SJW07-A II型网络密码机使用说明书v2.2 - 图文

更新时间：2024-04-24 11:38:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

sjw07-a是哪个厂家推荐度：
相关推荐

版本号：V2.2 受控号：

SJW07-A II型网络密码机

使用说明书

SJW07-A II型.00SM

拟制/设计：日期：审核：日期：标准化：日期：批准：日期：

兴唐通信科技有限公司

SJW07-A网络密码机

使用说明书

（保密资料，妥善保管）

数据通信科学技术研究所

SJW07-A网络密码机

使用说明书

版本

2.2

出版日期

2010年11月

著作权注意事项

本书版权为数据通信科学技术研究所所有。未经数据通信科学技术研究所书面同意，任何公司、单位或个人，不得用任何手段复制本手册的部分或全部内容。

对印刷错误的更正，所述信息谬误的勘误，以及产品的改进，均由数据通信科学技术研究所随时做出解释，恕不预先通知，修正内容将编入再版说明书中。

商标

所有在本手册使用的商标为该商标所有人的资产。

业务联系方式

地址：北京海淀区学院路40号邮编：100191

电话：(010)62301244

1 引言 ................................................ 1 1.1 设备简介 ........................................... 1 1.2 预期读者 ........................................... 1 1.3 文档结构 ........................................... 1 2 安装 ................................................ 3 2.1 装箱单 ............................................. 3 2.2 外观图 ............................................. 4 2.3 密码机的安装 ....................................... 4 2.4 安装完成后检查 ..................................... 8 2.5 配置管理软件安装 ................................... 9 3 工作原理 ........................................... 11 3.1 典型应用拓扑 ...................................... 11 3.2 双机与主主隧道 .................................... 12 3.3 安全证书机制 ...................................... 12 3.4 密钥体系 .......................................... 12 3.5 人机卡认证 ........................................ 13 3.6 远程管理 .......................................... 13 I

3.7 设备状态说明 ...................................... 13 3.8 日志和审计 ........................................ 13

3.9 声光指示 .......................................... 14 3.10 旁路开关 .......................................... 14 4 本地配置 ........................................... 15 4.1 初始配置流程 ...................................... 15 4.2 配置功能详解 ...................................... 20 4.3 隧道管理 .......................................... 25 4.4 策略管理 .......................................... 29 4.5 系统配置 .......................................... 32 4.6 日志管理 .......................................... 44 5 日常使用 ........................................... 46 5.1 开机和关机 ........................................ 46 5.2 工作环境 .......................................... 46 5.3 常见故障的识别和排除 .............................. 47 附录A：常见问题解答 .................................... 48 附录B：端口与电缆定义 .................................. 50 附录C：技术参数 ........................................ 52 附录D：密码机状态表 .................................... 53

Chapter

引言

1 引言

1.1 设备简介

1 SJW07-A 网络密码机（以下简称SJW07-A）用于实现在IP网络上的数据加密传输，用于商用密码领域。通过SJW07-A可在公网（如Internet 或其他商业性网络）之上构造安全的VPN系统。 SJW07-A主要应用于全国电力二次系统，基于全国电力调度数据网络构建安全VPN，为上下级控制系统之间的广域网通信提供认证与加密服务，实现数据传输的机密性、完整性保护。

SJW07-A在电力系统中的专用称谓是“电力专用纵向加密认证装置（简称装置）”，除非做特别说明，本文不区分SJW07-A和装置。

1.2 预期读者

本手册对SJW07-A的功能、使用方法及日常维护做了详细的介绍。预期读者是SJW07-A的使用和维护人员，请相关人员在使用或维护密码机前认真阅读本手册。

1.3 文档结构

为了能够更快的了解本手册的内容，现将手册的基本结构介绍如下：

第一章：引言

简述SJW07-A网络密码机的适用领域及本手册的基本结构。

第二章：安装

介绍如何安装SJW07-A的软硬件。第三章：工作原理

介绍SJW07-A的应用拓扑和基本概念。第四章：本地配置

介绍如何通过配置管理软件对SJW07-A进行配置和管理。第五章：日常使用

介绍SJW07-A的日常使用方法和常见故障排除

Chapter

安装

2 安装

2.1 装箱单

打开设备包装箱后，请先确认配件是否齐全： 1. SJW07-A网络密码机主机1台 2. 操作员卡2张 3. 电源线2条 4. 专用配置电缆1条 5. 测试用直通网线2条 6. 测试用交叉网线3条

