opengear ACM7000 Remote Site Gateway Gebruikershandleiding

Moenie die konsolebediener tydens 'n elektriese storm koppel of ontkoppel nie. Gebruik altyd 'n oplewingonderdrukker of UPS om die toerusting teen oorgange te beskerm.

FCC waarskuwing:

Hierdie toestel voldoen aan Deel 15 van die FCC-reëls. Die werking van hierdie toestel is onderhewig aan die volgende voorwaardes: (1) Hierdie toestel mag nie skadelike steuring veroorsaak nie, en (2) hierdie toestel moet enige steuring aanvaar wat ongewenste werking kan veroorsaak.

Gereelde vrae

V: Kan ek die ACM7000 Remote Site Gateway tydens 'n elektriese storm gebruik?
- A: Nee, dit word aangeraai om nie die konsolebediener tydens 'n elektriese storm aan te sluit of te ontkoppel nie om skade te voorkom.

V: Aan watter weergawe van FCC-reëls voldoen die toestel?
- A: Die toestel voldoen aan Deel 15 van die FCC-reëls.

View Fullscreen

Gebruikershandleiding
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastruktuur Bestuurder CM7100 Console Servers
Weergawe 5.0 – 2023-12

Veiligheid
Volg die veiligheidsmaatreëls hieronder wanneer u die konsolebediener installeer en gebruik: · Moenie die metaalbedekkings verwyder nie. Daar is geen operateur diensbare komponente binne nie. As u die deksel oopmaak of verwyder, kan u aan gevaarlike voltage wat brand of elektriese skok kan veroorsaak. Verwys alle diens na Opengear gekwalifiseerde personeel. · Om elektriese skok te vermy, moet die beskermende aardgeleier van die kragkoord aan die grond verbind word. · Trek altyd aan die prop, nie die kabel nie, wanneer jy die kragkabel uit die sok ontkoppel.
Moenie die konsolebediener tydens 'n elektriese storm koppel of ontkoppel nie. Gebruik ook 'n stroomonderdrukker of UPS om die toerusting teen oorgange te beskerm.
FCC-waarskuwingsverklaring
Hierdie toestel voldoen aan Deel 15 van die FCC-reëls. Die werking van hierdie toestel is onderhewig aan die volgende
voorwaardes: (1) Hierdie toestel mag nie skadelike steuring veroorsaak nie, en (2) hierdie toestel moet enige steuring aanvaar wat ongewenste werking kan veroorsaak.
Behoorlike rugsteunstelsels en nodige veiligheidstoestelle moet gebruik word om teen besering, dood of skade aan eiendom as gevolg van stelselfout te beskerm. Sodanige beskerming is die verantwoordelikheid van die gebruiker. Hierdie konsolebedienertoestel is nie goedgekeur vir gebruik as 'n lewensondersteunende of mediese stelsel nie. Enige veranderinge of wysigings wat aan hierdie konsolebedienertoestel gemaak word sonder die uitdruklike goedkeuring of toestemming van Opengear sal Opengear ongeldig maak van enige aanspreeklikheid of verantwoordelikheid vir besering of verlies wat deur enige wanfunksie veroorsaak word. Hierdie toerusting is vir binnenshuise gebruik en al die kommunikasiebedrading is beperk tot die binnekant van die gebou.
2

Gebruikershandleiding
Kopiereg
©Opengear Inc. 2023. Alle regte voorbehou. Inligting in hierdie dokument is onderhewig aan verandering sonder kennisgewing en verteenwoordig nie 'n verbintenis aan die kant van Opengear nie. Opengear verskaf hierdie dokument "soos dit is," sonder enige waarborg van enige aard, uitdruklik of geïmpliseer, insluitend, maar nie beperk nie tot, die geïmpliseerde waarborge van geskiktheid of verhandelbaarheid vir 'n spesifieke doel. Opengear kan enige tyd verbeterings en/of veranderinge in hierdie handleiding of in die produk(te) en/of die program(me) wat in hierdie handleiding beskryf word, aanbring. Hierdie produk kan tegniese onakkuraathede of tipografiese foute insluit. Veranderinge word periodiek aan die inligting hierin aangebring; hierdie veranderinge kan in nuwe uitgawes van die publikasie opgeneem word.\

Hoofstuk 1

Hierdie handleiding

HIERDIE HANDLEIDING

Hierdie gebruikershandleiding verduidelik die installering, bedryf en bestuur van Opengear-konsolebedieners. Hierdie handleiding neem aan dat jy vertroud is met die internet en IP-netwerke, HTTP, FTP, basiese sekuriteitsbedrywighede en jou organisasie se interne netwerk.
1.1 Tipes gebruikers
Die konsolebediener ondersteun twee klasse gebruikers:
· Administrateurs wat onbeperkte konfigurasie- en bestuursregte oor die konsole het
bediener en gekoppelde toestelle sowel as alle dienste en poorte om al die reeksgekoppelde toestelle en netwerkgekoppelde toestelle (gashere) te beheer. Administrateurs is opgestel as lede van die admin-gebruikersgroep. 'n Administrateur kan toegang tot die konsolebediener verkry en beheer deur die konfigurasieprogram, die Linux-opdragreël of die blaaiergebaseerde bestuurskonsole te gebruik.
· Gebruikers wat deur 'n administrateur opgestel is met beperkings van hul toegang en beheer magtiging.
Gebruikers het 'n beperkte view van die Bestuurskonsole en kan slegs toegang verkry tot gemagtigde gekonfigureerde toestelle en review hawe logs. Hierdie gebruikers is opgestel as lede van een of meer van die vooraf gekonfigureerde gebruikersgroepe soos PPTPD, dialin, FTP, pmshell, gebruikers of gebruikersgroepe wat die administrateur moontlik geskep het. Hulle is slegs gemagtig om spesifieke kontroles op spesifieke gekoppelde toestelle uit te voer. Gebruikers, wanneer dit gemagtig is, kan toegang tot reeks- of netwerkgekoppelde toestelle verkry en beheer deur gebruik te maak van gespesifiseerde dienste (bv. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Afgeleë gebruikers is gebruikers wat nie op dieselfde LAN-segment as die konsolebediener is nie. 'n Afgeleë gebruiker kan op pad wees om aan bestuurde toestelle oor die publieke internet te koppel, 'n administrateur in 'n ander kantoor wat aan die konsolebediener koppel oor die onderneming-VPN, of in dieselfde kamer of dieselfde kantoor, maar op 'n aparte VLAN aan die konsole gekoppel. bediener.
1.2 Bestuurskonsole
Die Opengear Management Console laat jou toe om die kenmerke van jou Opengear-konsolebediener op te stel en te monitor. Die bestuurskonsole loop in 'n blaaier en bied 'n view van die konsolebediener en alle gekoppelde toestelle. Administrateurs kan die Bestuurskonsole gebruik om die konsolebediener, gebruikers, poorte, gashere, kragtoestelle en geassosieerde logs en waarskuwings op te stel en te bestuur. Nie-administrateur gebruikers kan die Bestuurskonsole met beperkte kieslystoegang gebruik om uitgesoekte toestelle te beheer, t.o.vview hul logs, en kry toegang tot hulle met behulp van die ingeboude Web terminaal.
Die konsolebediener het 'n ingebedde Linux-bedryfstelsel en kan op die opdragreël gekonfigureer word. U kan opdragreëltoegang kry deur sellulêr / inbel, direk aan die konsolebediener se reekskonsole/modempoort te koppel, of deur SSH of Telnet te gebruik om aan die konsolebediener oor die LAN te koppel (of met PPTP, IPsec of OpenVPN) .
6

Gebruikershandleiding
Vir command line interface (CLI) opdragte en gevorderde instruksies, laai die Opengear CLI en Scripting Reference.pdf af van https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Meer inligting
Vir meer inligting, raadpleeg: · Opengear Products Web Webwerf: Sien https://opengear.com/products. Om die mees onlangse inligting te kry oor wat by jou konsolebediener ingesluit is, besoek die Wat is ingesluit-afdeling vir jou spesifieke produk. · Vinnige begingids: Om die vinnige begingids vir jou toestel te kry, sien https://opengear.com/support/documentation/. · Opengear Knowledge Base: Besoek https://opengear.zendesk.com om toegang tot tegniese artikels, tegniese wenke, algemene vrae en belangrike kennisgewings te kry. · Opengear CLI en Scripting Reference: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Hoofstuk 2:

Stelselkonfigurasie

STELSELKONFIGURASIE

Hierdie hoofstuk verskaf stap-vir-stap instruksies vir die aanvanklike konfigurasie van jou konsole-bediener en om dit aan die Bestuur of Operasionele LAN te koppel. Die stappe is:
Aktiveer die bestuurskonsole. Verander die administrateur wagwoord. Stel die hoof LAN-poort van die IP-adreskonsolebediener. Kies die dienste wat geaktiveer moet word en toegangsregte. Hierdie hoofstuk bespreek ook die kommunikasiesagteware-nutsmiddels wat 'n administrateur kan gebruik om toegang tot die konsolebediener te kry, en die konfigurasie van die bykomende LAN-poorte.
2.1 Bestuurskonsole-verbinding
Jou konsolebediener word gekonfigureer met 'n verstek IP-adres 192.168.0.1 en subnetmasker 255.255.255.0 vir NET1 (WAN). Vir aanvanklike konfigurasie, beveel ons aan dat jy 'n rekenaar direk aan die konsole koppel. As jy kies om jou LAN te koppel voordat jy die aanvanklike opstellingstappe voltooi het, maak seker dat:
· Daar is geen ander toestelle op die LAN met 'n adres van 192.168.0.1 nie. · Die konsolebediener en die rekenaar is op dieselfde LAN-segment, met geen tussengeplaaste roeteerder nie
toestelle.
2.1.1 Gekoppelde rekenaaropstelling Om die konsolebediener met 'n blaaier op te stel, moet die gekoppelde rekenaar 'n IP-adres in dieselfde reeks as die konsolebediener hê (bv.ample, 192.168.0.100):
· Om die IP-adres van jou Linux- of Unix-rekenaar op te stel, hardloop ifconfig. · Vir Windows-rekenaars:
1. Klik Start > Instellings > Kontrolepaneel en dubbelklik Netwerkverbindings. 2. Regskliek op Local Area Connection en kies Properties. 3. Kies Internetprotokol (TCP/IP) en klik op Eienskappe. 4. Kies Gebruik die volgende IP-adres en voer die volgende besonderhede in:
o IP-adres: 192.168.0.100 o Subnetmasker: 255.255.255.0 5. As jy jou bestaande IP-instellings vir hierdie netwerkverbinding wil behou, klik Gevorderd en Voeg bogenoemde by as 'n sekondêre IP-verbinding.
2.1.2 Blaaierverbinding
Maak 'n blaaier op die gekoppelde rekenaar / werkstasie oop en voer https://192.168.0.1 in.
Teken in met:
Gebruikersnaam> wortelwagwoord> verstek
8

Gebruikershandleiding
Die eerste keer dat u aanmeld, moet u die wortelwagwoord verander. Klik Submit.
Om die verandering te voltooi, voer die nuwe wagwoord weer in. Klik Submit. Die Welkom-skerm verskyn.
As jou stelsel 'n sellulêre modem het, sal jy die stappe kry om die sellulêre roeteerderkenmerke op te stel: · Stel die sellulêre modemverbinding op (Stelsel > Skakelbladsy. Sien Hoofstuk 4) · Laat aanstuur na die sellulêre bestemmingsnetwerk toe (Stelsel > Firewall-bladsy. Sien Hoofstuk 4) · Aktiveer IP-maskering vir sellulêre verbinding (Stelsel > Firewall-bladsy. Sien Hoofstuk 4)
Nadat u elk van die bogenoemde stappe voltooi het, kan u terugkeer na die konfigurasielys deur op die Opengear-logo in die linkerbovenhoek van die skerm te klik. LET WEL As jy nie aan die Bestuurskonsole by 192.168.0.1 kan koppel nie of as die verstek
Gebruikersnaam / Wagwoord word nie aanvaar nie, stel jou konsolebediener terug (Sien Hoofstuk 10).
9

Hoofstuk 2: Stelselkonfigurasie
2.2 Administrateur-opstelling
2.2.1 Verander verstek wortelstelselwagwoord Daar word van jou verwag om die wortelwagwoord te verander wanneer jy die eerste keer by die toestel aanmeld. Jy kan hierdie wagwoord enige tyd verander.
1. Klik Reeks en netwerk > Gebruikers en groepe of, op die Welkom-skerm, klik Verander verstek administrasie wagwoord.
2. Blaai af en soek die wortelgebruikerinskrywing onder Gebruikers en klik Wysig. 3. Voer die nuwe wagwoord in die Wagwoord en Bevestig velde in.
LET WEL As jy Stoor wagwoord oor die hele firmware uitvee, word die wagwoord gestoor sodat dit nie uitgevee word wanneer die firmware teruggestel word nie. As hierdie wagwoord verloor word, sal die toestel fermware herstel moet word.
4. Klik Toepas. Meld aan met die nuwe wagwoord 2.2.2 Stel 'n nuwe administrateur op Skep 'n nuwe gebruiker met administratiewe voorregte en meld aan as hierdie gebruiker vir administrasiefunksies, eerder as om root te gebruik.
10

Gebruikershandleiding
1. Klik Reeks en netwerk > Gebruikers en groepe. Blaai na die onderkant van die bladsy en klik op die Voeg gebruiker by-knoppie.
2. Voer 'n Gebruikersnaam in. 3. In die Groepe afdeling, merk die admin blokkie. 4. Voer 'n wagwoord in die Wagwoord- en Bevestig-velde in.
5. Jy kan ook SSH-gemagtigde sleutels byvoeg en kies om wagwoordverifikasie vir hierdie gebruiker te deaktiveer.
6. Bykomende opsies vir hierdie gebruiker kan op hierdie bladsy ingestel word, insluitend inbelopsies, toeganklike gashere, toeganklike poorte en toeganklike RPC-afsetpunte.
7. Klik die Pas toe-knoppie onderaan die skerm om hierdie nuwe gebruiker te skep.
11

Hoofstuk 2: Stelselkonfigurasie
2.2.3 Voeg Stelselnaam, Stelselbeskrywing en MOTD by. 1. Kies Stelsel > Administrasie. 2. Voer 'n Stelselnaam en Stelselbeskrywing vir die konsolebediener in om dit 'n unieke ID te gee en dit makliker te maak om te identifiseer. Stelselnaam kan van 1 tot 64 alfanumeriese karakters bevat en die spesiale karakters onderstreep (_), minus (-) en punt (.). Stelselbeskrywing kan tot 254 karakters bevat.
3. Die MOTD Banner kan gebruik word om 'n boodskap van die dag teks aan gebruikers te vertoon. Dit verskyn links bo op die skerm onder die Opengear-logo.
4. Klik Toepas.
12

Hoofstuk 2: Stelselkonfigurasie
5. Kies Stelsel > Administrasie. 6. Die MOTD Banner kan gebruik word om 'n boodskap van die dag teks aan gebruikers te vertoon. Dit verskyn op die
links bo op die skerm onder die Opengear-logo. 7. Klik Toepas.
2.3 Netwerkkonfigurasie
Voer 'n IP-adres in vir die hoof Ethernet-poort (LAN/Netwerk/Netwerk1) op die konsolebediener of stel sy DHCP-kliënt in staat om outomaties 'n IP-adres van 'n DHCP-bediener te kry. By verstek het die konsolebediener sy DHCP-kliënt geaktiveer en aanvaar outomaties enige netwerk IP-adres wat deur 'n DHCP-bediener op jou netwerk toegeken is. In hierdie aanvanklike toestand sal die konsolebediener op beide sy verstek Statiese adres 192.168.0.1 en sy DHCP-adres reageer.
1. Klik Stelsel > IP en klik op die Netwerkkoppelvlak-oortjie. 2. Kies óf DHCP óf Staties vir die konfigurasiemetode.
As jy Staties kies, voer die IP-adres, Subnetmasker, Gateway en DNS-bedienerbesonderhede in. Hierdie keuse deaktiveer die DHCP-kliënt.
12

