安全接入平台现场常见问题解决方法汇总FAQ.docx

安全接入平台现场常见问题解决方法汇总FAQ.docx

《安全接入平台现场常见问题解决方法汇总FAQ.docx》由会员分享，可在线阅读，更多相关《安全接入平台现场常见问题解决方法汇总FAQ.docx（17页珍藏版）》请在冰点文库上搜索。

安全接入平台现场常见问题解决方法汇总FAQ

安全接入平台问题汇总

一、采集接入网关

问题1：

CG上看到的终端链路数比实际终端在线数多

现象：

在CG上用console show link命令，显示的连接数比终端实际的在线数多。

问题原因：

CG是看到的有一部分可能是重连的（但一般不会多）。

部分终端的gprs信号可能不好，当前已经连上来之后，可能终端因信号不好会重连，这是console show links看到的此终端就有2条链接记录。

因为我们CG检测超时的连接是有个间隔时间的，大概6分钟左右。

问题2：

电压表计终端加密、明文模式判断

现象：

在CG上用console show link命令，显示出来的部分链路的末尾是没有证书DN信息的。

问题原因：

这种情况是由于电压表计终端以明文的方式发送报文信息，我们可以看到第二个字段为P（表示明文），若为E则表示以加密形式发送报文。

解决方法：

原则上接如的电压表计终端是不允许已明文方式接入主站系统的，可以让终端厂家去装置上查看是否通信模式设置错误，将其修改为加密模式。

问题3：

电压终端有心跳、无日数据问题

现象：

供电电压系统主站能收到电压表计终端的心跳数据，但无日数据。

问题原因：

之前CAC有bug，处理终端整点上报数据时，把很多终端的数据覆盖了，导致主站系统最多收到255个。

解决方法：

让CAC装置实施人员升级程序，解决这个限制。

问题4：

CG和CAC链路上差异分析

现象：

采集接入网关上看到的链路信息和CAC的相差很多。

问题原因：

电压表计终端和主站系统之间的通信要经过采集接入网关、数据交换系统、CAC，中间任何一台设备出现问题，都会导致数据不对。

可能的原因一般是CAC连接不上，或者连上来又被CAC断开了。

解决方法：

1、分别在CG、SDS、CAC上输入命令netstat-ant|grep2000|grepEST|wc–l，查看tcp链路数；

2、对比链路数，如果SDS和CAC基本吻合，那就再看CG和SDS，在设备上通过tcpdump抓取数据包，看是不是CG连不上SDS，或者连上了又被SDS断开了，定位问题出现在哪台设备上，有时需要同时在三台设备上进行抓包进行分析。

3、当终端接入比较多时，需要确认数据交换gserv.conf的配置，默认情况下数据交换设备的最大并发连接数为1024，所以你需要将这个值调大（内、外侧的gserv.conf文件都需要修改）。

用vi编辑gserv.conf文件，将‘pool_max=1024;’这一行修改，例如‘pool_max=10240;’，然后重启gserv进程即可。

问题5：

CG网关proxy_zhuzhan进程CPU利用率过高现象

现象：

采集网关重启后，proxy_zhuzhan程序的CPU利用率一直升高到100%，而用conosleshowlink时看不到一条建立起来的链路，CG上无法telnet数据交换端口，但是其他网关（如PG）可以正常telnet到数据交换的数据端口。

问题原因：

当现场有大量终端时，在采集网关重启后，终端会和采集网关重新进行隧道协商，这样导致proxy_zhuzhan进行一直忙于隧道的协商，CPU逐渐升高。

解决方法：

1、先在采集网关上打开consoledebug命令确认终端和CG之间的隧道是能够正常协商的，但是CG无法和数据交换建立连接。

2、在确认1的情况下，无须再对CG网关进行操作，待所有电压表计终端和CG的密钥协商完以后，CPU会自动降下来，此时CG网关恢复正常运行，与数据交换能够建立正常的连接。