7. 上架耳片2件（含沉头螺钉8个） 8. 机箱钥匙2把

9. 司环胶垫1套（共4个） 10. 上架螺钉和螺母各4个 11. 使用说明书1本 12. 用户光盘1张 13. 合格证1张

? 如果发现配件与装箱单不符，请及时与供货商联系。

2.2 外观图

2.2.1 前面板示意图

智能IC卡插槽智能IC卡指示灯告警指示灯加解密状态指示灯系统运行指示灯电源指示灯

图 1 SJW07-A前面板示意图

2.2.2 后面板示意图

接地端子机箱锁热备电源2指示灯热备电源2电源开关热备电源2交流电源插座旁路非旁路主备装置心跳网口第2路外网以太网口第2路n内网以太网口第1路外网以太网口第1路内网以太网口旁路开关配置串口电源报警开关热备电源1指示灯热备电源1电源开关热备电源1交流电源插座

图 2 SJW07-A后面板示意图

2.3 密码机的安装

2.3.1 安装密码机到19英寸机柜

SJW07-A网络密码机高度为标准1U，宽度为19英寸，是按照19英寸标准机柜的尺寸进行设计的。为保障密码机能够稳定、可靠地运行，推荐把密码机安装在机柜上。安装过程如下：

第一步：检查机柜的接地与稳定性。用螺钉将上架耳片固定在密码机前面板两侧；

第二步：将密码机放置在机柜的一个托盘上，根据实际情况，沿

机柜导槽移动密码机至合适位置，注意保证密码机与导槽间的合适位置；

第三步：用螺钉将密码机通过上架耳片固定在机柜两端的固定导槽上，保证密码机位置水平并牢固。

? 密码机的固定角铁并不用来承重，它只起固定作用，密码机安装于19英寸机柜时，密码机机箱的下边要有滑道（固定在机架上）来支撑密码机。

2.3.2 安装密码机到工作台

很多情况下，用户并不具备19英寸标准机柜，此时，人们经常用到的方法就是将密码机放置在干净的工作台上，此种操作比较简单，操作中，只要注意如下事项即可： ? 保证工作台的平稳性与良好接地。 ? 密码机四周留出10cm的散热空间。 ? 不要在密码机上放置重物。

2.3.3 连接保护地线

? 警告：密码机保护地线的正常连接是密码机防雷、抗干扰的重要保障，所以用户在安装、使用密码机时，必须首先正确接好保护地线。

SJW07-A密码机的电源输入端接有噪声滤波器，其中心地与机

箱直接相连，称作保护地（即PGND，亦作机壳地），此保护地必须良好接地，以使感应电、泄露电能够安全流入大地，并提高整机的抗电磁干扰的能力。对于由外部网络连接，如E1/T1、ISDN/PSTN等线路的串入而引起的雷击高压，也由此地线提供保护。 ? 说明：SJW07-A不提供保护地线，需要用户单独购买。

SJW07-A网络密码机的保护地端子位于机箱后面板，在机箱的左侧靠边的位置，有接地标识。

请用一根保护地电缆（PGND Cable）将该点与大地连接起来，拧紧固定螺母，以保证良好接地，要求接地电阻不大于5欧姆。如果密码机是安装在19英寸标准机柜上，则要求19英寸标准机柜接地。 ? 警告：密码机工作时必须良好接地（保护地），否则密码机无法可靠防雷，可能造成密码机及其对端设备的损坏。

