IPS/AV/AVC/内容过滤/URL过滤）当前仅支持IPv4，不支持IPv6。

(12)   激活配置过程（即执行inspect active命令）、主备过程或特征库升级回滚过程中DPI检测引擎出现短暂的不处理流量属于正常情况。

(13)   应用层检测引擎只支持对gp、base64和百分号三种编码方式进行检测，同时不支持对加密报文和压缩报文进行检测。

(14)   配置IPS策略动作为drop，通过ISSU方式堆叠倒换升级过程中，偶尔出现命中IPS业务的drop不生效的情况。

(15)   审计日志需要以fastlog方式发送。

(16)   关于手工升级AV/URL特征库的使用说明：官网AV和URL区分大小库，名称中包含h的为大库，否则为小库。比如V7-AV-H-1.0.68.dat为大库，V7-AV-1.0.68.dat为小库。用户手工升级AV和URL特征库时，设备内存8GB以上，同时存储介质（Flash,、SD卡和CF卡等）容量为1GB以上才能默认升级大库，否则只能默认升级小库。

(17)   在DPI大策略时，相关策略配置下发慢；建议先关闭配置日志，后面下发或者变更完成后， 再打开配置日志。

(18)   设备管理口支持配置虚地址，但备机登录设备不方便（管理口配置时建议添加备用地址），RBM虚地址不支持动态路由模式。

(19)   因DNS信誉域名例外命令行变更，若从90SP降级到60SP或71SP分支版本，配置因无法buildrun丢失

(20)   全局nat对象组不支持嵌套。

(21)   webui log enable命令各分支裁剪。

(22)   含有多个数字和中文名称的ips配置文件进行配置回滚，回滚失败，但对比回滚配置文件前后，带有中文的配置文件buildrun顺序不一致导致配置回滚失败。

(23)   开启url-filter log enable，打入ipv6流量命中url，生成的日志中ip地址是错误的ipv4地址。

6. 其他规格使用限制及注意事项

(1)      不支持组播。

(2)      不支持Portal。

(3)      不支持MPLS。

(4)      不支持QoS。

(5)      三层以太网接口MTU值默认为1500字节，考虑网络传输效率，不建议修改接口MTU值。另外，接口MTU值如果小于150字节，将出现特征库自动升级失败的问题。

(6)      端口扫描和IP扫描同时达到阈值时，报了IP扫描日志，但没有再报端口扫描日志。

(7)      域间策略开启加速可能占用较多内存，此时，建议升级为安全策略。

(8)      当设备外接PFC设备并且配置多对外部bypass接口时，避免将接口对的某个接口连续UP/Down，容易导致外部bypass接口状态显示不正确。

(9)      支持双硬盘的设备，硬盘插入1号槽位时，通过display device harddisk命令查询容量，发现显示为0，当前实际只支持一块硬盘，该硬盘暂时只支持插在0槽位，有需求正在解决中。

(10)   如果操作系统的邮件协议（如：IMAP/POP/SMTP协议）和对应格式为非MIME格式（Uuencode格式除外），则DPI不支持该种格式的处理。

(11)   mib节点接口流量统计中不支持Ipv4流量统计，仅支持ipv6。

(12)   RBM使用track interface时，不支持和其他RBM联动模块共同配置，如track vlan、vrrp、track id、adjust cost。

