Netkeeper后台调试手册命令.docx
《Netkeeper后台调试手册命令.docx》由会员分享,可在线阅读,更多相关《Netkeeper后台调试手册命令.docx(10页珍藏版)》请在冰豆网上搜索。
Netkeeper后台调试手册命令
Netkeeper2000后台调试手册-命令
NetKeeper-2000纵向
加密认证网关
调试手册
南京南瑞集团公司
信息通信分公司
进入串口
使用超级终端、SecureCRT等串口调试工具,协议选择串口连接(Serial),波特率设置为115200,数据位8位,奇偶校验选择无,并选择正确的端口(可通过设备管理器界面查看)进入串口调试。
login的用户名为root,密码为123456。
(本调试手册以III型为例)
ps–ef命令
查看系统进程信息,常见进程主要有:
secgate:
加密网关密钥协商和装置管理进程;
tcpserver:
配置界面相关进程;
syslogd:
加密网关日志信息守护进程;
klogd:
内核日志守护进程;
若某一进程不在,可能某方面出现问题。
常见进程状态的含义:
S:
进程处于睡眠状态
R:
正在运行的进程
Z:
僵死状态
top命令
第一行显示的是系统内存使用情况。
下面列出的是进程的详细工作状态,其中PID表示进程号;USER表示进程所有者的用户名;STATUS表示进程的状态;RSS表示进程占用物理内存的总数量,单位是KB;PPID表示每个进程的父进程ID;%CPU表示CPU占用率;%MEM表示该进程物理内存的占用率;COMMAND表示进程的命令名称。
注意:
用户可以通过按键来刷新系统当前的状态。
由于top命令需要长久占用控制台,所以用户应该根据自己的情况来使用这个命令,可以通过Ctrl+C退出。
df命令
列出文件系统磁盘空间使用情况。
通常可以使用此命令来观察是否存在日志占用磁盘过多导致装置运行异常的情况。
free命令
查看内存的使用情况:
total:
表示物理内存总量。
used:
表示总计分配给缓存(包含buffers与cache)使用的数量,但其中可能部分缓存并未实际使用。
free:
未被分配的内存。
shared:
共享内存,一般系统不会用到。
buffers:
系统分配但未被使用的buffers数量。
cached:
系统分配但未被使用的cache数量。
tunnel命令
该命令用于查看隧道协商状态,该命令和cat/proc/netkeeper/tunnel命令等效。
以下分别是各主要列值所代表含义
TunId:
隧道号;
State:
隧道目前状态,数字0表示未发出协商请求,数字1表示发出协商请求,数字2表示收到协商请求,数字3表示隧道协商成功;
hot?
:
隧道是否为主备。
1表示该条为主隧道,0表示该条为备隧道;
myip/dstip:
本端(隧道)地址/对端(隧道)地址;
en_num/de_num:
加密包数目/解密包数目;
en_err/de_err:
加密错误包数目/解密错误包数目;
period:
隧道生存周期;
quantity:
隧道容量。
cd/netkeeper/module---------进入modules目录
killallsecgate----------杀死所有secgate进程
./secgate&----------后台重启secgate进程
若secgate重启成功,会在串口中打印出加密卡的密钥对信息,并提示启动成功,此时ps–ef可看到重启后的secgate进程。
重启secgate成功后,即可直接运行debug–d或者debug–i命令
注2:
运行debug–k需要kill掉klogd
killallklogd----------杀死所有klogd进程
debug–k
注3:
在部分中心节点加密装置因来往数据量庞大,需慎用debug–i、-k命令,否则可能会导致装置死机。
dmesg命令
查看近期装置内核层弹出消息,主要用于非串口登陆或已打开klogd进程时查看装置弹出消息。
注:
dmesg–c清除近期弹出消息记录,重新开始计时。
ifconfig命令(百兆I型装置使用此命令不能获得正确信息)
查看/编辑装置网口信息
ifconfig可显示所有网络接口(包括自定义的桥接口)的ip地址,mac地址,掩码,vlan号,MTU等信息。
此外,还可以通过ifconfig命令手动编辑网卡信息。
示例:
ifconfigeth011.22.33.44netmask255.255.0.0——将eth0接口的ip地址设置为11.22.33.44,子网掩码为255.255.0.0
