SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南设计.docx

1、SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南设计SJW77电力系统纵向加密认证装置(WT125-7P-AA)快 捷 使 用 指 南（请在使用产品前仔细阅读本指南）卫士通信息产业股份有限公司二零一四年制1 关于本指南 SJW77电力系统专用纵向加密认证装置(商密局鉴定型号：SJW77网络密码机，以下统称为纵向加密认证装置)属于行业专用产品，主要部署在各级电力调度网络(见图一)中，是保护国家电力调度通讯信息基础而重要的数据加密设备。SJW77电力系统纵向加密认证装置严格按照电力专用加密认证装置技术规范进行设计和开发，该设备采用专门的加密封包格式，在IP层实现数据的机密性、完整性

2、和数据源鉴别等安全功能。同时也支持与其它厂家纵向加密装置互联互通。本快速安装指南以介绍纵向加密认证装置常用功能为主，更详细的介绍与案例分析请参考SJW77电力系统专用纵向加密认证装置用户手册。2 安全申明 登陆纵向加密认证装置时，需要认证管理员IC卡，IC卡丢失或使用不匹配的IC卡均会导致登陆失败，所以请妥善保管管理员IC卡。 为了使纵向加密认证装置能够更稳定的工作，因此本设备配备了双电源。在设备上架后，对设备尽量使用两路供电。 设备上架后，将设备固定好，并连接好接地线。3 设备及组件介绍3.1. 低端产品前面板介绍SJW77电力系统纵向加密认证装置前视图 状态模块标记说明备注指示灯电源设备上

3、电状态设备上电后亮绿色灯；慢闪表示一个电源槽位没有电源模块；快闪表示一个槽位的电源模块异常，模块未接电源或者故障。告警设备告警状态状态设备初始化状态未初始化亮橙色灯；初始化完成亮绿灯。加密卡加密卡工作状态加密卡工作时橙色灯闪烁。内网内网网线连接状态网线连接上变绿色外网外网网线连接状态网线连接上变绿色内网1内网1网线连接状态网线连接上变绿色外网1外网1网线连接状态网线连接上变绿色心跳心跳网线连接状态网线连接上变绿色配置配置网线连接状态网线连接上变绿色IC卡IC卡插入状态IC卡未插入到位，不亮或亮黄灯；IC卡完全插入，亮绿灯。电源电源连接亮起设备采用双电源，只接单一电源时，会发出报警声3.2. 低

4、端产品后板介绍SJW77电力系统纵向加密认证装置后视图状态模块标记说明备注网卡内网作为通信口使用外网作为通信口使用内网1作为通信口使用外网1作为通信口使用心跳双机环境，主备机间通信使用配置与管理PC相连，用于本地管理串口控制波特率为115200低端设备串口为RJ45按钮旁路按下该按钮后，设备内外网口、内外网口1两两逻辑相连电源电源连接开机后，指示灯亮起设备采用双电源，只接单一电源时，会发出报警声4 产品配件及设备启动在产品包装箱内装有电力系统纵向加密认证装置一台，交叉线三根，直连线两根，电源线两根，机箱脚垫四个，用户IC卡两张，本地管理安装光盘一张，接地线一根，浮动螺母十六套，用户手册一本，产

5、品合格证一份，售后服务指南一份，产品装箱清单一份，用户开箱后请参见装箱清单检查配件是否齐全，然后查看设备外观是否有损坏现象，如有问题，请勿使用并及时与我公司取得联系，处理相关事宜。为了保障产品稳定、可靠的运行，请用户不要私自打开纵向加密认证装置的机箱。纵向加密认证装置上架后，根据用户需求，决定设备是否需要固定。在设备前面板把手处有螺丝孔，用于固定设备时使用。设备上架完成后，连接电源线及接地线，便可进行启动。一般情况下，纵向加密认证装置的外网口、外网口1用于连接路由器，内网口、内网口1用于连接交换机，在实际环境中，根据具体需求进行连接即可。另外，如果在纵向加密认证装置未完成配置前接入实际环境中，

6、是会导致通信中断的，所以为了避免该现象的出现，建议在配置完成后，将纵向加密认证装置接入实际环境中。5 本地管理软件安装步骤纵向加密认证装置随机带有管理软件安装光盘，将光盘插入用户管理PC机，进入文件夹“本地管理安装程序”，双击文件夹中的安装执行文件（Setup.exe），具体安装步骤如下图所示：点击”下一步”；点击“是”；输入用户名和公司名称后，点击“下一步”；选择安装目录后，点击”下一步”；管理器正在安装中；安装成功。点击”完成”退出管理软件安装界面，自动生成桌面快捷方式如下图所示：6 设备的初始化初始化与签发流程如下：1) 导出设备证书请求；2) 导出管理员卡证书请求；3) 导入根证书；4