Gebruikershandleiding
3. Die konsolebediener LAN-poort bespeur outomaties die Ethernet-verbindingspoed. Gebruik die Media-aftreklys om die Ethernet op 10 Mb/s of 100 Mb/s en na Full Duplex of Half Duplex te sluit.
As jy pakkieverlies of swak netwerkwerkverrigting met die Outo-instelling teëkom, verander die Ethernet Media-instellings op die konsolebediener en die toestel waaraan dit gekoppel is. Verander in die meeste gevalle beide na 100baseTx-FD (100 megabit, vol dupleks).
4. As jy DHCP kies, sal die konsolebediener opsetbesonderhede van 'n DHCP-bediener soek. Hierdie keuse deaktiveer enige statiese adres. Die MAC-adres van die konsolebediener kan op 'n etiket op die basisplaat gevind word.
5. Jy kan 'n sekondêre adres of kommageskeide lys van adresse in CIDR-notasie invoer, bv. 192.168.1.1/24 as 'n IP Alias.
6. Klik Toepas 7. Koppel die blaaier weer op die rekenaar wat aan die konsolebediener gekoppel is deur in te voer
http://your new IP address.
As jy die konsolebediener se IP-adres verander, moet jy jou rekenaar herkonfigureer om 'n IP-adres in dieselfde netwerkreeks as die nuwe konsolebedieneradres te hê. Jy kan die MTU op Ethernet-koppelvlakke stel. Dit is 'n gevorderde opsie wat gebruik kan word as jou ontplooiingscenario nie werk met die verstek MTU van 1500 grepe nie. Om die MTU te stel, klik Stelsel > IP en klik op die Netwerkkoppelvlak-oortjie. Blaai af na die MTU-veld en voer die verlangde waarde in. Geldige waardes is van 1280 tot 1500 vir 100-megabit-koppelvlakke, en 1280 tot 9100 vir gigabit-koppelvlakke. As oorbrugging of binding gekonfigureer is, sal die MTU wat op die Netwerkkoppelvlak-bladsy gestel is op die koppelvlakke wat deel is van die brug of die binding gestel word. . LET WEL In sommige gevalle sal die gebruikergespesifiseerde MTU dalk nie in werking tree nie. Sommige NIC-bestuurders kan oorgroot MTU's afrond tot die maksimum toegelate waarde en ander sal 'n foutkode terugstuur. Jy kan ook 'n CLI-opdrag gebruik om MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 kontroleer
# config -g config.interfaces.wan config.interfaces.wan.adres 192.168.2.24 config.interfaces.wan.ddns.provider geen config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.modus staatlose konfig .interfaces.wan.media Outo config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Hoofstuk 2: Stelselkonfigurasie
2.3.1 IPv6-konfigurasie Die konsolebediener Ethernet-koppelvlakke ondersteun IPv4 by verstek. Hulle kan gekonfigureer word vir IPv6-werking:
1. Klik Stelsel > IP. Klik op die Algemene instellings-oortjie en merk Aktiveer IPv6. As jy wil, klik die Deaktiveer IPv6 vir Cellular-merkblokkie.
2. Konfigureer die IPv6-parameters op elke koppelvlakbladsy. IPv6 kan gekonfigureer word vir óf outomatiese modus, wat SLAAC óf DHCPv6 sal gebruik om adresse, roetes en DNS op te stel, óf statiese modus, wat toelaat dat die adresinligting met die hand ingevoer word.
2.3.2 Dinamiese DNS (DDNS) konfigurasie Met Dynamic DNS (DDNS) kan 'n konsolebediener wie se IP-adres dinamies toegewys is, opgespoor word deur 'n vaste gasheer- of domeinnaam te gebruik. Skep 'n rekening by die ondersteunde DDNS-diensverskaffer van jou keuse. Wanneer jy jou DDNS-rekening opstel, kies jy 'n gebruikersnaam, wagwoord en gasheernaam wat jy as die DNS-naam sal gebruik. DDNS-diensverskaffers laat jou 'n gasheernaam kies URL en stel 'n aanvanklike IP-adres in wat ooreenstem met daardie gasheernaam URL.
14

Gebruikershandleiding
Om DDNS op enige van die Ethernet- of sellulêre netwerkverbindings op die konsolebediener te aktiveer en op te stel. 1. Klik Stelsel > IP en blaai af in die afdeling Dinamiese DNS. Kies jou DDNS-diensverskaffer
vanaf die aftreklys Dinamiese DNS-lys. U kan ook die DDNS-inligting onder die Sellulêre Modem-oortjie onder Stelsel > Skakel instel.
2. In DDNS Gasheernaam, voer die volledig gekwalifiseerde DNS-gasheernaam vir jou konsolebediener in, bv. jougasheernaam.dyndns.org.
3. Voer die DDNS-gebruikersnaam en DDNS-wagwoord vir die DDNS-diensverskafferrekening in. 4. Spesifiseer die maksimum interval tussen opdaterings in dae. 'n DDNS-opdatering sal gestuur word, selfs al is die
adres het nie verander nie. 5. Spesifiseer die Minimum interval tussen kontroles vir veranderde adresse in sekondes. Opdaterings sal
gestuur word as die adres verander het. 6. Spesifiseer die Maksimum pogings per opdatering wat die aantal kere is om 'n opdatering te probeer
voor opgee. Dit is by verstek 3. 7. Klik Toepas.
15

Hoofstuk 2: Stelselkonfigurasie
2.3.3 EAPoL-modus vir WAN, LAN en OOBFO
(OOBFO is slegs van toepassing op die IM7216-2-24E-DAC)
verbyview van EAPoL IEEE 802.1X, of PNAC (Port-based Network Access Control) maak gebruik van die fisiese toegangskenmerke van IEEE 802 LAN-infrastruktuur om 'n manier te verskaf om toestelle te verifieer en te magtig wat aan 'n LAN-poort gekoppel is wat punt-na- puntverbindingskenmerke, en om toegang tot daardie poort te verhoed in gevalle waar die verifikasie en magtiging misluk. 'n Poort in hierdie konteks is 'n enkele aanhegtingspunt aan die LAN-infrastruktuur.
Wanneer 'n nuwe draadlose of bedrade nodus (WN) toegang tot 'n LAN-hulpbron versoek, vra die toegangspunt (AP) vir die WN se identiteit. Geen ander verkeer as EAP word toegelaat voordat die WN geverifieer is nie (die "poort" is gesluit, of "ongeverifieer"). Die draadlose nodus wat stawing versoek, word dikwels Supplicant genoem, die Supplicant is verantwoordelik om te reageer op Authenticator-data wat sy geloofsbriewe sal bepaal. Dieselfde geld vir die toegangspunt; die Authenticator is nie die toegangspunt nie. Die toegangspunt bevat eerder 'n Authenticator. Die Authenticator hoef nie in die toegangspunt te wees nie; dit kan 'n eksterne komponent wees. Die volgende verifikasiemetodes word geïmplementeer:
· EAP-MD5-aanbidder o Die EAP MD5-Challenge-metode gebruik gewone gebruikersnaam/wagwoord
· EAP-PEAP-MD5 of EAP PEAP (Protected EAP) MD5-verifikasiemetode gebruik gebruikersbewyse en CA-sertifikaat
· EAP-TLS of EAP TLS (Transport Layer Security) verifikasie metode vereis CA sertifikaat, kliënt sertifikaat en 'n private sleutel.
Die EAP-protokol, wat vir stawing gebruik word, is oorspronklik vir inbel-PPP gebruik. Die identiteit was die gebruikernaam, en óf PAP- óf CHAP-verifikasie is gebruik om die gebruiker se wagwoord na te gaan. Aangesien die identiteit duidelik (nie geïnkripteer) gestuur word nie, kan 'n kwaadwillige snuffel die gebruiker se identiteit leer. “Identity hiding” word dus gebruik; die regte identiteit word nie gestuur voordat die geënkripteerde TLS-tonnel op is nie.
16

Gebruikershandleiding
Nadat die identiteit gestuur is, begin die stawingsproses. Die protokol wat tussen die Aanbieder en die Authenticator gebruik word, is EAP, (of EAPoL). Die Authenticator her-enkapsuleer die EAP-boodskappe na RADIUS-formaat, en gee dit aan die Authentication Server. Tydens stawing herlei die Authenticator pakkies tussen die Aanbidder en die Authentication Server. Wanneer die stawingsproses voltooi is, stuur die stawingbediener 'n suksesboodskap (of mislukking, as die stawing misluk het). Die Authenticator maak dan die "poort" vir die Aanbidder oop. Verifikasie-instellings kan verkry word vanaf die EAPoL Supplicant Settings-bladsy. Die status van huidige EAPoL word in detail op die Status Statistics-bladsy op die EAPoL-oortjie vertoon:
'n Abstraksie van EAPoL op netwerkrolle word in die "Verbindingsbestuurder"-afdeling op die Dashboard-koppelvlak vertoon.
17

Hoofstuk 2: Stelselkonfigurasie
Hieronder is 'n example van suksesvolle verifikasie:
IEEE 802.1x (EAPOL)-ondersteuning op die skakelaarpoorte van IM7216-2-24E-DAC en ACM7004-5: Om lusse te vermy, moet gebruikers nie meer as een skakelaarpoort aan dieselfde boonstevlakskakelaar koppel nie.
18

Gebruikershandleiding
2.4 Dienstoegang en Brute Force-beskerming
Die administrateur kan toegang verkry tot die konsolebediener en gekoppelde reekspoorte en bestuurde toestelle deur 'n reeks toegangsprotokolle/dienste te gebruik. Vir elke toegang
· Die diens moet eers gekonfigureer en geaktiveer word om op die konsolebediener te loop. · Toegang deur die firewall moet vir elke netwerkverbinding geaktiveer word. Om 'n diens te aktiveer en op te stel: 1. Klik Stelsel > Dienste en klik die Diensinstellings-oortjie.

2. Aktiveer en konfigureer basiese dienste:

HTTP

HTTP-diens is standaard aan die gang en kan nie heeltemal gedeaktiveer word nie. By verstek is HTTP-toegang op alle koppelvlakke gedeaktiveer. Ons beveel aan dat hierdie toegang gedeaktiveer bly as die konsolebediener op afstand oor die internet verkry word.
Alternatiewe HTTP laat jou toe om 'n alternatiewe HTTP-poort op te stel om na te luister. Die HTTP-diens sal aanhou luister op TCP-poort 80 vir CMS en verbindingskommunikasie, maar sal ontoeganklik wees deur die firewall.

HTTPS

HTTPS-diens loop standaard en is geaktiveer op alle netwerkkoppelvlakke. Dit word aanbeveel dat slegs HTTPS-toegang gebruik word as die konsolebediener oor enige publieke netwerk bestuur moet word. Dit verseker dat administrateurs veilige blaaiertoegang tot al die spyskaarte op die konsolebediener het. Dit laat ook toepaslik gekonfigureerde gebruikers veilige blaaiertoegang tot geselekteerde Bestuur-spyskaarte toe.
Die HTTPS-diens kan gedeaktiveer of heraktiveer word deur HTTPS na te gaan Web Bestuur en 'n alternatiewe poort gespesifiseer (verstekpoort is 443).

Telnet

By verstek is die Telnet-diens aan die gang, maar gedeaktiveer op alle netwerkkoppelvlakke.
Telnet kan gebruik word om 'n administrateur toegang te gee tot die stelsel se opdragreëldop. Hierdie diens kan nuttig wees vir plaaslike administrateur en die gebruiker toegang tot geselekteerde reekskonsoles. Ons het aanbeveel dat jy hierdie diens deaktiveer as die konsolebediener op afstand geadministreer word.
Die Aktiveer Telnet-opdragdop-merkblokkie sal die Telnet-diens aktiveer of deaktiveer. 'n Alternatiewe Telnet-poort om na te luister, kan in Alternatiewe Telnet-poort gespesifiseer word (verstekpoort is 23).

Hoofstuk 2: Stelselkonfigurasie

SSH

Hierdie diens bied veilige SSH-toegang tot die konsolebediener en aangehegte toestelle

en by verstek is die SSH-diens aan die gang en geaktiveer op alle koppelvlakke. dit is

aanbeveel dat u SSH kies as die protokol waarheen 'n administrateur koppel

die konsolebediener oor die internet of enige ander publieke netwerk. Dit sal voorsien

geverifieerde kommunikasie tussen die SSH-kliëntprogram op die afstandbeheer

rekenaar en die SSH-bediener in die konsolebediener. Vir meer inligting oor SSH

konfigurasie Sien Hoofstuk 8 – Verifikasie.

Die Aktiveer SSH-opdragdop-merkblokkie sal hierdie diens aktiveer of deaktiveer. 'n Alternatiewe SSH-poort om na te luister, kan in die SSH-opdragdoppoort gespesifiseer word (verstekpoort is 22).

3. Aktiveer en konfigureer ander dienste:

TFTP/FTP As 'n USB-flitskaart of interne flits op 'n konsolebediener bespeur word, sal die nagaan van Aktiveer TFTP (FTP) diens hierdie diens aktiveer en verstek tftp en ftp bediener op die USB flits opstel. Hierdie bedieners word gebruik om konfigurasie te stoor files, handhaaf toegang en transaksie logs ens. Files wat met tftp en ftp oorgedra word, sal gestoor word onder /var/mnt/storage.usb/tftpboot/ (of /var/mnt/storage.nvlog/tftpboot/ op ACM7000-reeks toestelle). Deaktiveer Aktiveer TFTP (FTP) diens sal die TFTP (FTP) diens deaktiveer.

DNS-afloskontrolering Aktiveer DNS-bediener/aflos aktiveer die DNS-aflosfunksie sodat kliënte met die konsolebediener se IP vir hul DNS-bedienerinstelling gekonfigureer kan word, en die konsolebediener sal die DNS-navrae aanstuur na die regte DNS-bediener.

Web Terminaalkontrolering Aktiveer Web Terminal laat toe web blaaiertoegang tot die stelselopdragreëldop via Bestuur > Terminale.

4. Spesifiseer alternatiewe poortnommers vir Raw TCP, direkte Telnet/SSH en ongeverifieerde Telnet/SSH-dienste. Die konsolebediener gebruik spesifieke reekse vir die TCP/IP-poorte vir die verskillende toegang
dienste wat gebruikers kan gebruik om toegang te verkry tot toestelle wat aan reekspoorte gekoppel is (soos gedek in Hoofstuk 3 Stel reekspoorte op). Die administrateur kan alternatiewe reekse vir hierdie dienste stel en hierdie sekondêre poorte sal bykomend tot die verstekke gebruik word.

Die verstek TCP/IP-basispoortadres vir Telnet-toegang is 2000, en die reeks vir Telnet is IP-adres: Poort (2000 + seriële poort #) dws 2001 2048. As 'n administrateur 8000 as 'n sekondêre basis vir Telnet sou stel, reeks poort #2 op die konsole-bediener kan Telnet verkry word by IP
Adres: 2002 en by IP-adres: 8002. Die verstekbasis vir SSH is 3000; vir Rou TCP is 4000; en vir RFC2217 is dit 5000

5. Ander dienste kan vanaf hierdie kieslys geaktiveer en gekonfigureer word deur Klik hier te kies om te konfigureer:

Nagios Toegang tot die Nagios NRPE-moniteringsdemone

MOER

Toegang tot die NUT UPS monitering daemon

SNMP Aktiveer snmp in die konsolebediener. SNMP is by verstek gedeaktiveer

NTP

6. Klik Toepas. 'n Bevestigingsboodskap verskyn: Boodskap Veranderinge aan konfigurasie geslaag

Die Dienstetoegang-instellings kan gestel word om toegang toe te laat of te blokkeer. Dit spesifiseer watter geaktiveerde dienste administrateurs oor elke netwerkkoppelvlak kan gebruik om aan die konsolebediener te koppel en deur die konsolebediener na aangehegte reeks- en netwerkgekoppelde toestelle.

Gebruikershandleiding
1. Kies die Dienstoegang-oortjie op die Stelsel > Dienste-bladsy.
2. Dit vertoon die geaktiveerde dienste vir die konsolebediener se netwerkkoppelvlakke. Afhangende van die spesifieke konsolebedienermodel kan die koppelvlakke wat vertoon word die volgende insluit: · Netwerkkoppelvlak (vir die hoof Ethernet-verbinding) · Bestuur LAN / OOB Failover (tweede Ethernet-verbindings) · Inbel/Sellulêr (V90 en 3G-modem) · Inbel (intern of eksterne V90-modem) · Skynprivaatnetwerk (IPsec of oop VPN-verbinding oor enige netwerkkoppelvlak)
3. Merk/ontmerk vir elke netwerk watter dienstoegang geaktiveer/gedeaktiveer moet word. Die Reageer op ICMP eggo (dws ping) dienstoegangsopsies wat by hierdie s gekonfigureer kan wordtage. Dit laat die konsolebediener toe om te reageer op inkomende ICMP eggo versoeke. Ping is by verstek geaktiveer. Vir verhoogde sekuriteit, moet jy hierdie diens deaktiveer wanneer jy die aanvanklike konfigurasie voltooi. Jy kan toelaat dat seriële poort toestelle verkry word vanaf genomineerde netwerk koppelvlakke met behulp van Raw TCP, direkte Telnet/SSH, ongeverifieerde Telnet/SSH dienste, ens.
4. Klik Toepas Web Bestuursinstellings Die Aktiveer HSTS-merkblokkie aktiveer streng HTTP-streng vervoersekuriteit. HSTS-modus beteken dat 'n StrictTransport-Security-kopskrif oor HTTPS-vervoer gestuur moet word. 'n Inskiklike web blaaier onthou hierdie kopskrif, en wanneer gevra word om dieselfde gasheer oor HTTP (gewone) te kontak, sal dit outomaties oorskakel na
19

Hoofstuk 2: Stelselkonfigurasie
HTTPS voordat u HTTP probeer, solank die blaaier een keer toegang tot die veilige webwerf verkry het en die STS-opskrif gesien het.
Brute Force Protection Brute Force-beskerming (Micro Fail2ban) blokkeer tydelik bron-IP's wat kwaadwillige tekens toon, soos te veel wagwoordmislukkings. Dit kan help wanneer die toestel se netwerkdienste aan 'n onbetroubare netwerk soos die publieke WAN blootgestel word en skrifaanvalle of sagtewarewurms probeer om (brute force) gebruikersbewyse te raai en ongemagtigde toegang te verkry.

Brute Force Protection kan vir die gelyste dienste geaktiveer word. By verstek, sodra beskerming geaktiveer is, veroorsaak 3 of meer mislukte verbindingspogings binne 60 sekondes vanaf 'n spesifieke bron-IP dat dit vir 'n konfigureerbare tydperk verbied word om te koppel. Pogingslimiet en verbod-uitteltyd kan aangepas word. Aktiewe verbod is ook gelys en kan verfris word deur die bladsy te herlaai.

LET WEL

Wanneer jy op 'n onbetroubare netwerk werk, oorweeg dit om 'n verskeidenheid strategieë te gebruik wat gebruik word om afstandtoegang te sluit. Dit sluit SSH publieke sleutel verifikasie, Skynprivaatnetwerk en Firewall Reëls in
toelaatlys afgeleë toegang slegs vanaf betroubare bronnetwerke. Sien die Opengear Knowledge Base vir besonderhede.

2.5 Kommunikasie sagteware
Jy het toegangsprotokolle gekonfigureer vir die administrateurkliënt om te gebruik wanneer hy aan die konsolebediener koppel. Gebruikerskliënte gebruik ook hierdie protokolle wanneer hulle toegang tot konsolebedienerreeksaangehegte toestelle en netwerkaangehegte gashere kry. Jy benodig kommunikasie sagteware gereedskap wat op die administrateur en gebruiker kliënt se rekenaar opgestel is. Om aan te sluit, kan jy gereedskap soos PuTTY en SSHTerm gebruik.

