|
При отладке работы ФПСУ сразу после его установки, а также в процессе его дальнейшей работы администратор имеет возможность отслеживать процессы, происходящие в различных подсистемах ФПСУ. Сообщения об ошибках или неполадках, обнаруженных работающим ФПСУ, выдаются на экран монитора (если к ФПСУ подключен монитор) и в регистрационные записи статистики (см. разделы «Окно состояния работы пользователей» и «Просмотр статистики»). Данный раздел поясняет выдаваемые диагностические сообщения и представляет возможные причины возникновения ошибок и методы их устранения.
Таблица. Ошибки формата принимаемых IP-пакетов
Диагностика
|
Пояснение
|
Причина возникновения
|
Короткий пакет
|
Длина принятых данных короче, чем указано в IP заголовке принятого пакета.
|
Сбой или коллизии локальной сети; сбой у станции отправителя.
|
Ошибка фрагментации
|
Суммарная длина собранного из фрагментов IP-пакета больше 65536 байт.
|
Некорректная работа программного обеспечения станции-отправителя.
Если при передаче данных используется протокол TCP, ошибки можно избежать, включив опцию «Корректировать TCP MSS» (см. пункт «Общие параметры конфигурации ФПСУ»)
|
Отмена фрагментации
|
Размер пакета превышает максимальный размер пакета, MTU, но установленный флаг запрета фрагментации не дает разбивать его на несколько пакетов.
|
Такая ситуация обычно возникает при попытке передачи пакетов TCP/UDP по протоколу FTP и некоторым другим протоколам, и носит временный характер. Если ошибка возникает постоянно, необходимо проанализировать (и, при необходимости, скорректировать) конфигурацию сетевых адаптеров и/или уменьшить MTU до 1400 байт на оборудовании, от которого приходят большие пакеты с флагом запрета фрагментации.
|
Ошибочный фрагмент
|
Начало фрагментированного пакета не выровнено на 8 байтовую границу.
|
Некорректная работа программного обеспечения станции-отправителя.
|
Неверен список опций
|
Список IP-опций в заголовке IP пакета не отвечает принятым в сообществе Интернет правилам.
|
Некорректная работа программного обеспечения станции-отправителя.
|
Мало памяти
|
Недостаточно оперативной памяти для приема и/или обработки пакета.
|
Если такая ошибка указывается для разных IP адресов, причина возникновения - «шторм» в IP сети.
Если ошибка возникает только для одного конкретного адреса - вероятно проведение атаки на ФПСУ с целью вывода его из строя через создание сетевой перегрузки.
|
Таблица. Ошибки, связанные с обработкой принимаемых пакетов
Диагностика
|
Пояснение
|
Причина возникновения
|
Маршрут неизвестен
|
Не известен адрес сетевого адаптера для соответствующего IP-адреса абонента-получателя.
|
Если ошибка возникает постоянно - либо станции с таким IP-адресом в сети нет или она не работает, либо режимы смежных сетевых адаптеров несовместимы.
Если ошибка возникает эпизодически - неполадки отсутствуют, в момент поступления запроса адрес сетевого адаптера был неизвестен, после чего он был автоматически определен ФПСУ за непродолжительное время.
|
Сбой LAN карты
|
Сбой указанного сетевого адаптера при попытке передачи фрейма
|
Неустойчивая работа сбойного сетевого адаптера - адаптер необходимо заменить.
Несовместимые режимы работы смежных сетевых адаптеров.
|
MAC-адрес станции совпадает с адресом ФПСУ
|
получен фрейм, MAC-адрес отправителя которого совпадает с MAC-адресом одного из сетевых портов ФПСУ
|
Сетевые пакеты от станции, MAC-адрес которой совпадает с MAC-адресом одного из портов ФПСУ, будут сброшены. Требуется изменить MAC-адрес у рабочей станции или у ФПСУ.
|
Дублирование адресов
|
В сети со стороны указанного порта обнаружена станция, имеющая IP адрес, совпадающий с одним из портов ФПСУ, или адрес сетевого адаптера которой совпадает с адресом сетевого адаптера ФПСУ.
|
Это может произойти при образовании маршрутной петли - проверьте правильность конфигурации маршрутизирующего оборудования.
