StoneOS 5.5R10 M版本说明

《StoneOS 5.5R10 M版本说明》包含了5.5R10所有已发布的M版本说明,主要介绍了M版本的新增功能,已知问题及升级说明等内容。

5.5R10P6M2

发布概述

发布日期:2024年5月31日

本次发布在硬件、系统、策略等方面均有所增强。重点功能及优化如下:

5.5R10P6M2继承/合入详情:

相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 M版本增补说明》。

版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=42607

平台和系统文件

产品型号 系统文件
SG-6000-A7600/A6800/A5860/A5800/A5660/A5600/A5560/
A5550/A5500/A5260/A5250/A5200/A5160/A5150/A5100
/A3810/A3800/A3700/A3610/A3600/A3000/A2810/A2800
/A2710/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200/B3000/B2000
SG6000-A-1-5.5R10P6M2.img
SG6000-A-1-5.5R10P6M2-v6.img
SG-6000-A200/A200G4(4G版)/A200W(WLAN版)
/A200WG4(WLAN+4G版)
B600/SDW500/SDW500W/SDW500G4/SDW500WG4
/SDW300/SDW300W/SDW300G4/SDW300WG4
SG6000-A-3-5.5R10P6M2.bin
SG6000-A-3-5.5R10P6M2-v6.bin
SG-6000-X20812/X20803 SG6000-XN-5.5R10P6M2.img
SG6000-XN-5.5R10P6M2-v6.img
SG-6000-X10800/X9180 SG6000-XL-5.5R10P6M2.bin
SG6000-XL-5.5R10P6M2-v6.bin
SG-6000-X8180 SG6000-XM-5.5R10P6M2.bin
SG6000-XM-5.5R10P6M2-v6.bin
SG-6000-X7180 SG6000-X7180-5.5R10P6M2.bin
SG6000-X7180-5.5R10P6M2-v6.bin
SG-6000-X6150-GS SG6000-X6150-GS-5.5R10P6M2.bin
SG6000-X6150-GS-5.5R10P6M2-v6.bin
SG-6000-K9180 SG6000-K-1-5.5R10P6M2.img
SG6000-K-1-5.5R10P6M2-v6.img
SG-6000-K2680/K2380 SG6000-K-2-5.5R10P6M2.img
SG6000-K-2-5.5R10P6M2-v6.img
SG-6000-K6280-GS/K6580 SG6000-K-5-5.5R10P6M2.img
SG6000-K-5-5.5R10P6M2-v6.img
SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 SG6000-K-4-5.5R10P6M2.img
SG6000-K-4-5.5R10P6M2-v6.img
SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260
/E5268/E3965 /E5168 /C6050 /C5650 /C5450
SG6000-M-2-5.5R10P6M2.bin
SG6000-M-2-5.5R10P6M2-v6.bin
SG-6000-A2200/A1800/A1600/E6360 /E6368 /E6160 /E6168 /E3960 /E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300
/E1700/E1606 /E1600 /E1100(WLAN版)
/E1100(WLAN版+3G-WCDMA版)
/E1100(WLAN版+3G-CDMA版)
/E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版)
/E1100(WLAN版+4G版)
/E1100W-GM /E1600-GM /E1700-GM /E2300-GM
/E2800-GM /E3660-GM /E3960-GM
/C5250/C5050 /C4550 /C4100 /C4000 /C3100
/C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600
SG6000-M-3-5.5R10P6M2.bin
SG6000-M-3-5.5R10P6M2-v6.bin
SG-6000-VM01 /VM02 /VM04 /VM08 SG6000-CloudEdge-5.5R10P6M2
SG6000-CloudEdge-5.5R10P6M2-v6

新增功能

编号 功能描述 涉及平台
硬件
41431 巨帧报文(Jumbo Frame)转发功能支持的平台范围扩大,在该版本新增支持SG-6000-K6280-GS平台。 K6280-GS
系统
39581 支持对show命令的输出信息进行定时刷新。 A, K, X, E, CloudEdge,
C, B, SDW
39597 X8180的10GE(SFP+)光接口支持通过光转电降速到100M。 X8180
39605 支持通过show environment power命令获取电源模块的PN号。 A系列A3800及以上型
号设备, X8180, X9180,
X10800, K9180
支持通过show environment fan命令获取风扇盘的PN号。 A系列A3800及以上型
号设备, X8180
支持通过show transceiver命令获取光模块的PN号。 A, K, E, X, CloudEdge,
C, B, SDW
39561 支持会话延迟删除期间收到新的TCP SYN报文可以新建会话功能,即如果新收到的TCP SYN报文匹配到的会话已经处于会话延迟删除状态,系统会删除匹配到的会话,同时建立一个新的相同五元组的会话进行后续报文转发。 A, K, E, X, CloudEdge,
C, B, SDW
33160 支持通过show environment power命令获取电源模块的SN序列号。 A系列A3800及以上型
号设备, X8180, X9180,
X10800, K9180
支持通过show environment fan命令获取风扇盘的SN序列号。 A系列A3800及以上型
号设备, X8180
41421 支持通过命令行关闭或重新启用指定的SSH算法,避免因SSH算法出现安全漏洞对用户的业务造成影响。 A, K, X, E, CloudEdge,
C, B, SDW
41413 支持邮件开局功能,管理员在HSM上进行配置并以邮件的方式将开局配置信息通过URL链接发送至开局人员的邮箱,实现零配置开局。 A, K, X, E, CloudEdge,
C, B, SDW
NAT
39567 支持通过命令行进行以下操作:
  • 查看NAT规则的命中数;
  • 查看NAT规则的命中统计信息,包括规则ID、命中数、首次命中时间、最近一次命中时间、最近未命中天数、规则创建时间以及规则状态(启用/禁用);
  • 过滤和清除NAT规则的命中统计信息,并对命中统计信息进行排序。
A, K, E, X, CloudEdge,
C, B, SDW
威胁防护
41443 A系列部分设备支持升级至全量的入侵防御特征库。 A200, A200G4, A200W,
A200WG4, A1000,
A1100, B600, B2000
41435 E系列部分设备支持升级至全量的入侵防御特征库。 E1606, E1700, E2300,
E2800, E2860, E2868,
E3662, E3668, E3960,
E3968, E3965, E5168,
E5260, E5268, E5560,
E5568, E5660, E5760,
E5960, E1700-GM,
E2300-GM, E2800-GM,
E3662-GM, E3960-GM,
C1300, C1500, C2000,
C3000, C2100, C3100,
C4000, C4100, C4550,
C5050, C5250, C5450,
C5650, C6050
策略
39575 支持通过命令行进行以下操作:
  • 查看策略规则命中统计信息,包括ID、命中数、首次命中时间、最近一次命中时间、最近未命中天数、策略规则创建时间以及策略规则状态(启用/禁用);
  • 过滤或清除策略规则命中统计信息,并对命中统计信息进行排序。
A, K, E, X, CloudEdge,
C, B, SDW
39573 会话限制支持将单个IP加入动态IP黑名单进行阻断,并指定对该IP的阻断时间。 A, K, E, X, CloudEdge,
C, B, SDW
39583
  • 策略规则支持配置会话超时时间,超出会话超时时间后,连接将断开。
  • 支持在会话详情页面筛选长连接会话。
A, K, E, X, CloudEdge,
C, B, SDW
39599 新增延迟地址更新时间功能,用户在批量修改地址簿中的地址条目后,系统不会立即将修改后的地址条目同步给引用该地址簿的策略,而是在指定的延迟时间结束后进行同步,避免由于策略配置的频繁更新而造成策略下发缓慢的情况,提高策略配置更新效率。 A, K, E, X, CloudEdge,
C, B, SDW
对象
39571
  • 支持大量NAT规则引用同一对象,并且引用对象变更时不会造成IPC消息堵塞。
  • 优化大量NAT规则引用同一对象情况下的配置下发速度。
A, K, E, X, CloudEdge,
C, B, SDW
39595 新增show track命令用于查看系统中所有监测对象的配置信息。 A, K, E, X, CloudEdge,
C, B, SDW
路由
39565
  • 支持BGP引入静态路由时,根据满足匹配条件的静态路由的标记值配置团体属性值。最大可支持配置8个团体属性值。
  • 支持通过show命令查看BGP团体属性值时,自定义团体属性值显示为AA:NN格式。
A, K, E, X, CloudEdge,
C, B, SDW
短信认证
39585 SSL VPN支持通过LDAP服务器进行短信认证。 A, K, E, X, CloudEdge,
C, B, SDW
日志
38297 会话日志支持根据源IP和目的IP聚合。 A, X, B,(以上系列均
仅针对安装有硬盘的
设备)K, CloudEdge
SNMP
39579 支持通过WebUI配置IPv6 SNMP,包括配置IPv6类型的SNMP主机、Trap主机和V3用户。 A, K, E, X, CloudEdge,
C, B, SDW
39591 支持通过SNMP获取CPU核的实时利用率以及最近1分钟/最近1小时的平均利用率。 A(不含A200/A200G4
/A200W/A200WG4/
A6800/A7600), K, E,
X, CloudEdge, C, B(不含B600/B600G4/B600W/
B600WG4)
39601 支持通过SNMP获取设备逻辑接口的最大带宽。 A, K, E, X, CloudEdge, C, B, SDW
33160 支持通过SNMP获取设备的整机功率。 A系列A3800及以上型号设备, X8180, X9180, X10800, K9180
41449 支持通过SNMP获取Top32用户和Top32应用在不同时间段的流量和会话信息。 A, K, E, X, CloudEdge, C, B, SDW
41427 支持通过SNMP获取地址簿在不同时间段的流量和会话信息。 A, K, E, X, CloudEdge, C, B, SDW
HA
39559 在双向NAT配置下,优化HA A/P模式HA切换时的SIP通话机制。 A, K, E, X, CloudEdge, C, B, SDW
39593 HA A/P模式下支持配置HA基础虚MAC,在避免系统生成的HA虚MAC地址重复的基础上,可以降低维护难度。 A, K, E, X, CloudEdge, C, B, SDW
RESTful API
39563
  • 支持通过RESTful API接口查询ARP表项的总数量和已使用数量;
  • 支持通过RESTful API接口过滤查询ARP表项的详细信息。
A, K, E, X, CloudEdge, C, B, SDW
39569 支持通过RESTful API接口配置基于国家地址位置的地址簿。 A, K, E, X, CloudEdge, C, B, SDW