Gebruikershandleiding
Kommersieel beskikbare verbindings koppel die betroubare SSH tonnelprotokol met gewilde toegangsinstrumente soos Telnet, SSH, HTTP, HTTPS, VNC, RDP om punt-en-klik veilige afstandbestuurtoegang te bied aan al die stelsels en toestelle wat bestuur word. Inligting oor die gebruik van verbindings vir blaaiertoegang tot die konsolebediener se bestuurskonsole, Telnet/SSH-toegang tot die konsolebedieneropdragreël en TCP/UDP-verbinding met gashere wat aan die konsolebediener gekoppel is, kan in Hoofstuk 5 gevind word. geïnstalleer op Windows-rekenaars, Mac OS X en op die meeste Linux-, UNIX- en Solaris-stelsels.
2.6 Bestuursnetwerkkonfigurasie
Konsolebedieners het bykomende netwerkpoorte wat gekonfigureer kan word om bestuurs-LAN-toegang en/of failover- of buitebandtoegang te verskaf. 2.6.1 Aktiveer die Bestuur LAN Konsole bedieners kan gekonfigureer word sodat die tweede Ethernet poort 'n bestuur LAN poort voorsien. Die poort het firewall-, router- en DHCP-bedienerkenmerke. Jy moet 'n eksterne LAN-skakelaar aan Netwerk 2 koppel om gashere aan hierdie bestuurs-LAN te koppel:
LET WEL Die tweede Ethernet-poort kan gekonfigureer word as óf 'n Bestuur LAN-poortpoort óf as 'n OOB/Failover-poort. Maak seker dat jy nie NET2 as die Failover Interface toegewys het toe jy die hoofnetwerkverbinding op die Stelsel > IP-kieslys gekonfigureer het nie.
21

Hoofstuk 2: Stelselkonfigurasie
Om die Bestuur LAN-poort op te stel: 1. Kies die Bestuur LAN-koppelvlak-oortjie op die Stelsel > IP-kieslys en ontmerk Deaktiveer. 2. Konfigureer die IP-adres en subnetmasker vir die bestuurs-LAN. Laat die DNS-velde leeg. 3. Klik Toepas.
Die bestuurspoortfunksie is geaktiveer met verstekbrandmuur- en roeteerderreëls wat opgestel is sodat die bestuurs-LAN slegs toeganklik is deur SSH-poortaanstuur. Dit verseker dat die afgeleë en plaaslike verbindings na Bestuurde toestelle op die Bestuurs-LAN veilig is. Die LAN-poorte kan ook in oorbrugde of gebonde modus gekonfigureer word of met die hand gekonfigureer word vanaf die opdragreël. 2.6.2 Konfigureer die DHCP-bediener Die DHCP-bediener maak die outomatiese verspreiding van IP-adresse moontlik na toestelle op die Bestuur-LAN wat DHCP-kliënte gebruik. Om die DHCP-bediener te aktiveer:
1. Klik Stelsel > DHCP-bediener. 2. Op die Netwerkkoppelvlak-oortjie, Merk Aktiveer DHCP-bediener.
22

Gebruikershandleiding
3. Voer die Gateway-adres in wat aan die DHCP-kliënte uitgereik moet word. As hierdie veld leeg gelaat word, word die konsolebediener se IP-adres gebruik.
4. Voer die primêre DNS- en sekondêre DNS-adres in om die DHCP-kliënte uit te reik. As hierdie veld leeg gelaat word, word die konsolebediener se IP-adres gebruik.
5. Voer opsioneel 'n domeinnaam-agtervoegsel in om DHCP-kliënte uit te reik. 6. Voer die verstekhuurtyd en maksimum huurtyd in sekondes in. Dit is die hoeveelheid tyd
dat 'n dinamies toegekende IP-adres geldig is voordat die kliënt dit weer moet versoek. 7. Klik Toepassing Die DHCP-bediener reik IP-adresse uit van gespesifiseerde adrespoele: 1. Klik Voeg by in die Dynamic Address Allocation Pools-veld. 2. Voer die DHCP-poelbeginadres en -eindadres in. 3. Klik Toepas.
23

Hoofstuk 2: Stelselkonfigurasie
Die DHCP-bediener ondersteun ook die vooraftoewysing van IP-adresse wat aan spesifieke MAC-adresse toegewys moet word en die voorbehoud van IP-adresse om deur gekoppelde gashere met vaste IP-adresse gebruik te word. Om 'n IP-adres vir 'n spesifieke gasheer te bespreek:
1. Klik Voeg by in die Gereserveerde Adresse-veld. 2. Voer die gasheernaam, die hardeware-adres (MAC) en die staties gereserveerde IP-adres in vir
die DHCP-kliënt en klik op Toepas.
Wanneer DHCP gashere-adresse toegewys het, word dit aanbeveel om dit na die vooraf-toegewysde lys te kopieer sodat dieselfde IP-adres hertoegewys word in die geval van 'n herlaai.
24

Gebruikershandleiding
2.6.3 Kies Failover of breëband OOB Console-bedieners bied 'n failover-opsie, dus in die geval van 'n probleem met die gebruik van die hoof-LAN-verbinding vir toegang tot die konsolebediener word 'n alternatiewe toegangspad gebruik. Om failover te aktiveer:
1. Kies die Netwerkkoppelvlak-bladsy op die Stelsel > IP-kieslys 2. Kies die Failover Interface wat gebruik moet word in die geval van 'n outage op die hoofnetwerk.
3. Klik Toepas. Failover word aktief nadat jy die eksterne werwe gespesifiseer het wat ondersoek moet word om failover te aktiveer en die failover-poorte op te stel.
2.6.4 Samevoeging van die netwerkpoorte By verstek kan toegang tot die konsolebediener se Bestuur LAN-netwerkpoorte verkry word deur gebruik te maak van SSH tonnel/poortaanstuur of deur 'n IPsec VPN-tonnel na die konsolebediener te vestig. Al die bedrade netwerkpoorte op die konsolebedieners kan saamgevoeg word deur oorbrug of gebind te word.
25

Gebruikershandleiding
· By verstek is Interface Aggregation gedeaktiveer op die Stelsel > IP > Algemene instellings kieslys · Kies Brug Interfaces of Bond Interfaces
o Wanneer oorbrugging geaktiveer is, word netwerkverkeer oor alle Ethernet-poorte aangestuur sonder brandmuurbeperkings. Al die Ethernet-poorte is almal deursigtig gekoppel aan die dataskakellaag (laag 2) sodat hulle hul unieke MAC-adresse behou
o Met binding word die netwerkverkeer tussen die poorte gedra, maar teenwoordig met een MAC-adres
Albei modusse verwyder al die Bestuur LAN-koppelvlak en Buite-band/failover-koppelvlakfunksies en deaktiveer die DHCP-bediener · In samevoegingsmodus word alle Ethernet-poorte gesamentlik gekonfigureer deur die netwerkkoppelvlakkieslys te gebruik
25

Hoofstuk 2: Stelselkonfigurasie
2.6.5 Statiese roetes Statiese roetes bied 'n baie vinnige manier om data van een subnet na 'n ander subnet te stuur. Jy kan 'n pad hardkodeer wat die konsolebediener/roeteerder vertel om na 'n sekere subnet te kom deur 'n sekere pad te gebruik. Dit kan nuttig wees vir toegang tot verskeie subnette by 'n afgeleë werf wanneer die sellulêre OOB-verbinding gebruik word.

Om by die statiese roete by die roetetabel van die stelsel te voeg:
1. Kies die Roete-instellings-oortjie op die Stelsel > IP Algemene instellings-kieslys.
2. Klik Nuwe roete
3. Voer 'n Roetenaam vir die roete in.
4. In die Bestemmingsnetwerk/gasheer-veld, voer die IP-adres van die bestemmingsnetwerk/gasheer in waartoe die roete toegang bied.
5. Voer 'n waarde in die Bestemming-netmasker-veld in wat die bestemmingsnetwerk of -gasheer identifiseer. Enige getal tussen 0 en 32. 'n Subnetmasker van 32 identifiseer 'n gasheerroete.
6. Voer Route Gateway in met die IP-adres van 'n router wat pakkies na die bestemmingsnetwerk sal stuur. Dit kan leeg gelaat word.
7. Kies die koppelvlak om te gebruik om die bestemming te bereik, kan as Geen gelaat word nie.
8. Voer 'n waarde in die Metrieke veld in wat die metriek van hierdie verbinding verteenwoordig. Gebruik enige getal gelyk aan of groter as 0. Dit moet slegs gestel word as twee of meer roetes bots of oorvleuelende teikens het.
9. Klik Toepas.

LET WEL

Die roetebesonderhedebladsy verskaf 'n lys van netwerkkoppelvlakke en modems waaraan 'n roete gebind kan word. In die geval van 'n modem, sal die roete geheg word aan enige inbelsessie wat via daardie toestel geskep is. 'n Roete kan gespesifiseer word met 'n poort, 'n koppelvlak of albei. As die gespesifiseerde koppelvlak nie aktief is nie, sal roetes wat vir daardie koppelvlak gekonfigureer is nie aktief wees nie.

Gebruikershandleiding 3. REEKSPOORT, HOST, TOESTEL & GEBRUIKER KONFIGURASIE
Die konsolebediener maak toegang en beheer van reeksgehegte toestelle en netwerkgehegte toestelle (gashere) moontlik. Die administrateur moet toegangsregte vir elk van hierdie toestelle opstel en die dienste spesifiseer wat gebruik kan word om die toestelle te beheer. Die administrateur kan ook nuwe gebruikers opstel en elke gebruiker se individuele toegang en beheervoorregte spesifiseer.
Hierdie hoofstuk dek elkeen van die stappe in die konfigurasie van netwerkgekoppelde en serieel gekoppelde toestelle: · Seriepoorte opstel van protokolle wat seriegekoppelde toestelle gebruik word · Gebruikers & Groepe wat gebruikers opstel en die toegangstoestemmings vir elkeen van hierdie gebruikers definieer · Stawing dit word in meer gedek besonderhede in Hoofstuk 8 · Netwerkgashere wat toegang konfigureer tot plaaslike netwerkgekoppelde rekenaars of toestelle (gashere) · Konfigurering van Trusted Networks – nomineer IP-adresse waartoe vertroude gebruikers toegang verkry vanaf · Cascadering en Herleiding van Serial Console Ports · Koppel aan krag (UPS, PDU, en IPMI) en omgewingsmonitering (EMD) toestelle · Serial Port Redirection met behulp van die PortShare-vensters en Linux-kliënte · Managed Devices – bied 'n gekonsolideerde view van al die verbindings · IPSec wat VPN-verbinding moontlik maak · OpenVPN · PPTP
3.1 Stel reekspoorte op
Die eerste stap in die konfigurasie van 'n seriële poort is om die algemene instellings te stel soos die protokolle en die RS232 parameters wat gebruik moet word vir die dataverbinding na daardie poort (bv. Baudrate). Kies in watter modus die poort moet werk. Elke poort kan gestel word om een van hierdie bedryfsmodusse te ondersteun:
· Gedeaktiveerde modus is die verstek, die reekspoort is onaktief
27

Hoofstuk 3:

Seriepoort, gasheer, toestel en gebruikerskonfigurasie

· Konsolebedienermodus maak algemene toegang tot seriële konsolepoort op die reeksgekoppelde toestelle moontlik
· Toestelmodus stel die seriële poort op om te kommunikeer met 'n intelligente reeksbeheerde PDU, UPS of Environmental Monitor Devices (EMD)
· Terminal Server-modus stel die seriële poort om op 'n inkomende terminale aanmeldsessie te wag · Serial Bridge-modus maak die deursigtige onderlinge verbinding van twee seriële poorttoestelle oor 'n
netwerk.
1. Kies Serial & Network > Serial Port om seriële poortbesonderhede te vertoon. 2. By verstek is elke seriële poort in Console Server-modus gestel. Klik Wysig langs die poort wat jy wil wees
herkonfigureer. Of klik Edit Multiple Ports en kies watter poorte jy as 'n groep wil opstel. 3. Wanneer jy die algemene instellings en die modus vir elke poort herkonfigureer het, stel enige afstandstelsellog op (sien die volgende afdelings vir spesifieke inligting). Klik Toepas 4. As die konsolebediener gekonfigureer is met verspreide Nagios-monitering geaktiveer, gebruik Nagios-instellingsopsies om genomineerde dienste op die Gasheer te aktiveer om gemonitor te word. 3.1.1 Algemene instellings Daar is 'n aantal algemene instellings wat vir elke reeks gestel kan word hawe. Dit is onafhanklik van die modus waarin die poort gebruik word. Hierdie reekspoortparameters moet gestel word sodat dit ooreenstem met die reekspoortparameters op die toestel wat jy aan daardie poort koppel:
28

Gebruikershandleiding

· Tik 'n etiket vir die poort in · Kies die toepaslike Baud Rate, Parity, Data Bits, Stop Bits en Flow Control vir elke poort

· Stel die Port Pinout. Hierdie kieslys-item verskyn vir IM7200-poorte waar pen-out vir elke RJ45-reekspoort ingestel kan word as óf X2 (Cisco Straight) óf X1 (Cisco Rolled)

· Stel die DTR-modus in. Dit laat jou toe om te kies of DTR altyd beweer word of slegs beweer word wanneer daar 'n aktiewe gebruikersessie is

· Voordat u met verdere reekspoortkonfigurasie voortgaan, moet u die poorte koppel aan die reekstoestelle wat hulle sal beheer en seker maak dat hulle ooreenstemmende instellings het

3.1.2

Konsole-bedienermodus
Kies Konsolebedienermodus om afstandbestuurtoegang tot die reekskonsole wat aan hierdie reekspoort gekoppel is, moontlik te maak:

Meldvlak Dit spesifiseer die vlak van inligting wat aangeteken en gemonitor moet word.
29

Hoofstuk 3: Reekspoort, Gasheer, Toestel en Gebruikerskonfigurasie
Vlak 0: Deaktiveer aantekening (verstek)
Vlak 1: Teken LOGIN-, LOGOUT- en SIGNAL-gebeurtenisse aan
Vlak 2: Log IN, LOGOUT, SIGNAL, TXDATA en RXDATA gebeurtenisse aan
Vlak 3: Teken LOGIN-, LOGOUT-, SIGNAL- en RXDATA-gebeurtenisse aan
Vlak 4: Teken LOGIN-, LOGOUT-, SIGNAL- en TXDATA-gebeurtenisse aan
Invoer/RXDATA is data wat deur die Opengear-toestel vanaf die gekoppelde reekstoestel ontvang word, en uitset/TXDATA is data wat deur die Opengear-toestel gestuur word (bv. getik deur die gebruiker) na die gekoppelde reekstoestel.
Toestelkonsoles eggo tipies terug karakters soos hulle getik word, sodat TXDATA wat deur 'n gebruiker getik is, dan ontvang word as RXDATA, wat op hul terminale vertoon word.
LET WEL: Nadat 'n wagwoord gevra is, stuur die gekoppelde toestel * karakters om te verhoed dat die wagwoord vertoon word.

Telnet Wanneer die Telnet-diens op die konsolebediener geaktiveer is, kan 'n Telnet-kliënt op 'n gebruiker se rekenaar koppel aan 'n reekstoestel wat aan hierdie reekspoort op die konsolebediener gekoppel is. Omdat Telnet-kommunikasie ongeënkripteer is, word hierdie protokol slegs aanbeveel vir plaaslike of VPN-tonnelverbindings.
As die afstandkommunikasie met 'n aansluiting getonneel word, kan Telnet gebruik word vir veilige toegang tot hierdie aangehegte toestelle.

LET WEL

In konsolebedienermodus kan gebruikers 'n koppelaar gebruik om veilige Telnet-verbindings op te stel wat SSH vanaf hul kliëntrekenaars na die seriële poort op die konsolebediener getunnel word. Verbindings kan op Windows-rekenaars en die meeste Linux-platforms geïnstalleer word en dit stel veilige Telnet-verbindings in staat om met wys-en-klik gekies te word.

Om 'n koppelaar te gebruik om toegang tot konsoles op die konsolebediener-reekspoorte te kry, stel die verbinding met die konsolebediener as 'n poort en as 'n gasheer op en aktiveer Telnet-diens op Poort (2000 + reekspoort #), dws 2001.

U kan ook standaard kommunikasiepakkette soos PuTTY gebruik om 'n direkte Telnet- of SSH-verbinding na die seriële poorte te stel.

LET WEL In konsolebedienermodus, wanneer jy aan 'n seriële poort koppel, koppel jy via pmshell. Om 'n BREAK op die reekspoort te genereer, tik die karaktervolgorde ~b. As jy dit oor OpenSSH doen, tik ~~b.

SSH

Dit word aanbeveel dat u SSH as die protokol gebruik wanneer gebruikers aan die konsolebediener koppel

(of koppel deur die konsolebediener aan die aangehegte seriële konsoles) oor die internet of enige ander

ander openbare netwerk.

Vir SSH-toegang tot die konsoles op toestelle wat aan die seriële poorte van die konsolebediener gekoppel is, kan u 'n koppelaar gebruik. Konfigureer die verbinding met die konsolebediener as 'n poort, en as 'n gasheer, en aktiveer SSH-diens op Poort (3000 + reekspoort #), dws 3001-3048.

