SJW07-A工程人员培训指南.doc

SJW07-A 增强型电力专用纵向加密认证装置工程人员指南SJW07-A 增强型11 引言51.1 设备简介51.2 预期读者51.3 文档结构52 密码机的安装62.1 外观图62.2 前面板示意图62.3 后面板示意图62.4 密码机网线连接62.5 配置管理软件安装73 工作原理与名词解释93.1 典型应用拓扑93.2 双机互备93.3 安全证书机制103.4 密钥体系103.5 人机卡认证103.6 远程管理103.7 设备状态说明113.8 声光指示113.9 旁路模式开关114 本地配置124.1 初始配置流程124.2 生成设备证书请求124.3 导出设备证书请求134.4 导入根证书134.5 导入操作员证书144.6 导入管理中心证书154.7 验证操作员口令164.8 配置管理软件登录174.9 配置主菜单174.10 智能卡初始化184.11 证书管理19导入证书19证书管理19删除证书20修改证书名称204.12 隧道管理21添加隧道21删除隧道22查询隧道22重置隧道22绑定隧道22解绑隧道23修改隧道名称23设置隧道组234.13 策略管理24添加策略25查询策略25修改策略26删除策略264.14 系统配置26网络配置26VLAN配置28设备状态29互备装置30杂项配置31安全管理334.15 日志管理345 配置实例355.1 场景假定355.2 安装目标36AßàB 通信,交换机内侧式36案例分析36具体配置37装置A1上的配置工作.37装置B1上的配置工作.40AßàC 通信,交换机外侧式43案例分析43具体配置43装置A1上的配置工作43装置C1上的配置工作45典型交换机内侧式甘肃、#、#、青海48非典型交换机内侧式东北496 工程实用506.1 软件升级506.1.1 阶段一506.1.2 阶段二516.1.3 阶段三516.2 软件升级的另外一种方式516.3 签发证书526.3.1 工具安装536.3.2 签发证书步骤536.4 /proc/ipsec详解566.4.1 ipsec说明566.4.2 ipsec参数说明576.5 日志文件说明576.6 隧道状态说明586.7 状态异常606.7.1 硬件故障606.7.2 密钥丢失606.8 隧道组606.8.1 绑定/解绑616.8 隧道的工作模式与变换616.9 调试626.9.1 初期ping通信测试626.9.2 密通测试636.10 工程问题636.10.1如何根据网络拓扑判断配置模式636.10.2 工程中配置的问题636.10.3 调试工具、方法64附录 1661 引言1.1 设备简介SJW07-A 网络密码机以下简称SJW07-A用于实现在IP网络上的数据加密传输,用于商用密码领域.通过SJW07-A可在公网如Internet 或其他商业性网络之上构造安全的VPN系统.SJW07-A主要应用于全国电力二次系统,基于全国电力调度数据网络构建安全VPN,为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的#性、完整性保护.SJW07-A在电力系统中的专用称谓是"电力专用纵向加密认证装置简称装置",除非做特别说明,本文不区分SJW07-A和装置.1.2 预期读者本手册对SJW07-A的功能、使用方法与日常维护做了详细的介绍、并根据工程实例对装置的功能和用途作了进一步说明,读者可以根据.预期读者是SJW07-A的使用和维护人员,请相关人员在使用或维护装置前认真阅读本手册.读者在进行密码机配置的前期首先要掌握以下几种知识：l 简单的linux 系统的操作,比如cp、mv、cd、ls、rm、cat、more等命令l 常用的网络命令ftp、telnet等l 简单的网络知识,比如路由、子网掩码、VLAN等概念.l 简单路由器、交换机的配置.