《电力系统专用纵向加密认证装置用户手册.doc》由会员分享,可在线阅读,更多相关《电力系统专用纵向加密认证装置用户手册.doc(29页珍藏版)》请在三一文库上搜索。
1、. 精品 纵向加密认证装置纵向加密认证装置 用户手册用户手册 20132013 年年 7 7 月月 . 精品 目录目录 1 概述.4 1.1编写目的.4 1.2阅读对象.4 1.3装置组成.4 1.4装置状态介绍.4 1.5部署阶段.5 2 规划阶段.- 1 - 2.1 网络拓扑.- 1 - 2.2确定安装位置.- 1 - 2.2 规划IP地址.- 2 - 2.2调查安全需求.- 2 - 3 准备阶段 .- 2 - 3.1设备管理.- 2 - 3.1.1 设备连接 .- 2 - 3.1.2 连接图 .- 2 - 3.2设备初始化.- 3 - 3.3配置装置策略.- 6 - 3.3.1 包过滤规
2、则 .- 6 - 3.3.2 本机 IP 配置.- 7 - 3.3.3 路由配置 .- 7 - 3.3.4 隧道配置 .- 8 - 3.3.5 隧道策略配置 .- 8 - 3.2.6 添加隧道 .- 8 - 3.2.7 添加隧道策略 .- 9 - 3.3装置管理.- 10 - 3.3.1 系统加电 .- 10 - 3.3.2 设备初始化 .- 10 - 3.3.3 登录纵向装置 .- 11 - 3.3.4 设置工作模式 .- 11 - 3.3.5 事件配置 .- 11 - 3.3.6 审计配置 .- 12 - 3.3.7 安全管理 .- 12 - 3.3.8 双机热备 .- 13 - 4 实施
3、阶段 .- 13 - 4.1安装.- 13 - 4.2加电启动.- 13 - 4.3检查状态.- 14 - . 精品 4.3.1 查看网卡状态 .- 14 - 4.3.2 查看装置状态 .- 14 - 4.3.3 察看监控信息 .- 14 - 4.3.4 调试工具 .- 15 - 4.3.5 查看策略 .- 16 - 4.3.6 检查装置加解密状态 .- 16 - 4.3.7 检查数据通信是否正常 .- 16 - 4.4装置配置.- 17 - 4.4.1 透明模式对通拓扑 .- 17 - 4.4.2 导入对端装置证书 .- 17 - 4.4.3 接口配置 .- 17 - 4.5 报警.- 18
4、 - 4.5.1 开关 .- 18 - 4.5.2 指示灯 .- 18 - 5 调试和检验阶段 .- 18 - 5.1故障排查手册.- 18 - 5.2维护阶段.- 20 - 6 附录.- 21 - 6.1事件信息对应表.- 21 - . 精品 1 1 概述概述 1.11.1 编写目的编写目的 通过阅读本手册,用户可以掌握基本的装置配置及管理方法。 通过一个装置部署案例,按流程简要的介绍装置系统的实施, 使用及维护方法。 1.21.2 阅读对象阅读对象 本手册面向装置系统管理人员、维护人员、及项目实施工程 师和产品售后工程师。 1.31.3 装置组成装置组成 装置系统为 C-S 架构即客户端-
5、服务器架构,用户使用客户端 管理器通过配置串口对装置进行管理及配置。 1.41.4 装置状态介绍装置状态介绍 纵向装置共有两种工作状态:1 初始化状态 ;2 管理状态。 1 初始化状态 未导入本机相关证书及完成相关初始化操作的装置会进入到 . 精品 初始化状态, . 精品 该状态下用户不能管理装置,只能进行相应的初始化操作, 等装置完成初始化操作时,重启装置即可进入管理状态。完成 初始化操作的功能有 (1)生成装置装置证书请求; (2)生成用户证书请求; (3)初始化; (4)导入 CA 证书; (5)导入管理中心证书; (6)导入设备证书; (7)导入用户证书; (8)导入对端装置证书; 经
