Netkeeper2000后台调试手册-命令

NetKeeper-2000纵向加密认证网关调试手册南京南瑞集团公司信息通信分公司2进入串口使用超级终端、SecureCRT等串口调试工具，协议选择串口连接(Serial)，波特率设置为115200，数据位8位，奇偶校验选择无，并选择正确的端口(可通过设备管理器界面查看)进入串口调试。login的用户名为root，密码为123456。（本调试手册以III型为例）ps–ef命令查看系统进程信息,常见进程主要有：secgate：加密网关密钥协商和装置管理进程；tcpserver：配置界面相关进程；syslogd：加密网关日志信息守护进程；klogd：内核日志守护进程；若某一进程不在，可能某方面出现问题。常见进程状态的含义：S：进程处于睡眠状态R：正在运行的进程Z：僵死状态top命令第一行显示的是系统内存使用情况。下面列出的是进程的详细工作状态，其中PID表示进程号；USER表示进程所有者的用户名；STATUS表示进程的状态；RSS表示进程占用物理内存的总数量，单位是KB；PPID表示每个进程的父进程ID；％CPU表示CPU占用率；%MEM表示该进程物理内存的占用率；COMMAND表示进程的命令名称。注意：用户可以通过按键来刷新系统当前的状态。由于top命令需要长久占用控制台，所以用户应该根据自己的情况来使用这个命令，可以通过Ctrl+C退出。3df命令列出文件系统磁盘空间使用情况。通常可以使用此命令来观察是否存在日志占用磁盘过多导致装置运行异常的情况。free命令查看内存的使用情况：total：表示物理内存总量。used：表示总计分配给缓存（包含buffers与cache）使用的数量，但其中可能部分缓存并未实际使用。free：未被分配的内存。shared：共享内存，一般系统不会用到。buffers：系统分配但未被使用的buffers数量。cached：系统分配但未被使用的cache数量。tunnel命令该命令用于查看隧道协商状态，该命令和cat/proc/netkeeper/tunnel命令等效。以下分别是各主要列值所代表含义TunId：隧道号；State：隧道目前状态，数字0表示未发出协商请求，数字1表示发出协商请求，数字2表示收到协商请求，数字3表示隧道协商成功；hot?：隧道是否为主备。1表示该条为主隧道，0表示该条为备隧道；myip/dstip：本端（隧道）地址/对端（隧道）地址；en_num/de_num：加密包数目/解密包数目；en_err/de_err：加密错误包数目/解密错误包数目；period：隧道生存周期；quantity：隧道容量。4linkstate/netstate命令用于查看当前经过装置的数据链路状态，该命令和cat/proc/netkeeper/netstate命令等效。ID：链路序号；TunID：该链路所匹配到的隧道号。若为0表示该条为明文；protocol：报文的协议号；state：该链路是否加密；Sip/Dip：源ip地址/目的ip；Sport/Dport：源端口/目的端口；Cpkts/Spkts：接收/发送包数；Cbytes/Sbytes：接收/发送字节数；清空当前链路信息：echo“1”/proc/netkeeper/netstatedebug命令用于打开调试信息debug–d：查看装置管理系统的报文信息及ike信息；如果需要正常显示先需要杀死secgate，并手动启动secgate程序（后台运行），即可直接打印应用层信息；debug–i：查看装置的ike协商情况；如果需要正常显示先需要杀死secgate，并手动启动secgate程序（后台运行），即可直接打印应用层信息；debug–k：查看经过装置的所有报文，如果需要正常显示需要先杀死klogd，即可直接打印内核信息；debug–n–i/k/d：终止调试信息；debug–t：手动更新隧道的配置；debug–u：手动更新策略的配置；debug–rip/0：重置对端隧道地址为ip（0为所有）的隧道；注1：运行debug–d、debug-i命令需要将secgate进程杀掉并在后台重启。具体过程如下：5cd/netkeeper/module---------进入modules目录killallsecgate----------杀死所有secgate进程./secgate&----------后台重启secgate进程若secgate重启成功，会在串口中打印出加密卡的密钥对信息，并提示启动成功，此时ps–ef可看到重启后的secgate进程。重启secgate成功后，即可直接运行debug–d或者debug–i命令注2：运行debug–k需要kill掉klogdkillallklogd----------杀死所有klogd进程debug–k注3：在部分中心节点加密装置因来往数据量庞大，需慎用debug–i、-k命令，否则可能会导致装置死机。dmesg命令查看近期装置内核层弹出消息，主要用于非串口登陆或已打开klogd进程时查看装置弹出消息。注：dmesg–c清除近期弹出消息记录，重新开始计时。ifconfig命令(百兆I型装置使用此命令不能获得正确信息)查看/编辑装置网口信息ifconfig可显示所有网络接口(包括自定义的桥接口)的ip地址，mac地址，掩码，vlan号，MTU等信息。此外，还可以通过ifconfig命令手动编辑网卡信息。示例：ifconfigeth011.22.33.44netmask255.255.0.0——将eth0接口的ip地址设置为11.22.33.44，子网掩码为255.255.0.0ifconfigeth0down/up——关闭/开启网卡eth06ping命令用于检查网络是否能够连通，可根据延时和丢包率判断网络情况。(注：在30位掩码借用地址模式下因装置启用虚拟地址收不到回包导致表现为不能ping到任何地址)traceroute命令用来侦测加密装置访问目的主机之间所采取的路径，在部分复杂网络环境中用于定位路由问题，该命令会返回从本机至远端地址所经过的所有路由设备ip地址及延时。