7、) 在证书签发中心，对设备证书请求，管理员卡证书请求进行签发；5) 导入并验证设备证书；6) 导入并验证管理员卡证书。注：在初始化前，应将管理员IC卡插入纵向加密认证装置中，否则无法完成初始化操作。具体操作步骤如下：6.1 导出设备证书请求导出设备证书请求前需要先添加证书主题，用户需要完整填写所有的证书主题信息（信息不全，无法成功导出设备证书请求），然后选择本地管理PC路径点击“导出设备证书请求”，操作成功会弹出提示框，如下图所示：点击“确定”按钮后，自动跳转到下一操作界面，并且 “导出设备证书请求”操作标示已成功。6.2 导出管理员卡证书请求导出管理员卡证书请求需选择管理员卡（有主卡、副卡之

8、分），操作示范选择主管理员卡，然后添加证书主题，主题不能为空，选择本地管理PC路径点击“导出管理员卡证书请求”，操作成功会弹出提示框，如下图所示：点击“确定”按钮后，“导出管理员证书请求”后标示操作成功，自动跳转到下一操作界面。 建议：一台设备出厂时标配两张管理员空白IC卡，为了区分两张IC卡，初始化时标示为主卡/副卡，建议主/副管理员卡都进行初始化操作。6.3 导入根证书用户从保存的根证书路径中选择需要导入的根证书后，点击“导入根证书”按钮，操作成功后，系统会弹出提示框，如下图所示：点击“确定”按钮后，“导入根证书”标示操作成功，自动跳转到下一操作界面。 6.4 导入设备证书用户从保存的设备

9、证书路径中选择需要导入的设备证书后，点击“导入本设备证书”按钮，会弹出操作成功提示框，如下图所示：点击“确定”按钮后，“导入设备证书”后标示操作成功，自动跳转到下一操作界面。 6.5 导入管理员卡证书，并完成初始化用户从保存的管理员卡证书路径中选择需要导入的管理员卡证书后，点击“导入管理员卡证书”按钮，操作成功，系统弹出提示框，如下图所示：点击“确定”按钮后，“导入管理员卡证书”标示操作成功，“完成”按钮被激活，如下图所示：点击“完成”按钮，初始化完成，初始化界面关闭，并自动跳转到登录界面，如下图所示：7 使用配置指南在对纵向加密认证装置进行配置之前，首先需要操作人员完全了解实际网络环境的部署

10、情况，包括IP地址的分配，子网掩码的划分，VLAN的配置情况，以及相关路由信息等。7.1 纵向加密认证装置地址分配纵向加密认证装置的地址是根据用户而确定的，在对其进行配置前，需要确定设备的IP地址与子网掩码。如果纵向加密认证装置未分配到IP地址，此刻需要注意，在建立隧道时，应该采用地址借用模式，具体配置请参见SJW77电力系统纵向加密认证装置用户手册的“9典型应用环境配置案例”中的“9.2地址借用”。7.2 网络管理网络管理包含了网络地址设置，VLAN设置，网桥设置，路由设置，ARP设置7.2.1 网络地址设置进入“网络管理”的“网络地址设置”，操作界面如下：点击添加按钮，可以为接口添加网络地

11、址，添加界面如下图所示：接口名称：所要配置的网口名称，从下拉列表中选择（如果需要配置的为桥接口，需要先添加桥接口）。IP地址：所要配置网口的IP 地址。子网掩码：所要配置网口的掩码。7.2.2 VLAN设置进入“网络管理”的“VLAN设置”，操作界面如下：点击添加按钮，选择接口并输入VLAN ID号，点击“确认”为接口添加VLAN。如下图所示：接口名称：所要配置的装置网口的名称，从下拉列表中选择；VLAN ID：所要配置网口的VLAN ID 信息，范围14094。7.2.3 路由设置进入“网络管理”的“路由设置”，操作界面如下：点击添加按钮，类型选择需要添加的路由类型。如下图所示：路由类型：路

12、由信息的名称描述，包括子网路由、主机路由、缺省网关。接口名称：为所要配置网口名称，建议选择为自动。目的地址：所要到达网段的IP地址。目的地址掩码：为所要配置目的地址的掩码。网关地址：即下一跳地址 。7.2.4 网桥设置，ARP设置该两项设置，请详见用户手册“6.2.5网络管理”的“6.2.5.3网桥设置”和“6.2.5.5ARP设置”。7.3 证书管理证书管理功能主要用于对根证书，远端设备证书，远端管理证书进行管理，本指南仅介绍远端设备证书的管理，其他请详见SJW77电力系统纵向加密认证装置用户手册的“6.2.6证书管理”“远程设备证书”为对端通信设备的证书，本地加密认证装置需要导入远端设备产

