SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本.docx

1、SJW77电力系统纵向加密认证装置WT1257PAA快捷使用指南可编辑范本SJW7电力系统纵向加密认证装置（W15-7AA）快捷使用指南(请在使用产品前仔细阅读本指南)卫士通信息产业股份有限公司二零一四年制2安全申明33.1.低端产品前面板介绍44产品配件及设备启动55本地管理软件安装步骤66设备的初始化96.1导出设备证书请求106.2导出管理员卡证书请求116.导入根证书1165导入管理员卡证书，并完成初始化3使用配置指南18常见问题及疑难解答248。1常见问题24.2疑难解答2.2.1进入纵向加密认证装置命令行的方法268。2。隧道状态、设备状态查询268。2.网络排查（PING、SPI

2、NG、TCDUMP等)271关于本指南SJW77电力系统专用纵向加密认证装置(商密局鉴定型号:SW77网络密码机，以下统称为纵向加密认证装置)属于行业专用产品,主要部署在各级电力调度网络(见图一)中,是保护国家电力调度通讯信息基础而重要的数据加密设备.SJ7电力系统纵向加密认证装置严格按照电力专用加密认证装置技术规范进行设计和开发，该设备采用专门的加密封包格式,在IP层实现数据的机密性、完整性和数据源鉴别等安全功能。同时也支持与其它厂家纵向加密装置互联互通。本快速安装指南以介绍纵向加密认证装置常用功能为主，更详细的介绍与案例分析请参考SJ77电力系统专用纵向加密认证装置用户手册。2安全申明登陆

3、纵向加密认证装置时,需要认证管理员IC卡，IC卡丢失或使用不匹配的I卡均会导致登陆失败,所以请妥善保管管理员IC卡。为了使纵向加密认证装置能够更稳定的工作,因此本设备配备了双电源。在设备上架后，对设备尽量使用两路供电。设备上架后，将设备固定好,并连接好接地线。3设备及组件介绍3.1.低端产品前面板介绍SJ77电力系统纵向加密认证装置前视图 状态模块标记说明备注指示灯电源设备上电状态设备上电后亮绿色灯;慢闪表示一个电源槽位没有电源模块;快闪表示一个槽位的电源模块异常,模块未接电源或者故障。告警设备告警状态状态设备初始化状态未初始化亮橙色灯;初始化完成亮绿灯。加密卡加密卡工作状态加密卡工作时橙色灯

4、闪烁。内网内网网线连接状态网线连接上变绿色外网外网网线连接状态网线连接上变绿色内网1内网网线连接状态网线连接上变绿色外网外网1网线连接状态网线连接上变绿色心跳心跳网线连接状态网线连接上变绿色配置配置网线连接状态网线连接上变绿色IC卡IC卡插入状态IC卡未插入到位，不亮或亮黄灯;IC卡完全插入，亮绿灯。电源电源连接亮起设备采用双电源,只接单一电源时,会发出报警声3.2.低端产品后板介绍J77电力系统纵向加密认证装置后视图状态模块标记说明备注网卡内网作为通信口使用外网作为通信口使用内网1作为通信口使用外网作为通信口使用心跳双机环境，主备机间通信使用配置与管理PC相连，用于本地管理串口控制波特率为1

5、15200低端设备串口为RJ4按钮旁路按下该按钮后,设备内外网口、内外网口1两两逻辑相连电源电源连接开机后,指示灯亮起设备采用双电源，只接单一电源时，会发出报警声4产品配件及设备启动在产品包装箱内装有电力系统纵向加密认证装置一台,交叉线三根,直连线两根,电源线两根,机箱脚垫四个,用户卡两张,本地管理安装光盘一张,接地线一根,浮动螺母十六套,用户手册一本,产品合格证一份,售后服务指南一份,产品装箱清单一份,用户开箱后请参见装箱清单检查配件是否齐全，然后查看设备外观是否有损坏现象，如有问题,请勿使用并及时与我公司取得联系，处理相关事宜。为了保障产品稳定、可靠的运行,请用户不要私自打开纵向加密认证装

