电力系统专用纵向加密认证装置用户手册簿3213.pdf

《电力系统专用纵向加密认证装置用户手册簿3213.pdf》由会员分享，可在线阅读，更多相关《电力系统专用纵向加密认证装置用户手册簿3213.pdf（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实用标准文档 文案大全 纵向加密认证装置 用户手册 2013 年 7 月 实用标准文档 文案大全 目录 1 概述.4 1.1编写目的.4 1.2阅读对象.4 1.3装置组成.4 1.4装置状态介绍 .4 1.5部署阶段.5 2 规划阶段.-1-2.1 网络拓扑 .-1-2.2确定安装位置 .-1-2.2 规划IP地址.-2-2.2调查安全需求 .-2-3 准备阶段.-2-3.1设备管理.-2-3.1.1 设备连接.-2-3.1.2 连接图.-3-3.2设备初始化.-3-3.3配置装置策略 .-6-3.3.1 包过滤规则.-6-3.3.2 本机 IP 配置.-7-3.3.3 路由配置.-7-3.

2、3.4 隧道配置.-8-3.3.5 隧道策略配置.-8-3.2.6 添加隧道.-8-3.2.7 添加隧道策略.-9-3.3装置管理.-10-3.3.1 系统加电.-10-3.3.2 设备初始化.-10-3.3.3 登录纵向装置.-11-3.3.4 设置工作模式.-11-3.3.5 事件配置.-11-3.3.6 审计配置.-12-3.3.7 安全管理.-12-3.3.8 双机热备.-13-4 实施阶段.-13-4.1安装.-13-4.2加电启动.-13-4.3检查状态.-14-实用标准文档 文案大全 4.3.1 查看网卡状态.-14-4.3.2 查看装置状态.-14-4.3.3 察看监控信息.-

3、14-4.3.4 调试工具.-15-4.3.5 查看策略.-16-4.3.6 检查装置加解密状态.-16-4.3.7 检查数据通信是否正常.-16-4.4装置配置.-17-4.4.1 透明模式对通拓扑.-17-4.4.2 导入对端装置证书.-17-4.4.3 接口配置.-17-4.5 报警.-18-4.5.1 开关.-18-4.5.2 指示灯.-18-5 调试和检验阶段.-18-5.1故障排查手册 .-18-5.2维护阶段.-20-6 附录.-21-6.1事件信息对应表 .-21-实用标准文档 文案大全 1 概述 1.1 编写目的 通过阅读本手册，用户可以掌握基本的装置配置及管理方法。通过一个

4、装置部署案例，按流程简要的介绍装置系统的实施，使用及维护方法。1.2 阅读对象 本手册面向装置系统管理人员、维护人员、及项目实施工程师和产品售后工程师。1.3 装置组成 装置系统为 C-S 架构即客户端-服务器架构，用户使用客户端管理器通过配置串口对装置进行管理及配置。1.4 装置状态介绍 纵向装置共有两种工作状态：1 初始化状态；2 管理状态。1 初始化状态 未导入本机相关证书及完成相关初始化操作的装置会进入到初始化状态，该状态下用户不能管理装置，只能进行相应的初始实用标准文档 文案大全 化操作，等装置完成初始化操作时，重启装置即可进入管理状态。完成初始化操作的功能有（1）生成装置装置证书请

5、求；（2）生成用户证书请求；（3）初始化；（4）导入 CA 证书；（5）导入管理中心证书；（6）导入设备证书；（7）导入用户证书；（8）导入对端装置证书；经过上述 8 个操作步骤，完成设备初始化，重启设备；2 管理状态 通过初始化装置操作之后，装置正常启动，此时系统中用户口令为 dianli123，登录之后用户可以验证、修改口令；管理配置策略。1.5 部署阶段 提示：装置的部署包括以下五个阶段：规划阶段、准备阶段、实施阶段、调试和检验阶段、维护阶段。以下内容将为您介绍每个阶段的具体任务，和操作流程。实用标准文档 文案大全 2 规划阶段 2.1 网络拓扑 网络拓扑实例：在图 1-1 中包括 3

6、个要部署装置的网点A、B、C。图 1-1 2.2 确定安装位置 装置安放于 Quidway NE80 路由器，和 S8016 路由交换机之间，采用双机热备拓扑，如图：1-2 每个网点两台装置同时工作。图 1-2 A B C 实用标准文档 文案大全 2.2 规划 IP 地址 每台装置需要一个 IP 地址。例如：A 节点装置分配：主 10.0.0.3/24，备 10.0.0.4/24。B 节点装置分配：主 10.0.1.3/24，备 10.0.1.4/24。C 节点装置分配：主 10.0.2.3/24，备 10.0.3.4/24。2.2 调查安全需求 调查实际网络拓扑中每个节点的安全需求，和业务需