(13)   僵尸网络分析只能读取在trust-untrust域的数据。

(14)   全局NAT对象组不支持嵌套。

(15)   RBM虚地址组网，不建议管理口使用虚地址；如果有特殊需求管理口必须使用虚地址，则需要注意备机无法通过配置虚地址的管理口管理设备。

(16)   RBM虚地址组网场景，请使用静态路由，避免使用动态路由。

(17)   虚地址组网场景，只支持与静态路由联动，不支持与动态路由联动。

(18)   开启url-filter log enable，打入IPv6流量命中URL，生成的日志中IP地址是错误的IPv4地址。

(19)   在DPI大策略时，相关策略配置下发慢；建议先关闭配置日志，后面下发或者变更完成后，再打开配置日志。

(20)   设备是逐包模式，RIR里面开启逐包：load-balance per-packet enable，选路功能异常。

7  存在问题与规避措施

·              无

8  解决问题列表

8.1  R8560P43版本解决问题列表

1. 202303281904

·              问题现象：设备异常重启。

·              问题产生条件：设备转发特定异常mime格式报文。

2. 202303250363

·              问题现象：设备web缺少NAT策略联机帮助。

·              问题产生条件：T系列设备缺少NAT策略联机帮助。

3. 202303250350

·              问题现象：设备web上无法配置快速接入的路由模式。

·              问题产生条件：T系列设备存在此问题。

4. 202303030371

·              问题现象：设备下发设备主机配置失败。

·              问题产生条件：设备通过RESTFUL API带format下发日志主机配置。

5. 202302130765

·              问题现象：plink工具ssh登录设备，执行命令不受AAA命令授权控制。

·              问题产生条件：使用plink工具ssh登录设备。

6. 202302070501

·              问题现象：设备通过web配置接口下vrf失败。

·              问题产生条件：设备通过web配置接口下的vrf。

7. 202301090062

·              问题现象：设备报ntopd进程异常并产生core文件，web界面报操作失败且无法修改其储存上限小于已用空间。

·              问题产生条件：Web操作将审计业务已用空间12.4%修改更小数值。

8. 202210250790

·              问题现象：web上查看该规则卡住，无返回值。

·              问题产生条件：策略nat，配置dnat规则引用目的地址对象组，命令行删除dnat动作。

9. 202208081444

·              问题现象：DPI特征库丢失。

·              问题产生条件：设备配置堆叠，备设备快重启完成时，重启主设备。

10. 202107220906

·              问题现象：设备存在内存泄漏现象。

·              问题产生条件：Web概览中，流量实时应用排行以及流量实时用户排行页面开启实时采集功能后，刷新页面。

11. 202107151191

·              问题现象：存在ntopd内存泄漏。

·              问题产生条件：Web流量日志开启日志聚合，打入流量。

12. 202105120225

·              问题现象：丢包会话对http、dns、ftp等应用层协议无法建立ipv4丢包会话,ipv6没有问题。

·              问题产生条件：二层接口流量下。

13. 202104011053

·              问题现象：支持上报设备标识devSn，而其上传文件接口和样本请求检测消息均不支持增加设备SN标识。

·              问题产生条件：防火墙设备对接云安全能力中心的云沙箱时。

14. 202012140152

·              问题现象：影响IPS报文捕获功能。

·              问题产生条件：开启IPS白名单开关。

15. 202112290806

·          问题现象：引起内存站岗，导致设备内存门限问题。

·          问题产生条件：ntopd频繁申请释放内存。

16. 202209221379

·          问题现象：设备反复进入内存门限，无法退出循环。

·          问题产生条件：有大量配置情况下，无流量设备反复进入内存门限，无法退出循环。

17. 202311151296

·          问题现象：设备重启。

·          问题产生条件：设备打入指定的ips攻击报文，BM算法拷贝越界，将栈写坏。

18. 202306301827

·          问题现象：日志缓存上限后多了一条inspect record-filename nfs maximum xxxx的配置。

·          问题产生条件：堆叠组网下一台设备加载debug版本一台设备加载release版本，然后拆堆叠后在release版本的设备上执行undo ips。

