H3C SecPathACG1000-IMW110-R6616P02 版本說明書

目  錄

1 版本信息·· 1

1.1 版本號·· 1

1.2 曆史版本信息·· 1

1.3 版本配套表·· 4

1.4 版本升級注意事項·· 6

2 硬件特性變更說明·· 7

3 軟件特性及命令行變更說明·· 8

4 MIB變更說明·· 8

5 操作方式變更說明·· 8

6 版本使用限製及注意事項·· 8

6.1 使用限製·· 8

6.2 注意事項·· 17

7 License管理·· 21

7.1 License簡介·· 21

7.2 License申請及安裝·· 21

8 存在問題與規避措施·· 21

9 解決問題列表·· 22

9.1 SecPathACG1000-IMW110-R6616P02版本解決問題列表·· 22

9.2 SecPathACG1000-IMW110-R6616版本解決問題列表·· 22

9.3 SecPathACG1000-IMW110-R6614P10版本解決問題列表·· 23

9.4 SecPathACG1000-IMW110-R6614P09版本解決問題列表·· 23

9.5 SecPathACG1000-IMW110-R6614P08版本解決問題列表·· 23

9.6 SecPathACG1000-IMW110-R6614L07版本解決問題列表·· 23

9.7 SecPathACG1000-IMW110-R6614L06版本解決問題列表·· 23

9.8 SecPathACG1000-IMW110-R6614P05版本解決問題列表·· 23

9.9 SecPathACG1000-IMW110-R6614P04版本解決問題列表·· 24

9.10 SecPathACG1000-IMW110-R6614P03版本解決問題列表·· 24

9.11 SecPathACG1000-IMW110-R6614L02版本解決問題列表·· 25

9.12 SecPathACG1000-IMW110-R6614P01版本解決問題列表·· 25

9.13 SecPathACG1000-IMW110-R6614版本解決問題列表·· 25

9.14 SecPathACG1000-IMW110-F6613P03版本解決問題列表·· 35

9.15 SecPathACG1000-IMW110-F6613P02版本解決問題列表·· 36

9.1 SecPathACG1000-IMW110-F6613P01版本解決問題列表·· 36

9.2 SecPathACG1000-IMW110-F6613版本解決問題列表·· 36

9.3 SecPathACG1000-IMW110-R6612版本解決問題列表·· 36

9.4 SecPathACG1000-IMW110-R6611P09版本解決問題列表·· 36

9.5 SecPathACG1000-IMW110-R6611P07版本解決問題列表·· 37

9.6 SecPathACG1000-IMW110-R6611P06版本解決問題列表·· 38

9.7 SecPathACG1000-IMW110-R6611L05版本解決問題列表·· 39

9.8 SecPathACG1000-IMW110-R6611P04版本解決問題列表·· 39

9.9 SecPathACG1000-IMW110-R6611P03版本解決問題列表·· 40

9.10 SecPathACG1000-IMW110-R6611P02版本解決問題列表·· 40

9.11 SecPathACG1000-IMW110-R6611P01版本解決問題列表·· 40

9.12 SecPathACG1000-IMW110-R6611版本解決問題列表·· 41

9.13 SecPathACG1000-IMW110-F6610P03版本解決問題列表·· 42

9.14 SecPathACG1000-IMW110-F6610P02版本解決問題列表·· 43

9.15 SecPathACG1000-IMW110-F6610P01版本解決問題列表·· 44

9.16 SecPathACG1000-IMW110-F6610版本解決問題列表·· 44

9.17 SecPathACG1000-IMW110-R6609P06版本解決問題列表·· 44

9.18 SecPathACG1000-IMW110-R6609P02版本解決問題列表·· 45

9.19 SecPathACG1000-IMW110-R6609版本解決問題列表·· 46

9.20 SecPathACG1000-IMW110-F6608P01版本解決問題列表·· 47

9.21 SecPathACG1000-IMW110-F6608版本解決問題列表·· 48

9.22 SecPathACG1000-IMW110-R6606P08版本解決問題列表·· 48

9.23 SecPathACG1000-IMW110-R6606P07版本解決問題列表·· 48

9.24 SecPathACG1000-IMW110-R6606P06版本解決問題列表·· 49

9.25 SecPathACG1000-IMW110-R6606P05版本解決問題列表·· 49

9.26 SecPathACG1000-IMW110-R6606P04版本解決問題列表·· 50

9.27 SecPathACG1000-IMW110-R6606P03版本解決問題列表·· 50

9.28 SecPathACG1000-IMW110-R6606P02版本解決問題列表·· 50

9.29 SecPathACG1000-IMW110-R6606P01版本解決問題列表·· 51

9.30 SecPathACG1000-IMW110-R6606版本解決問題列表·· 52

9.31 SecPathACG1000-IMW110-R6605P03版本解決問題列表·· 52

9.32 SecPathACG1000-IMW110-R6605P02版本解決問題列表·· 52

9.33 SecPathACG1000-IMW110-R6605P01版本解決問題列表·· 52

9.34 SecPathACG1000-IMW110-R6605版本解決問題列表·· 53

9.35 SecPathACG1000-IMW110-R6604P01版本解決問題列表·· 54

9.36 SecPathACG1000-IMW110-R6604版本解決問題列表·· 56

9.37 SecPathACG1000-IMW110-F6603P03版本解決問題列表·· 56

9.38 SecPathACG1000-IMW110-F6603P02版本解決問題列表·· 57

9.39 SecPathACG1000-IMW110-R6603P01版本解決問題列表·· 58

9.40 SecPathACG1000-IMW110-R6603版本解決問題列表·· 58

9.41 SecPathACG1000-IMW110-E6602版本解決問題列表·· 59

10 故障定位與處理·· 59

11 相關資料·· 60

11.1 相關資料清單·· 60

11.2 資料獲取方式·· 60

12 技術支持·· 60

附錄 A 本版本支持的軟、硬件特性列表·· 61

A.1 版本硬件特性·· 61

A.1.1 查看設備內存大小·· 67

A.2 版本軟件特性·· 67

附錄 B 版本升級操作指導·· 139

B.1 設備軟件簡介·· 139

B.1.1 啟動文件簡介·· 139

B.1.2 配置文件·· 139

B.2 軟件升級方式簡介·· 139

B.3 升級前的準備·· 140

B.4 升級啟動文件·· 140

B.4.1 通過命令行升級啟動文件·· 140

B.4.2 通過Web升級啟動文件·· 144

B.4.3 通過MenuBoot菜單升級啟動文件·· 145

B.4.4 升級時間·· 147

B.5 軟件升級失敗的處理·· 147

附錄 C 存儲器規格差異說明·· 148

C.1 存儲器規格差異說明·· 148

表目錄

表1 曆史版本信息表... 1

表2 版本配套表... 4

表3 軟件升級方式簡介... 139

表4 設備缺省Web登錄信息表... 144

表5 MenuBoot主菜單... 146

表6 以太網參數設置說明... 146

表7 存儲器規格... 148

本文介紹了SecPathACG1000-IMW110-R6616P02版本的特性、使用限製、存在問題及規避措施等，在加載版本前，建議您備份配置文件，並進行內部驗證，以避免可能存在的風險。

本文檔需和隨版本發布的《H3C SecPathACG1000-IMW110-R6616P02版本說明書（軟件特性變更說明）》，以及本文“相關資料”中的文檔一起配合使用。

1  版本信息

1.1  版本號

版本號：i-Ware software,Version 1.10,Release 6616P02

注：該版本號可在任何視圖下執行display version命令查看。

1.2  曆史版本信息

表1 曆史版本信息表

1.3  版本配套表

表2 版本配套表

1.4  版本升級注意事項

1、版本升級前需備份原有配置文件，版本回退需清除配置導入原有配置文件即可。

ACG1000-ME-G、ACG1000-AE-G款型，請務必使用SecPathACG1000-IMW110-R6616P02-ARM_FT.BIN版本。

其他款型設備，請使用SecPathACG1000-IMW110-R6616P02.BIN版本。

2、內存1G設備不支持升級到R6611及以後版本。

R6614版本可用於2G內存及以上設備升級，不能用於升級1G內存設備。可以登錄設備命令行，執行display hardware info命令查看設備內存大小。

3、跨版本升級後訪問設備web頁麵前清除瀏覽器緩存，避免瀏覽器緩存導致登錄異常及登錄後頁麵顯示異常。

4、R6609P06及以前版本若直接升至F6613及之後版本，請通過通過命令行進行升級，具體方法請參見附錄B.4.1。

5、設備從R6611及後續版本升級到R6616版本及之後版本，版本升級配置兼容性說明：

1)版本及配置支持向上兼容，不支持向下兼容，為避免反複升降級版本或切換版本後出現配置丟失顯示異常等問題，務必在低版本升級之前先將配置文件導出備份，後續版本進行降級時直接導入備份的配置文件即可確保配置恢複和顯示正常

