SJW77电力系统纵向加密认证装置
(WT125-7P-AA)
快捷使用指南
(请在使用产品前仔细阅读本指南)
卫士通信息产业股份有限公司
二零一四年制
目录
1 关于本指南............................................错误!未定义书签。
2 安全申明..............................................错误!未定义书签。
3 设备及组件介绍........................................错误!未定义书签。
. 低端产品前面板介绍..............................错误!未定义书签。
. 低端产品后板介绍................................错误!未定义书签。
4 产品配件及设备启动....................................错误!未定义书签。
5 本地管理软件安装步骤..................................错误!未定义书签。
6 设备的初始化..........................................错误!未定义书签。
导出设备证书请求................................错误!未定义书签。
导出管理员卡证书请求............................错误!未定义书签。
导入根证书......................................错误!未定义书签。
导入设备证书....................................错误!未定义书签。
导入管理员卡证书,并完成初始化..................错误!未定义书签。
7 使用配置指南..........................................错误!未定义书签。
8 常见问题及疑难解答....................................错误!未定义书签。
常见问题........................................错误!未定义书签。
疑难解答........................................错误!未定义书签。
进入纵向加密认证装置命令行的方法..............错误!未定义书签。
隧道状态、设备状态查询........................错误!未定义书签。
网络排查(PING、SPING、TCPDUMP等)...........错误!未定义书签。
应急处理办法..................................错误!未定义书签。
9 产品维护和保养........................................错误!未定义书签。
1关于本指南
SJW77电力系统专用纵向加密认证装置(商密局鉴定型号:SJW77网络密码机,以下统称为纵向加密认证装置)属于行业专用产品,主要部署在各级电力调度网络(见图一)中,是保护国家电力调度通讯信息基础而重要的数据加密设备。
SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规范》进行设计和开发,该设备采用专门的加密封包格式,在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。同时也支持与其它厂家纵向加密装置互联互通。
本快速安装指南以介绍纵向加密认证装置常用功能为主,更详细的介绍与案例分析请参考《SJW77电力系统专用纵向加密认证装置用户手册》。
2安全申明
登陆纵向加密认证装置时,需要认证管理员IC卡,IC卡丢失或使用不匹配的IC卡均会导致登陆失败,所以请妥善保管管理员IC卡。
为了使纵向加密认证装置能够更稳定的工作,因此本设备配备了双电源。在设备上架后,对设备尽量使用两路供电。
设备上架后,将设备固定好,并连接好接地线。
3设备及组件介绍
3.1.低端产品前面板介绍
SJW77电力系统纵向加密认证装置前视图
3.2.低端产品后板介绍
SJW77电力系统纵向加密认证装置后视图
4产品配件及设备启动
在产品包装箱内装有电力系统纵向加密认证装置一台,交叉线三根,直连线两根,电源线两根,机箱脚垫四个,用户IC卡两张,本地管理安装光盘一张,接地线一根,浮动螺母十六套,用户手册一本,产品合格证一份,售后服务指南一份,产品装箱清单一份,用户开箱后请参见装箱清单检查配件是否齐全,然后查看设备外观是否有损坏现象,如有问题,请勿使用并及时与我公司取得联系,处理相关事宜。为了保障产品稳定、可靠的运行,请用户不要私自打开纵向加密认证装置的机箱。
