Кіраўніцтва карыстальніка opengear ACM7000 Remote Site Gateway

Не падключайце і не адключайце кансольны сервер падчас навальніцы. Заўсёды выкарыстоўвайце гасільнік перанапружання або ІБП, каб абараніць абсталяванне ад пераходных працэсаў.

Папярэджанне FCC:

Гэта прылада адпавядае частцы 15 правілаў FCC. Эксплуатацыя гэтай прылады залежыць ад наступных умоў: (1) гэта прылада не можа выклікаць шкодных перашкод і (2) гэта прылада павінна прымаць любыя перашкоды, якія могуць выклікаць непажаданую працу.

FAQ

Пытанне: Ці магу я выкарыстоўваць шлюз аддаленага сайта ACM7000 падчас навальніцы?
- A: Не, не рэкамендуецца падключаць або адключаць кансольны сервер падчас навальніцы, каб прадухіліць пашкоджанне.

Пытанне: якой версіі правілаў FCC адпавядае прылада?
- A: Прылада адпавядае частцы 15 правілаў FCC.

View Fullscreen

Кіраўніцтва карыстальніка
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Кансольныя серверы
Версія 5.0 – 2023-12

Бяспека
Пры ўсталёўцы і эксплуатацыі кансольнага сервера выконвайце прыведзеныя ніжэй меры засцярогі: · Не здымайце металічныя крышкі. Унутры няма кампанентаў, абслугоўваемых аператарам. Адкрыццё або зняцце вечка можа падвергнуць вас небяспечнаму ўздзеяннюtage, што можа выклікаць узгаранне або паражэнне электрычным токам. Звярніце ўсе паслугі да кваліфікаванага персаналу Opengear. · Каб пазбегнуць паражэння электрычным токам, правадыр ахоўнага зазямлення шнура харчавання павінен быць падлучаны да зямлі. · Пры адключэнні шнура сілкавання ад разеткі заўсёды цягніце за вілку, а не за кабель.
Не падключайце і не адключайце кансольны сервер падчас навальніцы. Таксама выкарыстоўвайце гасільнік перанапружання або ІБП для абароны абсталявання ад пераходных працэсаў.
Папярэджанне FCC
Гэта прылада адпавядае частцы 15 правілаў FCC. Эксплуатацыя гэтай прылады залежыць ад наступнага
умовы: (1) гэта прылада не можа выклікаць шкодных перашкод, і (2) гэта прылада павінна прымаць любыя перашкоды, якія могуць выклікаць непажаданую працу.
Неабходна выкарыстоўваць належныя рэзервовыя сістэмы і неабходныя прылады бяспекі для абароны ад траўмаў, смерці або пашкоджання маёмасці з-за збою сістэмы. Адказнасць за такую абарону нясе карыстальнік. Гэта кансольная серверная прылада не зацверджана для выкарыстання ў якасці сістэмы жыццезабеспячэння або медыцынскай сістэмы. Любыя змены або мадыфікацыі, унесеныя ў гэтую кансольную серверную прыладу без відавочнага адабрэння або згоды Opengear, пазбаўляюць Opengear любой адказнасці або адказнасці за траўмы або страты, выкліканыя любой няспраўнасцю. Гэта абсталяванне прызначана для выкарыстання ў памяшканні, і ўсе камунікацыйныя правады абмежаваныя ўнутры будынка.
2

Кіраўніцтва карыстальніка
Аўтарскае права
©Opengear Inc. 2023. Усе правы абаронены. Інфармацыя ў гэтым дакуменце можа быць зменена без папярэдняга паведамлення і не з'яўляецца абавязацельствам з боку Opengear. Opengear прадастаўляе гэты дакумент "як ёсць", без якіх-небудзь гарантый, відавочных або пэўных, уключаючы, але не абмяжоўваючыся імі, пэўныя гарантыі прыдатнасці або камерцыйнай якасці для пэўнай мэты. Opengear можа ў любы час уносіць паляпшэнні і/або змены ў гэта кіраўніцтва або ў прадукт(ы) і/або праграму(ы), апісаныя ў гэтым кіраўніцтве. Гэты прадукт можа ўтрымліваць тэхнічныя недакладнасці або памылкі друку. У змешчаную тут інфармацыю перыядычна ўносяцца змены; гэтыя змены могуць быць уключаны ў новыя выданні публікацыі.\