2)端口掃描立即條目隻做一次配置恢複，不支持降級，降級後再次升級需要重新配置條目

3)弱密碼掃描.立即掃描條目（弱密碼掃描模塊的立即掃描條目配置完成後立即開始掃描，掃描完成後，該條目變成曆史記錄，等於條目已經失效，不會寫配置文件。升級後弱密碼立即掃描條目不做恢複，重新配置即可。）

4)設備從R6616之前版本升級到R6616及之後版本時，本地創建的用戶配置“初次認證修改密碼”的，版本升級之後由於用戶架構修改，不管之前是否修改過密碼，版本升級之後初次認證仍需要修改密碼，後續再升級R6616及之後版本已修改密碼的不需要在修改密碼。如果升級R6616及之後版本後不想修改密碼，可以在本地用戶配置中取消勾選“初次認證修改密碼”項。

6、數據庫升級兼容性注意事項：

設備從R6611及後續版本升級R6616版本之後，數據庫隻支持升級一次，若數據庫升級後，回退到R6611及後續版本，再升級到R6616及之後版本，不再做日誌升級兼容操作。

l  以下幾個模塊的數據不做恢複：

1)弱密碼掃描.立即掃描條目和結果（弱密碼掃描模塊的立即掃描條目配置完成後立即開始掃描，掃描完成後，該條目變成曆史記錄，等於條目已經失效，不會寫配置文件。升級後弱密碼立即掃描條目不做恢複，重新配置即可。）

2)端口掃描立即條目隻做一次配置恢複，不支持降級，降級後再次升級需要重新配置條目

3)端口掃描結果

4)用戶信息中心模塊曆史的數據

5)終端發現日誌，移動終端管理模塊的移動終端管理數據和終端發現趨勢的曆史數據

這幾類數據從R6611及後續版本升級到R6616版本之後數據不會恢複也不能從CLI通過命令下載。

數據庫特性變化參考特性變更說明。

7、設備在三權模式下，從R6612係列及之前版本升級到R6614及之後版本，三權account、authority，audit和admin賬戶均被初始化，同時通過admin賬戶登錄設備web頁麵，無法顯示主頁信息，需要重新配置admin權限

8、R6611P21及之前版本配置DHCP服務器個數規格沒有限製，R6612及之後版本限製此規格為256個，升級後超過規格配置的DHCP服務無法配置啟用。

9、ACG1030、ACG1040、ACG1050、ACG1000-S、ACG1000-AK140等停產款型不支持升級R6612及之後版本。

其他升級事項請參考章節6 版本使用限製及注意事項。

2  硬件特性變更說明

無

3  軟件特性及命令行變更說明

有關本版本及曆史版本的軟件特性及命令行的變更信息說明，請參見隨版本發布的文檔《H3C SecPathACG1000-IMW110-R6616P02版本說明書(軟件特性變更說明書)》。

4  MIB變更說明

無

5  操作方式變更說明

無

6  版本使用限製及注意事項

在更新軟件版本之前，強烈建議您通過《H3C SecPathACG1000-IMW110-R6616P02版本說明書(軟件特性變更說明書)》了解版本間的軟件特性變更情況，評估變更可能對業務造成的影響，同時請查閱相關的配套資料。

6.1  使用限製

1. R6616之前版本升級到R6616及之後版本，數據庫升級兼容性限製說明

·              版本升級後，日誌恢複的形式如下：

1)      “係統日誌，操作日誌，安全日誌，告警日誌， 資產日誌“可以恢複，即UI界麵上可以看到升級之前的日誌。這5種日誌，每種日誌最大恢複50W條。

2)      除以上5種日誌以外，“數據中心>日誌中心”的其它所有日誌升級之後，UI界麵上看不到，用戶想看升級之前的日誌，需要通過FTP導出成CSV文件來查看。單次最大導出50W條

3)      除上述兩類以外，其它存儲在數據庫裏麵的數據不做日誌兼容性處理，即升級到R6616版本後，數據不提供日誌恢複和導出。

4)      數據庫升級日誌兼容性列表：

·              注意事項

1、 設備從R6611及後續版本升級R6616及之後版本之後，數據庫隻支持升級一次，若數據庫升級後，回退到R6611及後續版本，再升級到R6616版本，不再做日誌升級兼容操作。

2、 以下幾個模塊的數據不做恢複：

1)   弱密碼掃描.立即掃描條目和結果（弱密碼掃描模塊的立即掃描條目配置完成後立即開始掃描，掃描完成後，該條目變成曆史記錄，等於條目已經失效，不會寫配置文件。升級後弱密碼立即掃描條目不做恢複，重新配置即可。）

2)   端口掃描立即條目隻做一次配置恢複，不支持降級，降級後再次升級需要重新配置條目

3)   端口掃描結果

4)   用戶信息中心模塊曆史的數據

5)   終端發現日誌移動終端管理模塊的移動終端管理數據和終端發現趨勢的曆史數據

這幾類數據從R6611及後續版本升級到R6616版本之後數據不會恢複也不能從CLI通過命令導出。

·              日誌每天記錄上限說明；

1)      對於無硬盤設備，所有支持的日誌的規格都是50萬條。即：單日日誌記錄不能超過50萬，累積日誌記錄也不能超過50萬條

2)      對於有硬盤設備，係統日誌和操作日誌的規格是150萬條。單日日誌記錄不能超過150萬，累積日誌記錄也不能超過150萬條

對於有硬盤設備，除係統日誌和操作日誌外，沒有規格限製。單日日記紀錄條數無限製，累積日誌記錄也無限製，但是會受製於磁盤容量限製

·              日誌導出上限說明；

1)      不查詢直接導出：導出的是所有日誌。最多支持導出100萬條數據（即如果日誌量超過100萬條，則導出最近的100萬條日誌），最多導出180天的數據（即如果日誌量跨度超過180天，則導出最近的180天的日誌）。

2)      查詢後導出：導出的是經過查詢後的日誌。最多支持導出100萬條最新的數據。

·              修改時間，日誌保存刪除說明：

預設條件：係統時間為2023-06-30，日誌保存期限為90天。（為了便於說明問題每個月按30天計算）

·              日誌保存期限的檢測：

1)      若修改的係統時間變小（值為2023-05-29），則日誌最大保存期限為[2023-02-30 至 2023-05-30]。

檢測過程簡述：

日誌保存期限的檢測任務，會在後台周期輪詢； 檢測日誌文件最後修改的時間是否在[ 至 2023-02-30 至 2023-05-30]之內，若不在此範圍則刪除此日誌文件。

說明：

日誌檢測的顆粒度是按照文件進行的（每個文件可以存儲5萬條日誌），即根據文件最後的修改時間進行判斷日誌文件是否在保存期限範圍[2023-02-30 至 2023-05-30]內；而不是對文件內的具體日誌內容進行檢測的，因此係統時間突然 變小會存在多刪除日誌的情況。

例如：

係統時間修改前2023-06-30 00:00:00，存在一個日誌文件 /t_log_event/20230601-144600.log，

文件大小為5萬條，最後一條日誌的時間2023-06-01 14:46:00 ，第一條日誌的時間是2023-05-01 14:46:00

係統時間修改成2023-05-29 00:00:00，則日誌最大保存期限為[2023-02-30 至 2023-05-30]，

需要刪除 /t_log_event/20230601-144600.log 這個文件，則 [2023-05-01 至 2023-05-30 14:46:00]內的日誌也被刪除

2)      若修改的係統時間變大（值為2023-07-30），則日誌最大保存期限為[ 2023-04-30 至 2023-07-30 ]。

檢測過程簡述：

日誌保存期限的檢測任務，會在後台周期輪詢； 檢測日誌文件最後修改的時間是否在[ 2023-04-30 至 2023-07-30 ]之內，若不在此範圍則刪除此日誌文件。

說明：

日誌檢測的顆粒度是按照文件進行的（每個文件可以存儲5萬條日誌），即根據文件最後的修改時間進行判斷日誌文件是否在保存期限範圍[2023-04-30 至 2023-07-30]內；而不是對文件內的具體日誌內容進行檢測的，因此係統時間突然 變大會存在少刪除日誌的情況。

