电力系统专用纵向加密认证装置用户手册.docx
- 文档编号:14273250
- 上传时间:2023-06-22
- 格式:DOCX
- 页数:20
- 大小:855.51KB
电力系统专用纵向加密认证装置用户手册.docx
《电力系统专用纵向加密认证装置用户手册.docx》由会员分享,可在线阅读,更多相关《电力系统专用纵向加密认证装置用户手册.docx(20页珍藏版)》请在冰点文库上搜索。
电力系统专用纵向加密认证装置用户手册
纵向加密认证装置之答禄夫天创作
用户手册
2013年7月
1概述
通过阅读本手册,用户可以掌握基本的装置配置及管理方法。
通过一个装置安排案例,按流程简要的介绍装置系统的实施,使用及维护方法。
本手册面向装置系统管理人员、维护人员、及项目实施工程师和产品售后工程师。
装置组成
装置系统为C-S架构即客户端-服务器架构,用户使用客户端管理器通过配置串口对装置进行管理及配置。
装置状态介绍
纵向装置共有两种工作状态:
1初始化状态;2管理状态。
1初始化状态
未导入本机相关证书及完成相关初始化操纵的装置会进入到初始化状态,该状态下用户不克不及管理装置,只能进行相应的初始化操纵,等装置完成初始化操纵时,重启装置即可进入管理状态。
完成初始化操纵的功能有
(1)生成装置装置证书请求;
(2)生成用户证书请求;
(3)初始化;
(4)导入CA证书;
(5)导入管理中心证书;
(6)导入设备证书;
(7)导入用户证书;
(8)导入对端装置证书;
经过上述8个操纵步调,完成设备初始化,重启设备;
2管理状态
通过初始化装置操纵之后,装置正常启动,此时系统中用户口令为dianli123@,登录之后用户可以验证、修改口令;管理配置战略。
1.5安排阶段
提示:
装置的安排包含以下五个阶段:
规划阶段、准备阶段、实施阶段、调试和检验阶段、维护阶段。
以下内容将为您介绍每个阶段的具体任务,和操纵流程。
2规划阶段
2.1网络拓扑
网络拓扑实例:
在图1-1中包含3个要安排装置的网点A、B、C。
图1-1
确定装置位置
装置安顿于QuidwayNE80路由器,和S8016路由交换机之间,采取双机热备拓扑,如图:
1-2每个网点两台装置同时工作。
图1-2
规划IP地址
每台装置需要一个IP地址。
例如:
A节点装置分配:
主。
B节点装置分配:
主。
C节点装置分配:
主.3/24,备10.0.3.4/24。
2.2调查平安需求
调查实际网络拓扑中每个节点的平安需求,和业务需求,IP地址范围等信息,做好汇总和记录。
3准备阶段
设备管理
3.1.1设备连接
1.准备一台pc机,xp或win7系统。
将管理器程序拷贝到pc机。
2.。
3.网线连接PC机和设备的管理口,在pc上ping192.56.56.1,可ping通设备。
4.打开管理器,选择网口连接,点击连接,连接设备。
5.使用登录密码dianli123@登录。
3.1.2连接图
3.2设备初始化
管理器登录后:
(1)生成装置证书请求;
(2)生成用户证书请求;
(3)初始化;
(4)导入CA证书;
(5)导入管理中心证书;
(6)导入设备证书;
(7)导入用户证书;
(8)导入对端装置证书;
(9)重启装置;
(10)设置系统时间;
注意:
以上步调1-3在设备安排时完成。
4-10用户可以重新进行。
其中步调1、步调2“生成装置、用户请求文件”时要添入信息如下:
其中经过步调1(生成装置证书请求)、步调2(生成用户证书)之后必须马上进行步调3(初始化)操纵;进行步调1、2、3的过程中不允许重启装置;其目的是为了包管密钥平安性。
进行步调3操纵时界面信息如下:
其中步调4-8均为向装置导入证书;先进行步调4然后在进行步调5-8的证书导入;
其中进行步调4-7操纵时界面信息如下:
其中进行步调8操纵时界面信息如下:
经过步调1-8时,必须进行步调9(重启装置)的操纵;进过步调9后进行步调10(设置系统时间)操纵,步调10操纵时界面信息如下:
3.3配置装置战略
3.3.1包过滤规则
3.3.2本机IP配置
3.3.3路由配置
3.3.4隧道配置
3.3.5隧道战略配置
本例中纵向装置1要建立到纵向装置2的隧道。
3.2.6添加隧道
根据平安需要,添加加密通信隧道。
本例中纵向装置1到纵向装置2的隧道,指定的加密规则为:
访问目标双向加密。
3.2.7添加隧道战略
注意:
纵向装置添加隧道战略时,要包管规则中的IP地址范围,不要重叠(即同样的数据包走分歧的隧道),因为数据包匹配加密规则时只能匹配到位置靠前的一条。
2.隧道的加密规则只有在隧道工作模式为密通时有效,隧道工作模式为明通时将分歧错误数据进行加密。
加解密过程:
当纵向装置1的内网口收到30.1.1.100/24->30.1.1.200/24的数据包时,会匹配加密规则,决定应该加密,加密后发往通道对端的纵向装置2。
当纵向装置2的外网口收到隧道中的数据包解密后,30.1.1.100/24->30.1.1.200/24将不再匹配加密规则。
如果纵向装置2的外网口收到了一个1.1.1.200/24->1.1.1.100/24的数据包,将会匹配加密规则。
3.3装置管理
初始化设备之后系统进入管理状态;导入证书和配置战略后,
系统进入工作状态。
系统加电
接好电源,确定地线已接好,按开机按钮。
检查:
各网口状态灯和前面板指示灯是否有故障
3.3.2设备初始化
参看3.1章节。
3.3.3登录装置
使用口令dianli123@登录纵向装置,完成校验。
3.3.4设置工作模式
工作模式有平安,旁路(默认为平安,可以根据需要进行修改,建议使用平安模式)。
装置工作在旁路模式时会点亮旁路信号灯。
3.3.5事件配置
用户可以在这里指定报警的条件和等级,也可以在这里停止正在进行的报警。
3.3.6审计配置
用户可以在这里开启装置审计配置。
3.3.7平安管理
对装置的战略配置、管理信息等进行备份、回复。
3.3.8双机热备
4实施阶段
装置
戴好防静电手环,将纵向装置上架后,连接好内网口和外网口的网线。
加电启动
检查各指示灯状态,将笔记本串口连接到装置管理口,使用管理器登录:
默认密码dianli123@。
检查状态
4.3.1检查网卡状态
使用审计员通过管理器-监控管理-战略-本机IP地址,观察网卡状态是否正确。
观察机箱上的数据指示灯是否正常工作,网卡接口灯是否正常工作。
4.3.2检查装置状态
使用审计员登录纵向装置通过监控管理功能检查一下。
检查装置状态:
加解密是否成功。
检查隧道状态:
看隧道是否按设计规划建立成功,隧道优先
级是否正确。
图1-22
4.3.3观察监控信息
看监控战略功能是否正常启动,有无异常信息。
图1-23
用户可以通过设置查询条件来,筛选日志信息:
日志类型有:
人员操纵,通信信息,系统信息。
用户可以将查询到的日志信息导出存为txt文件。
注意:
日志信息保管在flash卡上,如果装置未拔出flash卡,则日志保管在内存中。
调试工具
测试网络是否疏通,IP地址是否正确等。
图1-24
4.3.5检查战略
用户可以通过管理器的战略管理修改战略,看战略是否正确应用。
图1-26
4.3.6检查装置加解密状态
通过监控管理的检查系统状态功能,检查加解密数据包的数量是否正确。
4.3.7检查数据通信是否正常
通过调试工具的实时监控检查通过装置的各种通信状态是否正常。
