PSTunnel2000电力专用纵向加密认证网关使用指南.doc

《PSTunnel2000电力专用纵向加密认证网关使用指南.doc》由会员分享，可在线阅读，更多相关《PSTunnel2000电力专用纵向加密认证网关使用指南.doc（84页珍藏版）》请在三一文库上搜索。

1、PSTunnel2000 电力专用纵向加密认证网关使用指南版 权 声 明“PSTunnel2000 电力专用纵向加密认证网关” 版权归中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司所有，任何侵犯版权的行为将被追究法律责任。未经版权所有者的书面准许，不得将本手册的任何部分以任何形式、采用任何手段（电子的或机械的，包括照相复制或录制）、或为任何目的，进行复制或扩散。Copyright2001-2008中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司。版权所有，复制必究。中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司不对因为使用该软件、用户手册或由于该软

2、件、用户手册中的缺陷所造成的任何损失负责。PSTunnel2000 电力专用纵向加密认证网关使用指南前 言互联网从无到有以飞快的速度发展着，它的开放性在给人们带来巨大便利的同时，也带来了系统入侵、信息泄密等网络安全问题。网络的存在使得信息能达到高度共享和迅速传递，但是也要清楚认识到，网络安全问题作为一个十分重要的问题是一直存在着的。 “PSTunnel2000 电力专用纵向加密认证网关”是中国电力科学研究院电网所、北京科东电力控制系统有限责任公司是受国家电力调度通信中心委托开发的， 用于保护电力专用电力调度数据网路由器和电力系统的局域网之间通信安全的电力专用网关机。 “PSTunnel2000

3、 电力专用纵向加密认证网关”保护上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护,此外，实现了对电力系统专用的应用层通信协议（IEC- 104 ，DL476-92等）转换功能，以便于实现端到端的选择性保护。PSTunnel2000 电力专用纵向加密认证网关使用指南 阅读指南手册目标 本手册是中国电力科学研究院（电网所）、北京科东电力控制系统有限责任公司的产品PSTunnel -2000电力专用纵向加密认证网关的用户指南，它详细地介绍了设备功能和操作。通过阅读本手册，用户可以掌握PSTunnel -2000电力专用纵向加密认证网关的使用方法。阅读对象 本手册是专

4、为购买PSTunnel -2000电力专用纵向加密认证网关的用户编写的。用户在使用该设备之前请仔细阅读本手册，以免误操作，造成不必要的损失。手册构成本手册主要由以下几个部分组成：1 第一部分：背景篇。2 第二部分：原理篇。3 第三部分：管理篇手册约定【注意】、【提示】的意思是请读者注意那些需要注意的事项。PSTunnel2000 电力专用纵向加密认证网关使用指南目 录背 景 篇第一章电力专用纵向加密认证网关介绍11.1 电力专用纵向加密认证网关的定义11.2 电力专用纵向加密认证网关的总体部署位置1原 理 篇第二章 PSTUNNEL-2000电力专用纵向加密认证网关原理32.1工作原理32.2

5、部署位置实例32.3 硬件外观及接口5管 理 篇第三章 PSTUNNEL-2000电力专用纵向加密认证网关管理73.1 软件名称及存储位置73.2 相关说明文件和其他文件说明7 3.3 使用设备流程初始化状态73.4使用设备流程运行状态123.4.1 本地设备基本信息133.4.2 网络VLAN配置173.4.3 双机配置203.4.4 基本路由配置223.4.5 配置隧道信息243.4.6 配置策略信息283.4.7 其他功能设定343.4.8 导入相应证书353.4.9 管理中心配置363.5配置实例373.5.1透明模式的配置实例（基本不用）373.5.2借用模式的配置实例（常用模式）4

6、83.5.3借用模式和借用1-N模式的配置实例593.6管理工具介绍683.6.1纵向加密网关软件安装68附录一：网络环境及配置表72附录二： 密码知识75附录三：相关其他系统简介76IIPSTunnel2000电力专用纵向加密认证网关使用指南背 景 篇76第一章 电力专用纵向加密认证网关介绍1.1 电力专用纵向加密认证网关的定义 “电力专用纵向加密认证网关”是用于保护电力调度数据网路由器和电力系统的局域网之间通信安全的电力专用网关机。该设备提供保护上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。此外，电力专用纵向加密认证网关实现了对电力系统专用的应用层通信