ifconfigeth0down/up——关闭/开启网卡eth0
ping命令
用于检查网络是否能够连通,可根据延时和丢包率判断网络情况。
(注:
在30位掩码借用地址模式下因装置启用虚拟地址收不到回包导致表现为不能ping到任何地址)
traceroute命令
用来侦测加密装置访问目的主机之间所采取的路径,在部分复杂网络环境中用于定位路由问题,该命令会返回从本机至远端地址所经过的所有路由设备ip地址及延时。
示例:
traceroute30.10.1.1
route命令(百兆I型装置使用此命令不能获得正确的路由表)
查看装置路由表,这个是装置接入后网络不通情况下的首要需要查询的内容。
我们需要关注弹出消息中的Destination、Gateway、Genmask、Iface这几项,他们分别表示目的网络、网关、目的掩码、网络接口,根据路由表可判断远端地址是否包含在路由表的目的地址段中及网关地址是否正确。
arp–a命令
查看装置接入调度数据网后的arp信息。
这个可以作为隧道协商不成功、判断网络接入是否正确的第一个判断步骤。
首先看能否获得内外网mac地址,其次看对应的vlan号或者private/public接口与装置的物理网口eth0/eth1是否相符。
若均没有问题,可初步判断物理链路正常,接下来需要运行debug-i查看协商的具体ike报文走向和错误信息,进一步判断问题所在,是证书、地址有误还是网络的原因。
(注:
百兆I型装置查看arp表的命令为cat/proc/netarp)
ftpget/ftpput命令
用于从装置备份文件到本地以及从本地上传文件到装置。
格式可查看帮助
示例:
ftpget-unari-p12345610.30.0.1secgatesecgate——从ip地址为10.30.0.1的主机上通过用户名nari密码123456登陆(若无用户名)获取名为secgate的文件并传输至本机当前目录下。
ftpput30.10.0.1/secgate——从本机将当前目录下的secgate文件传输至30.10.0.1这台主机的ftp接收目录下。
(注:
千兆使用标准ftp命令)
测试加密卡
echo“1”>/proc/netkeeper/card
若加密卡工作正常,可以返回测试正常的消息。
系统自动会测3次。
(百兆I型装置测试加密卡命令为echo“1”>/proc/card)
(千兆装置可直接使用testcard、dmesg命令测试加密卡)
比较重要的文件目录等
/log------存放加密装置的配置文件、rsa、读写加密卡的程序等
/log/cert_files------存放证书文件
/log/netkeeper/modules—存放secgate、secgate.o、tcpserver、debug等关键程序(百兆I型加密装置存放关键程序路径为/log/netkeeper)
/log/netkeeper/script----存放启动脚本等
/log下的配置文件:
sys.txt----系统信息配置
ip.txt----网络信息配置
route.txt----路由信息配置
nat.txt----地址映射配置
tunnel.txt----隧道信息配置
rule.txt----策略信息配置
dms.txt----装置管理系统信息配置
mac.addr----装置MAC地址信息
passby.txt----装置配置默认通过协议报文策略信息
lendip.txt-----借用地址信息
bridge.txt-----桥接模式配置信息
arp.txt-----arp绑定配置信息
以上文件可用vi编辑器依照一定格式修改,注意修改完后重启或手动更新。
手动更新方法:
更新隧道配置:
debug-t
更新策略配置:
debug-u
更新透传协议配置:
echo"update">/proc/netkeeper/passby
其他Linux常用命令
cd切换目录
mount/umount挂载/卸载文件系统
vi编辑/创建文件
data显示系统日期与时间
uptime显示系统已启动运行时间
cat显示文本文件内容
head显示文本文件的前若干行
tail显示文本文件的后若干行
ls显示当前目录下文件,加参数-l显示长格式
pwd显示当前工作目录
ps查看系统进程
mkdir创建目录
grep在指定的文本文件中查找特定字符串
find查找文件或目录
mv移动文件或目录、文件或目录改名
rm删除文件或目录
cp复制文件或目录
tar压缩/解压文件(tar–zxvf解压,tar–zcvf压缩)
chmod改变文件或目录的权限
常见问题FAQ:
1.问:
为什么配置软件客户端连接不上加密装置?
