建议增加集中式存储CLI清除告警的命令产品行业: 数字金融军团(L1)-金融-其他(L2) 产品型号: OceanStor 18800 背景叙述: 客户现网存储经常会有告警信息,这些告警信息无法修复,经常会发出告警信息,收到重复的告警信息。 产品问题: 客户现网存储经常会有告警信息,这些告警信息无法修复,经常会发出告警信息,收到重复的告警信息,现有的存储命令没有清除已知告警的命令。 产品建议: 新增CLI告警清除优化需求,方便定期进行存储告警测试,确保存储告警功能正常。DDOS支持指纹功能支持IPV4 TCP IPV6TCP指纹防护产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: AntiDDoS1900 背景叙述: 支持外接专用Bypass设备。直路部署场景中,当AntiDDoS设备发生故障时,流量可以通过Bypass设备进行转发,保证业务不间断。支持Link-Group功能。旁路部署场景中,可以将引流接口和回注接口绑定Link-Group,增强链路可靠性。根据会话表进行流量转发。当会话表建满后,直接转发报文,保证大流量攻击时业务不间断。用户是游戏公司遭受大量的DDOS攻击 ,现在已经开启流量检测和清洗。 产品问题: 数据包的网络层、传输层中有很多字段,包括报文长度、TTL、源目的端口等信息,甚至包括数据段的一些信息,在不同的网络中,都是具有自己的统计特征的,这些信息就是指纹。指纹识别防护的基本思想在于根据正常网络流量的指纹建立防护模型,当网络异常的时候,提取出异常指纹和防护模型进行对比,对超过防护模型的数据包进行过滤。若防护设备后只有一部分目的IP 需要防护,可以先配置防护目标,然后在指纹防护配置中,选泽,自定义配置的防护目标,流量流经Guard 时就会根据目的IP 来判断是否进入防护流程,这样即可以减轻防护装置的防护压力,同时能很好的避免对正常访问的报文造成误杀的可能。目前不支持此功能。 产品建议: 建议增加指纹防护功能,可以通过选择特征来进行配置。 特征 1:从常用特征类型中选择,或自定义偏移和长度。默认为“无”。 特征 2:从常用特征类型中选择,或自定义偏移和长度。默认为“无”。 特征 3:从常用特征类型中选择,或自定义偏移和长度。默认为“无”。 阈值:设置防护阈值,单位 PPS,当前面四个条件的流量每秒速率超出阈值后会触发后面的防护动作。 动作:选择策略动作,动作选项有观察,限速和阻断。S8700框式交换机支持双主控主主工作产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: CloudEngine S8700-6 背景叙述: CloudEngine S8700智能路由交换机华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供VPN、业务流分析、完善的QoS策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强扩展性和可靠性。用户的网络可靠性高,负责整个市的业务的转发,所以需要使用主备,随着业务的增加,设备性能已经不能够使用,现在使用的是双主控,日志里只提示MPU性能不足,由日志分析就是业务量大性能不够,使用CPU达到99%. 产品问题: 用户的网络可靠性高,负责整个市的业务的转发,所以需要使用主备,随着业务的增加,设备性能已经不能够使用,现在使用的是双主控,日志里只提示MPU性能不足,由日志分析就是业务量大性能不够,使用CPU达到99%.造成业务时断时续,现在的双主控就是只能进行主备工作,不能形成主主或者是集群模式,由于用户的资金有现,不能进行设备升级,所以需要双主控同时工作才可以缓解目前问题、。 产品建议: 建议双主控设备可以进行主主工作,或者是集群模式,这样可以更好的进行数据处理,避免性能浪费。防火墙TCP半连接状态产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 用户网络改造,内网有OA办公设备,为了进行防护,购买了安全设备进行防护。 产品问题: 用户购买了防火墙部署了防火墙用于安全防护,现在发现在使用中有些TCP连接断了之后处于半关闭状态,不是全部释放的这样就占用了连接数和并发连接,造成拥堵网络卡顿情况。最好是可以进行断开直接释放,或者是进行监测或者是加个周期为更好一些。 产品建议: 建议后续版本规划:系统链接跟踪优化:解决TCP链接处于半关闭状态下,链接跟踪提前释放,导致应用控制功能出现误判问题。最好是关闭后直接释放。关于EA5800查看接口状态命令优化产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: SmartAX EA5800 背景叙述: EA5800设备没有相关命令直接查看所有槽位下的接口状态信息,流量信息等等;是否可以增加一条类似路由交换的display interface brif的命令? 