7、协议（IEC- 104 ，DL476-92等）转换功能，以便于实现端到端的选择性保护。1.2 电力专用纵向加密认证网关的总体部署位置按照“分级管理”要求，纵向加密认证装置部署在各级调度中心及下属的各厂站，根据电力调度通信关系建立加密隧道（原则上只在上下级之间建立加密隧道），加密隧道拓扑结构是部分网状结构。如图：各个纵向加密认证网关之间部署示意图纵向加密认证装置纵向加密认证装置路由器路由器国家电力调度数据网络国家电力调度数据网络I/III/II级级调度中心调度中心调度中心调度中心调度中心调度中心管理终端纵向加密认证装置纵向加密认证装置路由器路由器国家电力调度数据网络调度中心调度中心调度中心调度中

8、心调度中心调度中心管理中心纵向加密认证网关路由器纵向加密认证网关和装置管理中心部署位置示意图原 理 篇PSTunnel2000电力专用纵向加密认证网关使用指南第二章 PSTUNNEL-2000电力专用纵向加密认证网关原理2.1工作原理电力专用加密认证网关,专有的加密协议PSTunnel-2000 电力专用纵向加密认证网关间通信协议为国调组织多位专家联合设计，并经权威机构的多位院士审查论证，通信协议内容同样高度保密。PSTunnel-2000 电力专用纵向加密认证网关采用基于公钥体制的工作密钥的自动协商和交换。证书采用电力调度证书服务系统签发的 电力专用符合标准的证书文件。 加密算法PSTunn

9、el-2000 电力专用纵向加密认证网关的密钥生成、数据加密都是由专用高速数据加密卡完成，该加密卡为国调、国密局共同指定的厂家研制开发，对称加密基于专用加密算法芯片，非对称加密遵循国际标准，加密速度快，抗攻击能力强。安全隧道彼此通信的加密装置之间建立的连接隧道。安全策略基于安全隧道的彼此通信的主机之间的安全规则，称为安全策略。2.2部署位置实例某调度中心典型拓扑如下： 接入纵向加密认证装置后，典型网络拓扑之一接入纵向加密认证装置后，典型网络拓扑之二2.3 硬件外观及接口前视图电力专用纵向加密认证网关 前面板模块 状态标识说明描述备注指示灯PWR 电源单电源绿灯闪，双电源绿灯长亮Run系统运行绿

10、灯慢闪SPD0内网侧接口Link接入网络灯亮SPD1外网侧接口Link接入网络灯亮SPD2内网侧接口Link接入网络灯亮SPD3外网侧接口Link接入网络灯亮SPD4配网侧接口Link接入网络灯亮ACT 0内网侧网口Act网络存在数据包灯亮ACT 1外网侧网口Act网络存在数据包灯亮ACT 2内网侧网口Act网络存在数据包灯亮ACT 3外网侧网口Act网络存在数据包灯亮ACT 4配网侧接口Act网络存在数据包灯亮Alarm报警信号报警红灯液晶屏LCD系统状态显示加密解密模块状态灯E/D加密卡状态显示加/解密时绿灯闪，非加解密时常亮IC卡模块ICCard操作员卡读卡器状态卡与读卡器接触绿灯亮插槽

11、操作员卡片位置芯片位置朝下插入图标Kedong 制造商信息SJY99加密网关国家密码管理局批复的商密产品型号侧面及背面电力专用纵向加密认证网关 背面板模块 状态标识说明描述备注电源主电源电源接口交流110V-220V/50HZ直流 85V-264V备电源电源接口交流110V-220V/50HZ直流 85V-264V锁具ON/OFF专用钥匙接地端子接入机柜接地线配置网口Eth4配置网口配网口还是外网口？管理串口Console控制台内网网口Eth0内网侧网口外网网口Eth1外网侧网口内网网口 Eth2内网侧网口外网网口 Eth3外网侧网口电力专用纵向加密认证网关 侧面板：模块 状态标识说明描述备注

