[2013-09-17]H3C SecBlade Enhanced-CMW520-R3817版本发布

H3C SecBlade Enhanced-CMW520-R3817版本发布

一、 使用范围及配套说明：

H3C SecBlade Enhanced-CMW520-R3817版本正式发布，使用范围为国内市场。

表1：版本配套表

二、 增减特性说明：

表2：特性变更说明

三、相比前一版本解决的问题说明：

1.   问题ID—201304220334

问题现象：设备长期运行，出现内存泄漏。

问题产生条件：双机热备非对称组网，并且有大量分片报文经设备转发。

2.   问题ID—201307170414

问题现象：启用IPSec NAT穿越功能后，IKE SA表项中的NAT Traversal字段错误的显示为NO。

问题产生条件：IPSec穿越NAT组网，打入流量触发建立IPSec隧道。

3.   问题ID—201304020407

问题现象：设备概率出现异常重启。

问题产生条件：设备上的命令行配置非常多，配置文件大小超过100KB，使用带有正则表达式的查看配置的命令，比如：“display current-configuration | include .*.*.*/.”。

4.   问题ID—201306190471

问题现象：部分NAT444表项没有正常建立。

问题产生条件：在同一个接口上配置2条NAT444规则，每条NAT444规则分别引用了源IP地址相同、目的IP地址不同的ACL规则，然后打入能匹配这2个ACL规则的流量并观察NAT444表项。

5.   问题ID—HSD113119

问题现象：导入配置后会返回错误信息。

问题产生条件：通过web页面的“设备管理”-> “配置管理”->“导入配置”页面导入cfg配置。

6.   问题ID—HSD113967

问题现象：设备硬件内存泄露，无法正常转发。

问题产生条件：DNS FLOOD攻击防范处于丢包时，收到TCP标志位非SYN和不带ACK的异常报文。

7.   问题ID—HSD113532

问题现象：设备发生异常重启。

问题产生条件：采用EasyHacker发送icmp异常报文。

8.   问题ID—HSD113882

问题现象：设备发生异常重启。

问题产生条件：设备开启gtp alg功能，并且在gtp业务下长时间运行。

9.   问题ID—HSD106243

问题现象：如果设备的域间策略配置有数百条以上时，修改域间策略配置可能导致远程桌面连接中断。

问题产生条件：通过远程桌面登录到设备上进行域间策略配置变更。

10. 问题ID—HSD109417

问题现象：重启后设备上配置的URL主机名配置丢失。

问题产生条件：将内容过滤中的URL主机名全部配置为数字，然后保存配置并重启设备。

11. 问题ID—HSD111142

问题现象：设备会出现一条协商不完整的ike sa，该条sa不会老化导致后续报文无法协商。

问题产生条件：设备配置IPSEC，并通过测试仪打入大量走IPSEC的流量并导致设备内存占用率达到99％，然后反复执行几次reset ike sa/reset ipsec sa。

12. 问题ID—HSD113004

问题现象：在shutdown或undo shutdown聚合组接口时，ping设备面板上的GE接口会出现少量丢包。

问题产生条件：将10GE接口加入聚合组，然后shutdown并undo shutdown聚合组中的接口，再ping设备面板上的GE接口。

13. 问题ID—HSD112914

问题现象：概率出现部分业务报文出接口错误。

问题产生条件：双机热备非对称路径组网，并长期运行。

14. 问题ID—HSD111201

问题现象：一段时间后设备可能出现异常重启。

问题产生条件：通过测试仪长时间打入200万以上并发流量，并且设备内存占用率超过95％以上；或者设备配置NAT，并通过测试仪打入13万HTTP新建测试流量，然后开启会话日志，同时在有流量情况下变更NAT等配置；或者通过TestCenter测试仪往设备上打入1G以上测试流量，同时去使能然后再使能会话加速，并去使能然后再使能快转处理。