Jy kan ook algemene kommunikasiepakkette gebruik, soos PuTTY of SSHTerm om SSH te koppel aan poortadres IP-adres _ Poort (3000 + reekspoort #) dws 3001

SSH-verbindings kan gekonfigureer word deur die standaard SSH-poort 22 te gebruik. Die seriële poort wat toegang verkry word, word geïdentifiseer deur 'n beskrywing by die gebruikersnaam te voeg. Hierdie sintaksis ondersteun:

Gebruikershandleiding
: : Vir 'n gebruiker met die naam chris om toegang tot seriële poort 2 te kry, wanneer die SSHTerm of die PuTTY SSH-kliënt opgestel word, in plaas daarvan om gebruikersnaam = chris en ssh poort = 3002 te tik, is die alternatief om gebruikernaam = chris:port02 (of gebruikersnaam = chris: ttyS1) en ssh port = 22. Of deur gebruikernaam=chris:serial en ssh port = 22 in te tik, word die gebruiker met 'n poortkeuse-opsie aangebied:

Hierdie sintaksis stel gebruikers in staat om SSH-tonnels op te stel na alle seriële poorte met 'n enkele IP-poort 22 wat in hul firewall/gateway oopgemaak moet word
LET WEL In konsolebedienermodus koppel jy aan 'n seriële poort via pmshell. Om 'n BREAK op die reekspoort te genereer, tik die karaktervolgorde ~b. As jy dit oor OpenSSH doen, tik ~~b.

TCP

RAW TCP laat verbindings na 'n TCP-sok toe. Terwyl kommunikasieprogramme soos PuTTY

ondersteun ook RAW TCP, hierdie protokol word gewoonlik deur 'n pasgemaakte toepassing gebruik

Vir RAW TCP is die verstekpoortadres IP-adres _ Poort (4000 + reekspoort #) dws 4001 4048

RAW TCP stel ook die reekspoort in staat om na 'n afgeleë konsolebediener te tonnel, sodat twee reekspoorttoestelle deursigtig oor 'n netwerk kan verbind (sien Hoofstuk 3.1.6 Serial Bridging)

RFC2217 Deur RFC2217 te kies, aktiveer die herleiding van die reekspoort op daardie poort. Vir RFC2217 is die verstekpoortadres IP-adres _ Poort (5000 + reekspoort #) dws 5001 5048
Spesiale kliëntsagteware is beskikbaar vir Windows UNIX en Linux wat RFC2217 virtuele com-poorte ondersteun, sodat 'n afgeleë gasheer afgeleë reeksaangehegte toestelle kan monitor en bestuur asof hulle aan die plaaslike reekspoort gekoppel is (sien Hoofstuk 3.6 Serial Port Redirection vir besonderhede)
RFC2217 stel ook die seriële poort in staat om na 'n afgeleë konsole-bediener te tonnel, sodat twee reekspoorttoestelle deursigtig oor 'n netwerk kan koppel (sien Hoofstuk 3.1.6 Serial Bridging)

Ongewaarmerkte Telnet Dit laat Telnet toegang tot die reekspoort toe sonder stawingbewyse. Wanneer 'n gebruiker toegang tot die konsolebediener na Telnet na 'n seriële poort verkry, kry hulle 'n aanmeldprompt. Met ongeverifieerde Telnet koppel hulle direk aan die poort sonder enige konsolebediener-aanmeldingsuitdaging. As 'n Telnet-kliënt wel vir stawing vra, laat enige ingevoerde data verbinding toe.

Hoofstuk 3: Reekspoort, Gasheer, Toestel en Gebruikerskonfigurasie
Hierdie modus word gebruik met 'n eksterne stelsel (soos bewaarder) wat gebruikerstawing en toegangsregte op die reekstoestelvlak bestuur.
Om aan te meld by 'n toestel wat aan die konsolebediener gekoppel is, kan stawing vereis.
Vir ongeverifieerde telnet is die verstekpoortadres IP-adres _ Poort (6000 + reekspoort #) dws 6001 6048

Ongeverifieerde SSH Dit laat SSH toegang tot die reekspoort toe sonder stawingbewyse. Wanneer 'n gebruiker toegang tot die konsolebediener na Telnet na 'n seriële poort verkry, kry hulle 'n aanmeldprompt. Met ongeverifieerde SSH koppel hulle direk aan die poort sonder enige konsole-bediener-aanmeldingsuitdaging.
Hierdie modus word gebruik wanneer jy 'n ander stelsel het wat gebruikerstawing en toegangsregte op die reekstoestelvlak bestuur, maar die sessie oor die netwerk wil enkripteer.
Om aan te meld by 'n toestel wat aan die konsolebediener gekoppel is, kan stawing vereis.
Vir ongeverifieerde telnet is die verstekpoortadres IP-adres _ Poort (7000 + reekspoort #) dws 7001 7048
Die : metode van poorttoegang (soos beskryf in die bogenoemde SSH-afdeling) vereis altyd verifikasie.

Web Terminal Dit aktiveer web blaaiertoegang tot die seriële poort via Bestuur > Toestelle: Serieel met behulp van die bestuurskonsole se ingeboude AJAX-terminaal. Web Terminal koppel as die tans geverifieerde Bestuurskonsole-gebruiker en herverifieer nie. Sien afdeling 12.3 vir meer besonderhede.

IP Alias

Aktiveer toegang tot die reekspoort met 'n spesifieke IP-adres, gespesifiseer in CIDR-formaat. Elke seriële poort kan een of meer IP-aliasse toegeken word, gekonfigureer op 'n per-netwerk-koppelvlak basis. 'n Seriepoort kan, bvample, toeganklik gemaak word by beide 192.168.0.148 (as deel van die interne netwerk) en 10.10.10.148 (as deel van die Bestuur LAN). Dit is ook moontlik om 'n seriële poort beskikbaar te stel op twee IP-adresse op dieselfde netwerk (bvample, 192.168.0.148 en 192.168.0.248).

Hierdie IP-adresse kan slegs gebruik word om toegang tot die spesifieke reekspoort te verkry, toeganklik deur die standaardprotokol TCP-poortnommers van die konsolebedienerdienste te gebruik. Byvoorbeeldample, SSH op seriële poort 3 sal toeganklik wees op poort 22 van 'n seriële poort IP-alias (terwyl dit op die konsolebediener se primêre adres beskikbaar is op poort 2003).

Hierdie funksie kan ook gekonfigureer word via die veelvuldige poort wysiging bladsy. In hierdie geval word die IP-adresse opeenvolgend toegepas, met die eerste geselekteerde poort wat die IP ingevoer word en daaropvolgendes wat verhoog word, met nommers wat oorgeslaan word vir enige ongeselekteerde poorte. Byvoorbeeldample, as poorte 2, 3 en 5 gekies word en die IP-alias 10.0.0.1/24 word vir die netwerkkoppelvlak ingevoer, word die volgende adresse toegeken:

Poort 2: 10.0.0.1/24

Poort 3: 10.0.0.2/24

Poort 5: 10.0.0.4/24

IP-aliasse ondersteun ook IPv6-aliasadresse. Die enigste verskil is dat adresse heksadesimale getalle is, dus kan poort 10 ooreenstem met 'n adres wat op A eindig, en 11 met een wat op B eindig, eerder as 10 of 11 volgens IPv4.

Gebruikershandleiding
Enkripteer verkeer / Verifieer Aktiveer onbenullige enkripsie en verifikasie van RFC2217-reekskommunikasie deur Portshare te gebruik (vir sterk enkripsie gebruik VPN).
Opeenhopingstydperk Sodra 'n verbinding vir 'n spesifieke reekspoort tot stand gebring is (soos 'n RFC2217-herleiding of Telnet-verbinding na 'n afgeleë rekenaar), word enige inkomende karakters op daardie poort op 'n karakter-vir-karakter basis oor die netwerk aangestuur. Die akkumulasieperiode spesifiseer 'n tydperk wat inkomende karakters versamel word voordat dit as 'n pakkie oor die netwerk gestuur word
Ontsnap-karakter Verander die karakter wat gebruik word om ontsnap-karakters te stuur. Die verstek is ~. Vervang Backspace Vervang die verstek-terugspasiewaarde van CTRL+? (127) met CTRL+h (8). Kragkieslys Die opdrag om die kragkieslys op te roep is ~p en aktiveer die dopkragopdrag so a
gebruiker kan die kragverbinding na 'n bestuurde toestel vanaf die opdragreël beheer wanneer hulle Telnet of SSH aan die toestel gekoppel is. Die bestuurde toestel moet opgestel word met beide sy reekspoortverbinding en kragverbinding gekonfigureer.
Enkele verbinding Dit beperk die poort tot 'n enkele verbinding, so as veelvuldige gebruikers toegangsregte vir 'n spesifieke poort het, kan slegs een gebruiker op 'n slag toegang tot daardie poort kry (dws poortsnuffel word nie toegelaat nie).
33

Hoofstuk 3: Reekspoort, Gasheer, Toestel en Gebruikerskonfigurasie
3.1.3 Toestel (RPC, UPS, Omgewing)-modus Hierdie modus konfigureer die geselekteerde reekspoort om te kommunikeer met 'n reeksbeheerde ononderbroke kragtoevoer (UPS), afstandkragbeheerder / kragverspreidingseenhede (RPC) of omgewingsmoniteringtoestel (omgewingsmonitering)

1. Kies die gewenste toesteltipe (UPS, RPC of omgewing)
2. Gaan voort na die toepaslike toestelkonfigurasiebladsy (Serie en Netwerk > UPS-verbindings, RPC-verbinding of Omgewing) soos uiteengesit in Hoofstuk 7.

3.1.4 ·

Terminale bedienermodus
Kies Terminal Server Mode en die Terminal Type (vt220, vt102, vt100, Linux of ANSI) om 'n getty op die geselekteerde reekspoort te aktiveer

Die getty konfigureer die poort en wag vir 'n verbinding om gemaak te word. 'n Aktiewe verbinding op 'n seriële toestel word aangedui deur die verhoogde Data Carrier Detect (DCD) pen op die seriële toestel. Wanneer 'n verbinding bespeur word, gee die Getty-program 'n login: prompt uit en roep die aanmeldprogram aan om die stelselaanmelding te hanteer.
NOTA As u Terminal Server-modus kies, word Port Manager vir daardie reekspoort gedeaktiveer, sodat data nie meer aangeteken word vir waarskuwings ens.

Gebruikershandleiding
3.1.5 Seriële oorbruggingsmodus Met reeksoorbrugging word die reeksdata op 'n genomineerde reekspoort op een konsolebediener in netwerkpakkies ingekapsuleer en oor 'n netwerk na 'n tweede konsolebediener vervoer waar dit as reeksdata voorgestel word. Die twee konsolebedieners dien as 'n virtuele seriële kabel oor 'n IP-netwerk. Een konsolebediener is opgestel om die bediener te wees. Die bedienerreekspoort wat oorbrug moet word, is in konsolebedienermodus gestel met óf RFC2217 óf RAW geaktiveer. Vir die kliëntkonsolebediener moet die reekspoort wat oorbrug moet word in oorbruggingsmodus gestel word:
· Kies Serial Bridging Mode en spesifiseer die IP-adres van die bedienerkonsolebediener en die TCP-poortadres van die afgeleë seriële poort (vir RFC2217-oorbrugging sal dit 5001-5048 wees)
· By verstek gebruik die oorbruggingskliënt RAW TCP. Kies RFC2217 as dit die konsolebedienermodus is wat jy op die bedienerkonsolebediener gespesifiseer het
· Jy kan die kommunikasie oor die plaaslike Ethernet beveilig deur SSH te aktiveer. Genereer en laai sleutels op.
3.1.6 Syslog Benewens ingeboude logging en monitering wat toegepas kan word op reeksgehegte en netwerkaangehegte bestuurtoegange, soos gedek in Hoofstuk 6, kan die konsolebediener ook gekonfigureer word om die afgeleë syslog-protokol op 'n per-reekspoort te ondersteun basis:
· Kies die Syslog Fasiliteit/Prioriteit-velde om die aanteken van verkeer op die geselekteerde reekspoort na 'n syslog-bediener moontlik te maak; en om daardie aangetekende boodskappe te sorteer en daarop te reageer (dws herlei hulle / stuur waarskuwings-e-pos.)
35

Hoofstuk 3: Serial Port, Device and User Configuration
Byvoorbeeldample, as die rekenaar wat aan seriële poort 3 gekoppel is nooit iets op sy seriële konsolepoort uitstuur nie, kan die administrateur die Fasiliteit vir daardie poort op local0 stel (local0 .. local7 is bedoel vir werf plaaslike waardes), en die Prioriteit op kritiek . By hierdie prioriteit, as die konsolebediener-stelsellogbediener wel 'n boodskap ontvang, maak dit 'n waarskuwing. Sien Hoofstuk 6. 3.1.7 NMEA-stroming Die ACM7000-L kan GPS NMEA-datastroom vanaf die interne GPS/sellulêre modem verskaf. Hierdie datastroom word aangebied as 'n reeksdatastroom op poort 5 op die ACM-modelle.
Die algemene instellings (baudrate ens.) word geïgnoreer wanneer die NMEA-reekspoort gekonfigureer word. Jy kan die Fix Frequency spesifiseer (dws hierdie GPS fix rate bepaal hoe gereeld GPS fixes verkry word). Jy kan ook al die Console Server Mode, Syslog en Serial Bridging instellings op hierdie poort toepas.
Jy kan pmshell gebruik, webdop, SSH, RFC2217 of RawTCP om by die stroom uit te kom:
Byvoorbeeldample, met behulp van die Web Terminale:
36

Gebruikershandleiding

3.1.8 USB-konsoles
Konsolebedieners met USB-poorte ondersteun USB-konsoleverbindings met toestelle van 'n wye verskeidenheid verskaffers, insluitend Cisco, HP, Dell en Brocade. Hierdie USB-poorte kan ook as gewone RS-232-reekspoorte funksioneer wanneer 'n USB-na-reeks-adapter gekoppel is.

Hierdie USB-poorte is beskikbaar as gewone poortbestuurder-poorte en word numeries in die web UI na al RJ45 seriële poorte.

Die ACM7008-2 het agt RJ45-reekspoorte aan die agterkant van die konsolebediener en vier USB-poorte aan die voorkant. In Serial & Network > Serial Port word dit gelys as

Poort # Connector

RJ45

USB

10 USB

11 USB

12 USB

As die spesifieke ACM7008-2 'n sellulêre model is, sal poort #13 - vir die GPS - ook gelys word.

Die 7216-24U het 16 RJ45-reekspoorte en 24 USB-poorte aan die agterkant, sowel as twee USB-poorte aan die voorkant en (in die sellulêre model) 'n GPS.

Die RJ45-reekspoorte word in Reeks en Netwerk > Reekspoort as poortnommers 1 aangebied. Die 16 USB-poorte wat agtertoe wys, neem poortnommers 24, en die USB-poorte wat aan die voorkant wys, word onderskeidelik by poortnommers 17 en 40 gelys. En, soos met die ACM41-42, as die spesifieke 7008-2U 'n sellulêre model is, word die GPS by poortnommer 7216 aangebied.

Die algemene instellings (baudrate, ens.) word gebruik wanneer die poorte gekonfigureer word, maar sommige bewerkings sal dalk nie werk nie, afhangende van die implementering van die onderliggende USB-reeksskyfie.

3.2 Voeg gebruikers by en wysig
Die administrateur gebruik hierdie kieslyskeuse om gebruikers te skep, te wysig en uit te vee en om die toegangstoestemmings vir elkeen van hierdie gebruikers te definieer.

Hoofstuk 3: Serial Port, Device and User Configuration

Gebruikers kan gemagtig word om toegang te verkry tot gespesifiseerde dienste, seriële poorte, kragtoestelle en gespesifiseerde netwerkaangehegte gashere. Hierdie gebruikers kan ook volle administrateurstatus kry (met volledige konfigurasie en bestuur en toegangsregte).

Gebruikers kan by groepe gevoeg word. Ses groepe is by verstek opgestel:

admin

Bied onbeperkte konfigurasie- en bestuursregte.

pptpd

Laat toegang tot die PPTP VPN-bediener toe. Gebruikers in hierdie groep se wagwoord word in duidelike teks gestoor.

dialin

Laat beltoegang via modems toe. Gebruikers in hierdie groep se wagwoord word in duidelike teks gestoor.

ftp

Laat ftp-toegang toe en file toegang tot bergingstoestelle.

pmshell

Stel verstek dop na pmshell.

gebruikers

Bied gebruikers basiese bestuursregte.

Die admin groep bied lede volle administrateur regte. Die admin-gebruiker kan toegang tot die konsolebediener kry deur enige van die dienste wat in Stelsel > Dienste geaktiveer is, te gebruik. Hulle kan ook toegang tot enige van die gekoppelde gashere of reekspoorttoestelle gebruik deur enige van die dienste wat vir hierdie verbindings geaktiveer is, te gebruik. Slegs vertroude gebruikers moet administrateurtoegang hê
Die gebruikersgroep bied aan lede beperkte toegang tot die konsolebediener en gekoppelde gashere en reekstoestelle. Hierdie gebruikers het slegs toegang tot die Bestuur-afdeling van die Bestuurskonsole-kieslys en hulle het geen opdragreëltoegang tot die konsolebediener nie. Hulle kan slegs toegang verkry tot daardie gashere en reekstoestelle wat vir hulle gekontroleer is, met behulp van dienste wat geaktiveer is
Gebruikers in die pptd-, dialin-, ftp- of pmshell-groepe het beperkte gebruikersdoptoegang tot die genomineerde bestuurde toestelle, maar hulle sal geen direkte toegang tot die konsolebediener hê nie. Om dit by te voeg, moet die gebruikers ook 'n lid van die gebruikers of admingroepe wees
Die administrateur kan bykomende groepe opstel met spesifieke kragtoestel, seriële poort en gasheertoegangstoestemmings. Gebruikers in hierdie bykomende groepe het geen toegang tot die Bestuurskonsole-kieslys nie en het ook geen opdragreëltoegang tot die konsolebediener nie.