答:
首先加密装置配置软件主要有两个版本,分别对应I型和后面的III、IV、千兆型,所以要确认配置软件是否用错,其次,需要确认本机ip地址已配置为11.22.33.43,所连网口是否正确,再使用串口登陆后台输入ifconfig命令查看Eth0:
10网口地址是否为11.22.33.44,如配置丢失,手动输入ifconfigeth4:
1011.22.33.44netmask255.255.255.0,然后连接装置服务端。
2.问:
配置软件提示装置未初始化是什么情况?
答:
加密装置初始化有以下几个条件:
①、未生成过rsa;②、没有CA证书;③、没有操作员证书;④、加密卡工作正常,如都确认无问题,可登陆后台杀死tcpserver进程并重新启动,再使用配置软件连接,观察后台报错信息来确定问题所在。
3.问:
隧道不通怎么办?
答:
隧道通断由以下五方面来决定:
①、两侧加密装置本身无问题(主要是检测加密卡);②、网络是通的(可在后台用ping命令测试);③、两侧隧道配置中ip地址都正确;④、两侧装置隧道配置中的证书确实在后台/log/cert_files目录下存在且名称完全一致且确实为对端装置证书;⑤、两侧加密装置之间经过的一切网路设备如有起用访问控制规则均至少允许点对点的253协议通过。
可通过对这五点一一排查来解决。
4.问:
对方网管管不到怎么办?
答:
装置管理中心是否可以管理加密装置由以下五方面决定:
①、装置管理中心与被管加密装置本身无问题;②、网络是通的(可在后台用ping命令测试);③、装置管理中心中添加的对端节点ip地址及证书正确;④、加密装置系统配置中配置的本段ip地址及远程管理地址正确,证书确实在后台/log/cert_files/dms目录中存在且名称完全完全一致且确为装置管理中心证书;⑤、装置管理中心与加密装置之间经过的一切网路设备如有起用访问控制规则均至少允许点对点的254协议通过。
可通过对这五点一一排查来解决。
5.问:
业务不通怎么办?
答:
业务不通有多方面可能,可用排除法,首先将加密装置策略第一条即设为全明通观察业务,若可通,则检查之前策略的问题,若不通,可检查装置网络、路由状态(ifconfig、route),若无问题,可再向用户了解网络中有没尚不了解的情况比如vlan信息等。
6.问:
我的证书为什么不能导入
答:
加密装置证书由颁发该证书的CA签名,所以如果该证书是由某级省/市调证书系统签发,则需将该省/市调根证书作为二级CA证书先行导入再导入设备证书,如果该证书是由设备自带光盘中的openssl签发的,则需将光盘中openssl/CA目录下的CAcert.pem作为一级CA证书先行导入导入该设备证书。
7.问:
为什么加密装置的硬件旁路功能不能使用,是需要配置什么吗?
答:
加密装置的硬件旁路功能是关电后自动生效的,且只有Eth0和Eth1及Eth2和Eth3具备硬件旁路功能,Eth0和Eth2使用时是无法实现硬件旁路功能的,满足以上条件后,如依然不能生效,需检查加密装置内外网所连网线,因加密装置网口在通电情况下是自适应的,所以对网线几无要求,故当加密装置断电时,网口失去自适应功能,内外网网线直接连通,相当于一根直通或交叉线,如果两侧路由器交换机不能连通,更换其中一测网线即可。
8、对于透传装置管理报文的加密装置,在参数配置(/log/param.txt)里加上一行
in_net_smc=1,