2.3.4 连接电源线

1. 交流电源

交流电源输入范围：190V～240V AC；50～60Hz 2. 建议使用的交流电源插座

建议使用有接地点接头的单相三线电源插座，或多功能PC电源插座。电源的接地点要可靠接地，一般楼房在施工布线时，已将本楼供电系统的电源接地点埋地，用户需要确认本楼电源地是否已经接好。

3. 交流电源线连接

第一步：确认保护地已经正确连接至大地，如连接在机房接地排的接线柱上。

第二步：密码机电源开关置于关闭位置，将密码机的电源线一端插到密码机机箱后面板的电源插座上，另一端插到外部的交流电源插座上。

第三步：把密码机电源开关打开。

第四步：检查密码机后面板的电源指示灯是否变亮，灯亮则表示电源连接正确。

? 注意：密码机上电之前，必须先连接好地线。

2.3.5 密码机网线连接

密码机通过10BaseT/100BaseTX RJ45以太网口与路由器、交换机或集线器等网络设备相连。密码机的外网口与外部网相连，内网口与内部网相连，心跳口用于双机互备。

将随机附带的直通/交叉网线一端连接到密码机的外/内网口，另一端连接到路由器、交换机或集线器的以太网口。

有关网络设备端口的更多的信息请参考网络设备使用手册。

? 设置为双机互备的两台密码机必须用随机附带的交叉网线将心跳口连接起来。

2.3.6 配置电缆连接

1. 配置电缆

配置电缆是一根8芯电缆，一端是压接的RJ-45插头，插入密码机的配置口里；另一端则同时带有一个DB-9（孔）插头，可插入配置终端的9芯（针）串口插座。 2. 配置电缆连接

通过终端配置密码机时，配置电缆的连接步骤如下：

第一步：将配置电缆的DB-9孔式插头接到要对密码机进行配置的PC或终端的串口上。

第二步：将配置电缆的RJ-45一端连到密码机的配置口（Console）上。

? 由于PC机串口不支持热插拔，不能在密码机带电的情况下，将串口插入或者拔出PC机。当连接PC和密码机时，应先安装配置电缆的DB9端到PC机，再连接RJ45到密码机；在拆下时，先拔出RJ45端，再拔下DB9端。

连接时请认准接口上的标识，以免误插入其它接口。

只有当需要设置密码机时，才需要用配置电缆连接密码机和PC。

2.4 安装完成后检查

? 检查选用电源与密码机的标识电源是否一致； ? 检查地线是否连接；

? 检查配置电缆、电源输入电缆连接关系是否正确；

? 检查接口线缆是否都在室内走线，无户外走线现象；若有户外走线情况，请检查是否进行了交流电源防雷插排、网口防雷器等的连接。

2.5 配置管理软件安装

操作员可以使用随机光盘中附带的配置管理软件在WINDOWS PC上对密码机进行配置管理。配置管理软件的安装步骤如下：

首先执行随机光盘中的安装文件“SJW07-A配置终端.exe”，弹出安装对话框，如图：

图 3 安装向导1

点击下一步弹出选择安装目录对话框，如图3：

图 4 安装向导2

点击下一步弹出快捷方式对话框，如图4：

图 5 安装向导3

点击下一步弹出安装对话框，点击安装按钮，安装结束。在桌面上会有一个配置终端的快捷方式，点击快捷方式进入配置终端软件。

Chapter

工作原理

3 工作原理

3.1 典型应用拓扑局域网证书服务系统3 密码机管理中心广域网局域网局域网

图 6三个局域网通过SJW07-A构成安全VPN的示意图

上图为SJW07-A网络密码机的典型应用拓扑：

1. 每一个局域网根据具体情况可在由一到两台密码机保护下，同其它局域网互联；从而使整个系统成为一个安全的VPN系统。 2. 装置证书服务系统采用离线方式工作，不与广域网相连。 3. 密码机管理中心直接与各密码机通信，实现对全系统密码机的集中管理。