问题6：

CG网关无法FTP问题

现象：

用笔记本连接采集网关的配置口，采集网关可以作为ftp客户端，连接到笔记本进行文件的上传、下载。

但是却无法ftp到同一网段的ag或pg网关。

问题原因：

采集接入网关默认情况下做了安全限制，添加信任的地址即可。

解决方法：

在采集接入网关后台输入命令“iptables-AINPUT-sftp服务器地址-jACCEPT”即可。

问题7：

CG（研祥硬件）升级补丁后，加密机管理软件无法连接问题

现象：

采集接入网关（研祥硬件）升级完cg_update1.tgz补丁包后，加密机配置管理软件连接不上去。

问题原因：

cg_update1.tgz补丁包是根据采集接入网关（立华硬件）做的，立华的设备默认管理口为eth0,而研祥的设备为eth3。

解决方法：

需要修改一下脚本/netkeeper/script/config_filter，把config_filter脚本里面有处

“iptables -A INPUT -i eth0 -d 11.22.33.44 -j ACCEPT”改成

“iptables -A INPUT -i eth3 -d 11.22.33.44 -j ACCEPT”（即把eth0改成eth3）。

二、SSLVPN网关

问题1：

加密卡长卡、短卡设置问题

现象：

在升级sslvpn网关，更换加密卡后重启设备，发现面板上的加密灯一直在闪烁，在网关配置界面里点击生成密钥对时，提示‘生成密钥对失败’。

问题原因：

sslvpn网关支持两种不同的加密卡，设备里安装不同的卡需要对卡的类型做相应的更改。

解决方法：

通过串口或ssh到网关后台，进入/usap/conf目录，修改里面的/f文件，若是长卡里面的内容则是1，若是短卡或者没有加密卡，则里面的内容为2。

修改该文件后重启网关设备即可。

问题2：

证书不匹配问题

现象：

终端在认证的时候报错“verifytheservercertificatefailed”。

问题原因：

一般都是由于证书或者算法选择错误造成的。

解决方法：

1、检查客户端算法选择；

2、检查网关证书格式，有没有添加头尾；

3、检查网关证书是否更新，若更新后有没有重启进程或重启网关；

4、检查客户端根证书是否更新，根证书格式是否正确；

问题3：

算法选择问题

现象：

终端在认证的时候报错“unabletogetlocalissuercertificate”。

问题原因：

一般都是由于证书或者算法选择错误造成的。

解决方法：

1、检查客户端算法选择；

2、检查客户端根证书是否更新，根证书格式是否正确；

3、检查TF卡或USBKEY中是否导入了正确的P12证书，是否存在两个容器；

问题4：

证书有效期问题

现象：

终端在认证的时候报错“certificateisnotvalid”。

问题原因：

由于系统时间不在证书的有效期范围内造成。

解决方法：

1、检查终端时间是否为当前时间；

2、若是PDA终端，因为时间读取问题新签证书可能不能立即生效，可往后修改系统时间测试；

问题5：

终端签名或者安卓挂载目录问题

现象：

终端在认证的时候报错“配置出错”。

问题原因：

一般由于TF/USBKEY未签名，或者安卓终端TF卡挂载目录不对造成。

解决方法：

1、TF卡或USBKEY是否签名；

2、配置文件内容是否正确；

3、对于android客户端SDpath配置是否正确，可以通过安卓终端模拟器去确定路径；

问题6：

网关无法远程上传、下载文件

现象：

sslvpn网关无法通过内网远程上去，进行文件的上传、下载，这在更新系统程序的时候很不方便。

问题原因：

sslvpn网关把scp等功能给裁剪掉了。

解决办法：

在sslvpn网关上已经默认安装了ftp服务服务端。

通过命令servicevsftpdstart开启这个服务，登陆的用户名为nari,密码为。

文件存放位置为/home/nari。

使用完后请记得通过servicevsftpdstop命令将该服务关闭。

问题7：

POS机使用SM2证书无法认证

现象：

通过sslvpn网关进行POS接入时，使用SM2证书无法认证成功。

解决办法：

1、sslvpn网关是短卡

解决方法:

短卡需要修改配置文件，把vpn.txt和vpn_tmp.txt中的

#keyfile_sm2=/usap/cert/server.sm2.key这一行取消注释，

即修改成：

keyfile_sm2=/usap/cert/server.sm2.key

但是最终现场测试没有成功，其他现场希望尝试一下能否实现，研发说可以的，最终我选择了更换了长卡测试。

2、客户端用sm2证书需要注意的地方

解决方法：

sm2证书签发都要从卡里导出证书请求文件，生成证书请求文件的同时生成了密钥对，如果中间用RSA算法的证书测试，导入证书时RSA证书自带的密钥对会覆盖掉之前的sm2的密钥对，当再使用之前的sm2证书就已经失效了，所以需要重新导出请求文件签发新的客户端证书。

3、证书和sslvpn网关不兼容

解决方法：

最后又重新签发服务端证书，可能是重新生成过密钥对了。

4、导完证书和修改完配置文件需要重启vpn进程

解决方法：

这个是因为修改完配置文件，如：

vpn.txt，需要重起vpn进程才能生效。

还有网关导完证书之后也需要重启vpn进程。

5、网关认证之后客户端监听地址配置错误

解决方法：

看到vpn网关打印出来的日志发现客户端监听的地址是127.0.0.1，但是客户端配置的平台地址是数据交换外网口地址，需要把pos监听的平台地址改为127.0.0.1。

6、成功连接后需要修改调试调试等级，还有pos的版本也需要修改（这个需要pos厂家配合完成）

解决方法：

其实这个是pos厂家在服务器需要导入一个公钥证书，但是这个证书导入之后发现还是不行，一直以为pos厂家的证书不对。

修改了数次之后找其他原因，后来发现客户端认证上一次或者几次之后就会报出如下错误：

Connectionclosed:

409byte（s）senttoSSL,361byte（s）senttosocket

24linger（local）:

Badfiledescriptor（9）

Localsocket（FD=3）closed

这是因为调试时产生日志量太大导致的，需要把TF卡里，如下图中黄色注释的文件删掉，还有调试等级改成3，之前为了测试用的等级是7

而且，pos厂家之前为了联调用的测试版本，需要他们给个文件，修改一下他们的版本，否则也会产生很大的日志，（如果他们用的不是测试版本那就可以免去这步操作）

完成上述操作，这样后面多次连接也就不会收到影响。

问题8：

vpn_server进程自动退出

现象：

Sslvpn网关运行一段时间后，vpn_server进程会自动退出。

解决方法：

编辑/usap/etc/ident_monitor.conf文件，添加下面示例的最后三行,这样当vpn_server进程意外结束时，5秒后会自动拉起该进程。

interval=5

[identd]

Name=identd

Command=/usap/sbin/identd/usap/etc/identd.conf&

[usap]

