H3C SECPATH1000FE&SECBLADEII-CMW520-F3171P11版本发布
一、 使用范围及配套说明:
H3C SECPATH1000FE&SECBLADEII-CMW520-F3171P11版本正式发布,使用范围为国内市场。
表1:版本配套表(F1000-E)
产品系列 |
H3C SecPath |
型号 |
SecPath F1000-E |
内存需求 |
2G |
FLASH需求 |
4M |
CPLD |
3.0 |
BootWare版本号 |
1.50 |
目标文件名称 |
SECPATH1000FE-CMW520-F3171P11.bin |
iMC版本号 |
iMC PLAT 5.1 (E0202) |
SecCenter Firewall Manager |
SecCenter Firewall Manager E0031P01 |
备注 |
无 |
表2:版本配套表(SecBlade II)
产品系列 |
H3C SecBlade |
型号 |
SecBlade II |
内存需求 |
最小2G |
FLASH需求 |
4M |
CPLD |
3.0 |
BootWare版本号 |
1.50 |
目标文件名称 |
SECBLADEII-CMW520-F3171P11.bin |
S5800配套版本 |
S5800_5820X-CMW520-R1211P03 |
S7500E 配套版本 |
S7500E-CMW520-R6701P01 |
S9500 配套版本 |
S9500-CMW310-R1651P08 |
S9500E配套版本 |
S9500E-CMW520-R1626P01 |
S12500配套版本 |
S12500-CMW520-R1626P01 |
SR6600配套版本 |
SR6600-CMW520-R2603 |
SR8800配套版本 |
SR8800-CMW520-R3348 |
CR16000配套版本 |
CR16000-CMW710-B6133 |
iMC版本号 |
iMC PLAT 5.1 (E0202) |
SecCenter Firewall Manager |
SecCenter Firewall Manager E0031P01 |
备注 |
无 |
二、 增减特性说明:
表3:特性变更说明
版本号 |
项目 |
描述 |
SECPATH1000FE&SECBLADEII-CMW520-F3171P11 |
硬件特性更新 |
新增特性:无。 删除特性:无。 修改特性:无。 |
软件特性更新 |
新增特性: userlog日志报文发送时间和userlog日志时间统一,可以配置通过UTC时间或本地时间发送。 删除特性:无。 修改特性:无。 |
三、相比前一版本解决的问题说明:
首次发现版本:SECBLADEII-CMW520-F3171P08。
问题产生的条件:设备持续运行时间超过30周。
问题现象:设备产生的会话日志时间与系统当前时间出现数分钟的偏差。
四、版本使用限制及注意事项:
如果将设备版本从F3166、R3166或F3169系列版本升级到F3171系列版本时,需要注意以下配置是否有问题:
1) 确认接口下是否配置了NAT静态地址映射(NAT Static)、NAT地址池(NAT address-group)及服务器映射(NAT Server),如果有该配置并且NAT配置中的global地址与接口地址不在同一网段,则防火墙接口默认对于收到的针对NAT global地址的ARP请求不会进行响应。在防火墙对端设备未配置指向NAT global地址的路由时可能引发NAT中断问题,可以通过在该接口下配置与NAT global在同一网段的sub地址来实现ARP响应。
2) F3166及R3166部分版本的地址资源(含主机地址、范围地址、子网地址)名称、自定义服务资源名称、服务组资源名称可以配置允许配置某些特殊字符(包括:“!”、“#”、“?”、“@”、“~”、“(”、“)”),但是F3171系列版本不支持这些特殊字符,因此需要在版本升级前将这些字符替换成其他字符。
3) 确认是否配置了SYN FLOOD攻击检测,如果已经配置,则升级到F3171系列版本后SYN FLOOD异常流量检测配置会出现丢失,需要重新配置。
4) 接口上配置NAT Outbound中绑定的address-group地址和接口地址不在同一个网段的情况下,设备不会应答地址池地址的免费ARP。需要在接口下配置和地址池地址同一网段的sub地址。
5) 最新版本支持不同VPN实例之间的NAT转换,如果从R3166系列版本进行升级,需要调整NAT Static和NAT Server的配置。
在NAT Outbound的ACL中配置 deny ip destination X.X.X.X的rule规则,会影响到ALG的正常转换,在有ALG应用的实际组网中,建议不配置deny ip destination X.X.X.X的rule规则。
ICMP分片报文发送限制:ping 35000以上大包时,可能不通,原因是设备回应ICMP报文的时候由于报文超过接口MTU需要将报文分片发送,报文越大分片数量就越多,由于SecPath F1000E产品裁减了QoS的队列功能,导致接口物理发送失败的时候报文会被直接丢弃,而RMI固定口配置的发送Credit数量是有限的,这样在突然连续发送大量分片报文的时后可能因瞬间发送速率大于接口的物理发送速率而引起分片的发送失败,这样在PC侧因为无法收到所有的分片而不能重组成ICMP报文。
MAC地址限制:设置的8个端口的MAC地址前43位必须相同。也由于这个原因,如果在用装备命令行设置MAC地址时,MAC地址的最低5位大于0b11001时,就会返回设置失败。属于芯片VSC7326限制。
RMON统计限制:4GE/10GE对于RMON的报文长度分段统计硬件实现的和RFC规范不符合,所以对于这两种接口不具有RMON统计功能,属于硬件限制。
Web显示限制:Web上所有的配置概览信息最多只能显示5000条,如果配置超过5000条,如会话信息等,都不能在Web上显示完整,但可以通过过滤功能显示用户所关心的信息。
SecPath F1000E的固定4GE端口和8GE插卡端口在二层模式下时,若在它上面配置的子接口的编号和子接口本身所属VLAN的ID相同时,对于广播报文将导致下游交换机发生MAC地址学习迁移,属于软件实现限制。
将以太网接口工作模式设定为桥模式(二层口)后,不支持环回检测(loopback)功能。
SecPath F1000-E硬件中的USB为预留模块,目前软件不支持。
SecPath F1000-E的扩展4GE和8GE 插卡因为MAC芯片存在物理缺陷,不能支持VRRP的虚MAC模式,如果必须使用扩展插卡实施VRRP业务,请使用实MAC模式。
F3171系列版本仅支持SSL VPN IP资源接入方式,不支持TCP资源和Web资源接入方式。
SSL VPN支持Windows XP、32位Windows Vista、32位Windows 7操作系统,浏览器支持32位IE6.0/IE7.0/IE8.0、Firefox3.0/3.5。
五、 版本存在问题与规避措施:
遗留问题:链路聚合子接口跨VPN双机组网,没有流量的情况,删除聚合口,设备CPU100%,命令行操作十分延迟,不能恢复。
规避措施:尽量不使用跨VPN的链路聚合功能。
遗留问题:无法通过三层子接口将Userlog日志信息发送到IPv6日志主机。
规避措施:改用物理接口发送,或者发送到IPv4日志主机。
问题描述:SmartBits和Avalanche双重IPSec流量下,设备重启。
规避措施:避免设备转发1Gbps以上的IPSec流量。
六、 升级时注意事项:
请务必参照《H3C SECPATH1000FE-CMW520-F3171P11 版本使用指导书》、《H3C SECBLADEII-CMW520-F3171P11 版本使用指导书》中的版本升级指导进行升级。
如要完整的了解该版本累计解决的问题,请参看配套的《H3C SECPATH1000FE-CMW520-F3171P11 版本说明书》、《H3C SECBLADEII-CMW520-F3171P11 版本说明书》。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作