NEOSIGHT 不支持安全等或者是加密类型选择的设置产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: iMaster NeoSight 背景叙述: 用户购买了无线及NEO SIGHT网管进行办公区无线覆盖。 产品问题: 用户购买了无线及NEO SIGHT网管进行办公区无线覆盖。现在用户的加密类型太高了,导致很多终终端验证失败或者是时间较长,现在要更改加密类型只能在AC上更改这样太麻烦了,而且要求也比较专业,对用户技术要求也高 产品建议: 建议后续版本规划:可以在网管上直接更改加密类型、SSID名称等功能这样使用方便。NEOSIGHT 没有WIFI调整设置产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: iMaster NeoSight 背景叙述: 用户购买了无线及NEO SIGHT网管进行办公区无线覆盖。 产品问题: 用户购买了无线及NEO SIGHT网管进行办公区无线覆盖。现在在网管上只能管理AP的接口和性能,却不能更改配置后AP生效的范围或者是AP的WIFI 标准,现在很多设备还是WIFI6或者是WIFI7的,有兼容的问题需要进行手动调整。 产品建议: 建议后续版本规划:可以直接选择设备的生效范围及WIFI的标准。这样在维护使用上会更加方便。SMC3.0 API 建议产品行业: 其他(L1)-其他(L2) 产品型号: SMC V3.0 背景叙述: 现场项目中,API鉴权后,在同一段时间内多次并发调用多个SMC3.0 查询会议里的会场列表 的接口,其中一个接口超时了,其他都正常响应返回数据,想要定位下这接口为什么超时了。向华为工程师反馈后,他们根据时间查看到对应的接口调用,那段时间内的接口都正常返回数据了,没法看出哪个接口对应我这超时的接口。 产品问题: 华为工程师查看那段时间内的接口都正常返回数据 我想要知道具体是里面的哪一个API接口是我这超时的接口。 产品建议: 建议每次调用API的时候,在https的header里增加个可选填的参数UUID,里面填写32或64位的随机数,相应的SMC3.0日志里也打印对应的收到的api接口调用和对应的header里的这参数。这样在同一时间断内一大串接口调用里就能定位到是哪一个的API出现问题了。关于政府分时访问需求产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: iMaster NCE-Campus 背景叙述: 关于政府分时访问,以及一机两用目前正对淄博市电子政务外网网络改造进行方案建设,客户提出了分时访问(一机两用)的相关需求,我查阅相关内容给客户推送零信任解决方案,但是客户反馈我们和友商都在推送零信任解决方案,并提出了零信任有几个致命缺点;1、 零信任相当于一中内网VPN,所以如果覆盖全市范围政务外网用户,需要零信任设备(我们是防火墙)有足够大的容量和转发能力2、 需要在认证设备上安装相关客户端,由于大数据局维护人员很少,切政府负责工作划分原因,大数据局不会考虑往PC上安装任何插件(安装后会有其他麻烦,如PC D盘打不开会考虑是不是安装的软件影响的)3、 可能会存在单点故障,如果只有一台零信任接入网关情况,毕竟一台高容量防火墙到客户手里不便宜目前客户的网络情况如下图所示 产品问题: 1、 零信任相当于一中内网VPN,所以如果覆盖全市范围政务外网用户,需要零信任设备(我们是防火墙)有足够大的容量和转发能力2、 需要在认证设备上安装相关客户端,由于大数据局维护人员很少,切政府负责工作划分原因,大数据局不会考虑往PC上安装任何插件(安装后会有其他麻烦,如PC D盘打不开会考虑是不是安装的软件影响的)3、 可能会存在单点故障,如果只有一台零信任接入网关情况,毕竟一台高容量防火墙到客户手里不便宜POC测试情况2025年8月份针对分时访问进行测试,更换接入路由器,部署iMaster NCE-Campus认证软件,在政务外网线路接口和互联网线路接口进行认证,如图所示实现目标:客户开机后可以直接上电子政务外网,如需上互联网,需要进行PORTAL认证,认证通过后下发ACL3001禁用电子政务外网,只能上互联网。关闭portal认证页面后,可以访问电子政务外网,不能访问互联网。配置过程如下:1、 开启PORTAL认证2、 配置free模版到政务外网放通,到DNS放通。