如何在路由器、交换机查看配置、抓包、ping等操作.1.3 文档结构为了能够更快的了解本手册的内容,现将手册的基本结构介绍如下：第一章：引言简述SJW07-A网络密码机的适用领域与本手册的基本结构.第二章：安装介绍如何安装SJW07-A的软硬件.第三章：工作原理与名词解释第三章：本地配置2 密码机的安装2.1 外观图2.2 前面板示意图图 1 SJW07-A前面板示意图2.3 后面板示意图图 2SJW07-A后面板示意图2.4 密码机网线连接装置通过10BaseT/100BaseTX RJ45以太网口与路由器、交换机或集线器等网络设备相连.装置的外网口与外部网相连,内网口与内部网相连,心跳口用于双机互备.将随机附带的非屏蔽五类直通/交叉网线一端连接到装置的外/内网口,另一端连接到路由器、交换机或集线器的以太网口.% 设置为双机互备的两台装置必须用随机附带非屏蔽五类交叉网线将心跳口连接起来.2.5 配置管理软件安装操作员可以使用随机光盘中附带的配置管理软件在WINDOWS PC上对装置进行配置管理.配置管理软件的安装步骤如下：首先执行随机光盘中的安装文件：加密机配置管理.exe,弹出安装对话框,如图：点击下一步弹出选择安装目录对话框,如图：点击下一步弹出快捷方式对话框,如图：点击下一步弹出安装对话框,点击安装按钮,安装结束.在桌面上会有一个配置终端的快捷方式,点击快捷方式即可进入配置终端软件.3 工作原理与名词解释3.1 典型应用拓扑上图为SJW07-A网络密码机的典型应用拓扑：每一个局域网根据具体情况可在由一到两台装置保护下,同其它局域网互联；从而使整个系统成为一个安全的VPN系统.装置证书服务系统采用离线方式工作,不与广域网相连.装置管理中心直接与各装置通信,实现对全系统装置的集中管理.3.2 双机互备当局域网中配备两台SJW07-A网络密码机时,可将装置配置成双机互备.即当主装置发生故障时,能够快速将认证和加密传输处理工作切换至备装置中,保障通信连续性.% 推荐每个局域网中配备两台SJW07-A网络密码机,并把装置配置成双机互备,以提高系统可用性.3.3 安全证书机制证书采用X.509格式,共有4类,分别为根证书、管理中心证书、对端装置设备证书简称对机证书、操作员证书.装置证书服务系统采用离线方式工作,所有证书均由装置证书服务系统统一签发.根证书：用于验证其它证书的有效性.管理中心证书：用于与管理中心通信.操作员证书：用于人机卡认证.对机证书：用于与其它装置同步工作密钥,与IP地址绑定.3.4 密钥体系SJW07-A网络密码机采用三级密钥：主密钥、设备密钥、工作密钥.主密钥：由装置硬件噪声源随机生成,存储在装置内部；又称保护密钥,负责加密保护装置中所有的密钥.设备私钥：设备公私钥对由装置的密码模块产生,设备私钥被主密钥加密后存储在装置内部.设备公钥以证书请求方式导出,由装置证书服务系统签发成设备证书并发布.工作密钥：工作密钥由装置在工作时产生,不需要保存,动态更新.% 装置具有开壳毁钥功能,当装置检测机箱顶盖到被非法打开后,则立即销毁主密钥和设备密钥.3.5 人机卡认证在登录进入装置配置界面时,会进行操作员口令、操作员卡和装置之间的交叉认证,认证通过后才能对装置进行配置.3.6 远程管理装置安装管理中心证书后,装置管理中心可直接与装置通信,对其进行远程配置和监控.远程管理中心是其他厂商开发的,一个地方可能有多个管理中心,多个管理中心在装置界定是根据管理中心的IP地址进行区别的.3.7 设备状态说明装置共有两种状态：初始态和工作态.这两种状态在一定的条件下相互转换,状态转换时需要重新启动装置.初始态：装置出厂时,默认为该状态.处于初始态时需要用户通过配置终端做一些初始配置.工作态：初始配置结束后,装置正常的工作状态.3.8 声光指示装置在工作的过程中,通过前面板指示灯和蜂鸣器的不同组合实现声光指示.