3.2 双机与主主隧道

当局域网中配备两台SJW07-A网络密码机时，可将密码机配置成主主隧道运行模式，即两台密码机之间不需要心跳口连线，都以主密码机身份工作。即当主密码机发生故障时，对端密码机能够快速发现这条主隧道不可用，并将认证和加密传输处理工作切换到另外一条主隧道上，保障通信连续性。

? 推荐每个局域网中配备两台SJW07-A网络密码机，并把密码机配置成主主隧道运行模式，以提高系统可用性。

3.3 安全证书机制

证书采用X.509格式，共有4类，分别为根证书、管理中心证书、对端密码机设备证书（简称对机证书）、操作员证书。装置证书服务系统采用离线方式工作，所有证书均由装置证书服务系统统一签发。

根证书：用于验证其它证书的有效性。管理中心证书：用于与管理中心通信。操作员证书：用于人机卡认证。

对机证书：用于与其它密码机同步工作密钥，与IP地址绑定。

3.4 密钥体系

SJW07-A网络密码机采用三级密钥：主密钥、设备密钥、工作密钥。

主密钥：由密码机硬件噪声源随机生成，存储在密码机内部；又称保护密钥，负责加密保护密码机中所有的密钥。

设备私钥：设备公私钥对由密码机的密码模块产生，设备私钥被主密钥加密后存储在密码机内部。设备公钥以证书请求方式导出，由装置证书服务系统签发成设备证书并发布。

工作密钥：工作密钥由密码机在工作时产生，不需要保存，动态更新。

? 密码机具有开壳毁钥功能，当密码机检测机箱顶盖到被非法打开后，则立即销毁主密钥和设备密钥。

3.5 人机卡认证

操作员具有对密码机配置管理的权限，负责密码机的操作和管理，可由具有较高权限的机房管理人员承担。

在登录进入密码机配置界面时，会进行操作员口令、操作员卡和密码机之间的交叉认证，认证通过后才能对密码机进行配置。

3.6 远程管理

密码机安装管理中心证书后，密码机管理中心可直接与密码机通信，对其进行远程配置和监控。

3.7 设备状态说明

密码机共有两种状态：出厂/初始态和工作态。这两种状态在一定的条件下相互转换，状态转换时需要重新启动密码机。

初始态：密码机出厂时，默认为该状态。处于初始态时需要用户通过配置终端做一些初始配置。

工作态：初始配置结束后，密码机正常的工作状态。

3.8 日志和审计

密码机在启动和运行过程中，发生的事件和错误都有日志记录，用户可以通过配置管理软件查看事件和定位故障。

操作员对密码机进行的操作也有日志记录，便于对其进行归纳和分析。

日志文件存在密码机中，日志文件最大占用512K空间。当日志文件大于512K时，则删除较旧的256K。

3.9 声光指示

密码机在工作的过程中，通过前面板指示灯和蜂鸣器的不同组合实现声光指示。正常情况下，显示密码机的状态；当密码机出现故障时，声光告警，提示用户。密码机状态表参见附录D。

3.10 旁路开关

旁路开关为拨动开关，有2种状态：旁路和非旁路。密码机正常运行于加密状态下时，请置此开关于非旁路模式；如果需要跨过密码机进行物理明通通信，请置此开关于旁路模式（关机可以实现相同功能）。