13、生的证书(包含远端设备的公钥)，用于装置通信时证书的认证。操作界面如下图所示：用于导出设备证书至本地管理PC，选取要导出的设备证书后点击按钮，弹出保存界面，选取保存路径，点击“确认”，导出该设备。 添加：点击添加按钮，添加相应证书名称、绑定的IP地址并且选择正确的设备证书路径，点击“确认”，界面如下图：证书名称：用于配置证书的信息。绑定的IP：对端加密装置的IP地址。 修改：选取相应远程设备证书点击修改按钮，修改项包括：证书名称、绑定IP地址、设备证书文件路径，如下图所示： 删除：选取相应远程设备证书点击删除按钮，删除该设备证书。7.4 隧道、规则建立7.4.1 隧道的建立进入“安全策略”的“

14、VPN隧道及安全策略管理”，点击添加隧道，并设定相关参数，添加界面如下图所示：隧道ID：默认生成，用户无法修改。隧道源地址：本地端(或源端)纵向加密认证装置IP地址。隧道目的地址：对端（或目的端）纵向加密认证装置IP地址。备用目的地址：用于配置备用隧道目的IP地址，当对端隧道存在主备情况时使用。通讯模式：包括加密、明文、可选，默认为加密。建议：隧道对端旁路自适应检测默认开启，建议开启此功能，用于对端设备旁路后，本地设备探测及时切换通讯状态。7.4.2 规则的建立点击隧道前面的 符号展开隧道，点击策略界面的添加按钮，为隧道添加相应策略，具体操作界面如下图所示：源地址范围：本地通信IP受保护地址范

15、围。目的地址范围：对端通信IP受保护地址范围。协议：用于配置策略过滤协议，包括ALL/ICMP/TCP/UDP。源端口：用于配置源端口范围。目的端口：用于配置目的端口范围。处理方式：用于设置策略通信方式，包括转发、丢弃。描述：策略的描述信息。7.5 备份、恢复备份、恢复功能在“设备管理”目录下。7.6.1 配置备份配置备份功能用于将纵向加密认证装置的配置信息备份至本地管理PC，具体操作界面如下图所示，选择备份文件的保存路径并输入备份文件名（建议备份文件以备份时间命名，便于以后恢复用），在备注信息输入框内输入备注信息，确认完成后，点击“启动系统备份”按钮，进行系统配置备份，如下图所示：建议：在用

16、户完成、修改配置后进行系统备份，便于以后系统恢复时使用。备份成功后弹出系统备份成功对话框，点击确定后完成系统备份，如下图所示：7.6.2 配置恢复当用户配置错误或操作不当时，希望恢复到之前的配置，“配置恢复”功能就可用于将备份的配置信息恢复到设备中。选择本地PC保存的备份文件，点击“启动系统恢复” 后弹出用户口令验证框，输入正确的口令，恢复成功后设备自动重启，如下图所示：8 常见问题及疑难解答8.1 常见问题8.1.1 用户网络故障接入纵向加密认证装置之前首先应确保用户网络正常。在多次工程实施中，出现的故障多次由于用户网络自身原因造成，因此在用户处首先应保证用户网络正常。手段：有条件的话在客户

17、义务机上ping对端业务机。不通，说服客户排查网络问题。其次接上纵向加密认证装置，配置地址和路由后ping对端纵向加密认证装置不通，使用SPING探测对端纵向加密认证装置。不通，则跳过纵向加密认证装置，直接接一台笔记本，使用tracert跟踪路由，提取证据说服客户排查网络问题。8.1.2 纵向加密认证装置之间的网络不通纵向加密认证装置之间无法ping通，尝试使用SPING探测对端纵向加密认证装置。如果SPING能够顺利探测到对端状态，那密钥协商不受影响。不通，检查路由配置。不通、返回“1)用户网络故障”排查。8.1.3 证书存在问题通过以上手段，隧道仍然无法达到OPEN。则检查日志信息，是否存

18、在证书错误的日志。如未出现，检查对端纵向加密认证装置日志是否存在证书错误信息。8.1.4 通讯正常，但没有对数据包进行加密。可能存在的问题：对端纵向加密认证装置不在线；已设置整机明通；冗余端纵向加密认证装置硬旁路。8.1.5 验证签名失败 日志信息显示：RSA Verify Error可能的原因：这通常是由于本地或者对端设备证书导入出错导致的。查找解决办法：尝试重新导入设备证书，或者重新导出设备证书请求并签发后再次导入。8.1.6 协商超时 日志信息显示：Chat failed ,chat with ip time out （ip表示隧道对端德ip地址）可能的原因：这通常是由于对端隧道没有正确