Раздзел 1

Гэта Кіраўніцтва

ГЭТЫ КІРАЎНІК

У гэтым Кіраўніцтве карыстальніка тлумачыцца ўстаноўка, эксплуатацыя і кіраванне кансольнымі серверамі Opengear. Гэта кіраўніцтва мяркуе, што вы знаёмыя з Інтэрнэтам і IP-сеткамі, HTTP, FTP, асноўнымі аперацыямі бяспекі і ўнутранай сеткай вашай арганізацыі.
1.1 Тыпы карыстальнікаў
Кансольны сервер падтрымлівае два класы карыстальнікаў:
· Адміністратары, якія маюць неабмежаваныя правы канфігурацыі і кіравання кансоллю
сервер і падключаныя прылады, а таксама ўсе службы і парты для кіравання ўсімі паслядоўна падлучанымі прыладамі і прыладамі, падлучанымі да сеткі (хастамі). Адміністратары настроены як члены групы карыстальнікаў адміністратара. Адміністратар можа атрымаць доступ і кіраваць кансольным серверам з дапамогай утыліты канфігурацыі, каманднага радка Linux або кансолі кіравання на аснове браўзера.
· Карыстальнікі, для якіх адміністратарам устаноўлены абмежаванні доступу і паўнамоцтвы кантролю.
Карыстальнікі абмежаваныя view Кансолі кіравання і можа атрымаць доступ толькі да аўтарызаваных настроеных прылад і паўторнаview часопісы партоў. Гэтыя карыстальнікі настроены як члены адной або некалькіх папярэдне настроеных груп карыстальнікаў, такіх як PPTPD, dialin, FTP, pmshell, карыстальнікі або групы карыстальнікаў, якія мог стварыць адміністратар. Яны ўпаўнаважаны толькі для выканання вызначаных элементаў кіравання на пэўных падлучаных прыладах. Карыстальнікі пры аўтарызацыі могуць атрымліваць доступ і кантраляваць паслядоўныя або сеткавыя прылады з дапамогай пэўных службаў (напрыклад, Telnet, HHTPS, RDP, IPMI, паслядоўны серыял праз лакальную сетку, кантроль харчавання). Аддаленыя карыстальнікі - гэта карыстальнікі, якія не знаходзяцца ў тым жа сегменце лакальнай сеткі, што і сервер кансолі. Аддалены карыстальнік можа быць у дарозе, падключаючыся да кіраваных прылад праз агульнадаступны Інтэрнэт, адміністратар у іншым офісе, падключаючыся да сервера кансолі праз карпаратыўную VPN, або ў тым жа пакоі або ў тым жа офісе, але падключаны да кансолі па асобнай VLAN сервер.
1.2 Кансоль кіравання
Кансоль кіравання Opengear дазваляе наладжваць і кантраляваць функцыі кансольнага сервера Opengear. Кансоль кіравання працуе ў браўзеры і забяспечвае a view кансольнага сервера і ўсіх падлучаных прылад. Адміністратары могуць выкарыстоўваць кансоль кіравання для канфігурацыі і кіравання кансольным серверам, карыстальнікамі, партамі, хастамі, прыладамі харчавання і звязанымі журналамі і абвесткамі. Карыстальнікі, якія не з'яўляюцца адміністратарамі, могуць выкарыстоўваць кансоль кіравання з абмежаваным доступам да меню для кіравання выбранымі прыладамі, напрview іх часопісы і доступ да іх з дапамогай убуд Web тэрмінал.
Кансольны сервер працуе пад кіраваннем убудаванай аперацыйнай сістэмы Linux і можа быць настроены ў камандным радку. Вы можаце атрымаць доступ да каманднага радка праз сотавую сетку / камутаваны доступ, непасрэдна падключыўшыся да паслядоўнага кансольнага/мадэмнага порта сервера кансолі або выкарыстоўваючы SSH або Telnet для падлучэння да сервера кансолі праз лакальную сетку (або падключыўшыся праз PPTP, IPsec або OpenVPN) .
6

Кіраўніцтва карыстальніка
Для атрымання каманд інтэрфейсу каманднага радка (CLI) і дадатковых інструкцый спампуйце Opengear CLI and Scripting Reference.pdf з https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Дадатковая інфармацыя
Для атрымання дадатковай інфармацыі звярніцеся да: · Opengear Products Web Сайт: глядзіце https://opengear.com/products. Каб атрымаць самую свежую інфармацыю аб тым, што ўключана ў ваш кансольны сервер, наведайце раздзел «Што ўключана» для вашага канкрэтнага прадукту. · Кароткае кіраўніцтва: каб атрымаць кароткае кіраўніцтва для вашай прылады, перайдзіце на https://opengear.com/support/documentation/. · База ведаў Opengear: наведайце https://opengear.zendesk.com, каб атрымаць доступ да артыкулаў з тэхнічнымі інструкцыямі, тэхнічных парад, адказаў на часта задаваныя пытанні і важных апавяшчэнняў. · Opengear CLI і даведка па сцэнарыях: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Раздзел 2:

