安全接入平台现场常见问题解决方法汇总FAQ.docx
- 文档编号:13746361
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:17
- 大小:85.62KB
安全接入平台现场常见问题解决方法汇总FAQ.docx
《安全接入平台现场常见问题解决方法汇总FAQ.docx》由会员分享,可在线阅读,更多相关《安全接入平台现场常见问题解决方法汇总FAQ.docx(17页珍藏版)》请在冰点文库上搜索。
安全接入平台现场常见问题解决方法汇总FAQ
安全接入平台问题汇总
一、采集接入网关
问题1:
CG上看到的终端链路数比实际终端在线数多
现象:
在CG上用console show link命令,显示的连接数比终端实际的在线数多。
问题原因:
CG是看到的有一部分可能是重连的(但一般不会多)。
部分终端的gprs信号可能不好,当前已经连上来之后,可能终端因信号不好会重连,这是console show links看到的此终端就有2条链接记录。
因为我们CG检测超时的连接是有个间隔时间的,大概6分钟左右。
问题2:
电压表计终端加密、明文模式判断
现象:
在CG上用console show link命令,显示出来的部分链路的末尾是没有证书DN信息的。
问题原因:
这种情况是由于电压表计终端以明文的方式发送报文信息,我们可以看到第二个字段为P(表示明文),若为E则表示以加密形式发送报文。
解决方法:
原则上接如的电压表计终端是不允许已明文方式接入主站系统的,可以让终端厂家去装置上查看是否通信模式设置错误,将其修改为加密模式。
问题3:
电压终端有心跳、无日数据问题
现象:
供电电压系统主站能收到电压表计终端的心跳数据,但无日数据。
问题原因:
之前CAC有bug,处理终端整点上报数据时,把很多终端的数据覆盖了,导致主站系统最多收到255个。
解决方法:
让CAC装置实施人员升级程序,解决这个限制。
问题4:
CG和CAC链路上差异分析
现象:
采集接入网关上看到的链路信息和CAC的相差很多。
问题原因:
电压表计终端和主站系统之间的通信要经过采集接入网关、数据交换系统、CAC,中间任何一台设备出现问题,都会导致数据不对。
可能的原因一般是CAC连接不上,或者连上来又被CAC断开了。
解决方法:
1、分别在CG、SDS、CAC上输入命令netstat-ant|grep2000|grepEST|wc–l,查看tcp链路数;
2、对比链路数,如果SDS和CAC基本吻合,那就再看CG和SDS,在设备上通过tcpdump抓取数据包,看是不是CG连不上SDS,或者连上了又被SDS断开了,定位问题出现在哪台设备上,有时需要同时在三台设备上进行抓包进行分析。
3、当终端接入比较多时,需要确认数据交换gserv.conf的配置,默认情况下数据交换设备的最大并发连接数为1024,所以你需要将这个值调大(内、外侧的gserv.conf文件都需要修改)。
用vi编辑gserv.conf文件,将‘pool_max=1024;’这一行修改,例如‘pool_max=10240;’,然后重启gserv进程即可。
问题5:
CG网关proxy_zhuzhan进程CPU利用率过高现象
现象:
采集网关重启后,proxy_zhuzhan程序的CPU利用率一直升高到100%,而用conosleshowlink时看不到一条建立起来的链路,CG上无法telnet数据交换端口,但是其他网关(如PG)可以正常telnet到数据交换的数据端口。
问题原因:
当现场有大量终端时,在采集网关重启后,终端会和采集网关重新进行隧道协商,这样导致proxy_zhuzhan进行一直忙于隧道的协商,CPU逐渐升高。
解决方法:
1、先在采集网关上打开consoledebug命令确认终端和CG之间的隧道是能够正常协商的,但是CG无法和数据交换建立连接。
2、在确认1的情况下,无须再对CG网关进行操作,待所有电压表计终端和CG的密钥协商完以后,CPU会自动降下来,此时CG网关恢复正常运行,与数据交换能够建立正常的连接。
问题6:
CG网关无法FTP问题
现象:
用笔记本连接采集网关的配置口,采集网关可以作为ftp客户端,连接到笔记本进行文件的上传、下载。
但是却无法ftp到同一网段的ag或pg网关。
问题原因:
采集接入网关默认情况下做了安全限制,添加信任的地址即可。
解决方法:
在采集接入网关后台输入命令“iptables-AINPUT-sftp服务器地址-jACCEPT”即可。
问题7:
CG(研祥硬件)升级补丁后,加密机管理软件无法连接问题
现象:
采集接入网关(研祥硬件)升级完cg_update1.tgz补丁包后,加密机配置管理软件连接不上去。
问题原因:
cg_update1.tgz补丁包是根据采集接入网关(立华硬件)做的,立华的设备默认管理口为eth0,而研祥的设备为eth3。
解决方法:
需要修改一下脚本/netkeeper/script/config_filter,把config_filter脚本里面有处
“iptables -A INPUT -i eth0 -d 11.22.33.44 -j ACCEPT”改成
“iptables -A INPUT -i eth3 -d 11.22.33.44 -j ACCEPT”(即把eth0改成eth3)。
二、SSLVPN网关
问题1:
加密卡长卡、短卡设置问题
现象:
在升级sslvpn网关,更换加密卡后重启设备,发现面板上的加密灯一直在闪烁,在网关配置界面里点击生成密钥对时,提示‘生成密钥对失败’。
问题原因:
sslvpn网关支持两种不同的加密卡,设备里安装不同的卡需要对卡的类型做相应的更改。
解决方法:
通过串口或ssh到网关后台,进入/usap/conf目录,修改里面的/f文件,若是长卡里面的内容则是1,若是短卡或者没有加密卡,则里面的内容为2。
修改该文件后重启网关设备即可。
问题2:
证书不匹配问题
现象:
终端在认证的时候报错“verifytheservercertificatefailed”。
问题原因:
一般都是由于证书或者算法选择错误造成的。
解决方法:
1、检查客户端算法选择;
2、检查网关证书格式,有没有添加头尾;
3、检查网关证书是否更新,若更新后有没有重启进程或重启网关;
4、检查客户端根证书是否更新,根证书格式是否正确;
问题3:
算法选择问题
现象:
终端在认证的时候报错“unabletogetlocalissuercertificate”。
问题原因:
一般都是由于证书或者算法选择错误造成的。
解决方法:
1、检查客户端算法选择;
2、检查客户端根证书是否更新,根证书格式是否正确;
3、检查TF卡或USBKEY中是否导入了正确的P12证书,是否存在两个容器;
问题4:
证书有效期问题
现象:
终端在认证的时候报错“certificateisnotvalid”。
问题原因:
由于系统时间不在证书的有效期范围内造成。
解决方法:
1、检查终端时间是否为当前时间;
2、若是PDA终端,因为时间读取问题新签证书可能不能立即生效,可往后修改系统时间测试;
问题5:
终端签名或者安卓挂载目录问题
现象:
终端在认证的时候报错“配置出错”。
问题原因:
一般由于TF/USBKEY未签名,或者安卓终端TF卡挂载目录不对造成。
解决方法:
1、TF卡或USBKEY是否签名;
2、配置文件内容是否正确;
3、对于android客户端SDpath配置是否正确,可以通过安卓终端模拟器去确定路径;
问题6:
网关无法远程上传、下载文件
现象:
sslvpn网关无法通过内网远程上去,进行文件的上传、下载,这在更新系统程序的时候很不方便。
问题原因:
sslvpn网关把scp等功能给裁剪掉了。
解决办法:
在sslvpn网关上已经默认安装了ftp服务服务端。
通过命令servicevsftpdstart开启这个服务,登陆的用户名为nari,密码为。
文件存放位置为/home/nari。
使用完后请记得通过servicevsftpdstop命令将该服务关闭。
问题7:
POS机使用SM2证书无法认证
现象:
通过sslvpn网关进行POS接入时,使用SM2证书无法认证成功。
解决办法:
1、sslvpn网关是短卡
解决方法:
短卡需要修改配置文件,把vpn.txt和vpn_tmp.txt中的
#keyfile_sm2=/usap/cert/server.sm2.key这一行取消注释,
即修改成:
keyfile_sm2=/usap/cert/server.sm2.key
但是最终现场测试没有成功,其他现场希望尝试一下能否实现,研发说可以的,最终我选择了更换了长卡测试。