19. 202401150773

·          问题现象：B64 D060SP43版本web联机帮助文档内容更新。

·          问题产生条件：B64 D060SP43版本web联机帮助文档内容更新。

20. 202401041620

·          问题现象：小内存2G 4G设备裁掉联机帮助，直接提供链接到官网，使用在线联机帮助。

·          问题产生条件：小内存2G 4G设备裁掉联机帮助，直接提供链接到官网，使用在线联机帮助。

21. 202401020483

·          问题现象：点击确定时提示报错。

·          问题产生条件：web界面开启快速日志，并且勾选了策略日志。

22. 202312290796

·          问题现象：响应包总长有512KB会tcp分段，流量不通。

·          问题产生条件：跨vpn场景，配置tcp代理+waf（无防篡改），打http get。

23. 202209140498

·          问题现象：定制支持端口镜像。

·          问题产生条件：定制支持端口镜像。

24. 202312111519

·          问题现象：优化4G设备内存利用率高问题。

·          问题产生条件：优化4G设备内存利用率高问题。

25. 202305260968

·          问题现象：导出日志数目为空。

·          问题产生条件：域名作为查询条件 查询后将日志导出。

26. 202312211996

·          问题现象：新增优化点去掉/etc/context４８Ｍ冗余。

·          问题产生条件：新增优化点去掉/etc/context４８Ｍ冗余。

27. 202401112054

·          问题现象：tcp-proxy按报文总长度处理报文时，将尾部的padding当成数据送给app-proxy。

·          问题产生条件：MAC转发的IP业务处理中，未将二层报文尾部多余的padding去掉。

28. 202401091059

·          问题现象：驱动mbuf 设置2k 节省24M存储空间。

·          问题产生条件：驱动mbuf 设置2k 节省24M存储空间。

29. 202401241123

·          问题现象：F5080款型无法修改IRF member，导致堆叠失败。

·          问题产生条件：F5080款型无法修改IRF member，导致堆叠失败。

30. 202401111715

·          问题现象：web界面中license显示名称为英文缩写，对于用户的可读性差。

·          问题产生条件：web界面中license显示名称为英文缩写，对于用户的可读性差。

31. 202401080342

·          问题现象：未升级的老版本设备产生rbm的core文件。

·          问题产生条件：设备RBM主备组网，从45SP2416老版本升级到后续SP分支（60SP及之后的分支) 升级其中一台设备后。

32. 202401091049

·          问题现象：2G内存设备，请优化ntop模块，节省空间。

·          问题产生条件：2G内存设备，请优化ntop模块，节省空间。

33. 202401170125

·          问题现象：亚信审计配置异常问题。

·          问题产生条件：亚信审计配置异常问题。

34. 202401251964

·          问题现象：修改聚合口及其子接口ipv6 mtu支持配置到9198。

·          问题产生条件：修改聚合口及其子接口ipv6 mtu支持配置到9198。

35. 202401170073

·          问题现象：SecPath F1060(V7) 内存利用率每天上升1％。

·          问题产生条件：SecPath F1060(V7) 内存利用率每天上升1％。

36. 202312061550

·          问题现象：增加定位光模块问题的维护手段。

·          问题产生条件：增加定位光模块问题的维护手段。

37. 202312210088

·          问题现象：空指针访问。

·          问题产生条件：nqa mdc 退出比ip6的晚，导致ip6的mdc控制块释放了后，nqa在mdc退出时调用ip6接口的mdc控制块，已经是null指针。

38. 202311010232

·          问题现象：丢失配置{undo password-control blacklist all-line}。

·          问题产生条件：60sp升级90sp会丢失配置{undo password-control blacklist all-line} 原因是B64D060SP上默认配置不应该buildrun出来。

39. 202312220474

·          问题现象：备业务板objpd进程异常退出。

·          问题产生条件：IRF堆叠组网，context内同时get指定4个RuleID以上的对象策略表项OBJP/IPv4Rules。

40. 202312220295

·          问题现象：LFIB模块内存越界。

·          问题产生条件：执行BGP-Multi-Instance_20.1.5.24.2.1.9_1_1_2.tcl等脚本。

41. 202312201660

·          问题现象：系统状态一直是Not ready，无法恢复正常。

·          问题产生条件：IRF 组网，重启主设备主备倒换，打入流量进入内存门限时ospf模块批备停止，没有报批备end 导致内存恢复时HA也无法do batch。

42. 202310240778

·          问题现象：ospf报文被丢弃，影响了路由。

·          问题产生条件：I清华大学频繁出现ospf down问题，发现设备开启了dns snooping log enable，dns报文会透传到主控并走了高优先级，当dns新建较大时。

