SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本.docx
《SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本.docx》由会员分享,可在线阅读,更多相关《SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本.docx(25页珍藏版)》请在冰豆网上搜索。
SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本
SJW77电力系统纵向加密认证装置
(WT125-7P—AA)
快捷使用指南
(请在使用产品前仔细阅读本指南)
卫士通信息产业股份有限公司
二零一四年制
2安全申明3
3.1.低端产品前面板介绍4
4产品配件及设备启动5
5本地管理软件安装步骤6
6设备的初始化9
6.1导出设备证书请求10
6.2导出管理员卡证书请求11
6.3导入根证书11
6.5导入管理员卡证书,并完成初始化13
7使用配置指南15
8常见问题及疑难解答24
8。
1常见问题24
8.2疑难解答26
8.2.1进入纵向加密认证装置命令行的方法26
8。
2。
2隧道状态、设备状态查询26
8。
2.3网络排查(PING、SPING、TCPDUMP等)27
1关于本指南
SJW77电力系统专用纵向加密认证装置(商密局鉴定型号:
SJW77网络密码机,以下统称为纵向加密认证装置)属于行业专用产品,主要部署在各级电力调度网络(见图一)中,是保护国家电力调度通讯信息基础而重要的数据加密设备.SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规范》进行设计和开发,该设备采用专门的加密封包格式,在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。
同时也支持与其它厂家纵向加密装置互联互通。
本快速安装指南以介绍纵向加密认证装置常用功能为主,更详细的介绍与案例分析请参考《SJW77电力系统专用纵向加密认证装置用户手册》。
2安全申明
Ø登陆纵向加密认证装置时,需要认证管理员IC卡,IC卡丢失或使用不匹配的IC卡均会导致登陆失败,所以请妥善保管管理员IC卡。
Ø为了使纵向加密认证装置能够更稳定的工作,因此本设备配备了双电源。
在设备上架后,对设备尽量使用两路供电。
Ø设备上架后,将设备固定好,并连接好接地线。
3设备及组件介绍
3.1.低端产品前面板介绍
SJW77电力系统纵向加密认证装置前视图
状态
模块
标记
说明
备注
指示灯
电源
设备上电状态
设备上电后亮绿色灯;
慢闪表示一个电源槽位没有电源模块;
快闪表示一个槽位的电源模块异常,模块未接电源或者故障。
告警
设备告警状态
状态
设备初始化状态
未初始化亮橙色灯;
初始化完成亮绿灯。
加密卡
加密卡工作状态
加密卡工作时橙色灯闪烁。
内网
内网网线连接状态
网线连接上变绿色
外网
外网网线连接状态
网线连接上变绿色
内网1
内网1网线连接状态
网线连接上变绿色
外网1
外网1网线连接状态
网线连接上变绿色
心跳
心跳网线连接状态
网线连接上变绿色
配置
配置网线连接状态
网线连接上变绿色
IC卡
IC卡插入状态
IC卡未插入到位,不亮或亮黄灯;
IC卡完全插入,亮绿灯。
电源
电源连接亮起
设备采用双电源,只接单一电源时,会发出报警声
3.2.低端产品后板介绍
SJW77电力系统纵向加密认证装置后视图
状态
模块
标记
说明
备注
网卡
内网
作为通信口使用
外网
作为通信口使用
内网1
作为通信口使用
外网1
作为通信口使用
心跳
双机环境,主备机间通信使用
配置
与管理PC相连,用于本地管理
串口
控制
波特率为115200
低端设备串口为RJ45
按钮
旁路
按下该按钮后,设备内外网口、内外网口1两两逻辑相连
电源
电源连接开机后,指示灯亮起
设备采用双电源,只接单一电源时,会发出报警声
4产品配件及设备启动