纵向加密认证装置上架后,根据用户需求,决定设备是否需要固定。在设备前面板把手处有螺丝孔,用于固定设备时使用。设备上架完成后,连接电源线及接地线,便可进行启动。
一般情况下,纵向加密认证装置的外网口、外网口1用于连接路由器,内网口、内网口1用于连接交换机,在实际环境中,根据具体需求进行连接即可。另外,如果在纵向加密认
证装置未完成配置前接入实际环境中,是会导致通信中断的,所以为了避免该现象的出现,建议在配置完成后,将纵向加密认证装置接入实际环境中。
5本地管理软件安装步骤
纵向加密认证装置随机带有管理软件安装光盘,将光盘插入用户管理PC机,进入文件夹“本地管理安装程序”,双击文件夹中的安装执行文件(),具体安装步骤如下图所示:
点击”下一步”;
点击“是”;
输入用户名和公司名称后,点击“下一步”;
选择安装目录后,点击”下一步”;
管理器正在安装中;
安装成功。点击”完成”退出管理软件安装界面,自动生成桌面快捷方式如下图所示:
6设备的初始化
初始化与签发流程如下:
1)导出设备证书请求;
2)导出管理员卡证书请求;
3)导入根证书;
4)在证书签发中心,对设备证书请求,管理员卡证书请求进行签发;
5)导入并验证设备证书;
6)导入并验证管理员卡证书。
注:在初始化前,应将管理员IC卡插入纵向加密认证装置中,否则无法完成初始化操作。
具体操作步骤如下:
6.1导出设备证书请求
导出设备证书请求前需要先添加证书主题,用户需要完整填写所有的证书主题信息(信息不全,无法成功导出设备证书请求),然后选择本地管理PC路径点击“导出设备证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,自动跳转到下一操作界面,并且“导出设备证书请求”操作标示已成功。
6.2导出管理员卡证书请求
导出管理员卡证书请求需选择管理员卡(有主卡、副卡之分),操作示范选择主管理员卡,然后添加证书主题,主题
不能为空,选择本地管理PC路径点击“导出管理员卡证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,“导出管理员证书请求”后标示操作成功,自动跳转到下一操作界面。
建议:一台设备出厂时标配两张管理员空白IC卡,为了区分两张IC卡,初始化时标示为主卡/副卡,建议主/副管理员卡都进行初始化操作。
6.3导入根证书
用户从保存的根证书路径中选择需要导入的根证书后,点击“导入根证书”按钮,操作成功后,系统会弹出提示框,如下图所示:
点击“确定”按钮后,“导入根证书”标示操作成功,自动跳转到下一操作界面。
6.4导入设备证书
用户从保存的设备证书路径中选择需要导入的设备证书后,点击“导入本设备证书”按钮,会弹出操作成功提示框,如下图所示:
点击“确定”按钮后,“导入设备证书”后标示操作成功,自动跳转到下一操作界面。
6.5导入管理员卡证书,并完成初始化
用户从保存的管理员卡证书路径中选择需要导入的管理员卡证书后,点击“导入管理员卡证书”按钮,操作成功,系统弹出提示框,如下图所示:
点击“确定”按钮后,“导入管理员卡证书”标示操作成功,“完成”按钮被激活,如下图所示:
点击“完成”按钮,初始化完成,初始化界面关闭,并自动跳转到登录界面,如下图所示:
7使用配置指南
在对纵向加密认证装置进行配置之前,首先需要操作人员完全了解实际网络环境的部署情况,包括IP地址的分配,子网掩码的划分,VLAN的配置情况,以及相关路由信息等。
7.1纵向加密认证装置地址分配
纵向加密认证装置的地址是根据用户而确定的,在对其进行配置前,需要确定设备的IP地址与子网掩码。
如果纵向加密认证装置未分配到IP地址,此刻需要注意,在建立隧道时,应该采用地址借用模式,具体配置请参见
《SJW77电力系统纵向加密认证装置用户手册》的“9典型应
用环境配置案例”中的“地址借用”。
7.2网络管理
网络管理包含了网络地址设置,VLAN设置,网桥设置,路由设置,ARP设置
7.2.1网络地址设置
进入“网络管理”的“网络地址设置”,操作界面如下:
点击添加按钮,可以为接口添加网络地址,添加界面如下图所示:
接口名称:所要配置的网口名称,从下拉列表中选择(如果需要配置的为桥接口,
需要先添加桥接口)。
IP地址:所要配置网口的IP 地址。
子网掩码:所要配置网口的掩码。
7.2.2VLAN设置
进入“网络管理”的“VLAN设置”,操作界面如下:
点击添加按钮,选择接口并输入VLAN ID号,点击“确认”
为接口添加VLAN。如下图所示:
接口名称:所要配置的装置网口的名称,从下拉列表中选择;
VLAN ID:所要配置网口的VLAN ID 信息,范围1~4094。
7.2.3路由设置
进入“网络管理”的“路由设置”,操作界面如下:
点击添加按钮,类型选择需要添加的路由类型。如下图所示:
路由类型:路由信息的名称描述,包括子网路由、主机路由、缺省网关。
接口名称:为所要配置网口名称,建议选择为自动。
目的地址:所要到达网段的IP地址。
目的地址掩码:为所要配置目的地址的掩码。
网关地址:即下一跳地址。
7.2.4网桥设置,ARP设置
该两项设置,请详见用户手册“网络管理”的“网桥设置”和“设置”。
7.3证书管理
证书管理功能主要用于对根证书,远端设备证书,远端管理证书进行管理,本指南仅介绍远端设备证书的管理,其他请详见《SJW77电力系统纵向加密认证装置用户手册》的“证书管理”
“远程设备证书”为对端通信设备的证书,本地加密认证装置需要导入远端设备产生的证书(包含远端设备的公
钥),用于装置通信时证书的认证。操作界面如下图所示:
:用于导出设备证书至本地管理PC,选取要导出的设备证书后点击按钮,弹出保存界面,选取保存路径,点击“确认”,导出该设备。
添加:点击添加按钮,添加相应证书名称、绑定的IP地址并且选择正确的设备证书路径,点击“确认”,界面如下图:
证书名称:用于配置证书的信息。
绑定的IP:对端加密装置的IP地址。
修改:选取相应远程设备证书点击修改按钮,修改项包括:证书名称、绑定IP地址、设备证书文件路径,如下图所示:
删除:选取相应远程设备证书点击删除按钮,删除该设备证书。
7.4隧道、规则建立
7.4.1隧道的建立
进入“安全策略”的“VPN隧道及安全策略管理”,点击添加隧道,并设定相关参数,添加界面如下图所示:
隧道ID:默认生成,用户无法修改。
隧道源地址:本地端(或源端)纵向加密认证装置IP地址。
隧道目的地址:对端(或目的端)纵向加密认证装置IP地址。
备用目的地址:用于配置备用隧道目的IP地址,当对端隧道存在主备情况时使用。
通讯模式:包括加密、明文、可选,默认为加密。
建议:隧道对端旁路自适应检测默认开启,建议开启此功能,用于对端设备旁路
后,本地设备探测及时切换通讯状态。
7.4.2规则的建立
点击隧道前面的符号展开隧道,点击策略界面的添加按钮,为隧道添加相应策略,具体操作界面如下图所示:
源地址范围:本地通信IP受保护地址范围。
目的地址范围:对端通信IP受保护地址范围。
协议:用于配置策略过滤协议,包括ALL/ICMP/TCP/UDP。
源端口:用于配置源端口范围。
目的端口:用于配置目的端口范围。
处理方式:用于设置策略通信方式,包括转发、丢弃。
描述:策略的描述信息。
7.5备份、恢复
备份、恢复功能在“设备管理”目录下。
7.6.1配置备份
配置备份功能用于将纵向加密认证装置的配置信息备份至本地管理PC,具体操作界面如下图所示,选择备份文件的保存路径并输入备份文件名(建议备份文件以备份时间命名,便于以后恢复用),在备注信息输入框内输入备注信息,确认完成后,点击“启动系统备份”按钮,进行系统配置备份,如下图所示:
建议:在用户完成、修改配置后进行系统备份,便于以后系统恢复时使用。
备份成功后弹出系统备份成功对话框,点击确定后完成
系统备份,如下图所示:
7.6.2配置恢复
当用户配置错误或操作不当时,希望恢复到之前的配置,“配置恢复”功能就可用于将备份的配置信息恢复到设备中。
选择本地PC保存的备份文件,点击“启动系统恢复”后弹出用户口令验证框,输入正确的口令,恢复成功后设备自动重启,如下图所示:
8常见问题及疑难解答
8.1常见问题
8.1.1用户网络故障
接入纵向加密认证装置之前首先应确保用户网络正常。在多次工程实施中,出现的故障多次由于用户网络自身原因造成,因此在用户处首先应保证用户网络正常。
手段:
有条件的话在客户义务机上ping对端业务机。不通,说服客户排查网络问题。其次接上纵向加密认证装置,配置地址和路由后ping对端纵向加密认证装置不通,使用SPING 探测对端纵向加密认证装置。不通,则跳过纵向加密认证装置,直接接一台笔记本,使用tracert跟踪路由,提取证据说服客户排查网络问题。
8.1.2纵向加密认证装置之间的网络不通
纵向加密认证装置之间无法ping通,尝试使用SPING探测对端纵向加密认证装置。
如果SPING能够顺利探测到对端状态,那密钥协商不受影响。不通,检查路由配置。不通、返回“1)用户网络故障”排查。
8.1.3证书存在问题
通过以上手段,隧道仍然无法达到OPEN。则检查日志信息,是否存在证书错误的日志。如未出现,检查对端纵向加密认证装置日志是否存在证书错误信息。
8.1.4通讯正常,但没有对数据包进行加密。
可能存在的问题:对端纵向加密认证装置不在线;已设置整机明通;冗余端纵向加密认证装置硬旁路。
8.1.5验证签名失败
日志信息显示:RSA Verify Error
可能的原因:这通常是由于本地或者对端设备证书导入出错导致的。
查找解决办法:尝试重新导入设备证书,或者重新导出设备证书请求并签发后再次导入。
