Netkeeper2000后台调试手册-命令

NetKeeper-2000纵向

加密认证网关 调试手册

南京南瑞集团公司 信息通信分公司

进入串口

使用超级终端、SecureCRT等串口调试工具，协议选择串口连接(Serial)，波特率设置为115200，数据位8位，奇偶校验选择无，并选择正确的端口(可通过设备管理器界面查看)进入串口调试。login的用户名为root，密码为123456。（本调试手册以III型为例）

ps–ef命令

查看系统进程信息,常见进程主要有：

secgate：加密网关密钥协商和装置管理进程； tcpserver：配置界面相关进程； syslogd：加密网关日志信息守护进程； klogd：内核日志守护进程；

若某一进程不在，可能某方面出现问题。 常见进程状态的含义： S：进程处于睡眠状态 R：正在运行的进程 Z：僵死状态

top命令

第一行显示的是系统内存使用情况。下面列出的是进程的详细工作状态，其中PID表示进程号；USER表示进程所有者的用户名；STATUS表示进程的状态；RSS表示进程占用物理内存的总数量，单位是KB；PPID表示每个进程的父进程ID；％CPU表示CPU占用率；%MEM表示该进程物理内存的占用率；COMMAND表示进程的命令名称。

注意：用户可以通过按键来刷新系统当前的状态。由于top命令需要长久占用控制台，所以用户应该根据自己的情况来使用这个命令，可以通过Ctrl+C退出。

2

df命令

列出文件系统磁盘空间使用情况。通常可以使用此命令来观察是否存在日志占用磁盘过多导致装置运行异常的情况。

free命令

查看内存的使用情况： total：表示物理内存总量。

used：表示总计分配给缓存（包含buffers 与cache ）使用的数量，但其中可能部分缓存并未实际使用。

free：未被分配的内存。

shared：共享内存，一般系统不会用到。 buffers：系统分配但未被使用的buffers 数量。 cached：系统分配但未被使用的cache 数量。

tunnel命令

该命令用于查看隧道协商状态，该命令和cat/proc/netkeeper/tunnel命令等效。以下分别是各主要列值所代表含义 TunId：隧道号；

State：隧道目前状态，数字0表示未发出协商请求，数字1表示发出协商请求，数字2表示收到协商请求，数字3表示隧道协商成功；

hot?：隧道是否为主备。1表示该条为主隧道，0表示该条为备隧道； myip/dstip：本端（隧道）地址/对端（隧道）地址； en_num/de_num：加密包数目/解密包数目； en_err/de_err：加密错误包数目/解密错误包数目； period：隧道生存周期； quantity：隧道容量。

3

linkstate/netstate命令

用于查看当前经过装置的数据链路状态，该命令和cat/proc/netkeeper/netstate命令等效。

ID：链路序号；

TunID：该链路所匹配到的隧道号。若为0表示该条为明文； protocol：报文的协议号； state：该链路是否加密； Sip/Dip：源ip地址/目的ip； Sport/Dport：源端口/目的端口； Cpkts/Spkts：接收/发送包数； Cbytes/Sbytes：接收/发送字节数；

清空当前链路信息：echo―1‖>/proc/netkeeper/netstate

debug命令

用于打开调试信息

debug –d：查看装置管理系统的报文信息及ike信息；如果需要正常显示先需要杀死secgate，并手动启动secgate程序（后台运行），即可直接打印应用层信息；

debug –i：查看装置的ike协商情况；如果需要正常显示先需要杀死secgate，并手动启动secgate程序（后台运行），即可直接打印应用层信息；

debug –k：查看经过装置的所有报文，如果需要正常显示需要先杀死klogd，即可直接打印内核信息；

debug –n –i/k/d：终止调试信息； debug –t：手动更新隧道的配置； debug –u：手动更新策略的配置；

debug –rip/0：重置对端隧道地址为ip（0为所有）的隧道；

注1：运行debug –d、debug-i命令需要将secgate进程杀掉并在后台重启。具体过程如下：

4

cd /netkeeper/module---------进入modules目录

killall secgate ----------杀死所有secgate进程 ./secgate & ----------后台重启secgate进程 若secgate重启成功，会在串口中打印出加密卡的密钥对信息，并提示启动成功，此时ps –ef可看到重启后的secgate进程。

重启secgate成功后，即可直接运行debug –d或者debug –i命令 注2：运行debug –k需要kill掉klogd

killall klogd ----------杀死所有klogd进程 debug –k

注3：在部分中心节点加密装置因来往数据量庞大，需慎用debug –i 、-k命令，否则可能会导致装置死机。

dmesg命令

查看近期装置内核层弹出消息，主要用于非串口登陆或已打开klogd进程时查看装置弹出消息。

注：dmesg –c 清除近期弹出消息记录，重新开始计时。

ifconfig命令(百兆I型装置使用此命令不能获得正确信息)