12、风扇风扇管 理 篇PSTunnel2000电力专用纵向加密认证网关使用指南第三章 PSTUNNEL-2000电力专用纵向加密认证网关管理我们可以方便地通过GUI管理器来管理、配置、监视“PSTunnel-2000电力专用纵向加密认证网关”，也可以通过使用Windows提供的超级终端以命令行的方式查看网络安全隔离设备各种配置参数。以上两种管理方法将在下面做详细介绍。PSTunnel-2000电力专用纵向加密认证网关有专门的配置网口，通过网线的连接可以对其进行管理、配置、监视。PSTunnel-2000电力专用纵向加密认证网关有一个串口，用标准的网口转串口线（ 我方在配件中已经提供该线）连接标记为

13、CONSOLE的串口， 即可登录网关的操作系统。3.1 软件名称及存储位置在系统中的 /ipead/bin 文件夹中。3.2 相关说明文件和其他文件说明/ ipead/certs 各种证书文件，包括远程对端装置的证书，管理中心的证书，本地设备的证书，操作员的证书，国调和上级调度中心的证书。 /ipead/tmp 程序运行产生的临时文件；/ipead/driver 程序运行所需的各个硬件对应的驱动文件；/ipead/fonts 字库文件；/ipead/logs/ipead.dat 程序运行时记录的日志文件；/ipead/reqs 证书请求文件的存放目录 3.3 使用设备流程初始化状态（该初始化过

14、程，在装置出厂之前已做过，用户不需要操作此过程）根据国家电力调度通信中心的要求， 该加密设备的使用必须遵守以下流程：首先对该设备进行初始化工作， 对其进行一系列的证书请求生成、证书导入等一系列工作， 只有初始化工作全部完成后，设备才能进入正常的运行工作状态。流程如下：初始化操作第一步程序会进行设备的初始化工作，包括初始化设备内部默认IP 地址的设置，双机功能的默认配置，初始用户用户名的设置，安全隧道、安全策略、过滤规则列表的初始化，设置管理中心的初始权限， 设置电力专用协议的列表，初始化操作员的IC卡等工作。用串口线登录串口终端，执行程序./initdev.ppc初始化工作的第一步完成。初始化

15、操作第二步：确保您已经正确插入出厂配置的“初始化IC卡”插入设备的插槽中，配置主机网线连入配置网口，启动设备管理程序图形界面，操作员用户名init，填入密码，键入默认IP地址169.254.200.200，点击“确定”， 则会登录主界面。【注意】给您本地终端的网卡配置一个“169.254.200.0”网段的地址。进入主界面后，点击“初始化”菜单的“生成设备密钥和证书请求”命令，这时， 配置软件会产生向导， 帮助您完成对“PSTunnel-2000电力专用纵向加密认证网关”该密码设备私密信息的生成、需要签发的“证书请求文件”的导出工作。紧接着，向导会提示您填写证书请求文件的信息。填入您“PSTu

16、nnel-2000电力专用纵向加密认证网关”所在公司或者网省地调度等一些列信息，需要用英文字母和数字组合来标识。各个字段的意义如下：C国家： 填入我国（China）的代码的简写CN；SP省市自治区： 填入所在的省区名字；市县名称： 填入所在的市县名字；O组织名称： 填入公司的名称或者所在单位；（GDD）OU部门名称： 填入所在部门的名称；（GDD）CM设备名称： 填入这台设备的名字。这时， 点击下一步， 网关内部会自动生成公私钥对，并将公钥导出，将公钥和您刚才所填写的“证书请求文件信息”一起形成证书请求文件，向导会提示您保存这个文件在您的机器上 。初始化操作第三步：生成操作员证书请求文件， 点

17、击“初始化”菜单的“生成操作员证书请求”， 会出现向导， 引导您完成操作员初始化的过程。与设备初始化相似， 整个过程也需要填入“证书请求文件”的一些详细内容，也是需要英文字母和数字的组合。与“设备证书”请求不同的是， 作这项操作要保证给“PSTunnel-2000电力专用纵向加密认证网关”附带的空白IC卡和操作的同步性。给您附带的两张空白内容的IC卡, 这是国家电力调度通信中心指定的厂家的用于 “操作员” 登陆的IC卡,需要对它运行初始化程序后, 对证书请求文件进行导出和签发。然后把“上级调度证书系统”签发好的用户证书再导回加密网关中。作为以后用户登录,管理”加密认证网关”设备的必要硬件。其中