例如：

係統時間修改前2023-06-30 00:00:00，存在一個日誌文件 /t_log_event/20230430-144600.log，

文件大小為5萬條，最後一條日誌的時間2023-04-30 14:46:00 ，第一條日誌的時間是2023-03-01 14:46:00

係統時間修改成2023-07-30 00:00:00，則日誌最大保存期限為[2023-04-30 至 2023-07-30]，

不需要刪除 /t_log_event/20230430-144600.log 這個文件，則 [2023-03-01 14:46:00 至 2023-04-30 14:46:00]內的日誌不會被刪除

特例：

若係統時間修改的範圍大於10天，則立即對係統和操作日誌進行是否超出日誌最大保存期限的檢測，其他日誌在淩晨4點進行日誌最大保存期限的檢測。係統和操作日誌進行是否超出日誌最大保存期限檢測時，會保留cur.csv文件不被刪除。

·              頁麵所有日誌最大隻展示最新的10000：

說明：

1)      若日誌數目少於1萬條，頁麵可以顯示所有日誌[通過翻頁查看]

2)      若日誌數目大於等於1萬條，頁麵可以顯示最新的1萬條日誌[通過翻頁查看]

·              磁盤使用率很高，從R6616之前的版本升級到R6616版本時候, 舊的PG數據庫日誌刪除機製：

說明：

根據R6616之前的版本中pg庫日誌原來的刪除機製，R6616刪除pg的邏輯設計如下：

硬盤使用率 >= 90%

        - 獲取pg庫中，最老日誌的日期（min_date）

        - 刪除/disk/mail/目錄下小於min_date的文件

        - 刪除/disk/inode_file/log/目錄下小於min_date的文件

硬盤使用率 >= 80%

        1. 獲取最老日誌的日期（min_date）

        2. 刪除pg庫中min_date日期的日誌天表

        3. 刪除/disk/mail/目錄下， min_date日期的文件

4. 刪除/disk/inode_file/log/目錄下， min_date日期的文件

        5. 若此時硬盤使用率 >= 80%，且本輪刪除老日誌的循環次數小於20次，則重複（1-5）的步驟; 否則結束本輪老日誌的刪除。

說明：

        1. logdb原來的刪除機製不變，隻對pg庫的刪除做了變更

        2. pg庫完全刪除前，不刪除新產生的日誌

2. R6611P03及以後版本磁盤使用率超高時刪除方式變更

·              R6611P03以前版本為：當磁盤使用率超過95%時開始進行刪除，到85%時停止刪除，隨著磁盤容量越來越大，支持審計記錄日誌的越來越多，如果集中刪除的同時又在寫入大量新日誌，可能會造成磁盤繁忙，存在風險。

·              R6611P03及以後版本為：當磁盤使用率超過90%時就會刪除日誌，每半小時檢查一次磁盤利用率，每次刪除最老1天的日誌，同時對於郵件、郵件附件、網盤文件這種留存的原始文件進行文件個數限製，每天最多10萬個（郵件、郵件附件、網盤存儲的文件個數共用同一個10萬的規格），對於日誌沒有條數限製，即當此類日誌超過10萬時還會記錄相關日誌信息，但是無法下載原始文件。

3. 內存1G設備不支持升級到R6611及以後版本，僅支持2G及以上內存設備升級到R6611及之後版本

4. 默認情況下，設備對每秒產生的其他應用類日誌存在閾值限製

默認情況下，設備對每秒產生的IM聊天軟件日誌、社區日誌、搜索引擎日誌、郵件日誌、命令日誌和其他應用日誌存在如下的閾值限製：

·               ACG1000-SE-PWR ACG1000-ME/ACG1000-TE/ACG1060-X1/ ACG1000-C9130/ ACG1000-C9150/ ACG1000-C9160每秒25條。

·               ACG1000-AK230/ ACG1000-AK240/ ACG1000-AK250/ ACG1000-AK260/ ACG1000-AK270/ ACG1000-AE/ACG1070-X1/ ACG1000-C9170/ ACG1000-AK215/ ACG1000-AK225/ ACG1000-AK255/ ACG1000-AK265/ ACG1000-AK275/ ACG1000-AK285/每秒50條。

·              ACG1000-AK280/ ACG1000-AK285/ACG1000-EE/ACG1000-PE/ACG1000-XE1每秒100條。

5. 基於MAC策略轉發限製

對於基於MAC的轉發策略，隻支持PC與設備直連的組網（其中可以有二層交換機）。

6. 用戶導入限製

大批量用戶導入時，導入操作會消耗大量的CPU資源，CPU資源無法滿足時會導致其他進程無法響應現象。

7. ACG1000第三方認證每秒超過20用戶同時登錄，認證延時較大，性能較低

由於PHP性能導致RADIUS和LDAP第三方認證每秒超過20個用戶同時登錄認證時延約為5秒。當有大量用戶上線場景時建議選用iMC或本地認證方式。

8. ACG1000設備應用流量統計有時為空

在大流量係統負荷滿的情況下，詳細應用流量統計中，有些應用統計會出現統計為空的情況，影響查看應用流量統計中的應用及對應的用戶信息。

9. 防共享上網存在誤識別情況，難以保證100％識別

10. 啟用QOS保序功能後，無法完全杜絕QOS亂序現象，可能導致偶爾出現下載慢現象

11. IPSEC性能低

12. 日誌導出功能有規格限製，日誌量較大時使用受限，F6610之前版本隻能導出最多25萬條日誌，F6610及以後版本日誌導出支持基於時間範圍導出，時間範圍設置最多為14天，日誌導出規格為10W條，超過10W條時，提示導出日誌的結束時間，可將此結束時間配置為開始時間繼續導出後麵的日誌

13. 不同用戶登錄同一台域內測試PC，在線用戶隻顯示一個賬號

14. 導入配置文件後，需要重啟生效，在重啟前請勿點擊配置保存，否則當前配置文件就會覆蓋導入的配置文件，重啟後仍是原配置

15. 設備開啟實時保存後使用限製

·              新設備不建議開啟實時保存，由於開啟後頻繁快速操作或者配合HA使用時對設備資源消耗過大，可能存在以下現象：

¡  SNMP用戶同步過程中，連續生成2次錄入用戶任務，第一次的用戶錄入大概率無法同步到備設備；

¡  IPv4控製策略引用一條空的url對象，然後在url對象頁麵添加內容，概率出現引用關係消失；

¡  在自動保存配置的過程中，同時刪除多個用戶，提示信息有誤等問題。

·              如果開啟了實時保存，需要在每次執行完配置後等待1-2分鍾，設備完全保存好配置後再進行相關的操作。

16. Manager R0306配合R6614版本使用限製

·              審計策略：R6614版本審計策略>高級配置，多了終端型號參數、vlan、DSCP參數，manager上無這些參數。當前下發後，終端型號為any，vlan為any，DSCP為any。不影響下發。

·              控製策略：

·              R6614版本控製策略描述下麵有個“日誌”選項，manager沒此參數。當前下發後不勾選此選項，不影響配置下發。

·              R6614控製策略>入侵防禦配置，默認的規則模板有變，導致Manager這邊無論配置的事件集是什麼，下發到R6614 ACG規則模板都是ALL。另外R6614 ACG的入侵防禦配置界麵也有變化，R6614裁剪掉了一些功能。

·              控製策略>URL過濾>URL控製，R6614版本多了一個DNS過濾，而manager沒此參數。當前下發後不勾選此選項，不影響配置下發。

·              控製策略>應用過濾>郵件控製，R6614版本多了接收郵件參數和附件名關鍵字參數，而manager沒此參數，默認下發不勾選，不影響配置下發。

·              控製策略>應用過濾>web關鍵字>搜索引擎/http上傳/網頁內容，處理動作和ACG R6614版本有變化，R6614版本為放行、阻斷；但manager是告警、拒絕。導致manager模板上配置的是告警，實際下發到R6614 ACG上對應為放行，拒絕對應阻斷。不影響策略下發。

·              ACG R6614版本上新增了控製策略>應用過濾>文件類型過濾和協議過濾功能，但Manager上無此參數配置。當前不影響下發。

·              R6614版本控製策略>高級配置，多了終端型號、vlan、DSCP參數，manager上無此參數。當前下發後，終端型號為any，vlan為any，DSCP為any，不影響下發。

·              流量控製策略：流量控製策略>新建通道多了終端型號參數、vlan和DSCP參數，限製通道多了vlan和DSCP參數，manager上無此參數。當前下發後，終端類型為any，vlan為any，DSCP為any，不影響下發。

·              對象：應用對象，R6614版本和Manager的自定義應用配置界麵發生變化。當前不影響下發。

·              Manager配置模板中對特殊字符處理同R6611係列版本，R6614係列和R6611係列部分輸出框對特殊字符的限製如果出現變化，會導致Manager端可以成功保存配置模板但是下發到ACG失敗。

