SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本Word格式文档下载.docx
《SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本Word格式文档下载.docx(25页珍藏版)》请在冰豆网上搜索。
![SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本Word格式文档下载.docx](https://file1.bdocx.com/fileroot1/2022-10/19/235d1cac-e74f-453f-a7f9-e38ef97e8b66/235d1cac-e74f-453f-a7f9-e38ef97e8b661.gif)
2。
2隧道状态、设备状态查询26
2.3网络排查(PING、SPING、TCPDUMP等)27
1关于本指南
SJW77电力系统专用纵向加密认证装置(商密局鉴定型号:
SJW77网络密码机,以下统称为纵向加密认证装置)属于行业专用产品,主要部署在各级电力调度网络(见图一)中,是保护国家电力调度通讯信息基础而重要的数据加密设备.SJW77电力系统纵向加密认证装置严格按照《电力专用加密认证装置技术规范》进行设计和开发,该设备采用专门的加密封包格式,在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。
同时也支持与其它厂家纵向加密装置互联互通。
本快速安装指南以介绍纵向加密认证装置常用功能为主,更详细的介绍与案例分析请参考《SJW77电力系统专用纵向加密认证装置用户手册》。
2安全申明
Ø
登陆纵向加密认证装置时,需要认证管理员IC卡,IC卡丢失或使用不匹配的IC卡均会导致登陆失败,所以请妥善保管管理员IC卡。
为了使纵向加密认证装置能够更稳定的工作,因此本设备配备了双电源。
在设备上架后,对设备尽量使用两路供电。
设备上架后,将设备固定好,并连接好接地线。
3设备及组件介绍
3.1.低端产品前面板介绍
SJW77电力系统纵向加密认证装置前视图
状态
模块
标记
说明
备注
指示灯
电源
设备上电状态
设备上电后亮绿色灯;
慢闪表示一个电源槽位没有电源模块;
快闪表示一个槽位的电源模块异常,模块未接电源或者故障。
告警
设备告警状态
状态
设备初始化状态
未初始化亮橙色灯;
初始化完成亮绿灯。
加密卡
加密卡工作状态
加密卡工作时橙色灯闪烁。
内网
内网网线连接状态
网线连接上变绿色
外网
外网网线连接状态
内网1
内网1网线连接状态
外网1
外网1网线连接状态
心跳
心跳网线连接状态
配置
配置网线连接状态
IC卡
IC卡插入状态
IC卡未插入到位,不亮或亮黄灯;
IC卡完全插入,亮绿灯。
电源连接亮起
设备采用双电源,只接单一电源时,会发出报警声
3.2.低端产品后板介绍
SJW77电力系统纵向加密认证装置后视图
网卡
作为通信口使用
双机环境,主备机间通信使用
与管理PC相连,用于本地管理
串口
控制
波特率为115200
低端设备串口为RJ45
按钮
旁路
按下该按钮后,设备内外网口、内外网口1两两逻辑相连
电源连接开机后,指示灯亮起
设备采用双电源,只接单一电源时,会发出报警声
4产品配件及设备启动
在产品包装箱内装有电力系统纵向加密认证装置一台,交叉线三根,直连线两根,电源线两根,机箱脚垫四个,用户IC卡两张,本地管理安装光盘一张,接地线一根,浮动螺母十六套,用户手册一本,产品合格证一份,售后服务指南一份,产品装箱清单一份,用户开箱后请参见装箱清单检查配件是否齐全,然后查看设备外观是否有损坏现象,如有问题,请勿使用并及时与我公司取得联系,处理相关事宜。
为了保障产品稳定、可靠的运行,请用户不要私自打开纵向加密认证装置的机箱。
纵向加密认证装置上架后,根据用户需求,决定设备是否需要固定。
在设备前面板把手处有螺丝孔,用于固定设备时使用。
设备上架完成后,连接电源线及接地线,便可进行启动。
一般情况下,纵向加密认证装置的外网口、外网口1用于连接路由器,内网口、内网口1用于连接交换机,在实际环境中,根据具体需求进行连接即可。
另外,如果在纵向加密认证装置未完成配置前接入实际环境中,是会导致通信中断的,所以为了避免该现象的出现,建议在配置完成后,将纵向加密认证装置接入实际环境中。
5本地管理软件安装步骤
纵向加密认证装置随机带有管理软件安装光盘,将光盘插入用户管理PC机,进入文件夹“本地管理安装程序”,双击文件夹中的安装执行文件(Setup。
exe),具体安装步骤如下图所示:
点击"下一步”;
点击“是”;
输入用户名和公司名称后,点击“下一步”;
选择安装目录后,点击”下一步”;
管理器正在安装中;
安装成功。
点击”完成”退出管理软件安装界面,自动生成桌面快捷方式如下图所示:
6设备的初始化
初始化与签发流程如下:
1)导出设备证书请求;
2)导出管理员卡证书请求;
3)导入根证书;
4)在证书签发中心,对设备证书请求,管理员卡证书请求进行签发;
5)导入并验证设备证书;
6)导入并验证管理员卡证书。
注:
在初始化前,应将管理员IC卡插入纵向加密认证装置中,否则无法完成初始化操作。
具体操作步骤如下:
6.1导出设备证书请求
导出设备证书请求前需要先添加证书主题,用户需要完整填写所有的证书主题信息(信息不全,无法成功导出设备证书请求),然后选择本地管理PC路径点击“导出设备证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,自动跳转到下一操作界面,并且“导出设备证书请求”操作标示已成功。