15. 问题ID—HSD111401

问题现象：在备份接口下修改备份VLAN配置信息可能导致设备异常重启。

问题产生条件：双机热备组网，并使用VLAN 1作为备份VLAN，同时使用异常报文工具发送ICMP、TCP、UDP、ARP、vrrp等协议各种异常报文。

16. 问题ID—HSD111146

问题现象：设备在批量配置备份时，备机的DHCB进程状态异常，设备CPU占用率持续达到100％，无法完成配置备份功能。

问题产生条件：当设备上配置文件中含有14万条配置信息并开启双机热备功能。

17. 问题ID—HSD109717

问题现象：保存上一跳功能在vlan interface下功能失效。

问题产生条件：无。

18. 问题ID—HSD112683

问题现象：设备异常重启。

问题产生条件：域间策略引用空的地址对象，然后使能域间策略加速。

19. 问题ID—HSD111480

问题现象：IKE sa第二阶段协商不成功。

问题产生条件：IPSec绑定VPN多实例，并且IPSec policy中security ACL采用per-host模式。

20. 问题ID—HSD111359

问题现象：长时间后防火墙可能出现异常重启。

问题产生条件：开启防火墙会话日志，并同时打入新建10万以上的业务流量。

21. 问题ID—HSD110266

问题现象：NAT444跨VPN多实例转发时，出现端口块中连接数统计不准确情况。

问题产生条件：NAT444跨VPN多实例转发。

22. 问题ID—HSD110884

问题现象：DNS响应报文经过防火墙ALG处理之后被服务器识别为错包。

问题产生条件：防火墙开启DNS ALG，并打入压缩编码方式的DNS响应报文。

23. 问题ID—HSD111200

问题现象：由于199.0.1.0被防火墙误识别为网络地址，因此导致ALG关联表无法建立，并直接导致H.323/SIP业务不通。

问题产生条件：防火墙开启H.323/SIP ALG，并打入源IP为199.0.1.0等较特殊的IP地址的H.323/SIP业务流量。

24. 问题ID—HSD109465

问题现象：当用户先访问一个RTSP服务器，然后退出后2秒内再立即访问另外一个RTSP服务器时会失败。

问题产生条件：防火墙开启RTSP ALG，并使用RTSP业务。

25. 问题ID—HSD109775

问题现象：设备异常重启。

问题产生条件：在有较大业务流量情况下删除虚服务引用的ACL。

26. 问题ID—HSD110201

问题现象：设备重启后该L2TP Hello报文间隔的配置丢失。

问题产生条件：在新建L2TP用户组时，高级选项中的“Hello报文间隔”配置大于1000秒的数值。

27. 问题ID—HSD110547

问题现象：设备概率性出现异常挂死。

问题产生条件：在并发会话超过100万的大流量情况下，设备长时间运行。

四、版本使用限制及注意事项：

1、Web显示限制

Web上所有的配置概览信息最多只能显示5000条，如果配置超过5000条，如会话信息等，都不能在Web上显示完整，但可以通过过滤功能显示用户所关心的信息。

2、硬件限制

SecBlade III硬件中的USB为预留模块，目前软件不支持。

五、 版本存在问题与规避措施：

1.   问题ID—HSD112168

问题现象：新配置的IPsec/NAT等配置无法同步到备机。

问题产生条件：先创建三层子接口或三层聚合子接口，然后开始双机配置同步功能，再在子接口上配置IPsec/NAT等配置。

规避措施：先开启双机配置同步功能，然后创建三层子接口或三层聚合子接口，再在子接口上进行相关配置。

2.   问题ID—HSD110063

问题现象：物理口接口类型在批量备份下能够备份，但在实时备份下不能备份。

问题产生条件：开启双机配置同步。

规避措施：在双机配置同步情况下，主机上修改物理接口的类型时，需要在备机上手工同步接口类型的配置。

3.   问题ID—HSD100621

问题现象：通过Web管理页面删除的攻击防范配置还存在并可以正常生效。

问题产生条件：通过命令行在安全域上使能攻击防范策略，然后在Web管理页面上删除这部分配置，并重启设备。

规避措施：通过命令行配置的攻击防范配置，如果需要删除也要通过命令行来删除。

六、  升级时注意事项：

请务必参照《H3C SECBLADEIII-CMW520-R3817版本使用指导书.doc》中的版本升级指导进行升级。

如要完整的了解该版本累计解决的问题，请参看配套的《H3C SECBLADEIII-CMW520-R3817版本说明书.doc》。