已知问题

编号 功能描述 涉及平台
SSL VPN
323249 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。
A, K, E, X, CloudEdge, C, B, SDW
329424 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。
287915 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。
建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。
A, K, E, X, CloudEdge, C
333797/333798 设备在未安装SCVPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SCVPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。
A, K, E, X, CloudEdge, C, B, SDW
329186 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。
建议:通过手动方式选择已安装的证书。
A, K, E, X, CloudEdge, C, B, SDW
335090 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 A, K, E, X, CloudEdge, C, B, SDW
327602 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 A, K, E, X, CloudEdge, C, B, SDW
313034 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 A, K, E, X, CloudEdge, C, B, SDW
334346/332965 SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 A, K, E, X, CloudEdge, C, B, SDW
335092 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。
A, K, E, X, CloudEdge, C, B, SDW
323920 Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。
A, K, E, X, CloudEdge, C, B, SDW
网络
268866-1(268866) 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 K9180
QoS
251079-0E0(280588) QoS不支持Peer-mode非对称路由场景下对user的限速。 A, K, E, X, CloudEdge, C
HA
286815 HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 A, K, E, X, CloudEdge, C
云·界
310941-1(310941) 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 CloudEdge

5.5R10P5M1

发布概述

发布日期:2024年3月22日

本次发布在路由和策略方面均有所增强。重点功能及优化如下:

5.5R10P5M1继承/合入详情:

相关功能操作方面的新增和修改,请参见《StoneOS 5.5R10 M版本增补说明》。

版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=40675

平台和系统文件

产品型号 系统文件
SG-6000-A7600/A6800/A5860/A5800/A5660/A5600/A5560/
A5550/A5500/A5260/A5250/A5200/A5160/A5150/A5100
/A3810/A3800/A3700/A3610/A3600/A3000/A2810/A2800
/A2710/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200/B3000/B2000
SG6000-A-1-5.5R10P5M1.img
SG6000-A-1-5.5R10P5M1-v6.img
SG-6000-A200/A200G4(4G版)/A200W(WLAN版)
/A200WG4(WLAN+4G版)
B600/SDW500/SDW500W/SDW500G4/SDW500WG4
/SDW300/SDW300W/SDW300G4/SDW300WG4
SG6000-A-3-5.5R10P5M1.bin
SG6000-A-3-5.5R10P5M1-v6.bin
SG-6000-X20812/X20803 SG6000-XN-5.5R10P5M1.img
SG6000-XN-5.5R10P5M1-v6.img
SG-6000-X10800/X9180 SG6000-XL-5.5R10P5M1.bin
SG6000-XL-5.5R10P5M1-v6.bin
SG-6000-X8180 SG6000-XM-5.5R10P5M1.bin
SG6000-XM-5.5R10P5M1-v6.bin
SG-6000-X7180 SG6000-X7180-5.5R10P5M1.bin
SG6000-X7180-5.5R10P5M1-v6.bin
SG-6000-X6150-GS SG6000-X6150-GS-5.5R10P5M1.bin
SG6000-X6150-GS-5.5R10P5M1-v6.bin
SG-6000-K9180 SG6000-K-1-5.5R10P5M1.img
SG6000-K-1-5.5R10P5M1-v6.img
SG-6000-K2680/K2380 SG6000-K-2-5.5R10P5M1.img
SG6000-K-2-5.5R10P5M1-v6.img
SG-6000-K6280-GS/K6580 SG6000-K-5-5.5R10P5M1.img
SG6000-K-5-5.5R10P5M1-v6.img
SG-6000-K5680/K3680-GS/K3280/K2580/K2560/K1280 SG6000-K-4-5.5R10P5M1.img
SG6000-K-4-5.5R10P5M1-v6.img
SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260
/E5268/E3965 /E5168 /C6050 /C5650 /C5450
SG6000-M-2-5.5R10P5M1.bin
SG6000-M-2-5.5R10P5M1-v6.bin
SG-6000-A2200/A1800/A1600/E6360 /E6368 /E6160 /E6168 /E3960 /E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300
/E1700/E1606 /E1600 /E1100(WLAN版)
/E1100(WLAN版+3G-WCDMA版)
/E1100(WLAN版+3G-CDMA版)
/E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版)
/E1100(WLAN版+4G版)
/E1100W-GM /E1600-GM /E1700-GM /E2300-GM
/E2800-GM /E3660-GM /E3960-GM
/C5250/C5050 /C4550 /C4100 /C4000 /C3100
/C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600
SG6000-M-3-5.5R10P5M1.bin
SG6000-M-3-5.5R10P5M1-v6.bin
SG-6000-VM01 /VM02 /VM04 /VM08 SG6000-CloudEdge-5.5R10P5M1
SG6000-CloudEdge-5.5R10P5M1-v6

新增功能

编号 功能描述 涉及平台
路由
39295 支持通过WebUI配置PIM和PIMv6。 A, K, E, X, CloudEdge, C, B, SDW
39293 支持配置非直连组播源的组播源地址,可以满足组播源DR与组播源跨网段组播的场景。
38118 支持通过WebUI和CLI方式配置接口的PIM被动模式,实现对组播流量的安全可控。
策略
38293 流量达到会话限制策略配置的阈值后,系统支持通过事件日志和SNMP Trap报文发送告警信息。 A, K, E, X, CloudEdge, C, B, SDW
会话限制策略首次产生告警信息后,如果该策略的统计数连续30秒内不超过阈值,系统支持通过事件日志和SNMP Trap报文发送告警清除信息。

已知问题

编号 功能描述 涉及平台
SSL VPN
323249 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。
A, K, E, X, CloudEdge, C, B, SDW
329424 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。
287915 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。
建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。
A, K, E, X, CloudEdge, C
333797/333798 设备在未安装SCVPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SCVPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。
A, K, E, X, CloudEdge, C, B, SDW
329186 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。
建议:通过手动方式选择已安装的证书。
A, K, E, X, CloudEdge, C, B, SDW
335090 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 A, K, E, X, CloudEdge, C, B, SDW
327602 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 A, K, E, X, CloudEdge, C, B, SDW
313034 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 A, K, E, X, CloudEdge, C, B, SDW
334346/332965 SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 A, K, E, X, CloudEdge, C, B, SDW
335092 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。
A, K, E, X, CloudEdge, C, B, SDW
323920 Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。
A, K, E, X, CloudEdge, C, B, SDW
网络
268866-1(268866) 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 K9180
QoS
251079-0E0(280588) QoS不支持Peer-mode非对称路由场景下对user的限速。 A, K, E, X, CloudEdge, C
HA
286815 HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 A, K, E, X, CloudEdge, C
云·界
310941-1(310941) 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 CloudEdge

5.5R10

发布概述

发布日期:2023年1月17日

发布StoneOS 5.5R10版本,推出332个新功能特性、十余款新平台,优化产品易用性和稳定性,重点功能包含:

版本发布信息:https://fr.hillstonenet.com/show_bug.cgi?id=31796

平台和系统文件

产品型号 系统文件
SG-6000-A7600/A6800/A5800/A5600/A5500/A5200
/A5100/A3800/A3700/A3600
/A3000/A2800/A2700/A2600/A2000/A1100/A1000 /B5600/B5200/B5000/B4600/B3600/B3200 /B3000/B2000
SG6000-A-1-5.5R10.img
SG6000-A-1-5.5R10-v6.img
SG-6000-A200/A200G4(4G版)/A200W(WLAN版)
/A200WG4(WLAN+4G版)
B600/SDW500/SDW500W/SDW500G4/SDW500WG4
/SDW300/SDW300W/SDW300G4/SDW300WG4
SG6000-A-3-5.5R10.bin
SG6000-A-3-5.5R10-v6.bin
SG-6000-X10800/X9180 SG6000-XL-5.5R10.bin
SG6000-XL-5.5R10-v6.bin
SG-6000-X8180 SG6000-XM-5.5R10.bin
SG6000-XM-5.5R10-v6.bin
SG-6000-X7180 SG6000-X7180-5.5R10.bin
SG6000-X7180-5.5R10-v6.bin
SG-6000-X6150-GS SG6000-X6150-GS-5.5R10.bin
SG6000-X6150-GS-5.5R10-v6.bin
SG-6000-K9180 SG6000-K-1-5.5R10.img
SG6000-K-1-5.5R10-v6.img
SG-6000-K2680/K2380 SG6000-K-2-5.5R10.img
SG6000-K-2-5.5R10-v6.img
SG-6000-K6280-GS SG6000-K-5-5.5R10.img
SG6000-K-5-5.5R10-v6.img
SG-6000-K5680/K3680-GS/K3280/K2580 SG6000-K-4-5.5R10.img
SG6000-K-4-5.5R10-v6.img
SG-6000-E5960/E5760 /E5660 /E5560 /E5568 /E5260 /E5268/E3965 /E5168 /C6050 /C5650 /C5450 SG6000-M-2-5.5R10.bin
SG6000-M-2-5.5R10-v6.bin
SG-6000-E6360 /E6368 /E6160 /E6168 /E3960 /E3968
/E3662 /E3660 /E3668 /E2860 /E2868 /E2800 /E2300
/E1700/E1606 /E1600 /E1100(WLAN版)
/E1100(WLAN版+3G-WCDMA版)
/E1100(WLAN版+3G-CDMA版)
/E1100(3G-WCDMA版) /E1100(3G-CDMA版) /E1100(4G版)
/E1100(WLAN版+4G版)
/E1100W-GM /E1600-GM /E1700-GM /E2300-GM
/E2800-GM /E3660-GM /E3960-GM
/C5250/C5050 /C4550 /C4100 /C4000 /C3100
/C3000 /C2100/C2000 /C1500 /C1300 /C1200 (WLAN版) /C1000 /C600
SG6000-M-3-5.5R10.bin
SG6000-M-3-5.5R10-v6.bin
SG-6000-VM01 /VM02 /VM04 /VM08 SG6000-CloudEdge-5.5R10
SG6000-CloudEdge-5.5R10-v6