正常情况下,显示装置的状态；当装置出现故障时,声光告警,提示用户.装置状态表参见附录1.3.9 旁路模式开关旁路模式开关为按钮开关,有2种状态：旁路模式和工作模式.4 本地配置SJW07-A网络密码机采用图形化配置界面,具有友好、便捷等优点.在PC机上运行配置管理软件前,请用配置电缆连接PC和装置参见"配置电缆连接".软件正常运行后,会根据装置的当前状态,显示不同的用户界面.具体见使用说明书.4.1 初始配置流程当装置处在出厂态和初始态时,采用向导式初始化流程,方便用户完成装置的初始配置.4.2 生成设备证书请求图 3"生成设备证书请求"对话框装置处于出厂态时,运行配置管理软件,执行初始化向导.第一步弹出"生成设备证书请求"对话框,如上图所示.功能：随机生成主密钥、产生设备密钥,根据输入的证书信息生成设备证书请求.操作：用户先填写证书信息,包括省、直辖市、组织、部门、名称和Email.点击按钮"生成证书".提示：操作时间较长,大约需要等待10秒钟.% 填写证书信息时请注意,组织和部门都必须是大写的"GDD".4.3 导出设备证书请求产生证书请求后,点击按钮"下一步",弹出"导出设备证书请求"对话框,如下图所示.图 4"导出设备证书请求"对话框功能：将生成的证书请求以文件形式导出到PC机上.操作："选择"保存的文件名称,点击按钮"导出证书请求".导出证书请求成功后,提示重启装置,配置管理软件自动关闭.提示：证书请求采用X.509格式,使用BASE-64编码.4.4 导入根证书装置重新启动后,进入初始态,再次运行配置管理软件.第一步弹出"导入根证书"对话框,如下图所示.图 5"导入根证书"对话框功能：将根证书导入装置中.操作：选择证书名称和证书编码,点击按钮"导入证书".提示：导入前必须确认证书编码格式.4.5 导入操作员证书导入根证书成功后,点击按钮"下一步",弹出"导入操作员证书"对话框,如下图所示.图 6"导入操作员证书"对话框功能：将操作员证书导入装置中,使用根证书验证该证书的有效性.操作：选择证书名称和证书编码,点击按钮"导入证书".4.6 导入管理中心证书操作员证书导入成功后,点击按钮"下一步",弹出"导入管理中心证书"对话框,如下图所示.图 7"导入管理中心证书"对话框功能：将管理中心证书导入装置,并用根证书验证该证书的有效性.操作：选择证书名称和证书编码,点击按钮"导入证书".管理中心证书是可选择安装的,如用户不安装该证书,可点击按钮"跳过".4.7 验证操作员口令图 8"验证操作员口令"对话框在"管理中心证书"对话框,点击按钮"下一步"或"跳过",都会弹出"验证操作员口令"对话框,如上图所示.功能：执行人机卡认证,对操作员口令、操作员卡、操作员证书进行交叉认证.操作：插入操作员卡,输入口令,点击按钮"验证".验证通过后,重启装置,配置管理软件自动关闭.提示：操作员口令和操作员卡由管理中心下发.4.8 配置管理软件登录初始配置结束后,装置进入工作态.运行配置管理软件后运行后弹出登录对话框,如下图所示.图 9"登录"对话框功能：执行人机卡认证,对操作员口令、操作员卡、操作员证书进行交叉认证.操作：插入操作员卡,输入口令,点击按钮"验证".4.9 配置主菜单登录成功后,SJW07-A网络装置配置管理主菜单,如下图所示.图 10SJW07-A网络密码机配置管理主菜单主菜单展示了装置的参数列表和隧道状态,双击参数列表中的某个参数,可以进入相关参数的配置对话框.配置终端提供两个快捷键可以快速使用相应功能.F5：手工刷新参数列表.注：为了不影响软件运行速度当所有参数刷新被选中时,所有参数才全部进行刷新,如果不选只有必要参数才会进行刷新F6：弹出命令行对话框.注：1、以上快捷键也可从菜单栏中操作的下拉框进行选择. 