Канфігурацыя сістэмы

КОНФІГУРАЦЫЯ СІСТЭМЫ

У гэтай главе прыводзяцца пакрокавыя інструкцыі па першапачатковай канфігурацыі вашага кансольнага сервера і падключэнні яго да лакальнай сеткі кіравання або аперацыйнай лакальнай сеткі. Крокі:
Актывуйце кансоль кіравання. Змяніць пароль адміністратара. Усталюйце IP-адрас галоўнага порта LAN сервера кансолі. Выберыце паслугі, якія трэба ўключыць, і прывілеі доступу. У гэтай главе таксама абмяркоўваюцца сродкі камунікацыйнага праграмнага забеспячэння, якія адміністратар можа выкарыстоўваць для доступу да кансольнага сервера, і канфігурацыя дадатковых партоў LAN.
2.1 Падключэнне да кансолі кіравання
Ваш кансольны сервер пастаўляецца з IP-адрасам па змаўчанні 192.168.0.1 і маскай падсеткі 255.255.255.0 для NET1 (WAN). Для пачатковай канфігурацыі мы рэкамендуем падключыць кампутар непасрэдна да кансолі. Калі вы вырашылі падключыць лакальную сетку перад выкананнем пачатковых этапаў наладкі, пераканайцеся, што:
· У лакальнай сетцы няма іншых прылад з адрасам 192.168.0.1. · Кансольны сервер і камп'ютар знаходзяцца ў адным сегменце лакальнай сеткі, без устаўленага маршрутызатара
прыборы.
2.1.1 Настройка падлучанага кампутара Каб наладзіць кансольны сервер з браўзерам, падлучаны кампутар павінен мець IP-адрас таго ж дыяпазону, што і кансольны сервер (напрыклад,ample, 192.168.0.100):
· Каб наладзіць IP-адрас вашага кампутара Linux або Unix, запусціце ifconfig. · Для ПК з Windows:
1. Пстрыкніце Пуск > Настройкі > Панэль кіравання і двойчы пстрыкніце Сеткавыя падключэнні. 2. Пстрыкніце правай кнопкай мышы на Падключэнне па лакальнай сеткі і абярыце Уласцівасці. 3. Выберыце Інтэрнэт-пратакол (TCP/IP) і націсніце Уласцівасці. 4. Выберыце Выкарыстоўваць наступны IP-адрас і ўвядзіце наступныя дадзеныя:
o IP-адрас: 192.168.0.100 o Маска падсеткі: 255.255.255.0 5. Калі вы жадаеце захаваць існуючыя налады IP для гэтага сеткавага злучэння, націсніце «Дадаткова» і «Дадайце» вышэй у якасці другаснага IP-злучэння.
2.1.2 Падключэнне браўзера
Адкрыйце браўзер на падлучаным ПК / працоўнай станцыі і ўвядзіце https://192.168.0.1.
Увайдзіце праз:
Імя карыстальніка> пароль root> па змаўчанні
8

Кіраўніцтва карыстальніка
Пры першым ўваходзе ў сістэму вам неабходна змяніць пароль root. Націсніце Адправіць.
Каб завяршыць змяненне, увядзіце новы пароль яшчэ раз. Націсніце Адправіць. З'явіцца экран прывітання.
Калі ў вашай сістэме ёсць сотавы мадэм, вам будуць прапанаваны наступныя дзеянні для наладжвання функцый сотавага маршрутызатара: · Наладзьце злучэнне сотавага мадэма (Сістэма > Старонка набору нумара. Гл. Раздзел 4) · Дазволіць перанакіраванне ў сотавую сетку прызначэння (Сістэма > Брандмаўэр). Глядзіце раздзел 4) · Уключыце IP-маскіраванне для сотавага злучэння (старонка «Сістэма > Брандмаўэр». Глядзіце раздзел 4)
Пасля завяршэння кожнага з вышэйзгаданых крокаў вы можаце вярнуцца да спісу канфігурацыі, націснуўшы лагатып Opengear у левым верхнім куце экрана. УВАГА Калі вы не можаце падключыцца да кансолі кіравання па адрасе 192.168.0.1 або па змаўчанні
Імя карыстальніка / пароль не прымаюцца, скіньце сервер кансолі (гл. раздзел 10).
9

Раздзел 2: Канфігурацыя сістэмы
2.2 Налада адміністратара
2.2.1 Змяніць стандартны сістэмны пароль root Ад вас патрабуецца змяніць пароль root пры першым ўваходзе ў прыладу. Вы можаце змяніць гэты пароль у любы час.
1. Націсніце Паслядоўны і сеткавы порт > Карыстальнікі і групы або на экране прывітання націсніце Змяніць стандартны пароль адміністравання.
2. Пракруціце ўніз і знайдзіце запіс каранёвага карыстальніка ў раздзеле «Карыстальнікі» і націсніце «Рэдагаваць». 3. Увядзіце новы пароль у палі Пароль і Пацверджанне.
ЗАЎВАГА. Праверка «Захаваць пароль» пры выдаленні ўбудаванага праграмнага забеспячэння захоўвае пароль, каб ён не сціраўся пры скідзе ўбудаванага праграмнага забеспячэння. Калі гэты пароль будзе згублены, трэба будзе аднавіць прашыўку прылады.
4. Націсніце Ужыць. Увайдзіце з новым паролем. 2.2.2 Наладзьце новага адміністратара Стварыце новага карыстальніка з правамі адміністратара і ўвайдзіце ў сістэму як гэтага карыстальніка для выканання функцый адміністравання, а не з дапамогай root.
10