18、一张IC卡做为备份使用, 两张IC卡都能管理、设置”加密认证网关”。初始化操作第四步：请您将这个证书请求文件通过邮件或者其他方式上交到上级调度证书系统，分别签发成“设备证书”和操作员证书。将您上级调度系统根证书一并要来, 作为“密认证网关”证书的导入的第一个证书。初始化操作第五步：将“出厂初始化IC卡”插入插槽,登录网关。分别导入调度系统的根证书、签发回来的设备证书、签发回来的操作员证书。根证书 :这个证书是“电力调度证书系统”根证书, 之后导入的其他证书。例如设备证书、操作员证书、远程设备证书、管理中心证书都要靠这个根证书来验证是否有效。只有是被“电力调度证书系统”签发的证书才是有效的,这个

19、根证书就是用来验证其他证书的有效性的。点击“初始化/导入根证书”, 配置软件会自动为这个证书选定证书编号1024, 然后点击“选择”按钮, 找到根证书文件位置,选择导入,这样根证书文件就导入成功了。设备证书: 点击“初始化/导入设备证书”, 配置软件会自动为这个证书选定证书编号1056, 然后点击“选择”按钮, 找到设备证书文件位置,选择导入。操作员证书: 点击“初始化/导入操作员证书”,为这个证书选定证书编号1040, 然后点击“选择”按钮, 找到设备证书文件位置,选择导入.这里的按钮有两个, 一个是导入网关中, 一个是导入IC卡芯片中。这都需要分别导入经调度证书系统签发回来的证书文件。为备

20、份的那张IC卡也作以上签回证书的导入工作,为证书编号1041。初始化操作第六步:作证书和管理登录作映射关系, 在”操作员/操作员管理”中, 点击”添加”, 把IC卡登录用户名和刚刚为证书编号填写好,点击确定。 这样就为这两张“操作员IC卡”、“加密认证网关”和“操作员登录名”之间的 “人机卡三方认证”建立映射关系。【注意】两张IC卡的证书不能导错, 导入时证书编号也要和”操作员管理中建立映射的编号一致。操作员证书编号可以从1040-1055范围内，1040是出厂初始IC卡的证书文件，从1040至1055都可以是操作员证书的编号。【注意】证书请求文件上交“电力调度证书系统”进行签发这是必要的步骤

21、 设备必须经过您上级的调度证书系统签发， 才能是可靠的、电力调度系统内部的、可识别的证书。请您妥善保管好“出厂初始化IC卡”以后的日常管理和维护就用这两张经过初始化后的“PSTunnel-2000电力专用纵向加密认证网关”就可以转入正常运行状态了。3.4使用设备流程运行状态设备转入正常运行状态后,就可以配置管理”加密认证网关”了,正常运行状态必须要经过以下流程的操作:l 配置设备的基本信息;l 配置安全隧道信息;l 配置安全策略信息;l 导入对方对等装置的设备证书;l 配置“管理中心”的权限和导入管理中心的证书;3.4.1 本地设备基本信息“操作员IC卡”插入插槽中, 启动管理配置软件,以您

22、自己登录名和密码登录, 这时,网关设备、人员和IC卡之间进行人机卡三方认证。只有正确登入进行了人机卡三方认证, 才有权限进行配置管理, 进入主界面。点击主界面 “配置” 菜单的 “装置配置” , 会显示一个窗体：装置基本配置主要配置的 “加密认证网关”的信息有：设备标识（设备名称）、加密认证网关的工作模式、VLAN标记类型、缺省的策略处理模式、协议栈的有无、缺省隧道协商时间、更换密钥间隔报文数量、是否主动探测对端设备、探测时间周期、探测失败次数、监测网口流量、检测网口流量时间间隔、一直协商否、是否启用路径一致、设备描述。设备标识：是设备的名称，名称要符合标识符的命名规则。VALN 标记类型：如

23、果VALN是802.1q标签协议， 选择 802.1q ；此外还支持cisco 特有的格式ISL，或者无标记。缺省策略处理模式：放行，丢弃。如果数据报文没有匹配到的策略， 设备将按照此配置来处理报文。默认应当配置“丢弃”。缺省协商超时：如果在规定时间内，隧道没有建立，则认为是协商超时， 这个时间是时间阈值（5-600秒），默认600秒。更换密钥间隔：为了增强数据保密性、安全性，协商好的密钥要定期更换，每到数据包累积到一定数量， 就要求原有的对称密钥过期，重新进行对称密钥协商。此处配置为数据包阈值（10万-600万）。 可以根据各个不同业务数据流量来确定此阈值。是否主动探测对端设备：选择此项后，