4.4装置配置
4.4.1透明模式对通拓扑
4.4.2导入对端装置证书
配置到拓扑中的装置必须导入对端的装置证书,才干进行IKE协商。
4.4.3接口配置
外网口:
/24
内网口:
/24
内外网口可以任意配置,网桥配置之后内外网口都被划分到网桥之内,地址清0。
子网口:
/24
子网口的作用是为了包管子网和装置网桥在分歧网段时候,装置可以获取子网PC的MAC地址,必须配置并要包管子网口地址不在子网范围内。
装置协商地址,透明模式数据通信加密端地址,必须配置。
4.5报警
开关
装置的面板上提供了旁路、初始化、销毁三个开关,当纵向装置处于管理器不成访问的危险状态时,为了呵护密钥等相关私密信息的平安性,按下开关3秒钟以上时,开关对应的功能启用。
如果按下旁路开关,纵向装置仅仅作为一个网桥设备转发数据;
如果按下初始化开关,纵向装置重新进行初始化操纵;
如果按下销毁开关,纵向装置内的密钥被销毁;
指示灯
电源:
装置加电时,电源指示灯点亮,装置加电启动;
管理:
管理口接入网线时,管理指示灯点亮;
内网1:
内网口1接入网线时,内网口1指示灯点亮;
外网1:
外网口1接入网线时,外网口1指示灯点亮;
内网2:
内网口2接入网线时,内网口2指示灯点亮;
外网2:
外网口2接入网线时,外网口2指示灯点亮;
工作:
当系统正常启动时,工作灯点亮;
报警:
当系统中设备密钥出错或者隧道并未建立时,报警灯点亮;
5调试和检验阶段
《故障排查手册》
案例1:
当设备状态发生切换时:
网络管理人员要对故障装置或网络进行检查,以排除故障,恢复设备的正常运行。
排查过程:
网络故障
检查设备各网口的网线是否接触良好。
通过管理器检查系统信息,监控管理检查通道是否仍让存在,重新应用战略看是否通道正常建立。
隧道没有建立成功:
1,检查战略是否应用成功。
2,通过调试工具ping,检核对端装置是否可达,路由配置是否正确。
(如果ping欠亨对方,请确定,到对端装置的物理链路,及对端装置的路由配置,IP地址是否正确)。
3,检查战略中对端装置IP是否正确,检查加密规则是否配置错误,是否包含了当地装置或对端装置。
使用管理员登录管理器,重新应用战略;使用审计员登录管理器,检查日志信息,看是否有异常操纵或通信信息。
隧道故障
案例2:
到对端的隧道没有建立
如果装置隧道没有建立成功,依照以下步调,排除故障。
首先排除网络故障。
进入“证书管理”检核对应的装置证书是否错误,检查当地证书是否一致,对端装置检查证书是否一致,如果任何一端有纷歧致,要重新获得正确的对端装置的证书,重新导入。
再次检查如果仍纷歧致,需要重新生成请求文件,生成证书。
检查战略配置,看平安战略是否正常上载。
设备硬件故障
1.指示灯不亮。
发生上述故障请及时联系厂商,进行更换和维修。
维护阶段
1.如果装置报警,可以通过管理器登录,产看由于何种原因报警,并及时保管日志。
3.如果需要修改战略,可以使用操纵员登录管理器修改战略配置。
图1-27
4.可以根据对端装置发布的“更新通告”,删除,或添加证书文件,重新应用战略偏重启装置。
5.定期检查装置日志。
6.当系统需要重新安排,或需要清除装置的密钥,可以使用“初始化设备”功能。
6附录
6.1《事件信息对应表》
EMERGENCY
日志级别0
ALERT
日志级别1
CRITICAL
日志级别2
ERROR
日志级别3
WARN
日志级别4
NOTIFY
日志级别5
INFO
日志级别6
DEBUG
日志级别7
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电力系统 专用 纵向 加密 认证 装置 用户手册