全球技术服务部技术支持中心
【工程师级别】 技术公告【2006】076号
预警级别 |
重要 |
产品型号 |
Eudmeon 500/1000;SecPath1800F |
涉及版本 |
EU500-VRP3.30-0332.18(08)、、EU1000-VRP3.30-0332.18(08) S1800F-VRP3.30-0332.18(08) |
【预警描述】
Eudemon500/1000、SecPath1800F 的P2P限流版本D032SP18 存在重大缺陷不能使用,运行该版本的设备会出现重启。
【原因分析】
正在定位。
【处理措施】
如果有P2P限流需求,请使用EU500-VRP3.30-0332.13(08)、 、 EU1000-VRP3.30-0332.13(08)、S1800F-VRP3.30-0332.13(08) 版本。
预警级别 |
重要 |
产品型号 |
Eudemon 100/200/500/1000;SecPath1800F |
涉及版本 |
目前所有版本 |
【预警描述】
Eudemon 500/1000、SecPath1800F防火墙打开detect sip 功能,Eudemon 200防火墙打开nat alg enble sip和detect sip功能。导致整机重启。
【原因分析】
这是软件缺陷所致,由于SIP解码库存在缺陷,这个问题在目前的版本里普遍存在,目前还没有网上问题发生。
【处理措施】
在没有SIP应用的环境里关闭SIP协议检测功能。具体的命令是Eudemon500/100、SecPath1800F:undo detect sip, Eudemon200:undo detect sip和undo nat alg enable sip,关于SIP的功能命令在Eudemon200/500/1000、SecPath1800F版本V200R001B01D034以后不再提供,缺省即为关闭状态。
预警级别 |
重要 |
产品型号 |
Eudmeon 200/500/1000;SecPath1800F |
涉及版本 |
所有版本 |
【预警描述】
将DNS ALG 命令打开,导致CPU使用率很高,防火墙性能降低。
【原因分析】
打开DNS ALG 命令后,DNS 解析报文会上送主控CPU,导致CPU使用率增高,因此严重降低了防火墙的性能。
【处理措施】
在此特别声明:DNS ALG 仅限于使用内部私网地址的SERVER做NAT转换的情况,其它情况下均无须打开DNS ALG命令。
预警级别 |
严重 |
产品型号 |
Eudemon200/500/1000 SecPath1800F |
涉及版本 |
EU200-VRP3.30-0336(12), EU200-VRP3.30-0334(12), EU500-VRP3.30-0344(08), EU500-VRP3.3-0336.02(08), EU1000-VRP3.30-0344(08), EU1000-VRP3.30-0336.02(08) S1800F-VRP3.30-0344(08), S1800F-VRP3.30-0336.02(08) |
【预警描述】
Eudemon 500/1000、SecPath1800F防火墙打开detect h323 功能,Eudemon 200防火墙打开nat alg enble h323和detect h323功能。可能会导致整机重启。
【原因分析】
这是软件缺陷所致,由于h323解码库存在缺陷,这个问题在目前的版本里普遍存在,已经引起网上设备重启。
【处理措施】
在没有h323应用的环境里,也就说不需要对h323协议进行解码等特殊处理,必须关闭h323协议检测功能。具体的命令是Eudemon500/1000、SecPath1800F:undo detect h323,Eudemon200:undo detect h323和undo nat alg enable h323。
预警级别 |
重要 |
产品型号 |
Eudemon 100 |
涉及版本 |
EU100-VRP3.30-0316(07)/0318(07)/ 0320(07)/0321(07) |
【预警描述】
Eudemon100使用版本EU100-VRP3.30-0316(07) /0318(07) / 0320 (07)/ 0321(07) 启用NAT对QQ、MSN支持功能时,如果用户QQ、MSN连接比较多,可能导致设备重启。
【原因分析】
此问题属于软件BUG,是SERVERMAP问题,EU100-VRP3.20-0315.02没有该问题,其后平台修改代码时,对数据表项修改有误导致此问题。
【处理措施】
规避解决方法:临时关闭QQ、MSN ALG可以规避。该问题在EU100-VRP3.30-0321.01(07)版本前都存在。请升级到Eudemon100的最新版本即可解决。
预警级别 |
重要 |
产品型号 |
Eudemon200 |
涉及版本 |
EU200-VRP3.30-0336(12), EU200-VRP3.30-0334(12), EU200-VRP3.30-0332(12), EU200-VRP3.30-0326.01(12), EU200-VRP3.30-0324.01(12), EU200-VRP3.30-0324(12) |
【预警描述】
如果设备插上了IPSEC低速加密卡,同时在2FE接口下配置了IPSEC策略,在IPSEC通信的过程中,可能会导致设备重启。
【原因分析】
目前只是在实验室测试出现,设备插上IPSEC低速加密卡,同时在2FE接口下配置IPSEC策略。
大流量长包(>1500)通过IPSEC隧道,经过一段时间后,设备会重启。
大流量短包(<1500)通过IPSEC隧道,没有问题。
小流量长包(>1500)通过IPSEC隧道,没有问题。
小流量短包(<1500)通过IPSEC隧道,没有问题。
设备重启可能与2FE卡上的芯片有关,具体原因还在定位。
【处理措施】
Eudemon200设备需要IPSEC隧道。下面的方式是可以的:
不需要IPSEC低速加密卡情况下,主控板接口和2FE接口都可以配置IPSEC策略;需要IPSEC低速加密卡情况下,只能使用主控板接口配置IPSEC策略。
预警级别 |
重要 |
产品型号 |
Eudemon 500/1000;SecPath1800F |
涉及版本 |