2、状态栏中的日期、时间为装置中的日期和时间,时间大约1分钟更新一次.4.10 智能卡初始化在主菜单中选择"智能卡初始化",弹出操作员证书请求对话框,插入智能卡,填写证书信息,点击确定,生成操作员证书请求.4.11 证书管理在主菜单中选择"证书管理",弹出证书管理对话框,共有两个选项卡：导入证书、证书管理.主要功能包括导入证书、查询证书列表、查询证书内容和删除证书.导入证书"导入证书"选项卡如下图所示.图 11"导入证书"选项卡功能：将各类证书导入到装置中,包括操作员证书、CA证书、管理中心证书、对机证书、纵向认证设备证书.操作：选择证书类型、IP地址、证书名称和证书编码,点击按钮"导入证书".提示：IP地址只对"对机证书"有效,对其它类型证书无效.证书管理"证书管理"选项卡如下图所示.图 12"证书管理"选项卡功能：查询装置的证书列表和证书详细内容.操作：右侧"证书列表"自动更新；在"证书列表"中选择证书名称后,点击按钮"查询证书内容".提示：双击证书名称,也可查询证书内容.删除证书功能：删除装置存储的证书,该操作集成在证书管理"选项卡中.操作：在"证书列表"中选择证书名称后,点击按钮"删除证书".提示：每次操作只能删除一个证书.用户只能删除"对机证书",其它类型的证书采用覆盖方式导入.修改证书名称功能：修改装置存储的证书的名称,该操作集成在证书管理"选项卡中.操作：在"证书列表"中选择证书名称后,点击按钮"修改证书名称".在弹出的对话框中输入一个合法的IP地址.提示：用户只能修改"对机证书"的名称.对机证书都是以对机的IP地址作为其名称的.4.12 隧道管理在主菜单中选择"隧道管理",弹出隧道管理对话框.主要功能包括添加隧道、删除隧道、查询隧道、重置隧道、绑定隧道和解绑隧道,修改隧道名称,设定隧道组.隧道管理对话框如下图所示.图 13"隧道管理"对话框添加隧道功能：建立同远端装置通信的隧道,该功能集成在"隧道管理"对话框中.如果要启用隧道绑定VLAN的功能,必须在添加隧道之前设置好VLAN,请参考"VLAN配置".操作：在左侧"证书列表"中选择证书文件；如果要启用隧道绑定VLAN的功能,必须选中复选框"绑定VLAN",同时选定一个VLAN ID；最后,设置隧道工作模式,点击按钮"添加隧道",然后弹出添加隧道名称的对话框如下图,填写隧道名称.提示：每次操作只能添加一条隧道.隧道添加成功后,在中间"隧道列表"中,显示隧道的相关信息.删除隧道功能：删除已建立的隧道,该功能集成在"隧道管理"对话框中.操作：在隧道列表中,选择隧道的IP地址,点击按钮"删除隧道".提示：每次操作只能删除一条隧道.查询隧道功能：查询装置中已有的隧道列表,该功能集成在"隧道管理"对话框中.操作：点击按钮"查询隧道".重置隧道功能：装置中对应的隧道将被重置,重新协商工作密钥；该功能集成在"隧道管理"对话框中.操作：在隧道列表中,选择隧道的IP地址,点击按钮"重置隧道".提示：每次操作只能重置一条隧道.绑定隧道功能：将两条隧道绑定在一起,两条隧道所对应的证书不同,但策略相同,用于双机热备；该功能集成在"隧道管理"对话框中.操作：在隧道列表中,选择需要绑定的两条隧道,点击按钮"绑定隧道".解绑隧道功能：将两条已绑定的隧道解绑,解绑后两条隧道的策略仍然相同,用户需要重新配置.该功能集成在"隧道管理"对话框中.操作：在隧道列表中,选择绑定的任意一条隧道,点击按钮"解绑隧道".修改隧道名称功能：修改已有隧道的名称.操作：在隧道列表中,选择要修改的一个隧道,点击按钮"修改隧道名称",弹出对话框输入新的隧道名称.如图：设置隧道组功能：设置已有隧道的隧道组.操作：在隧道列表中,选择要修改的一个隧道或一组隧道,点击按钮"设定隧道组",弹出隧道组维护对话框.如图：说明：n 随机产生组ID一般为新生成一个隧道组使用.n 设定组ID一般为修改隧道组ID使用.n 取消组设定一般为删除隧道组使用4.13 策略管理在主菜单中选择"策略管理",弹出策略管理对话框.