8.2  R8560P35版本解决问题列表

1. 202209151648

·              问题现象：custom host相关配置除了ip信誉的其他的都会丢。

·              问题产生条件：跨版本升级走文本配置恢复。

2. 202209230343

·              问题现象：服务器证书无法导入。

·              问题产生条件：内网服务器证书校验错误。

3. 202304171302

·        问题现象：上行部分报文会上送node3控制核，占用控制核资源。

·        问题产生条件：单机环境下，不开启RBM功能，测试仪打入7层流程进行转发。

4. 202304100270

·        问题现象：发现burst 10000个报文，会丢好几千的报文。

·        问题产生条件：设备打入9212大包大流量后，再通过测试仪burst报文。

5. 202303271782

·        问题现象：逻辑通道挂死，报文不在转发。

·        问题产生条件：RBM环境下，设备打入混合报文，持续一定时间。

6. 202302031252

·        问题现象：概率出现RBM通道聚合口概率无法选中的现象。

·        问题产生条件：RBM主备环境下，通道采用聚合口方式，通过跑脚本同时重启主机和备机。

7. 202302090750

·        问题现象：rbm一致性检测不通过。

·        问题产生条件：acl的rule comment的结尾配置带空格。

8. 202302100872

·        问题现象：SLVPN全局配置中上传客户端文件最大只能上传50M。

·        问题产生条件：当前内置的INode超过50M。

9. 202302021546

·        问题现象：读取的数据和命令行看到的数据对不上。

·              问题产生条件：通过mib节点方式进行crc错包读取。

8.3  R8560P27版本解决问题列表

1. 202203241279

·              问题现象：应用分析中心-文件过滤相关模块把其它类型的应用都统计到http、smtp两个应用里。

·              问题产生条件：设备打入不同应用的文件过滤流量。

2. 202106221029

·              问题现象：风险系数脆弱性维度未考虑IP信誉、DNS信誉以及安全策略是否引用WAF、URL。

·              问题产生条件：风险系数脆弱性维度未考虑IP信誉、DNS信誉以及安全策略是否引用WAF、URL。

3. 202203291075

·              问题现象：设备无法识别。

·              问题产生条件：配置防病毒检测级别为medium，打入对应报文。

4. 202203080753

·              问题现象：设备工作异常，建议支持日志独立存储。

·              问题产生条件：设备开启安全策略日志。

5. 202208020581

·              问题现象：设备起来后，端口流量不通。

·              问题产生条件：反复上下电和反复热复位测试过程中。

8.4  R8560P22版本解决问题列表

1. 202112280601

·              问题现象：T5030产品IMC适配时，控制面板电源和风扇只有标示，不显示框。

·              问题产生条件：T5030产品IMC适配时，控制面板电源和风扇只有标示，不显示框。

2. 202112290627

·              问题现象：vrrp虚mac 下发失败。

·              问题产生条件：context 寄生口建立vrrp虚mac 下发失败。

3. 202203021501

·              问题现象：配置丢失。

·              问题产生条件：web重新编辑下发已有邮件服务器。

4. 202202171474

·              问题现象：配置变化。

·              问题产生条件：Web配置编辑日志主机, 后台命令行和web支持的参数不一致导致。

5. 202203010646

·              问题现象：页面一直显示在转圈状态。

·              问题产生条件：WEB界面网络-VRF，后台配置ip public-instance 命令 打开WEB界面刷新VRF。

6. 202203040447

·              问题现象：在WEB页面开启防病毒系统日志时，到后台下发customlog format dpi anti-virus命令，WEB页面仍然显示开启系统日志。