在产品包装箱内装有电力系统纵向加密认证装置一台,交叉线三根,直连线两根,电源线两根,机箱脚垫四个,用户IC卡两张,本地管理安装光盘一张,接地线一根,浮动螺母十六套,用户手册一本,产品合格证一份,售后服务指南一份,产品装箱清单一份,用户开箱后请参见装箱清单检查配件是否齐全,然后查看设备外观是否有损坏现象,如有问题,请勿使用并及时与我公司取得联系,处理相关事宜。
为了保障产品稳定、可靠的运行,请用户不要私自打开纵向加密认证装置的机箱。
纵向加密认证装置上架后,根据用户需求,决定设备是否需要固定。
在设备前面板把手处有螺丝孔,用于固定设备时使用。
设备上架完成后,连接电源线及接地线,便可进行启动。
一般情况下,纵向加密认证装置的外网口、外网口1用于连接路由器,内网口、内网口1用于连接交换机,在实际环境中,根据具体需求进行连接即可。
另外,如果在纵向加密认证装置未完成配置前接入实际环境中,是会导致通信中断的,所以为了避免该现象的出现,建议在配置完成后,将纵向加密认证装置接入实际环境中。
5本地管理软件安装步骤
纵向加密认证装置随机带有管理软件安装光盘,将光盘插入用户管理PC机,进入文件夹“本地管理安装程序”,双击文件夹中的安装执行文件(Setup。
exe),具体安装步骤如下图所示:
点击"下一步”;
点击“是”;
输入用户名和公司名称后,点击“下一步”;
选择安装目录后,点击”下一步”;
管理器正在安装中;
安装成功。
点击”完成”退出管理软件安装界面,自动生成桌面快捷方式如下图所示:
6设备的初始化
初始化与签发流程如下:
1)导出设备证书请求;
2)导出管理员卡证书请求;
3)导入根证书;
4)在证书签发中心,对设备证书请求,管理员卡证书请求进行签发;
5)导入并验证设备证书;
6)导入并验证管理员卡证书。
注:
在初始化前,应将管理员IC卡插入纵向加密认证装置中,否则无法完成初始化操作。
具体操作步骤如下:
6.1导出设备证书请求
导出设备证书请求前需要先添加证书主题,用户需要完整填写所有的证书主题信息(信息不全,无法成功导出设备证书请求),然后选择本地管理PC路径点击“导出设备证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,自动跳转到下一操作界面,并且“导出设备证书请求”操作标示已成功。
6.2导出管理员卡证书请求
导出管理员卡证书请求需选择管理员卡(有主卡、副卡之分),操作示范选择主管理员卡,然后添加证书主题,主题不能为空,选择本地管理PC路径点击“导出管理员卡证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,“导出管理员证书请求"后标示操作成功,自动跳转到下一操作界面。
建议:
一台设备出厂时标配两张管理员空白IC卡,为了区分两张IC卡,初始化时标示为主卡/副卡,建议主/副管理员卡都进行初始化操作。
6.3导入根证书
用户从保存的根证书路径中选择需要导入的根证书后,点击“导入根证书”按钮,操作成功后,系统会弹出提示框,如下图所示:
点击“确定”按钮后,“导入根证书”标示操作成功,自动跳转到下一操作界面。
6.4导入设备证书
用户从保存的设备证书路径中选择需要导入的设备证书后,点击“导入本设备证书”按钮,会弹出操作成功提示框,如下图所示:
点击“确定"按钮后,“导入设备证书”后标示操作成功,自动跳转到下一操作界面。
6.5导入管理员卡证书,并完成初始化
用户从保存的管理员卡证书路径中选择需要导入的管理员卡证书后,点击“导入管理员卡证书”按钮,操作成功,系统弹出提示框,如下图所示:
点击“确定"按钮后,“导入管理员卡证书”标示操作成功,“完成”按钮被激活,如下图所示:
点击“完成"按钮,初始化完成,初始化界面关闭,并自动跳转到登录界面,如下图所示:
7使用配置指南
在对纵向加密认证装置进行配置之前,首先需要操作人员完全了解实际网络环境的部署情况,包括IP地址的分配,子网掩码的划分,VLAN的配置情况,以及相关路由信息等。
7.1纵向加密认证装置地址分配
纵向加密认证装置的地址是根据用户而确定的,在对其进行配置前,需要确定设备的IP地址与子网掩码。
如果纵向加密认证装置未分配到IP地址,此刻需要注意,在建立隧道时,应该采用地址借用模式,具体配置请参见《SJW77电力系统纵向加密认证装置用户手册》的“9典型应用环境配置案例”中的“9.2地址借用”.