Кіраўніцтва карыстальніка
1. Націсніце Паслядоўны і сеткавы порт > Карыстальнікі і групы. Пракруціце старонку ўнізе і націсніце кнопку «Дадаць карыстальніка».
2. Увядзіце імя карыстальніка. 3. У раздзеле "Групы" адзначце поле адміністратара. 4. Увядзіце пароль у палі Пароль і Пацверджанне.
5. Вы таксама можаце дадаць аўтарызаваныя ключы SSH і адключыць аўтэнтыфікацыю пароля для гэтага карыстальніка.
6. На гэтай старонцы можна задаць дадатковыя параметры для гэтага карыстальніка, у тым ліку параметры далучэння, даступныя хасты, даступныя парты і даступныя разеткі RPC.
7. Націсніце кнопку «Ужыць» у ніжняй частцы экрана, каб стварыць гэтага новага карыстальніка.
11

Раздзел 2: Канфігурацыя сістэмы
2.2.3 Дадайце імя сістэмы, апісанне сістэмы і MOTD. 1. Абярыце Сістэма > Адміністраванне. 2. Увядзіце імя сістэмы і апісанне сістэмы для кансольнага сервера, каб даць яму унікальны ідэнтыфікатар і палегчыць ідэнтыфікацыю. Імя сістэмы можа змяшчаць ад 1 да 64 літарна-лічбавых сімвалаў і спецыяльныя сімвалы падкрэслівання (_), мінус (-) і кропкі (.). Апісанне сістэмы можа змяшчаць да 254 сімвалаў.
3. Банер MOTD можна выкарыстоўваць для адлюстравання карыстальнікам тэксту паведамлення дня. Ён з'яўляецца ў левым верхнім куце экрана пад лагатыпам Opengear.
4. Націсніце Ужыць.
12

Раздзел 2: Канфігурацыя сістэмы
5. Абярыце Сістэма > Адміністраванне. 6. Банер MOTD можна выкарыстоўваць для адлюстравання карыстальнікам тэксту паведамлення дня. З'яўляецца на
у левым верхнім куце экрана пад лагатыпам Opengear. 7. Націсніце Ужыць.
2.3 Канфігурацыя сеткі
Увядзіце IP-адрас для асноўнага порта Ethernet (LAN/Network/Network1) на серверы кансолі або ўключыце яго кліент DHCP для аўтаматычнага атрымання IP-адраса ад сервера DHCP. Па змаўчанні на кансольным серверы ўключаны кліент DHCP, і ён аўтаматычна прымае любы сеткавы IP-адрас, прызначаны серверам DHCP у вашай сетцы. У гэтым першапачатковым стане сервер кансолі будзе адказваць як на свой статычны адрас па змаўчанні 192.168.0.1, так і на свой DHCP-адрас.
1. Націсніце Сістэма > IP і націсніце ўкладку Сеткавы інтэрфейс. 2. Абярыце DHCP або Static для метаду канфігурацыі.
Калі вы выбіраеце «Статычны», увядзіце IP-адрас, маску падсеткі, шлюз і звесткі аб серверы DNS. Гэты выбар адключае кліент DHCP.
12