3、 配置ACL3001,ACL到政务外网禁止,到互联网放通4、 在上联接口上启用认证(电子政务外网和互联网接口)5、 软件部分,配置认证相关,认证过后下发ACL3001测试结果:测试失败,因为free模版优先级最高,及时认证过后下发ACL,认证接入点设备也会优先查看FREE模版,free模版匹配后就通过,不查看ACL。 产品建议: 客户需求方案一:可修改FREE放通模版级别,认证过后free模版调整为最低级别,优先执行ACL和其他控制命令。方案二:增加iMaster NCE-Campus软件功能,接入点free模版只放通到DNS和iMaster NCE-Campus服务器,通过认证后弹出相关选择,如接入电子政务外网和接入互联网,点击相应图标后下发不同ACL条目。如下图所示(感觉本需求可能更好实现,只需要iMaster NCE-Campus实现)关于MAE Access中“全网端到端信令跟踪”相关优化建议产品行业: 其他(L1)-其他(L2) 产品型号: MAE-Access 背景叙述: 一线日常运维,经常使用大区U2020进行端到端信令跟踪,在创建信令跟踪任务后通过观察任务状态,判断任务创建成功与否,然后进行拨测,跟踪信令 产品问题: 现网大区U2020(MAE Access: V100R025C10SPC180),全网端到端信令跟踪,当创建信令跟踪任务后,刚开始任务状态显示“运行”,然而实际跟踪的网元还存在部分未连接状态,导致运维人员仅通过任务状态无法判断跟踪的网元是否已连接,就需要打开任务看详细(实际当任务创建一段时间后如果跟踪的网元有部分未连接才会提示)。这一点就没有传统U2000的好,传统U2000,在创建信令跟踪后,如果任务中被跟踪的网元未全部连接态时,任务状态会显示“部分运行”,这样就会提醒运维人员点开查看哪个网元未连接上,当信令跟踪任务中跟踪的网元全部连接后,跟踪任务状态就会显示“运行”,这样直接通过观察任务状态就可以判断跟踪的网元连接状态。上述场景是创建信令跟踪任务开始到任务正常的过程,非任务正常后中途某网元异常的场景。 产品建议: 建议大区U2020(MAE Access: V100R025C10SPC180),全网端到端信令跟踪,当创建跟踪任务后,任务状态:由“初始化”到(跟踪的网元一一连接过程)“部分运行”,直到所有网元连接上变成“运行”。关于MAE Access中“网络信息收集”优化建议产品行业: 其他(L1)-其他(L2) 产品型号: MAE-Access 背景叙述: 一线运维经常使用大区U2020进行网元的信息收集,比如“云巡检场景”等场景,现行网络安全规范要求春节,中秋网元巡检信息收集需要安排在话务低峰期期,一般是凌晨收集,因此一线经常白天在U2020上设置定时任务,让任务在凌晨时间点执行。巡检信息收集中有可能还会涉及高危指令,因此只能凌晨时间创后执行。 产品问题: 目前现网大区U2020(MAE Access: V100R025C10SPC180),网络信息收集,设置定时任务并发跑只支持5个好像,如果超过5个则需要排队,等前面跑完了才可以执行,这样就存在一个问题,设置一个定时信息收集任务,还涉及高危指令,因定时任务较多,本来定时凌晨运行的任务,排队到上午白天才开始跑。这样就触发了集团“非割接时段高危动网预警”监控通报(真实发生的事件)。万一定时任务收集会导致网元CPU或者网元负荷升高,只能凌晨执行,因排队排到白天才收集,这样就存在网络风险,毕竟大区U2020不是单一省份使用,所以不清楚有多少排队的任务,即使知道也无法估计前面的任务需要多久才跑完。 产品建议: 针对上述问题建议优化措施:针对网络信息收集中定时任务,在创建收集任务时,选择定时任务时,弹出任务执行时间窗限制,即该定时任务只能在哪个时间段内收集,超过这个时间窗口,任务直接终止或者暂停,然后人为干预才能继续。DDOS 支持连接数限制产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: AntiDDoS1900 背景叙述: 产品问题: 在网络中DDOS就是占用连接数,占满了就会导致网络中断,现在只能检测流量,对于DDOS 的连接限制 没有,也就是对连接数的安全防护是没有的。 产品建议: 建议增加对DDOS连接数进行防护 ,DDOS 连接数限制是指对于指定流量按照每源 IP 维度进行限制其新建及并发。支持自定义防护对象,支持用户配置统计周期。ddos 设备支持网络行为管理产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: AntiDDoS1900 背景叙述: 传统DDoS攻击主要以Flood型流量攻击为主,更多是针对运营商网络和基础设施。