Chapter

本地配置

4 本地配置

4 SJW07-A网络密码机采用图形化配置界面，具有友好、便捷等优点。在PC机上运行配置管理软件前，请用配置电缆连接PC和密码机（参见“配置电缆连接”）。软件正常运行后，会根据密码机的当前状态，显示不同的用户界面。

4.1 配置连接选择

启动密码机管理终端首先选择怎样连接密码机，可以选择通过串口或者网口连接密码机。

图 7 选择通信方式对话框

注：通过网口通信，须填写密码机的IP地址。

4.2 初始配置流程

当密码机处在初始态时，采用向导式初始化流程，方便用户完成密码机的初始配置。

4.2.1 生成设备证书请求

图 8“生成设备证书请求”对话框

密码机处于出厂态时，运行配置管理软件，执行初始化向导。第一步弹出“生成设备证书请求”对话框，如图8所示。

功能：随机生成主密钥、产生设备密钥，根据输入的证书信息生成设备证书请求。

操作：用户先填写证书信息，包括省、直辖市、组织、部门、名称和Email。点击按钮“生成证书请求”。提示：操作时间较长，大约需要等待10秒钟。

? 填写证书信息时请注意，组织和部门都必须是大写的“GDD”。

4.2.2 导出设备证书请求

产生证书请求后，点击按钮“下一步”，弹出“导出设备证书请求”

对话框，如图9所示。

图 9“导出设备证书请求”对话框

功能：将生成的证书请求以文件形式导出到PC机上。操作：“浏览”保存的文件名称，点击按钮“导出”。提示：证书请求采用X.509格式，使用BASE-64编码。

4.2.3 导入根证书

密码机重新启动后，再次运行配置管理软件。第一步弹出“导入

根证书”对话框，如图10所示。

图 10 “导入根证书”对话框

功能：将根证书导入密码机中。

操作：选择证书名称和证书编码，点击按钮“导入”。提示：导入前必须确认证书编码格式。

4.2.4 导入管理中心证书

操作员证书导入成功后，点击按钮“下一步”，弹出“导入管理中心证书”对话框，如图11所示。

图 11“导入管理中心证书”对话框

功能：将管理中心证书导入密码机，并用根证书验证该证书的有效性。

操作：选择证书名称和证书编码，点击按钮“导入”。

点击“下一步”，重起密码机。

4.3 配置功能详解

4.3.1 配置管理软件登录

初始配置结束后，密码机进入工作态。运行配置管理软件后弹出登录对话框，如图12所示。

图12“登录”对话框

功能：选择通过串口还是网口管理加密机。

操作：选择串口通信，直接点击确定。如果选择网口通信，要添

加加密机的IP地址。

4.3.2 配置主菜单

登录成功后，SJW07-A网络密码机配置管理主菜单，如图13所示。

图13 SJW07-A网络密码机配置管理主菜单

主菜单展示了密码机的参数列表和隧道状态，双击参数列表中的

某个参数，可以进入相关参数的配置对话框。

配置终端提供两个快捷键可以快速使用相应功能。

F5：手工刷新参数列表。（注：为了不影响软件运行速度当所有参数刷新被选中时，所有参数才全部进行刷新，如果不选只有必要参数才会进行刷新）

F6：弹出命令行对话框。

注：1、以上快捷键也可从菜单栏中操作的下拉框进行选择。

2、状态栏中的日期、时间为密码机中的日期和时间，如果选

中自动刷新按纽约1分钟更新一次。

密码机配置管理采用对话框的多级菜单操作方式，菜单组织结构如下： ■主菜单

●智能卡初始化 ●证书管理

☆导入证书 ☆证书管理 ●隧道管理

☆隧道管理 ●策略管理

☆策略管理

●系统配置

☆网络配置 ☆配置VLAN ☆配置MAC地址 ☆互备装置 ☆杂项设置 ☆日志服务器设置☆安全管理 ●日志管理

☆日志管理 ●退出

4.3.3 智能卡初始化

在主菜单中选择“智能卡初始化”，弹出操作员证书请求对话框，插入智能卡，填写证书信息，点击确定，生成操作员证书请求。

4.3.4 证书管理

在主菜单中选择“证书管理”，弹出证书管理对话框，共有两个选项卡：导入证书、证书管理。主要功能包括导入证书、查询证书列表、查询证书内容和删除证书。 4.3.4.1 导入证书