·              IPV6：ACG R6614多處支持IPV6，但是Manager不支持。如：地址對象、審計策略、控製策略。

17. BA E6401P02配合ACG R6614版本使用限製

·              從ACG側同步到BA的用戶無法刪除。可以根據ACG同步到BA的用戶組進行選擇分析或不分析，分析即占用授權，不分析不占用授權。

·              行為感知分析平台（BA）操作係統時區時間、ACG設備時間、瀏覽器時間要保持一致

·              請勿將R6614基線或F6613基線或6612基線版本對接BA後，再回退到到R6611基線版本對接BA使用。

18. 與雲運維管理平台聯動時，支持在雲運維平台上查看ACG設備監控的設備信息、性能狀態、設備狀態；支持事件與告警；支持圖形化web反向鏈接；支持版本管理、license管理、配置管理。

19. 審計日誌、WEB防護、安全分析、統計報表、無線非經及BA平台配置等功能僅支持在帶有硬盤的ACG設備上使用，具體可以參考規格中軟件特性支持備注情況。

20. F6613及以上版本把單獨的黑名單記錄功能刪除了，黑名單記錄情況都在黑名單下記錄顯示，老版本升級新版本隻有永久 黑名單會保留，基於時間的黑名單記錄會丟失

21. ACG對接EBM相關使用限製：

1、EBM客戶端修改IP地址後，在線終端的IP顯示的還是修改之前的IP。

2、HA 主備環境中，備機可以修改插件模板， 防火牆的認證模板設置也是都可以配置的。

3、授權管理，在線終端  不支持HA主備環境。備機授權得重新導入，在線終端，流量同步過來會自動識別。

4、終端插件安裝後需要重啟才會生效。

5、聊天記錄日誌， 發送圖片或者文件的時候，文件上傳不是實時的  終端插件可能有延遲， 可能日誌產生了，但是文件還沒傳完，一開始點擊下載，可能存在 文件不存在的情況

6、論壇聊天記錄，未實現

7、光驅刻錄審計，必須指定特定的軟件：C:\iNode DAMAgent\components\LdCdBurn.exe

8、光驅刻錄日誌，刻錄文件大小 是指的總的文件夾的大小，詳情裏麵會有文件夾裏麵每個文件的大小，不會每一條顯示的某一個文件的大小。設計如此。

9、授權管理，在線終端  不支持HA主備環境。備機授權得重新導入，在線終端，流量同步過來會自動識。

10、藍牙傳輸審計，隻審計PC 發送的，不審計接收的。

11、終端插件客戶端一旦安裝了，授權使用數會加一，如果客戶端卸載了不會立即減一，按照注冊數判斷，一個月自動清理一次。

12、移動終端不支持插件安裝

13、郵件審計不支持  webMail 郵件審計目前未實現。

14、ACG上的EBM Server服務出現掛掉了，可能是下載hostid導致的。

15、當前設計EBM審計的圖片名稱會被改為其他字符串。

16、開啟聊天圖片監控，微信未審計到圖片日誌。

17、插件的安裝以及每次重啟inode會受到360殺毒軟件的攔截。

18、EBM連續發多條聊天記錄，存在漏審的現象。

19、EBM日誌上傳間隔和每次上報最大條數不準確。

20、微信版本僅支持3.4及之前版本審計

22. 數據中心，數據統計報表加載速度和日誌數據有關，數據量很大的情況下，加載需要一定的時間，數據量越大的情況等待時間越長

23. AD域用戶名帶英文逗號同步到設備後英文逗號轉譯成豎線展示。導致同步到設備上LDAP同步到本地、在線用戶處顯示和上下線日誌無法區分用戶本身帶|還是ldap服務器同步過來帶“，”的用戶。

24. 導入配置文件方式無法恢複管理員雙因子認證配置

25. 配置接口狀態探測後，若與地址探測的接口為同一個接口，無法通過shutdown/no shutdown恢複接口狀態

26. 應用緩存中命令行方式不支持上傳帶有漢字的文件

27. 設備多處配置模塊綁存在：配置含有SQL注入風險字符可以導入，但是在頁麵無法編輯修改提交的限製。可以通過命令行進行修改或者在頁麵將原帶有異常注入字符的配置去掉，然後新建不帶異常注入字符的配置進行規避。

28. 部分款型不支持U盤掛載，具體以設備支持命令為準

29. 部分款型接口由於軟硬件限製，不支持強製1000M，具體以實際配置為準

30. R6616版本對數據庫做了整改，升級時請注意，具體參見版本特性變更說明書。

31. 瀏覽器審計、控製支持哪些瀏覽器

瀏覽器審計、控製支持的瀏覽器及推薦版本如下表。

6.2  注意事項

1. 設備版本升級注意事項

·              跨版本升級後訪問設備web頁麵前清除瀏覽器緩存，避免瀏覽器緩存導致登錄異常及登錄後頁麵顯示異常。

·              設備在三權模式下，從R6612係列及之前版本升級到R6614及之後版本，三權account、authority，audit和admin賬戶均被初始化，同時通過admin賬戶登錄設備web頁麵，無法顯示主頁信息，需要重新配置admin權限

·              R6611P21及之前版本配置DHCP服務器個數規格沒有限製，R6612及之後版本限製此規格為256個，升級後超過規格配置的DHCP服務無法配置啟用。

·              ACG1030、ACG1040、ACG1050、ACG1000-S、ACG1000-AK140等停產款型不支持升級R6612及之後版本。

·              內存1G設備不支持升級到R6611及以後版本，僅支持2G及以上內存設備升級到R6611及以後的版本

·              R6609P06及以前版本通過web管理頁麵升級版本時有150M大小的限製，而R6611P01版本超過了此大小，因此需要通過命令行進行升級。

·              R6609P06及以前版本升級到F6610及之後版本，其中IPv4策略模塊配置為審計時，子策略中應用審計、url審計，惡意站點兼容為IPv4控製策略和IPv4審計策略，其中關鍵字支持配置所有應用且為阻斷的兼容，其餘應用審計的關鍵字配置會丟失，需重新配置，升級後審計對象兼容為全部。

·              R6609P06及以前版本升級到F6610及之後版本，由於數據庫表重新創建會丟失當天的審計日誌、無線非經日誌，升級版本之後新產生日誌正常，因此為減少影響建議版本淩晨升級。

·              首次由R6609係列版本升級至F6610及之後版本時，為保證兼容性，特征庫自動升級；後續繼續升級F6610係列版本，則不會更新原有版本特征庫，需要手動升級或開啟特征庫自動升級。

·              R6609P06及以前版本升級到F6610及之後版本特征庫會變為F6610及之後版本帶的特征庫，F6610及之後回退R6609P06及以前版本的時候，特征庫會變為R6609P06版本及以前版本的特征庫，但特征庫版本號仍顯示為F6610及之後的版本號。

·              R6611P06及以前版本升級到F6612P01及以後的版本，控製日誌、審計日誌丟升級當天的日誌，之前的日誌存在，升級後能正常記錄日誌，為防止當天日誌丟失建議在淩晨進行版本升級。

·              R6611P06及以前版本升級到F6612P01及之後版本，IPv4地址對象和IPv6地址對象合並為地址對象，IPv4審計策略更名為審計策略，IPv4控製策略和IPv6控製策略合並為控製策略，合並後IPv4策略在前麵，IPv6策略在後麵，如果超過控製策略規格，會丟失部分控製策略配置。

·              R6611P06及以前的版本升級到R6614黑名單曆史記錄頁麵去掉，黑名單頁麵變更為黑名單記錄，隻有永久黑名單才支持配置恢複

·              R6611P06及以前的版本升級到R6614 版本IPS複製的模板丟失，除了自定義規則，其它所有配置不進行恢複，如果原來控製策略中配置了IPS策略，則默認恢複為引用All模板的IPS策略

·              R6611P03以前版本為：當磁盤使用率超過95%時開始進行刪除，到85%時停止刪除，隨著磁盤容量越來越大，支持審計記錄日誌的越來越多，如果集中刪除的同時又在寫入大量新日誌，可能會造成磁盤繁忙，存在風險。

·              R6611P03及以後版本磁盤使用率超高時刪除方式變更,R6611P03及以後版本為：當磁盤使用率超過90%時就會刪除日誌，每半小時檢查一次磁盤利用率，每次刪除最老1天的日誌，同時對於郵件、郵件附件、網盤文件這種留存的原始文件進行文件個數限製，每天最多10萬個（郵件、郵件附件、網盤存儲的文件個數共用同一個10萬的規格），對於日誌沒有條數限製，即當此類日誌超過10萬時還會記錄相關日誌信息，但是無法下載原始文件。

