NetKeeper用户手册Word文档格式.doc

1、电话（TEL）:025-83096601（市场部） 025-83096702025-83096712（技术支持） 传真（FAX）:025-83096701NetKeeper-2000II 纵向加密认证网关用户手册目 录一、产品介绍61.1产品部署环境61.2 产品外观与结构6二、产品分发与安装8三、加密认证网关配置管理93.1 系统初始化93.1.1 通信初始化93.1.2 初始化113.2证书申请143.3 安全管理153.3.1证书管理153.3.2 远程监控173.4 安全策略配置173.4.1 系统信息配置183.4.2 网络信息配置193.4.3 路由信息配置203.4.4 隧道配置

2、213.4.5 策略配置233.4.6 地址转换配置253.4.7桥接配置（多进多出配置）263.4.8 MAC地址绑定273.5 信息查询283.5.1 隧道管理283.5.2 链路管理293.6 系统调试303.6.1 网关硬件诊断303.6.2 SPING调试313.7 日志管理313.8 配置备份和恢复32四、典型应用环境配置案例334.1 明通模式配置334.1.1 系统配置344.1.2 网络配置344.1.3 路由配置344.1.4 隧道配置354.1.5 策略信息配置354.2 路由配置354.2.1 系统配置364.2.2 网络配置364.2.3 路由配置364.2.4 隧道

3、配置374.2.5 策略配置374.3 VLAN环境配置374.3.1 系统配置384.3.2 网络配置384.3.3 路由配置384.3.4 隧道配置394.3.5 策略配置394.4 NAT模式配置394.4.1 系统配置404.4.2 网络配置404.4.3 路由配置414.4.4 隧道配置414.4.5 地址转化配置414.4.6策略配置434.5网桥模式配置434.5.1系统配置444.5.2桥接配置444.5.3网络配置454.5.4路由配置464.5.5隧道配置464.5.6策略配置474.6 借用地址配置474.6.1 网络配置484.6.2 MAC地址绑定配置484.7 双机

4、配置484.7.1 网络配置494.7.2 MAC地址绑定配置504.7.3 隧道配置505 系统指标505.1 硬件指标505.2性能指标：51附录1:证书签发说明（v1.0）51一、产品介绍51.1产品部署环境53.1.2 初始化103.4.5 策略配置223.4.6 地址转换配置243.4.7桥接配置（多进多出配置）253.4.8 MAC地址绑定263.5 信息查询273.5.1 隧道管理273.5.2 链路管理283.6 系统调试293.6.1 网关硬件诊断293.6.2 SPING调试303.7 日志管理303.8 配置备份和恢复31四、典型应用环境配置案例324.1 明通模式配置3

5、24.1.1 系统配置334.1.2 网络配置334.1.3 路由配置334.1.4 隧道配置344.1.5 策略信息配置344.2 路由配置344.2.1 系统配置354.2.2 网络配置354.2.3 路由配置354.2.4 隧道配置364.2.5 策略配置364.3 VLAN环境配置364.3.1 系统配置374.3.2 网络配置374.3.3 路由配置374.3.4 隧道配置384.3.5 策略配置384.4 NAT模式配置384.4.1 系统配置394.4.2 网络配置394.4.3 路由配置394.4.4 隧道配置404.4.5 地址转化配置404.4.6策略配置414.5网桥模式

6、配置414.5.1系统配置424.5.2桥接配置424.5.3网络配置434.5.4路由配置444.5.5隧道配置444.5.6策略配置454.6 借用地址配置454.6.1 网络配置464.6.2 MAC地址绑定配置464.7 双机配置464.7.1 网络配置474.7.2 MAC地址绑定配置484.7.3 隧道配置485 系统指标485.1 硬件指标4849证书签发说明（v1.0）49附录2:图片列表513.4.9 ARP代理273.5 信息查询293.5.1 隧道管理293.5.2 链路管理303.7 日志管理323.8 配置备份和恢复33四、典型应用环境配置案例344.1 明通模式配置

7、344.1.2 网络配置354.1.3 路由配置354.1.5 策略信息配置364.2 路由配置364.2.1 系统配置374.2.2 网络配置374.2.3 路由配置374.2.5 策略配置384.3 VLAN环境配置384.3.2 网络配置394.3.3 路由配置394.3.5 策略配置404.4 NAT模式配置404.4.2 网络配置414.6.2 ARP代理配置484.6.3 MAC地址绑定配置484.7 双机配置494.7.2 ARP代理配置504.7.3 MAC地址绑定配置504.7.4 隧道配置50证书签发说明（v1.0）52图片列表54一、产品介绍1.1产品部署环境电力专用加密

8、认证网关安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间，用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。按照“分级管理”要求，纵向加密认证网关部署在各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构，如下图所示。图表 1 加密网关部署示意图1.2 产品外观与结构NetKeeper-2000L纵向加密认证网关是南瑞信息系统分公司在成功开发NetKeeper-2000纵向加密认证网关（百兆级）的基础上，研制的新一代高性能加密认证网关。NetKeeper-2000L纵向加密认证网关在网络环

9、境接入的适应性、数据加密性能、网络吞吐率、系统高可靠性保障技术等方面代表了加密认证网关的发展趋势，在行业内处于领先水平。（这个图片药换成3型的）图表 2 NetKeeper-2000L纵向加密认证网关NetKeeper-2000L2000加密认证网关的硬件结构如下图所示，硬件系统基于高性能RISC体系架构，主板集成57个以太网接口；串口用于对加密认证网关进行监控管理，高性能电力专用密码卡单元（内嵌电力专用密码算法和RSA公私密钥算法）对网络通信数据进行加密与认证；双机接口支持加密认证网关的双机热备和链路冗余备份，避免重要数据的丢失；硬件看门狗实时监控系统状态，保证加密认证网关稳定、可靠运行。图

10、表 3 加密认证网关硬件结构图加密网关的前面板图有810组指示灯，分别是双电源指示灯（POWER）、告警指示灯（ALARM）、读写器指示灯（ICSTA/ICACT）、加解密指示灯（ENCSTA/ENCACT）、五七组网络接口指示灯（FE0-FE46 SPD/LNK/ACT）。电源指示灯标识双电源的工作状态，红灯亮表示电源模块工作正常；告警灯亮并伴有声音告警表示加密认证网关受到异常网络攻击或者处于非稳定工作状态，管理员可以通过日志信息综合判断网关的工作情况；加解密ENCSTA灯亮表示电力专用数据密码卡处于正常状态，加解密ENCACT灯闪烁表示密码卡正在加解密数据；智能读写器ICSTA灯亮表示读写器处于正常状态，ICACT灯闪烁表示数据正在被读取。五七组网络接口LNK灯亮表示网卡与网络正确连接，网络接口ACT灯闪烁表示网卡正在接收或发送数据。加密网关的后面板图设计有双电源，有一个电源作为主电源供电，另一个做辅电源备份，这种设计可