7.2网络管理
网络管理包含了网络地址设置,VLAN设置,网桥设置,路由设置,ARP设置
7.2.1网络地址设置
进入“网络管理”的“网络地址设置",操作界面如下:
点击添加按钮,可以为接口添加网络地址,添加界面如下图所示:
接口名称:
所要配置的网口名称,从下拉列表中选择(如果需要配置的为桥接口,需要先添加桥接口)。
IP地址:
所要配置网口的IP地址。
子网掩码:
所要配置网口的掩码。
7.2.2VLAN设置
进入“网络管理”的“VLAN设置”,操作界面如下:
点击添加按钮,选择接口并输入VLANID号,点击“确认”为接口添加VLAN。
如下图所示:
接口名称:
所要配置的装置网口的名称,从下拉列表中选择;
VLANID:
所要配置网口的VLANID信息,范围1~4094.
7.2.3路由设置
进入“网络管理"的“路由设置",操作界面如下:
点击添加按钮,类型选择需要添加的路由类型.如下图所示:
路由类型:
路由信息的名称描述,包括子网路由、主机路由、缺省网关.
接口名称:
为所要配置网口名称,建议选择为自动。
目的地址:
所要到达网段的IP地址。
目的地址掩码:
为所要配置目的地址的掩码。
网关地址:
即下一跳地址。
7.2.4网桥设置,ARP设置
该两项设置,请详见用户手册“6。
2。
5网络管理”的“6。
2.5.3网桥设置”和“6.2.5.5ARP设置”。
7.3证书管理
证书管理功能主要用于对根证书,远端设备证书,远端管理证书进行管理,本指南仅介绍远端设备证书的管理,其他请详见《SJW77电力系统纵向加密认证装置用户手册》的“6.2.6证书管理”
“远程设备证书"为对端通信设备的证书,本地加密认证装置需要导入远端设备产生的证书(包含远端设备的公钥),用于装置通信时证书的认证。
操作界面如下图所示:
:
用于导出设备证书至本地管理PC,选取要导出的设备证书后点击按钮,弹出保存界面,选取保存路径,点击“确认”,导出该设备。
Ø添加:
点击添加按钮,添加相应证书名称、绑定的IP地址并且选择正确的设备证书路径,点击“确认”,界面如下图:
证书名称:
用于配置证书的信息。
绑定的IP:
对端加密装置的IP地址。
Ø修改:
选取相应远程设备证书点击修改按钮,修改项包括:
证书名称、绑定IP地址、设备证书文件路径,如下图所示:
Ø删除:
选取相应远程设备证书点击删除按钮,删除该设备证书。
7.4隧道、规则建立
7.4.1隧道的建立
进入“安全策略”的“VPN隧道及安全策略管理",点击添加隧道,并设定相关参数,添加界面如下图所示:
隧道ID:
默认生成,用户无法修改。
隧道源地址:
本地端(或源端)纵向加密认证装置IP地址。
隧道目的地址:
对端(或目的端)纵向加密认证装置IP地址。
备用目的地址:
用于配置备用隧道目的IP地址,当对端隧道存在主备情况时使用。
通讯模式:
包括加密、明文、可选,默认为加密。
建议:
隧道对端旁路自适应检测默认开启,建议开启此功能,用于对端设备旁路后,本地设备探测及时切换通讯状态。
7.4.2规则的建立
点击隧道前面的符号展开隧道,点击策略界面的添加按钮,为隧道添加相应策略,具体操作界面如下图所示:
源地址范围:
本地通信IP受保护地址范围。
目的地址范围:
对端通信IP受保护地址范围。
协议:
用于配置策略过滤协议,包括ALL/ICMP/TCP/UDP.
源端口:
用于配置源端口范围.
目的端口:
用于配置目的端口范围。
处理方式:
用于设置策略通信方式,
升级会员 