Name=vpn_server

Command=/usap/sbin/vpn_server/usap/conf/vpn.txt&

问题9：

客户端认证异常报错

现象：

山东现场移动作业客户端（华硕）拨号认证时，提示“vpn客户端报配置出错，服务停止”。

原因：

由于华硕的系统内核做了底层的修改，导致客户端返回值和标准的内核版本不一样。

解决方法：

邓进用华硕的平板调试修改vpn客户端并开发出一个华硕专用的vpn客户端，使用该版本可以正常认证成功。

问题10：

终端无法远程升级

现象：

终端远程升级的时候无法远程升级。

原因：

终端安全客户端升级会用到网关60701端口（网关上使用netstat–npl命令可以看到），该端口可能由于防火墙没开放而无法升级。

解决方法：

APN防火墙开放此端口的策略即可。

问题11：

终端作业包上传失败

现象：

移动终端上传作业包失败（作业包大于1KB）。

原因：

sslvpn网关MTU值设置过小。

解决方法：

通过命令ifconfigethx（连接APN的网口）mtu1200可以设置我们网关的mtu值，将此命令加到start_usap.sh脚本最后一行后可永久生效。

问题12：

已加固PC终端升级问题

现象：

升级需要用管理key去修改终端usbkey里的加固策略了，这样在终端数多的情况下很麻烦。

解决方法：

在升级安全平台前修改集中监管上对应PC终端组的加固策略（修改网络控制为不控制、修改模式切换为允许），然后再打开PC，让最新的加固策略推送到终端。

问题13：

MC同步到sslvpn网关的部分数据在web上看不到

现象：

MC和sslvpn网关进行数据库同步后，‘终端访问权限管理下的‘终端信息管理’和‘业务信息管理’显示不出来，手动添加也存在问题。

原因：

sslvpn网关数据库中存在一个表‘SYS_CODE_MASTER’，该表名称小写错写成了大写。

解决方法：

在sslvpn中执行以下脚本即可：

droptable`SYS_CODE_MASTER`;

CREATETABLE`sys_code_master`（

`OID`int（11）NOTNULL,

`CODE_NAME`varchar（64）defaultNULL,

`TYPE_ID`int（11）defaultNULL,

`TYPE_NAME`varchar（64）defaultNULL,

`DESCRIPTION`varchar（256）defaultNULL,

PRIMARYKEY（`OID`）

）ENGINE=InnoDBDEFAULTCHARSET=utf8;

INSERTINTO`sys_code_master`（`OID`,`CODE_NAME`,`TYPE_ID`,`TYPE_NAME`,`DESCRIPTION`）VALUES

（1,'PDA',2,'终端类型','1'）,

（2,'PC',2,'2','2'）,

（3,'POS',2,'3','3'）,

（4,'CMA',2,'终端类型','4'）,

（5,'终端',2,'终端类型','5'）,

（10015,'一体化缴费平台MEPS',1,'业务类型','5'）,

（,'移动作业',1,'业务类型','1'）,

（,'输电线路在线检测',1,'业务类型','2'）,

（,'仓储作业管理',1,'业务类型','3'）,

（,'财务管控FM',1,'业务类型','4'）,

（,'其他',1,'业务类型','6'）;

COMMIT;

问题14：

sslvpn网关开机无法启动

现象：

sslvpn网关开机时无法启动，通过串口连接后台提示按‘ctrl’+‘D’重启设备。

原因：

sslvpn网关在关机是没有通过命令poweroff软关机，而是直接断电，造成了硬盘故障，当下次开机时，系统自检时就会出现上述问题。

解决方法：

当出现这个问题是按ctrl’+‘D’重启设备，让设备完成自检可正常进入系统，以后关机时需要输入命令poweroff软关机。

问题15：

终端连接网关可以正常认证、推送业务，但无法正常访问

现象：

终端连接到网关后，可以正常认证、推送业务策略，网络及业务端口都是通的，但无法正常访问业务，上行流量正常，下行流量很少，但三星的手机和平板终端访问业务一切正常。

原因：

网关和终端的mtu值不匹配，导致下行的数据包比较大，超过了终端所能承受的范围，以至将下行的数据包丢弃，业务无法正常使用。

解决方法：

修改网关的mtu值到合理的值，这个需要修改多次测试，mtu过大或者过小都会影响业务使用,命令如下：

Ifconfigeth1mtu1400//mtu值默认为1500

三、数据交换系统

问题1：

修改SDS最大连接数

现象：

相关业务系统接入了大量终端后，数据交换进程运行正常，但是发现无法从内网ssh远程到网关设备上了。

问题原因：

数据交换出厂时最大并发连接数默认设置为1024，所以当并发超过这个值的时候后来的链路就无法建立起来。

解决方法：

用vi编辑gserv.conf文件，将‘pool_max=1024;’这一行修改，例如‘pool_max=10240;’，然后重启gserv进程即可。

问题2：

修改可配置代理规则数

现象：

部分现场的数据交换系统，出现添加代理规则时会覆盖原有的代理规则。

问题原因：

数据交换的配置文件中可配置的最大规则数的值设的小了，导致添加规则时出现覆盖规则现象。

解决方法：

将/opt/apache-tomcat-6.0.29/webapps/nari-control/etc/id.txt中的值改大点（要大于gserv.conf中的最大id数）。