“导入证书”选项卡如图14所示。

图14“导入证书”选项卡

功能：将各类证书导入到密码机中，包括操作员证书、CA证书、

管理中心证书、对机证书、纵向认证设备证书。

操作：选择证书类型、IP地址、证书名称和证书编码，点击按钮“导入”。

提示：IP地址只对“对机证书”和“管理中心证书”有效，对其它类型证书无效。 4.3.4.2 证书管理

“证书管理”选项卡如图15所示。

图 15“证书管理”选项卡

功能：查询密码机的证书列表和证书详细内容。

操作：左侧“已安装证书”自动更新；在“已安装证书”中选择证书名称后，会显示证书内容。

提示：单击证书名称，也可查询证书内容。

4.3.4.3 删除证书

功能：删除密码机存储的证书，该操作集成在“证书管理”选项卡中。

操作：在“证书列表”中选择证书名称后，点击按钮“删除证书”。提示：每次操作只能删除一个证书。

4.3.4.4 修改证书名称

功能：修改密码机存储的证书的名称，该操作集成在“证书管理”选项卡中。

操作：在“证书列表”中选择证书名称后，点击按钮“重命名”。在弹出的对话框中输入一个合法的IP地址。

提示：用户只能修改“对机证书”或“管理中心证书”的名称。

对机证书都是以对机的IP地址作为其名称的。管理中心证书是以“DMS_管理中心的IP地址”形式命名的。

4.4 隧道管理

在主菜单中选择“隧道管理”，弹出隧道管理对话框。主要功能包括添加隧道、删除隧道、查询隧道、重置隧道、绑定隧道和解绑隧道，修改隧道名称，设定隧道组。隧道管理对话框如图16所示。

图 16“隧道管理”对话框

双入双出版本新增对第2路隧道配置管理，选中第1路或第2路后，可以显示第1路或第2路隧道的信息，并且可以对第1路或第2路的隧道信息进行配置。默认显示第1路信息，如果第2路不可用则第2路按钮不可选。

4.4.1 添加隧道

功能：建立同远端密码机通信的隧道，该功能集成在“隧道管理”对话框中。如果要启用隧道绑定VLAN的功能，必须在添加隧道之前设置好VLAN，请参考“VLAN配置”。

操作：在左侧“证书列表”中选择证书文件；如果要启用隧道绑定VLAN的功能，必须选中复选框“绑定VLAN”，同时选定一个VLAN ID。

选中隧道工作模式，点击按钮“添加隧道”，弹出添加隧道名称的对话框如下图，填写隧道名称。

图17 “添加隧道名称”对话框

提示：每次操作只能添加一条隧道。

隧道添加成功后，在中间“隧道列表”中，显示隧道的相

关信息。

4.4.2 删除隧道

功能：删除已建立的隧道，该功能集成在“隧道管理”对话框中。

操作：在隧道列表中，选择隧道的IP地址，点击按钮“删除隧道”。提示：每次操作只能删除一条隧道。

4.4.3 查找隧道

功能：查找密码机中已有的隧道列表，该功能集成在“隧道管理”对话框中。

操作：点击按钮“查找隧道”。

4.4.4 重置隧道

功能：密码机中对应的隧道将被重置，重新协商工作密钥；该功能集成在“隧道管理”对话框中。

操作：在隧道列表中，选择隧道的IP地址，点击按钮“重置隧道”。

提示：每次操作只能重置一条隧道。

4.4.5 绑定隧道

功能：将两条隧道绑定在一起，两条隧道所对应的证书不同，但策略相同，用于双机热备；该功能集成在“隧道管理”对话框中。操作：在隧道列表中，选择需要绑定的两条隧道，点击按钮“绑定隧道”。

4.4.6 解绑隧道

功能：将两条已绑定的隧道解绑，解绑后两条隧道的策略仍然相同，用户需要重新配置。该功能集成在“隧道管理”对话框中。操作：在隧道列表中，选择绑定的任意一条隧道，点击按钮“解绑隧道”。