查看/编辑装置网口信息

ifconfig可显示所有网络接口(包括自定义的桥接口)的ip地址，mac地址，掩码，vlan号，MTU等信息。

此外，还可以通过ifconfig命令手动编辑网卡信息。 示例：

ifconfig eth0 11.22.33.44 netmask 255.255.0.0 ——将eth0接口的ip地址设置为11.22.33.44，子网掩码为255.255.0.0

ifconfig eth0 down/up——关闭/开启网卡eth0

5

ping命令

用于检查网络是否能够连通，可根据延时和丢包率判断网络情况。 (注：在30位掩码借用地址模式下因装置启用虚拟地址收不到回包导致表现为不能ping到任何地址)

traceroute命令

用来侦测加密装置访问目的主机之间所采取的路径，在部分复杂网络环境中用于定位路由问题，该命令会返回从本机至远端地址所经过的所有路由设备ip地址及延时。

示例：traceroute 30.10.1.1

route命令（百兆I型装置使用此命令不能获得正确的路由表）

查看装置路由表，这个是装置接入后网络不通情况下的首要需要查询的内容。我们需要关注弹出消息中的Destination、Gateway、Genmask、Iface这几项，他们分别表示目的网络、网关、目的掩码、网络接口，根据路由表可判断远端地址是否包含在路由表的目的地址段中及网关地址是否正确。

arp –a命令

查看装置接入调度数据网后的arp信息。这个可以作为隧道协商不成功、判断网络接入是否正确的第一个判断步骤。首先看能否获得内外网mac地址，其次看对应的vlan号或者private/public接口与装置的物理网口eth0/eth1是否相符。若均没有问题，可初步判断物理链路正常，接下来需要运行debug-i查看协商的具体ike报文走向和错误信息，进一步判断问题所在，是证书、地址有误还是网络的原因。

（注：百兆I型装置查看arp表的命令为cat /proc/netarp）

6

ftpget/ftpput命令

用于从装置备份文件到本地以及从本地上传文件到装置。格式可查看帮助 示例：

ftpget -u nari -p 123456 10.30.0.1 secgate secgate——从ip地址为10.30.0.1的主机上通过用户名nari密码123456登陆(若无用户名)获取名为secgate的文件并传输至本机当前目录下。

ftpput 30.10.0.1 / secgate ——从本机将当前目录下的secgate文件传输至30.10.0.1这台主机的ftp接收目录下。

(注：千兆使用标准ftp命令)

测试加密卡

echo ―1‖>/proc/netkeeper/card

若加密卡工作正常，可以返回测试正常的消息。系统自动会测3次。 (百兆I型装置测试加密卡命令为echo ―1‖>/proc/card) (千兆装置可直接使用testcard、dmesg命令测试加密卡)

比较重要的文件目录等

/log ------存放加密装置的配置文件、rsa、读写加密卡的程序等 /log/cert_files ------存放证书文件

/log/netkeeper/modules—存放secgate、secgate.o、tcpserver、debug等关键程序(百兆I型加密装置存放关键程序路径为/log/netkeeper) /log/netkeeper/script----存放启动脚本等 /log下的配置文件：

sys.txt ----系统信息配置 ip.txt ----网络信息配置 route.txt ----路由信息配置 nat.txt ----地址映射配置 tunnel.txt ----隧道信息配置

7

rule.txt ----策略信息配置 dms.txt ----装置管理系统信息配置 mac.addr ----装置MAC地址信息

passby.txt ----装置配置默认通过协议报文策略信息 lendip.txt

-----借用地址信息

bridge.txt -----桥接模式配置信息 arp.txt -----arp绑定配置信息

以上文件可用vi编辑器依照一定格式修改，注意修改完后重启或手动更新。

手动更新方法： 更新隧道配置：debug -t 更新策略配置：debug -u

更新透传协议配置：echo \

其他Linux常用命令

cd切换目录

mount/umount 挂载/卸载文件系统 vi 编辑/创建文件 data 显示系统日期与时间 uptime 显示系统已启动运行时间 cat 显示文本文件内容 head 显示文本文件的前若干行 tail 显示文本文件的后若干行

ls 显示当前目录下文件，加参数-l显示长格式 pwd 显示当前工作目录 ps 查看系统进程 mkdir 创建目录

grep 在指定的文本文件中查找特定字符串 find 查找文件或目录

8

mv 移动文件或目录、文件或目录改名 rm 删除文件或目录 cp 复制文件或目录

tar 压缩/解压文件(tar –zxvf 解压，tar –zcvf 压缩) chmod 改变文件或目录的权限

9

常见问题FAQ：

1. 问：为什么配置软件客户端连接不上加密装置？

答：首先加密装置配置软件主要有两个版本，分别对应I型和后面的III、IV、千兆型，所以要确认配置软件是否用错，其次，需要确认本机ip地址已配置为11.22.33.43，所连网口是否正确，再使用串口登陆后台输入ifconfig命令查看Eth0:10网口地址是否为11.22.33.44，如配置丢失，手动输入ifconfig eth4:1011.22.33.44 netmask 255.255.255.0，然后连接装置服务端。

