|
При отладке работы ФПСУ-IP сразу после его установки, а также в процессе его дальнейшей работы администратор имеет возможность отслеживать процессы, происходящие в различных подсистемах ФПСУ-IP. Сообщения об ошибках или неполадках, обнаруженных работающим ФПСУ-IP, выдаются на экран монитора (если к ФПСУ-IP подключен монитор) и в регистрационные записи статистики (см. разделы «Окно состояния работы пользователей» и «Просмотр статистики»). Данный раздел поясняет выдаваемые диагностические сообщения и представляет возможные причины возникновения ошибок и методы их устранения.
Таблица. Ошибки формата принимаемых IP-пакетов
Диагностика
|
Пояснение
|
Причина возникновения
|
Короткий пакет
|
Длина принятых данных короче, чем указано в IP заголовке принятого пакета.
|
Сбой или коллизии локальной сети; сбой у станции отправителя.
|
Ошибка фрагментации
|
Суммарная длина собранного из фрагментов IP-пакета больше 65536 байт.
|
Некорректная работа программного обеспечения станции-отправителя.
Если при передаче данных используется протокол TCP, ошибки можно избежать, включив опцию «Корректировать TCP MSS» (см. пункт «Общие параметры конфигурации ФПСУ-IP»)
|
Отмена фрагментации
|
Размер пакета превышает максимальный размер пакета, MTU, но установленный флаг запрета фрагментации не дает разбивать его на несколько пакетов.
|
Такая ситуация обычно возникает при попытке передачи пакетов TCP/UDP по протоколу FTP и некоторым другим протоколам, и носит временный характер. Если ошибка возникает постоянно, необходимо проанализировать (и, при необходимости, скорректировать) конфигурацию сетевых адаптеров и/или уменьшить MTU до 1400 байт на оборудовании, от которого приходят большие пакеты с флагом запрета фрагментации.
|
Ошибочный фрагмент
|
Начало фрагментированного пакета не выровнено на 8 байтовую границу.
|
Некорректная работа программного обеспечения станции-отправителя.
|
Неверен список опций
|
Список IP-опций в заголовке IP пакета не отвечает принятым в сообществе Интернет правилам.
|
Некорректная работа программного обеспечения станции-отправителя.
|
Мало памяти
|
Недостаточно оперативной памяти для приема и/или обработки пакета.
|
Если такая ошибка указывается для разных IP адресов, причина возникновения - «шторм» в IP сети.
Если ошибка возникает только для одного конкретного адреса - вероятно проведение атаки на ФПСУ-IP с целью вывода его из строя через создание сетевой перегрузки.
|
Таблица. Ошибки, связанные с обработкой принимаемых пакетов
Диагностика
|
Пояснение
|
Причина возникновения
|
Маршрут неизвестен
|
Не известен адрес сетевого адаптера для соответствующего IP-адреса абонента-получателя.
|
Если ошибка возникает постоянно - либо станции с таким IP-адресом в сети нет или она не работает, либо режимы смежных сетевых адаптеров несовместимы.
Если ошибка возникает эпизодически - неполадки отсутствуют, в момент поступления запроса адрес сетевого адаптера был неизвестен, после чего он был автоматически определен ФПСУ-IP за непродолжительное время.
|
Сбой LAN карты
|
Сбой указанного сетевого адаптера при попытке передачи фрейма
|
Неустойчивая работа сбойного сетевого адаптера - адаптер необходимо заменить.
Несовместимые режимы работы смежных сетевых адаптеров.
|
MAC-адрес станции совпадает с адресом ФПСУ-IP
|
получен фрейм, MAC-адрес отправителя которого совпадает с MAC-адресом одного из сетевых портов ФПСУ-IP
|
Сетевые пакеты от станции, MAC-адрес которой совпадает с MAC-адресом одного из портов ФПСУ-IP, будут сброшены. Требуется изменить MAC-адрес у рабочей станции или у ФПСУ-IP.
|
Дублирование адресов
|
В сети со стороны указанного порта обнаружена станция, имеющая IP адрес, совпадающий с одним из портов ФПСУ-IP, или адрес сетевого адаптера которой совпадает с адресом сетевого адаптера ФПСУ-IP.
|
Это может произойти при образовании маршрутной петли - проверьте правильность конфигурации маршрутизирующего оборудования.