新增功能

编号 功能描述 涉及平台
平台支持
A系列防火墙
25003 A系列设备新增支持IOC-A-2QSFP+模块。 A3700, A3800
25555/22979
/22981/26067/
27676/27668
A系列设备新增支持SG-6000-A7600、SG-6000-A6800、SG-6000-A5600、SG-6000-A5200、SG-6000-A5100、SG-6000-A2800、SG-6000-A2700、SG-6000-A200W(WLAN版)、SG-6000-A200G4(4G版)和A200WG4(WLAN+4G版)平台。 A
28541/28544 支持IPv6报文转发的硬件加速功能。 A7600, A6800
28547 SG-6000-A7600/A6800的光接口可通过命令exec port-mode 切 换成2x40GE(QSFP+)+2x100GE(QSFP28)模式、2x100GE(QSFP28)+2x40GE(QSFP+)模式或4x100GE(QSFP28)模式。
K系列防火墙
26226/26229
/27672
K系列设备新增支持SG-6000-K5680、SG-6000-K6280-GS、SG-6000-K3680-GS平台。 K
X系列防火墙
24366

X8180新增支持:

  • 配有1T固态硬盘的SCM-D1T-260模块和配有2T固态硬盘的SCM-D2T-260模块。
  • SIOM-P100H-260模块,该模块支持4个100GE(QSFP28)接口和16个10GE(SFP+)接口。
X8180
SDW
28555/28556
/28557/28558
/ 28560/28564
/28565/28566
新增支持SG-6000-SDW500、SG-6000-SDW500W、SG6000-SDW500G4、SG-6000-SDW500WG4、SG-6000- SDW300、SG-6000-SDW300W、SG-6000-SDW300G4、SG-6000-SDW300WG4平台。 SDW
策略
23316 支持通过WebUI方式查看安全策略、SNAT规则、DNAT规则、iQoS管道、策略路由的地址/服务条目详情,以及查看共享接入、DNS代理的地址条目详情。 A, K, E, X, CloudEdge, C, B
SDW系列支持通过WebUI方式查看安全策略、SNAT规则、DNAT规则、iQoS管道、策略路由的地址/服务条目详情,以及查看DNS代理的地址条目详情。 SDW
24379 支持安全策略、DNS代理规则、静态特征规则、iQoS管道、策略路由、监控配置、共享接入、用户监控这些功能模块在引用地址簿时可以基于IP地址进行模糊搜索。 A, K, E, X, CloudEdge, C, B
SDW系列支持安全策略、DNS代理规则、静态特征规则、iQoS管道、策略路由、监控配置、用户监控这些功能模块在引用地址簿时可以基于IP地址进行模糊搜索。 SDW
26334 边界流量过滤功能支持配置真实IP黑名单,阻断发起攻击的真实客户端IP地址。 A, K, E, X, CloudEdge, C, B, SDW
24119 支持基于SCTP协议的安全策略。 A, K, E, X, CloudEdge, C, B, SDW
25420 支持启用多安全域模式。多安全域模式下,安全策略支持配置多个源安全域和目的安全域。一条安全策略最多支持配置16个源/目的安全域。 A, K, E, X, CloudEdge, C, B, SDW
25514 支持识别ICMPv6类型为5-99和102-126的流量,并对流量进行策略规则控制。 A, K, E, X, CloudEdge, C, B, SDW
27712 安全策略支持基于DSCP字段对IPv4流量进行访问控制。 A, K, E, X, CloudEdge, C, B, SDW
28559 支持识别VLAN流量,并基于VLAN ID对流量进行访问控制。 A, K, E, X, CloudEdge, C, B, SDW
24494 当使用HTTPS方式登录设备时,支持基于国密SSL协议的双因素认证(用户名密码和USB Key证书认证)。 A, K, E, X, CloudEdge, C, B, SDW
VPN
21761 支持自定义Secure Connect客户端下载源,支持类型:Windows、macOS、Linux。 A, K, E, X, CloudEdge, C, B, SDW
22089 优化Hillstone Secure Connect Windows、macOS、Linux、Android和iOS客户端功能和界面。 A, K, E, X, CloudEdge, C, B, SDW
24906 K9180支持国密算法。 K9180
25153 SSL VPN支持对接PICC 4A服务器完成扫码登录认证。 A, K, E, X, CloudEdge, C, B, SDW
17756 IPSec VPN功能UI界面支持查看和解绑/删除VPN与隧道接口、安全策略、GRE VPN和L2TP VPN的关联配置,并支持在删除VPN条目时一次解绑/删除所有关联项,用户无需到各个模块分别解绑/删除。 A, K, E, X, CloudEdge, C, B, SDW
24369 IKEv1 VPN支持配置自定义IKE协商端口池。当VPN通过UDP 500端口协商首包超时失败时,系统可以使用自定义端口池中的端口进行IKE协商,建立IPSec连接。 A, K, E, X, CloudEdge, C, B, SDW
25055 安全隧道对端状态检测(DPD)支持on-demand模式,对 ISAKMP网关是否存在进行检测。 A, K, E, X, CloudEdge, C, B, SDW
25057 IKEv1 VPN 支持DH Group 18。 A, K, E, X, CloudEdge, C, B, SDW
25059 IKEv1 VPN 第二阶段加密算法支持AES-GCM-128、AES-GCM-192、AES-GCM256。 A, K, E, X, CloudEdge, C, B, SDW
25066 SSL VPN支持HTTP(S)协议类型的短信网关,并且可以指定测试短信的内容。 A, K, E, X, CloudEdge, C, B, SDW
25746 优化IPSec VPN监控功能,增加展示持续时间、发送/接收速率、最近建立时间、最后断开时间、断开原因及当日断开次数信息条目。 A, K, E, X, CloudEdge, C, B, SDW
27700 支持通过USB Key数字证书的证书DN关联SSL VPN资源列表。 A, K, E, X, CloudEdge, C, B, SDW
27714 VXLAN功能新增支持X系列设备及K9180。 K9180, X
28562 IKEv1 VPN支持配置智能选路功能,实现链路质量探测和链路切换功能。 A, K, E, X, CloudEdge, C, B, SDW
零信任网络访问(ZTNA)
26089/26108
/26109/26970
/26974/26975
/26976/27643
/27683/27690
/27708/27710
/27795/27796
/27798/27800
/27801/27825
/27848/27945
/27535

支持零信任网络访问(ZTNA)解决方案。ZTNA是基于SDP框架的远程安全访问方案,基于用户身份、终端设备的状态、访问时间等维度对访问流量进行管控,并动态调整用户可访问的授权应用范围。

