H3C防火墙授权相关问题 _H3C防火墙

上次就H3C防火墙特征库升级的排查做了简单介绍。后来我觉得有必要把一些相关事项做一下说明，如果大家还没搞懂授权有哪些、要怎么用等常见问题还没搞懂，也是不太方便。
所以本文主要就H3C防火墙的授权类型、产品分类及激活文件等信息做个简单介绍，希望对大家能有所帮助。
防火墙授权类型H3C防火墙License可以分为功能类授权（如SLB，没有授权防火墙无法配置服务器负载均衡SLB）、扩展类授权（如SSL VPN用户授权，设备默认自带15个并发连接用户授权，超过此数量时需要注册License进行扩容，否则用户无法上线）、特征库授权（如IPS特征库授权，设备自带IPS功能及基础特征库可用，如需更新特征库则需要注册相关License）。详细对应关系如下：

文章插图

可以在防火墙"升级中心"→"特征库升级"中，查看特征库信息并执行升级操作。

文章插图

授权版本以常见的F1000系列防火墙为例，因产品型号众多，授权书分类上存在细微差异。主要分类如下：
1、F1000系列，此类License为标准的防火墙License授权，主要面向F1060、F1070和F1080中高端设备，无特殊描述后缀描述的License均可使用；
2、F1000 Standard系列，此类License主要为相对低性能的产品使用，主要包括F1020、F1030、F1050，F1005和F1010属于低端产品，一般不涉及使用License，如果有用到，也使用此类License 。涉及区别特征：IPS和AV，只能使用IPS和AV带Standard的License；
3、F1000-AK系列，此类License对应F1000-AK系列产品，区别于F10X0；
4、F100G2和F1000G2系列，此类License适用于G2系列防火墙部分特性授权，为分销类产品，区别于行业销售产品F10X0系列。

文章插图

综上所述，授权的区分主要在各种型号防火墙的授权是否通用。不过一般最终用户是涉及不到这些问题的，如果不遇到了，那八成是销售搞错了。
如果did文件不存在该怎么办当激活License时，一般都会通过display License device-id命令来查看did文件的存储位置。但是，这条命令只是查看did文件的存储路径，而不能生成did文件。也就是说，display License device-id只是把文件路径显示出来，而不会判断该文件是否真实存在；如果did文件被删除了，那按照这个路径去查找，就找不到了。

文章插图

这个时候，需要重新生成一下did文件，用到如下命令：

文章插图

【使用指导】
License存储区空间是有限的。执行该命令后，系统会自动判断各License的状态，将过期和卸载的License以及相关数据删除。从而释放空间，以便用户安装新的License 。
需要注意的是，请在执行该命令前，保存各卸载License的卸载码。因为执行该命令后，卸载码会被删除。
上面只是字面上的理解，实际还有一个附加效果（英文提示中有）：如果did文件不存在，则会生成一个新的did文件，这样就有did文件可以传了。经测试可以生成did文件。
所以did文件有两种生成方式：
1、通过上述命令License compress slot 1来生成，但是如果多次删除，概率性出现通过命令无法生成的情况；
2、did文件被删除之后，通过重启设备也可以重新生成新的did文件。经确认，did文件生成时间为设备启动时间。
所以，无论是通过系统重启还是通过命令行重新生成的did文件，所有的文件内容完全一致，不会发生变化。所以在遇到did文件丢失的情况时，可以先通过命令行进行重新生成，如果生成失败则需要通过重启设备解决。
合一版授权激活文件V7的防火墙产品支持特性比较多，对应的License种类也就比较多，但是注册的时候却存在只能使用一个ak激活文件的限制，相关介绍说明如下：
1、V7防火墙产品不可以重复激活License，效果不叠加，目的是避免用户激活多个相同的临时License使用，而非购买使用；
2、V7防火墙的License产品中非合一的License是可以使用卸载码迁移，具体请参考技术公告（2016-012号，主要涉及老版本）；新版本的合一License不可以使用卸载码自行卸载，激活之后如需变更只能通过联系办事处接口人或者联系400工程师处理；