Кіраўніцтва карыстальніка
3. Порт LAN кансольнага сервера аўтаматычна вызначае хуткасць злучэння Ethernet. Скарыстайцеся выпадальным спісам "Медыя", каб заблакіраваць Ethernet на 10 Мбіт/с або 100 Мбіт/с і на поўны або паўдуплексны рэжым.
Калі вы сутыкнуліся са стратай пакетаў або нізкай прадукцыйнасцю сеткі пры наладзе Auto, змяніце налады Ethernet Media на кансольным серверы і прыладзе, да якой ён падключаны. У большасці выпадкаў зменіце абодва на 100baseTx-FD (100 мегабіт, поўны дуплекс).
4. Калі вы выбіраеце DHCP, кансольны сервер будзе шукаць дэталі канфігурацыі з сервера DHCP. Гэты выбар адключае любыя статычныя адрасы. MAC-адрас кансольнага сервера можна знайсці на этыкетцы на базавай пласціне.
5. Вы можаце ўвесці другасны адрас або спіс адрасоў праз коскі ў запісе CIDR, напрыклад, 192.168.1.1/24 у якасці IP-псеўданіма.
6. Націсніце "Ужыць". 7. Зноў падключыце браўзер на кампутары, падлучаным да сервера кансолі, увёўшы
http://your new IP address.
Калі вы зменіце IP-адрас кансольнага сервера, вам неабходна пераналадзіць ваш кампутар, каб мець IP-адрас у тым жа дыяпазоне сеткі, што і новы адрас кансольнага сервера. Вы можаце ўсталяваць MTU на інтэрфейсах Ethernet. Гэта пашыраны параметр, які выкарыстоўваецца, калі ваш сцэнар разгортвання не працуе з MTU па змаўчанні ў 1500 байт. Каб усталяваць MTU, націсніце Сістэма > IP і націсніце ўкладку Сеткавы інтэрфейс. Пракруціце ўніз да поля MTU і ўвядзіце патрэбнае значэнне. Дапушчальныя значэнні ад 1280 да 1500 для 100-мегабітных інтэрфейсаў і ад 1280 да 9100 для гігабітных інтэрфейсаў. Калі мост або злучэнне наладжана, MTU, усталяваны на старонцы сеткавага інтэрфейсу, будзе ўсталяваны на інтэрфейсах, якія з'яўляюцца часткай моста або сувязі . УВАГА У некаторых выпадках указаны карыстальнікам MTU можа не дзейнічаць. Некаторыя драйверы NIC могуць акругляць занадта вялікія MTU да максімальна дазволенага значэння, а іншыя вяртаюць код памылкі. Вы таксама можаце выкарыстоўваць каманду CLI для кіравання MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 праверка
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode канфігурацыя без стану .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Раздзел 2: Канфігурацыя сістэмы
2.3.1 Канфігурацыя IPv6 Інтэрфейсы Ethernet кансольнага сервера падтрымліваюць IPv4 па змаўчанні. Іх можна наладзіць для працы IPv6:
1. Націсніце Сістэма > IP. Пстрыкніце ўкладку «Агульныя налады» і адзначце «Уключыць IPv6». Пры жаданні пастаўце сцяжок «Адключыць IPv6 для сотавай сувязі».
2. Наладзьце параметры IPv6 на кожнай старонцы інтэрфейсу. IPv6 можа быць сканфігураваны альбо для аўтаматычнага рэжыму, які будзе выкарыстоўваць SLAAC або DHCPv6 для канфігурацыі адрасоў, маршрутаў і DNS, альбо для статычнага рэжыму, які дазваляе ўводзіць адрасную інфармацыю ўручную.
2.3.2 Канфігурацыя дынамічнага DNS (DDNS) З дапамогай дынамічнага DNS (DDNS) кансольны сервер, IP-адрас якога прызначаецца дынамічна, можа быць размешчаны з дапамогай фіксаванага хоста або даменнага імя. Стварыце ўліковы запіс у выбранага вамі пастаўшчыка паслуг DDNS. Калі вы наладжваеце свой уліковы запіс DDNS, вы выбіраеце імя карыстальніка, пароль і імя хаста, якія будзеце выкарыстоўваць у якасці імя DNS. Пастаўшчыкі паслуг DDNS дазваляюць выбраць імя хаста URL і ўсталяваць пачатковы IP-адрас, які адпавядае гэтаму імені хаста URL.
14

Кіраўніцтва карыстальніка
Для таго, каб уключыць і наладзіць DDNS для любога Ethernet-злучэння або сотавай сеткі на серверы кансолі. 1. Націсніце Сістэма > IP і пракруціце ўніз раздзел Дынамічны DNS. Выберыце пастаўшчыка паслуг DDNS
з выпадальнага спісу Dynamic DNS. Вы таксама можаце ўсталяваць інфармацыю DDNS на ўкладцы Cellular Modem у раздзеле System > Dial.
2. У полі DDNS Hostname увядзіце поўнае імя хаста DNS для вашага кансольнага сервера, напрыклад, yourhostname.dyndns.org.
3. Увядзіце імя карыстальніка DDNS і пароль DDNS для ўліковага запісу пастаўшчыка паслуг DDNS. 4. Укажыце Максімальны інтэрвал паміж абнаўленнямі ў днях. Абнаўленне DDNS будзе адпраўлена, нават калі
адрас не змяніўся. 5. Укажыце Мінімальны інтэрвал паміж праверкамі змененых адрасоў у секундах. Абнаўленні будуць
будзе адпраўлена, калі адрас змяніўся. 6. Укажыце Максімальную колькасць спробаў на абнаўленне, якое паказвае колькасць спроб абнаўлення
перш чым адмовіцца. Гэта 3 па змаўчанні. 7. Націсніце Ужыць.
15