В сети на самом деле существует такая станция — смените адреса на ФПСУ-IP или указанной станции.
|
Неверен IP адрес
|
Неверен один из IP-адресов в заголовке IP пакета.
|
IP-адрес отправителя является широковещательным в известные ФПСУ-IP подсети.
Отправитель пакета не является известным ФПСУ-IP маршрутизатором, а IP-адрес получателя является либо групповым (multicast), либо широковещательным во все подсети (255.255.255.255).
IP-адрес отправителя пакета — 255.255.255.255.
|
Истекло время
|
Время жизни пакета истекло, или исчерпан лимит времени ожидания сборки пакета
|
У принятого пакета истекает время жизни.
Если данная ошибка проявляется часто, причем получателем является данный ФПСУ-IP, а отправителем - другой ФПСУ-IP, рекомендуется в конфигурации обоих ФПСУ-IP изменить значение MTU (см. раздел «Описание параметров удаленных ФПСУ-IP»)
|
Протокол
недоступен
|
Обращение к одному из портов ФПСУ-IP по протоколу, который ФПСУ-IP не поддерживает.
|
ФПСУ-IP не принимает для обработки пакеты никаких протоколов, кроме собственных протоколов поддержки VPN и администрирования, а также протокола ICMP ECHO REQUEST (Ping) при условии, если это разрешено в конфигурации ФПСУ-IP.
|
Таблица. Ошибки, связанные с попытками нарушения установленных правил фильтрации
Диагностика
|
Пояснение
|
Причина возникновения
|
Входящий не описан
|
Отправитель пакета не описан в конфигурации
|
Отправитель пакета не описан в конфигурации портов ФПСУ-IP.
|
Получатель не описан
|
Получатель пакета не описан в конфигурации.
|
Не описан абонент-получатель в конфигурации портов ФПСУ-IP.
Для межмаршрутизаторного обмена - нет маршрутизаторов со стороны противоположного порта, использующих данный протокол.
|
Запрет работы
|
Отказ в доступе абоненту-отправителю пакета
|
Выключен флаг «Работа Разрешена» у отправителя или получателя пакета.
Попытка приема или передачи в индивидуальный адрес при включенном флаге «Только Broadcast».
Попытка межмаршрутизаторного обмена по неразрешенному протоколу маршрутизации для маршрутизатора-отправителя пакета.
«Ping» - попытка ФПСУ-IP от прописанного абонента или маршрутизатора при выключенном флаге «Отвечать на Ping».
«Ping» - попытка ФПСУ-IP длинным пакетом.
Не «Ping» - попытка обращения прописанного абонента к удаленному ФПСУ-IP или абонент не является удаленным администратором или ФПСУ-IP.
|
Запрет по доступу
|
Запрет по режиму работы с партнером.
|
Запрет по режиму работы с партнером данного или противоположного порта.
|
Запрет SourceRoute
|
Запрет доступа по опции SourceRoute в IP-пакете.
|
В принятом IP-пакете присутствует одна из опций, требующая записывать маршрут прохождения пакета, а в конфигурации ФПСУ-IP установлен флаг «Пакеты с опцией SourceRoute» - «Не пропускать».
|
Абонент через ФПСУ
|
Абонент должен работать в режиме ретрансляции.
|
Принят пакет из VPN-туннеля от абонента, для которого на данном ФПСУ-IP установлен режим работы «Ретрансляция».
|
Абонент миновал ФПСУ
|
Абонент должен работать через ФПСУ.
|
Принят пакет не из VPN-туннеля от абонента, для которого на данном ФПСУ-IP установлен режим работы «Через ФПСУ».
|
ФПСУ не работает
|
Удаленный ФПСУ-IP не работает.
|
Не включен удаленный ФПСУ-IP или с ним нет связи.
Не работает сетевой адаптер - адаптер необходимо заменить.
Несовместимые режимы работы смежных сетевых адаптеров.
|
Нет ФПСУ- туннеля
|
Отсутствие взаимодействия между ФПСУ-IP.
|
VPN-туннель между двумя ФПСУ-IP не установлен к моменту попытки передачи через него пакетов от абонентов.
Не включен удаленный ФПСУ-IP или с ним нет связи.
Неустойчивая работа сбойного сетевого адаптера - адаптер необходимо заменить.