6、过上述 8 个操作步骤, 完成设备初始化,重启设备; 2 管理状态 通过初始化装置操作之后,装置正常启动,此时系统中用户 口令为 dianli123,登录之后用户可以验证、修改口令;管理配 置策略。 1.51.5 部署阶段部署阶段 提示:装置的部署包括以下五个阶段:提示:装置的部署包括以下五个阶段: 规划阶段、准备阶段、实施阶段、调试和检验阶段、维护阶 段。以下内容将为您介绍每个阶段的具体任务,和操作流程。 . 精品 2 2 规划阶段规划阶段 2.12.1 网络拓扑网络拓扑 网络拓扑实例:在图 1-1 中包括 3 个要部署装置的网点 A、B、C。 图 1-1 2.22.2 确定安装位置确定安装
7、位置 装置安放于 Quidway NE80 路由器,和 S8016 路由交换 机之间,采用双机热备拓扑,如图:1-2 每个网点两台装置同 时工作。 图 1-2 A B C . 精品 2.22.2 规划规划 IPIP 地址地址 每台装置需要一个 IP 地址。 例如: A 节点装置分配:主 10.0.0.3/24 ,备 10.0.0.4/24。 B 节点装置分配:主 10.0.1.3/24 ,备 10.0.1.4/24。 C 节点装置分配:主 10.0.2.3/24 ,备 10.0.3.4/24。 2.22.2 调查安全需求调查安全需求 调查实际网络拓扑中每个节点的安全需求,和业务需求, IP 地
8、址范围等信息,做好汇总和记录。 3 3 准备阶段准备阶段 3.13.1 设备管理设备管理 3.1.13.1.1 设备连接设备连接 1. 准备一台 pc 机,xp 或 win7 系统。将 DLCryptClient.exe 管理器程序拷贝 到 pc 机。 2. 设置 PC 机管理地址 192.56.56.56。 3. 网线连接 PC 机和设备的管理口,在 pc 上 ping 192.56.56.1,可 ping 通设 备。 4. 打开管理器,选择网口连接,点击连接,连接设备。 5. 使用登录密码 dianli123登录。 . 精品 3.1.23.1.2 连接图连接图 3. 3.2 2 设备初始化
9、设备初始化 管理器登录后: (1)生成装置证书请求; (2)生成用户证书请求; (3)初始化; (4)导入 CA 证书; (5)导入管理中心证书; (6)导入设备证书; (7)导入用户证书; (8)导入对端装置证书; (9)重启装置; (10)设置系统时间; 注意:以上步骤 1-3 在设备部署时完成。4-10 用户可以重新 进行。 其中步骤 1、步骤 2 “生成装置、用户请求文件”时要添入 信息如下: . 精品 其中经过步骤 1(生成装置证书请求) 、步骤 2(生成用户证 书)之后必须马上进行步骤 3(初始化)操作;进行步骤 1、2、3 的过程中不允许重启装置;其目的是为了保证密钥安全 性。进
10、行步骤 3 操作时界面信息如下: 其中步骤 4-8 均为向装置导入证书;先进行步骤 4 然后在进 行步骤 5-8 的证书导入; 其中进行步骤 4-7 操作时界面信息如下: . 精品 其中进行步骤 8 操作时界面信息如下: 经过步骤 1-8 时,必须进行步骤 9(重启装置)的操作;进 过步骤 9 后进行步骤 10(设置系统时间)操作,步骤 10 操作时 界面信息如下: . 精品 3. 3.3 3 配置装置策略配置装置策略 3.3.13.3.1 包过滤规则包过滤规则 . 精品 3.3.23.3.2 本机本机 IPIP 配置配置 3.3.33.3.3 路由配置路由配置 . 精品 3.3.3.3.4
11、4 隧道配置隧道配置 3.3.53.3.5 隧道策略配置隧道策略配置 本例中纵向装置 1 要建立到纵向装置 2 的隧道。 3.2.63.2.6 添加隧道添加隧道 根据安全需要,添加加密通信隧道。 . 精品 本例中纵向装置 1 到纵向装置 2 的隧道,指定的加密规则为: 本端地址 1.1.1.1/32 访问目标 1.1.1.2/32 双向加密。 3.2.73.2.7 添加隧道策略添加隧道策略 注意:注意: 1.在为每台纵向装置添加隧道策略时,要保证规则中的 IP 地 . 精品 址范围,不要重叠(即同样的数据包走不同的隧道) ,因为数据 包匹配加密规则时只能匹配到位置靠前的一条。 . 精品 2.隧