Раздзел 2: Канфігурацыя сістэмы
2.3.3 Рэжым EAPoL для WAN, LAN і OOBFO
(OOBFO прымяняецца толькі да IM7216-2-24E-DAC)
Скончанаview EAPoL IEEE 802.1X або PNAC (кантроль доступу да сеткі на аснове партоў) выкарыстоўвае характарыстыкі фізічнага доступу інфраструктур лакальнай сеткі IEEE 802, каб забяспечыць сродкі аўтэнтыфікацыі і аўтарызацыі прылад, падлучаных да порта лакальнай сеткі, які мае кропку- характарыстыкі кропкавага злучэння і прадухілення доступу да гэтага порта ў выпадках, калі аўтэнтыфікацыя і аўтарызацыя не ўдаюцца. Порт у гэтым кантэксце - гэта адзіны пункт далучэння да інфраструктуры лакальнай сеткі.
Калі новы бесправадны або правадной вузел (WN) запытвае доступ да рэсурсу лакальнай сеткі, кропка доступу (AP) запытвае ідэнтыфікацыю WN. Ніякі іншы трафік, акрамя EAP, не дазваляецца да аўтэнтыфікацыі WN («порт» зачынены або «не аўтэнтыфікаваны»). Бесправадны вузел, які запытвае аўтэнтыфікацыю, часта называюць Supplicant, Supplicant адказвае за адказ на дадзеныя Authenticator, якія ўсталююць яго ўліковыя дадзеныя. Тое ж самае тычыцца кропкі доступу; Authenticator не з'яўляецца кропкай доступу. Наадварот, кропка доступу змяшчае Аўтэнтыфікатар. Аўтэнтыфікатар не павінен знаходзіцца ў кропцы доступу; гэта можа быць знешні кампанент. Рэалізаваны наступныя метады аўтэнтыфікацыі:
· Заяўнік EAP-MD5 o Метад EAP MD5-Challenge выкарыстоўвае простае імя карыстальніка/пароль
· EAP-PEAP-MD5 o Метад аўтэнтыфікацыі EAP PEAP (абаронены EAP) MD5 выкарыстоўвае ўліковыя даныя карыстальніка і сертыфікат ЦС
· EAP-TLS o Метад аўтэнтыфікацыі EAP TLS (Transport Layer Security) патрабуе сертыфіката ЦС, сертыфіката кліента і закрытага ключа.
Пратакол EAP, які выкарыстоўваецца для аўтэнтыфікацыі, першапачаткова выкарыстоўваўся для камутаванага PPP. Ідэнтычнасцю было імя карыстальніка, а для праверкі пароля карыстальніка выкарыстоўвалася аўтэнтыфікацыя PAP або CHAP. Паколькі ідэнтыфікацыйныя дадзеныя адпраўляюцца ў чыстым выглядзе (не зашыфраваныя), шкоднасны сніфер можа даведацца асобу карыстальніка. Таму выкарыстоўваецца «ўтойванне асобы»; сапраўдная асоба не адпраўляецца да таго, як зашыфраваны тунэль TLS падымецца.
16

Кіраўніцтва карыстальніка
Пасля адпраўкі пасведчання пачынаецца працэс аўтэнтыфікацыі. Пратакол, які выкарыстоўваецца паміж заяўнікам і аўтэнтыфікатарам, - EAP (або EAPoL). Аўтэнтыфікатар паўторна інкапсулюе паведамленні EAP у фармат RADIUS і перадае іх на сервер аўтэнтыфікацыі. Падчас аўтэнтыфікацыі Аўтэнтыфікатар перадае пакеты паміж Суплікантам і Серверам аўтэнтыфікацыі. Калі працэс аўтэнтыфікацыі завершаны, сервер аўтэнтыфікацыі адпраўляе паведамленне аб паспяховым выкананні (або аб збоі, калі аўтэнтыфікацыя не прайшла). Затым Аўтэнтыфікатар адкрывае «порт» для Заяўніка. Налады аўтэнтыфікацыі можна атрымаць на старонцы налад заяўніка EAPoL. Стан бягучага EAPoL дэталёва адлюстроўваецца на старонцы "Статыстыка стану" на ўкладцы EAPoL:
Абстракцыя EAPoL на сеткавых РОЛЯХ адлюстроўваецца ў раздзеле «Дыспетчар злучэнняў» на інтэрфейсе панэлі кіравання.
17

Раздзел 2: Канфігурацыя сістэмы
Ніжэй паказаны былыampфайл паспяховай аўтэнтыфікацыі:
Падтрымка IEEE 802.1x (EAPOL) на партах камутатара IM7216-2-24E-DAC і ACM7004-5: Каб пазбегнуць завес, карыстальнікі не павінны падключаць больш за адзін порт камутатара да аднаго камутатара верхняга ўзроўню.
18

Кіраўніцтва карыстальніка
2.4 Доступ да службы і абарона грубай сілы
Адміністратар можа атрымаць доступ да кансольнага сервера і падлучаных паслядоўных партоў і кіраваных прылад з выкарыстаннем шэрагу пратаколаў/сэрвісаў доступу. Для кожнага доступу
· Сэрвіс спачатку павінен быць сканфігураваны і ўключаны для запуску на кансольным серверы. · Доступ праз брандмаўэр павінен быць уключаны для кожнага сеткавага злучэння. Каб уключыць і наладзіць службу: 1. Пстрыкніце Сістэма > Службы і націсніце ўкладку Налады службы.

2. Уключыце і наладзьце асноўныя службы:

HTTP

Служба HTTP працуе па змаўчанні і не можа быць цалкам адключана. Па змаўчанні доступ HTTP адключаны на ўсіх інтэрфейсах. Мы рэкамендуем пакінуць гэты доступ адключаным, калі доступ да сервера кансолі ажыццяўляецца аддалена праз Інтэрнэт.
Альтэрнатыўны HTTP дазваляе наладзіць альтэрнатыўны порт HTTP для праслухоўвання. Служба HTTP будзе працягваць праслухоўванне TCP-порта 80 для сувязі з CMS і злучальнікам, але будзе недаступная праз брандмаўэр.