·              不適配Manager R0304及之前版本。

2. AK280由E6401P01及以前版本升級到F6608及以上版本時萬兆接口ID發生變動，需要重新對萬兆口進行相關配置

ACG1000-AK280在E6401P01及之前版本中萬兆口ID為XGE0/XGE1，為與設備外觀絲印保持一致，F6608及以上版本中萬兆口ID由XGE0/XGE1改為XGE24/XGE25，新版本升級時會造成萬兆口配置無法同步。可通過兩種方式處理：

a.   在升級前，將配置文件導出，將XGE0關鍵字替換為XGE24，將XGE1關鍵字替換為XGE25，之後保存配置，當設備升級後重新導入配置文件即可。

b.   若未能及時保存配置文件，升級新版本後，可將萬兆口相關配置重新配置。

3. 版本升級到F6608及以上版本時非經版本不需要清數據庫，但需要注意如下事項

·              由於F6607與F6608及以上版本非經日誌字段有較大差別，升級後會重新生成新表，丟失當天的表，這樣就會導致當天的審計日誌丟失，但不會影響之前的老數據，所以升級時建議在淩晨12點後進行，將影響降到最低。

·              不帶非經功能的版本可直接升級到F6608及以上版本，不需要清庫，但建議在淩晨12點後進行，因為當天的表會重建，導致丟失當天的審計日誌。

4. 報文分片無法達到QoS限製最大帶寬

出接口MTU為1500時，報文不需要分片，可以達到最大限製帶寬；若自定義MTU小於1500，則由於分片導致QoS限製可能會出現未達到最大限製帶寬。盡量避免報文分片場景。

5. HA功能使用注意事項

·              HA環境下，不支持同步應用/用戶流量統計，當HA設備切換後，不能看到原有的應用/用戶流量統計數據。

·              HA主備同步時無法同步Web Portal自定義配置。

·              HA主主模式，同時配置監控地址同步和地址探測，接口down掉恢複正常後，主主狀態不能恢複到正常狀態，建議在HA主主模式避免配置地址探測，不影響業務使用。

6. 微信連wifi功能使用注意事項

·              微信認證一台設備下隻支持一個SSID，暫不支持多個SSID。

·              微信公眾號包含服務號、訂閱號、企業號，微信連wifi功能支持訂閱號和服務號，目前企業號本身沒有微信連wifi功能。

·              若使用訂閱號進行微信認證，PC在進行微信認證的時候，由於訂閱號限製，手機微信掃描PC Portal頁麵上的二維碼會提示未注冊的情況，此情況跟微信更新有關，有時候不存在此限製。

·              微信認證用戶IP必須在用戶識別範圍中，否則無法喚醒微信；因為在微信認證用戶上線之前，終端會發送一個放通流量的報文給設備，設備根據此報文的五元組來確定用戶IP，若用戶IP不在識別範圍內，設備IP在識別範圍內則會導致設備的IP被識別成用戶IP，終端流量不能放通，則無法喚起微信。

·              設備上的SSID是可選配置,可以為空,如果要設置，就一定要跟微信公眾上號設置的SSID保持一致，否則可能導致微信公眾號提示未注冊的情況。

·              ACG下聯設備為二層設備時，認證用戶的網關不能是二層設備上的VLAN接口的IP地址，否則在ACG會出現用戶MAC來回切換，一會是二層設備VLAN接口的MAC，一會是用戶的真實MAC，導致不能喚起微信或認證成功後很快被踢下線。

·              微信認證支持手機掃描商戶二維碼自動連接SSID,有些IOS掃碼後可直接根據頁麵提示跳轉到設置裏，有些IOS則需要手動進到設置中配置，此為IOS限製，一般安卓手機無此限製。

·              部分安卓手機彈出Portal頁麵，點擊一鍵微信連WIFI後，頁麵無反應或者會有提示信息“該瀏覽器不支持自動跳轉微信請手動打開微信”，此時請更換瀏覽器嚐試，如果能自動跳轉，則忽略提示信息。

7. 流量劫持功能注意事項

·              不支持HTTPS。

·              自定義廣告定義暫不支持ha同步，如HA切換後需要重新配置流量劫持。

·              自定義廣告配置僅可由WEB界麵來配置。

·              廣告推送域名白名單僅支持命令行配置。

·              流量劫持廣告彈出與出口網速帶寬、廣告過濾軟件等都關，網速慢的情況下圖片加載慢。

·              一個網頁多個跳轉後廣告無法彈出原因是同一條連接發起了多個get請求隻對第一個get請求作插入；302跳轉的情況可以處理。

·              網站彈出廣告頁麵顯示不完全受網速等條件限製，如廣告彈出較慢刷新頁麵或者等待頁麵加載完全後，廣告可以顯示。

·              個別網站在開啟流量劫持的情況下，網頁停留一段時間後，提示網頁已重置（網頁郵箱）；這類網站會定期向服務器端發送請求報文，與流量劫持插入代碼衝突，導致網頁顯示重置。建議，在域名白名單排除掉該網站。

·              廣告Server IP務必保證全網用戶可達，否則無法進行廣告推送。

·              一些網站結構為frameset框架布局，主界麵裏包含多個其它請求，廣告圖片會顯示多個。建議：此類網站加入域名白名單排除掉該網站。

·              廣告不彈出的情況下開啟debug http hijack查看HTTP請求是否匹配到流量劫持。

8. ACG1000-SE、ACG1000-SE-PWR中，Combo口的光口和電口先連接的接口UP，請避免Combo口同時連接電口和光口

9. 開啟廣告推送導致少部分網頁打不開，請使用白名單進行規避。

10. 由於低端設備內存較小，配置過多導致係統控製內存不足，因此建議子接口、控製策略，審計策略、路由配置均不超過1000條，配置過高有風險，同時BGP路由、統計報表、安全分析、策略分析，在日誌量較大或配置量較大的情況下存在異常風險，建議謹慎使用

11. 安全模塊命令行配置複雜繁瑣，需對管理員有較高技術要求，因此不建議在命令行下配置入侵防禦、病毒防護、安全防護、WEB防護、風險掃描等安全模塊，推薦管理員web中使用，命令行主用於故障定位、配置恢複

12. HA環境，支持導入配置的模塊，頻繁導入刪除，造成HA主備/主主配置不一致

·              問題原因：

HA配置導入同步流程，在主牆導入配置後，配置是按照條目批量寫入設備，有個時間差，此時立即刪除配置，再次導入，容易造成配置不一致

·              規避方案：

1、配置不一致後，手動點擊ha同步，配置發送給ha備機，備機重啟後，ha狀態一致（重啟過程中不要操作主機）

2、導入過程中，不要立即刪除配置，等導入配置並同步備機完成後，在進行操作

13. 設備頁麵響應慢的時候頁麵沒加載出來前頻繁操作，頁麵顯示異常

現象1：頁麵新建後頁麵未加載前，頻繁點擊新建，一段時間後頁麵”連接已重置“

現象2：分析類模塊，頁麵需要請求大量數據，頻繁切換，頁麵顯示空白等待不響應

現象3：頁麵提示”服務器響應出錯“

現象4：刷新頁麵後提示”無法訪問網站“

問題原因：

（1）、瀏覽器每次進入頁麵，會開啟一根請求進程

（2）、數據采用遞歸方式發起請求，直到數據獲取成功後才會停止請求，在此過程中會發起很多次請求

（3）、每個請求處理完成後才會處理下一個請求

（4）、頁麵沒響應完前，頻繁操作，導致頁麵顯示異常(瀏覽器的機製)

（5）、為了防止此類異常操作導致設備掛死影響正常轉發業務，對web進程做了保護，此時會進行重啟web進程後讓頁麵恢複正常

綜上，會出現服務器處理繁忙，部分請求響應失敗，瀏覽器提示“服務器響應出錯”的現象。

規避措施如下：訪問設備頁麵數據加載完前不要頻繁切換頁麵，等服務器響應完成後可以正常回顯。

7  License管理

7.1  License簡介

License即授權，指bobty下载软件 授予用戶使用特定軟件功能的合法權限。

產品需要通過License授權的軟件功能以及License授權的相關屬性，請參見產品配套的

《H3C SecPath ACG1000係列應用控製網關License使用指南》。

7.2  License申請及安裝

H3C網站提供License的激活申請、設備授權遷移申請等功能：

//www.yolosolive.com/cn/License

有關License申請、激活文件安裝、License遷移等操作的使用指導及詳細信息，請參見《H3C SecPath ACG1000係列應用控製網關License使用指南》。