主要功能包括添加策略、删除策略、查询策略和修改策略.策略管理对话框如下图所示.图 14"策略管理"对话框添加策略功能：为选定的隧道配置策略,每条策略包括源地址范围、目的地址范围、方向、协议、工作模式、源端口范围和目的端口范围；该功能集成在"策略管理"对话框中.操作：在左侧"隧道列表"选择隧道,输入策略信息,点击按钮"添加策略".查询策略功能：查询选定隧道对应的所有策略,该功能集成在"策略管理"对话框中.操作：在"隧道列表"选择隧道,点击按钮"查询策略".修改策略功能：修改策略信息,该功能集成在"策略管理"对话框中.操作：在右侧"策略列表"选择策略号,修改策略信息；点击按钮"修改策略".删除策略功能：删除策略,该功能集成在"策略管理"对话框中.操作：在右侧"策略列表"选择策略号,点击按钮"删除策略".4.14 系统配置在主菜单中选择"系统配置",弹出系统配置对话框.主要功能包括网络配置、设备状态、互备装置、杂项配置和安全管理.网络配置"网络配置"选项卡如下图所示.图 15"网络配置"选项卡功能：配置网络相关的参数,包括IP地址、掩码、网关和路由.操作：选择启用框后,第1路和第2路的设置才可执行.填入IP地址和掩码,点击按钮"设置IP地址"可设置装置的IP地址；填入网关、选择路由类型,点击按钮"设置路由表",可设置装置路由表；填入网关、选择路由类型,点击按钮"删除路由表",可将该路由从装置路由表中删除.提示："选项卡"下方的"路由表"显示当前装置的路由表信息.启用NATIP地址后,NATIP地址设置才能生效.VLAN配置在主窗口中,点击按钮"所属VLAN"标签右侧的按钮"设置",弹出VLAN配置对话框.如下图所示：图 16"VLAN配置"对话框功能：配置VLAN相关的参数,包括子网地址、子网掩码、外出路由器的IP地址和进入交换机的IP地址.操作：添加VLAN.过程如下：选中复选框"启用VLAN"；填写VLAN ID；如果这个VLAN ID是用户所有VLAN中最小的那个VLAN ID,请选中复选框"装置属于该VLAN"；在"子网地址"里填入写一个IP地址,这个IP地址必须是分配给装置的IP地址；填入一个子网掩码；如果"网络配置"时选中了复选框"启用虚拟IP地址",就必须填写外出路由器的IP地址和进入交换机的IP地址.点击按钮"添加",完成一个VLAN的添加.重复上述过程添加所有VLAN.删除VLAN.过程如下：在下方的列表框中选中一个VLAN,点击按钮"删除"就可以删除一个VLAN.提示：复选框"装置属于该VLAN"与最小的那个VLAN ID对应,必需且只需选中一次.选中启用ARP后,该VLAN会自动启用ARP代理.设备状态"设备状态"选项卡如下图所示.图 17"设备状态"选项卡功能：查询装置当前的各项状态.操作：点击按钮"查看设备状态".提示：在"选项卡"上方的"设备状态列表"将显示装置的各项信息互备装置"互备装置"选项卡如下图所示.图 18"互备装置"选项卡功能：查询和配置装置的双机互备参数；当装置处于互备状态时,才需要设置装置的主备参数.操作：选择装置的互备参数："单机"或"双机互备",然后点击右侧的"设置"按钮；当选择的是"双机互备"时,还可以进一步选择装置的互备角色："主装置"或"备装置",然后点击右侧的"设置"按钮.提示："选项卡"下方的"信息列表"会显示操作结果和当前装置的互备参数.选中主备切换标志后,主、备机正常启动后,备机网口不会正常工作,当主机不工作时,备机才能正常工作.杂项配置"杂项装置"选项卡如下图所示.图 19"杂项配置"选项卡功能：配置装置的各项工作参数,包括系统时间、工作模式、生成树协议、是否报警、工作密钥生存期和工作密钥使用次数.操作：在时间框中填入时间,点击按钮"设置系统时间"；选择工作模式,点击按钮"设置工作模式"；点击"alarm"或"STP"可启用/禁止警报和生成树协议；输入次数,点击按钮"最大加密次数"；输入工作密钥生存周期小时,点击按钮"设置生存期".