Gebruikershandleiding
Die administrateur kan gebruikers opstel met spesifieke kragtoestel-, reekspoort- en gasheertoegangstoestemmings wat nie 'n lid van enige groepe is nie. Hierdie gebruikers het geen toegang tot die Bestuurskonsole-kieslys of opdragreëltoegang tot die konsolebediener nie. 3.2.1 Stel nuwe groep op Om nuwe groepe en nuwe gebruikers op te stel, en om gebruikers as lede van spesifieke groepe te klassifiseer:
1. Kies Reeks en netwerk > Gebruikers en groepe om alle groepe en gebruikers te vertoon. 2. Klik Voeg groep by om 'n nuwe groep by te voeg
3. Voeg 'n groepnaam en beskrywing by vir elke nuwe groep, en nomineer die toeganklike gashere, toeganklike poorte en toeganklike RPC-afsetpunte waartoe gebruikers in hierdie nuwe groep toegang sal hê
4. Klik Toepas 5. Die administrateur kan enige bygevoegde groep wysig of uitvee. 3.2.2 Stel nuwe gebruikers op Om nuwe gebruikers op te stel en gebruikers as lede van spesifieke groepe te klassifiseer: 1. Kies Reeks en netwerk > Gebruikers en groepe om te vertoon alle groepe en gebruikers 2. Klik Voeg gebruiker by
39

Hoofstuk 3: Serial Port, Device and User Configuration
3. Voeg 'n gebruikersnaam by vir elke nuwe gebruiker. Jy kan ook inligting wat met die gebruiker verband hou (bv. kontakbesonderhede) in die Beskrywing-veld insluit. Die Gebruikersnaam kan van 1 tot 127 alfanumeriese karakters en die karakters “-” “_” en “.” bevat.
4. Spesifiseer van watter groepe jy wil hê die gebruiker moet lid wees. 5. Voeg 'n bevestigde wagwoord by vir elke nuwe gebruiker. Alle karakters word toegelaat. 6. SSH-wagsleutel-verifikasie kan gebruik word. Plak die publieke sleutels van gemagtigde publiek/privaat
sleutelpare vir hierdie gebruiker in die Gemagtigde SSH-sleutels-veld 7. Merk Deaktiveer wagwoordverifikasie om slegs publieke sleutelverifikasie vir hierdie gebruiker toe te laat
wanneer SSH 8 gebruik word. Merk Aktiveer Terugbel in die Inbelopsies-kieslys om 'n uitgaande terugbelverbinding toe te laat
geaktiveer word deur by hierdie poort aan te meld. Voer die terugbelfoonnommer in met die telefoonnommer om terug te bel wanneer gebruiker aanmeld 9. Merk Toeganklike gashere en/of toeganklike poorte om die reekspoorte en netwerkgekoppelde gashere te nomineer wat jy wil hê die gebruiker moet toegangsregte tot 10 hê. daar is gekonfigureerde RPC's, merk Toeganklike RPC-afsetpunte om te spesifiseer watter afsetpunte die gebruiker kan beheer (bv. Skakel aan/af) 11. Klik Toepas. Die nuwe gebruiker sal toegang hê tot die toeganklike netwerktoestelle, poorte en RPC-afsetpunte. As die gebruiker 'n groeplid is, kan hulle ook toegang verkry tot enige ander toestel/poort/uitgang wat vir die groep toeganklik is
40

Gebruikershandleiding
Daar is geen beperkings op die aantal gebruikers wat jy kan opstel of die aantal gebruikers per reekspoort of gasheer nie. Veelvuldige gebruikers kan die een poort of gasheer beheer/monitor. Daar is geen beperkings op die aantal groepe nie en elke gebruiker kan 'n lid van 'n aantal groepe wees. 'n Gebruiker hoef nie 'n lid van enige groepe te wees nie, maar as die gebruiker 'n lid van die verstekgebruikersgroep is, sal hulle nie die Bestuurskonsole kan gebruik om poorte te bestuur nie. Alhoewel daar geen perke is nie, neem die tyd om te herkonfigureer toe namate die aantal en kompleksiteit toeneem. Ons beveel aan dat die totale aantal gebruikers en groepe onder 250 gehou word. Die administrateur kan ook die toeganginstellings vir enige bestaande gebruikers wysig:
· Kies Reeks en netwerk > Gebruikers en groepe en klik Wysig om die gebruikerstoegangsregte te wysig · Klik Verwyder om die gebruiker te verwyder · Klik Deaktiveer om toegangsregte tydelik te blokkeer
3.3 Verifikasie
Sien Hoofstuk 8 vir stawing konfigurasie besonderhede.
3.4 Netwerkgashere
Om 'n plaaslik netwerk rekenaar of toestel (na verwys as 'n gasheer) te monitor en afstandtoegang te verkry, moet jy die gasheer identifiseer:
1. Deur Serial & Network > Network Hosts te kies, word al die netwerk-gekoppelde gashere aangebied wat vir gebruik geaktiveer is.
2. Klik Voeg gasheer by om toegang tot 'n nuwe gasheer te aktiveer (of kies Wysig om die instellings vir bestaande gasheer op te dateer)
41

Hoofstuk 3: Serial Port, Device and User Configuration
3. As die gasheer 'n PDU- of UPS-kragtoestel of 'n bediener met IPMI-kragbeheer is, spesifiseer RPC (vir IPMI en PDU) of UPS en die toesteltipe. Die administrateur kan hierdie toestelle konfigureer en aktiveer watter gebruikers toestemming het om krag van 'n afstand af te skakel, ens. Sien Hoofstuk 7. Laat anders die Toesteltipe gestel op Geen.
4. As die konsolebediener gekonfigureer is met verspreide Nagios-monitering geaktiveer, sal jy ook Nagios-instellingsopsies sien om genomineerde dienste op die Gasheer te aktiveer om gemonitor te word.
5. Klik Toepas. Dit skep die nuwe gasheer en skep ook 'n nuwe bestuurde toestel met dieselfde naam.
3.5 Vertroude netwerke
Die Trusted Networks-fasiliteit gee jou 'n opsie om IP-adresse te nomineer waarby gebruikers geleë moet wees, om toegang te hê tot konsolebediener-reekspoorte:
42

Gebruikershandleiding
1. Kies Serial & Network > Trusted Networks 2. Om 'n nuwe vertroude netwerk by te voeg, kies Voeg reël by. In die afwesigheid van Reëls is daar geen toegang nie
beperkings ten opsigte van die IP-adres waar gebruikers gelokaliseer kan word.

3. Kies die toeganklike poorte waarop die nuwe reël toegepas moet word
4. Voer die netwerkadres van die subnet in om toegang te kry
5. Spesifiseer die reeks adresse wat toegelaat moet word deur 'n netwerkmasker vir daardie toegelate IP-reeks in te voer, bv.
· Om al die gebruikers met 'n spesifieke Klas C-netwerkverbinding tot die genomineerde poort toe te laat, voeg die volgende Trusted Network Nuwe Reël by:

Netwerk IP-adres

204.15.5.0

Subnet masker

255.255.255.0

· Om slegs een gebruiker by 'n spesifieke IP-adres toe te laat om te koppel:

Netwerk IP-adres

204.15.5.13

Subnet masker

255.255.255.255

· Om toe te laat dat al die gebruikers wat van binne 'n spesifieke reeks IP-adresse werk (sê enige van die dertig adresse van 204.15.5.129 tot 204.15.5.158) toegelaat word om aan die genomineerde poort te koppel:

Gasheer/Subnetadres

204.15.5.128

Subnet masker

255.255.255.224

6. Klik Toepas

Hoofstuk 3: Serial Port, Device and User Configuration
3.6 Serial Port Cascading
Cascaded Ports stel jou in staat om verspreide konsolebedieners te groepeer sodat 'n groot aantal reekspoorte (tot 1000) gekonfigureer en verkry kan word deur een IP-adres en deur die een Bestuurskonsole bestuur kan word. Een konsolebediener, die Primêr, beheer ander konsolebedieners as Node-eenhede en al die seriële poorte op die Node-eenhede verskyn asof hulle deel van die Primêre is. Opengear se groepering verbind elke Node aan die Primêr met 'n SSH-verbinding. Dit word gedoen met behulp van publieke sleutel-verifikasie, sodat die Primêr toegang tot elke Node kan kry deur die SSH-sleutelpaar te gebruik (eerder as om wagwoorde te gebruik). Dit verseker veilige geverifieerde kommunikasie tussen Primêre en Nodes wat dit moontlik maak om die Node-konsole-bedienereenhede plaaslik op 'n LAN of op afstand oor die wêreld versprei te word.
3.6.1 Genereer en laai outomaties SSH-sleutels op Om publieke sleutel-verifikasie op te stel, moet jy eers 'n RSA- of DSA-sleutelpaar genereer en dit oplaai na die Primêre en Node-konsolebedieners. Dit kan outomaties vanaf die Primêr gedoen word:
44

Gebruikershandleiding
1. Kies Stelsel > Administrasie op Primêr se bestuurskonsole
2. Merk Genereer SSH-sleutels outomaties. 3. Klik Toepas
Volgende moet jy kies of jy sleutels met RSA en/of DSA wil genereer (indien onseker, kies slegs RSA). Die generering van elke stel sleutels vereis twee minute en die nuwe sleutels vernietig ou sleutels van daardie tipe. Terwyl die nuwe generasie aan die gang is, kan funksies wat op SSH-sleutels staatmaak (bv. kaskade) ophou funksioneer totdat hulle opgedateer is met die nuwe stel sleutels. Om sleutels te genereer:
1. Merk blokkies vir die sleutels wat jy wil genereer. 2. Klik Toepas
3. Sodra die nuwe sleutels gegenereer is, klik die skakel Klik hier om terug te keer. Die sleutels word opgelaai
na die Primêre en gekoppelde nodusse.
3.6.2 Genereer en laai SSH-sleutels handmatig op. As jy 'n RSA- of DSA-sleutelpaar het, kan jy dit alternatiewelik na die Primêre en Node-konsolebedieners oplaai. Om die publieke en private sleutelpaar na die primêre konsolebediener op te laai:
1. Kies Stelsel > Administrasie op die Primêr se Bestuurskonsole
2. Blaai na die plek waar jy RSA (of DSA) publieke sleutel gestoor het en laai dit op na SSH RSA (DSA) publieke sleutel
3. Blaai na die gestoorde RSA (of DSA) Privaat Sleutel en laai dit op na SSH RSA (DSA) Privaat Sleutel 4. Klik Toepassing
45

Hoofstuk 3: Serial Port, Device and User Configuration
Vervolgens moet u die publieke sleutel as 'n gemagtigde sleutel op die nodus registreer. In die geval van een primêre met veelvuldige nodusse, laai u een RSA of DSA publieke sleutel vir elke node op.
1. Kies Stelsel > Administrasie op die Node se Bestuurskonsole 2. Blaai na die gestoorde RSA (of DSA) Publieke Sleutel en laai dit op na Node se SSH Gemagtigde Sleutel
3. Klik Toepas Die volgende stap is om elke nuwe Node-Primêre verbinding met 'n vingerafdruk te maak. Hierdie stap bevestig dat jy 'n SSH-sessie opstel vir wie jy dink jy is. Op die eerste verbinding ontvang die Node 'n vingerafdruk van die Primêr wat op alle toekomstige verbindings gebruik word: Om die vingerafdruk te vestig, meld eers aan by die Primêre bediener as wortel en vestig 'n SSH-verbinding met die Node afgeleë gasheer:
# ssh remhost Sodra die SSH-verbinding tot stand gebring is, word jy gevra om die sleutel te aanvaar. Antwoord ja en die vingerafdruk word by die lys van bekende gashere gevoeg. As jy gevra word om 'n wagwoord te verskaf, was daar 'n probleem met die oplaai van sleutels. 3.6.3 Konfigureer die nodusse en hul reekspoorte Begin met die opstel van die nodusse en konfigurasie van nodusse se reekspoorte vanaf die primêre konsolebediener:
1. Kies Serial & Network > Cascaded Ports op die Primêr se Bestuurskonsole: 2. Om groeperingsteun by te voeg, kies Voeg Node by
Jy kan nie nodes byvoeg totdat jy SSH-sleutels gegenereer het nie. Om 'n nodus te definieer en op te stel:
46

Gebruikershandleiding
1. Voer die afgeleë IP-adres of DNS-naam vir die Node-konsolebediener in 2. Voer 'n kort beskrywing en 'n kort etiket vir die Node in 3. Voer die volle aantal reekspoorte op die Node-eenheid in in Aantal Poorte 4. Klik Toepas. Dit vestig die SSH-tonnel tussen die Primêre en die nuwe Node
Die Serial & Network > Cascaded Ports-kieslys vertoon al die nodusse en die poortnommers wat aan die Primêr toegeken is. As die primêre konsolebediener 16 poorte van sy eie het, word poorte 1-16 vooraf aan die primêre toegewys, sodat die eerste nodus wat bygevoeg word, poortnommer 17 en verder toegeken word. Sodra jy al die Node-konsolebedieners bygevoeg het, is die Node-reekspoorte en die gekoppelde toestelle konfigureerbaar en toeganklik vanaf die Primêr se Bestuurskonsole-kieslys en toeganklik deur die Primêr se IP-adres.
1. Kies die toepaslike Serial & Network > Serial Port and Edit om die seriële poorte op die
Nodus.
2. Kies die toepaslike Reeks en Netwerk > Gebruikers en Groepe om nuwe gebruikers met toegangsregte by te voeg
na die Node-reekspoorte (of om bestaande gebruikerstoegangsregte uit te brei).
3. Kies die toepaslike Reeks en Netwerk > Vertroude netwerke om netwerkadresse te spesifiseer wat
kan toegang verkry tot genomineerde nodus-reekspoorte. 4. Kies die toepaslike waarskuwings en logboek > Waarskuwings om Node-poortverbinding, staat te konfigureer
Verander- of Patroonpassing-waarskuwings. Die konfigurasieveranderings wat op die Primêre aangebring is, word na al die nodusse versprei wanneer jy op Toepas klik.
3.6.4 Bestuur van nodusse Die Primêr is in beheer van die nodes se reekspoorte. Byvoorbeeldample, as 'n gebruiker toegangsregte verander of enige reekspoortinstelling op die Primêre wysig, die opgedateerde konfigurasie files word parallel na elke Node uitgestuur. Elke Node maak veranderinge aan hul plaaslike konfigurasies (en maak slegs veranderinge wat verband hou met sy spesifieke seriële poorte). Jy kan die plaaslike knooppuntbestuurkonsole gebruik om die instellings op enige knoopreekspoort te verander (soos om die baudtempo's te verander). Hierdie veranderinge word volgende keer as die Primêr 'n konfigurasie uitstuur, oorskryf file Opdateer. Terwyl die Primêr in beheer is van alle nodusreekspoortverwante funksies, is dit nie primêre oor die nodusnetwerkgasheerverbindings of oor die Nodekonsolebedienerstelsel nie. Nodusfunksies soos IP-, SMTP- en SNMP-instellings, Datum en Tyd, DHCP-bediener moet bestuur word deur direk toegang tot elke nodus te verkry en hierdie funksies word nie oorgeskryf wanneer konfigurasieveranderinge vanaf die Primêre gepropageer word nie. Die Node se Netwerkgasheer- en IPMI-instellings moet by elke nodus gekonfigureer word.
47

Hoofstuk 3: Serial Port, Device and User Configuration
Die Primêr se Bestuurskonsole bied 'n gekonsolideerde view van die instellings vir sy eie en die hele Node se reekspoorte. Die Primêr verskaf nie 'n volledig gekonsolideerde view. Byvoorbeeldample, as jy wil uitvind wie is aangemeld by kaskade seriële poorte vanaf die primêre, sal jy sien dat Status > Aktiewe gebruikers slegs daardie gebruikers vertoon wat aktief is op die Primêre se poorte, so jy sal dalk persoonlike skrifte moet skryf om dit te verskaf view.
3.7 Serial Port Redirection (PortShare)
Opengear se Port Share-sagteware lewer die virtuele reekspoorttegnologie wat jou Windows- en Linux-toepassings nodig het om afgeleë reekspoorte oop te maak en die data van reekstoestelle wat aan jou konsolebediener gekoppel is, te lees.
PortShare word gratis by elke konsolebediener voorsien en jy is gelisensieer om PortShare op een of meer rekenaars te installeer vir toegang tot enige reekstoestel wat aan 'n konsolebedienerpoort gekoppel is. PortShare vir Windows Die portshare_setup.exe kan van die ftp-werf afgelaai word. Sien die PortShare-gebruikershandleiding en Quick Start vir besonderhede oor installasie en werking. PortShare vir Linux Die PortShare-drywer vir Linux karteer die konsolebediener-reekspoort na 'n gasheerproefpoort. Opengear het die portshare-seriële-kliënt vrygestel as 'n oopbronhulpmiddel vir Linux, AIX, HPUX, SCO, Solaris en UnixWare. Hierdie program kan van die ftp-werf afgelaai word. Hierdie PortShare-seriële poort-herleier laat jou toe om 'n seriële toestel te gebruik wat aan die afgeleë konsole-bediener gekoppel is asof dit aan jou plaaslike reekspoort gekoppel is. Die portshare-seriële-kliënt skep 'n pseudo tty-poort, koppel die seriële toepassing aan die pseudo tty-poort, ontvang data vanaf die pseudo tty-poort, stuur dit na die konsolebediener deur die netwerk en ontvang data vanaf die konsolebediener deur die netwerk en stuur dit na die pseudo-tty-poort. Die .teer file kan van die ftp-werf afgelaai word. Sien die PortShare-gebruikershandleiding en Quick Start vir besonderhede oor installasie en werking.
48

Gebruikershandleiding
3.8 Bestuurde toestelle
Die Bestuurde Toestelle-bladsy bied 'n gekonsolideerde view van al die verbindings met 'n toestel wat deur die konsolebediener verkry kan word en gemonitor kan word. Om view die verbindings met die toestelle, kies Serial & Network > Managed Devices
Hierdie skerm vertoon al die bestuurde toestelle met hul beskrywing/notas en lyste van al die gekonfigureerde verbindings:
· Seriepoort # (indien serieel gekoppel) of · USB (indien USB gekoppel) · IP-adres (indien netwerk gekoppel) · Krag PDU/uitlaatbesonderhede (indien van toepassing) en enige UPS-verbindings Toestelle soos bedieners kan meer as een kragverbinding hê (bv. dubbele krag voorsien) en meer as een netwerkverbinding (bv. vir BMC/diensverwerker). Alle gebruikers kan view hierdie bestuurde toestelverbindings deur Bestuur > Toestelle te kies. Administrateurs kan ook hierdie bestuurde toestelle en hul verbindings wysig en byvoeg/vee. Om 'n bestaande toestel te wysig en 'n nuwe verbinding by te voeg: 1. Kies Wysig op die Reeks en netwerk > Bestuurde toestelle en klik Voeg verbinding by 2. Kies die verbindingstipe vir die nuwe verbinding (Seriële, Netwerkgasheer, UPS of RPC) en kies
die verbinding vanaf die voorgestelde lys van gekonfigureerde ongeallokeerde gashere/poorte/afsetpunte
49