24、装置会主动向远端装置发送探测包，以确定远端装置是否存在。探测时间周期：在选择“主动探测对端设备”后，在此处填入时间，时间范围值是3-255，默认是20秒，建议无特殊情况，不需改动此值。探测失败次数：在选择“主动探测对端设备”后，在此处填入探测次数，默认是3次。监测网口流量：包括3种方式：不监测、监测外网、监测内外网。当选择“不监测”时，“检测网口流量时间间隔”处不可用；当两装置同时在线，一台在线工作，一台在线没有工作，选择“监测外网”时，在“检测网口流量时间间隔”填入时间；若能够确保在线工作装置内外网口一直都有流量的情况下，选择“监测内外网”时，在“检测网口流量时间间隔”填入时间。一直协商否：

25、选择该项后，装置上的隧道会一直主动协商远端装置。是否启用路径一致：选择该项后，装置会保证数据传输来回的路径一致，默认情况下，此项不用选择。工作模式：“PSTunnel-2000电力专用纵向加密认证网关”可以工作在四种工作模式之下：透明模式、网关模式、借用模式、借用1-N模式。根据国家电力调度数据网统一的模型和网络设备的配置使用，根据有关精神，纵向加密认证网关可以部署在网络的拓扑有两种位置：1 部署在业务端与交换机之间：优点：调度中心或者厂站局域网内部的地址容易获得，不影响全网已经分配的地址。如果发生纵向设备故障，仅影响单个业务，便于设备管理。缺点：依据业务不同，需要的纵向装置数量很大。2 部署

26、在交换机与路由器之间：优点：部署在网络的关键路径之上，不同的业务都可以通过一个或者主备两个纵向装置对应用的业务进行保护，需要的纵向装置数目比上一种情况少。缺点：如果发生纵向设备故障，影响面积较大。 可用全网地址：根据全国调度数据网统一分配的IP地址，确保设备的唯一性。缺点：需要对调度数据网全网地址重新配置，相应的改动工作影响面大。 借用地址：优点：分别借用路由器和交换机的地址，不需要对调度数据网地址进行改动。 在“PSTunnel-2000电力专用纵向加密认证网关”的四种工作模式中，透明模式和网关模式已经很少用到，其中由于网关模式改变现有的网络结构,所以已经基本不用,而借用模式和借用1-N模式

27、是我们经常用到的工作模式。通常情况下，纵向加密认证网关工作在借用模式下，它可以借用交换机、路由器的地址，也可以借用新的可用全网地址。但在一个外网地址对一台设备中多个外网地址进行通信的情况下，则需使用借用1-N工作模式。设备描述：描述设备的功能，起备忘的作用。3.4.2 网络VLAN配置五个网口的IP地址可以根据您现有网络不同的VLAN ，不同的IP，对地址进行配置；ETH0到ETH4分别代表内网口、外网口、内网口、外网口和配网口。外网口是连接 “纵向加密认证网关” 和 外网路由器 的网口；内网口是连接“纵向加密网关” 和 内部网络交换设备 的网口；配网口是“加密网关”和连接管理工具的网口。点击

28、新建”，会弹出以下对话框，要求添入IP地址，子网掩码，与对应的VLANID。如果在装置配置中没有配置VALN 格式，802.1q或者ISL，此处请填写0。 根据现场的业务不同， 一些业务的处于不同VLAN的各自独立的网端，如果将“纵向加密认证网关”部署在路由器和核心交换机之间，并且要借用的原有路由器地址和交换机网关地址，那么各个业务都将本装置内网网口配置成不同VLAN的各个业务的网关地址，外网网口配置成交换机的30位掩码那个地址，并要填入相应的VLANID。例如：业务R原有的业务网关为10.20.1.254/26 VLAN ID 801业务P 原有的业务网关为10.20.11.254/27