7、求，IP 地址范围等信息，做好汇总和记录。3 准备阶段 3.1 设备管理 3.1.1 设备连接 1.准备一台 pc 机，xp 或 win7 系统。将 DLCryptClient.exe 管理器程序拷贝到 pc 机。2.设置 PC 机管理地址 192.56.56.56。3.网线连接 PC 机和设备的管理口，在 pc 上 ping 192.56.56.1，可 ping通设备。4.打开管理器，选择网口连接，点击连接，连接设备。5.使用登录密码 dianli123登录。实用标准文档 文案大全 3.1.2 连接图 3.2 设备初始化 管理器登录后：（1）生成装置证书请求；（2）生成用户证书请求；（3）初

8、始化；（4）导入 CA 证书；（5）导入管理中心证书；（6）导入设备证书；（7）导入用户证书；（8）导入对端装置证书；（9）重启装置；（10）设置系统时间；注意：以上步骤 1-3 在设备部署时完成。4-10 用户可以重新实用标准文档 文案大全 进行。其中步骤 1、步骤 2“生成装置、用户请求文件”时要添入信息如下：其中经过步骤 1（生成装置证书请求）、步骤 2（生成用户证书）之后必须马上进行步骤 3（初始化）操作；进行步骤 1、2、3 的过程中不允许重启装置；其目的是为了保证密钥安全性。进行步骤 3 操作时界面信息如下：其中步骤 4-8 均为向装置导入证书；先进行步骤 4 然后在进实用标准文档

9、 文案大全 行步骤 5-8 的证书导入；其中进行步骤 4-7 操作时界面信息如下：其中进行步骤 8 操作时界面信息如下：经过步骤 1-8 时，必须进行步骤 9（重启装置）的操作；进过步骤 9 后进行步骤 10（设置系统时间）操作，步骤 10 操作时界面信息如下：实用标准文档 文案大全 3.3 配置装置策略 3.3.1 包过滤规则 实用标准文档 文案大全 3.3.2 本机 IP 配置 3.3.3 路由配置 实用标准文档 文案大全 3.3.4 隧道配置 3.3.5 隧道策略配置 本例中纵向装置 1 要建立到纵向装置 2 的隧道。3.2.6 添加隧道 根据安全需要，添加加密通信隧道。实用标准文档 文

10、案大全 本例中纵向装置 1 到纵向装置 2 的隧道，指定的加密规则为：本端地址 1.1.1.1/32 访问目标 1.1.1.2/32 双向加密。3.2.7 添加隧道策略 注意：1.在为每台纵向装置添加隧道策略时，要保证规则中的 IP 地实用标准文档 文案大全 址范围，不要重叠（即同样的数据包走不同的隧道），因为数据包匹配加密规则时只能匹配到位置靠前的一条。2.隧道的加密规则只有在隧道工作模式为密通时有效，隧道工作模式为明通时将不对数据进行加密。加解密过程：当纵向装置1的内网口 收到 30.1.1.100/24-30.1.1.200/24的数据包时，会匹配加密规则，决定应该加密，加密后发往通道对

11、端的纵向装置 2。当纵向装置 2 的外网口收到隧道中的数据包解密后，30.1.1.100/24-30.1.1.200/24将不再匹配加密规则。如 果 纵 向 装 置2的 外 网 口 收 到 了 一 个1.1.1.200/24-1.1.1.100/24的数据包，将会匹配加密规则。3.3 装置管理 初始化设备之后系统进入管理状态；导入证书和配置策略后，系统进入工作状态。3.3.1 系统加电 接好电源，确定地线已接好，按开机按钮。检查：各网口状态灯和前面板指示灯是否有故障 3.3.2 设备初始化 参看 3.1 章节。实用标准文档 文案大全 3.3.3 登录装置 使用口令 dianli123登录纵向装

12、置，完成校验。3.3.4 设置工作模式 工作模式有安全，旁路（默认为安全，可以根据需要进行修改，建议使用安全模式）。装置工作在旁路模式时会点亮旁路信号灯。3.3.5 事件配置 用户可以在这里指定报警的条件和等级，也可以在这里停止正在进行的报警。实用标准文档 文案大全 3.3.6 审计配置 用户可以在这里开启装置审计配置。3.3.7 安全管理 对装置的策略配置、管理信息等进行备份、回复。实用标准文档 文案大全 3.3.8 双机热备 4 实施阶段 4.1 安装 戴好防静电手环，将纵向装置上架后，连接好内网口和外网口的网线。4.2 加电启动 检查各指示灯状态，将笔记本串口连接到装置管理口，使用管理器

13、登录：默认密码dianli123。实用标准文档 文案大全 4.3 检查状态 4.3.1 查看网卡状态 使用审计员通过管理器-监控管理-策略-本机 IP 地址，察看网卡状态是否正确。观察机箱上的数据指示灯是否正常工作，网卡接口灯是否正常工作。4.3.2 查看装置状态 使用审计员登录纵向装置通过监控管理功能查看一下。查看装置状态：加解密是否成功。查看隧道状态：看隧道是否按设计规划建立成功，隧道优先 级是否正确。图 1-22 4.3.3 察看监控信息 看监控策略功能是否正常启动，有无异常信息。实用标准文档 文案大全 图 1-23 用户可以通过设置查询条件来，筛选日志信息：日志类型有：人员操作，通信信