12、道的加密规则只有在隧道工作模式为密通时有效,隧道 工作模式为明通时将不对数据进行加密。 加解密过程:加解密过程: 当纵向装置 1 的内网口 收到 30.1.1.100/24-30.1.1.200/24 的 数据包时,会匹配加密规则,决定应该加密,加密后发往通道 对端的纵向装置 2。 当纵向装置 2 的外网口收到隧道中的数据包解密后, 30.1.1.100/24-30.1.1.200/24 将不再匹配加密规则。 如果纵向装置 2 的外网口收到了一个 1.1.1.200/24- 1.1.1.100/24 的数据包,将会匹配加密规则。 3.33.3 装置装置管理管理 初始化设备之后系统进入管理状态;
13、导入证书和配置策略后, 系统进入工作状态。 3.3.13.3.1 系统加电系统加电 接好电源,确定地线已接好,按开机按钮。 检查:各网口状态灯和前面板指示灯是否有故障 3.3.23.3.2 设备初始化设备初始化 参看 3.1 章节。 . 精品 3.3.33.3.3 登录登录装置装置 使用口令 dianli123登录纵向装置,完成校验。 3.3.43.3.4 设置工作模式设置工作模式 工作模式有安全,旁路(默认为安全,可以根据需要进行修 改,建议使用安全模式) 。 装置工作在旁路模式时会点亮旁路信号灯。 3.3.53.3.5 事件配置事件配置 用户可以在这里指定报警的条件和等级,也可以在这里停止
14、 正在进行的报警。 . 精品 3.3.63.3.6 审计配置审计配置 用户可以在这里开启装置审计配置。 3.3.73.3.7 安全管理安全管理 对装置的策略配置、管理信息等进行备份、回复。 . 精品 3.3.83.3.8 双机热备双机热备 4 4 实施阶段实施阶段 4.14.1 安装安装 戴好防静电手环,将纵向装置上架后,连接好内网口和外网 口的网线。 4.24.2 加电启动加电启动 检查各指示灯状态,将笔记本串口连接到装置管理口,使用 管理器登录:默认密码 dianli123。 . 精品 4.34.3 检查状态检查状态 4.3.14.3.1 查看网卡状态查看网卡状态 使用审计员通过管理器-监
15、控管理-策略-本机 IP 地址,察看 网卡状态是否正确。 观察机箱上的数据指示灯是否正常工作,网卡接口灯是否正 常工作。 4.3.24.3.2 查看装置状态查看装置状态 使用审计员登录纵向装置通过监控管理功能查看一下。 查看装置状态:加解密是否成功。 查看隧道状态:看隧道是否按设计规划建立成功,隧道优先 级是否正确。 图 1-22 4.3.34.3.3 察看监控信息察看监控信息 看监控策略功能是否正常启动,有无异常信息。 . 精品 图 1-23 用户可以通过设置查询条件来,筛选日志信息:用户可以通过设置查询条件来,筛选日志信息: 日志类型有:人员操作,通信信息,系统信息。 用户可以将查询到的日
16、志信息导出存为 txt 文件。 注意:日志信息保存在 flash 卡上,如果装置未插入 flash 卡, 则日志保存在内存中。 4.3.44.3.4 调试工具调试工具 测试网络是否畅通,IP 地址是否正确等。 . 精品 图 1-24 4.3.54.3.5 查看策略查看策略 用户可以通过管理器的策略管理修改策略,看策略是否正确 应用。 图 1-26 4.3.64.3.6 检查装置加解密状态检查装置加解密状态 通过监控管理的查看系统状态功能,检查加解密数据包的数 量是否正确。 4.3.74.3.7 检查数据通信是否正常检查数据通信是否正常 通过调试工具的实时监控查看通过装置的各种通信状态是否 .