29、VLAN ID 811业务E原有的业务网关为10.20.21.254/28 VLAN ID 821业务D原有的业务网关为10.20.31.254/29 VLAN ID 831那么在借用地址的模式下，内网VLAN的地址就为下列表格： 序号IP地址子网掩码VLAN110.20.1.254255.255.255.192801210.20.11.254255.255.255.224811310.20.21.254255.255.255.240821410.20.31.254255.255.255.248831外网口的地址配置也类似。外网口的地址代表着加密网关的IP地址“修改”，如果选中列表中已经存在的

30、VLAN配置， 将弹出修改窗体。 “备份”将所有VLAN配置信息，保存到本地，备份为vbak格式的文件。“恢复” 读取vbak格式文件，将本地备份的VLAN配置信息， 恢复为配置“删除”，删除选中的一条VLAN配置，在删除配置时弹出确认的信息，如果再次确认，才删除该项配置。“清空”，将列表中所有网络VALN配置删除，在删除配置时弹出确认的信息，如果再次确认，才删除该项配置。【注意】 以上一切操作都是在界面的操作，如要保存修改后的所有信息，一定要按“确定”按钮，将修改后的信息保存到“纵向加密认证网关”上。3.4.3 双机配置配置高可用功能双机热备功能的配置：当本地各应用系统要求“加密认证网关”接

31、入主备的双机的模式时，需要配置主备双机的模式。首先“启用高可用”功能复选框。根据“设备基本信息”配置中的“工作模式”来确定高可用页面的配置信息的填写。如果“网关模式”，本页的所有选择必须都填入；如果“透明模式”或者“借用模式”，本页中的“内网虚拟IP”、“外网虚拟IP”可以不必填写，保持默认0.0.0.0 的IP地址即可。其次，必须确定互为主备的“纵向加密认证网关”之间心跳传送的设备：心跳可以通过网卡或者串口来通信,选择好“心跳通信模式”之后，要确定心跳通信设备。选择对应的通信网卡或者串口设备，其中网络方式可以选择的有“内网网卡”、“外网网卡”、“配置网卡”；如果选择的是串口设备，需要选择“串

32、口1”或者“串口2”。在选择好对应的心跳通信设备之后， 要确保心跳设备的连接正确。一般情况下，我们通过网络设备来发送心跳报文。互为主备关系的一对设备的网卡需要选择为同一侧的设备，例如， 同为外网网口，或者同为内网网口，或者同为“配置网口”；可经过这样配置之后， 同一侧的网卡可以通过都连接在同一个集线器、二层交换机，三层交换机、路由器等网络设备传递心跳报文。这时，互为主备关系设备的网卡地址一定要填写正确，主备机之间发送心跳是通过网卡的物理地址来接收和发送数据报文的，IP地址可以是这块网卡VLAN配置上的其中一个地址。本机或者备机的网卡物理地址（MAC地址），可以通过监视菜单下面的“网卡地址”菜单

33、查到，此命令可以显示本机三块网卡（内网网卡、外网网卡、配置网卡）的物理地址。 “本地设备是否为主设备”, 如果选中复选框，这台设备就是主设备，这时另一台设备就应该是“备机”，在备机就不能再次选中该复选框，否则会造成主备关系切换频繁，主备关系错乱，系统异常。“故障恢复是否自动且回”，确定是否要自动切回功能，如果选中该项，请确保主备双机对该选项的一致性。如果选中该项，发生一次主备切换后，备机在线，执行网络加密解密任务；当原有主设备故障恢复时，原有的主设备会自动切回，保持主机一直为主的状态，备机以致为备的状态。如果没有选中该项，那么主备关系切换一次之后，在线运行的设备就是主设备， 另一台机器就是备设

34、备，即时故障恢复，原有主机正常工作，那么它还是备机状态，直到下次发生主备关系切换的发生。 “负载均衡功能”，网络上的报文在保证加密解密等正常功能的前提下，会根据网络流量进行网络报文的负载均衡。在这种情况下，网络报文的进出方向有可能不同。【注意】 以上一切操作都是在界面的操作，如要保存修改后的所有信息，一定要按“确定”按钮，将修改后的信息保存到“纵向加密认证网关”上。3.4.4 基本路由配置配制路由信息时，先要选择配置的网络接口，内网、外网、配网分别对应的页面都是一张表格。每条路由信息分别由以下几个字段组成：序号：有1开始的数字编号，按从小到大顺序排列；目的地址：目的网络的地址，例如10.20.