A, K, E, X, CloudEdge, C, B, SDW
HA
25310 支持HSVRP功能。当部署HA Peer Mode时,HA设备的各组业务接口通过引用HSVRP组,使得两台设备各自正常工作的同时互为备份,即在一台设备故障的情况下,另一台设备可以接管原本流向故障设备业务接口的流量,从而保障网络通信的稳定性。 A, K, E, X, CloudEdge, C, B, SDW
23221 在主设备向备设备同步特征库文件后,支持定期检查主备设备特征库的配置一致性。 A, K, E, X, CloudEdge, C, B
24468 HA A/P模式备份防火墙Flow session支持重新匹配路由。 A, K, E, X, CloudEdge, C, B, SDW
26441 在HA 孪生模式 AP(Active-Passive)部署场景下,支持主备设备间同步DHCP Server或Client的动态数据信息。 A, K, E, X, CloudEdge, C, B, SDW
25546 支持通过WebUI查看HA主备设备的配置一致性。 A, K, E, X, CloudEdge, C, B, SDW
25335 重构HA WebUI配置界面,提高界面易用性:
  • 支持选择HA工作模式再配置HA:单机、Active-Passive和Peer Active-Active;
  • 调整HA组、二层单播协商等相关配置项的布局;
  • 将HA配置同步、会话同步等辅助功能从HA基本配置项中拆分出来,置于HA配置之后;
  • 优化提示信息。
A, K, E, X, CloudEdge, C, B, SDW
25506 支持配置接口vswitchifx:1作为HA Peer 模式下组1接口,用于二层和三层混合模式数据转发;并支持在HA Peer二层模式下, 通过vswitchifx:1接口进行设备管理。 A, K, E, X, CloudEdge, C, B
27703 在孪生模式A/A模式部署场景中,支持配置首包转发Bounce Back功能。 A系列A3000及以上型号设备,
E系列E3960及以上型号设备,
X系列所型号设备,
B系列B4600及以上型号设备
开局向导
23397 新增WebUI开局安装向导,帮助用户按照指引的步骤完成防火墙设备的初始配置,包括系统时间、许可证等基本配置、路由模式的部署以及安全策略相关的防护配置。用户也可以选择跳过安装向导。 A, K(不含K9180), E, CloudEdge,
C, B, SDW
数据安全
24770/25498
/26599
预定义关键字类别新增predef_bank_card和predef_email_address,用于在内容过滤和URL过滤功能中实现基于银行卡号和邮箱账号关键字的过滤和阻断。 A, K, E, X, CloudEdge, C, B
威胁防护
25239 特征库更新频率支持每月自定义时间更新。 A, K, E, X, CloudEdge, C, B
25252 支持通过WebUI查看特征库的最新版本并支持手动检查特征库的最新版本。 A, K, E, X, CloudEdge, C, B
24475 入侵防御功能支持抓包功能。 A/K/B
(以上系列均仅针对安装有硬盘的设备),
CloudEdge
26263 自定义入侵检测特征规则支持配置攻击流量方向,使得攻击源的判断更加准确。 A, K, E, X, CloudEdge, C, B
26265 支持将入侵防御和病毒过滤威胁日志的攻击源IP加入黑名单。 A, K, E, X, CloudEdge, C, B
26267 支持对FTP/Telnet/POP3/IMAP/SMTP协议的明文密码进行密码强度检测,帮助用户进行密码管理,避免弱密码导致的安全隐患。 A, K, E, X, CloudEdge, C, B
26270 优化弱口令检测功能,支持用户自定义FTP/Telnet/POP3/IMAP/SMTP协议的明文密码的弱口令检测条件。 A, K, E, X, CloudEdge, C, B
26271 优化可疑UA(User-Agent)检测功能。 A, K, E, X, CloudEdge, C, B
26272 优化SQL注入和XSS注入攻击防护功能,误报/漏报率更低。 A, K, E, X, CloudEdge, C, B
26273 支持对IP协议扫描攻击和UDP端口扫描攻击进行防护。 A, K, E, X, CloudEdge, C, B, SDW
26276 支持对入侵防御引擎检测出的威胁抓取完整的威胁数据,并支持用户下载威胁数据进行查看和分析。 A/K/B
(以上系列均仅针对安装有硬盘的设备), CloudEdge
26277 支持对IMAP/SSH/LDAP/SMB/VNC/RDP协议下的暴力破解攻击进行防护。 A, K, E, X, CloudEdge, C, B
26278 支持敏感目录扫描检查功能,可有效防护针对Web服务器的敏感目录扫描攻击。 A, K, E, X, CloudEdge, C, B
27468 支持对反弹shell攻击进行检测和防护。 A, K, E, X, CloudEdge, C, B
27773 入侵防御功能的防护动作支持设置更长的阻断IP/阻断服务时长。 A, K, E, X, CloudEdge, C, B
26589 支持将除现有的PE、APK、JAR、MS-Office、PDF、 SWF、RAR、ZIP、ELF、Script外的其他类型的文件上传到本地沙箱(智影)进行检测。 A, K, E, X, CloudEdge, C, B
25264 支持通过HTTP、HTTPS类型服务器自动更新边界流量过滤黑名单库。 A, K, E, X, CloudEdge, C, B, SDW
25223 支持加密流量检测功能,通过对加密攻击流量进行特征数据提取以识别威胁流量。 A
(不含A200, A200W, A200G4, A200WG4, A6800, A7600),
CloudEdge, K2380, K2680
25228 支持Flood攻击防护阈值学习功能,通过对正常网络环境下所通过流量的最大速率的统计,为配置攻击防护提供合理的攻击检测阈值参考。 A, K, E, CloudEdge, C, B, SDW
25747 支持对ICMP重定向攻击进行检测和防护,并将IP地址扫描和端口扫描的可配置阈值时间增加至1800000ms。 A, K, E, X, CloudEdge, C, B, SDW
23641 支持SIP Flood攻击防护功能。 A, K, E, X, CloudEdge, C, B
25036 开启云沙箱(云影)防护/本地沙箱(智影)防护功能,并将设备成功注册到云沙箱/本地沙箱,在传输文件后,支持将所传输文件的上下文信息传送到云沙箱/本地沙箱。 A, K, E, X, CloudEdge, C, B
25062 支持配置全局白名单,系统对全局白名单中的IP地址直接放行,不做任何安全检查。 A, K, E, X, CloudEdge, C, B
25422 病毒过滤、沙箱防护和数据安全模块支持对SMB断点续传场景下传输的文件进行过滤和阻断。 A, K, E, X, CloudEdge, C, B
25856 僵尸网络防御的威胁日志和iCenter支持显示IOC关联的恶意威胁标签、恶意家族、攻击团伙信息。 A, K, E, X, CloudEdge, C, B
27706