8  存在問題與規避措施

1. 202206281257

·              問題現象：策略配置-URL對象-自定義URL對象，對已有自定義URL對象進行編輯時，在關聯URL中加入.加空格可以提交成功，保存再次進入編輯頁麵，空格消失，再次提交報錯，新建自定義URL對象時也會報錯

·              問題產生條件：配置自定義URL對象

·              規避措施：避免使用.空格。

2. 202206280915

·              問題現象：設備存在大量數據表的情況下，導出數據統計，一直提示正在生成文件，等了很久也沒完成，刷新之後也沒有可以導出的文件。研發確認是數據庫裏數據表太多，在生成過程中已經出錯停止了，頁麵顯示正在生成，需要和日誌保存期限做關聯！

·              問題產生條件：設備存在大量數據表的情況下，導出數據統計

·              規避措施：無，設備長時間運行存在大量數據表的情況下才可能出現。

3. 202211281010

·              問題現象：自定義URL內容提示信息支持句號，實際配置的時候不支持此字符。

·              問題產生條件：自定義URL內容配置帶“。”

·              規避措施：避免自定義URL內容配置帶句號。

4. 202212080983

·              問題現象：郵件日誌點擊詳情，無法查看附件名。

·              問題產生條件：查看郵件日誌詳情

·              規避措施：無；僅顯示問題，影響範圍較小。

5. 202306291911

·              問題現象：微信認證使用小程序認證方式，部分手機型號通過瀏覽器進行認證偶發性出現小程序跳轉不過去。

·              問題產生條件：微信認證使用小程序認證方式

·              規避措施：通過打開無線網認證界麵進行認證。

6. 202306291894

·              問題現象：終端行為管理>業務插件>在線終端，統計計數比實際的記錄多1條，記錄不準確。

·              問題產生條件：使用EBM終端上線。

·              規避措施：無；僅顯示問題，影響範圍較小。

7. 202306291879

·              問題現象：微信認證，認證方式選擇小程序時，還會對認證URL認證方式下的認證步驟說明進行校驗。

·              問題產生條件：認證步驟說明配置不支持字符，微信認證選擇小程序。

·              規避措施：認證步驟說明配置支持的字符。

8. 202306291857

·              問題現象：軟件層麵版本升級時未校驗硬件平台。

·              問題產生條件：升級版本

·              規避措施：請web界麵升級正確的版本，若升級錯誤可在menboot下重新升級正確的版本。

9  解決問題列表

9.1  SecPathACG1000-IMW110-R6616P02版本解決問題列表

無

9.2  SecPathACG1000-IMW110-R6616版本解決問題列表

1. 202203301554

·              問題現象：無線非經》廠商配置》應用關係對照表，在已存在應用關係對應配置情況下重複創建，可以直接提交，缺少判斷，隻能查詢到默認配置的應用關係對應情況，刪除時需要刪除兩次才能把默認的應用關係對應配置刪除。

·              問題產生條件：在已存在應用關係對應配置情況下重複創建，提交後查詢的還是係統默認的配置，需要刪除兩次才能刪除係統默認配置。

2. 202211281161

·              問題現象：在線用戶有0.0.0.0的在線用戶展示和統計，應該過濾，不展示也不顯示。

·              問題產生條件：網絡中存在0.0.0.0地址的用戶。

9.3  SecPathACG1000-IMW110-R6614P10版本解決問題列表

1. 202308171155

·              問題現象：釘釘認證，部分手機釘釘認證過程中，通過觸發的portal 跳轉釘釘頁麵失敗，概率出現無法跳轉的現象。

·              問題產生條件：手機進行釘釘認證。

9.4  SecPathACG1000-IMW110-R6614P09版本解決問題列表

1. 202306291740

·              問題現象：無硬盤設備頁麵修改日誌保存期限提交失敗。

·              問題產生條件：無硬盤設備頁麵修改日誌保存期限。

2. 202306291738

·              問題現象：設備出現斷網。

·              問題產生條件：設備配置EBM功能並長時間運行。

3. 202306291732

·              問題現象：web頁麵登錄時，輸入用戶名密碼驗證碼後雙擊回車鍵登錄主頁卡死。

·              問題產生條件：登錄時雙擊回車鍵。

9.5  SecPathACG1000-IMW110-R6614P08版本解決問題列表

1. 202302270733

·              問題現象：配置URL阻斷，使用瀏覽器訪問阻斷的URL可以訪問成功。

·              問題產生條件：使用穀歌瀏覽器訪問阻斷的URL。

9.6  SecPathACG1000-IMW110-R6614L07版本解決問題列表

無

9.7  SecPathACG1000-IMW110-R6614L06版本解決問題列表

無

9.8  SecPathACG1000-IMW110-R6614P05版本解決問題列表

1. 202212290933

·              問題現象：內網資產管理由於安全加固修改，導致無硬盤設備發現資產無法入庫，無資產數據。

·              問題產生條件：使用無硬盤的設備升級至R6614P04。

9.9  SecPathACG1000-IMW110-R6614P04版本解決問題列表

1. 202203301518

·              問題現象：進入到服務器管理》短信服務配置有些配置下發提交無反應，既不提示成功，也不提示失敗。

·              問題產生條件：開啟WAF防護，配置短信服務器。

2. 202202211104

·              問題現象：ARP/ND攻擊防護中，ARP表項展示，對於mac全0的有統計，但是web頁麵不顯示。

·              問題產生條件：構造mac全0的進行ARP攻擊。

3. 202105101135

·              問題現象：數據庫用戶同步，配置sql查詢語句為selct!@~%&^%$#@!*()_+[];'./{}:後，點擊提交沒反應，數據庫服務器列表也顯示不出來。

·              問題產生條件：數據庫用戶同步sql語句配置為異常字符。

4. 202105060142

·              問題現象：1、服務器管理-短信服務，網關地址，提示字符1-1024，但是實際輸入1024個字符提示，輸入的內容長度超過最長限製。2、服務器管理-短信服務-貝殼找房，短信內容前綴，提示輸入1-31字符，實際輸入32字符也可以成功保存3、服務器管理-短息服務-http協議-報文主體，參數值沒有提示支持的長度，響應成功標記缺少長度以及字符校驗。

·              問題產生條件：1、配置1024個字符。2、短信服務器短信內容前綴配置為32個字符。3、服務器管理http協議報文主體配置不在支持範圍的長度。

5. 202104300292

·              問題現象：1、 終端自注冊，注冊信息提交後提示“注冊信息提交成功，即可上網”，實際如果選擇的是審批，需要審批後才能上網。提示不合理。2、  審批列表如果查詢的用戶名較長，會導致web界麵排版顯示異常。

·              問題產生條件：1、終端自注冊配置為審批。2、審批列表查詢用戶名輸入超過支持的字符長度的內容。

6. 202104300289

·              問題現象：1、二維碼認證，訪客填寫用戶信息較長會導致二維碼展示不出來2、訪客填寫的用戶信息為 異常字符，會導致展示出來的二維碼掃描不出來。

·              問題產生條件：1、二維碼認證輸入的訪客信息信息超出實際支持的字符。2、二維碼認證訪客填寫的字符包含異常字符。

9.10  SecPathACG1000-IMW110-R6614P03版本解決問題列表

1. 202210281329

·              問題現象：ACG聯動IMC進行portal server 進行無感知認證，在IMC側強製下線用戶，ACG 側用戶下線失敗。

·              問題產生條件：ACG聯動IMC進行portal server進行無感知認證，並在IMC側強製用戶下線。

9.11  SecPathACG1000-IMW110-R6614L02版本解決問題列表

無

9.12  SecPathACG1000-IMW110-R6614P01版本解決問題列表

1. 202208290762

·              問題現象：版本由於snmp存在內存泄漏，導致設備異常重啟。

·              問題產生條件：網絡中有snmp攻擊，攻擊者使用帶有錯誤的snmp團體報文連接設備，觸發設備發送大量 snmp inform(trap)報文，inform報文需要等待服務器響應，acg等待處理響應的過程不會釋放內存，導致短時間大量攻擊時內存存在被耗盡的情況。

9.13  SecPathACG1000-IMW110-R6614版本解決問題列表

1. 202204070900

·              問題現象：流量下多次點擊導出用戶郵件審計報表，用戶上網行為次數統計報表後頁麵無響應，report進程異常，與xml vtysh交互無響應，同時配置丟失，隻能重啟恢複。

