安全接入平台现场常问题解决方法汇总(FAQ).docxVIP

安全接入平台问题汇总一、采集接入网关问题1：CG上看到的终端链路数比实际终端在线数多现象：在CG上用console?show?link命令，显示的连接数比终端实际的在线数多。问题原因：CG是看到的有一部分可能是重连的（但一般不会多）。部分终端的gprs信号可能不好，当前已经连上来之后，可能终端因信号不好会重连，这是console?show?links看到的此终端就有2条链接记录。因为我们CG检测超时的连接是有个间隔时间的，大概6分钟左右。问题2：电压表计终端加密、明文模式判断现象：在CG上用console?show?link命令，显示出来的部分链路的末尾是没有证书DN信息的。问题原因：这种情况是由于电压表计终端以明文的方式发送报文信息，我们可以看到第二个字段为P（表示明文），若为E则表示以加密形式发送报文。解决方法：原则上接如的电压表计终端是不允许已明文方式接入主站系统的，可以让终端厂家去装置上查看是否通信模式设置错误，将其修改为加密模式。问题3：电压终端有心跳、无日数据问题现象：供电电压系统主站能收到电压表计终端的心跳数据，但无日数据。问题原因：之前CAC有bug，处理终端整点上报数据时，把很多终端的数据覆盖了，导致主站系统最多收到255个。解决方法：让CAC装置实施人员升级程序，解决这个限制。问题4：CG和CAC链路上差异分析现象：采集接入网关上看到的链路信息和CAC的相差很多。问题原因：电压表计终端和主站系统之间的通信要经过采集接入网关、数据交换系统、CAC，中间任何一台设备出现问题，都会导致数据不对。可能的原因一般是CAC连接不上，或者连上来又被CAC断开了。解决方法：1、分别在CG、SDS、CAC上输入命令netstat -ant|grep 2000|grep EST|wc –l，查看tcp链路数；2、对比链路数，如果SDS和CAC基本吻合，那就再看CG和SDS，在设备上通过tcpdump抓取数据包，看是不是CG连不上SDS，或者连上了又被SDS断开了，定位问题出现在哪台设备上，有时需要同时在三台设备上进行抓包进行分析。3、当终端接入比较多时，需要确认数据交换gserv.conf的配置，默认情况下数据交换设备的最大并发连接数为1024，所以你需要将这个值调大（内、外侧的gserv.conf文件都需要修改）。用vi编辑gserv.conf文件，将‘pool_max = 1024;’这一行修改，例如‘pool_max = 10240;’，然后重启gserv进程即可。问题5：CG网关proxy_zhuzhan进程CPU利用率过高现象现象：采集网关重启后，proxy_zhuzhan程序的CPU利用率一直升高到100%，而用conosle show link时看不到一条建立起来的链路，CG上无法telnet数据交换端口，但是其他网关（如PG）可以正常telnet到数据交换的数据端口。问题原因：当现场有大量终端时，在采集网关重启后，终端会和采集网关重新进行隧道协商，这样导致proxy_zhuzhan进行一直忙于隧道的协商，CPU逐渐升高。解决方法：1、先在采集网关上打开console debug命令确认终端和CG之间的隧道是能够正常协商的，但是CG无法和数据交换建立连接。2、在确认1的情况下，无须再对CG网关进行操作，待所有电压表计终端和CG的密钥协商完以后，CPU会自动降下来，此时CG网关恢复正常运行，与数据交换能够建立正常的连接。问题6：CG网关无法FTP问题现象：用笔记本连接采集网关的配置口，采集网关可以作为ftp客户端，连接到笔记本进行文件的上传、下载。但是却无法ftp到同一网段的ag或pg网关。问题原因：采集接入网关默认情况下做了安全限制，添加信任的地址即可。解决方法：在采集接入网关后台输入命令“iptables -A INPUT -s ftp服务器地址 -j ACCEPT”即可。问题7：CG（研祥硬件）升级补丁后，加密机管理软件无法连接问题现象：采集接入网关（研祥硬件）升级完cg_update1.tgz补丁包后，加密机配置管理软件连接不上去。问题原因：cg_update1.tgz补丁包是根据采集接入网关（立华硬件）做的，立华的设备默认管理口为eth0,而研祥的设备为eth3。解决方法：需要修改一下脚本/netkeeper/script/config_filter，把config_filter脚本里面有处 “iptables?-A?INPUT?-i?eth0?-d?4?-j?ACCEPT”改成“iptables?-A?INPUT?-i?eth3?-d?4?-j?ACCEPT”(即把eth0改成eth3)。二、SSLVPN网关问题1：加密卡长卡、短卡设置问题现象：在升级sslvpn网关，更换加密卡后重启设备，发现面板上的