В сети на самом деле существует такая станция — смените адреса на ФПСУ или указанной станции.
|
Неверен IP адрес
|
Неверен один из IP-адресов в заголовке IP пакета.
|
IP-адрес отправителя является широковещательным в известные ФПСУ подсети.
Отправитель пакета не является известным ФПСУ маршрутизатором, а IP-адрес получателя является либо групповым (multicast), либо широковещательным во все подсети (255.255.255.255).
IP-адрес отправителя пакета — 255.255.255.255.
|
Истекло время
|
Время жизни пакета истекло, или исчерпан лимит времени ожидания сборки пакета
|
У принятого пакета истекает время жизни.
Если данная ошибка проявляется часто, причем получателем является данный ФПСУ, а отправителем - другой ФПСУ, рекомендуется в конфигурации обоих ФПСУ изменить значение MTU (см. раздел «Описание параметров туннелей с другими ФПСУ»)
|
Протокол
недоступен
|
Обращение к одному из портов ФПСУ по протоколу, который ФПСУ не поддерживает.
|
ФПСУ не принимает для обработки пакеты никаких протоколов, кроме собственных протоколов поддержки VPN и администрирования, а также протокола ICMP ECHO REQUEST (Ping) при условии, если это разрешено в конфигурации ФПСУ.
|
Таблица. Ошибки, связанные с попытками нарушения установленных правил фильтрации
Диагностика
|
Пояснение
|
Причина возникновения
|
Входящий не описан
|
Отправитель пакета не описан в конфигурации
|
Отправитель пакета не описан в конфигурации портов ФПСУ.
|
Получатель не описан
|
Получатель пакета не описан в конфигурации.
|
Не описан абонент-получатель в конфигурации портов ФПСУ.
Для межмаршрутизаторного обмена - нет маршрутизаторов со стороны противоположного порта, использующих данный протокол.
|
Запрет работы
|
Отказ в доступе абоненту-отправителю пакета
|
Выключен флаг «Работа Разрешена» у отправителя или получателя пакета.
Попытка приема или передачи в индивидуальный адрес при включенном флаге «Только Broadcast».
Попытка межмаршрутизаторного обмена по неразрешенному протоколу маршрутизации для маршрутизатора-отправителя пакета.
«Ping» - попытка ФПСУ от прописанного абонента или маршрутизатора при выключенном флаге «Отвечать на Ping».
«Ping» - попытка ФПСУ длинным пакетом.
Не «Ping» - попытка обращения прописанного абонента к удаленному ФПСУ или абонент не является удаленным администратором или ФПСУ.
|
Запрет по доступу
|
Запрет по режиму работы с партнером.
|
Запрет по режиму работы с партнером данного или противоположного порта.
|
Запрет SourceRoute
|
Запрет доступа по опции SourceRoute в IP-пакете.
|
В принятом IP-пакете присутствует одна из опций, требующая записывать маршрут прохождения пакета, а в конфигурации ФПСУ установлен флаг «Пакеты с опцией SourceRoute» - «Не пропускать».
|
Абонент через ФПСУ
|
Абонент должен работать в режиме ретрансляции.
|
Принят пакет из VPN-туннеля от абонента, для которого на данном ФПСУ установлен режим работы «Ретрансляция».
|
Абонент миновал ФПСУ
|
Абонент должен работать через ФПСУ.
|
Принят пакет не из VPN-туннеля от абонента, для которого на данном ФПСУ установлен режим работы «Через ФПСУ».
|
ФПСУ не работает
|
Удаленный ФПСУ не работает.
|
Не включен удаленный ФПСУ или с ним нет связи.
Не работает сетевой адаптер - адаптер необходимо заменить.
Несовместимые режимы работы смежных сетевых адаптеров.
|
Нет ФПСУ- туннеля
|
Отсутствие взаимодействия между ФПСУ.
|
VPN-туннель между двумя ФПСУ не установлен к моменту попытки передачи через него пакетов от абонентов.
Не включен удаленный ФПСУ или с ним нет связи.
Неустойчивая работа сбойного сетевого адаптера - адаптер необходимо заменить.