产品问题: EA5800设备没有相关命令直接查看所有槽位下的接口状态信息,流量信息等等; 产品建议: 是否可以增加一条类似路由交换的display interface brif的命令?WLAN AC 查看端口状态和流量信息命令优化建议产品行业: 公共事业军团(L1)-教育(L2) 产品型号: AC6805 背景叙述: 新建楼宇无线安装上线后,批量查询端口速率及丢包情况。 产品问题: 使用display ap port 查询端口状态时,回显内容只显示AP编号,不显示AP名称或组名称,无法通过include等命令匹配批量匹配AP,也无法通过AP组匹配。如果查询某一批编号靠后的AP,还要按顺序把前面的无关的AP显示完了才能看到。 产品建议: 回显内容加入AP名称。可以使用include匹配名称,可以按组查询。防火墙部署后支持传输协议和端口自适应灵活切换产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 企业出差员工,需要在外地远程办公,并期望能够随时随地的远程访问企业内部资源。同时,企业为了保证内网资源的安全性,希望能对移动办公用户进行多种形式的身份认证,并对移动办公用户可访问内网资源的权限做精细化控制。IPSec、L2TP等先期出现的VPN技术虽然可以支持远程接入这个应用场景,但这些VPN技术的组网不灵活;无法对移动办公用户的访问权限做精细化控制。SSL VPN作为新型的轻量级远程接入方案,可以有效地解决上述问题,保证移动办公用户能够在企业外部安全、高效的访问企业内部的网络资源。 产品问题: 用户购买了防火墙部署了SSL VPN,用于员工出差访问公司内网使用,现在访问的时候,偶尔断网或者是连接不上,后续诊断为运营商给一些端口给封掉了,现在不能根据端口进行灵活的切换,只能手动更改,这个比较繁琐。 产品建议: 建议后续版本规划:传输协议和端口自适应灵活切换,优化运营商协议和端口封堵导致网络体验不佳的问题。防火墙部署SD WAN 智能应用选路功能产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 随着业务的不断发展,企业通常会在网络出口部署多条链路,以此提高出口链路的带宽和可靠性。这样做虽然在一定程度上达到了预期效果,但是由于出口设备在转发流量时一般是随机选择一条链路转发流量,并不考虑各条链路的实际带宽或链路的实时状态,因此在实际应用中会存在如下问题:如果各条链路的带宽不等,则很可能出现某些带宽大的链路空闲、某些带宽小的链路拥塞的情况,从而造成链路资源的浪费。由于不同ISP链路的传输质量和服务费用不同,有时用户希望优先保证业务的传输质量,有时希望优先使用费用较低的链路,而平分流量是无法实现这些需求的。当出口设备与目的设备之间的链路出现故障或者目的设备上的服务不可用时,如果流量被转发到相应的链路上,则将造成访问失败。通过部署智能选路功能可以解决上述问题。设备通过不同的智能选路方式,选择最优链路,并根据各链路实时状态动态调整分配结果,以此提高链路资源的利用率和用户体验。 产品问题: 用户购买了防火墙部署了SDWAN,现在只能根据路由选路,根据应用的智能选路用不了,在使用上选路式太少,应该根据应用也可以选路,也不支持可视化的效果。 产品建议: 建议后续版本规划:增 加BEST 智能应用选路功能,为客户提供多种选路模式和可视化效果,解决不同关键应用流量在多线路的调度问题。华为手机产品行业: 其他(L1)-其他(L2) 产品型号: Mate60 Pro-NormalS_TD 背景叙述: 产品问题: 产品建议:防火墙双机切换IPSEC VPN断网产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: IPsec多实例主要用于向企业提供VPN租赁业务或实现企业内部网络隔离。三个小企业的总部共用一台IPsec网关。三个企业的网络之间需要保证完全隔离,彼此之间不会产生影响。三个企业总部内部网络的IP地址是各自规划的,可能出现IP地址重叠(即不同私网中使用相同的IP地址)的情况,此时需要在设备上应用IPsec多实例功能,将三个企业的IPsec隧道与三个VPN实例绑定,保证相同IP地址的报文能够正确转发到对应的企业网络中。 产品问题: 在公司部总部部署了两台防火墙,组成的双机,提供可靠性,现在部署了IPSEC VPN ,部署后双机切换后,VPN 会断,需要手动调整一下才可以,这样就造成了访问业务会掉网。 产品建议: 建议增加双机心跳稳定性与可靠性、改进双机配置同步稳定性、支持双机切换后IPSecVPN不断网;防火墙支持和EDR终端进行联动产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 用户购买了防火墙和和EDR进行安全防火,防护终端和边界安全。 产品问题: 用户购买了防火墙用和EDR的产品,现在防火墙不能和EDR设备进行联动,而且在DHCP场景下IP持续变换后找不到失陷主机,不能根据不同的主机进行下一步的安全防范,容易造成终端威胁,不能进行整体防护,不能形成联动。 产品建议: 建议后续版本规划:支持通过支持和EDR终端进行联动,DHCP场景下IP持续变换,能准确定位到具体的失陷主机,以便根据不同的主机(主管、普通员工)安排下一步的处置计划,可以对目的恶意域名和恶意ip进行遏制。