·              問題產生條件：流量下多次點擊導出報表。

2. 202204070611

·              問題現象：SNMP配置中的TRAP地址檢驗不準確，導致輸入0時，提交成功後，此處的字段不生效，且一些非法地址可以輸入並配置成功。

·              問題產生條件：TRAP地址輸入框檢驗不準確，非法輸入配置成功。

3. 202204070375

·              問題現象：自定義監測地址處輸入html實體字符後被反轉義導致輸入和顯示不一致。

·              問題產生條件：自定義監測地址處輸入html實體字符後被反轉義。

4. 202204070227

·              問題現象：認證策略，下載的模板裏麵，action裏的認證方式與數字序號匹配不一致。

·              問題產生條件：認證策略下載模板或導入認證策略。

5. 202204081320

·              問題現象：修改插件推送模板，係統日誌記錄內容有誤。

·              問題產生條件：修改插件推送模板，係統日誌記錄內容有誤。

6. 202204080917

·              問題現象：網管頁麵，認證配置設備注冊名稱長度範圍和注冊密碼長度範圍與manager上名稱和密碼長度範圍不一致，會影響manager和設備側對接，請統一。

·              問題產生條件：manager納管ACG。

7. 202204080828

·              問題現象：資產識別設定頁麵，排除地址間用;分隔時報ipv6子網掩碼範圍不對，提示錯誤。

·              問題產生條件：資產識別設定頁麵，配置排除地址。

8. 202204080818

·              問題現象：黑名單頁麵導入較長文件名時提示不明確。

·              問題產生條件：黑名單頁麵導入較長文件名。

9. 202204080669

·              問題現象：經過NAT64轉換的用戶流量，用戶實時流速掛在了目的V6地址和轉換後的源V4，上下行均有統計；而用戶流量統計在這兩個地址上分別隻了下行和上行有值，統計邏輯混亂需整改。

·              問題產生條件：用戶均沒有掛在原始的會話源IP上；實時統計和流量彙總統計上/下行矛盾。

10. 202204080371

·              問題現象：manager上控製日誌文件控製類型日誌的源端口和目的端口與設備上反了，應以設備為準。

·              問題產生條件：設備發送日誌到manager。

11. 202204110652

·              問題現象：流量穿過設備且無任何NAT，微信收消息的審計日誌，在manager上呈現的日誌，源/目的端口和設備反了，設備端的問題。

·              問題產生條件：設備發送日誌到manager。

12. 202204111402

·              問題現象：在用戶自注冊對象中，用戶自選所屬組的用戶組移動後，用戶組的路徑未更新。

·              問題產生條件：用戶組路徑信息沒有隨用戶組的變化而更新，獲取的還是以前的信息。

13. 202204111313

·              問題現象：配置源NAT，控製策略，審計策略等配置，流量下反複增刪源NAT，一段時間後設備重啟。

·              問題產生條件：配置源NAT，控製策略，審計策略等配置，流量下反複增刪源NAT。

14. 202204110794

·              問題現象：新建應用緩存，不勾選模糊匹配的情況下，對URL輸入的校驗存在問題導致無法下發URL配置。

·              問題產生條件：配置應用緩存。

15. 202204120754

·              問題現象：編輯包含1w條內容的URL分類“-1”，內容新增失敗，新建其它URL分類也無法添加類似內容，均提示配置已存在於分類-1，實際配置並不存在；配置URL內容時設備會對部分字符做轉義，導致下發內容與實際配置不符。

·              問題產生條件：編輯包含1w條內容的URL分類“-1”，內容新增失敗；配置URL內容時設備會對部分字符做轉義，導致下發內容與實際配置不符。

16. 202204120356

·              問題現象：在http協議的短信服務中，報文主體的參數設置，刪除中間參數後，無法提交。

·              問題產生條件：配置http協議的短信服務。

17. 202204131465

·              問題現象：入侵日誌未對X-Forward-For字段做校驗，可構造報文進行XSS注入攻擊。

·              問題產生條件：XSS注入攻擊。

18. 202204131377

·              問題現象：新建SNMP用戶，用戶名為~時，彈出的提示信息是操作失敗，錯誤信息不明確，請優化。

·              問題產生條件：配置SNMP用戶名為~。

19. 202204131021

·              問題現象：跑腳本增刪bgp配置，懷疑由於進程殘留，導致無法新建發布網段，導致流量不通，嚴重影響使用。

·              問題產生條件：後台執行no router bgp。

20. 202204130945

·              問題現象：SSLVPN策略導出後資源配置被截斷，導出內容不全；導入時長度限製為2047，導致導入策略無法引用所有資源。

·              問題產生條件：導入導出SSLVPN策略。

21. 202204130556

·              問題現象：代理策略匹配次數未做點擊清零，但是可點擊狀態且高亮，提單優化。

·              問題產生條件：點擊代理策略匹配次數。

22. 202204130526

·              問題現象：編輯SSLVPN全局配置，串口打印異常“ cp: can't stat 'mnt/syscfg.con': No such file or directory”。

·              問題產生條件：編輯SSLVPN全局配置。

23. 202204130314

·              問題現象：添加黑名單自定義時間秒數換算後的結果，換算單位與預定義不一致，展示風格與預定義不一致，不方便查看。

·              問題產生條件：查看黑名單。

24. 202204141518

·              問題現象：攻擊鏈查詢窗口處標題有誤。

·              問題產生條件：查看攻擊鏈查詢窗口。

25. 202204141496

·              問題現象：新建IKE策略選擇本地源端口時，接口下拉框僅可選擇4094個子接口，命令行配置則可選擇滿規格12287子接口中的任意接口，請修改。

·              問題產生條件：命令行配置新建IKE策略。

26. 202204141492

·              問題現象：黑名單頁麵，頁麵選擇每頁50時，全選的啟用、禁用按鈕不生效。

·              問題產生條件：全選黑名單的啟用、禁用按鈕。

27. 202204141191

·              問題現象：安全事件分析查看數據詳情的鏈接和日誌中心查詢數據的表格不一致，導致查看詳情時源/目的端口、源/目的Mac顯示為空，而日誌中心處數據顯示是原始日誌完全的，請修改。

·              問題產生條件：安全事件分析查看數據詳情的鏈接和日誌中心查詢數據的表格不一致。

28. 202204140950

·              問題現象：搜索關鍵字排名，關鍵字中含特殊字符，有排名結果，但點進去日誌內容為空。

·              問題產生條件：搜索關鍵字排名。

29. 202108260530

·              問題現象：自定義url，一個條目裏麵配置多個對象，編輯查看發現最後多了一個回車符，會導致數量+1，滿規格對象配置的時候編輯查看無法提交。

·              問題產生條件：自定義url配置多個對象。

30. 202206270480

·              問題現象：HA主備測試環境配置端口掃描任務，沒有存在在執行的任務，新建的立即執行的任務不執行，同時設備出現異常重啟，異常重啟後重新配置端口掃描任務可以執行，設備有大量子接口和策略配置，懷疑和設備重啟之前進程掛死有關，已收集異常信息同步進行確認，請優化說明！

·              問題產生條件：在沒有存在在執行的任務的HA主備環境中配置立即執行的端口掃描任務。

31. 202206270427

·              問題現象：短信服務http服務，如果中間有參數空著，提交後查看和之前配置的不一樣

·              問題產生條件：短信服務http服務中，中間空置一條參數。

32. 202206240286

·              問題現象：入侵防禦日誌有編碼問題。

·              問題產生條件：查看入侵防禦日誌。

33. 202206170720

·              問題現象：開啟應用緩存功能，配置大量接口（8000多子接口），測試儀打流，設備CPU 100%沒辦法訪問，流量基本不通，確認是應用緩存開了之後查找本地ip，遍曆所有接口導致，請修改！

·              問題產生條件：開啟應用緩存功能，配置大量接口，測試儀打流。

34. 202206170158

·              問題現象：Dhcp option 43配置之後無名稱記錄，查看存在多個無名稱的配置，保存配置重啟，打印Unknown command，重啟之後配置丟失，請修改！

·              問題產生條件：配置Dhcp option 43。

35. 202206150954

·              問題現象：登錄頁麵，驗證碼輸入中待特殊字符，登錄跳轉到404 - Not Found頁麵，請修改！

·              問題產生條件：登陸頁麵驗證碼輸入特殊字符點擊登錄。

36. 202206110758

·              問題現象：創建弱密碼掃描任務，開始日期顯示星期四（實際日期），刷新一下顯示星期五（日期有誤），再刷新就正常了，非必現，但是每次重新創建之後刷新出現概率很高，請修改！

·              問題產生條件：創建弱密碼掃描任務。

37. 202204280392

·              問題現象：R6611係列、R6612係列版本存在命令注入漏洞（CNVD-C-2022-201810、CNVD-C-2022-207904、CNVD-C-2022-239805），以及OpenSSL拒絕服務漏洞（CVE-2022-0778），同時F6613和R6614版本也涉及OpenSSL拒絕服務漏洞（CVE-2022-0778）和命令注入漏洞（CNVD-C-2022-239805）問題，請修改！