Несовместимые режимы работы смежных сетевых адаптеров.
|
Ложный ФПСУ
|
Станция-отправитель использует ошибочный протокол установки соединения или поддержания VPN-туннеля
|
Попытка передачи пакетов в IP-адрес местного ФПСУ от рабочей станции, зарегистрированной как удаленный ФПСУ, но не являющейся таковой.
|
Ошибочный ФПСУ-пакет
|
Ошибочный пакет от ФПСУ.
|
На местном или удаленном ФПСУ указаны неверные значения номеров ключевых данных удаленных ФПСУ.
В процессе установки или поддержания VPN-туннеля произошел кратковременный сбой, что обычно очень редко проявляется в момент первичной установки VPN-туннеля.
Попытка навязывания местному ФПСУ VPN-данных или повторения ранее переданных удаленным ФПСУ данных от «вредоносной» станции.
|
Ошибка клиент-пакет
|
Искажены или повреждены находящиеся в полученном от ФПСУ-IP/Клиента пакете данные.
|
Сообщение возникает на экране мониторинга подключенных ФПСУ-IP/Клиентов.
Такие пакеты будут сброшены ФПСУ.
|
Таблица. Ошибки, связанные с ключевыми данными
Служебное сообщение
|
Пояснение
|
Действия администратора
|
The TM does not contain the key
|
Ошибка возникает при попытке запуска ФПСУ с помощью ТМ-идентификатора, на котором находится искаженный ключ запуска.
|
Если искажен ключ запуска Главного администратора - обратитесь к поставщику ФПСУ для замены ТМ-идентификатора Главного администратора.
Если искажен ключ запуска пользователя другого класса - повторно перезапишите ТМ-идентификатор пользователя средствами ФПСУ (Настройка системы - Регистрация ТМ-идентификаторов)
|
Внимание! Повреждены критические компоненты комплекса. ВСЕ установленные ключевые данные и ТМ утрачены. Комплекс переведен в технологический режим. Возможно потребуется переустановка комплекса
|
ПО ФПСУ обнаружило искажение ключа для хранения долговременных ключей.
Требуется вмешательство администратора
|
Требуется выполнить повторный перевод ФПСУ из технологического режима в рабочий режим, заново зарегистрировать все ТМ-идентификаторы пользователей и переустановить ключевые данные ЦВК и удаленных администраторов.
В случае ошибки перевода ФПСУ из технологического режима в рабочий режим, выполнить полную переустановку ПО ФПСУ.
|
Внимание! Поврежден компонент комплекса. Необходима инициализация ДСЧ
|
ПО ФПСУ обнаружило искажение ключа ПДСЧ.
Требуется вмешательство администратора
|
Требуется выполнить повторный перевод ФПСУ из технологического режима в рабочий режим.
|
Внимание! ФПСУ не работоспособен. Искажены данные конфигурации. Ожидание восстановления конфигурации с резервного комплекса или удаленного администратора
|
ПО ФПСУ обнаружило искажение конфигурации ФПСУ
|
Восстановить конфигурацию ФПСУ любым из следующих способов:
•локально с помощью резервной копии конфигурации;
•подключить к ФПСУ комплекс горячего резерва;
•установить на ФПСУ новую конфигурацию средствами удаленного администратора. |
Ошибка инициализации! Служебный описатель искажен
|
Сообщение об ошибке выводится на экран просмотра состояний удаленных администраторов ФПСУ.
ПО ФПСУ обнаружило искажение секретного ключа ФПСУ подсистемы удаленного администрирования или открытых ключей удаленных администраторов.
Удаленное управление ФПСУ с такой ошибкой невозможно.
|
Заново зарегистрировать удаленных администраторов на ФПСУ.
Перерегистрировать ФПСУ на всех удаленных администраторах.
|
Описатель удаленных администраторов испорчен или несовместимая версия!
|
Сообщение об ошибке выводится на экране регистрации удаленных администраторов меню настройки системы ФПСУ.
ПО ФПСУ обнаружило искажение секретного ключа ФПСУ подсистемы удаленного администрирования или открытых ключей удаленных администраторов
Удаленное управление ФПСУ с такой ошибкой невозможно.
|
Заново зарегистрировать удаленных администраторов на ФПСУ.