目前所有版本 |
【预警描述】
近期发现Eudemon 1000,Eudemon 500,SecPath 1800F 防火墙上用的高速8FE、4FE、2FE卡发现有严重问题:和它网口对接的交换机出现复位的时候,如果此时有报文在防火墙的网口上转发,容易导致防火墙的8FE、4FE、2FE卡出现接口停止接收报文的现象,此时链路完全中断,只有复位防火墙整机才能解决。注意出现问题的是高速卡,接口卡面板上标的是:FW-HIC-8FE、FW-HIC-4FE、FW-HIC-2FE。
【原因分析】
8FE、4FE和2FE卡使用的INTEL9785 PHY芯片有BUG,这个缺陷在其B版本和C版本上都存在,只有最新的D版本才修正了问题。目前生产线上对新生产的这些接口卡都已经修改成D版本的,但是此前一年多发出去的接口卡都有这个隐患,早期出现的概率很小,但最近几个月生产的8FE/4FE/2FE接口卡出现该问题的概率非常高。
【处理措施】
现网上的Eudemon防火墙如果发现这些接口卡,建议从公司重新申领新卡,并把这些存在问题隐患的接口卡返修。
预警级别 |
重要 |
产品型号 |
Eudemon500/1000;SecPath1800F |
涉及版本 |
EU500-VRP3.30-0336.02(08), EU500-VRP3.30-0336.01(08), EU500-VRP3.30-0331(08), EU500-VRP3.30-0328(08), EU500-VRP3.30-0324(08), EU1000-VRP3.30-0336.02(08), EU1000-VRP3.30-0336.01(08), EU1000-VRP3.30-0331(08), EU1000-VRP3.30-0328(08), EU1000-VRP3.30-0324(08) S1800F-VRP3.30-0336.02(08), S1800F-VRP3.30-0336.01(08), S1800F-VRP3.30-0331(08), S1800F-VRP3.30-0328(08), S1800F-VRP3.30-0324(08) |
【预警描述】
Eudemon500/1000、SecPath1800F提供使用8FE接口卡处理业务的方式,8FE接口卡上的1端口和6端口可能突然出现不收包的现象。
【原因分析】
正在定位。
【处理措施】
Eudemon500/1000、SecPath1800F的8FE接口卡不要插在1槽位,使用其它槽位时也不要使用1端口和6端口。
通过升级主机软件,可以解决这个问题。在新的版本里将解决该问题,请留意新发布版本的描述信息情况。
预警级别 |
重要 |
产品型号 |
Eudemon 500/1000;SecPath1800F |
涉及版本 |
目前所有版本 |
【预警描述】
近期发现Eudemon 500/1000和SecPath1800F防火墙上用的高速8FE、4FE、2FE接口卡接口存在误码,但和插的位置有关系,有的槽位没有误码,有的槽位有误码。
【原因分析】
接口卡的逻辑驱动不足,造成对槽位有选择性。
【处理措施】
请升级到EU500-VRP3.30-0331.01(08)、EU1000-VRP3.30-0331.01(08)、S1800F-VRP3.30-0331.01(08) 版本解决该问题。VRP3.30-0331.01(08)以上主机版本,已经修正了这些缺陷(接口卡逻辑是含在主机软件里面一起打包的),因此在对防火墙开局维护时,注意观察接口是否有误码统计信息,并请注意升级到最新的版本上。
预警级别 |
重要 |
产品型号 |
Eudemon 500/1000;SecPath1800F |
涉及版本 |
目前所有版本 |
【预警描述】
低速GE、1FE、2FE卡在Eudemon500、Eudemon1000、SecPath1800F上无法使用
【原因分析】
因为高速卡已经有1GE、2GE、2FE、4FE和8FE等接口卡,而基于PCI的低速接口卡,性能低,在高端防火墙上市场需求非常小,而且以太网卡都可用高速卡替代,所以PDT决定对于低速GE、1FE、2FE、4E1、ATM等基于PCI总线的低速卡全部不支持,且已经从BOM和对外报价系统里删除。目前高速防火墙E500,1000,SecPath1800F上,唯一支持基于PCI的接口卡是低速加密卡。
【处理措施】
由于历史原因,市场上可能存在一些Eudemon500/1000、SecPath1800F防火墙早期发货的低速接口卡,开局时如发现使用的是低速卡,请重新申请高速卡进行替换。
预警级别 |
重要 |
产品型号 |
Eudemon 100/200/500/1000;SecPath1800F |
涉及版本 |
目前所有版本 |
【预警描述】
在用户模式下,建立目录mkdir directory-name,之后修改此目录名:rename directory-name directory-name-replace,当directory-name-replace是一个字符的时候,系统会发生异常重启。
【原因分析】
VRP平台的软件Bug导致。
【处理措施】
不要使得directory-name-replace只有一个字符。
预警级别 |
一般 |
产品型号 |
Eudemon500/1000;SecPath1800F |
涉及版本 |
EU500-VRP3.30-0324(08),EU1000-VRP3.30-0324(08) S1800F-VRP3.30-0324(08) |
【预警描述】
Eudemon500/1000、SecPath1800F 的2GE、4FE、2FE 模块在老版本上无法注册。
【原因分析】
0324以前的版本(包括0324)不支持这些类型的单板。使用这些类型单板的设备启动后会出现NPU灯亮红色等异常的告警。
【处理措施】
所有使用这些单板的局点要升级到EU500-VRP3.30-0328 (08)、1000-VRP3.30-0328(08)、S1800F-RP3.30-0328(08) 以后的版本。
全球技术服务部技术支持中心
二〇〇六年四月二十九日
抄报:无
抄送:无
全球技术服务部技术支持中心 二〇〇六年四月二十九日
(印发1份)
若您有关于案例的建议,请反馈:
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作