6、置的机箱。纵向加密认证装置上架后,根据用户需求，决定设备是否需要固定。在设备前面板把手处有螺丝孔，用于固定设备时使用。设备上架完成后,连接电源线及接地线,便可进行启动。一般情况下,纵向加密认证装置的外网口、外网口1用于连接路由器,内网口、内网口1用于连接交换机,在实际环境中,根据具体需求进行连接即可。另外，如果在纵向加密认证装置未完成配置前接入实际环境中，是会导致通信中断的,所以为了避免该现象的出现，建议在配置完成后,将纵向加密认证装置接入实际环境中。5本地管理软件安装步骤纵向加密认证装置随机带有管理软件安装光盘，将光盘插入用户管理PC机，进入文件夹“本地管理安装程序”，双击文件夹中的安装执行

7、文件(etup。xe),具体安装步骤如下图所示:点击下一步”;点击“是”;输入用户名和公司名称后，点击“下一步”;选择安装目录后，点击”下一步”；管理器正在安装中；安装成功。点击”完成”退出管理软件安装界面,自动生成桌面快捷方式如下图所示:6设备的初始化初始化与签发流程如下：1)导出设备证书请求；2)导出管理员卡证书请求;3)导入根证书;4)在证书签发中心,对设备证书请求，管理员卡证书请求进行签发;5)导入并验证设备证书；6)导入并验证管理员卡证书。注：在初始化前，应将管理员IC卡插入纵向加密认证装置中，否则无法完成初始化操作。具体操作步骤如下:6.1导出设备证书请求导出设备证书请求前需要先添

8、加证书主题,用户需要完整填写所有的证书主题信息(信息不全,无法成功导出设备证书请求),然后选择本地管理PC路径点击“导出设备证书请求”，操作成功会弹出提示框,如下图所示：点击“确定”按钮后,自动跳转到下一操作界面，并且 “导出设备证书请求”操作标示已成功。6.2导出管理员卡证书请求导出管理员卡证书请求需选择管理员卡(有主卡、副卡之分）,操作示范选择主管理员卡，然后添加证书主题，主题不能为空,选择本地管理C路径点击“导出管理员卡证书请求”，操作成功会弹出提示框，如下图所示:点击“确定”按钮后，“导出管理员证书请求后标示操作成功,自动跳转到下一操作界面。建议:一台设备出厂时标配两张管理员空白IC卡

9、,为了区分两张卡,初始化时标示为主卡/副卡,建议主/副管理员卡都进行初始化操作。6.3导入根证书用户从保存的根证书路径中选择需要导入的根证书后，点击“导入根证书”按钮,操作成功后,系统会弹出提示框,如下图所示：点击“确定”按钮后,“导入根证书”标示操作成功,自动跳转到下一操作界面。6.4导入设备证书用户从保存的设备证书路径中选择需要导入的设备证书后，点击“导入本设备证书”按钮,会弹出操作成功提示框,如下图所示：点击“确定按钮后，“导入设备证书”后标示操作成功，自动跳转到下一操作界面。6.5导入管理员卡证书,并完成初始化用户从保存的管理员卡证书路径中选择需要导入的管理员卡证书后,点击“导入管理员

10、卡证书”按钮，操作成功,系统弹出提示框，如下图所示:点击“确定按钮后,“导入管理员卡证书”标示操作成功，“完成”按钮被激活,如下图所示:点击“完成按钮，初始化完成，初始化界面关闭，并自动跳转到登录界面,如下图所示：7使用配置指南在对纵向加密认证装置进行配置之前，首先需要操作人员完全了解实际网络环境的部署情况，包括IP地址的分配,子网掩码的划分,VA的配置情况，以及相关路由信息等。7.1纵向加密认证装置地址分配纵向加密认证装置的地址是根据用户而确定的,在对其进行配置前，需要确定设备的I地址与子网掩码。如果纵向加密认证装置未分配到地址，此刻需要注意，在建立隧道时,应该采用地址借用模式,具体配置请参