2、客户端用sm2证书需要注意的地方
解决方法:
sm2证书签发都要从卡里导出证书请求文件,生成证书请求文件的同时生成了密钥对,如果中间用RSA算法的证书测试,导入证书时RSA证书自带的密钥对会覆盖掉之前的sm2的密钥对,当再使用之前的sm2证书就已经失效了,所以需要重新导出请求文件签发新的客户端证书。
3、证书和sslvpn网关不兼容
解决方法:
最后又重新签发服务端证书,可能是重新生成过密钥对了。
4、导完证书和修改完配置文件需要重启vpn进程
解决方法:
这个是因为修改完配置文件,如:
vpn.txt,需要重起vpn进程才能生效。
还有网关导完证书之后也需要重启vpn进程。
5、网关认证之后客户端监听地址配置错误
解决方法:
看到vpn网关打印出来的日志发现客户端监听的地址是127.0.0.1,但是客户端配置的平台地址是数据交换外网口地址,需要把pos监听的平台地址改为127.0.0.1。
6、成功连接后需要修改调试调试等级,还有pos的版本也需要修改(这个需要pos厂家配合完成)
解决方法:
其实这个是pos厂家在服务器需要导入一个公钥证书,但是这个证书导入之后发现还是不行,一直以为pos厂家的证书不对。
修改了数次之后找其他原因,后来发现客户端认证上一次或者几次之后就会报出如下错误:
Connectionclosed:
409byte(s)senttoSSL,361byte(s)senttosocket
24linger(local):
Badfiledescriptor(9)
Localsocket(FD=3)closed
这是因为调试时产生日志量太大导致的,需要把TF卡里,如下图中黄色注释的文件删掉,还有调试等级改成3,之前为了测试用的等级是7
而且,pos厂家之前为了联调用的测试版本,需要他们给个文件,修改一下他们的版本,否则也会产生很大的日志,(如果他们用的不是测试版本那就可以免去这步操作)
完成上述操作,这样后面多次连接也就不会收到影响。
问题8:
vpn_server进程自动退出
现象:
Sslvpn网关运行一段时间后,vpn_server进程会自动退出。
解决方法:
编辑/usap/etc/ident_monitor.conf文件,添加下面示例的最后三行,这样当vpn_server进程意外结束时,5秒后会自动拉起该进程。
interval=5
[identd]
Name=identd
Command=/usap/sbin/identd/usap/etc/identd.conf&
[usap]
Name=vpn_server
Command=/usap/sbin/vpn_server/usap/conf/vpn.txt&
问题9:
客户端认证异常报错
现象:
山东现场移动作业客户端(华硕)拨号认证时,提示“vpn客户端报配置出错,服务停止”。
原因:
由于华硕的系统内核做了底层的修改,导致客户端返回值和标准的内核版本不一样。
解决方法:
邓进用华硕的平板调试修改vpn客户端并开发出一个华硕专用的vpn客户端,使用该版本可以正常认证成功。
问题10:
终端无法远程升级
现象:
终端远程升级的时候无法远程升级。
原因:
终端安全客户端升级会用到网关60701端口(网关上使用netstat–npl命令可以看到),该端口可能由于防火墙没开放而无法升级。
解决方法:
APN防火墙开放此端口的策略即可。
问题11:
终端作业包上传失败
现象:
移动终端上传作业包失败(作业包大于1KB)。
原因:
sslvpn网关MTU值设置过小。
解决方法:
通过命令ifconfigethx(连接APN的网口)mtu1200可以设置我们网关的mtu值,将此命令加到start_usap.sh脚本最后一行后可永久生效。
问题12:
已加固PC终端升级问题
现象:
升级需要用管理key去修改终端usbkey里的加固策略了,这样在终端数多的情况下很麻烦。
解决方法:
在升级安全平台前修改集中监管上对应PC终端组的加固策略(修改网络控制为不控制、修改模式切换为允许),然后再打开PC,让最新的加固策略推送到终端。
问题13:
MC同步到sslvpn网关的部分数据在web上看不到
现象:
MC和sslvpn网关进行数据库同步后,‘终端访问权限管理下的‘终端信息管理’和‘业务信息管理’显示不出来,手动添加也存在问题。
原因:
sslvpn网关数据库中存在一个表‘SYS_CODE_MASTER’,该表名称小写错写成了大写。
解决方法:
在sslvpn中执行以下脚本即可:
droptable`SYS_CODE_MASTER`;
CREATETABLE`sys_code_master`(
`OID`int(11)NOTNULL,
`CODE_NAME`varchar(64)defaultNULL,
`TYPE_ID`int(11)defaultNULL,
`TYPE_NAME`varchar(64)defaultNULL,
`DESCRIPTION`varchar(256)defaultNULL,
PRIMARYKEY(`OID`)
)ENGINE=InnoDBDEFAULTCHARSET=utf8;
INSERTINTO`sys_code_master`(`OID`,`CODE_NAME`,`TYPE_ID`,`TYPE_NAME`,`DESCRIPTION`)VALUES
(1,'PDA',2,'终端类型','1'),
(2,'PC',2,'2','2'),
(3,'POS',2,'3','3'),
(4,'CMA',2,'终端类型','4'),
(5,'终端',2,'终端类型','5'),
(10015,'一体化缴费平台MEPS',1,'业务类型','5'),
(,'移动作业',1,'业务类型','1'),
(,'输电线路在线检测',1,'业务类型','2'),
(,'仓储作业管理',1,'业务类型','3'),
(,'财务管控FM',1,'业务类型','4'),
(,'其他',1,'业务类型','6');
COMMIT;
问题14:
sslvpn网关开机无法启动
现象:
sslvpn网关开机时无法启动,通过串口连接后台提示按‘ctrl’+‘D’重启设备。
原因:
sslvpn网关在关机是没有通过命令poweroff软关机,而是直接断电,造成了硬盘故障,当下次开机时,系统自检时就会出现上述问题。
解决方法:
当出现这个问题是按ctrl’+‘D’重启设备,让设备完成自检可正常进入系统,以后关机时需要输入命令poweroff软关机。
问题15:
终端连接网关可以正常认证、推送业务,但无法正常访问
现象:
终端连接到网关后,可以正常认证、推送业务策略,网络及业务端口都是通的,但无法正常访问业务,上行流量正常,下行流量很少,但三星的手机和平板终端访问业务一切正常。
原因:
网关和终端的mtu值不匹配,导致下行的数据包比较大,超过了终端所能承受的范围,以至将下行的数据包丢弃,业务无法正常使用。
解决方法:
修改网关的mtu值到合理的值,这个需要修改多次测试,mtu过大或者过小都会影响业务使用,命令如下:
Ifconfigeth1mtu1400//mtu值默认为1500
三、数据交换系统
问题1:
修改SDS最大连接数
现象:
相关业务系统接入了大量终端后,数据交换进程运行正常,但是发现无法从内网ssh远程到网关设备上了。
问题原因:
数据交换出厂时最大并发连接数默认设置为1024,所以当并发超过这个值的时候后来的链路就无法建立起来。
解决方法:
用vi编辑gserv.conf文件,将‘pool_max=1024;’这一行修改,例如‘pool_max=10240;’,然后重启gserv进程即可。
问题2:
修改可配置代理规则数
现象:
部分现场的数据交换系统,出现添加代理规则时会覆盖原有的代理规则。
问题原因:
数据交换的配置文件中可配置的最大规则数的值设的小了,导致添加规则时出现覆盖规则现象。
解决方法:
将/opt/apache-tomcat-6.0.29/webapps/nari-control/etc/id.txt中的值改大点(要大于gserv.conf中的最大id数)。
四、集中监管系统
问题1:
sslvpn网关升级后监测指标无法入库问题
现象:
原有ag、pg网关升级成sslvpn网关后,发现在oracle数据中,sslvpn相关的指标数据无法入库。
问题原因:
Oracle数据库没有对sslvpn网关进行相关字段进行初始化。
解决方法:
执行sslvpn_init.sql数据库脚本即可,sslvpn_init.sql脚本可以根据之前指标监测实施时提供的脚本进行修改,初始化后观察oracle数据库中相关表的信息,初始化脚本内容如下:
问题2:
数据库同步问题