静态IP黑名单、动态IP黑名单支持按照指定用户进行阻断或控制。

黑名单库自动更新配置中支持指定更新周期,按照周期进行更新;同时,支持立即更新黑名单库。

黑名单库支持配置不带掩码的主机IP地址。

优化边界流量过滤的聚合日志,支持按照源IP、目的IP和命中IP进行聚合。

A, K, E, X, CloudEdge, C, B
支持导出非根VSYS下的黑名单库。 A(不含A200, A200W, A200G4, A200WG4),
B
(不含B600, B600W, B600G4, B600WG4, B2000)
27715 入侵防御自定义特征支持正则表达式。 A, K, E, X, CloudEdge, C, B
对象
30097 自定义应用支持配置应用的类别、子类别、所使用的的技术和特征。 A, K, E, X, CloudEdge, C, B, SDW
26931 支持配置Ping报文动态ID功能,使同一个监测对象发送的ICMP报文的ID为动态随机值。 A, K, E, X, CloudEdge, C, B, SDW
监控
27134 支持长期监控功能:
  • 支持将最长180天的设备流量和会话统计数据存储到设备硬盘,并允许用户设置统计数据存储空间大小限制;
  • 支持按照IP或者应用类型的方式查询统计数据,最长可以查询180天内任意连续31天的数据;
  • 支持以列表、柱状图、折线图的方式展示统计数据。
K(不含K9180), A/B
(以上系列均仅针对安装有硬盘的设备)
27135
  • 支持统计功能模块的丢包数量,并以列表、柱状图、折线图的方式展示统计数据;
  • 允许手动开启抓包采样,记录丢包五元组信息;或者设置异常丢包阈值,达到阈值后触发抓包采样;
  • 支持将丢包统计数据存储到设备硬盘,允许用户设置统计数据存储空间大小限制。
A/B
(以上系列均仅针对安装有硬盘的设备)
26537 用户监控的用户详情统计信息支持显示主机名称。 A, K, E, X, C, B, SDW
25337 WebUI“监控 > 报表”功能新增“报表状态”页面,显示报表任务的运行状态、运行时间、失败原因等信息,并且支持手动停止指定的报表任务。 A, K, E, X, CloudEdge, C, B, SDW
DNS
24304 支持DNS主动解析缓存在设备上的保存时间为DNS服务器返回值。 A, K, E, X, CloudEdge, C, B
NAT
24391 支持监控SNAT规则端口资源使用率,当端口资源耗尽或使用率超出配置的阈值时,记录告警日志。 A, K, E, X, CloudEdge, C, B, SDW
24472 DNAT规则支持转换源地址,即双向NAT,支持IPv4、NAT46、NAT64、IPv6场景。 A, K, E, X, CloudEdge, C, B, SDW
25021 DNS Rewrite规则支持配置域名重写和基于优先级匹配规则。 A, K, E, X, CloudEdge, C, B, SDW
25139 NAT64的SNAT规则支持配置静态地址端口块。 A, K, E, X, CloudEdge, C, B, SDW
23389 支持通过WebUI配置DNS改写和查看DNS改写动态映射表。 A, K, E, X, CloudEdge, C, B, SDW
12812/13413 支持对SNAT、DNAT、BNAT规则设置时间表、安全域。 A, K, E, X, CloudEdge, C, B, SDW
14470 支持NAT规则冗余检测功能。 A, K, E, X, CloudEdge, C, B, SDW
28561 IPv4 BNAT规则支持配置的内网和外网IP地址个数上限分别增加至2 32;IPv6 BNAT规则支持配置的内网和外网IP地址个数上限分别增加至2 80
系统
23850 支持热补丁升级功能,在保证业务不中断的情况下,对设备当前软件版本问题进行修复。 A, K, E, X, CloudEdge, C, B, SDW
24301
  • 支持WebUI各模块对上传文件后缀和大小进行检查;
  • 支持通过CLI配置使用/rest/file接口上传文件,该接口默认禁用。
A, K, E, X, CloudEdge, C, B, SDW
26162 支持对小于等于9216字节的IPv4/IPv6巨帧报文(Jumbo Frame)的转发。 A, K(不含K9180), E, X(不含X8180), CloudEdge, C, B, SDW
26909 优化系统新建会话性能。 A5800
27136 设备恢复正常工作状态时,前面板告警指示灯(ALM灯)能够自动清除告警提示。 A, K, E, X, C, B, SDW
27397 支持低时延模式,通过调整接口队列数量和批量发包参数,最大程度上的降低时延。 A, K
23634 新增show memory filesys命令用于查看系统内存中文件系统所占用的内存大小。 A, K, E, X, CloudEdge, C, B, SDW
23645 支持使用调试功能时配置优先级和定时器。通过指定业务优先,可以避免调试功能影响业务转发。通过指定执行时间,可以控制调试功能的执行时间。 A, K, E, X, CloudEdge, C, B, SDW
25819 新增logging debug to file命令用于将调试日志输出到文件,并支持设置文件大小。 A, K, E, X, CloudEdge, C, B, SDW
22613 修改登录WebUI时的Cookie校验方式,允许用户通过同一个NAT IP同时访问多个设备。 A, K, E, X, CloudEdge, C, B, SDW
25403 优化数据结构,提升同步大量LDAP/AD用户和用户组时的性能,降低CPU使用率。 A, K, E, X, CloudEdge, C, B, SDW
24996 支持通过升级服务器自动更新ISP信息库。 A, K, E, X, CloudEdge, C, B, SDW
19558 支持通过API Token登录设备的RESTful API。 A, K, E, X, CloudEdge, C, B, SDW
22887 支持在线抓包功能抓取入接口或出接口的数据包。 A, K, E, X, CloudEdge, C, B, SDW
13042 支持通过短信或邮箱二次认证的方式登录设备的WebUI。 A, K, E, X, CloudEdge, C, B, SDW
23027 支持通过CLI方式查看设备进程信息中的IPC队列长度。 A, K, E, X, CloudEdge, C, B, SDW
23028 支持通过CLI方式查看光口模块的波长和最大传输距离。 A, K, E, X, CloudEdge, C, B, SDW
25508
  • 支持配置光接口的协商模式,两端光接口的协商模式配置一致即可协商成功。
  • 支持开启/关闭光转电模块。
A, E, C, B, K9180, X8180, X9180, X10800
25997 支持升级数据库数据,例如日志、报表等,将系统版本升级后数据库中的旧版本数据格式,升级至符合当前版本的数据格式。 A, K, CloudEdge, B, SDW
21011/23950 支持当基于二层安全域部署时对MPLS报文进行安全控制。 A, K, E, X, CloudEdge, C, B, SDW
23948 应用特征库支持应用GB/T 28181和GB/T 35114。应用识别结果为SIP时,进一步判断是否为GB/T 28181和GB/T 35114。 A, K, E, X, CloudEdge, C, B, SDW
25741 防火墙支持向HSM设备上送链路应用数据,例如应用延时、抖动、丢包率等等。 A, K, E, X, CloudEdge, C, B, SDW
26399 在SIP ALG应用场景,系统支持基于RFC3311处理SIP Update消息,包括在启用了NAT的环境。 A, K, E, X, CloudEdge, C, B, SDW
26319 支持历史密码检查功能,用户在修改密码时不能重复使用最近n次内已使用的密码。 A, K, E, X, CloudEdge, C, B, SDW
IPv6
22772 地址簿IPv6地址成员支持配置通配符掩码,IPv6通配符掩码地址支持被其它IPv6地址簿和策略规则引用。 A, K, E, X, CloudEdge, C, B, SDW
24921 GRE隧道支持同时配置IPv4和IPv6类型的网关,以便同时处理两种IP类型的流量。 A, K, E, X, CloudEdge, C, B, SDW
25030 支持对IPv6地址的流量进行出站负载均衡。 A, K, E, X, CloudEdge, C, B, SDW
25053 IPv6支持6RD(IPv6 Rapid Deployment on IPv4 Infrastructures) 隧道。6RD建立在6to4隧道的机制之上,可以使用服务供应商 提供的IPv6的前缀替换掉6to4自动隧道的固定前缀 (2002::/16) A, K, E, X, CloudEdge, C, B, SDW
27697 Full-cone NAT支持IPv6。 A, K, E, X, CloudEdge, C, B, SDW
27705 三层接口的IPv6 RA报文支持携带RDNSS和DNSSL配置选项,收到配置选项的IPv6主机可以进行自动DNS配置。 A, K, E, X, CloudEdge, C, B, SDW
27722 支持查看IPv6地址簿条目配置信息。 A, K, E, X, CloudEdge, C, B, SDW
iQoS
27713 iQoS子管道内每IP/用户的最大带宽上限支持动态调整。 A, K, E, X, CloudEdge, C, B, SDW
路由
27406 当接口没有连接组播接收者,或者连接的组播接收者无法发送IGMP Report报文时,可以通过配置Join-group将接口加入到组播组,接收来自组播组的数据。 A, K, E, X, CloudEdge, C, B, SDW
24309 X系列设备支持通过IPsec隧道创建BFD邻居。 X,K9180
12768 OSPFv3支持在区域内和接口下开启AH或ESP加密认证功能。 A, K, E, X, CloudEdge, C, B, SDW
24371 支持域名路由。域名路由支持配置目的域名和下一跳地址,通过DNS Snooping主动解析或者被动解析建立并更新目的域名与IP地址的映射关系信息,生成路由。 A, K, E, X, CloudEdge, C, B, SDW
25044 BGP支持平滑重启(GR)功能。 A, K, E, X, CloudEdge, C, B, SDW
SSL代理
25046 SSL代理支持解密RDPS和FTPS流量。 A, K, E, X, CloudEdge, C, B, SDW
27701 SSL代理支持会话复用功能。 A, K, E, X, CloudEdge, C, B, SDW
认证
23957 SSO Monitor与AD Agent功能增强:
  • SSO Monitor支持对接多个AD Agent(或其他外部服务器)实现冗余备份。
  • 支持控制SSO Monitor认证用户在线时长:可以通过配置SSO Monitor强制超时时间实现,也可以在AD Agent软件上配置用户在线时长实现。
  • 系统的Active Directory服务监控功能与Active Directory服务器配置解耦,与SSO Monitor模块整合。StoneOS 5.5R10不再支持配置AD服务监控功能。相关升级说明,请参阅SSO Monitor相关配置升级说明和AD Agent相关配置升级说明。
A, K, E, X, CloudEdge, C, B, SDW
25070 ACC短信网关发送请求时支持增加校验码字段。 A, K, E, X, CloudEdge, C, B, SDW
25138 RADIUS Snooping在生成认证用户时,支持过滤掉用户名以指定字符串结尾的用户,只对未过滤掉的用户名生成认证用户信息。 A, K, E, X, CloudEdge, C, B, SDW
25393 PKI支持配置PKCS#7、PKCS#12和CERT-BUNDLE格式的证书链,并支持检查证书链和PKI信任域内证书的有效性。 A, K, E, X, CloudEdge, C, B, SDW
25307 LDAP和Active Directory同步配置优化:
  • 优化LDAP和Active Directory服务器的配置步骤,可通过WebUI独立配置LDAP/Active Directory服务器的同步相关配置信息。
  • 为“同步Base-DN”参数提供可视的路径选项,用户无需到服务器上查看路径后再手动输入。
  • 支持配置和同步多条路径下的用户和用户组。
A, K, E, X, CloudEdge, C, B, SDW
23956/25418 在AAA认证服务器信息定时同步完成后,如果认证用户的用户组发生变化,系统会匹配新用户组对应的策略规则。 A, K, E, X, CloudEdge, C, B, SDW
25028 LDAP服务器支持配置认证和同步Base-DN,以及LDAP服务器和Active-Directory服务器支持配置同步对象。 A, K, E, X, CloudEdge, C, B, SDW
25425 支持通过Agile Controller实现单点登录。 A, K, E, X, CloudEdge, C, B, SDW
25427 查询认证用户信息时,支持基于IP/IP段和用户组筛选出特定的用户信息。 A, K, E, X, CloudEdge, C, B, SDW
25664 PKI支持配置使用者可选名称字段、WebAuth被动认证地址支持域名形式。 A, K, E, X, CloudEdge, C, B, SDW
26001 短信网关认证支持对接贝壳短信网关进行SSL VPN认证和Web认证。 A, K, E, X, CloudEdge, C, B, SDW
26432 通过RADIUS服务器进行认证时,支持配置LOCAL NAS IP,可保证复杂网络环境下RADIUS服务器与设备之间通信正常。 A, K, E, X, CloudEdge, C, B, SDW
26613/26614 X系列设备支持的SSO RADIUS最大在线用户数从30000增加到100000。 X7180, X8180, X10800, X9180
优化SSO RADIUS功能,使其开启/关闭、关闭/开启操作的时间间隔必须大于20秒。 A, K, E, X, CloudEdge, C, B, SDW
27698 支持基于Radius计费报文中的用户属性进行角色映射,实现基于用户属性的认证和管控。 A, K, E, X, CloudEdge, C, B, SDW
27704 支持基于AD/LDAP认证服务器中的用户属性进行角色映射,实现基于用户属性的认证和管控。 A, K, E, X, CloudEdge, C, B, SDW
27711 支持通过SSL加密方式连接AD/LDAP服务器。 A, K, E, X, CloudEdge, C, B, SDW
27719 当系统本地没有没有用户和用户组信息时,Agile Controller功能支持从AD/LDAP服务器查询认证用户所属的用户组。 A, K, E, X, CloudEdge, C, B, SDW
27720 支持通过阿里云短信网关进行Web认证。 A, K, E, X, CloudEdge, C, B, SDW
网络
25697 支持将DHCP中继报文的源IP地址替换为中继代理接口的IP地址。 A, K, E, X, CloudEdge, C, B, SDW
25562 支持接口下的ARP学习限制和邻居发现学习限制功能,对接口下的ARP学习和邻居发现学习的最大表项数量进行限制。 A, K, E, X, CloudEdge, C, B, SDW
22657 支持在非根VSYS下配置Full-cone NAT功能。 A
(不含A200, A200W, A200G4, A200WG4, A1000, A1100),
K, E, X, C,
B
(不含B600, B600W, B600G4, B600WG4, B2000)
链路负载均衡
25504 多SSM卡设备支持对隧道接口的流量进行链路负载均衡。当出口包含隧道接口时,支持的选路方式包括:基于缓存选路、基于IP选路、基于链路整体带宽利用率选路。 K9180, X7180, X8180, X9180, X10800
SNMP
24291 支持通过SNMP获取物理接口硬件丢包数据。 A, K, E, X, C, B, SDW
25023