19、建立或者对端设备的密钥协商进程没有正常启动导致的。查找解决办法：检查两端设备的协商进程是否正常启动，检查双方的隧道是否正确，用sping工具尝试探测对端设备，看是否正常。8.1.7 协商进程正常启动，隧道正确建立，会话密钥没有协商成功可能的原因：目前协商进程采用的是被动协商的方法，除了设备启动以外，所有的协商都需要底层的触发，设备在启动以后最多尝试向对端设备发起三次协商，如果协商失败则不再发起，查找解决办法：尝试在本地业务机上ping对端业务机，使有流量经过纵向加密认证装置。在本地设备上依次执行以下命令：killall keychat ; rm /root/start ; /gbin/keyh

20、at -f 8.1.8 设备隧道和协商进程正常开启，tcpdump 在外网口能够抓到来自对端设备的协议号为包长度是的协商报文，但是本地没有给予回应可能的原因：本地设备验证签名失败；可能是由于本地设备处于旁路状态。查找解决办法：如果是验证签名失败请参考中的查找解决办法；如果不是，请检查本地设备是否开启了旁路自适应探测，尝试用gd2_tool工具察看隧道是否处于旁路状态，如果处于旁路状态请开启旁开路自适应探测。8.1.9 私钥签名失败 日志信息：RSA Sign Error可能的原因：读取设备私钥失败。查找解决办法：执行/gbin/shm_prikey8.2 疑难解答8.2.1 进入纵向加密认证装

21、置命令行的方法8.2.1.1 通过SSH方式可以通过SecureCRT、SSH Secure等软件登陆到纵向加密认证装置的命令行，对其进行控制与调试。8.2.1.2 通过串口可以通过SecureCRT、超级终端等软件登陆到纵向加密认证装置的命令行，对其进行控制与调试。纵向加密认证装置的波特率为115200。8.2.2 隧道状态、设备状态查询成功登陆到纵向加密认证装置的命令行后，输入如下命令：查看隧道状态：gd_spdcfg S查看规则：gd_spdcfg SP8.2.3 网络排查（PING、SPING、TCPDUMP等）8.2.3.1 ping程序功能：检查网络是否可达。操作方法：ping i

22、p 8.2.3.2 sping程序功能：探测对端设备的状态，探测成功后可以手动协商。操作方法：/gbin/sping sip dip其中sip,dip分别表示隧道的源地址和目的地址。8.2.3.3 tcpdump程序功能：抓包工具,用于查看特点接口收/发包是否正常。操作方法：tcpdump i interface esp -加密包tcpdump i interface -全部包tcpdump -i interface proto 253 xx -协商包 interface为接口名称。8.2.3.4 check_key程序功能：检查指定隧道的内核的会话密钥。操作方法：/gbin/check_ke

23、y sip dip 其中sip,dip表示隧道的源地址和目的地址。8.2.3.5 all_tunstate程序功能：获取所有隧道的协商状态例如：root: # /gbin/all_tunstate 获取所有隧道状态rcv tun state:total tunnum = 1|sip | dip | chatstatus | open_time | send_requpkts | recv_err_pkts | recv_ok_pkts | dsjw77_status|a010101 a010102 3 0 208 227 0 1sip：隧道源地址dip:隧道目的地址chatstatus：协商状

24、态open_time：上次协商成功的时间send_requpkts：发送的协商请求包数recv_err_pkts：接收错误的协商包数recv_ok_pkts：接收正确的协商包数dsjw77_status：隧道的主从状态8.2.4 应急处理办法当设备之间数据无法正常密通时，可以应急将本地设备置为旁路模式（对端设备开启旁路探测），此时数据包明文通信。低端开启旁路的方式：1、按下后板的旁路按钮2、关机状态9 产品维护和保养 应确保设备的使用环境干净、干燥。 请勿剧烈震动、摇晃或用力敲打设备。 避免在过高或过低温度的环境下使用设备，避免设备暴露在强烈日光下或湿度较高的环境中。 请保持设备远离强电磁场，远离水源及灰尘较多的地方使用。 应保证本设备供电电源的接地良好，防止静电。对于电源不稳定的地区，建议配备稳压电源。 清洁设备时，请勿使用化学制品擦拭机身，如：汽油、稀释剂等。