Hoofstuk 3: Serial Port, Device and User Configuration
Om 'n nuwe netwerkgekoppelde bestuurde toestel by te voeg: 1. Die Administrateur voeg 'n nuwe netwerkgekoppelde bestuurde toestel by met behulp van Voeg Gasheer by op die Reeks en Netwerk > Netwerkgasheer-kieslys. Dit skep outomaties 'n ooreenstemmende nuwe bestuurde toestel. 2. Wanneer jy 'n nuwe netwerkgekoppelde RPC of UPS-kragtoestel byvoeg, stel jy 'n netwerkgasheer op, wys dit aan as RPC of UPS. Gaan na RPC-verbindings of UPS-verbindings om die betrokke verbinding op te stel. Ooreenstemmende nuwe bestuurde toestel met dieselfde naam/beskrywing as die RPC/UPS-gasheer word nie geskep totdat hierdie verbindingstap voltooi is nie.
LET WEL Die uitlaatname op die nuutgeskepte PDU is Uitlaat 1 en Uitlaat 2. Wanneer jy 'n spesifieke bestuurde toestel koppel wat krag uit die uitlaat trek, neem die uitlaat die naam van die aangedrewe bestuurde toestel.
Om 'n nuwe reeksgekoppelde bestuurde toestel by te voeg: 1. Konfigureer die reekspoort deur die Serial & Network > Serial Port-kieslys (Sien Afdeling 3.1 Konfigureer Serial Port) 2. Kies Serial & Network > Managed Devices en klik Voeg Toestel by 3. Voer 'n Toestel in Naam en beskrywing vir die bestuurde toestel

4. Klik Voeg verbinding by en kies Serial en die poort wat aan die bestuurde toestel koppel

5. Om 'n UPS/RPC-kragverbinding of netwerkverbinding of 'n ander reeksverbinding by te voeg, klik Voeg verbinding by

6. Klik Toepas

LET WEL

Om 'n seriegekoppelde RPC UPS- of EMD-toestel op te stel, stel die seriële poort op, wys dit as 'n Toestel aan en voer 'n naam en beskrywing vir daardie toestel in die Serial & Network > RPC Connections (of UPS Connections of Environmental) in. Dit skep 'n ooreenstemmende nuwe bestuurde toestel met dieselfde naam/beskrywing as die RPC/UPS-gasheer. Die uitlaatname op hierdie nuutgeskepte PDU is Uitlaat 1 en Uitlaat 2. Wanneer jy 'n bestuurde toestel koppel wat krag uit die uitlaat trek, neem die uitlaat die naam van die aangedrewe bestuurde Toestel.

3.9 IPsec VPN
Die ACM7000, CM7100 en IM7200 sluit Openswan in, 'n Linux-implementering van die IPsec (IP Security) protokolle, wat gebruik kan word om 'n Virtual Private Network (VPN) op te stel. Die VPN laat veelvuldige werwe of afgeleë administrateurs toe om veilig toegang tot die konsolebediener en bestuurde toestelle oor die internet te verkry.

Gebruikershandleiding
Die administrateur kan geënkripteerde geverifieerde VPN-verbindings tussen konsolebedieners wat op afgeleë werwe versprei word en 'n VPN-poort (soos Cisco-roeteerder wat IOS IPsec laat loop) op hul sentrale kantoornetwerk vestig:
· Gebruikers by die sentrale kantoor kan veilig toegang tot die afgeleë konsole-bedieners en gekoppelde reekskonsole-toestelle en -masjiene op die Bestuur LAN-subnet by die afgeleë ligging verkry asof hulle plaaslik is
· Al hierdie afgeleë konsole-bedieners kan met 'n CMS6000 op die sentrale netwerk gemonitor word · Met reeksoorbrugging kan reeksdata van kontroleerder by die sentrale kantoormasjien veilig wees
gekoppel aan die reeksbeheerde toestelle by die afgeleë terreine Die padstryder-administrateur kan 'n VPN IPsec-sagtewarekliënt gebruik om op afstand toegang tot die konsolebediener en elke masjien op die Bestuur LAN-subnet by die afgeleë ligging te verkry.
Die konfigurasie van IPsec is redelik kompleks, so Opengear bied 'n GUI-koppelvlak vir basiese opstelling soos hieronder beskryf. Om die VPN-poort te aktiveer:
1. Kies IPsec VPN op die Serial & Networks-kieslys
2. Klik Voeg by en voltooi die Voeg IPsec-tonnelskerm by. 3. Voer enige beskrywende naam in wat jy wil hê om die IPsec-tonnel te identifiseer wat jy byvoeg, bv.
WestStOutlet-VPN
51

Hoofstuk 3: Serial Port, Device and User Configuration
4. Kies die stawingsmetode wat gebruik moet word, óf RSA digitale handtekeninge óf 'n Gedeelde geheim (PSK) o As jy RSA kies, word jy gevra om hier te klik om sleutels te genereer. Dit genereer 'n RSA publieke sleutel vir die konsole bediener (die linker publieke sleutel). Vind die sleutel wat op die afgeleë poort gebruik gaan word, knip en plak dit in die regte publieke sleutel
o As jy Gedeelde geheim kies, voer 'n Vooraf-gedeelde geheim (PSK) in. Die PSK moet ooreenstem met die PSK wat aan die ander kant van die tonnel opgestel is
5. Kies die verifikasieprotokol wat gebruik moet word in Authentication Protocol. Verifieer óf as deel van ESP (Encapsulating Security Payload)-enkripsie óf afsonderlik deur die AH (Authentication Header)-protokol te gebruik.
52

Gebruikershandleiding
6. Voer 'n Linker ID en Regs ID in. Dit is die identifiseerder wat die plaaslike gasheer/poort en afgeleë gasheer/poort gebruik vir IPsec-onderhandeling en -verifikasie. Elke ID moet 'n @ insluit en kan 'n volledig gekwalifiseerde domeinnaam insluit (bv. left@example.com)
7. Voer die publieke IP- of DNS-adres van hierdie Opengear VPN-poort in as die linkeradres. Jy kan hierdie leeg laat om die koppelvlak van die verstekroete te gebruik
8. Voer in Regte adres die publieke IP- of DNS-adres van die afgeleë punt van die tonnel in (slegs as die afgeleë punt 'n statiese of DynDNS-adres het). Anders laat dit leeg
9. As die Opengear Skynprivaatnetwerk-poort as 'n Skynprivaatnetwerk-poort na 'n plaaslike subnet dien (bv. die konsolebediener het 'n Bestuurs-LAN gekonfigureer), voer die privaat subnetbesonderhede in Linker Subnet in. Gebruik die CIDR-notasie (waar die IP-adresnommer gevolg word deur 'n skuinsstreep en die aantal `een' bisse in die binêre notasie van die netmasker). Byvoorbeeldample, 192.168.0.0/24 dui 'n IP-adres aan waar die eerste 24 bisse as die netwerkadres gebruik word. Dit is dieselfde as 255.255.255.0. As die VPN-toegang slegs na die konsolebediener en die aangehegte reekskonsole-toestelle is, laat linkersubnet leeg
10. As daar 'n VPN-poort aan die afgeleë kant is, voer die privaat subnetbesonderhede in Regs subnet in. Gebruik die CIDR-notasie en laat leeg as daar net 'n afgeleë gasheer is
11. Kies Inisieer tonnel as die tonnelverbinding vanaf die linkerkonsole-bedienerkant geïnisieer moet word. Dit kan slegs vanaf die VPN-poort (links) geïnisieer word as die afgeleë punt opgestel is met 'n statiese (of DynDNS) IP-adres
12. Klik Toepas om veranderinge te stoor
NOTA Konfigurasiebesonderhede wat op die konsolebediener opgestel is (na verwys as die Linker- of Plaaslike gasheer) moet ooreenstem met die opstelling wat ingevoer is wanneer die Afgeleë (Regs) gasheer/poort of sagtewarekliënt gekonfigureer word. Sien http://www.opengear.com/faq.html vir besonderhede oor die opstel van hierdie afgeleë punte
3.10 OpenVPN
Die ACM7000, CM7100 en IM7200 met firmware V3.2 en later sluit OpenVPN in. OpenVPN gebruik die OpenSSL-biblioteek vir enkripsie, verifikasie en sertifisering, wat beteken dat dit SSL/TSL (Secure Socket Layer/Transport Layer Security) gebruik vir sleuteluitruiling en beide data- en beheerkanale kan enkripteer. Die gebruik van OpenVPN maak voorsiening vir die bou van kruisplatform, punt-tot-punt VPN's deur óf X.509 PKI (Public Key Infrastructure) óf persoonlike konfigurasie te gebruik files. OpenVPN laat veilige tonnel van data toe deur 'n enkele TCP/UDP-poort oor 'n onversekerde netwerk, en bied dus veilige toegang tot verskeie werwe en veilige afstandbeheer aan 'n konsolebediener oor die internet. OpenVPN laat ook die gebruik van dinamiese IP-adresse deur beide die bediener en kliënt toe, wat sodoende kliëntmobiliteit bied. Byvoorbeeldample, 'n OpenVPN-tonnel kan gevestig word tussen 'n roaming windows-kliënt en 'n Opengear-konsolebediener binne 'n datasentrum. Die konfigurasie van OpenVPN kan kompleks wees, so Opengear bied 'n GUI-koppelvlak vir basiese opstelling soos hieronder beskryf. Meer gedetailleerde inligting is beskikbaar by http://www.openvpn.net
3.10.1 Aktiveer die OpenVPN 1. Kies OpenVPN op die Serial & Networks-kieslys
53

Hoofstuk 3: Serial Port, Device and User Configuration
2. Klik Voeg by en voltooi die Add OpenVPN Tonnel-skerm 3. Voer enige beskrywende naam in wat jy wil hê om die OpenVPN-tonnel wat jy byvoeg te identifiseer, bv.ample
NorthStOutlet-VPN
4. Kies die verifikasiemetode wat gebruik moet word. Om met sertifikate te staaf, kies PKI (X.509-sertifikate) of kies Pasgemaakte konfigurasie om pasgemaakte konfigurasie op te laai files. Pasgemaakte konfigurasies moet in /etc/config gestoor word.
LET WEL As jy PKI kies, vestig: Aparte sertifikaat (ook bekend as 'n publieke sleutel). Hierdie Sertifikaat File is 'n *.crt file tik Private Key vir die bediener en elke kliënt. Hierdie privaat sleutel File is 'n *.sleutel file tipe
Primêre Sertifikaat-owerheid (CA) sertifikaat en sleutel wat gebruik word om elk van die bedieners te onderteken
en kliënt sertifikate. Hierdie wortel-CA-sertifikaat is 'n *.crt file tipe Vir 'n bediener het jy dalk ook dh1024.pem (Diffie Hellman-parameters) nodig. Sien http://openvpn.net/easyrsa.html vir 'n gids tot basiese RSA-sleutelbestuur. Vir alternatiewe verifikasiemetodes, sien http://openvpn.net/index.php/documentation/howto.html#auth.
5. Kies die toestelbestuurder wat gebruik moet word, hetsy Tun-IP of Tap-Ethernet. Die TUN (netwerk tonnel) en TAP (netwerk kraan) drywers is virtuele netwerk drywers wat onderskeidelik IP tonnel en Ethernet tonnel ondersteun. TUN en TAP is deel van die Linux-kern.
6. Kies óf UDP óf TCP as die protokol. UDP is die verstek en voorkeurprotokol vir OpenVPN. 7. Merk of ontmerk die Kompressie-knoppie om kompressie te aktiveer of te deaktiveer. 8. In tonnelmodus, nomineer of dit die kliënt- of bedienerkant van die tonnel is. Wanneer hardloop as
'n bediener, die konsolebediener ondersteun verskeie kliënte wat met die VPN-bediener oor dieselfde poort koppel.
54

Gebruikershandleiding
3.10.2 Konfigureer as bediener of kliënt
1. Voltooi die kliëntbesonderhede of bedienerbesonderhede na gelang van die tonnelmodus wat gekies is. o Indien kliënt gekies is, is die primêre bedieneradres die adres van die OpenVPN-bediener. o Indien Bediener gekies is, voer die IP Pool Netwerkadres en die IP Pool Netwerkmasker vir die IP Pool in. Die netwerk wat deur die IP Pool Netwerkadres/masker gedefinieer word, word gebruik om die adresse te verskaf om kliënte te koppel.
2. Klik Toepas om veranderinge te stoor
55

Hoofstuk 3: Serial Port, Device and User Configuration
3. Om stawingsertifikate en in te voer files, kies die Bestuur OpenVPN Files oortjie. Laai op of blaai na relevante stawingsertifikate en files.
4. Pas toe om veranderinge te stoor. Gestoor files word in rooi aan die regterkant van die Laai-knoppie vertoon.
5. Om OpenVPN te aktiveer, wysig die OpenVPN-tonnel
56

Gebruikershandleiding
6. Merk die Enabled-knoppie. 7. Pas toe om veranderinge te stoor LET WEL Maak seker dat die konsolebedienerstelseltyd korrek is wanneer jy met OpenVPN werk om te vermy
verifikasie kwessies.
8. Kies Statistiek op die Status-kieslys om te verifieer dat die tonnel in werking is.
57

Hoofstuk 3: Serial Port, Device and User Configuration
3.10.3 Opstelling van Windows OpenVPN-kliënt en -bediener Hierdie afdeling gee 'n uiteensetting van die installering en konfigurasie van 'n Windows OpenVPN-kliënt of 'n Windows OpenVPN-bediener en die opstel van 'n VPN-verbinding met 'n konsolebediener. Konsolebedieners genereer Windows-kliëntkonfigurasie outomaties vanaf die GUI vir voorafgedeelde geheim (Static Key File) konfigurasies.
Alternatiewelik kan OpenVPN GUI vir Windows-sagteware (wat die standaard OpenVPN-pakket plus 'n Windows GUI insluit) afgelaai word vanaf http://openvpn.net. Sodra dit op die Windows-masjien geïnstalleer is, word 'n OpenVPN-ikoon by die kennisgewinggebied aan die regterkant van die taakbalk gevoeg. Regskliek op hierdie ikoon om VPN-verbindings te begin en te stop, konfigurasies te wysig en view logs.
Wanneer die OpenVPN-sagteware begin loop, sal die C: Program FilesOpenVPNconfig-lêergids word geskandeer vir .opvn files. Hierdie vouer word weer nagegaan vir nuwe konfigurasie files wanneer die OpenVPN GUI-ikoon met die rechtermuisknop geklik word. Sodra OpenVPN geïnstalleer is, skep 'n konfigurasie file:
58

Gebruikershandleiding

Gebruik 'n teksredigeerder en skep 'n xxxx.ovpn file en stoor in C:Program FilesOpenVPNconfig. Byvoorbeeldample, C: Program FilesOpenVPNconfigclient.ovpn
'N Example van 'n OpenVPN Windows-kliëntkonfigurasie file word hieronder getoon:
# beskrywing: IM4216_client client proto udp werkwoord 3 dev tun remote 192.168.250.152 poort 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt sleutel c:\openvpnkeys\persist.key nobind.key persist.key tun comp-lzo
'N Example van 'n OpenVPN Windows Server-konfigurasie file word hieronder getoon:
bediener 10.100.10.0 255.255.255.0 poort 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\sleutelbediener:\openvpnkeys. sleutel dh c:\openvpnkeys\dh.pem comp-lzo werkwoord 1 syslog IM4216_OpenVPN_Server
Die Windows-kliënt/bediener-konfigurasie file opsies is:

Opsies #beskrywing: Kliëntbediener proto udp proto tcp mssfix werkwoord
dev tun dev tap

Beskrywing Hierdie is 'n opmerking wat die konfigurasie beskryf. Kommentaarlyne begin met `#' en word deur OpenVPN geïgnoreer. Spesifiseer of dit 'n kliënt- of bedienerkonfigurasie sal wees file. In die bedienerkonfigurasie file, definieer die IP-adrespoel en netmasker. Byvoorbeeldample, bediener 10.100.10.0 255.255.255.0 Stel die protokol op UDP of TCP. Die kliënt en bediener moet dieselfde instellings gebruik. Mssfix stel die maksimum grootte van die pakkie. Dit is slegs nuttig vir UDP as probleme voorkom.
Stel logboek file breedsprakigheidsvlak. Logwoordelikheidsvlak kan van 0 (minimum) tot 15 (maksimum) gestel word. Byvoorbeeldample, 0 = stil behalwe vir noodlottige foute 3 = medium uitset, goed vir algemene gebruik 5 = help met ontfouting van verbindingsprobleme 9 = breedvoerig, uitstekend vir foutsporing Kies `dev tun' om 'n gerouteerde IP-tonnel te skep of `dev tap' om te skep 'n Ethernet-tonnel. Die kliënt en bediener moet dieselfde instellings gebruik.