在HA A/P模式下,备份设备支持上报Trap信息。

A, K, E, X, C, B, SDW

在HA A/A Peer模式下,group1里处于主动状态的接口所在的设备支持上报Trap信息。

A, K, E, X, C, B, SDW
更新SNMP OID 1.3.6.1.4.1.28557.3.3的信息描述为“板卡温度超出阈值时的通知消息”。 A, K, E, X, C, B, SDW
25237 新增HILLSTONE-VSYSNEW-MIB库作为新的VSYS MIB。新的VSYS MIB基本功能和原有的HILLSTONE-VSYS-MIB库一致,而且支持获取根VSYS信息。原有的VSYS MIB不建议再使用。 A
(不含A200, A200W, A200G4, A200WG4, A1000, A1100), K, E, X, C, B(不含B600, B600W, B600G4, B600WG4, B2000)
27017 支持配置发送SNMP Trap报文的源IP地址。 A, K, E, X, CloudEdge, C, B, SDW
25042 支持通过SNMP查询SLB服务器信息,包括服务器IP、连接数和状态。 A, K, E, X, CloudEdge, C, B
26000 支持通过SNMP获取设备最近一天TOP10的应用流量数据。 A, K, E, X, CloudEdge, C, B, SDW
日志
26360 会话和NAT日志支持存储到本地硬盘。 A/K/B
(以上系列均仅针对安装有硬盘的设备)
26933 支持以CSV格式导出设备日志信息。 A, K, E, X, CloudEdge, C, B, SDW
26935
  • 威胁日志支持记录认证用户信息,包括AAA服务器、用户名称、主机名称;
  • 支持在WebUI上根据认证用户信息(源用户/目的用户)查询威胁日志。
A, K, E, X, CloudEdge, C, B
29111 优化日志信息输出到本地硬盘功能。当将会话日志和NAT日志输出到本地硬盘时,支持将日志处理进程和数据库存储进程绑定至Core MAX; A
(针对SG-6000-A2700及以上型号且安装有硬盘的设备),
B
(针对SG-6000-B3600及以上型号且安装有硬盘的设备)
优化日志信息输出到本地硬盘功能。当将会话日志和NAT日志输出到本地硬盘时,支持配置日志信息发送至日志处理进程的速率。 A/B
(以上系列均仅针对安装有硬盘的设备)
26264 优化日志存储方式及日志查询速度。 A, K, CloudEdge, B
26266 支持对病毒日志和僵尸网络日志进行日志聚合,优化日志显示。 A, K, E, X, CloudEdge, C, B
24892 支持对导出的日志文件进行加密。 A, K, E, X, CloudEdge, C, B, SDW
26587 支持通过X-Forwarded-For字段获取威胁事件的真实源IP并展示在威胁日志中。 A, K, E, X, CloudEdge, C, B, SDW
26588 针对不同检测引擎产生的威胁日志,优化外发的威胁日志信息内容,增加扫描次数、文件MD5信息、黑名单IP/域名等内容。 A, K, E, X, CloudEdge, C, B, SDW
23508 威胁日志列表默认展示“处理动作”列,且在切换页面或重新登录后,列设置将持续生效。 A, K, E, X, CloudEdge, C, B, SDW
24383 支持按照中国联通(CUCC)日志格式发送NAT444日志信息,包括分配端口块日志、释放端口块日志、新建会话日志及断开会话日志。 A, K, E, X, CloudEdge, C, B, SDW
25034 支持配置在威胁日志中记录认证用户名称。 A, K, E, X, CloudEdge, C, B, SDW
报表
25184 优化K系列报表文件格式:
  • 用户/应用流量数据统计表支持中显示上一周期的历史流量大小;
  • 应用统计及风险详情页支持显示总流量TOP3的应用在周期内的流量变化趋势;
  • 应用统计及风险详情页支持显示基于协议的总流量分布;
  • 网络流量详情页支持显示TOP20用户(IP)的流量统计,包括总流量、上行、下行及环比流量。
K
虚拟系统
25241 非根VSYS支持配置共享接入功能,但不支持共享接入特征库的升级配置。 A
(不含A200, A200W, A200G4, A200WG4, A1000, A1100),
K, E, X, C,
B
(不含B600, B600W, B600G4, B600WG4, B2000)
25572 VSYS CPU资源修改为CPU利用率(1秒内使用CPU的资源),范围是1-10000,单位是‱。 A
(不含A200, A200W, A200G4, A200WG4, A1000, A1100),
K, E, X, CloudEdge, C,
B
(不含B600, B600W, B600G4, B600WG4, B2000), SDW
X系列设备支持通过show cpu slot slot-name vsys 命令查看指定VSYS在指定模块卡的CPU利用率。 X
云平台
26269 支持将入侵防御引擎的缓存证据信息上传至云景。 A, K, E, X, CloudEdge, C, B
26087/26088 支持云景配置下发功能和PTF黑名单下发。 A, K, E, X, CloudEdge, C, B, SDW

WebUI

25327 WebUI安全加固:
  • 导入和导出初始配置文件时支持ZIP类型,并且可设置压缩密码;
  • 支持配置防点击劫持功能,保证防火墙的WebUI页面的所有内容来源于相同域名;
  • WebUI上的密码相关配置,例如密码、密钥等,在下发前会先使用RSA公钥加密,以防止被第三方截取;同时,对包含密码相关配置的功能,在修改密码处增加开关,只有开启开关才可以修改密码。
A, K, E, X, CloudEdge, C, B, SDW
15057 支持配置WebUI登录时的浏览器页签标题为设备的主机名称、设备型号、管理地址。 A, K, E, X, CloudEdge, C, B, SDW
25188 支持通过WebUI设置设备监控概览页面的刷新间隔。 A, K, E, X, CloudEdge, C, B, SDW
Capacity
23047 扩大设备可配置的服务簿和地址簿数量。 X
扩大策略规则引用服务簿数量。支持通过命令查看策略规则中源地址、目的地址和服务的资源使用情况。 A, K, E, X, CloudEdge, C, B, SDW
28355 K2580支持通过exec session-adjust命令将IPv4最大并发连接数调整至10000000。 K2580
K3280支持通过exec session-adjust命令将IPv4最大并发连接数调整至15000000。 K3280
28200 扩大A系列设备的IPv4/IPv6最大并发连接数。 A
24567 扩大可配置的策略规则数目到120000条。 X10800, X9180
25103 系统支持创建的自定义IPS Profile最大个数由32增加至 64。 A, K, E, X, CloudEdge, C, B
每个VSYS支持创建的自定义IPS Profile最大个数由1增加至4。 A
(不含A200, A200W, A200G4, A200WG4, A1000, A1100),
K, E, X, C,
B (不含B600, B600W, B600G4, B600WG4, B2000)
许可证
25068 支持查看设备所有许可证的汇总信息,包括受许可证控制的所有功能名称、许可证状态、许可证类型、过期时间及可用资源数。 A, K, E, X, CloudEdge, C, B, SDW
28567 支持SSL VPN试用许可证。 A, K, E, X, CloudEdge, C, B, SDW
RESTful API
25141/25145 支持通过RESTful API接口配置网页关键字过滤。 A, K, E, X, CloudEdge, C, B
27152 支持通过RESTful API配置聚合策略。 A, K, E, X, CloudEdge, C, B, SDW
25252 支持通过RESTful API接口查看所有特征库的版本信息。 A, K, E, X, CloudEdge, C, B
27716/27718 支持通过RESTful API配置 DNS代理、域名簿、SSL VPN、 BGP、路由映射和静态ARP。 A, K, E, X, CloudEdge, C, B
云·界
24630 云·界支持华为云云市场严选定制型号。 CloudEdge
14620 云·界支持查看硬盘使用情况。  
12804 云·界扩大最小硬盘容量至4GB,并支持动态划分数据分区的容量大小。  
27133/16858
/18874/18876
云·界支持VSYS功能、巨帧报文( Jumbo Frame) 转发功能、日志存储功能、报表功能。  
23219 优化可配置的路由条目数、并发会话数、AAA服务器用户数以及IPv6 6to4隧道数。  
13895 设备初始化启动后,默认型号显示为VM00。  
25384 云·界支持基于功能类型将许可证状态上报至LMS,以供LMS判断设备是否需要重启使功能生效。  
16851 云·界连接LMS支持更新数字证书。  
11817 当云·界部署在AWS平台时,支持创建t2、t3、m5、m5a和c5实例。  
17178 当云·界部署在KVM平台时,VM04和VM08型号最大支持20个接口。  
24246 支持通过CLI对部署在天翼云上的云·界的WebUI进行解冻。  
24248 对云·界的HA功能进行了升级和优化,支持通过WebUI设置HA云部署的相关的配置。  
24482/27290 云·界支持通过天翼云平台、360云阵云安全管理平台进行单点登录。  
25026 云·界支持第三方软件(启明CAS服务器)通过管理员进行单点登录。  
25040 对云·界的QoS的根管道容量进行了提升和优化。  
27699/23952 云·界SR-IOV支持mellanox CX4网卡、Mellanox ConnectX-6 Dx 100 Gb/s网卡。  
27716/27718 支持通过RESTful API将VXLAN绑定到三层隧道接口。  
用户手册
典型配置案例 基于5.5R10新功能,新增典型配置案例:
  • 将日志处理进程和数据库存储进程绑定到Core MAX
  • 部署HA Peer模式,实现两台安全设备的双机热备,保障业务连续性
  • 通过HSVRP,使两台设备分别作为网关转发业务流量,同时互为备份,保障业务流量不中断
  • 基于证书认证的IPSec VPN的建立
  • 通过IPSec VPN智能选路实现链路的动态切换
  • 实现通过6RD隧道满足IPv6网络之间的通信
  • Windows终端用户通过ZTNA远程访问公司内部服务器
  • Android终端用户通过ZTNA访问企业内网资源
日志信息参考指南 新增5.5R10日志,如ZTNA日志、Secure Connect客户端平台日志,优化入侵防御日志、攻击防护日志、病毒过滤日志、垃圾邮件过滤日志、僵尸网络防御日志、文件内容过滤日志、云沙箱等威胁防护相关日志、安全策略日志、NAT日志、虚拟系统日志、接口日志、路由日志等。
SNMP私有MIB信息参考指南 新增5.5R10版本支持的V11私有MIB。新增MIB节点说明,包含HILLSTONE-VSYSNEW-MIB;在V10私有MIB的基础上添加存储设备的数量信息以及由于Session的缓存队列已满而导致的丢包数信息。