防火墙优化模块与系统内存使用产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 企业通常员工人数众多、业务复杂,极易成为各类网络威胁的攻击目标。因此需要边界设备具备强大的威胁检测与防御能力,能够在持续大流量环境下稳定运行。USG6000F-S系列防火墙可以作为企业的出口网关,对企业及其分支机构的网络边界进行安全防护。 产品问题: 现在用的是红衫系统,在使用的过程中,策略过多导致系统内存不足,造成系统模块会占用很大的系统内存,导致系统死机。而且在协议协议中不支持TCPDUMP参数,在数据转发中丢包统计是没有的,对于packet-trace也是没有的。这样容易引起系统死机和数据转包统计也是不能进行分析的。 产品建议: 建议后续版本规划:优化模块与系统内存使用,缓解目前新构架版本,低端型号内存不足的问题;补充tcpdump各参数支持、数据转发中丢包统计、packet-trace支持等运维改性改进;防火墙用户现网有个域名进行安全防护产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: USG6615F 背景叙述: 用户购买安全设备进行边界防护对于域名进行安全。 产品问题: 用户现网有个域名进行安全防护,现在不对域名进行对象管理,像新增、删除、查看功能也都没有,而且用ACL策略的时候只能针对于IP不能对IP进行管理。不能进行更好的防护。 产品建议: 建议增加两点:A 针对域名进行对象管理,可以域名对象进行新增、删除、编辑、查看、导入与导出等管理; B 基于域名对象,进行安全控制(ACL控制)fusionaccess 部署建议产品行业: 制造与大企业军团(L1)-制造与大企业-其他(L2) 产品型号: FusionAccess 背景叙述: fusionaccess 8.0.3.spc3部署。最新版本FA部署还是需要先部署基座版本,再部署补丁版本。耽误工期时间,需要准备软件包也多。部署过程人工干预流程多。易错性高。在面临一个局点多套环境同工期部署,人力投入加大,工期也相对较长 产品问题: 1.目前新版本依然无法支持基座版本与补丁版本一键式部署,升级。部署环节人工手动涉入步骤较多,易错性也较大。2.对于平台命名规则相对不够自由,部分不满足情况需要先创建平台符合规则的命名再到ITA数据库修改。3.FA目前默认并发16个桌面。不可以在平台UI页面自定义。当环境FC节点数,性能满足情况下,需要短期发放大批量桌面耗时较大。发放周期慢。希望能在UI面管理员自定义设置,而不需要联系ATC手动在ITA脚本修改参数。 产品建议: 1.希望后期版本能够有工具支持基座版本与补丁版本一键式升级,or部署2.希望后期版本能够优化命名规则,支持更多特殊符号及特殊符号结尾。3.希望后期版本能够支持在web界面管理员自定义并发数,用于快速发放桌面。关于SCC SVI相关优化建议产品行业: 其他(L1)-其他(L2) 产品型号: SCC 背景叙述: 目前SCC SVI 25.3版本新增"OMU IP别名"功能,默认显示网元OMU浮动地址,需要通过"IP别名配置"去设置OMU地址对应的网元名称,才能让"OMU IP别名"显示网元名称。因SVI工具与网元采用V6地址对接,就涉及一个问题,SVI平台不能识别:2409:8043:5a06:5200::xxxx:xxxx与2409:8043:5a06:5200:0:0:xxxx:xxxx的区别,即::与0:0,经测试,"OMU IP别名"的地址来源“CGPOMU信息配置",但是却不采用其网元名称,默认显示OMU地址。附件就是V6地址无法区分 :: 与 0:0,导致"IP别名配置"已配置,但是"OMU IP别名"无法显示网元名称 产品问题: 目前SVI 25.3版本新增"OMU IP别名"功能,默认显示网元OMU浮动地址,需要通过"IP别名配置"去设置OMU地址对应的网元名称,才能让"OMU IP别名"显示网元名称。因SVI工具与网元采用V6地址对接,就涉及一个问题,SVI平台不能识别:2409:8043:5a06:5200::xxxx:xxxx与2409:8043:5a06:5200:0:0:xxxx:xxxx的区别,即::与0:0,经测试,"OMU IP别名"的地址来源“CGPOMU信息配置",但是却不采用其网元名称,默认显示OMU地址。附件就是V6地址无法区分 :: 与 0:0,导致"IP别名配置"已配置,但是"OMU IP别名"无法显示网元名称 产品建议: 优化建议:a.既然“CGPOMU信息配置"中已有OMU浮动地址对应网元名称,那"OMU IP别名"就可以从CGPOMU信息配置"中根据地址采集对应网元名称来显示。b.可能存在网元对接SVI时网元名称太长等其他原因需要修改"OMU IP别名"显示的网元名称,那就可以通过"IP别名配置"去设置OMU地址对应的网元名称。综上两种情况可以结合起来,"OMU IP别名"优先显示"IP别名配置"中设置的网元名称,如果OMU地址匹配无记录,则默认显示“CGPOMU信息配置"中的网元名称。