·              问题产生条件：系统-日志设置-威胁日志-防病毒日志。

7. 202110250967

·              问题现象：NTOP进程无法停止。

·              问题产生条件：IRF+冗余主备组网，背景流量下启停用户context。

8. 202201041010

·              问题现象：NETCONF下发remove所有appprofile失败。

·              问题产生条件：NETCONF下发remove所有appprofile失败。

9. 202201260458

·              问题现象：备机上自定义特征检查项被删除造成主备配置不一致。

·              问题产生条件：RBM组网，配置IPS/WAF自定义特征后修改检查项触发条件。

10. 202201280766

·              问题现象：URL信誉模块在两边设备上都会输出ntop和fastlog日志。

·              问题产生条件：非对称组网。

11. 202201280941

·              问题现象：NTOP进程处理异常导致该context一直处于stoping状态。

·              问题产生条件：IRF双主组网，流量压力下对虚墙执行no context start。

12. 202202210546

·              问题现象：设备出现ntopd内存占用很高。

·              问题产生条件：插入硬盘，打入源目ip变化数量较多的流量，开启流量日志和会话统计。

13. 202202230323

·              问题现象：虚拟设备列查询功能不可用。

·              问题产生条件：用户context下，NTOP威胁日志。

14. 202202280246

·              问题现象：av日志写队列失败。

·              问题产生条件：内核态威胁日志缓存队列满。

15. 202202281260

·              问题现象：通过netconf或者web配置流量实时用户排行或流量实时应用排行功能，后台返回错误。

·              问题产生条件：内存门限下。

16. 202011111391

·              问题现象：时间判断0初始时间时计算错误。

·              问题产生条件：配置UTC时区，删除在配置rbm组。

17. 202107061049

·              问题现象：用户/用户组后在web页面不显示，或者显示undefined，且不可编辑。

·              问题产生条件：ipv4/6地址对象组的地址对象配置用户/用户组。

18. 202111090725

·              问题现象：端口资源和context冲突，只能重启进程恢复。

·              问题产生条件：反复创建RBM控制通道。

19. 202201201079

·              问题现象：编辑修改描述内容后下发失败。

·              问题产生条件：配置服务对象存在分页时，对于描述未作冲突判断。

20. 202201240657

·              问题现象：设备死循环重启。

·              问题产生条件：RBM双主组网，自定义context内配置大量安全策略，内存较低的情况下，流量走慢速匹配。

21. 202203040919

·              问题现象：修改渗透报告中4.2.9文件枚举漏洞。

·              问题产生条件：修改渗透报告中4.2.9文件枚举漏洞。

22. 202107170345

·              问题现象：备设备自定义context中产生rbm进程的core文件。

·              问题产生条件：自定义context进行批备的过程中,重启主、备的自定义context。

23. 202108121457

·              问题现象：ip-mac绑定相关配置不支持实时备份和批备。

·              问题产生条件：ip-mac绑定相关配置不支持实时备份和批备。

24. 202201240090

·              问题现象：线程踩空产生了rbmd的core文件。

·              问题产生条件：RBM双主组网，由于rbm进程退出和配置检查线程同时访问一个链表，进程退出时释放了链表。

25. 202202151003

·              问题现象：少显示一栏license。

·              问题产生条件：web-系统-License配置，安装license的数量为支持的license数量-1。

26. 202203010005

·              问题现象：mac漂移。

·              问题产生条件：跨vlan Bridge转发，插卡收到报文建立了快转表，又收到源MAC地址变化五元组一样的报文，反给交换机。

27. 202202230122

·              问题现象：列查询输入框限制长度不对。

·              问题产生条件：威胁日志页面和web应用防护日志页面中的内容安全策略列。

28. 202203010316

·              问题现象：安全策略无法获取到对应的对象组。

·              问题产生条件：安全策略用自动命名的方式，去引用与安全域绑定的对象组。

29. 202201180510

·              问题现象：编辑ipv6类型的安全策略会一直停留在请稍后，无法通过web下发该配置。

·              问题产生条件：合入左右菜单新风格的时候漏注释一行。

30. 202202160323

·              问题现象：tcp mss为256的报文直接被reset。

·              问题产生条件：防篡改开启tcp代理，tcp连接状态获取错误。

31. 202203081399

·              问题现象：debug引用指定端口的acl没有回显。

·              问题产生条件：对DF置1的报文开启debugging ip packet acl 3001。

32. 202110281019

·              问题现象：报文被丢弃。

·              问题产生条件：共享vlan接口共享到自定义context下，ipv6流量通过vlan接口转发，报文出去时vlan tag没有变成出接口的tag，还是入接口的tag，导致到交换机上时，报文被丢弃。

33. 202203021791

·              问题现象：僵尸网络分析出现置信度为0的分析日志。

·              问题产生条件：僵尸网络分析出现置信度为0的分析日志。

34. 202203101110

·              问题现象：生成BOTNET_Write的core文件。

·              问题产生条件：硬盘权限在只读和读写切换，访问僵尸网络页面。

35. 202112220730

·              问题现象：本地发送syslog匹配log4j2漏洞。

·              问题产生条件：本地发送syslog匹配log4j2漏洞。

36. 202203030127

·              问题现象：active之后内核还能看到av的规则。

·              问题产生条件：加载av的md5库的时候，删除引用的av策略。

37. 202106211458

·              问题现象：威胁名称和攻击子分类显示错误。

·              问题产生条件：威胁日志和僵尸页面威胁名称和攻击子分类显示错误。

38. 202111110472

·              问题现象：用户context下的抓包仍然保存到硬盘，导致用户context下抓包保存失败，无法上传。

·              问题产生条件：设备存在外存和用户context，卸载外存后。

39. 202111010649

·              问题现象：设备死循环重启。

·              问题产生条件：IRF主备组网，context内配置1000条安全策略，流量压力下执行配置回滚，主机可能因安全策略走慢速匹配，和增删规则公用的是同一把读写锁。

40. 202203030217

·              问题现象：使用QUEUE_Peek取队列数据时，没有将数据实际读取出来并释放内存，导致会占用这块内存很长时间，造成队列更容易达到上限，从而数据丢失。