已知问题

编号 功能描述 涉及平台
SSL VPN
323249 当PC端安装了360安全卫士时,登录ZTNA及VPN客户端可能会出现报错的现象。
建议:将“%HOMEPATH%\Documents\Hillstone Secure Connect”目录添加至信任区。
A, K, E, X, CloudEdge, C, B, SDW
329424 安装新版SSL VPN客户端后,如需安装旧版客户端,需要先卸载已安装的新版SSL VPN客户端。
287915 新版本SSL VPN客户端(如 Windows/Android/IOS)支持显示资源列表。当资源列表条目大于20时,旧版本SSL VPN客户端可能产生兼容问题。
建议:将SSL VPN客户端(如Windows/Android/IOS/Linux)均升级至最新版本。
A, K, E, X, CloudEdge, C
333797/333798 设备在未安装SCVPN许可证和ZTNA许可证的情况下,通过CLI方式和WebUI方式查看SCVPN/ZTNA授权用户,可能会出现不一致的问题。
建议:实际授权用户数请以WebUI页面显示为准。
A, K, E, X, CloudEdge, C, B, SDW
329186 新版SSL VPN Android客户端使用非国密证书登录方式,在连接配置中选择证书时,可能出现无法选择已安装的证书。
建议:通过手动方式选择已安装的证书。
A, K, E, X, CloudEdge, C, B, SDW
335090 安装并使用新版SSL VPN Windows客户端,当用户PC的配置较低时,下载文件可能出现数据包收发不正常、SSL VPN客户端断开连接的问题。 A, K, E, X, CloudEdge, C, B, SDW
327602 卸载SSL VPN macOS客户端,可能在“启动台”和“程序坞”出现客户端图标残留的现象。 A, K, E, X, CloudEdge, C, B, SDW
313034 防火墙设备在隧道路由中配置默认路由后,使用SSL VPN Android客户端连接后,可能出现无法访问内网资源的问题。 A, K, E, X, CloudEdge, C, B, SDW
334346/332965 SSL VPN macOS客户端运行过程中,重新唤起休眠状态的MAC后,可能会出现无法打开SSL VPN客户端界面或SSL VPN客户端断开连接且无法连接的问题。 A, K, E, X, CloudEdge, C, B, SDW
335092 设备开启SPA功能后,新版Hillstone Secure Connect客户端可能会出现无法自动更新的问题。
建议:开启SPA功能后,通过手动更新的方式更新Hillstone Secure Connect客户端。
A, K, E, X, CloudEdge, C, B, SDW
323920 Windows 7 SP1及以上版本的PC使用新版Hillstone Secure Connect客户端,可能会出现连接失败的问题。
建议:Windows 7 SP1及以上版本的PC的用户,请访问https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=Windows6.1-KB2533623-x86 或者 https://sccupdate.hillstonenet.com:1338/sslvpn/win7/download?patch=windows6.1-kb4474419-v3-x86 按需下载补丁安装包,并手动安装补丁。
A, K, E, X, CloudEdge, C, B, SDW
网络
268866-1(268866) 配置预留带宽后,因设备中插入不同扩展模块,其带宽分配算法基于不同模块的流量大小进行动态分配,可能出现预留带宽被占用而限速不准确的情况。 K9180
QoS
251079-0E0(280588) QoS不支持Peer-mode非对称路由场景下对user的限速。 A, K, E, X, T, CloudEdge, C
HA
286815 HA AP环境下升级设备5.5R6版本到5.5R10,当备设备已成功升级至5.5R10而主设备为5.5R6时,备设备会出现无法同步主设备在线用户的用户组和角色信息的情况。 A, K, E, X, CloudEdge, C
云·界
310941-1(310941) 安装新版平台许可证后未重启,可能出现通过CLI仍能查看旧版VSN平台许可证,且该许可证VSN号显示异常的现象。 CloudEdge

浏览器兼容性

以下浏览器通过了WebUI测试,推荐用户使用:

获得帮助

山石网科 SG-6000系列安全设备配有以下手册,访问https://docs.hillstonenet.com进行下载。

服务热线:400-693-0555

官方网址:https://www.hillstonenet.com.cn

附录:版本升级说明

本附录包含各平台升级注意事项功能模块升级注意事项在HA环境下升级以及升级验证

建议不要跨越较多版本进行升级,推荐升级相临近版本。如果版本跨度较大,建议仔细对比升级前后的配置。鉴于网络环境的差异性及特殊需求,可在升级前咨询400-693-0555。

各平台升级注意事项

E/X平台升级注意事项

针对E/X平台的各个版本,请注意如下事项:

云•界升级注意事项

功能模块升级注意事项

HSM&HSA匹配版本说明

在使用5.5R10版本与HSA或HSM连接时,需要将HSA升级到2.11.0及之后版本、HSM升级到4.15及之后版本。

SSL Proxy功能相关配置升级说明

从StoneOS 5.5R9版本开始,系统将SSL代理配置中“不支持的版本”“不支持的加密算法”“未知错误”“客户端认证”参数的默认值由“阻断”改为“放行”。当升级到5.5R9及之后版本后,相关配置会发生变化,导致行为变更。如仍需使用阻断配置,需要手动修改。

SSL VPN功能相关配置升级说明

  1. 从StoneOS 5.5R10版本开始,SSL VPN 客户端重构,推出新版SSL VPN 客户端,同时支持Windows、macOS、Linux、Android和iOS系统。若使用新版SSL VPN客户端(v5.0.0及其以后版本),需注意:“通信稳定性优化”功能配置中增加“自动”选项,如果选择了“自动”,会根据服务器是否开启TCP端口,自动选择连接方式。
  2. 从StoneOS 5.5R10版本开始,“SSL VPN 地址池”功能调整为“接入地址池”功能,相关命令行和WebUI页面均有所调整,例如:scvpn pool pool-name命令替换为access-address-pool pool-name;通过WebUI配置可选择“对象 > 接入地址池”。当把系统从5.5R10之前的版本升级到5.5R10及后续版本时,原先的配置将继续保留,可正常使用。
  3. 从StoneOS 5.5R9版本开始,SSL VPN Windows客户端支持数据传输可靠性配置。若使用SSL VPN客户端(V1.4.9.1281及其以后版本),需注意以下事项。旧版本客户端(V1.4.9.1279及之前的版本)不受此影响。
    • 当服务器开启TCP端口时,SSL VPN客户端是否勾选“通信稳定性优化”功能,均可以成功连接。
    • 当服务器不开启TCP端口时,SSL VPN客户端若勾选了“通信稳定性优化”功能,会报错。取消勾选后,可正常使用。
  4. 从StoneOS 5.5R9版本开始,SSL VPN不再支持通过RSA Server进行RSA SecurID Token认证的方式。当把系统从5.5R9之前的版本升级到5.5R9及后续版本时,请采用其他认证方式。

IPS特征库升级说明

从StoneOS 5.5R8P2版本开始,入侵防御特征库支持3.0版本,用户可根据需要升级到最新版本的IPS特征库,防护能力更强。设备上原有的2.0版本IPS特征库在系统升级后仍可使用。如需升级特征库,可在“系统 > 升级 >特征库升级”中在线升级或者离线下载3.0版本的入侵防御特征库进行升级。