HTTPS

Па змаўчанні служба HTTPS працуе і ўключана на ўсіх сеткавых інтэрфейсах. Рэкамендуецца выкарыстоўваць толькі доступ па пратаколе HTTPS, калі кансольным серверам трэба кіраваць праз любую агульнадаступную сетку. Гэта забяспечвае бяспечны доступ адміністратараў да ўсіх меню на серверы кансолі. Гэта таксама дазваляе адпаведна настроеным карыстальнікам бяспечны доступ у браўзеры да выбраных меню кіравання.
Службу HTTPS можна адключыць або зноў уключыць, пазначыўшы HTTPS Web Указаны порт кіравання і альтэрнатыўны порт (порт па змаўчанні - 443).

Telnet

Па змаўчанні служба Telnet працуе, але адключана на ўсіх сеткавых інтэрфейсах.
Telnet можна выкарыстоўваць, каб даць адміністратару доступ да абалонкі каманднага радка сістэмы. Гэтая паслуга можа быць карыснай для лакальнага адміністратара і доступу карыстальнікаў да выбраных паслядоўных кансоляў. Мы рэкамендуем вам адключыць гэтую службу, калі кансольны сервер кіруецца выдалена.
Сцяжок «Уключыць камандную абалонку Telnet» дазволіць уключыць або адключыць службу Telnet. Альтэрнатыўны порт Telnet для праслухоўвання можа быць указаны ў Alternate Telnet Port (порт па змаўчанні 23).

Раздзел 2: Канфігурацыя сістэмы

SSH

Гэтая паслуга забяспечвае бяспечны доступ па SSH да кансольнага сервера і падключаных прылад

і па змаўчанні служба SSH працуе і ўключана на ўсіх інтэрфейсах. Гэта

рэкамендуецца выбраць SSH у якасці пратакола, да якога падключаецца адміністратар

сервер кансолі праз Інтэрнэт або любую іншую публічную сетку. Гэта забяспечыць

аўтэнтыфікаваныя сувязі паміж кліенцкай праграмай SSH на выдаленым

кампутар і сервер SSH на кансольным серверы. Для атрымання дадатковай інфармацыі аб SSH

канфігурацыя Глядзіце раздзел 8 – Аўтэнтыфікацыя.

Сцяжок «Уключыць камандную абалонку SSH» дазволіць уключыць або адключыць гэту службу. Альтэрнатыўны порт SSH для праслухоўвання можа быць указаны ў порту каманднай абалонкі SSH (порт па змаўчанні 22).

3. Уключыце і наладзьце іншыя службы:

TFTP/FTP Калі флэш-карта USB або ўнутраная флэш-карта выяўлена на кансольным серверы, галачка Уключыць службу TFTP (FTP) уключае гэту паслугу і наладжвае tftp і ftp-сервер па змаўчанні на USB-флэшцы. Гэтыя серверы выкарыстоўваюцца для захоўвання канфігурацыі files, весці доступ і часопісы транзакцый і г.д. FileПерададзеныя з дапамогай tftp і ftp будуць захоўвацца ў /var/mnt/storage.usb/tftpboot/ (або /var/mnt/storage.nvlog/tftpboot/ на прыладах серыі ACM7000). Зняўшы сцяжок Уключыць службу TFTP (FTP), служба TFTP (FTP) будзе адключана.

Праверка DNS Relay Enable DNS Server/Relay уключае функцыю DNS relay, каб кліенты маглі канфігураваць IP-адрас кансольнага сервера для налад DNS-сервера, і кансольны сервер будзе перасылаць DNS-запыты на сапраўдны DNS-сервер.

Web Уключыць праверку тэрмінала Web Тэрмінал дазваляе web доступ браўзэра да абалонкі каманднага радка сістэмы праз Кіраванне > Тэрмінал.

4. Укажыце альтэрнатыўныя нумары партоў для службаў Raw TCP, прамога Telnet/SSH і службаў Telnet/SSH без аўтэнтыфікацыі. Кансольны сервер выкарыстоўвае пэўныя дыяпазоны для партоў TCP/IP для рознага доступу
паслугі, якія карыстальнікі могуць выкарыстоўваць для доступу да прылад, падлучаных да паслядоўных партоў (як апісана ў раздзеле 3 Налада паслядоўных партоў). Адміністратар можа ўсталяваць альтэрнатыўныя дыяпазоны для гэтых службаў, і гэтыя другасныя парты будуць выкарыстоўвацца ў дадатак да стандартных.

Базавы адрас порта TCP/IP для доступу па Telnet па змаўчанні - 2000, а дыяпазон для Telnet - IP-адрас: порт (2000 + нумар паслядоўнага порта), г. зн. 2001 2048. Калі б адміністратар усталяваў 8000 у якасці другаснай базы для Telnet, паслядоўны порт № 2 на серверы кансолі можа быць доступ Telnet па IP
Адрас: 2002 і IP-адрас: 8002. База па змаўчанні для SSH складае 3000; для Raw TCP - 4000; і для RFC2217 гэта 5000

5. Іншыя паслугі можна ўключыць і наладзіць з гэтага меню, выбраўшы Націсніце тут, каб наладзіць:

Nagios Доступ да дэманаў маніторынгу Nagios NRPE

АРЕШКА

Доступ да дэмана маніторынгу NUT UPS

SNMP Уключае SNMP на кансольным серверы. SNMP адключаны па змаўчанні

NTP

6. Націсніце Ужыць. З'явіцца паведамленне пацверджання: Паведамленне Змены канфігурацыі ўдаліся

У наладах доступу да паслуг можна дазволіць або заблакіраваць доступ. Гэта вызначае, якія ўключаныя службы адміністратары могуць выкарыстоўваць праз кожны сеткавы інтэрфейс для падлучэння да кансольнага сервера і праз кансольны сервер да паслядоўных і сеткавых прылад.