4.4.7 修改隧道名称

功能：修改已有隧道的名称。

操作：在隧道列表中，选择要修改的一个隧道，点击按钮“修改隧道名称”，弹出对话框输入新的隧道名称。如图18：

图18“修改隧道名称”对话框

4.4.8 设置隧道组

功能：设置已有隧道的隧道组。

操作：在隧道列表中，选择要修改的一个隧道或一组隧道，点击按钮“设定隧道组”，弹出隧道组维护对话框。如图19：

图19“设定隧道组”对话框

说明：

1、随机产生组ID一般为新生成一个隧道组使用。 2、设定组ID一般为修改隧道组ID使用。 3、取消组设定一般为删除隧道组使用。

4.5 策略管理

在主菜单中选择“策略管理”，弹出策略管理对话框。主要功能包括添加策略、删除策略、查询策略和修改策略。策略管理对话框如图20所示。

图 20“策略管理”对话框

双入双出版本新增对第2路隧道策略的配置管理，选中第1路或第2路后，可以显示第1路或第2路隧道策略的信息，并且可以对第1路或第2路的隧道策略信息进行配置。默认显示第1路信息，如果第2路不可用则第2路按钮不可选。新增策略备注功能，可以对策略进行中文备注，不能超过20个汉字。

4.5.1 添加策略

功能：为选定的隧道配置策略，每条策略包括源地址（范围）、目

的地址（范围）、方向、协议、工作模式、源端口（范围）和目的端口（范围）、备注；该功能集成在“策略管理”对话框中。添加策略时，会检查策略的合法性和冲突。

操作：在左侧“隧道列表”选择隧道，输入策略信息，点击按钮“添加策略”。

4.5.2 查询策略

功能：查询选定隧道对应的所有策略，该功能集成在“策略管理”对话框中。

操作：在“隧道列表”选择隧道，点击按钮“查询策略”。

4.5.3 修改策略

功能：修改策略信息，该功能集成在“策略管理”对话框中。操作：在右侧“策略列表”选择策略号，修改策略信息；点击按钮“修改策略”。

4.5.4 删除策略

功能：删除策略，该功能集成在“策略管理”对话框中。操作：在右侧“策略列表”选择策略号，点击按钮“删除策略”。

4.6 系统配置

在主菜单中选择“系统配置”，弹出系统配置对话框。主要功能包括网络配置、设备状态、互备装置、杂项配置和安全管理。

4.6.1 网络配置

“网络配置”选项卡如图21所示。

图 21“网络配置”选项卡

双入双出版本新增对第2路网路的配置管理，选中第1路或第2

路后，可以显示第1路或第2路网络配置信息，并且可以对第1路或第2路的网络信息进行配置。默认显示第1路为启用，第2路为不可用，选中第2路启用按钮后，第2路的信息才可以进行配置。选中虚拟IP地址按钮后，VLAN配置中的启用VLAN和隧道管理中的绑定VLAN同时启用。

全局转发策略、通过网络访问装置、后分片设置需按第1路或第2路分别进行设置。

功能：配置网络相关的参数，包括IP地址、掩码、网关和路由。操作：填入IP地址和掩码，点击按钮“设置IP地址”可设置密码机的IP地址；填入网关、选择路由类型，点击按钮“添加路由”，可设置密码机路由表；填入网关、选择路由类型，点击按钮“删除路由表”，可将该路由从密码机路由表中删除。

提示：“选项卡”下方的“路由表”显示当前密码机的路由表信息。

4.6.2 VLAN配置

在主窗口中，点击按钮“所属VLAN”标签右侧的按钮“设置”，弹出VLAN配置对话框。如图22所示：

图 22 “VLAN配置”对话框

双入双出版本新增对第2路网路的VLAN配置管理，选中第1路或第2路后，可以显示第1路或第2路VLAN配置信息，并且可以对第

1路或第2路的VLAN信息进行配置。默认显示第1路配置信息，第2路为不可用，第2路启用后，第2路的信息可以配置。

功能：配置VLAN相关的参数，包括子网地址、子网掩码、外出（路由器）的IP地址和进入（交换机）的IP地址。操作：添加VLAN。过程如下：

选中复选框“启用VLAN”；

填写VLAN ID；如果这个VLAN ID是用户所有VLAN中最小的那个VLAN ID，请选中复选框“装置属于该VLAN”；在“子网地址”里填入写一个IP地址，这个IP地址必须是分配给装置的IP地址；填入一个子网掩码；