Несовместимые режимы работы смежных сетевых адаптеров.
|
Ложный ФПСУ
|
Станция-отправитель использует ошибочный протокол установки соединения или поддержания VPN-туннеля
|
Попытка передачи пакетов в IP-адрес местного ФПСУ-IP от рабочей станции, зарегистрированной как удаленный ФПСУ-IP, но не являющейся таковой.
|
Ошибочный ФПСУ-пакет
|
Ошибочный пакет от ФПСУ-IP.
|
На местном или удаленном ФПСУ-IP указаны неверные значения номеров ключевых данных удаленных ФПСУ-IP.
В процессе установки или поддержания VPN-туннеля произошел кратковременный сбой, что обычно очень редко проявляется в момент первичной установки VPN-туннеля.
Попытка навязывания местному ФПСУ-IP VPN-данных или повторения ранее переданных удаленным ФПСУ-IP данных от «вредоносной» станции.
|
Ошибка клиент-пакет
|
Искажены или повреждены находящиеся в полученном от ФПСУ-IP/Клиента пакете данные.
|
Сообщение возникает на экране мониторинга подключенных ФПСУ-IP/Клиентов.
Такие пакеты будут сброшены ФПСУ-IP.
|
Таблица. Ошибки, связанные с ключевыми данными
Служебное сообщение
|
Пояснение
|
Действия администратора
|
The TM does not contain the key
|
Ошибка возникает при попытке запуска ФПСУ-IP с помощью ТМ-идентификатора, на котором находится искаженный ключ запуска.
|
Если искажен ключ запуска Главного администратора - обратитесь к поставщику ФПСУ-IP для замены ТМ-идентификатора Главного администратора.
Если искажен ключ запуска пользователя другого класса - повторно перезапишите ТМ-идентификатор пользователя средствами ФПСУ-IP (Настройка системы - Регистрация ТМ-идентификаторов)
|
Внимание! Повреждены критические компоненты комплекса. ВСЕ установленные ключевые данные и ТМ утрачены. Комплекс переведен в технологический режим. Возможно потребуется переустановка комплекса
|
ПО ФПСУ-IP обнаружило искажение ключа для хранения долговременных ключей.
Требуется вмешательство администратора
|
Требуется выполнить повторный перевод ФПСУ-IP из технологического режима в рабочий режим, заново зарегистрировать все ТМ-идентификаторы пользователей и переустановить ключевые данные ЦВК и удаленных администраторов.
В случае ошибки перевода ФПСУ-IP из технологического режима в рабочий режим, выполнить полную переустановку ПО ФПСУ-IP.
|
Внимание! Поврежден компонент комплекса. Необходима инициализация ДСЧ
|
ПО ФПСУ-IP обнаружило искажение ключа ПДСЧ.
Требуется вмешательство администратора
|
Требуется выполнить повторный перевод ФПСУ-IP из технологического режима в рабочий режим.
|
Внимание! ФПСУ не работоспособен. Искажены данные конфигурации. Ожидание восстановления конфигурации с резервного комплекса или удаленного администратора
|
ПО ФПСУ-IP обнаружило искажение конфигурации ФПСУ-IP
|
Восстановить конфигурацию ФПСУ-IP любым из следующих способов:
•локально с помощью резервной копии конфигурации;
•подключить к ФПСУ-IP комплекс горячего резерва;
•установить на ФПСУ-IP новую конфигурацию средствами удаленного администратора. |
Ошибка инициализации! Служебный описатель искажен
|
Сообщение об ошибке выводится на экран просмотра состояний удаленных администраторов ФПСУ-IP.
ПО ФПСУ-IP обнаружило искажение секретного ключа ФПСУ-IP подсистемы удаленного администрирования или открытых ключей удаленных администраторов.
Удаленное управление ФПСУ-IP с такой ошибкой невозможно.
|
Заново зарегистрировать удаленных администраторов на ФПСУ-IP.
Перерегистрировать ФПСУ-IP на всех удаленных администраторах.
|
Описатель удаленных администраторов испорчен или несовместимая версия!
|
Сообщение об ошибке выводится на экране регистрации удаленных администраторов меню настройки системы ФПСУ-IP.
ПО ФПСУ-IP обнаружило искажение секретного ключа ФПСУ-IP подсистемы удаленного администрирования или открытых ключей удаленных администраторов
Удаленное управление ФПСУ-IP с такой ошибкой невозможно.
|
Заново зарегистрировать удаленных администраторов на ФПСУ-IP.