14、息，系统信息。用户可以将查询到的日志信息导出存为 txt 文件。注意：日志信息保存在 flash 卡上，如果装置未插入 flash卡，则日志保存在内存中。4.3.4 调试工具 测试网络是否畅通，IP 地址是否正确等。实用标准文档 文案大全 图 1-24 4.3.5 查看策略 用户可以通过管理器的策略管理修改策略，看策略是否正确应用。图 1-26 4.3.6 检查装置加解密状态 通过监控管理的查看系统状态功能，检查加解密数据包的数量是否正确。4.3.7 检查数据通信是否正常 通过调试工具的实时监控查看通过装置的各种通信状态是否正常。实用标准文档 文案大全 4.4 装置配置 4.4.1 透明模式对

15、通拓扑 30.1.1.1030.1.1.201.1.1.11.1.1.230.1.1.10030.1.1.200 4.4.2 导入对端装置证书 配置到拓扑中的装置必须导入对端的装置证书，才能进行 IKE协商。4.4.3 接口配置 外网口：10.1.1.1/24 内网口：30.1.1.1/24 内外网口可以任意配置，网桥配置之后内外网口都被划分到网桥之内，地址清 0。子网口：30.1.1.10/24 子网口的作用是为了保证子网和装置网桥在不同网段时候，装置可以获取子网 PC 的 MAC 地址，必须配置并要保证子网口地址不在子网范围内。网桥：1.1.1.1/24 装置协商地址，透明模式数据通信加密

16、端地址，必须配置。实用标准文档 文案大全 4.5 报警 4.5.1 开关 装置的面板上提供了旁路、初始化、销毁三个开关，当纵向装置处于管理器不可访问的危险状态时，为了保护密钥等相关私密信息的安全性,按下开关 3 秒钟以上时，开关对应的功能启用。如果按下旁路开关，纵向装置仅仅作为一个网桥设备转发数据；如果按下初始化开关，纵向装置重新进行初始化操作；如果按下销毁开关，纵向装置内的密钥被销毁；4.5.2 指示灯 电源：装置加电时，电源指示灯点亮，装置加电启动；管理：管理口接入网线时，管理指示灯点亮；内网 1：内网口 1 接入网线时，内网口 1 指示灯点亮；外网 1：外网口 1 接入网线时，外网口 1

17、 指示灯点亮；内网 2：内网口 2 接入网线时，内网口 2 指示灯点亮；外网 2：外网口 2 接入网线时，外网口 2 指示灯点亮；工作：当系统正常启动时，工作灯点亮；报警：当系统中设备密钥出错或者隧道并未建立时，报警灯点亮；5 调试和检验阶段 5.1故障排查手册 案例 1：当设备状态发生切换时：网络管理人员要对故障装置或实用标准文档 文案大全 网络进行检查，以排除故障，恢复设备的正常运行。排查过程：网络故障 检查设备各网口的网线是否接触良好。通过管理器查看系统信息，监控管理查看通道是否仍让存在，重新应用策略看是否通道正常建立。隧道没有建立成功：1，查看策略是否应用成功。2，通过调试工具 pin

18、g,检查对端装置是否可达，路由配置是否正确。（如果 ping 不通对方，请确定，到对端装置的物理链路，及对端装置的路由配置，IP 地址是否正确）。3，检查策略中对端装置 IP 是否正确，检查加密规则是否配置错误，是否包含了本地装置或对端装置。使用管理员登录管理器，重新应用策略；使用审计员登录管理器，查看日志信息，看是否有异常操作或通信信息。隧道故障 案例 2：到对端的隧道没有建立 如果装置隧道没有建立成功，按照以下步骤，排除故障。首先排除网络故障。进入“证书管理”检查对应的装置证书是否错误，检查本地证书是否一致，对端装置检查证书是否一致，如果任何一端有不一致，要重新获得正确的对端装置的证书，重

19、新导入。再次检查实用标准文档 文案大全 如果仍不一致，需要重新生成请求文件，生成证书。查看策略配置,看安全策略是否正常上载。设备硬件故障 1指示灯不亮。发生上述故障请及时联系厂商，进行更换和维修。5.2 维护阶段 1如果装置报警，可以通过管理器登录，产看由于何种原因报警，并及时保存日志。3如果需要修改策略，可以使用操作员登录管理器修改策略配置。图 1-27 4可以根据对端装置发布的“更新通告”，删除，或添加证书文件，重新应用策略并重启装置。5定期检查装置日志。6当系统需要重新部署，或需要清除装置的密钥，可以使用“初始化设备”功能。实用标准文档 文案大全 6 附录 6.1事件信息对应表 EMERGENCY 日志级别 0 ALERT 日志级别 1 CRITICAL 日志级别 2 ERROR 日志级别 3 WARN 日志级别 4 NOTIFY 日志级别 5 INFO 日志级别 6 DEBUG 日志级别 7