Hoofstuk 3: Serial Port, Device and User Configuration

afgeleë Port Keepalive
http-instaanbediener cafile naam>
sertifikaatfile naam>
sleutelfile naam>
dhfile naam> Nobind aanhou-sleutel aanhou-tun syfer BF-CBC Blowfish (verstek) syfer AES-128-CBC AES syfer DES-EDE3-CBC Triple-DES comp-lzo syslog

Die gasheernaam/IP van OpenVPN-bediener wanneer dit as 'n kliënt werk. Voer óf die DNS-gasheernaam óf die statiese IP-adres van die bediener in. Die UDP/TCP-poort van die bediener. Keepalive gebruik ping om die OpenVPN-sessie lewendig te hou. 'Keepalive 10 120′ ping elke 10 sekondes en aanvaar dat die afgeleë eweknie af is as geen ping oor 'n tydperk van 120 sekondes ontvang is nie. As 'n instaanbediener vereis word om toegang tot die bediener te verkry, voer die instaanbediener DNS-naam of IP en poortnommer in. Voer die CA-sertifikaat in file naam en ligging. Dieselfde CA-sertifikaat file kan deur die bediener en alle kliënte gebruik word. Let wel: Maak seker dat elke `' in die gidspad met ` \' vervang word. Byvoorbeeldample, c:openvpnkeysca.crt sal c:\openvpnkeys\ca.crt word Voer die kliënt of bediener se sertifikaat in file naam en ligging. Elke kliënt moet sy eie sertifikaat en sleutel hê files. Let wel: Maak seker dat elke `' in die gidspad met ` \' vervang word. Gaan in die file naam en ligging van die kliënt of bediener se sleutel. Elke kliënt moet sy eie sertifikaat en sleutel hê files. Let wel: Maak seker dat elke `' in die gidspad met ` \' vervang word. Dit word slegs deur die bediener gebruik. Voer die pad na die sleutel in met die Diffie-Hellman-parameters. `Nobind' word gebruik wanneer kliënte nie aan 'n plaaslike adres of spesifieke plaaslike poortnommer hoef te bind nie. Dit is die geval in die meeste kliëntkonfigurasies. Hierdie opsie verhoed die herlaai van sleutels oor herbeginsels. Hierdie opsie verhoed die toemaak en heropening van TUN/TAP-toestelle oor herbeginsels. Kies 'n kriptografiese syfer. Die kliënt en bediener moet dieselfde instellings gebruik.
Aktiveer kompressie op die OpenVPN-skakel. Dit moet op beide die kliënt en die bediener geaktiveer word. By verstek is logs in syslog geleë of, as dit as 'n diens op Venster loop, in Program FilesOpenVPNlog-gids.

Om die OpenVPN-tonnel te begin na die skepping van die kliënt/bediener-konfigurasie files: 1. Regskliek op die OpenVPN-ikoon in die Kennisgewinggebied 2. Kies die nuutgeskepte kliënt- of bedienerkonfigurasie. 3. Klik Koppel

4. Die log file word vertoon terwyl die verbinding tot stand gebring word
60

Gebruikershandleiding
5. Sodra dit gevestig is, vertoon die OpenVPN-ikoon 'n boodskap wat 'n suksesvolle verbinding en toegewysde IP aandui. Hierdie inligting, sowel as die tyd wat die verbinding tot stand gebring is, is beskikbaar deur oor die OpenVPN-ikoon te blaai.
3.11 PPTP VPN
Konsolebedieners sluit 'n PPTP (Point-to-Point Tunneling Protocol)-bediener in. PPTP word gebruik vir kommunikasie oor 'n fisiese of virtuele reeksskakel. Die PPP-eindpunte definieer 'n virtuele IP-adres vir hulself. Roetes na netwerke kan gedefinieer word met hierdie IP-adresse as die poort, wat daartoe lei dat verkeer oor die tonnel gestuur word. PPTP vestig 'n tonnel tussen die fisiese PPP-eindpunte en vervoer data veilig oor die tonnel.
Die sterkpunt van PPTP is die gemak van konfigurasie en integrasie in bestaande Microsoft-infrastruktuur. Dit word gewoonlik gebruik vir die koppeling van enkele afgeleë Windows-kliënte. As jy jou draagbare rekenaar op 'n sakereis neem, kan jy 'n plaaslike nommer skakel om aan jou internettoegangsdiensverskaffer (ISP) te koppel en 'n tweede verbinding (tonnel) na jou kantoornetwerk oor die internet te skep en dieselfde toegang tot jou korporatiewe netwerk asof jy direk vanaf jou kantoor gekoppel is. Telependelaars kan ook 'n VPN-tonnel opstel oor hul kabelmodem of DSL-skakels na hul plaaslike ISP.
61

Hoofstuk 3: Serial Port, Device and User Configuration
Om 'n PPTP-verbinding vanaf 'n afgeleë Windows-kliënt na jou Opengear-toestel en plaaslike netwerk op te stel:
1. Aktiveer en konfigureer die PPTP VPN-bediener op jou Opengear-toestel 2. Stel VPN-gebruikersrekeninge op die Opengear-toestel in en aktiveer die toepaslike
verifikasie 3. Konfigureer die VPN-kliënte by die afgeleë werwe. Die kliënt benodig nie spesiale sagteware as
die PPTP-bediener ondersteun die standaard PPTP-kliëntsagteware wat by Windows NT en later ingesluit is 4. Koppel aan die afgeleë VPN 3.11.1 Aktiveer die PPTP VPN-bediener 1. Kies PPTP VPN op die Serial & Networks-kieslys
2. Kies die Aktiveer-merkblokkie om die PPTP-bediener te aktiveer. 3. Kies die Minimum Authentication Required. Toegang word geweier aan afgeleë gebruikers wat probeer
verbind met 'n verifikasieskema wat swakker is as die geselekteerde skema. Die skemas word hieronder beskryf, van die sterkste tot die swakste. · Geënkripteerde verifikasie (MS-CHAP v2): Die sterkste tipe verifikasie om te gebruik; dit is
die aanbevole opsie · Weakly Encrypted Authentication (CHAP): Dit is die swakste tipe geënkripteerde wagwoord
verifikasie om te gebruik. Dit word nie aanbeveel dat kliënte met behulp hiervan koppel nie, aangesien dit baie min wagwoordbeskerming bied. Let ook daarop dat kliënte wat met CHAP verbind, nie verkeer kan enkripteer nie
62

Gebruikershandleiding
· Ongeënkripteerde verifikasie (PAP): Dit is gewone teks wagwoord verifikasie. Wanneer hierdie tipe verifikasie gebruik word, word die kliëntwagwoord ongeënkripteer versend.
· Geen 4. Kies die vereiste enkripsievlak. Toegang word geweier aan afgeleë gebruikers wat probeer koppel
wat nie hierdie enkripsievlak gebruik nie. 5. Voer in Plaaslike adres IP-adres in om aan die bediener se einde van die VPN-verbinding toe te wys. 6. Voer in Afgeleë adresse die poel van IP-adresse in om aan die inkomende kliënt se VPN toe te ken
verbindings (bv. 192.168.1.10-20). Dit moet 'n gratis IP-adres of reeks adresse van die netwerk wees wat aan afgeleë gebruikers toegeken word terwyl hulle aan die Opengear-toestel gekoppel is. 7) 1400. Voer in die DNS-bediener-veld die IP-adres van die DNS-bediener in wat IP-adresse aan koppelende PPTP-kliënte toewys. 8. In die WINS-bediener-veld, voer die IP-adres van die WINS-bediener in wat IP-adresse aan koppelende PPTP-kliënt toeken 9. Aktiveer Verbose Logging om te help met ontfouting van verbindingsprobleme 10. Klik Toepas instellings 11 Voeg 'n PPTP-gebruiker by 3.11.2. Kies Users & Groups op die Serial & Networks-kieslys en voltooi die velde soos gedek in afdeling 1. 3.2. Maak seker dat die pptpd-groep nagegaan is om toegang tot die PPTP VPN-bediener toe te laat. Let wel – gebruikers in hierdie groep se wagwoorde word in duidelike teks gestoor. 2. Hou kennis van die gebruikersnaam en wagwoord vir wanneer jy aan die VPN-verbinding moet koppel 3. Klik Toepas
63

Hoofstuk 3: Serial Port, Device and User Configuration
3.11.3 Stel 'n afgeleë PPTP-kliënt op Maak seker dat die afgeleë VPN-kliëntrekenaar internetverbinding het. Om 'n VPN-verbinding oor die internet te skep, moet jy twee netwerkverbindings opstel. Een verbinding is vir die ISP, en die ander verbinding is vir die VPN-tonnel na die Opengear-toestel. LET WEL Hierdie prosedure stel 'n PPTP-kliënt in die Windows Professional-bedryfstelsel op. Die stappe
kan effens verskil na gelang van jou netwerktoegang of as jy 'n alternatiewe weergawe van Windows gebruik. Meer gedetailleerde instruksies is beskikbaar by die Microsoft web werf. 1. Teken aan by jou Windows-kliënt met administrateur regte 2. Kies Netwerkverbindings in die Netwerk- en deelsentrum op die kontrolepaneel en skep 'n nuwe verbinding
64

Gebruikershandleiding
3. Kies Gebruik my internetverbinding (VPN) en voer die IP-adres van die Opengear-toestel in Om afgeleë VPN-kliënte aan die plaaslike netwerk te koppel, moet jy die gebruikersnaam en wagwoord ken vir die PPTP-rekening wat jy bygevoeg het, asook die internet-IP adres van die Opengear-toestel. As jou ISP nie 'n statiese IP-adres aan jou toegeken het nie, oorweeg dit om 'n dinamiese DNS-diens te gebruik. Andersins moet u die PPTP-kliëntkonfigurasie verander elke keer as u internet-IP-adres verander.
65

Hoofstuk 3: Serial Port, Device and User Configuration

3.12 Bel Huis toe
Alle konsolebedieners bevat die Call Home-funksie wat die opstel van 'n veilige SSH-tonnel vanaf die konsolebediener na 'n gesentraliseerde Opengear Lighthouse begin. Die konsolebediener registreer as 'n kandidaat op die vuurtoring. Sodra dit daar aanvaar is, word dit 'n Managed Console Server.
Lighthouse monitor die Managed Console Server en administrateurs kan toegang tot die afgeleë Bestuurde Console Server verkry deur die Lighthouse. Hierdie toegang is beskikbaar selfs wanneer die afgeleë konsolebediener agter 'n derdeparty-brandmuur is of 'n private nie-roubare IP-adresse het.

LET WEL

Lighthouse handhaaf publieke sleutel geverifieerde SSH-verbindings met elk van sy Managed Console Servers. Hierdie verbindings word gebruik vir die monitering, leiding en toegang tot die Bestuurde Konsole-bedieners en die bestuurde toestelle wat aan die Bestuurde Konsole-bediener gekoppel is.

Om plaaslike konsolebedieners, of konsolebedieners wat vanaf die vuurtoring bereikbaar is, te bestuur, word die SSH-verbindings deur Lighthouse geïnisieer.

Om afstandkonsolebedieners, of konsolebedieners wat deur 'n vuurmuur, nie herleibaar is nie, of andersins onbereikbaar vanaf die vuurtoring te bestuur, word die SSH-verbindings geïnisieer deur die Managed ConsoleServer via 'n aanvanklike Call Home-verbinding.

Dit verseker veilige, geverifieerde kommunikasie en stel Managed Console Servers-eenhede in staat om plaaslik op 'n LAN of op afstand oor die wêreld versprei te word.

3.12.1 Stel Call Home-kandidaat op Om die konsolebediener as 'n Call Home-bestuurskandidaat op die Lighthouse op te stel:
1. Kies Bel Huis toe op die Serial & Network-kieslys

2. As jy nie reeds 'n SSH-sleutelpaar vir hierdie konsolebediener gegenereer of opgelaai het nie, doen dit voordat jy voortgaan
3. Klik Voeg by

4. Voer die IP-adres of DNS-naam (bv. die dinamiese DNS-adres) van die Lighthouse in.
5. Voer die wagwoord in wat jy op die CMS gekonfigureer het as die Call Home Password.
66

Gebruikershandleiding
6. Klik Pas toe Hierdie stappe begin die Bel Huis-verbinding vanaf die konsolebediener na die Vuurtoring. Dit skep 'n SSH-luisterpoort op die vuurtoring en stel die konsolebediener op as 'n kandidaat.
Sodra die kandidaat op die vuurtoring aanvaar is, word 'n SSH-tonnel na die konsolebediener herlei oor die Call Home-verbinding. Die konsolebediener het 'n Managed Console Server geword en die Lighthouse kan met hierdie tonnel koppel en dit monitor. 3.12.2 Aanvaar Call Home-kandidaat as bestuurde konsolebediener op vuurtoring Hierdie afdeling gee 'n oorview op die opstel van die Lighthouse om konsole Lighthouse-bedieners te monitor wat via Call Home gekoppel is. Vir meer besonderhede, sien die Lighthouse-gebruikersgids:
1. Voer 'n nuwe Call Home Wagwoord op die vuurtoring in. Hierdie wagwoord word gebruik om te aanvaar
Bel Homeconnections vanaf kandidaatkonsolebedieners
2. Die vuurtoring kan gekontak word deur die konsole bediener dit moet óf 'n statiese IP hê
adres of, met DHCP, gekonfigureer word om 'n dinamiese DNS-diens te gebruik
Die Configure > Managed Console Servers skerm op die Lighthouse wys die status van
plaaslike andremote Bestuurde konsolebedieners en kandidate.
Die Bestuurde konsolebedieners-afdeling wys die konsolebedieners wat deur die
Vuurtoring. Die Bespeurde Konsolebedieners-afdeling bevat:
o Die Plaaslike konsolebedieners aftreklys wat al die konsolebedieners wat op die
dieselfde subnet as die vuurtoring, en word nie gemonitor nie
67

Hoofstuk 3: Serial Port, Device and User Configuration
o Die Remote Console Servers aftreklys wat al die konsolebedieners lys wat 'n Call Home-verbinding tot stand gebring het en nie gemonitor word nie (dws kandidate). Jy kan op Verfris klik om op te dateer
Om 'n konsolebedienerkandidaat by die Bestuurde konsolebedienerlys te voeg, kies dit uit die Afstandkonsolebedieners-aftreklys en klik Voeg by. Voer IP-adres en SSH-poort in (indien hierdie velde nie outomaties voltooi is nie) en voer 'n beskrywing en unieke naam in vir die Bestuurde Konsole-bediener wat jy byvoeg
Voer die Remote Root Wagwoord in (dws Stelselwagwoord wat op hierdie Managed Console-bediener gestel is). Hierdie wagwoord word deur die vuurtoring gebruik om outomaties gegenereerde SSH-sleutels te versprei en word nie gestoor nie. Klik Toepas. Die Lighthouse stel veilige SSH-verbindings op na en van die Managed Console Server en haal sy Bestuurde Toestelle, gebruikersrekeningbesonderhede en gekonfigureerde waarskuwings op. jy kan Gevorderde instellings konfigureer: · Voer die SSH-bedienerpoort en SSH-gebruiker in. · Voer die besonderhede in vir die SSH-poortvoorwaarts(e) om te skep
Deur Luister Bediener te kies, kan jy 'n Afgeleë poort vorentoe van die Bediener na hierdie eenheid skep, of 'n Plaaslike poort vorentoe van hierdie eenheid na die Bediener:
68

Gebruikershandleiding
· Spesifiseer 'n Luisterpoort om van aan te stuur, laat hierdie veld leeg om 'n ongebruikte poort toe te ken · Voer die teikenbediener en teikenpoort in wat die ontvanger van aangestuurde verbindings sal wees
3.13 IP-deurlaat
IP Passthrough word gebruik om 'n modemverbinding (bv. die interne sellulêre modem) te laat lyk soos 'n gewone Ethernet-verbinding na 'n derdeparty stroomaf-roeteerder, wat die stroomaf-roeteerder toelaat om die modemverbinding as 'n primêre of rugsteun-WAN-koppelvlak te gebruik.
Die Opengear-toestel verskaf die modem-IP-adres en DNS-besonderhede aan die stroomaf-toestel oor DHCP en stuur netwerkverkeer na en van die modem en router deur.
Terwyl IP Passthrough 'n Opengear omskep in 'n modem-na-Ethernet-halfbrug, kan sommige laag 4-dienste (HTTP/HTTPS/SSH) by die Opengear (Diensafsnitte) beëindig word. Dienste wat op die Opengear loop, kan ook uitgaande sellulêre verbindings inisieer, onafhanklik van die stroomaf-roeteerder.
Dit laat die Opengear toe om voort te gaan om gebruik te word vir buite-band bestuur en waarskuwing en ook bestuur word via Lighthouse, terwyl dit in IP Passthrough-modus is.
3.13.1 Stroomaf-roeteerder-opstelling Om oorskakel-verbinding op die stroomaf-roeteerder (ook bekend as Failover to Cellular of F2C) te gebruik, moet dit twee of meer WAN-koppelvlakke hê.
LET WEL Failover in IP-deurlaatkonteks word deur die stroomaf-roeteerder uitgevoer, en die ingeboude buiteband-onderbrekingslogika op die Opengear is nie beskikbaar terwyl dit in IP-deurlaatmodus is nie.
Koppel 'n Ethernet WAN-koppelvlak op die stroomaf-roeteerder aan die Opengear se netwerkkoppelvlak of bestuur LAN-poort met 'n Ethernet-kabel.
Stel hierdie koppelvlak op die stroomaf-roeteerder op om sy netwerkinstellings via DHCP te ontvang. As failover vereis word, stel die stroomaf-roeteerder op vir failover tussen sy primêre koppelvlak en die Ethernet-poort wat aan die Opengear gekoppel is.
3.13.2 IP-deurlaatvoorafkonfigurasie Voorvereiste stappe om IP-deurlaat te aktiveer is:
1. Konfigureer die netwerkkoppelvlak en waar van toepassing Bestuur LAN-koppelvlakke met statiese netwerkinstellings. · Klik Serial & Network > IP. · Vir Netwerkkoppelvlak en waar van toepassing Bestuur LAN, kies Staties vir die Konfigurasiemetode en voer die netwerkinstellings in (sien die afdeling getiteld Netwerkkonfigurasie vir gedetailleerde instruksies). · Vir die koppelvlak wat aan die stroomaf-roeteerder gekoppel is, kan jy enige toegewyde privaat netwerk kies. Hierdie netwerk bestaan slegs tussen die Opengear en stroomaf-roeteerder en is nie normaalweg toeganklik nie. · Vir die ander koppelvlak, stel dit in soos normaalweg op die plaaslike netwerk. · Vir beide koppelvlakke, laat Gateway leeg.
2. Konfigureer die modem in Always On Out-of-band-modus.
69