现如今,DDoS攻击则越来越多是针对具体的应用和业务场景,如:企业门户应用、在线购物、在线视频、在线游戏、DNS、Email等。相较过去,DDoS攻击的目标更加广泛,例如:数据中心(IDC)的一个业务子系统遭受DDoS攻击,攻击流量会迅速挤占整个IDC带宽资源,进而影响其他租户业务的正常运行。持续的DDoS攻击会导致租户流失、竞争力下降、运营成本增加、收益下降等一系列严重问题。同时,DDoS攻击行为也更加仿真和复杂,这使得DDoS攻击检测和防御变得更加困难。 产品问题: DDOS设备只能防护异常流量给异常的流量进行发送日志,但是对于不同的用户,用户选择不同的攻击类型,并为此种攻击类型选择防护动作以及是否发送日志这个是没有的,很多时候用户被攻击后也会发起DDOS攻击 ,所以也是需要日志的。 产品建议: 建议增加用户选择不同的攻击类型,并为此种攻击类型选择防护动作以及是否发送日志功能,这样对用户也有一个安全防护,可以更好的进行定位 。发送日志条数间隔:设置发送日志条数间隔。例如:每隔 1000 条发送一次日志。注意:如果同时选择发送日志时间间隔和发送日志条数间隔选项,那么只要满足其中一个选项就会发送日志。 攻击类型:显示攻击类型。 阈值:设置该攻击类型的防护阈值。 动作:选择攻击防护动作,可选择阻断或者发日志。 攻击次数:显示此种攻击类型的命中次数。 清空计数:清空攻击次数数值。ddos 设备支持SYN IPV6 FLOOD 防护产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: Secospace AntiDDoS1500 背景叙述: 支持外接专用Bypass设备。直路部署场景中,当AntiDDoS设备发生故障时,流量可以通过Bypass设备进行转发,保证业务不间断。支持Link-Group功能。旁路部署场景中,可以将引流接口和回注接口绑定Link-Group,增强链路可靠性。根据会话表进行流量转发。当会话表建满后,直接转发报文,保证大流量攻击时业务不间断。 产品问题: SYN Flood 防护模块提供了设置 SYN Flood 攻击防护阈值的功能。SYN Flood 攻击是一种利用TCP 协议的缺陷,通过发送大量的伪造的TCP 连接请求,来使攻击目标的资源耗尽的攻击方式。Guard 作为代理服务器,模拟服务器端回复错误的 cookie 值。正常客户端会回复 RST 报文,攻击流则不会回复。这样便可把回复正确 RST 报文的客户端 IP 加入白名单。以此保证正常流可问服务器,并阻止攻击流通过。对于正常防护,在 SYN 老化链表清空的瞬间,会重新建立白名单,每次透传,都会遍历白名单,会出现建立连接延迟缓慢的迹象,未发现攻击建议不开启。现在是不支持SYN IPV6 FLOOD防护。 产品建议: 建议支持SYN IPV6 FLOOD对IPv6 SYN Flood 防护的防护对象进行防护。ddos设备支持会议数限制 日志发送产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: AntiDDoS1900 背景叙述: 基于多年来对客户需求的深刻理解和网络安全方面的专业研究,华为公司推出了“AntiDDoS解决方案”,面向运营商、企业、数据中心、门户网站、在线游戏、在线视频、DNS域名服务等场景提供专业的DDoS攻击防护。华为AntiDDoS解决方案在防护传统流量型DDoS攻击的基础上,重点加强了对应用层攻击的防护,此外,还提供完善的IPv4-IPv6双栈防护功能,真正保护用户业务安全。 产品问题: 现在设备可以进行针对源 IP 地址,对会话数进行限制。会话数限制 可以防止避免过多会议导致风络中断,现在限制后却看不到日志,看不到哪些IP进行大量访问,看不到会话日志就不参进行安全策略限制。 产品建议: 建议增加会话数限制:针对源 IP 地址,对会话数进行限制的会话日志。会话数限制日志配置的参数说明如下: 会话数限制日志:勾选可启用会话数限制日志功能。 日志留存方式:可选择本地或远程服务器。 日志源 IP:设置发送日志主机的地址。 日志源端口:设置发送日志主机的源端口号。 日志目的 IP:设置接收日志主机的目的 IP。 日志目的端口:设置接收日志主机的目的端口号。 日志发送上限:设置发送日志的上限数,例如:1000 条/每 5 分钟。