四、集中监管系统

问题1：

sslvpn网关升级后监测指标无法入库问题

现象：

原有ag、pg网关升级成sslvpn网关后，发现在oracle数据中，sslvpn相关的指标数据无法入库。

问题原因：

Oracle数据库没有对sslvpn网关进行相关字段进行初始化。

解决方法：

执行sslvpn_init.sql数据库脚本即可，sslvpn_init.sql脚本可以根据之前指标监测实施时提供的脚本进行修改，初始化后观察oracle数据库中相关表的信息，初始化脚本内容如下：

问题2：

数据库同步问题

现象：

集中监管系统在做数据库同步时，提示“数据同步报错，数据已回滚，请检查表结构是否正确”。

问题原因：

1、网关数据库相关表没有清空；

2、Oracle数据库同步的表有问题。

解决方法：

1、用3_clean.sql脚本清空网关数据库。

2、用sysdba权限登录集中监管数据库，查找需要同步数据的那几张表（PLATFORMDEVICE、PLATFORMINFO、GTTA、GTTP、TERMINALASSETS、TERMINALGROUP、TERMINALINFO、TERMINALPERM、BUSINESSINFO、LOG_CMS_LID），看是不是存在且为空表，如果是删除这些表即可。

问题3：

logforward程序无法连接数据库

现象：

Logforward程序无法读取数据库中的注册终端数，指标数据无法写入数据库。

使用logforward的debug模式，会报错“ORA-12154:

TNS:

无法解析指定的连接标识符驱动程序的SQLSetConnectAttr失败查询数据异常”

问题原因：

1、集中监管系统没有配置数据源连接ODBC。

2、Logforward程序路径不能用“（）”。

解决方法：

1、检查数据源连接ODBC已经配置好，并测试连接成功。

2、检查logforward程序路径中有无“（）”符合，如有，请删除。

问题4：

plsql登录oracle数据库时报错

现象：

系统被强制关机或系统异常宕机，重新启动服务器后，用plsql登录数据库时提示ora-01033:

oracleinitializationgorshutdowninprogress，集中监管web界面无法打开。

但是系统服务中oracle的相关服务都已正常启动。

使用sqlplus连接数据库的时候，以sysdba的权限可以登录进去，但是以normal的权限无法正常登录。

并且在启动oracle服务时会提示ORA-01033、ORA-01507的相关错误。

问题原因：

系统由于异常宕机导致Oracle的控制文件损坏，无法正确加载配置文件。

解决方法：

oracle安装目录D:

\oracle\product\10.2.0\oradata\cms下默认对配置文件进行了备份，3个配置文件的内容一样，用sqlplus重新定义下配置文件的路径，并重启oracle服务即可。

命令如下：

C:

\DocumentsandSettings\Administrator>sqlplus/nolog

SQL*Plus:

Release10.2.0.1.0-Productionon星期四6月509:

13:

212014

Copyright（c）1982,2005,Oracle.Allrightsreserved.

SQL>connectsys/adminassysdba

已连接到空闲例程。

SQL>shutdownimmediate

ORA-01034:

ORACLEnotavailable

ORA-27101:

sharedmemoryrealmdoesnotexist

SQL>startupnomount

ORACLE例程已经启动。

TotalSystemGlobalAreabytes

FixedSizebytes

VariableSizebytes

DatabaseBuffersbytes

RedoBuffersbytes

SQL>ALTERSYSTEMSETCONTROL_FILES='D:

\oracle\product\10.2.0\oradata\cms\CO

L03.CTL'SCOPE=SPFILE

2;

系统已更改。

SQL>shutdownimmediate

ORA-01507:

ORACLE例程已经关闭。

SQL>startup

ORACLE例程已经启动。

TotalSystemGlobalAreabytes

FixedSizebytes

VariableSizebytes

DatabaseBuffersbytes

RedoBuffersbytes

数据库装载完毕。

数据库已经打开。

SQL>

完成上述步骤后，就可以正常通过plsql连接到数据库，系统服务恢复正常。