H3C SecBlade Enhanced-CMW520-R3817版本发布
一、 使用范围及配套说明:
H3C SecBlade Enhanced-CMW520-R3817版本正式发布,使用范围为国内市场。
表1:版本配套表
产品系列 |
H3C SecBlade |
型号 |
SecBlade Enhanced |
内存需求 |
4GB |
FLASH需求 |
4MB |
BootRom版本号 |
1.19 |
目标文件名称 |
SECBLADEIII-CMW520-R3817.bin |
S7500E配套版本 |
S7500E-CMW520-R6708P03 |
S10500配套版本 |
S10500-CMW520-R1208P03 S10500-CMW710-R2105 |
S12500配套版本 |
S12500-CMW520-R1825P01 |
iMC版本号 |
iMC PLAT 5.2 (E0401H03) |
备注 |
无 |
二、 增减特性说明:
表2:特性变更说明
版本号 |
项目 |
描述 |
SECBLADEIII-CMW520-R3817 |
硬件特性更新 |
新增特性:无。 增加单板:无。 删除特性:无。 |
软件特性更新 |
新增特性:无。 删除特性:无。 修改特性:无。 |
三、相比前一版本解决的问题说明:
问题现象:设备长期运行,出现内存泄漏。
问题产生条件:双机热备非对称组网,并且有大量分片报文经设备转发。
问题现象:启用IPSec NAT穿越功能后,IKE SA表项中的NAT Traversal字段错误的显示为NO。
问题产生条件:IPSec穿越NAT组网,打入流量触发建立IPSec隧道。
问题现象:设备概率出现异常重启。
问题产生条件:设备上的命令行配置非常多,配置文件大小超过100KB,使用带有正则表达式的查看配置的命令,比如:“display current-configuration | include .*.*.*/.”。
问题现象:部分NAT444表项没有正常建立。
问题产生条件:在同一个接口上配置2条NAT444规则,每条NAT444规则分别引用了源IP地址相同、目的IP地址不同的ACL规则,然后打入能匹配这2个ACL规则的流量并观察NAT444表项。
问题现象:导入配置后会返回错误信息。
问题产生条件:通过web页面的“设备管理”-> “配置管理”->“导入配置”页面导入cfg配置。
问题现象:设备硬件内存泄露,无法正常转发。
问题产生条件:DNS FLOOD攻击防范处于丢包时,收到TCP标志位非SYN和不带ACK的异常报文。
问题现象:设备发生异常重启。
问题产生条件:采用EasyHacker发送icmp异常报文。
问题现象:设备发生异常重启。
问题产生条件:设备开启gtp alg功能,并且在gtp业务下长时间运行。
问题现象:如果设备的域间策略配置有数百条以上时,修改域间策略配置可能导致远程桌面连接中断。
问题产生条件:通过远程桌面登录到设备上进行域间策略配置变更。
问题现象:重启后设备上配置的URL主机名配置丢失。
问题产生条件:将内容过滤中的URL主机名全部配置为数字,然后保存配置并重启设备。
问题现象:设备会出现一条协商不完整的ike sa,该条sa不会老化导致后续报文无法协商。
问题产生条件:设备配置IPSEC,并通过测试仪打入大量走IPSEC的流量并导致设备内存占用率达到99%,然后反复执行几次reset ike sa/reset ipsec sa。
问题现象:在shutdown或undo shutdown聚合组接口时,ping设备面板上的GE接口会出现少量丢包。
问题产生条件:将10GE接口加入聚合组,然后shutdown并undo shutdown聚合组中的接口,再ping设备面板上的GE接口。
问题现象:概率出现部分业务报文出接口错误。
问题产生条件:双机热备非对称路径组网,并长期运行。
问题现象:一段时间后设备可能出现异常重启。
问题产生条件:通过测试仪长时间打入200万以上并发流量,并且设备内存占用率超过95%以上;或者设备配置NAT,并通过测试仪打入13万HTTP新建测试流量,然后开启会话日志,同时在有流量情况下变更NAT等配置;或者通过TestCenter测试仪往设备上打入1G以上测试流量,同时去使能然后再使能会话加速,并去使能然后再使能快转处理。