2. 问：配置软件提示装置未初始化是什么情况？

答：加密装置初始化有以下几个条件：①、未生成过rsa；②、没有CA证书；③、没有操作员证书；④、加密卡工作正常，如都确认无问题，可登陆后台杀死tcpserver进程并重新启动，再使用配置软件连接，观察后台报错信息来确定问题所在。 3. 问：隧道不通怎么办？

答：隧道通断由以下五方面来决定：①、两侧加密装置本身无问题(主要是检测加密卡)；②、网络是通的（可在后台用ping命令测试）；③、两侧隧道配置中ip地址都正确；④、两侧装置隧道配置中的证书确实在后台/log/cert_files目录下存在且名称完全一致且确实为对端装置证书；⑤、两侧加密装置之间经过的一切网路设备如有起用访问控制规则均至少允许点对点的253协议通过。可通过对这五点一一排查来解决。 4. 问：对方网管管不到怎么办？

答：装置管理中心是否可以管理加密装置由以下五方面决定：①、装置管理中心与被管加密装置本身无问题；②、网络是通的（可在后台用ping命令测试）；③、装置管理中心中添加的对端节点ip地址及证书正确；④、加密装置系统配置中配置的本段ip地址及远程管理地址正确，证书确实在后台/log/cert_files/dms目录中存在且名称完全完全一致且确为装置管理中心证书；⑤、装置管理中心与加密装置之间经过的一切网路设

10

备如有起用访问控制规则均至少允许点对点的254协议通过。可通过对这五点一一排查来解决。 5. 问：业务不通怎么办？

答：业务不通有多方面可能，可用排除法，首先将加密装置策略第一条即设为全明通观察业务，若可通，则检查之前策略的问题，若不通，可检查装置网络、路由状态（ifconfig、route），若无问题，可再向用户了解网络中有没尚不了解的情况比如vlan信息等。 6. 问：我的证书为什么不能导入

答：加密装置证书由颁发该证书的CA签名，所以如果该证书是由某级省/市调证书系统签发，则需将该省/市调根证书作为二级CA证书先行导入再导入设备证书，如果该证书是由设备自带光盘中的openssl签发的，则需将光盘中openssl/CA目录下的CAcert.pem作为一级CA证书先行导入导入该设备证书。

7. 问：为什么加密装置的硬件旁路功能不能使用，是需要配置什么吗？

答：加密装置的硬件旁路功能是关电后自动生效的，且只有Eth0和Eth1及Eth2和Eth3具备硬件旁路功能，Eth0和Eth2使用时是无法实现硬件旁路功能的，满足以上条件后，如依然不能生效，需检查加密装置内外网所连网线，因加密装置网口在通电情况下是自适应的，所以对网线几无要求，故当加密装置断电时，网口失去自适应功能，内外网网线直接连通，相当于一根直通或交叉线，如果两侧路由器交换机不能连通，更换其中一测网线即可。

8、对于透传装置管理报文的加密装置，在参数配置（/log/param.txt）里加上一行

in_net_smc=1，

11

备如有起用访问控制规则均至少允许点对点的254协议通过。可通过对这五点一一排查来解决。 5. 问：业务不通怎么办？

答：业务不通有多方面可能，可用排除法，首先将加密装置策略第一条即设为全明通观察业务，若可通，则检查之前策略的问题，若不通，可检查装置网络、路由状态（ifconfig、route），若无问题，可再向用户了解网络中有没尚不了解的情况比如vlan信息等。 6. 问：我的证书为什么不能导入

答：加密装置证书由颁发该证书的CA签名，所以如果该证书是由某级省/市调证书系统签发，则需将该省/市调根证书作为二级CA证书先行导入再导入设备证书，如果该证书是由设备自带光盘中的openssl签发的，则需将光盘中openssl/CA目录下的CAcert.pem作为一级CA证书先行导入导入该设备证书。

7. 问：为什么加密装置的硬件旁路功能不能使用，是需要配置什么吗？

答：加密装置的硬件旁路功能是关电后自动生效的，且只有Eth0和Eth1及Eth2和Eth3具备硬件旁路功能，Eth0和Eth2使用时是无法实现硬件旁路功能的，满足以上条件后，如依然不能生效，需检查加密装置内外网所连网线，因加密装置网口在通电情况下是自适应的，所以对网线几无要求，故当加密装置断电时，网口失去自适应功能，内外网网线直接连通，相当于一根直通或交叉线，如果两侧路由器交换机不能连通，更换其中一测网线即可。

8、对于透传装置管理报文的加密装置，在参数配置（/log/param.txt）里加上一行

in_net_smc=1，

11

本文来源：https://www.bwwdw.com/article/0wyt.html