8.1.6协商超时
日志信息显示:Chat failed ,chat with ip time out
(ip表示隧道对端德ip地址)
可能的原因:这通常是由于对端隧道没有正确建立或者对端设备的密钥协商进程没有正常启动导致的。
查找解决办法:检查两端设备的协商进程是否正常启动,检查双方的隧道是否正确,用sping工具尝试探测对端设备,看是否正常。
8.1.7协商进程正常启动,隧道正确建立,会话密钥没有协商成功
可能的原因:目前协商进程采用的是被动协商的方法,除了设备启动以外,所有的协商都需要底层的触发,设备在启动以后最多尝试向对端设备发起三次协商,如果协商失败则不再发起,查找解决办法:
a.尝试在本地业务机上ping对端业务机,使有流量经过纵向加密认证装置。
b.在本地设备上依次执行以下命令:killall keychat ; rm /root/start ;
/gbin/keyhat -f
8.1.8设备隧道和协商进程正常开启,tcpdump 在外网口能够抓到来
自对端设备的协议号为253包长度是260的协商报文,但是本地没有给予回应
可能的原因:本地设备验证签名失败;可能是由于本地设备处于旁路状态。
查找解决办法:如果是验证签名失败请参考a中的查找解决办法;如果不是,请检查本地设备是否开启了旁路自适应探测,尝试用gd2_tool工具察看隧道是否处于旁路状态,如果处于旁路状态请开启旁开路自适应探测。
8.1.9私钥签名失败
日志信息:RSA Sign Error
可能的原因:读取设备私钥失败。
查找解决办法:执行/gbin/shm_prikey
8.2疑难解答
8.2.1进入纵向加密认证装置命令行的方法
8.2.1.1通过SSH方式
可以通过SecureCRT、SSH Secure等软件登陆到纵向加密认证装置的命令行,对其进行控制与调试。
8.2.1.2通过串口
可以通过SecureCRT、超级终端等软件登陆到纵向加密认证装置的命令行,对其进行控制与调试。纵向加密认证装置的波特率为115200。
8.2.2隧道状态、设备状态查询
成功登陆到纵向加密认证装置的命令行后,输入如下命令:
查看隧道状态:gd_spdcfg –S
查看规则:gd_spdcfg –SP
8.2.3网络排查(PING、SPING、TCPDUMP等)8.2.3.1ping程序功能:
检查网络是否可达。
操作方法:
ping ip
8.2.3.2sping程序功能:
探测对端设备的状态,探测成功后可以手动协商。
操作方法:
/gbin/sping sip dip
其中sip,dip分别表示隧道的源地址和目的地址。
8.2.3.3tcpdump程序功能:
抓包工具,用于查看特点接口收/发包是否正常。
操作方法:
tcpdump –i interface esp --加密包
tcpdump –i interface --全部包
tcpdump -i interface proto 253 –xx --协商包
interface为接口名称。
8.2.3.4check_key程序功能:
检查指定隧道的内核的会话密钥。
操作方法:
/gbin/check_key sip dip
其中sip,dip表示隧道的源地址和目的地址。
8.2.3.5all_tunstate程序功能:
获取所有隧道的协商状态
例如:
[root:~ #] /gbin/all_tunstate
获取所有隧道状态
rcv tun state:total tunnum = 1
||sip | dip | chatstatus | open_time | send_requpkts | recv_err_pkts | recv_ok_pkts | dsjw77_status||
a010101 a010102 3 0 208 227 0 1
sip:隧道源地址
dip:隧道目的地址
chatstatus:协商状态
open_time:上次协商成功的时间
send_requpkts:发送的协商请求包数
recv_err_pkts:接收错误的协商包数
recv_ok_pkts:接收正确的协商包数
dsjw77_status:隧道的主从状态
8.2.4应急处理办法
当设备之间数据无法正常密通时,可以应急将本地设备置为旁路模式(对端设备开启旁路探测),此时数据包明文通信。
低端开启旁路的方式:
1、按下后板的旁路按钮
2、关机状态
9产品维护和保养
应确保设备的使用环境干净、干燥。
请勿剧烈震动、摇晃或用力敲打设备。
避免在过高或过低温度的环境下使用设备,避免设备暴露在强烈日光下或湿度较高的环境中。
请保持设备远离强电磁场,远离水源及灰尘较多的地方使用。
应保证本设备供电电源的接地良好,防止静电。对于电源不稳定的地区,建议配备稳压电源。
清洁设备时,请勿使用化学制品擦拭机身,如:汽油、稀释剂等。