11、见SJW77电力系统纵向加密认证装置用户手册的“9典型应用环境配置案例”中的“9.2地址借用”.7.2网络管理网络管理包含了网络地址设置，VLAN设置,网桥设置,路由设置,RP设置7.2.1网络地址设置进入“网络管理”的“网络地址设置，操作界面如下:点击添加按钮,可以为接口添加网络地址，添加界面如下图所示:接口名称:所要配置的网口名称,从下拉列表中选择(如果需要配置的为桥接口,需要先添加桥接口)。IP地址:所要配置网口的P 地址。子网掩码:所要配置网口的掩码。7.2.2AN设置进入“网络管理”的“AN设置”,操作界面如下:点击添加按钮,选择接口并输入LAN 号,点击“确认”为接口添加VAN。如

12、下图所示:接口名称：所要配置的装置网口的名称，从下拉列表中选择；VAN :所要配置网口的VLAN I 信息，范围14094.7.2.3路由设置进入“网络管理的“路由设置，操作界面如下:点击添加按钮,类型选择需要添加的路由类型.如下图所示：路由类型：路由信息的名称描述,包括子网路由、主机路由、缺省网关.接口名称:为所要配置网口名称,建议选择为自动。目的地址:所要到达网段的IP地址。目的地址掩码:为所要配置目的地址的掩码。网关地址：即下一跳地址。7.2.4网桥设置,RP设置该两项设置，请详见用户手册“6。2。网络管理”的“6。.5.3网桥设置”和“62.5.5P设置”。7.3证书管理证书管理功能主

13、要用于对根证书,远端设备证书,远端管理证书进行管理，本指南仅介绍远端设备证书的管理,其他请详见SJ77电力系统纵向加密认证装置用户手册的“6.26证书管理”“远程设备证书为对端通信设备的证书，本地加密认证装置需要导入远端设备产生的证书（包含远端设备的公钥）,用于装置通信时证书的认证。操作界面如下图所示：:用于导出设备证书至本地管理C,选取要导出的设备证书后点击按钮，弹出保存界面,选取保存路径，点击“确认”,导出该设备。 添加：点击添加按钮,添加相应证书名称、绑定的IP地址并且选择正确的设备证书路径，点击“确认”，界面如下图：证书名称:用于配置证书的信息。绑定的IP：对端加密装置的I地址。修改：

14、选取相应远程设备证书点击修改按钮，修改项包括：证书名称、绑定P地址、设备证书文件路径,如下图所示:删除:选取相应远程设备证书点击删除按钮，删除该设备证书。7.4隧道、规则建立7.4.1隧道的建立进入“安全策略”的“隧道及安全策略管理，点击添加隧道,并设定相关参数，添加界面如下图所示:隧道ID：默认生成,用户无法修改。隧道源地址：本地端（或源端)纵向加密认证装置I地址。隧道目的地址:对端(或目的端)纵向加密认证装置IP地址。备用目的地址：用于配置备用隧道目的I地址,当对端隧道存在主备情况时使用。通讯模式:包括加密、明文、可选，默认为加密。建议:隧道对端旁路自适应检测默认开启,建议开启此功能，用于对端设备旁路后,本地设备探测及时切换通讯状态。7.4.2规则的建立点击隧道前面的符号展开隧道,点击策略界面的添加按钮，为隧道添加相应策略，具体操作界面如下图所示：源地址范围:本地通信IP受保护地址范围。目的地址范围：对端通信IP受保护地址范围。协议:用于配置策略过滤协议,包括ALL/IMP/TCP/UDP.源端口:用于配置源端口范围.目的端口:用于配置目的端口范围。处理方式:用于设置策略通信方式,