如果“网络配置”时选中了复选框“启用虚拟IP地址”，就必须填写外出（路由器）的IP地址和进入（交换机）的IP地址。

点击按钮“添加”，完成一个VLAN的添加。重复上述过程添加所有VLAN。删除VLAN。过程如下：

在下方的列表框中选中一个VLAN，点击按钮“删除”就可以删除一个VLAN。

提示：复选框“装置属于该VLAN”与最小的那个VLAN ID对应，必需且只需选中一次。

4.6.3 设备状态

“设备状态”选项卡如图23所示。

图 23“设备状态”选项卡

功能：查询密码机当前的各项状态。操作：点击按钮“查看设备状态”。

提示：在“选项卡”上方的“设备状态列表”将显示密码机的各项信息

4.6.4 互备装置

“互备装置”选项卡如图24所示。

图 24“互备装置”选项卡

功能：查询和配置密码机的双机互备参数；当密码机处于互备状态时，才需要设置密码机的主备参数。

操作：选择密码机的互备参数：“单机”或“双机互备”，然后点击右侧的“设置”按钮；当选择的是“双机互备”时，还可以进一步选择装置的互备角色：“主装置”或“备装置”，然后点击右侧的“设置”按钮。

提示：“选项卡”下方的“信息列表”会显示操作结果和当前密码机的互备参数。

4.6.5 杂项配置

“杂项装置”选项卡如图25所示。

图 25“杂项配置”选项卡

功能：配置密码机的各项工作参数，包括系统时间、工作模式、

生成树协议、是否报警、工作密钥生存期和工作密钥使用次数。操作：在时间框中填入时间，点击按钮“设置系统时间”；选择工作模式，点击按钮“设置工作模式”；点击“声音报警”或“生成树协议”可启用/禁止警报和生成树协议；输入次数，点击按钮“最大加密次数”；输入工作密钥生存周期（小时），点击按钮“设置生存期”。

提示：“选项卡”下方的“信息列表”会显示操作结果和当前密码机的当前工作参数。

4.6.6 安全管理

“安全管理”选项卡如图26所示。

图 26“安全管理”选项卡

功能：包括修改操作员口令，启动和关闭密码机，密码机自检，软件备份、恢复和更新，恢复出厂设置，备份配置，恢复配置。操作：输入旧口令和2次新口令，点击按钮“确定”更改操作员口令。选择重启或关机，点击按钮“确定”重启或关闭密码机。点击按钮“系统自检”，检测密码机当前的状态。点击按钮“软件更新”，以增量的方式将软件更新到密码机上。点击按钮“恢复出厂设置”将密码机恢复为出厂态，重新执行初始配置；点击按钮“备份配置”，选中要备份的配置文件，将机器中的配置文件导出到本地；点击按钮“恢复配置”，选中要上传的文件，将本地的配

置文件上传到机器中。增加“镜像配置还原”按钮，可以还原密码机重新启动前的配置。

提示：“选项卡”下方的“信息列表”显示操作结果和系统状态；更改操作员口令是必须插入操作员卡。

4.6.7 配置MAC地址

“配置MAC地址”选项卡如图27所示。

图 27“安全管理”选项卡

功能：在借用启用虚拟IP地址环境下，添加路由器和交换机的MAC地址。

操作：点击要输入MAC的选项前面的选择框，输入交换机和路由器的MAC地址，MAC地址只能为大写。

4.6.8 日志服务器设置

“日志服务器设置”选项卡如图28所示。

图 28“安全管理”选项卡

功能：需要发送日志到日志服务器上的时候，需要设置服务器的地址，和发送方式。

操作：添加服务器的地址和端口，选择是外网发送，还是内网