·              问题产生条件：内存优化、采集性能优化。

41. 202106032286

·              问题现象：新产生日志不能上报日志主机。

·              问题产生条件：上报安全策略日志当日志缓冲区被占满后。

8.5  R8560P18版本解决问题列表

1. 202104131908

·              问题现象：多台设备出现重启后读写flash执行失败。

·              问题产生条件：设备反复上下电+反复读写FLASH验证，fixdisk flash 修复指令下发后继续反复读写无问题。

2. 202003090454

·              问题现象：L2TP接入用户的上下线不生成日志。

·              问题产生条件：L2TP接入用户的上下线。

3. 202004071275

·              问题现象：aclmgrd进程异常退出，并产生相应的core文件。

·              问题产生条件：设备流量下无任何操作。

4. 202107100405

·              问题现象：配置日志，联机帮助跳转错误。

·              问题产生条件：web上系统--日志设置---安全策略配置日志，联机帮助跳转错误，故障处理的联机帮助内容为空，更改菜单结构，请统一修改并排。

5. 202105271073

·              问题现象：RBM备份信息有误。

·              问题产生条件：RBM组网，删除context的配置不同步，vlan-unshared模式context创建后，备机同步的是vlan-shared模式。

6. 202104250322

·              问题现象：组播数据较多时不方便查看。

·              问题产生条件：组播路由界面不显示总条数不分页，当数据较多时不方便查看；igmp组播组界面为树形显示，但二级目录无法收起，数据多时不方便查。

7. 202103231677

·              问题现象：设备产生deadloop异常。

·              问题产生条件：大流量压力下，设备处于内存和CPU门限下，在bash下，打开printk开关，反复进行升级特征库，清除会话等操作，设备产生deadloop异常。

8. 202101290361

·              问题现象：IRF主备组网，context一直处于stoping状态。

·              问题产生条件：IRF主备组网，流量下重启虚墙后可能有流程拿锁但是没释放导致context一直处于stoping状态。

9. 202012031603

·              问题现象：产生一个core文件。

·              问题产生条件：没有流量、没有操作情况下，F1000-AI-80设备每隔10分钟左右产生一个core文件。

10. 202012280703

·              问题现象：备机异常重启。

·              问题产生条件： IRF主备组网，流量压力下长时间跑脚本进行冗余主备切换，可能由于atk慢速攻击模块访问非法地址导致设备进kdb。

11. 202110191203

·              问题现象：端口无法up。

·              问题产生条件：Marvell PHY 88E1680芯片出的所有接口对接S6800-54交换机时，自协商无法完成，导致端口无法up。

12. 202110120308

·              问题现象：设备启动恢复需很长时间。

·              问题产生条件：设备配置6万条URL过滤黑名单，重启设备后，配置检查重复导致设备启动恢复需很长时间。

13. 202110260796

·              问题现象：僵尸网络日志动作有误。

·              问题产生条件：av策略配置重定向动作，测试仪打入病毒流量，产生的威胁日志动作为重定向，但是产生的僵尸网络日志动作为允许。

14. 202110181190

·              问题现象：安全策略引用ipv6全范围地址段对象不生效。

·              问题产生条件：安全策略引用ipv6全范围地址段对象不生效。

15. 202108091276

·              问题现象：内存越界或访问释放后内存导致进kdb。

·              问题产生条件：irf主备组网，流量下拷机六个小时后主设备内存越界或者512字节大小内模块访问释放后内存导致进kdb。

16. 202110191133

·              问题现象：NAT66/NAT64引用ipv6全范围地址段对象不生效。

·              问题产生条件：NAT66/NAT64引用ipv6全范围地址段对象不生效。

17. 202111080021

·              问题现象：威胁日志加入白名单时不生效。

·              问题产生条件：威胁日志加入白名单时要开启白名单并激活一下才能生效，请再web上添加提示信息。

18. 202110260900

·              问题现象：web无法访问。

·              问题产生条件：实服务组以及其内的成员中均添加大量的自定义监控策略后，会产生xmlcfgd的core文件，此时会将对应的文件删除导致web无法访问。

19. 202111010839

·              问题现象：主设备重启。

·              问题产生条件：IRF组网下，配置TCP代理、全局nat、应用审计等安全业务，自定义context中打ftp和UDP流量，跑主备倒换脚本后重启堆叠主设备，主设备起来后又deadloop重启。