Перерегистрировать ФПСУ-IP на всех удаленных администраторах.
|
*Имя_файла_с_открытым_ключом_удаленного_администратора*----> Поврежден
|
Сообщение об ошибке выводится на экране регистрации удаленных администраторов меню настройки системы ФПСУ-IP при попытке зарегистрировать нового удаленного администратора.
Причина - искажен или поврежден предъявленный на внешнем USB-носителе открытый ключ удаленного администратора
|
Заново получить от администратора АРМ УА открытый ключ удаленного администратора и повторить процедуру регистрации удаленного администратора на ФПСУ-IP
|
Состояние туннеля с другим ФПСУ-IP "WaitSynRR" с дополнительными сообщениями в журнале статистики "Аварийное состояние ключей/нештатные действия: Ошибка при зачитывании установленных ключей"
|
Хранящиеся на внутреннем накопителе ФПСУ-IP парно-выборочные ключи были искажены.
Требуется вмешательство администратора
|
Заново установить на ФПСУ-IP полученные от администратора ЦВК парно-выборочные ключи.
|
Данные искажены, пропускаю!
|
Сообщение об ошибке выводится на экране установки ключей меню конфигурации ФПСУ-IP.
Возникает при искажении предъявленного на внешнем USB-носителе парно-выборочного ключа
|
Заново получить от администратора ЦВК парно-выборочный ключ взамен искаженного.
|
Испорчены служебные данные горячего резервирования
|
Сообщение об ошибке выводится на экране мониторинга состояния горячего резерва ФПСУ-IP (основной комплекс системы горячего резервирования).
Ошибка возникает при искажении хранящегося на внутреннем накопителе ФПСУ-IP ключа горячего резерва
|
Считать на ТМ-идентификатор ключ горячего резерва с исправного комплекса (меню локального конфигурирования ФПСУ-IP «Настройка системы» - «Параметры горячего резерва»).
Если ключ горячего резерва не считывается с исправного комплекса, создать новый ключ горячего резерва.
Повторно зарегистрировать ключ горячего резерва на сообщившем об ошибке ФПСУ-IP.
|
ФАТАЛЬНАЯ ОШИБКА. Резервный комплекс не может функционировать, так как испорчены служебные данные горячего резервирования. Возможно потребуется переустановка комплекса
|
Сообщение об ошибке выводится при запуске ФПСУ-IP (резервный комплекс системы горячего резервирования).
Ошибка возникает при искажении хранящегося на внутреннем накопителе ФПСУ-IP ключа горячего резерва
|
Считать на ТМ-идентификатор ключ горячего резерва с исправного комплекса (меню локального конфигурирования ФПСУ-IP «Настройка системы» - «Параметры горячего резерва»).
Если ключ горячего резерва не считывается с исправного комплекса, создать новый ключ горячего резерва.
Повторно зарегистрировать ключ горячего резерва на сообщившем об ошибке ФПСУ-IP.
|
Испорчен или не установлен ключ центра
|
Сообщение об ошибке выводится на экране мониторинга действий ФПСУ-IP\Клиентов.
Искажен общесистемный ключ Криптосети Клиентов.
ФПСУ-IP\Клиенты не могут соединиться с ФПСУ-IP
|
Заново установить на ФПСУ-IP общесистемный ключ Криптосети Клиентов вместо искаженного.
|
ТМ испорчена
|
Сообщение об ошибке выводится при попытке зарегистрировать общесистемный ключ Криптосети Клиентов на ФПСУ-IP.
Находящийся на ТМ-идентификаторе общесистемный ключ Криптосети Клиентов искажен или испорчен.
|
Заново получить от администратора ЦГКК общесистемный ключ Криптосети Клиентов и повторить процедуру регистрации общесистемного ключа Криптосети Клиентов на ФПСУ-IP
|
Таблица. Ошибки при соединении ФПСУ-IP
Диагностика
|
Пояснение
|
Причина возникновения
|
Не совпадают RKL роли клиент/ФПСУ-IP
|
Оба участника ФПСУ-IP/Клиент и ФПСУ-IP при соединении должны поддерживать удаленную загрузку ключевых данных
|
На ФПСУ-IP с установленной подсистемой RKL (подсистемой удаленной загрузки ключевых данных) пытается соединиться ФПСУ-IP/Клиент, VPN-Key которого не поддерживает удаленную загрузку ключевых данных, или наоборот, к ФПСУ-IP без подсистемы RKL соединяется ФПСУ-IP/Клиент, VPN-Key которого поддерживает удаленную загрузку ключевых данных
|
|