提示："选项卡"下方的"信息列表"会显示操作结果和当前装置的当前工作参数.安全管理"安全管理"选项卡如下图所示.图 20"安全管理"选项卡功能：包括修改操作员口令,启动和关闭装置,装置自检,软件备份、恢复和更新,恢复出厂设置,备份配置,恢复配置.操作：输入旧口令和2次新口令,点击按钮"确定"更改操作员口令.选择重启或关机,点击按钮"确定"重启或关闭装置.点击按钮"系统自检",检测装置当前的状态.点击按钮"备份软件",将装置相关软件备份到本地；点击按钮"恢复软件",将本地的软件包恢复到装置；点击按钮"软件更新",以增量的方式将软件更新到装置上.点击按钮"恢复出厂设置"将装置恢复为出厂态,重新执行初始配置；点击按钮"备份配置",选中要备份的配置文件,将机器中的配置文件导出到本地；点击按钮"恢复配置",选中要上传的文件,将本地的配置文件上传到机器中.提示："选项卡"下方的"信息列表"显示操作结果和系统状态；更改操作员口令是必须插入操作员卡.4.15 日志管理"日志管理"对话框如下图所示.图 21"日志管理"对话框功能：对装置保存的日志进行管理,包括查看日志、备份日志、清空日志.操作：点击按钮"备份日志"将装置日志备份到本地.点击按钮"清空日志"将装置存储的日志文件清空.日志采用分页方式查看,点击按钮"查看日志"查看最新的日志文件,通过"上一页"和"下一页"翻页.提示：日志管理的操作时间比较长,"日志管理"对话框下方的进度条,显示操作的进度.5 配置实例下面结合一个实例进行配置说明：5.1 场景假定l 设定节点A和节点B之间要建立加密通信.l 设定节点A和节点C之间要建立加密通信.l A、B装置的位置已经明确,位于交换机和路由器之间.l C装置的位置位于交换机和保护通信网关之间.l 交换机和路由器通过互联VLAN901和VLAN904进行互联,这个互联网段的子网掩码是30位,没有多余的IP地址.l 节点A的两台交换机互为热备.节点B的两台交换机互为热备.l 节点C的两台装置各自保护一台通信网关,不相互备份.l 数据业务走VLAN901,需要加密,其它业务走VLAN904,不需要加密.5.2 安装目标AßàB 通信,交换机内侧式节点A的被保护主机10.23.4.193、10.23.4.194等与节点B的被保护主机10.21.4.193、10.21.4.194等之间可以进行加密通信.案例分析由于节点A的局域网交换机互为热备,因此,对于装置A1和A2来说,它们要保护的网段相同,即,都是10.23.4.193、10.23.4.194等.节点B同理.因此,节点A的装置A1与装置B1和B2应各建立一条隧道,这两隧道是互为绑定的主主隧道.装置A2同理.反过来,节点B的装置B1、B2也需要建立到节点A的互为绑定的主主隧道.由于交换机和路由器之间是VLAN TRUNK,因此,装置要启用VLAN功能；由于交换机和路由器之间没有多余的IP地址,因此,装置要启用借用地址功能；为了对不影响用户的业务数据流向,因此,要启用隧道与VLAN绑定的功能；由于需要加密的数据业务走VLAN901,因此,隧道均需要绑定VLAN901.具体配置装置A1上的配置工作.1、网络和路由配置IP地址交换机VLAN地址子网掩码交换机VLAN子网掩码默认网关路由器的地址2、VLAN配置启用VLAN是VLAN901VLAN ID901子网地址一定要与交换机地址相同子网掩码路由器地址交换机地址装置所属VLAN是VLAN904VLAN ID904子网地址一定要与交换机地址相同子网掩码路由器地址交换机地址装置所属VLAN否3、设置路由器和交换机的MAC地址路由器MAC00:aa:bb:cc:dd:ee交换机MAC00:uu:vv:#:yy:zz4、安装证书B1 