20. 202110271153

·              问题现象：配置不备份。

·              问题产生条件：VRRP+RBM主备组网，web配置SSLVPN资源组名称带空格字符，配置不备份。

21. 202110271511

·              问题现象：web页面为空，授权资源失败。

·              问题产生条件：VRRP+RBM主备组网，主设备新建一个字典序大的SSLVPN资源组B并授权，再新建一个小的字典序SSLVPN资源组A不授权，重启备设备，等备设备起来后，在主设备登录SSLVPN的web网关，主备倒换后，刷新web页面为空，授权资源失败。

22. 202108041387

·              问题现象：主设备访问非法地址进kdb。

·              问题产生条件：irf主备组网，两个自定义context均配置tcp应用代理，打入匹配的http流量一段时间后执行reboot虚墙。

23. 202109290284

·              问题现象：http流量，命不中url过滤策略。

·              问题产生条件：安全策略中引用http的应用，测试仪打入http流量，命不中url过滤策略。

24. 202110180794

·              问题现象：威胁日志加入白名单时不生效。

·              问题产生条件：威胁日志加入白名单时要开启白名单并激活一下才能生效，请再web上添加提示信息。

8.6  F8560P10版本解决问题列表

1. 202004080413

·              问题现象：业务板重启。

·              问题产生条件：DPI模块处理异常SIP报文时，存在内存越界。

8.7  R8536P2410版本解决问题列表

无

8.8  F8536P19版本解决问题列表

无

8.9  F8536P1217版本解决问题列表

无

8.10  F8536P1215版本解决问题列表

无

8.11  F8536P1209版本解决问题列表

无

8.12  F8536P1202版本解决问题列表

无

9  相关资料

9.1  相关资料清单

·              H3C SecPath T10X0系列 入侵防御系统 安装指导

·              H3C SecPath T1000-AK系列入侵防御系统 安装指导

·              H3C SecPath入侵防御系统产品 配置指导(V7)(F8536 F8534 F8516 F8602)

·              H3C SecPath入侵防御系统产品 命令参考(V7)(F8536 F8534 F8516 F8602)

·              H3C SecPath T1000&T5000系列产品 License支持情况说明

·              H3C 安全产品 License使用指南(Comware V7)

·              H3C 安全产品 日志信息参考(V7)

·              H3C 入侵防御系统 Web配置指导(V7)(E8536 E8534 E8516)

9.2  资料获取方式

您可以通过H3C网站（www.h3c.com）获取最新的产品资料：

(1)      请访问网址：http://www.h3c.com/cn/Technical_Documents；

(2)      选择产品类别和产品型号，即可查询和下载与该产品相关的手册。

10  技术支持

用户支持邮箱：service@h3c.com

技术支持热线电话：400-810-0504（手机、固话均可拨打）

网址：http://www.h3c.com

附录 A 本版本支持的软、硬件特性列表

A.1 版本硬件特性

表5 T1020/T1030/T1050设备系统配置表

表6 T1060/T1080设备系统配置表

表7 T1000-AK340/T1000-AK350设备系统配置表

A.2 版本软件特性

表8 产品软件特性

附录 B 修复的安全漏洞

B.1 R8560P43及以前版本修复的安全漏洞

1. CVE-2017-3735

攻击者可利用该漏洞绕过安全限制，执行未授权的操作。

2. CVE-2019-3855

libssh2 输入验证错误漏洞libssh2是一款实现SSH2协议的客户端C库，它能够执行远程命令、文件传输，同时为远程的程序提供安全的传输通道。

3. HSVD-201904-001

TCP/IP SYN + FIN包过滤漏洞，远程主机不会丢弃设置了FIN标志的TCP SYN数据包。根据您使用的防火墙类型，攻击者可能会使用此漏洞绕过其规则。

4. HSVD-201902-001

远程主机利用TCP timestamp漏洞，获取正常上线运行时间。

5. HSVD-201901-016

CVE-2019-548：Linux kernel信息泄露漏洞。

6. javascript框架库漏洞

javascript框架库漏洞和目标URL存在内部IP地址泄露漏洞。

7. CVE-2020-10188

netkit telnet是一款使用在Linux平台中的telnet客户端程序。该程序主要用于使用TELNET协议与另一个主机进行交互通信。Netkit telnet  0.17及之前版本中的telnetd的utility.c文件存在缓冲区错误漏洞。远程攻击者可利用该漏洞执行任意代码。