6.2导出管理员卡证书请求
导出管理员卡证书请求需选择管理员卡(有主卡、副卡之分),操作示范选择主管理员卡,然后添加证书主题,主题不能为空,选择本地管理PC路径点击“导出管理员卡证书请求”,操作成功会弹出提示框,如下图所示:
点击“确定”按钮后,“导出管理员证书请求"
后标示操作成功,自动跳转到下一操作界面。
建议:
一台设备出厂时标配两张管理员空白IC卡,为了区分两张IC卡,初始化时标示为主卡/副卡,建议主/副管理员卡都进行初始化操作。
6.3导入根证书
用户从保存的根证书路径中选择需要导入的根证书后,点击“导入根证书”按钮,操作成功后,系统会弹出提示框,如下图所示:
点击“确定”按钮后,“导入根证书”标示操作成功,自动跳转到下一操作界面。
6.4导入设备证书
用户从保存的设备证书路径中选择需要导入的设备证书后,点击“导入本设备证书”按钮,会弹出操作成功提示框,如下图所示:
点击“确定"
按钮后,“导入设备证书”后标示操作成功,自动跳转到下一操作界面。
6.5导入管理员卡证书,并完成初始化
用户从保存的管理员卡证书路径中选择需要导入的管理员卡证书后,点击“导入管理员卡证书”按钮,操作成功,系统弹出提示框,如下图所示:
按钮后,“导入管理员卡证书”标示操作成功,“完成”按钮被激活,如下图所示:
点击“完成"
按钮,初始化完成,初始化界面关闭,并自动跳转到登录界面,如下图所示:
7使用配置指南
在对纵向加密认证装置进行配置之前,首先需要操作人员完全了解实际网络环境的部署情况,包括IP地址的分配,子网掩码的划分,VLAN的配置情况,以及相关路由信息等。
7.1纵向加密认证装置地址分配
纵向加密认证装置的地址是根据用户而确定的,在对其进行配置前,需要确定设备的IP地址与子网掩码。
如果纵向加密认证装置未分配到IP地址,此刻需要注意,在建立隧道时,应该采用地址借用模式,具体配置请参见《SJW77电力系统纵向加密认证装置用户手册》的“9典型应用环境配置案例”中的“9.2地址借用”.
7.2网络管理
网络管理包含了网络地址设置,VLAN设置,网桥设置,路由设置,ARP设置
7.2.1网络地址设置
进入“网络管理”的“网络地址设置"
,操作界面如下:
点击添加按钮,可以为接口添加网络地址,添加界面如下图所示:
接口名称:
所要配置的网口名称,从下拉列表中选择(如果需要配置的为桥接口,需要先添加桥接口)。
IP地址:
所要配置网口的IP地址。
子网掩码:
所要配置网口的掩码。
7.2.2VLAN设置
进入“网络管理”的“VLAN设置”,操作界面如下:
点击添加按钮,选择接口并输入VLANID号,点击“确认”为接口添加VLAN。
如下图所示:
接口名称:
所要配置的装置网口的名称,从下拉列表中选择;
VLANID:
所要配置网口的VLANID信息,范围1~4094.
7.2.3路由设置
进入“网络管理"
的“路由设置"
点击添加按钮,类型选择需要添加的路由类型.如下图所示:
路由类型:
路由信息的名称描述,包括子网路由、主机路由、缺省网关.
为所要配置网口名称,建议选择为自动。
目的地址:
所要到达网段的IP地址。
目的地址掩码:
为所要配置目的地址的掩码。
网关地址:
即下一跳地址。
7.2.4网桥设置,ARP设置
该两项设置,请详见用户手册“6。
5网络管理”的“6。
2.5.3网桥设置”和“6.2.5.5ARP设置”。
7.3证书管理
证书管理功能主要用于对根证书,远端设备证书,远端管理证书进行管理,本指南仅介绍远端设备证书的管理,其他请详见《SJW77电力系统纵向加密认证装置用户手册》的“6.2.6证书管理”
“远程设备证书"为对端通信设备的证书,本地加密认证装置需要导入远端设备产生的证书(包含远端设备的公钥),用于装置通信时证书的认证。
操作界面如下图所示:
:
用于导出设备证书至本地管理PC,选取要导出的设备证书后点击按钮,弹出保存界面,选取保存路径,点击“确认”,导出该设备。
添加:
点击添加按钮,添加相应证书名称、绑定的IP地址并且选择正确的设备证书路径,点击“确认”,界面如下图:
证书名称:
用于配置证书的信息。
绑定的IP:
对端加密装置的IP地址。
修改:
选取相应远程设备证书点击修改按钮,修改项包括:
证书名称、绑定IP地址、设备证书文件路径,如下图所示:
删除:
选取相应远程设备证书点击删除按钮,删除该设备证书。
7.4隧道、规则建立
7.4.1隧道的建立
进入“安全策略”的“VPN隧道及安全策略管理"
,点击添加隧道,并设定相关参数,添加界面如下图所示:
隧道ID:
默认生成,用户无法修改。
隧道源地址:
本地端(或源端)纵向加密认证装置IP地址。
隧道目的地址:
对端(或目的端)纵向加密认证装置IP地址。
备用目的地址:
用于配置备用隧道目的IP地址,当对端隧道存在主备情况时使用。
通讯模式:
包括加密、明文、可选,默认为加密。
隧道对端旁路自适应检测默认开启,建议开启此功能,用于对端设备旁路后,本地设备探测及时切换通讯状态。
7.4.2规则的建立
点击隧道前面的符号展开隧道,点击策略界面的添加按钮,为隧道添加相应策略,具体操作界面如下图所示:
源地址范围:
本地通信IP受保护地址范围。
目的地址范围:
对端通信IP受保护地址范围。
协议:
用于配置策略过滤协议,包括ALL/ICMP/TCP/UDP.
源端口:
用于配置源端口范围.
目的端口:
用于配置目的端口范围。
处理方式:
用于设置策略通信方式,