证书类型对机证书IP地址证书文件B1的证书文件名.pem编码BASE-64B2证书类型对机证书IP地址证书文件B2的证书文件名.pem编码BASE-645、添加隧道启用隧道与VLAN绑定是启用主主模式是到B1的隧道依次选中证书文件""、选中VLAN"901"、工作模式"加密",最后点按钮"添加隧道"：证书文件绑定VLAN901工作模式加密隧道ID假定是1从隧道ID2到B2的隧道证书文件绑定VLAN901工作模式加密隧道ID假定是2从隧道ID1选定隧道1和隧道2,点按钮"绑定隧道".6、添加策略添加到节点B的安全策略选定隧道1或隧道2,输入以下各项内容,点按钮"添加策略"：源IP地址范围从源IP地址范围到目标IP地址范围从目标IP地址范围到其余都使用默认值其它参数配置参考表1杂项配置.装置B1上的配置工作.1、网络和路由配置IP地址交换机VLAN地址子网掩码交换机VLAN子网掩码默认网关路由器的地址2、VLAN配置启用VLAN是VLAN901VLAN ID901子网地址一定要与交换机地址相同子网掩码路由器地址交换机地址装置所属VLAN是VLAN904VLAN ID904子网地址一定要与交换机地址相同子网掩码路由器地址交换机地址装置所属VLAN否3、设置路由器和交换机的MAC地址路由器MAC00:aa:bb:cc:dd:ee交换机MAC00:uu:vv:#:yy:zz4、安装证书A1 证书类型对机证书IP地址证书文件B1的证书文件名.pem编码BASE-64A2证书类型对机证书IP地址证书文件B2的证书文件名.pem编码BASE-645、添加隧道启用隧道与VLAN绑定是启用主主模式是到A1的隧道依次选中证书文件""、选中VLAN"901"、工作模式"加密",最后点按钮"添加隧道"：证书文件绑定VLAN901工作模式加密隧道ID假定是1从隧道ID2到A2的隧道证书文件绑定VLAN901工作模式加密隧道ID假定是2从隧道ID1选定隧道1和隧道2,点按钮"绑定隧道".6、添加策略添加到节点A安全策略选定隧道1或隧道2,输入以下各项内容,点按钮"添加策略"：源IP地址范围从源IP地址范围到目标IP地址范围从目标IP地址范围到其余都使用默认值其它参数配置参考表1杂项配置.AßàC 通信,交换机外侧式节点A的被保护主机10.23.4.193、10.23.4.194等与节点C的被保护主机10.25.4.193、10.25.4.194等之间可以进行加密通信.案例分析由于节点A的局域网交换机互为热备,因此,对于装置A1和A2来说,它们要保护的网段相同,即,都是10.23.4.193、10.23.4.194等.而节点C的装置各自保护自己的通信网关,对于装置C1 保护网关10.25.4.193,对于装置C2保护网关10.25.4.194.因此,节点A的装置A1与装置C1和C2应各建立一条隧道.装置A2同理.反过来,节点C的装置C1、C2也需要建立到节点A的互为绑定的主主隧道.对于节点C装置是在交换机和网关之间,拥有自己的IP地址,不需要借用地址,所以在设置上有所不同.具体配置装置A1上的配置工作1、 安装证书C1证书类型对机证书IP地址证书文件C1的证书文件名.pem编码BASE-64C2证书类型对机证书IP地址证书文件C2的证书文件名.pem编码BASE-642、添加隧道到C1的隧道证书文件绑定VLAN901工作模式加密隧道ID假定是3从隧道ID0到C2的隧道证书文件绑定VLAN901工作模式加密隧道ID假定是4从隧道ID0注：到节点C的两条隧道不互为绑定.3、添加到节点C的安全策略对应于到C1的隧道隧道3需要添加一条策略.选定隧道3,输入以下各项内容,点按钮"添加策略"：源IP地址范围从源IP地址范围到目标IP地址范围从目标IP地址范围到其余都使用默认值对应于到C2的隧道隧道4也需要添加一条策略.