关于USG系列新的license激活后填写单位信息的建议产品行业: 交通智慧化军团(L1)-水运(L2) 产品型号: USG6305E 背景叙述: 版本V600R007 产品问题: 因apt过期,重新续费license后,发现设备在线激活与ESDP激活有差异,且激活后单位名称信息必将显示。1.使用web登入USG在线联网激活授权,没有提示修改单位信息,重新登入后发现直接带入了一串数字(也不是ESN,盲猜是合同号)。2.使用ESDP在线激活,有提示填写“使用公司”,但没有提示用户,这个信息最后竟然会在设备管理界面显示(ESDP的手册也是老的,没更新)。 产品建议: 1.USG在web管理中进行在线联网激活的时候,应该给一个输入“使用公司”的窗口,防止带入一串数字;2.即使非要将“使用公司”显示出来,能否自定义把它挪动位置,放中间毫无意义啊。3.接龙建议2,能否在web管理界面里显示设备名称?便于用户有十几台USG的时候,打开界面就知道自己有没有开错设备。WEBMASTER 无线设置里不能选择射频产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: eSight Common 背景叙述: 用户购买了AP和交换机还有AR设备,进行办公区的覆盖,用于办公使用。 产品问题: 现在整体覆盖完,只能用2.4和5G覆盖, 不能进行选择5G优先或者是2.4优先,也不能选择只用其中一种覆盖,用户只想选择部分区分用5G优先覆盖,这样速度会更快一些,现在在AP组里只能选择默认两个整体进行覆盖。 产品建议: 建议可以增加选择用5G或者是2.4进行优先使用,或者是选择单独覆盖。这样满足不同场景的使用要求。WEB MASTER 支持管理光产品产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: eSight 背景叙述: WebMaster解决方案提供了本地化的网络管理方案,用户通过登录园区网络中的某一台设备即可实现整个园区网络的统一可视、可管与可控。WebMaster方案中,园区网络中的设备分为Leader和Member两种角色:● Leader:管理设备,也称LC(Local Controller,本地控制器),部署WebMaster的设备,提供对整网的自动化管理能力。一般部署在核心交换机或者网关设备上。● Member:被Leader管理的其他设备。WebMaster 的主要功能WebMaster解决方案针对中小园区和分支,提供了可视化、一键化、自动化3大功能。 产品问题: 现在用户购买了几个AP和有线交换机,现在需要进行升级,只能在升级里只能看到交换机,看不到AP,还需要进行单独进行选择升级,这个很不方便,应该在升级管理给所有的设备全都显示出来 。 产品建议: 建议增加在升级管理里显示所有设备。关于隧道删除的优化建议产品行业: ISP与互联网军团(L1)-通信(L2) 产品型号: Eudemon9000E-X 背景叙述: 1. 设备存在多条IPv4 over IPv6隧道指定相同的源接口。2. 设备不存在IPv6 over IPv4隧道指定步骤1中的源接口。3. 删除步骤1中一条IPv4 over IPv6隧道,再重新创建IPv4 over IPv6隧道并指定步骤1中的源接口。 产品问题: 删除IPv4 over IPv6隧道后再重新创建,隧道状态为Down。多条IPv4 over IPv6隧道指定相同源接口,删除一条隧道后,会误删除保存的源接口状态,导致后续新创建的IPv4 over IPv6隧道获取不到源接口状态,隧道状态为Down。 产品建议: 建议优化系统内部处理流程,在删除IPv4 over IPv6隧道时,如果有其他隧道和当前隧道的源接口相同,则不删除保存的源接口状态。避免后续新创建的IPv4 over IPv6隧道获取不到源接口状态,隧道状态为Down。WEBMASTER 升级管理不支持标签位置调整产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: eSight Network 背景叙述: 用户部署了交换机和AP,现在的交换机内包含了简单的网管功能,可以实现网络设备管理,方便用户进行运维。 产品问题: 现在在用户升级的时候,可以看到设备,但是在标签页面里第一更显示 的是MAC而还是设备的型号或者是设备的名称,这样看到MAC不知道是哪个设备不能分出来,是需要看设备的型号或者是名称来区分设备的,知道哪个是哪个型号,方便不同型号的升级,也是知道给哪个设备进行升级,现在只能单个的查找。 产品建议: 建议可以支持第一列显示设备的名称或者是型号,或者是可以自己选择第一列显示什么内容。