示例：traceroute30.10.1.1route命令（百兆I型装置使用此命令不能获得正确的路由表）查看装置路由表，这个是装置接入后网络不通情况下的首要需要查询的内容。我们需要关注弹出消息中的Destination、Gateway、Genmask、Iface这几项，他们分别表示目的网络、网关、目的掩码、网络接口，根据路由表可判断远端地址是否包含在路由表的目的地址段中及网关地址是否正确。arp–a命令查看装置接入调度数据网后的arp信息。这个可以作为隧道协商不成功、判断网络接入是否正确的第一个判断步骤。首先看能否获得内外网mac地址，其次看对应的vlan号或者private/public接口与装置的物理网口eth0/eth1是否相符。若均没有问题，可初步判断物理链路正常，接下来需要运行debug-i查看协商的具体ike报文走向和错误信息，进一步判断问题所在，是证书、地址有误还是网络的原因。（注：百兆I型装置查看arp表的命令为cat/proc/netarp）7ftpget/ftpput命令用于从装置备份文件到本地以及从本地上传文件到装置。格式可查看帮助示例：ftpget-unari-p12345610.30.0.1secgatesecgate——从ip地址为10.30.0.1的主机上通过用户名nari密码123456登陆(若无用户名)获取名为secgate的文件并传输至本机当前目录下。ftpput30.10.0.1/secgate——从本机将当前目录下的secgate文件传输至30.10.0.1这台主机的ftp接收目录下。(注：千兆使用标准ftp命令)测试加密卡echo“1”/proc/netkeeper/card若加密卡工作正常，可以返回测试正常的消息。系统自动会测3次。(百兆I型装置测试加密卡命令为echo“1”/proc/card)(千兆装置可直接使用testcard、dmesg命令测试加密卡)比较重要的文件目录等/log------存放加密装置的配置文件、rsa、读写加密卡的程序等/log/cert_files------存放证书文件/log/netkeeper/modules—存放secgate、secgate.o、tcpserver、debug等关键程序(百兆I型加密装置存放关键程序路径为/log/netkeeper)/log/netkeeper/script----存放启动脚本等/log下的配置文件：sys.txt----系统信息配置ip.txt----网络信息配置route.txt----路由信息配置nat.txt----地址映射配置tunnel.txt----隧道信息配置8rule.txt----策略信息配置dms.txt----装置管理系统信息配置mac.addr----装置MAC地址信息passby.txt----装置配置默认通过协议报文策略信息lendip.txt-----借用地址信息bridge.txt-----桥接模式配置信息arp.txt-----arp绑定配置信息以上文件可用vi编辑器依照一定格式修改，注意修改完后重启或手动更新。手动更新方法：更新隧道配置：debug-t更新策略配置：debug-u更新透传协议配置：echoupdate/proc/netkeeper/passby其他Linux常用命令cd切换目录mount/umount挂载/卸载文件系统vi编辑/创建文件data显示系统日期与时间uptime显示系统已启动运行时间cat显示文本文件内容head显示文本文件的前若干行tail显示文本文件的后若干行ls显示当前目录下文件，加参数-l显示长格式pwd显示当前工作目录ps查看系统进程mkdir创建目录grep在指定的文本文件中查找特定字符串find查找文件或目录9mv移动文件或目录、文件或目录改名rm删除文件或目录cp复制文件或目录tar压缩/解压文件(tar–zxvf解压，tar–zcvf压缩)chmod改变文件或目录的权限10常见问题FAQ：1.问：为什么配置软件客户端连接不上加密装置？答：首先加密装置配置软件主要有两个版本，分别对应I型和后面的III、IV、千兆型，所以要确认配置软件是否用错，其次，需要确认本机ip地址已配置为11.22.33.43，所连网口是否正确，再使用串口登陆后台输入ifconfig命令查看Eth0:10网口地址是否为11.22.33.44，如配置丢失，手动输入ifconfigeth4:1011.22.33.44netmask255.255.255.0，然后连接装置服务端。2.问：配置软件提示装置未初始化是什么情况？答：加密装置初始化有以下几个条件：①、未生成过rsa；②、没有CA证书；③、没有操作员证书；④、加密卡工作正常，如都确认无问题，可登陆后台杀死tcpserver进程并重新启动，再使用配置软件连接，观察后台报错信息来确定问题所在。3.问：隧道不通怎么办？答：隧道通断由以下五方面来决定：①、两侧加密装置本身无问题(主要是检测加密卡)；②、网络是通的（可在后台用ping命令测试）；③、两侧隧道配置中ip地址都正确；④、两侧装置隧道配置中的证书确实在后台/log/cert_files目录下存在且名称完全一致且确实为对端装置证书；⑤、两侧加密装置之间经过的一切网路设备如有起用访问控制规则均至少允许点对点的253协议通过。可通过对这五点一一排查来解决。4.问：对方网管管不到怎么办？答：装置管理中心是否可以管理加密装置由以下五方面决定：①、装置管理中心与被管加密装置本身无问题；②、网络是通的（可在后台用ping命令测试）；③、装置管理中心中添加的对端节点ip地址及证书正确；④、加密装置系统配置中配置的本段ip地址及远程管理地址正确，证书确实在后台/log/cert_files/dms目录中存在且名称完全完全一致且确为装置管理中心证书；⑤、装置管理中心与加密