选定隧道4,输入以下各项内容,点按钮"添加策略"：源IP地址范围从源IP地址范围到目标IP地址范围从目标IP地址范围到其余都使用默认值装置C1上的配置工作1、网络和路由配置IP地址子网掩码默认网关2、VLAN配置装置C1不需要做VLAN配置启用VLAN否3、设置路由器和交换机的MAC地址装置C1不需要设置路由器和交换机的MAC地址.4、安装证书A1 证书类型对机证书IP地址证书文件A1的证书文件名.pem编码BASE-64A2证书类型对机证书IP地址证书文件A2的证书文件名.pem编码BASE-645、添加隧道装置C1所在的位置不是VLAN TRUNK,所以不需要启用启用隧道与VLAN绑定.启用隧道与VLAN绑定否启用主主模式是到A1的隧道证书文件绑定VLAN工作模式加密隧道ID假定是1从隧道ID2到A2的隧道证书文件绑定VLAN工作模式加密隧道ID假定是2从隧道ID1选定隧道1和隧道2,点按钮"绑定隧道".6、添加策略添加到节点A的安全策略到节点A只需要添加一条安全策略.选定隧道1,输入以下各项内容,点按钮"添加策略"：源IP地址范围从源IP地址范围到目标IP地址范围从目标IP地址范围到其余都使用默认值选定隧道1,输入以下各项内容,点按钮"添加策略"：源IP地址范围从源IP地址范围到目标IP地址范围从目标IP地址范围到其余都使用默认值7、它参数配置参考表1杂项配置.8、重新启动以上配置均完成后,重新启动装置.典型交换机内侧式甘肃、#、#、青海主要A调与普通交换机内侧式不一样,即VLAN 901是24位掩码、VLAN904是30位掩码,在30掩码下交换机和路由器之间密码机没有地址使用,密码机要使用借用地址模式,在24掩码下交换机和路由器之间密码机有地址使用,对于24掩码的VLAN设置要使用ARP代理.与普通交换机内侧式相比,在配置上主要是添加VLAN901时,要选中装置启用ARP按钮.由于交换机和路由器之间是VLAN TRUNK,因此,装置要启用VLAN功能；装置要启用借用地址功能,配置MAC地址.为了对不影响用户的业务数据流向,因此,要启用隧道与VLAN绑定的功能；由于需要加密的数据业务走VLAN901,因此,隧道均需要绑定VLAN901.非典型交换机内侧式东北主要A调与普通交换机内侧式不一样,即VLAN 901是24位掩码、VLAN904是24位掩码,在24掩码下交换机和路由器之间密码机有地址使用,密码机可以不使用借用地址配置模式,但必须启用VLAN,需要在A1中添加每一条VLANVLAN901、VLAN904.由于对端装置B1、B2与A1连接时,要求A1要具有两个IP地址分别与B1、B2连接,即对于B1要与A1-10.80.72.2建立隧道,B2要与A1-10.90.72.226建立隧道,所以对于这种的网络拓扑,密码机A1要采用借用地址配置模式,并且在添加每一条VLAN时要选中启用ARP设置.装置要启用借用地址功能.交换机和路由器之间是VLAN TRUNK,因此,装置要启用VLAN功能.与普通交换机内侧式相比,在配置上主要是添加VLAN901、VLAN904时,分别要选中装置启用ARP按钮.要启用隧道与VLAN绑定的功能,与B1需要加密的数据业务走VLAN901,因此,B1隧道需要绑定VLAN901.与B2需要加密的数据业务走VLAN904,因此,B2隧道需要绑定VLAN904.6 工程实用6.1 软件升级6.1.1 阶段一假定当前业务数据走装置1l 以配置终端登录装置2,记录隧道号与隧道对端IP等隧道配置l 把自己的机器IP地址修改为192.168.100.2、掩码为255.255.255.248.访问密码机的心跳口 192.168.100.1,可以l 通过心跳口,以FTP方式把bin.tar.gz上传到装置2的root目录下注：一定要使用Binary模式传输l 通过心跳口,TELNET 到装置2上,并cd到root目录下l 用tar z