Перерегистрировать ФПСУ на всех удаленных администраторах.
|
*Имя_файла_с_открытым_ключом_удаленного_администратора*----> Поврежден
|
Сообщение об ошибке выводится на экране регистрации удаленных администраторов меню настройки системы ФПСУ при попытке зарегистрировать нового удаленного администратора.
Причина - искажен или поврежден предъявленный на внешнем USB-носителе открытый ключ удаленного администратора
|
Заново получить от администратора АРМ УА открытый ключ удаленного администратора и повторить процедуру регистрации удаленного администратора на ФПСУ
|
Состояние туннеля с другим ФПСУ "WaitSynRR" с дополнительными сообщениями в журнале статистики "Аварийное состояние ключей/нештатные действия: Ошибка при зачитывании установленных ключей"
|
Хранящиеся на внутреннем накопителе ФПСУ парно-выборочные ключи были искажены.
Требуется вмешательство администратора
|
Заново установить на ФПСУ полученные от администратора ЦВК парно-выборочные ключи.
|
Данные искажены, пропускаю!
|
Сообщение об ошибке выводится на экране установки ключей меню конфигурации ФПСУ.
Возникает при искажении предъявленного на внешнем USB-носителе парно-выборочного ключа
|
Заново получить от администратора ЦВК парно-выборочный ключ взамен искаженного.
|
Испорчены служебные данные горячего резервирования
|
Сообщение об ошибке выводится на экране мониторинга состояния горячего резерва ФПСУ (основной комплекс системы горячего резервирования).
Ошибка возникает при искажении хранящегося на внутреннем накопителе ФПСУ ключа горячего резерва
|
Считать на ТМ-идентификатор ключ горячего резерва с исправного комплекса (меню локального конфигурирования ФПСУ «Настройка системы» - «Параметры горячего резерва»).
Если ключ горячего резерва не считывается с исправного комплекса, создать новый ключ горячего резерва.
Повторно зарегистрировать ключ горячего резерва на сообщившем об ошибке ФПСУ.
|
ФАТАЛЬНАЯ ОШИБКА. Резервный комплекс не может функционировать, так как испорчены служебные данные горячего резервирования. Возможно потребуется переустановка комплекса
|
Сообщение об ошибке выводится при запуске ФПСУ (резервный комплекс системы горячего резервирования).
Ошибка возникает при искажении хранящегося на внутреннем накопителе ФПСУ ключа горячего резерва
|
Считать на ТМ-идентификатор ключ горячего резерва с исправного комплекса (меню локального конфигурирования ФПСУ «Настройка системы» - «Параметры горячего резерва»).
Если ключ горячего резерва не считывается с исправного комплекса, создать новый ключ горячего резерва.
Повторно зарегистрировать ключ горячего резерва на сообщившем об ошибке ФПСУ.
|
Испорчен или не установлен ключ центра
|
Сообщение об ошибке выводится на экране мониторинга действий ФПСУ-IP\Клиентов.
Искажен общесистемный ключ Криптосети Клиентов.
ФПСУ-IP\Клиенты не могут соединиться с ФПСУ
|
Заново установить на ФПСУ общесистемный ключ Криптосети Клиентов вместо искаженного.
|
ТМ испорчена
|
Сообщение об ошибке выводится при попытке зарегистрировать общесистемный ключ Криптосети Клиентов на ФПСУ.
Находящийся на ТМ-идентификаторе общесистемный ключ Криптосети Клиентов искажен или испорчен.
|
Заново получить от администратора ЦГКК общесистемный ключ Криптосети Клиентов и повторить процедуру регистрации общесистемного ключа Криптосети Клиентов на ФПСУ
|
Таблица. Ошибки при соединении ФПСУ
Диагностика
|
Пояснение
|
Причина возникновения
|
Не совпадают RKL роли клиент/ФПСУ
|
Оба участника ФПСУ-IP/Клиент и ФПСУ при соединении должны поддерживать удаленную загрузку ключевых данных
|
На ФПСУ с установленной подсистемой RKL (подсистемой удаленной загрузки ключевых данных) пытается соединиться ФПСУ-IP/Клиент, VPN-Key которого не поддерживает удаленную загрузку ключевых данных, или наоборот, к ФПСУ без подсистемы RKL соединяется ФПСУ-IP/Клиент, VPN-Key которого поддерживает удаленную загрузку ключевых данных
|
|