35、30.0；目的地址掩码：目的地址段的子网掩码，例如255.255.255.252；网关：本地地址的默认网关地址；路径MTU：以太网上一般最大路径数据包大小1500字节； 点击“新建”路由信息，会弹出以下界面，填写所在网段的路由信息。 “修改”，会弹出选中的路由信息，供用户修改； “删除”，删除选中的路由信息；“清空”，将路由信息表所有选项清空；“备份”，将路由信息表存储在本地磁盘上，备份文件；“恢复”，将存储在本地磁盘的路由信息文件，恢复为配置信息。 “确定”，将修改后的路由配置保存到网关上。“取消”，不保存修改的路由信息，恢复到原来状态。【注意】 以上一切操作都是在界面的操作，如要保存修改后

36、的所有路由信息，一定要按“确定”按钮，将修改后的信息保存到“纵向加密认证网关”上。3.4.5 配置隧道信息如果是存在配置好隧道信息表， 此时将显示所有已经配置的隧道信息摘要内容。添加隧道：添加一条新的隧道， 配置新的隧道信息。修改隧道：选中一条隧道信息后，可以对该隧道信息进行修改。复制隧道：如果需要配置一条新隧道配置信息，并且列表中存在比较内容相似的隧道，可以选中这条隧道，然后进行复制，然后对信息进行修改，修改隧道名称。这样可以减少配置信息的填写工作。删除隧道：删除选中的该隧道信息。删除全部：删除列表中全部的隧道信息。备份隧道配置：将显示出的所有隧道信息保存为本地文件tbak格式，备份隧道配置

37、信息。恢复隧道配置：将本地的备份隧道信息tbak格式文件，恢复为隧道配置信息。配置写入装置：将显示在表格中的隧道信息， 写入到加密网关的配置文件中去。读取隧道配置：将设备中存储的隧道信息进行读取，显示到列表中。在初始状态下“纵向加密认证网关”中没有隧道信息，这样会出现一张空表单。需要点击“添加隧道”按钮，进行添加隧道操作，出现下面“新建隧道”界面：利用隧道配置界面，可以进行隧道的配置工作，其中的信息包括以下几个方面：隧道标识：两位数字或者字母的组合，不允许有其它字符，这个字段必添信息，在管理中心进行查询隧道时，会有此标识。ID ：系统自动进行填充的ID的标识，用户可以不必填写。本地设备IP：本

38、地设备的虚拟IP地址（即本地设备外网口地址）。远程设备虚拟IP：建立加密隧道时，远端对等设备（如果远端存在主备双机，此处填写主设备）的虚拟IP地址。远程设备子网掩码：远端对等设备（主设备）的子网掩码。远程设备备用虚拟IP：建立加密隧道时，远端对等设备（如果远端存在主备双机，此处填写备设备）的虚拟IP地址。远程设备备用设备子网掩码：远端对等设备（备设备）的子网掩码；证书标识：本地存储的证书文件的数字名称，加密隧道依靠此标识查找对端远程设备对应的公钥证书文件；标识范围01023，在菜单 “证书 / 导入证书” 导入远程设备证书选项时，会提示用户填写证书ID，那个ID就是此时填写对应证书名称。隧道描

39、述：该隧道的简单文本描述信息（字母或汉字）；协商超时：范围10-600 秒，该隧道的协商超时时间阈值，超过设置范围内时间的数值，将被认为协商该隧道时间超时，协商过期。系统在指定的时间范围内没有协商成功隧道，会纪录告警信息。路径MTU：网络连接路径上，可传送的报文的最大字节数。协商重试次数：隧道的默认协商次数。当隧道没有成功建立时， 系统会根据已经配置好的隧道基本信息，会自动向远方装置的隧道发送“隧道协商报文”，进行隧道协商。此处配置的是默认发送协商报文的次数。抗重播窗口大小：防止网络报文重放攻击的华东窗口大小设置。填充字节：不必修改原来参数，默认。软生存周期：取默认值即可。硬生存周期：取默认值