·              問題產生條件：存在相關漏洞。

38. 202205250706

·              問題現象：R6612係列版本存在命令執行漏洞（CNVD-C-2022-241034、CNVD-C-2022-220902、CNVD-C-2022-261204、CNVD-C-2022-296934），請修改！

·              問題產生條件：存在相關漏洞。

39. 202204011540

·              問題現象：策略配置-安全設置-安全防護-弱密碼防護的HTTP服務參數設置中URL字段未進行url合法輸入校驗，與其他模塊實現不一致。

·              問題產生條件：弱密碼防護的HTTP服務參數設置中URL字段輸入非法url。

40. 202204011119

·              問題現象：控製策略配置應用過濾-文件過濾，打ftp傳輸文件產生應用控製日誌，沒法識別行為，日誌導出的行為是（null），應該是上傳或下載。

·              問題產生條件：打ftp傳輸文件，導出產生的應用控製日誌。

41. 202204010817

·              問題現象：配置滿規格控製策略，刪除一條後再創建一條後保存配置重啟，由於再創建的策略id複用了已存在的策略id導致配置丟失。

·              問題產生條件：滿規格控製策略下，刪除一條再創建一條後保存配置重啟。

42. 202204010758

·              問題現象：點擊保存配置後開始保存的進度條展示頁麵，提交和取消按鈕沒有屏蔽，還可以點擊操作，但無效。

·              問題產生條件：主頁點擊保存配置。

43. 202204010549

·              問題現象：接口下配置主從ipv6地址為eui-64類型後，去使能eui-64，將該地址保存為靜態配置方式，主地址報衝突無法保存，從地址正常下發

·              問題產生條件：接口下配置主從ipv6地址。

44. 202204021534

·              問題現象：數據中心-統計報表-數據統計，IPS網絡安全分析處顯示了攻擊目的Top20的數據，導出文件時設置Top值300，實際導出的文件隻有Top10的數據，實現不明確，請修改。。

·              問題產生條件：導出IPS網絡安全分析Top值為300的報表。

45. 202204021313

·              問題現象：導出終端日誌-用戶自注冊日誌後，串口打印Failed to identify log type. 導致該動作無法被統計到操作日誌中。

·              問題產生條件：導出終端日誌-用戶自注冊日誌後，串口打印Failed to identify log type。

46. 202204021120

·              問題現象：主頁-行為管理-流量分析，展示的信息不可鏈接跳轉，但是鼠標是可點擊的小手狀態，請修改。

·              問題產生條件：鼠標挪移到流量分析上。

47. 202204021025

·              問題現象：數據中心-統計報表-數據統計，IPS網絡安全分析處，攻擊目的TOP的百分比全部顯示為“INF%”，無法正常顯示數據。

·              問題產生條件：查看IPS網絡安全分析。

48. 202204020909

·              問題現象：配置文件較大的情況下，修改一些配置，頁麵保存完配置進行重啟，配置沒有完全保存到。主備同步配置後，備機起來仍與主設備不同。

·              問題產生條件：主備環境下導入較大的配置文件。

49. 202204020454

·              問題現象：HA環境中，用戶生成ha對比的配置文件時過慢超過150s，導致主設備AAA模塊被lock，主設備異常重啟。

·              問題產生條件：HA環境中生成ha對比的配置文件。

50. 202204061428

·              問題現象：由於缺乏mysql數據庫登錄特征，導致無法審計到mysql數據庫登錄動作。

·              問題產生條件：特征庫問題。

51. 202204061411

·              問題現象：導入用戶，當excel中"綁定地址"格式錯誤時，設備校驗失敗導致一直處於“導入用戶”狀態，請修改。

·              問題產生條件：導入"綁定地址"格式錯誤的用戶excel。

52. 202204061319

·              問題現象：安全日誌中日誌分類名稱，隻有“入侵日誌”名稱未能和功能名稱統一，不完整，應該是“入侵防禦日誌”，請優化。

·              問題產生條件：查看安全日誌日誌分類名稱。

53. 202204060975

·              問題現象：保存配置，設備串口打印Error: Failed to send and receive message。

·              問題產生條件：保存配置。

54. 202204060846

·              問題現象：控製策略配置文件類型過濾，在論壇回帖回複內容包含文件類型關鍵字時被誤識別為文件並進行文件類型過濾動作處理。

·              問題產生條件：發送包含文件類型關鍵字的內容。

55. 202204060660

·              問題現象：用戶上網行為次數統計報表頁麵用戶上網統計數據為空。。

·              問題產生條件：查看用戶上網行為次數統計報表。

56. 202204060267

·              問題現象：控製策略配置文件類型過濾，然後上傳能命中過濾規則的超長名稱文件，應用控製日誌不更新，重啟後日誌顯示為空。

·              問題產生條件：上傳能命中過濾規則的超長名稱文件。

57. 202204060164

·              問題現象：屬性組下，選擇用戶所有頁，再點擊刪除，會錯誤的將自定義的用戶組刪除。。

·              問題產生條件：屬性組下，選擇用戶所有頁，再點擊刪除。

58. 202204060006

·              問題現象：在一個用戶組下，用選擇全部的所有頁選擇，移動到用戶子組下，用戶子組消失，創建同名用戶子組，提示已存在。

·              問題產生條件：將用戶組移動到用戶子組下。

59. 202204071633

·              問題現象：模板上對隔離和阻斷的關聯關係處理邏輯存在問題。

·              問題產生條件：配置入侵防禦模板。

60. 202204071485

·              問題現象：SSLVPN模塊多處導入功能存在異常，請統一修改。

·              問題產生條件：配置SSLVPN資源。

61. 202204071301

·              問題現象：監測對象處不支持屬性組，請裁剪屬性組子樹。

·              問題產生條件：配置故障監控中心。

62. 202204140873

·              問題現象：流量下查看資產安全分析-攻擊鏈詳情，源目的端口源目的mac信息為空，原始日誌數據中是有該信息的，停流後一段時間後才能查詢到

·              問題產生條件：大流量背景下查看攻擊鏈詳情

63. 202204140704

·              問題現象：惡意網站訪問排名和用戶惡意網站審計此時統計排名，百分比皆是INF%，功能失效。

·              問題產生條件：查看意網站訪問排名和用戶惡意網站審計排名。

64. 202204140390

·              問題現象：審計日誌-其他日誌，對同一個會話有報文交互生成2條相同源目的端口號的日誌，發送到manager其中一條日誌的源/目的端口號必然反。

·              問題產生條件：設備外發日誌到Manager。

65. 202204140102

·              問題現象：流控策略，新建線路和通道時修改帶寬單位，帶寬數值會變化，新建限製和懲罰通道修改帶寬單位，帶寬數值不會變化，實現不一樣。

·              問題產生條件：配置流控策略的帶寬數值。

66. 202204151270

·              問題現象：一定流量下，控製策略日誌中http應用被誤識別成了h.245 p2p流媒體應用。

·              問題產生條件：配置控製策略。

67. 202204151216

·              問題現象：統計報表-配置管理，新建IPS業務係統名稱是非法字符~或者和其他合法字符混用，彈出的提示信息為空。

·              問題產生條件：配置IPS業務係統名稱。

68. 202204151079

·              問題現象：adobe打開pdf報表，所有的“排名”，都渲染成了“排吊”。

·              問題產生條件：使用adobe打開pdf報表。

69. 202204151072

·              問題現象：Web防護-防護策略-精確訪問控製，精確訪問控製規則對於描述信息的校驗存在問題，導致可以新增含非法字符的精確訪問規則，但提交防護策略時報錯，且提示信息模糊，未指出具體錯誤模塊。

·              問題產生條件：配置精確訪問控製規則。

70. 202204150972

·              問題現象：配置IP-MAC綁定，名稱取最長，保存配置重啟後配置丟失

·              問題產生條件：配置超長的IP-MAC綁定名稱。

71. 202204150788

·              問題現象：高級防護頁麵，被攻擊URLTOP10懸浮url顯示的位置需要優化，稍微長點的url即使鼠標放在最右邊，也看不到完整的url

·              問題產生條件：鼠標查看較長的url

72. 202204150684

·              問題現象：規則防護和高級防護頁麵，被攻擊URL TOP10，後麵url懸浮顯示的次數不對，全部是第一條的次數。

·              問題產生條件：查看被攻擊URL TOP10

73. 202204150613

·              問題現象：認證策略頁麵，全選當前頁無法上下移動。

·              問題產生條件： 上下移動認證策略

74. 202204150181

·              問題現象：IPsec配置界麵，IKE查詢框須與該模塊其它查詢框名稱保持一致。。