Hoofstuk 3: Serial Port, Device and User Configuration
· Vir 'n sellulêre verbinding, klik System > Dial: Internal Cellular Modem. · Kies Aktiveer uitbel en voer diensverskafferbesonderhede soos APN in (sien afdeling Sellulêre Modem
Verbinding vir gedetailleerde instruksies). 3.13.3 IP-deurlaatkonfigurasie Om IP-deurlaat op te stel:
· Klik Serial & Network > IP Passthrough en merk Aktiveer. · Kies die Opengear-modem om vir stroomopverbinding te gebruik. · Voer opsioneel die MAC-adres van die stroomaf-roeteerder se gekoppelde koppelvlak in. As MAC-adres is
nie gespesifiseer nie, sal die Opengear deurgaan na die eerste stroomaf-toestel wat 'n DHCP-adres versoek. · Kies die Opengear Ethernet-koppelvlak om te gebruik vir verbinding met die stroomaf-roeteerder.
· Klik Toepas. 3.13.4 Diensonderskepte Dit laat die Opengear toe om voort te gaan om dienste te lewer, bvample, vir buitebandbestuur wanneer dit in IP-deurlaatmodus is. Verbindings na die modemadres op die gespesifiseerde onderskeppoort(e) word deur die Opengear hanteer eerder as om na die stroomaf-roeteerder deur te stuur.
· Vir die vereiste diens van HTTP, HTTPS of SSH, merk Aktiveer · Verander opsioneel die Intercept Port na 'n alternatiewe poort (bv. 8443 vir HTTPS), dit is nuttig as jy
wil voortgaan om die stroomaf-roeteerder toeganklik te bly via sy gewone poort. 3.13.5 IP-deurlaatstatus Herlaai die bladsy na view die Status afdeling. Dit wys die modem se eksterne IP-adres wat deurgegee word, die interne MAC-adres van die stroomaf-roeteerder (slegs gevul wanneer die stroomaf-roeteerder die DHCP-huurkontrak aanvaar), en die algehele lopende status van die IP-deurlaatdiens. Jy kan gewaarsku word oor die failover-status van die stroomaf-roeteerder deur 'n Gerouteerde datagebruikkontrole op te stel onder Alerts & Logging > Outo-reaksie. 3.13.6 Waarskuwings Sommige stroomaf-roeteerders is dalk onversoenbaar met die poortroete. Dit kan gebeur wanneer IP Passthrough 'n 3G-sellulêre netwerk oorbrug waar die poortadres 'n punt-tot-punt bestemmingsadres is en geen subnetinligting beskikbaar is nie. Die Opengear stuur 'n DHCP-netmasker van 255.255.255.255. Toestelle beskou dit gewoonlik as 'n enkele gasheerroete op die koppelvlak, maar sommige ouer stroomaf-toestelle kan probleme hê.
70

Gebruikershandleiding
Onderskeppe vir plaaslike dienste sal nie werk as die Opengear 'n verstekroete anders as die modem gebruik nie. Hulle sal ook nie werk nie, tensy die diens geaktiveer is en toegang tot die diens geaktiveer is (sien Stelsel > Dienste, onder die Dienstoegang-oortjie, soek Inbel/Sellulêr).
Uitgaande verbindings afkomstig van Opengear na afgeleë dienste word ondersteun (bv. stuur van SMTP-e-poswaarskuwings, SNMP-lokvalle, kry NTP-tyd, IPSec-tonnels). Daar is 'n klein risiko van verbindingsfout sou beide die Opengear en die stroomaf-toestel probeer om dieselfde UDP- of TCP-poort op dieselfde afgeleë gasheer op dieselfde tyd te verkry wanneer hulle lukraak dieselfde oorspronklike plaaslike poortnommer gekies het.
3.14 Konfigurasie oor DHCP (ZTP)
Opengear-toestelle kan voorsien word tydens hul aanvanklike selflaai vanaf 'n DHCPv4- of DHCPv6-bediener met behulp van config-over-DHCP. Voorsiening op onbetroubare netwerke kan vergemaklik word deur sleutels op 'n USB-flitsskyf te verskaf. Die ZTP-funksionaliteit kan ook gebruik word om 'n firmware-opgradering uit te voer met aanvanklike verbinding met die netwerk, of om in te skryf vir 'n Lighthouse 5-instansie.
Voorbereiding Die tipiese stappe vir konfigurasie oor 'n vertroude netwerk is:
1. Stel 'n dieselfde-model Opengear-toestel op. 2. Stoor sy konfigurasie as 'n Opengear-rugsteun (.opg) file. 3. Kies Stelsel > Konfigurasie-rugsteun > Afgeleë rugsteun. 4. Klik Stoor rugsteun. 'n Rugsteunkonfigurasie file — model-name_iso-format-date_config.opg — word van die Opengear-toestel na die plaaslike stelsel afgelaai. U kan die konfigurasie as 'n xml stoor file: 1. Kies Stelsel > Konfigurasie-rugsteun > XML-konfigurasie. 'n Bewerkbare veld wat die
konfigurasie file in XML-formaat verskyn. 2. Klik in die veld om dit aktief te maak. 3. As jy enige blaaier op Windows of Linux gebruik, regskliek en kies Kies alles uit die
kontekstuele kieslys of druk Control-A. Regskliek en kies Kopieer in die kontekstuele kieslys of druk Control-C. 4. As jy enige blaaier op macOS gebruik, kies Wysig > Kies alles of druk Command-A. Kies Wysig > Kopieer of druk Command-C. 5. Skep 'n nuwe leë dokument in jou voorkeur teksredigeerder, plak die gekopieerde data in die leë dokument en stoor die file. Wat ook al file-naam wat jy kies, moet dit die .xml insluit filenaam agtervoegsel. 6. Kopieer die gestoorde .opg of .xml file na 'n openbare gids op 'n file bediener wat ten minste een van die volgende protokolle bedien: HTTPS, HTTP, FTP of TFTP. (Slegs HTTPS kan gebruik word as die verbinding tussen die file bediener en 'n Opengear-toestel wat gekonfigureer moet word, beweeg oor 'n onbetroubare netwerk.). 7. Stel jou DHCP-bediener op om 'n `verskafferspesifieke' opsie vir Opengear-toestelle in te sluit. (Dit sal op 'n DHCP-bedienerspesifieke manier gedoen word.) Die verkoperspesifieke opsie moet gestel word op 'n string wat die URL van die gepubliseerde .opg of .xml file in die stap hierbo. Die opsiestring mag nie 250 karakters oorskry nie en dit moet in óf .opg óf .xml eindig.
71

Hoofstuk 3: Serial Port, Device and User Configuration
8. Koppel 'n nuwe Opengear-toestel, óf fabriekteruggestel óf Config-Erased, aan die netwerk en sit krag aan. Dit kan tot 5 minute neem vir die toestel om homself te herlaai.
Example ISC DHCP (dhcpd) bedienerkonfigurasie
Die volgende is 'n example DHCP-bedienerkonfigurasiefragment vir die bediening van 'n .opg-konfigurasiebeeld via die ISC DHCP-bediener, dhcpd:
opsie spasie opengear kode breedte 1 lengte breedte 1; opsie opengear.config-url kode 1 = teks; klas "opengear-config-over-dhcp-test" {
pas as opsie verkoper-klas-identifiseerder ~~ “^Opengear/”; verkoper-opsie-ruimte oopgereedskap; opsie opengear.config-url "https://eksample.com/opg/${klas}.opg”; }
Hierdie opstelling kan gewysig word om die konfigurasiebeeld op te gradeer met die opengear.image-url opsie, en die verskaffing van 'n URI aan die firmwarebeeld.
Opstel wanneer die LAN onbetroubaar is As die verbinding tussen die file bediener en 'n Opengear-toestel wat gekonfigureer moet word, 'n onbetroubare netwerk insluit, kan 'n tweehandige benadering die probleem versag.
LET WEL Hierdie benadering stel twee fisiese stappe bekend waar vertroue moeilik, indien nie onmoontlik, heeltemal kan wees om te vestig. Eerstens, die bewaringsketting vanaf die skepping van die datadraende USB-flash drive tot die ontplooiing daarvan. Tweedens, die hande wat die USB-flash drive aan die Opengear-toestel koppel.
· Genereer 'n X.509-sertifikaat vir die Opengear-toestel.
· Koppel die sertifikaat en sy private sleutel in 'n enkele file genaamd client.pem.
· Kopieer client.pem na 'n USB-flitsskyf.
· Stel 'n HTTPS-bediener op sodat toegang tot die .opg of .xml file is beperk tot kliënte wat die X.509-kliëntsertifikaat kan verskaf wat hierbo gegenereer is.
· Plaas 'n afskrif van die CA-sertifikaat wat die HTTP-bediener se sertifikaat onderteken het — ca-bundle.crt — op die USB-flash drive wat client.pem dra.
· Plaas die USB-flitsskyf in die Opengear-toestel voordat jy krag of netwerk koppel.
· Gaan voort met die prosedure vanaf `Kopieer die gestoorde .opg of .xml file na 'n openbare gids op 'n file bediener' hierbo met behulp van die HTTPS-protokol tussen die kliënt en bediener.
Berei 'n USB-stasie voor en skep die X.509-sertifikaat en private sleutel
· Genereer die CA-sertifikaat sodat die kliënt- en bedienersertifikaatondertekeningversoeke (CSR's) onderteken kan word.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/reeks # eggo 00 > exampleCA/crlnommer # raak bvampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=BvampleCA # cp demoCA/cacert.pem ca-bundle.crt
Hierdie prosedure genereer 'n sertifikaat genaamd ExampleCA maar enige toegelate sertifikaatnaam kan gebruik word. Hierdie prosedure gebruik ook openssl ca. As jou organisasie 'n ondernemingwye, veilige CA-genereringsproses het, moet dit eerder gebruik word.
72

Gebruikershandleiding
· Genereer die bedienersertifikaat.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -dae 365 -in server.csr -out server.crt
-sleutelfile ca.sleutel -beleidbeleid_enigiets -batch -geen teks
LET WEL Die gasheernaam of IP-adres moet dieselfde string wees wat in die bediening gebruik word URL. In die eksamphierbo is die gasheernaam demo.example.com.
· Genereer die kliëntsertifikaat.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-sleutelfile ca.key -beleid beleid_enigiets -batch -notext # cat client.key client.crt > client.pem
· Formateer 'n USB-flash drive as 'n enkele FAT32-volume.
· Skuif die client.pem en ca-bundle.crt files op die flash drive se wortelgids.
Ontfouting van ZTP-kwessies Gebruik die ZTP-logfunksie om ZTP-kwessies te ontfout. Terwyl die toestel probeer om ZTP-bewerkings uit te voer, word loginligting na /tmp/ztp.log op die toestel geskryf.
Die volgende is 'n example van die log file van 'n suksesvolle ZTP-lopie.
# kat /tmp/ztp.log Wo. Des. 13 22:22:17 UTC 2017 [5127 kennisgewing] odhcp6c.eth0: herstel konfigurasie via DHCP Wo. Des. 13 22:22:17 UTC 2017 [5127 kennisgewing] odhcp6c: wag vir netwerk om te vereffen Wo. Des. 0 10:13:22 UTC 22 [27 kennisgewing] odhcp2017c.eth5127: NTP oorgeslaan: geen bediener Wo. Des. 6 0:13:22 UTC 22 [27 info] odhcp2017c.eth5127: 'verkoperspesie http://[fd6:0:1:07::2218]/tftpboot/config.sh' Wo 1350 Des 44:1:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (nvt) Wo 6 Des 0:2:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (nvt) Wo. Des. 6 0:3:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec. ) Wo Des 5127 6:0:4 UTC 13 [22 info] odhcp22c.eth27: vendorspec.2017 (n/a) Wo Des 5127 6:0:5 UTC 13 [22 info] odhcp22c.c.eth28: (verkoper) /a) Wo 2017 Des 5127:6:0 UTC 6 [13 info] odhcp22c.eth22: geen firmware om af te laai (verkoperspec.28) rugsteun-url: probeer http://[fd07:2218:1350:44::1]/tftpboot/config.sh … rugsteun-url: dwing wan config-modus na DHCP-rugsteun-url: stel gasheernaam na acm7004-0013c601ce97 rugsteun-url: laai geslaag Wo. Des. 13 22:22:36 UTC 2017 [5127 kennisgewing] odhcp6c.eth0: suksesvolle konfigurasie laai Wo. Des. 13/22/22) Wo Des 36 2017:5127:6 UTC 0 [3 kennisgewing] odhcp4c.eth5: voorsiening voltooi, nie herselflaai nie
Foute word in hierdie logboek aangeteken.
3.15 Inskrywing by Vuurtoring
Gebruik Enrollment into Lighthouse om Opengear-toestelle in 'n Lighthouse-instansie in te skryf, wat gesentraliseerde toegang tot konsolepoorte verskaf en sentrale opstelling van die Opengear-toestelle toelaat.
Sien die Lighthouse-gebruikersgids vir instruksies om Opengear-toestelle by Lighthouse in te skryf.
73

Hoofstuk 3: Serial Port, Device and User Configuration
3.16 Aktiveer DHCPv4 Relay
'n DHCP-aflosdiens stuur die DHCP-pakkies tussen kliënte en afgeleë DHCP-bedieners aan. DHCP-aflosdiens kan op 'n Opengear-konsolebediener geaktiveer word, sodat dit na DHCP-kliënte op aangewese onderste koppelvlakke luister, hul boodskappe omvou en aanstuur na DHCP-bedieners deur gebruik te maak van óf normale roetering, óf direk na aangewese boonste koppelvlakke uitgesaai word. Die DHCP-aflosagent ontvang dus DHCP-boodskappe en genereer 'n nuwe DHCP-boodskap om op 'n ander koppelvlak uit te stuur. In die stappe hieronder kan die konsole-bedieners aan stroombaan-ID's, Ethernet of selmodems koppel deur DHCPv4 Relay-diens te gebruik.
DHCPv4 Relay + DHCP Opsie 82 (kring-ID) Infrastruktuur – Plaaslike DHCP-bediener, ACM7004-5 vir aflos, enige ander toestelle vir kliënte. Enige toestel met LAN-rol kan as 'n aflos gebruik word. In hierdie example, die 192.168.79.242 is die adres vir die kliënt se herlei-koppelvlak (soos gedefinieer in die DHCP-bedienerkonfigurasie file hierbo) en die 192.168.79.244 is die aflosboks se boonste koppelvlakadres, en enp112s0 is die stroomaf-koppelvlak van die DHCP-bediener.
1 Infrastruktuur – DHCPv4 Relay + DHCP Opsie 82 (kring-ID)
Stappe op die DHCP-bediener 1. Stel plaaslike DHCP v4-bediener op, in die besonder, dit moet 'n "gasheer"-inskrywing bevat soos hieronder vir die DHCP-kliënt: host cm7116-2-dac { # hardeware ethernet 00:13:C6:02:7E :41; gasheer-identifiseerder opsie agent.circuit-id "relay1"; vaste-adres 192.168.79.242; } Let wel: die "hardeware ethernet"-lyn is afgemerk, sodat die DHCP-bediener van die "circuit-id" instelling gebruik sal maak om 'n adres vir relevante kliënt toe te wys. 2. Herbegin DHCP Server om sy veranderde konfigurasie te herlaai file. pkill -HUP dhcpd
74

Gebruikershandleiding
3. Voeg handmatig 'n gasheerroete by die kliënt se "oorgelei"-koppelvlak (die koppelvlak agter die DHCP-aflos, nie ander koppelvlakke wat die kliënt ook mag hê nie:
sudo ip-roete voeg 192.168.79.242/32 by via 192.168.79.244 dev enp112s0 Dit sal help om die asimmetriese roeteringprobleem te vermy wanneer die kliënt en DHCP-bediener toegang tot mekaar wil hê via die kliënt se herlei-koppelvlak, wanneer die kliënt dieselfde ander koppelvlakke in die kliënt het. subnet van die DHCP-adrespoel.
Let wel: Hierdie stap is 'n moet-hê om die dhcp-bediener te ondersteun en die kliënt wat toegang tot mekaar het.
Stappe op die Relay box – ACM7004-5
1. Stel WAN/eth0 op in statiese of dhcp-modus (nie ongekonfigureerde modus nie). As dit in statiese modus is, moet dit 'n IP-adres binne die adrespoel van die DHCP-bediener hê.
2. Pas hierdie konfigurasie toe deur CLI (waar 192.168.79.1 DHCP-bedieneradres is)
config -s config.services.dhcprelay.enabled=op config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Die onderste koppelvlak van die DHCP-aflos moet 'n statiese IP-adres binne die adrespoel van die DHCP-bediener hê. In hierdie example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=statiese config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Wag 'n kort rukkie vir die kliënt om 'n DHCP-huurkontrak via die aflos te verkry.
Stappe op die kliënt (CM7116-2-dac in hierdie example of enige ander OG CS)
1. Koppel die kliënt se LAN/eth1 aan die aflos se LAN/eth1 2. Konfigureer die kliënt se LAN om IP-adres via DHCP te kry soos gewoonlik 3. Sodra die clie

Dokumente / Hulpbronne

opengear ACM7000 Remote Site Gateway [pdfGebruikershandleiding
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Verwysings

Gebruikershandleiding

opengear ACM7000 Remote Site Gateway

Produk inligting

Produkgebruiksinstruksies

Gereelde vrae

Hierdie handleiding

Stelselkonfigurasie

Seriepoort, gasheer, toestel en gebruikerskonfigurasie

Dokumente / Hulpbronne

Verwysings

Los 'n opmerking

Kanselleer antwoord