上次就H3C防火墙特征库升级的排查做了简单介绍。后来我觉得有必要把一些相关事项做一下说明,如果大家还没搞懂授权有哪些、要怎么用等常见问题还没搞懂,也是不太方便。
所以本文主要就H3C防火墙的授权类型、产品分类及激活文件等信息做个简单介绍,希望对大家能有所帮助。
H3C防火墙License可以分为功能类授权(如SLB,没有授权防火墙无法配置服务器负载均衡SLB)、扩展类授权(如SSL VPN用户授权,设备默认自带15个并发连接用户授权,超过此数量时需要注册License进行扩容,否则用户无法上线)、特征库授权(如IPS特征库授权,设备自带IPS功能及基础特征库可用,如需更新特征库则需要注册相关License)。详细对应关系如下:
可以在防火墙"升级中心"→"特征库升级"中,查看特征库信息并执行升级操作。
以常见的F1000系列防火墙为例,因产品型号众多,授权书分类上存在细微差异。主要分类如下:
1、F1000系列,此类License为标准的防火墙License授权,主要面向F1060、F1070和F1080中高端设备,无特殊描述后缀描述的License均可使用;
2、F1000 Standard系列,此类License主要为相对低性能的产品使用,主要包括F1020、F1030、F1050,F1005和F1010属于低端产品,一般不涉及使用License,如果有用到,也使用此类License。涉及区别特征:IPS和AV,只能使用IPS和AV带Standard的License;
3、F1000-AK系列,此类License对应F1000-AK系列产品,区别于F10X0;
4、F100G2和F1000G2系列,此类License适用于G2系列防火墙部分特性授权,为分销类产品,区别于行业销售产品F10X0系列。
综上所述,授权的区分主要在各种型号防火墙的授权是否通用。不过一般最终用户是涉及不到这些问题的,如果不遇到了,那八成是销售搞错了。
当激活License时,一般都会通过display License device-id命令来查看did文件的存储位置。但是,这条命令只是查看did文件的存储路径,而不能生成did文件。也就是说,display License device-id只是把文件路径显示出来,而不会判断该文件是否真实存在;如果did文件被删除了,那按照这个路径去查找,就找不到了。
这个时候,需要重新生成一下did文件,用到如下命令:
【使用指导】
License存储区空间是有限的。执行该命令后,系统会自动判断各License的状态,将过期和卸载的License以及相关数据删除。从而释放空间,以便用户安装新的License。
需要注意的是,请在执行该命令前,保存各卸载License的卸载码。因为执行该命令后,卸载码会被删除。
上面只是字面上的理解,实际还有一个附加效果(英文提示中有):如果did文件不存在,则会生成一个新的did文件,这样就有did文件可以传了。经测试可以生成did文件。
所以did文件有两种生成方式:
1、通过上述命令License compress slot 1来生成,但是如果多次删除,概率性出现通过命令无法生成的情况;
2、did文件被删除之后,通过重启设备也可以重新生成新的did文件。经确认,did文件生成时间为设备启动时间。
所以,无论是通过系统重启还是通过命令行重新生成的did文件,所有的文件内容完全一致,不会发生变化。所以在遇到did文件丢失的情况时,可以先通过命令行进行重新生成,如果生成失败则需要通过重启设备解决。
V7的防火墙产品支持特性比较多,对应的License种类也就比较多,但是注册的时候却存在只能使用一个ak激活文件的限制,相关介绍说明如下:
1、V7防火墙产品不可以重复激活License,效果不叠加,目的是避免用户激活多个相同的临时License使用,而非购买使用;
2、V7防火墙的License产品中非合一的License是可以使用卸载码迁移,具体请参考技术公告(2016-012号,主要涉及老版本);新版本的合一License不可以使用卸载码自行卸载,激活之后如需变更只能通过联系办事处接口人或者联系400工程师处理;
3、激活文件只能安装一个,举个例子:
设备上之前激活并安装了IPS的License,还在有效期内,现在要添加ACG的License,扩容激活时如果没有添加之前IPS的授权码,那么安装激活文件之后,就只能使用ACG的授权,而不再支持IPS。原因是:首次激活或者扩容时需要将需要激活的授权码全部添加,对于不添加的,视为无需使用,即使是之前已经激活、安装而且还有效的。
经过测试,再次选择扩容激活,将所有的授权码信息全部添加并激活,安装成功之后,所有授权都是可用状态了。对于有多个类别授权码的情况,在一台设备上激活之后,可以自行搭配、自由组合,有效期内可以重复激活正常使用。但是,不可以更换设备,如更换则需要特殊申请;对于激活时没有添加的授权码,视为放弃使用。所以保存授权信息还是很重要的。
总结:
1、多个临时授权需要同时注册。例如分别注册IPS/AV/ACG的临时授权,则最后仅显示ACG授权注册成功;
2、相同特性的临时授权不叠加。只有激活同一特性的正式授权才会触发叠加功能,统一特性的临时授权以最晚的终止时间为期限生成激活文件;
3、同一特性的正式授权和临时授权无法叠加。同一特性若先注册临时License再注册正式License,正式License会覆盖临时License;若先注册正式License再注册临时License,则临时License无法注册。
一般激活文件是以.ak结尾的文件,正常会要求注册用户提供邮箱地址,系统以附件形式发送到指定邮箱,用户下载使用。这算得上是最稳妥的方法,建议大家使用。用户获取到激活文件之后请妥善保存并备份,以免不慎丢失。
当然激活完成后在浏览器中也会有下载链接可以直接下载,但是可能会存在因为浏览器兼容问题或其他问题导致下载后文件名称为乱码或其他不正确的格式。一般来讲,是不建议使用这类文件的,因为文件可能损坏。同时建议不要打开DID文件和激活文件,因为打开工具不同,如果不慎操作了修改或保存等,可能会影响文件的格式,导致文件无效。
官方建议不要修改DID文件和激活文件的名称,以免影响授权。但是如果不方便接受邮件或者无法上传,可以通过修改激活文件的名称与提示文件一致来使用;如果设备仅使用了一个激活文件,也可以试一下直接注册,我只能说我还没有失败过,剩下的就看人品吧!