QoS功能相关配置升级说明

从StoneOS 5.5R1版本开始,系统支持智能流量管理(iQoS)功能,且从5.5R2版本开始,iQoS功能自动开启。当把系统从已配置QoS功能的低版本升级到5.5R7及之后版本时,用户需使用exec iqos enable命令启用iQoS功能,iQoS功能仅支持CLI配置,系统会对QoS的配置保留,但配置不生效且不能被修改。当用户需使用QoS功能时,使用exec iqos disable命令禁用iQoS功能,系统会对iQoS配置保留并将保存的QoS配置重新生效。

从StoneOS 5.5R6版本开始,X平台支持通过IOM模块获取iQoS功能。通过IOM模块获取iQoS功能前,需确保系统已安装iQoS许可证。

链路负载均衡功能升级说明

从StoneOS 5.5R4版本开始,llb outbound相关命令不再支持,用新的命令llb rule替代,当把系统从5.5R4之前的版本升级到5.5R7版本及后续版本时,已有的配置信息会丢失,需要重新配置。

Web认证功能升级说明

从StoneOS 5.5R5版本开始,Web认证功能有所调整,当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,原先上传的定制文件(如Web认证背景图片、网页重定向提示页面背景图片)将丢失,需要重新定制。

IM审计功能升级说明

从StoneOS 5.5R5版本开始,IM审计功能重新调整。当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,IM审计相关的配置会丢失。建议:升级完成后,通过WebUI重新配置该功能。

文件过滤功能升级说明

从StoneOS 5.5R5版本开始,文件过滤功能重新调整。当把系统从5.5R5之前的版本升级到5.5R10及后续版本时,通过文件名称和文件大小进行文件过滤的相关配置会丢失。建议:重新配置该功能。

终端识别功能升级说明

从StoneOS 5.5R6版本开始,终端接入识别功能重新调整为共享接入功能,host share-access detect enable命令将不再支持。当把系统从5.5R6之前的版本升级到5.5R10及后续版本时,原先的配置将丢失,需要用户重新配置共享接入功能。

AD Agent相关配置升级说明

在StoneOS 5.5R10之前的版本上,在需要使用AD Agent软件获取用户信息时,系统支持通过SSO Monitor对接AD Agent软件,也支持在Active Directory服务器配置模式下配置AD服务监控功能。从StoneOS 5.5R10版本开始,AD服务监控功能与Active Directory服务器配置解耦,与SSO Monitor模块整合,StoneOS 5.5R10不再支持配置AD服务监控功能。在版本升级到StoneOS 5.5R10后,系统中已配置的AD服务监控功能会自动转换成SSO Monitor功能对接AD Agent软件配置。可通过show user-sso client sso-monitor profile-name查看配置,转换后的SSO Monitor Profile名称与AD服务器名称相同。

SSO Monitor相关配置升级说明

从StoneOS 5.5R10版本开始,SSO Monitor支持对接多个外部服务器实现冗余备份。在版本升级到StoneOS 5.5R10后,系统中已配置的SSO Monitor的host x.x.x.x会自动转换成host1 x.x.x.x配置。可通过show user-sso client sso-monitor profile-name查看配置。

在HA环境下升级

升级环境

HA组网环境中的升级拓扑,参考如下:

准备项目

序号 检查项目 详细信息
1 准备升级参考文档 升级过程需要参考的文档已经打印随身携带或存储在电脑中。
2 准备新版本系统软件 从山石网科取得升级需要的新版本。
3 查询当前软件版本 根据产品型号和软件版本及相关的注意事项,选择合适的升级方法。
4 检查设备运行状态
  • 确保主控板和业务板工作正常
  • 详细记录升级前后设备各槽位单板的运行状态,便于检查升级后设备运行状态和进行故障定位跟踪
5 搭建通过TFTP或FTP升级的环境 在如上升级环境拓扑的基础上搭建基于TFTP或FTP升级的环境。
6 备份配置文件 导出配置文件,如果新版本运行的配置与之前版本差异比较大,升级后需要对比配置文件,丢失的配置需要按照新版本的命令要求重新配置。

升级操作

建议不要跨越较多版本进行升级,推荐升级相临近版本。如果版本跨度较大,建议仔细对比升级前后的配置,具体方法参见检查配置是否恢复。如有需要,请咨询400-693-0555。

E/X系列平台从5.0相关版本升级到5.5R10及后续版本
  1. 升级前检查主备设备配置,保证升级前主备设备的启动配置文件的配置是相同的。
  2. 先移除设备B的业务线,再移除设备B的HA心跳线,使备份设备B下线。此时,用户的业务通过设备A转发。
  3. 关闭设备B的HA功能后,参照各平台升级注意事项,升级设备B到5.5R4最新的P版本。
  4. 设备B升级成功后,先连接设备B的HA心跳线,然后开启设备B的HA功能,与设备A进行HA协商。
  5. 等待协商、配置和会话同步完成后,连接设备B的业务线。此时,用户的业务仍然通过设备A转发。
  6. 手动进行HA主备切换,此时设备B成为主设备,用户的业务切换到设备B进行转发。
  7. 先移除设备A的业务线,再移除设备A的HA心跳线。
  8. 关闭设备A的HA功能后,升级设备A到5.5R4最新的P版本,成功升级设备A后,继续升级设备A到5.5R10或后续版本。
  9. 设备A升级后进行重启,重启成功后,设备A为5.5R10或后续版本。
  10. 连接设备A的HA心跳线,然后开启设备A的HA功能,与设备B进行HA协商。
  11. 等待协商、配置和会话同步完成后,连接设备A的业务线。
  12. 可手动进行HA切换,使设备B成为备份设备。此时,用户的业务由设备A进行转发。
  13. 先移除设备B上的业务线,再移除设备B的HA心跳线。
  14. 关闭设备B的HA功能后,升级设备B到5.5R10或后续版本,升级成功后重启设备B。
  15. 设备B升级成功后,连接设备B的HA心跳线,然后开启设备B的HA功能,与设备A进行HA协商。
  16. 等待协商、配置和会话同步完成后,连接设备B的业务线。
  17. 升级完成。
A/E/X/K系列平台从5.5相关版本升级到5.5R10及后续版本
升级前准备
  1. 将设备A和设备B当前的配置备份至本地。
  2. 检查主备设备的配置,保证升级前主备设备的配置一致。
  3. 确保当前业务处于正常状态。
  4. 将5.510版本的系统文件分别导入至设备A和设备B。
  5. 若设备启用了抢占模式,请先关闭,待全部升级完成后再开启;若绑定了HA组的监测对象,请先取消绑定,待全部升级完成后再恢复。
设备B升级
  1. 先移除设备B的业务线、再移除其HA心跳线,将设备B脱网。
  2. 在设备B上执行save命令,保存配置后,重启设备B,进行升级。重启成功后,检查设备B的版本、HA相关配置是否正确。
  3. 导出设备B的配置,并与升级前的配置进行对比,查看配置是否有丢失等异常。
  4. 分别在设备B和设备A上执行show ha group config命令查看设备A和设备B的priority值,确保设备A的priority值小于设备B,即设备A的优先级高于设备B。若出现设备A的priority值大于设备B的情况,修改设备B的priority值,使其大于设备A的priority值。
  5. 先连接设备B的HA心跳线,等待设备B和设备A的主备协商成功,即设备A为主设备;再连接设备B的业务线。
HA同步及主备切换
  1. 在主设备A上执行exec ha sync all命令,手动同步设备A和设备B的配置。
  2. 在主设备A上分别执行show arpshow session generic等命令,检查ARP表和会话信息等相关信息是否同步完成。
  3. 在主设备A上执行show logging alarm命令,确认提示信息“Admin batch synchronization of HA group 0 has completed.”出现,表示配置同步完成。
  4. 在主设备A上执行exec ha master switch-over命令,手动进行主备切换。切换成功后,设备B变为主设备。
设备A升级
  1. 先移除设备A的业务线、再移除其HA心跳线,将设备A脱网。此时,确认设备B上的用户业务是否正常。
  2. 在设备A上执行save命令,保存配置后,重启设备A,进行升级。重启成功后,检查设备A的版本、HA相关配置是否正确。
  3. 导出设备A的配置,并与升级前的配置进行对比,查看配置是否有丢失等异常。
  4. 分别在设备A和设备B上执行show ha group config命令查看设备A和设备B的priority值,确保设备A的priority值大于设备B,即设备A的优先级低于设备B。
  5. 先连接设备A的HA心跳线,等待设备A和设备B的主备协商成功,即设备B为主设备;再连接设备A的业务线。
HA同步
  1. 在设备B上执行exec ha sync all命令,手动同步设备A和设备B的配置。
  2. 在设备B上分别执行show arpshow session generic等命令,检查ARP表和会话信息等相关信息是否同步完成。
  3. 在设备B上执行show logging alarm命令,确认提示信息“Admin batch synchronization of HA group 0 has completed.”出现,表示配置同步完成。
完成升级
  1. (可选)在设备B上执行exec ha master switch-over命令,手动进行主备切换,重新将设备A变为主设备。
  2. 升级完成。

升级验证

A/E/X/K系列平台升级验证

升级完成后,通过show version命令来验证系统是否已经成功升级到新版本。

检查配置是否恢复

升级完成后,再次导出当前配置文件,与升级前备份的配置文件进行对比,看配置是否有丢失,如果有丢失,请确认是否新版本该配置命令发生了变化,如果有变化需要按照新的命令重新配置。

验证基本业务

升级完成后,做一些基本业务的验证,检查是否能正常工作。