40、即可。确 定，将修改后的隧道配置保存到网关上。取 消，不保存修改的隧道信息，恢复到原来状态。【注意】 以上一切操作都是在界面的操作，如要保存修改后的所有隧道信息，一定要按“确定”按钮，将修改后的信息保存到“纵向加密认证网关”上。3.4.6 配置策略信息如果是存在配置的策略信息表， 此时将显示所有已经配置的策略信息摘要内容。否则该表为空。1.添加策略：添加一条新的策略， 配置新的策略信息。2.修改策略：选中一条策略信息后，可以对该策略信息进行修改。3.复制策略：如果需要配置一条新策略配置信息，并且列表中存在比较内容相似的策略，可以选中这条策略，然后进行复制，然后对信息进行修改，修改策略名称。这样

41、可以减少配置信息的填写工作。4.删除策略：删除选中的该策略信息。删除全部：删除列表中全部的策略信息。6.策略另存为excel:将把策略文件另存为excel。7.描述查找：在文本框中输入策略描述的信息，可把选中光标定格到该策略描述所对应的策略上，方便维护人员查找策略。8.界面排序：下拉列表框选择“描述”可把策略列表中所有的策略按相同的“策略描述”列在一起，但被排序策略的ID号不会变更，方便维护人员查看策略。9.内存排序：下拉列表框选择“描述”可把设备中所有的策略按相同的“策略描述”列在一起，且新建策略的标识ID也相应顺次下排，方便维护人员查看策略。10.备份策略配置：将显示出的所有策略信息保存为

42、本地文件，备份策略配置信息。8.恢复策略配置：将本地的备份策略信息恢复为策略配置信息。9.配置写入装置：将显示在表格中的策略信息，写入到加密网关的配置文件中去。10.读取策略配置：将设备中存储的策略信息进行读取，显示到列表中。在初始状态下“纵向加密认证网关”中没有策略信息，这样会出现一张空表单。需要点击“添加策略”按钮，进行添加策略操作，出现下面“新建策略”界面：策略标识：字母或者数字的组合，长度为2。策略描述：百兆设备支持4个字符的策略描述，千兆设备支持汉字。本地设备IP：本地设备的虚拟IP地址（即本地设备外网口地址）。远程纵向设备虚拟IP：与该设备建立隧道的纵向加密认证网关或者装置的地址。

43、NAT模式：支持内网NAT、外网NAT、内外网NAT。本地源起始IP地址：本地局域网内部的被保护主机的IP地址段的起始地址。本地源终止IP地址：本地局域网内部的被保护主机的IP地址段的终止地址，如果是单一主机，起始和终止的IP地址都要填写为主机的IP地址。远程目的起始IP地址：远程被保护局域网内部的主机的IP地址段的起始地址。远程目的终止IP地址：远程被保护局域网内部的主机的IP地址段的终止地址，如果是单一主机，起始和终止的IP地址都要填写为主机的IP地址。方向策略：可选择“双向”、“正向”、“反向”，其中从本地到远程的方向为“正向”，从远程到本地的方向为“反向”。如果双向都需要加密保护，要选

44、择“双向”；如仅需要从本地到远程的方向报文加密， 请选择“正向”，如仅需要从远程到本地的报文加密，方向为“反向”。协议：可选择“TCP”、“”、UDP”、“ICMP”、“ALL”。请进选择应用系统的协议类别， 可以为不同的协议来匹配策略信息。如果选择ALL，即将另外三种协议全部包括。工作模式：明通、密通、部分加密、丢弃，对应不同的应用系统，可以选择这四种工作模式。明文、密文、部分选择加密、丢弃。应用协议：电力专用协议的过滤，DL476，104等协议。端口范围：本地端口：本地应用系统的端口号1-65535。 远程端口：远程应用系统的端口号1-65535。确 定，将修改后的隧道配置保存到网关上。取 消，不保存修改的隧道信息，恢复到原来状态。【注意】 以上一切操作都是在界面的操作，如要保存修改后的所有隧道信息，一定要按“确定”按钮，将修改后的信息保存到“纵向加密认证网关”上。3.4.7 其他功能设定根据现场情况，如果存在报警平台，可以将“纵向加密认证网关”报警信息引入该平台。首先，需要配置复选框，使能“引出报警信息”。报警输出通信模式，选择“串口”或者“网口”。报警输出通信模式设备：串口1、串口2，内网口、外网口、内网口。报警目的地址：报警平台的IP地址。报警端口：报警平台应用监听端口号。日志长度：“纵向加密认证网关”存