问题现象:在备份接口下修改备份VLAN配置信息可能导致设备异常重启。
问题产生条件:双机热备组网,并使用VLAN 1作为备份VLAN,同时使用异常报文工具发送ICMP、TCP、UDP、ARP、vrrp等协议各种异常报文。
问题现象:设备在批量配置备份时,备机的DHCB进程状态异常,设备CPU占用率持续达到100%,无法完成配置备份功能。
问题产生条件:当设备上配置文件中含有14万条配置信息并开启双机热备功能。
问题现象:保存上一跳功能在vlan interface下功能失效。
问题产生条件:无。
问题现象:设备异常重启。
问题产生条件:域间策略引用空的地址对象,然后使能域间策略加速。
问题现象:IKE sa第二阶段协商不成功。
问题产生条件:IPSec绑定VPN多实例,并且IPSec policy中security ACL采用per-host模式。
问题现象:长时间后防火墙可能出现异常重启。
问题产生条件:开启防火墙会话日志,并同时打入新建10万以上的业务流量。
问题现象:NAT444跨VPN多实例转发时,出现端口块中连接数统计不准确情况。
问题产生条件:NAT444跨VPN多实例转发。
问题现象:DNS响应报文经过防火墙ALG处理之后被服务器识别为错包。
问题产生条件:防火墙开启DNS ALG,并打入压缩编码方式的DNS响应报文。
问题现象:由于199.0.1.0被防火墙误识别为网络地址,因此导致ALG关联表无法建立,并直接导致H.323/SIP业务不通。
问题产生条件:防火墙开启H.323/SIP ALG,并打入源IP为199.0.1.0等较特殊的IP地址的H.323/SIP业务流量。
问题现象:当用户先访问一个RTSP服务器,然后退出后2秒内再立即访问另外一个RTSP服务器时会失败。
问题产生条件:防火墙开启RTSP ALG,并使用RTSP业务。
问题现象:设备异常重启。
问题产生条件:在有较大业务流量情况下删除虚服务引用的ACL。
问题现象:设备重启后该L2TP Hello报文间隔的配置丢失。
问题产生条件:在新建L2TP用户组时,高级选项中的“Hello报文间隔”配置大于1000秒的数值。
问题现象:设备概率性出现异常挂死。
问题产生条件:在并发会话超过100万的大流量情况下,设备长时间运行。
四、版本使用限制及注意事项:
1、Web显示限制
Web上所有的配置概览信息最多只能显示5000条,如果配置超过5000条,如会话信息等,都不能在Web上显示完整,但可以通过过滤功能显示用户所关心的信息。
2、硬件限制
SecBlade III硬件中的USB为预留模块,目前软件不支持。
五、 版本存在问题与规避措施:
问题现象:新配置的IPsec/NAT等配置无法同步到备机。
问题产生条件:先创建三层子接口或三层聚合子接口,然后开始双机配置同步功能,再在子接口上配置IPsec/NAT等配置。
规避措施:先开启双机配置同步功能,然后创建三层子接口或三层聚合子接口,再在子接口上进行相关配置。
问题现象:物理口接口类型在批量备份下能够备份,但在实时备份下不能备份。
问题产生条件:开启双机配置同步。
规避措施:在双机配置同步情况下,主机上修改物理接口的类型时,需要在备机上手工同步接口类型的配置。
问题现象:通过Web管理页面删除的攻击防范配置还存在并可以正常生效。
问题产生条件:通过命令行在安全域上使能攻击防范策略,然后在Web管理页面上删除这部分配置,并重启设备。
规避措施:通过命令行配置的攻击防范配置,如果需要删除也要通过命令行来删除。
六、 升级时注意事项:
请务必参照《H3C SECBLADEIII-CMW520-R3817版本使用指导书.doc》中的版本升级指导进行升级。
如要完整的了解该版本累计解决的问题,请参看配套的《H3C SECBLADEIII-CMW520-R3817版本说明书.doc》。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作