现象:
集中监管系统在做数据库同步时,提示“数据同步报错,数据已回滚,请检查表结构是否正确”。
问题原因:
1、网关数据库相关表没有清空;
2、Oracle数据库同步的表有问题。
解决方法:
1、用3_clean.sql脚本清空网关数据库。
2、用sysdba权限登录集中监管数据库,查找需要同步数据的那几张表(PLATFORMDEVICE、PLATFORMINFO、GTTA、GTTP、TERMINALASSETS、TERMINALGROUP、TERMINALINFO、TERMINALPERM、BUSINESSINFO、LOG_CMS_LID),看是不是存在且为空表,如果是删除这些表即可。
问题3:
logforward程序无法连接数据库
现象:
Logforward程序无法读取数据库中的注册终端数,指标数据无法写入数据库。
使用logforward的debug模式,会报错“ORA-12154:
TNS:
无法解析指定的连接标识符驱动程序的SQLSetConnectAttr失败查询数据异常”
问题原因:
1、集中监管系统没有配置数据源连接ODBC。
2、Logforward程序路径不能用“()”。
解决方法:
1、检查数据源连接ODBC已经配置好,并测试连接成功。
2、检查logforward程序路径中有无“()”符合,如有,请删除。
问题4:
plsql登录oracle数据库时报错
现象:
系统被强制关机或系统异常宕机,重新启动服务器后,用plsql登录数据库时提示ora-01033:
oracleinitializationgorshutdowninprogress,集中监管web界面无法打开。
但是系统服务中oracle的相关服务都已正常启动。
使用sqlplus连接数据库的时候,以sysdba的权限可以登录进去,但是以normal的权限无法正常登录。
并且在启动oracle服务时会提示ORA-01033、ORA-01507的相关错误。
问题原因:
系统由于异常宕机导致Oracle的控制文件损坏,无法正确加载配置文件。
解决方法:
oracle安装目录D:
\oracle\product\10.2.0\oradata\cms下默认对配置文件进行了备份,3个配置文件的内容一样,用sqlplus重新定义下配置文件的路径,并重启oracle服务即可。
命令如下:
C:
\DocumentsandSettings\Administrator>sqlplus/nolog
SQL*Plus:
Release10.2.0.1.0-Productionon星期四6月509:
13:
212014
Copyright(c)1982,2005,Oracle.Allrightsreserved.
SQL>connectsys/adminassysdba
已连接到空闲例程。
SQL>shutdownimmediate
ORA-01034:
ORACLEnotavailable
ORA-27101:
sharedmemoryrealmdoesnotexist
SQL>startupnomount
ORACLE例程已经启动。
TotalSystemGlobalAreabytes
FixedSizebytes
VariableSizebytes
DatabaseBuffersbytes
RedoBuffersbytes
SQL>ALTERSYSTEMSETCONTROL_FILES='D:
\oracle\product\10.2.0\oradata\cms\CO
L03.CTL'SCOPE=SPFILE
2;
系统已更改。
SQL>shutdownimmediate
ORA-01507:
ORACLE例程已经关闭。
SQL>startup
ORACLE例程已经启动。
TotalSystemGlobalAreabytes
FixedSizebytes
VariableSizebytes
DatabaseBuffersbytes
RedoBuffersbytes
数据库装载完毕。
数据库已经打开。
SQL>
完成上述步骤后,就可以正常通过plsql连接到数据库,系统服务恢复正常。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 接入 平台 现场 常见问题 解决方法 汇总 FAQ