17、精品 正常。 . 精品 4.44.4 装置配置装置配置 4.4.14.4.1 透明模式对通拓扑透明模式对通拓扑 30.1.1.10 30.1.1.201.1.1.11.1.1.2 30.1.1.100 30.1.1.200 4.4.24.4.2 导入对端装置证书导入对端装置证书 配置到拓扑中的装置必须导入对端的装置证书,才能进行 IKE 协商。 4.4.34.4.3 接口配置接口配置 外网口:10.1.1.1/24 内网口:30.1.1.1/24 内外网口可以任意配置,网桥配置之后内外网口都被划分到网 桥之内,地址清 0。 子网口:30.1.1.10/24 子网口的作用是为了保证子网和装置网桥
18、在不同网段时候,装 置可以获取子网 PC 的 MAC 地址,必须配置并要保证子网口地 址不在子网范围内。 网桥:1.1.1.1/24 装置协商地址,透明模式数据通信加密端地址,必须配置。 . 精品 4.54.5 报警报警 4.5.14.5.1 开关开关 装置的面板上提供了旁路、初始化、销毁三个开关,当纵向装 置处于管理器不可访问的危险状态时,为了保护密钥等相关私 密信息的安全性,按下开关 3 秒钟以上时,开关对应的功能启用。 如果按下旁路开关,纵向装置仅仅作为一个网桥设备转发数据; 如果按下初始化开关,纵向装置重新进行初始化操作; 如果按下销毁开关,纵向装置内的密钥被销毁; 4.5.24.5.
19、2 指示灯指示灯 电源:装置加电时,电源指示灯点亮,装置加电启动; 管理:管理口接入网线时,管理指示灯点亮; 内网 1:内网口 1 接入网线时,内网口 1 指示灯点亮; 外网 1:外网口 1 接入网线时,外网口 1 指示灯点亮; 内网 2:内网口 2 接入网线时,内网口 2 指示灯点亮; 外网 2:外网口 2 接入网线时,外网口 2 指示灯点亮; 工作:当系统正常启动时,工作灯点亮; 报警:当系统中设备密钥出错或者隧道并未建立时,报警灯点 亮; . 精品 5 5 调试和检验阶段调试和检验阶段 5.15.1故障排查手册故障排查手册 案例案例 1 1:当设备状态发生切换时:网络管理人员要对故障装置
20、 或网络进行检查,以排除故障,恢复设备的正常运行。 排查过程:排查过程: 网络故障网络故障 检查设备各网口的网线是否接触良好。 通过管理器查看系统信息,监控管理查看通道是否仍让存在, 重新应用策略看是否通道正常建立。 隧道没有建立成功:隧道没有建立成功: 1,查看策略是否应用成功。 2,通过调试工具 ping,检查对端装置是否可达,路由配置是 否正确。 (如果 ping 不通对方,请确定,到对端装置的物理链 路,及对端装置的路由配置,IP 地址是否正确) 。 3,检查策略中对端装置 IP 是否正确,检查加密规则是否配 置错误,是否包含了本地装置或对端装置。 使用管理员登录管理器,重新应用策略;
21、使用审计员登录管 理器,查看日志信息,看是否有异常操作或通信信息。 隧道故障隧道故障 案例案例 2 2:到对端的隧道没有建立:到对端的隧道没有建立 . 精品 如果装置隧道没有建立成功,按照以下步骤,排除故障。 首先排除网络故障。 进入“证书管理”检查对应的装置证书是否错误,检查本地 证书是否一致,对端装置检查证书是否一致,如果任何一端有 不一致,要重新获得正确的对端装置的证书,重新导入。再次 检查如果仍不一致,需要重新生成请求文件,生成证书。 查看策略配置,看安全策略是否正常上载。 设备硬件故障设备硬件故障 1指示灯不亮。 发生上述故障请及时联系厂商,进行更换和维修。 5.25.2 维护阶段维
22、护阶段 1如果装置报警,可以通过管理器登录,产看由于何种原 因报警,并及时保存日志。 3如果需要修改策略,可以使用操作员登录管理器修改策 略配置。 . 精品 图 1-27 4可以根据对端装置发布的 “更新通告” ,删除,或添加 证书文件,重新应用策略并重启装置。 5定期检查装置日志。 6当系统需要重新部署,或需要清除装置的密钥,可以使 用“初始化设备”功能。 6 6 附录附录 6. 6.1 1事件信息对应表事件信息对应表 EMERGENCY 日志级别 0 ALERT 日志级别 1 CRITICAL 日志级别 2 ERROR 日志级别 3 WARN 日志级别 4 NOTIFY 日志级别 5 INFO 日志级别 6 DEBUG 日志级别 7 如有侵权请联系告知删除,感谢你们的配合!