8. WEB js漏洞

Web漏扫发现js的中微漏洞。

9. WEB CSRF漏洞

SSLVPN Web页面存在CSRF漏洞。

10. HTTP方法漏洞

通过调用OPTIONS方法，可以确定每个目录上允许哪些HTTP方法。

11. CRLF注入漏洞

当发送HTTP请求中包含Cookie信息，且Cookie中包含domain是一个设备上配置的domain值，或者请求为GET/enterdomain.cgi?domain=%0d%0aSomeCustomInjectedHeader:%0d%0aset

-cookie:iamyy HTTP1/1时，触发CRLF注入漏洞。

12. CVE-2019-1547

攻击者可利用该漏洞获取敏感信息。

13. CVE-2019-1563

攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。

14. CVE-2016-7056

源于crypto/ec/ecdsa_ossl.c文件的‘ecdsa_sign_setup()’函数未能正确的设置BN_FLG_CONSTTIME标识。本地攻击者利用该漏洞实施cache-timing攻击，获取ECDSA P-256私钥。

15. CVE-2018-0739

漏洞源于使用递归过度的恶意输入，构造的ASN.1类型可造成栈溢出，导致拒绝服务攻击。

16. CVE-2019-1559

攻击者可利用该漏洞绕过访问限制，获取敏感信息。

17. CVE-2018-0737

生成算法存在安全漏洞。攻击者可利用该漏洞实施时序攻击，恢复私钥。

18. CVE-2018-0732

攻击者可利用该漏洞造成拒绝服务（挂起）。

19. CVE-2019-1552

OpenSSL存在安全漏洞，攻击者可利用该漏洞绕过安全保护。

20. CVE-2019-1563

攻击者可通过发送大量加密的消息利用该漏洞恢复CMS/PKCS7传输的加密密钥或解密使用公共的RSA密钥加密的消息。

21. CVE-2018-5407

OpenSSL存在的一个本地信息泄露漏洞，本地攻击者可以利用该漏洞获取敏感信息，这可能有助于进一步的攻击。

22. X-Frame-Options属性漏洞

http报文没有设置X-Frame-Options字段，可能导致非同源的iframe插入，从而导致点击劫持。

23. CVE-2011-1473

内核SSL没有处理关闭SSL重协商字段，导致ssl客户端可以重协商成功。

24. CVE-2021-23841/CVE-2021-23840/CVE-2020-1971

修复OpenSSL存在的安全漏洞：OpenSSL在处理EDIPartyName （X.509GeneralName类型）时，使用的函数GENERAL_NAME_cmp中存在一处空指针取消引用，当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞。

25. CVE-2016-6329

加密算法本身问题，如果默认修改为不支持涉及漏洞的几种加密算法，可能会导致用户升级后WEB无法登陆问题。规避方案：[UNIS-ssl-server-policy-fxm]ciphersuite下不要选包含DES、3DES、RC2这种block长度为8bytes的cbc算法，可以选aes_256_cbc等算法，然后重启https服务。

26. CVE-2022-0778

修复OpenSSL BN_mod_sqrt拒绝服务漏洞：证书解析使用的BN_mod_sqrt()函数存在一个错误，它会导致在非质数的情况下永远循环。通过生成包含无效的显式曲线参数的证书来触发无限循环。由于证书解析是在验证证书签名之前进行的，因此任何解析外部提供的证书的程序都可能受到拒绝服务攻击。此外，当解析特制的私钥时(包含显式椭圆曲线参数)，也可以触发无限循环。易受攻击的情况如下：使用服务器证书的TLS客户端；使用客户端证书的TLS服务器；托管服务提供商从客户处获取证书或私钥；证书颁发机构解析来自订阅者的认证请求；任何其他解析ASN.1椭圆曲线参数的程序。

27. CVE-2021-3711

修复OpenSSL SM2解密缓冲区溢出漏洞，该漏洞由于 OpenSSL解密SM2加密数据时调用API  函数EVP_PKEY_decrypt，其计算缓冲区大小存在错误导致导致缓冲区溢出。

28. CVE-2021-3712

修复OpenSSL ASN.1 strings读取缓冲区溢出漏洞，该漏洞由于 OpenSSL用于存储ASN.1字符串的结构ASN_1_String在创建是没有严格遵守字符串的Null字节结尾，在打印时可能发生读取缓冲区溢出。

29. 栈溢出漏洞

Comware系统处理 flag 参数时会根据用户提供的字符串长度将数据拷贝到栈缓冲区，没有合理限制拷贝长度，存在栈溢出漏洞，攻击者多次触发此漏洞最终将导致 web 管理不可用，造成拒绝服务攻击。

附录 C 软件升级操作指导