Кіраўніцтва карыстальніка
1. Выберыце ўкладку «Доступ да службы» на старонцы «Сістэма» > «Службы».
2. Гэта адлюстроўвае ўключаныя службы для сеткавых інтэрфейсаў кансольнага сервера. У залежнасці ад канкрэтнай мадэлі кансольнага сервера, якія адлюстроўваюцца інтэрфейсы могуць уключаць у сябе: · Сеткавы інтэрфейс (для асноўнага Ethernet-злучэння) · Кіраванне LAN / OOB Failover (другое Ethernet-злучэнне) · Dialout / Cellular (V90 і 3G мадэм) · Dial-in (унутраны) або знешні мадэм V90) · VPN (злучэнне IPsec або Open VPN праз любы сеткавы інтэрфейс)
3. Адзначце/зніміце галачку для кожнай сеткі, які доступ да сэрвісаў павінен быць уключаны/адключаны Параметры доступу да сэрвісу «Адказаць на рэха ICMP» (напрыклад, пінг), якія можна наладзіць у гэтымtagд. Гэта дазваляе серверу кансолі адказваць на ўваходныя рэха-запыты ICMP. Пінг уключаны па змаўчанні. Для павышэння бяспекі вам варта адключыць гэту службу пасля завяршэння першапачатковай канфігурацыі. Вы можаце дазволіць доступ да прылад з паслядоўным портам з прызначаных сеткавых інтэрфейсаў з дапамогай Raw TCP, прамога Telnet/SSH, неаўтэнтыфікаваных службаў Telnet/SSH і г.д.
4. Націсніце Ужыць Web Налады кіравання. Сцяжок "Уключыць HSTS" уключае строгую бяспеку транспарту HTTP. Рэжым HSTS азначае, што загаловак StrictTransport-Security павінен быць адпраўлены праз транспарт HTTPS. Згаворлівы web браўзер запамінае гэты загаловак, і калі яго просяць звязацца з тым жа хостам праз HTTP (звычайны), ён аўтаматычна пераключыцца на яго
19

Раздзел 2: Канфігурацыя сістэмы
HTTPS перад спробай HTTP, пры ўмове, што браўзер адзін раз атрымаў доступ да бяспечнага сайта і ўбачыў загаловак STS.
Абарона грубай сілай Абарона грубай сілай (Micro Fail2ban) часова блакуе зыходныя IP-адрасы, якія дэманструюць шкоднасныя прыкметы, такія як занадта шмат памылак пароляў. Гэта можа дапамагчы, калі сеткавыя службы прылады падвяргаюцца ўздзеянню ненадзейнай сеткі, такой як агульнадаступная WAN, і атакі па сцэнарыю або праграмныя чарвякі спрабуюць адгадаць (грубая сіла) уліковыя даныя карыстальніка і атрымаць несанкцыянаваны доступ.

Для пералічаных службаў можа быць уключана абарона грубай сілы. Па змаўчанні, калі абарона ўключана, 3 або больш няўдалых спроб злучэння на працягу 60 секунд з пэўнага зыходнага IP выклікаюць забарону на злучэнне на працягу канфігураванага перыяду часу. Ліміт спроб і тайм-аўт забароны можна наладзіць. Таксама пералічаны актыўныя забароны, якія можна абнавіць, перазагрузіўшы старонку.

УВАГА

Пры працы ў ненадзейнай сетцы падумайце аб выкарыстанні розных стратэгій, якія выкарыстоўваюцца для блакіроўкі аддаленага доступу. Гэта ўключае ў сябе аўтэнтыфікацыю з адкрытым ключом SSH, VPN і правілы брандмаўэра
дазволены спіс аддаленага доступу толькі з надзейных зыходных сетак. Падрабязнасці глядзіце ў базе ведаў Opengear.

Камунікацыйнае праграмнае забеспячэнне 2.5
Вы наладзілі пратаколы доступу для выкарыстання кліентам адміністратара пры падключэнні да сервера кансолі. Карыстальніцкія кліенты таксама выкарыстоўваюць гэтыя пратаколы пры доступе да паслядоўна падключаных прылад кансольнага сервера і сеткавых хостаў. Вам патрэбны камунікацыйныя праграмныя сродкі, наладжаныя на кліенцкім кампутары адміністратара і карыстальніка. Для падлучэння вы можаце выкарыстоўваць такія інструменты, як PuTTY і SSHTerm.

Кіраўніцтва карыстальніка
Камерцыйна даступныя раздымы злучаюць надзейны пратакол тунэлявання SSH з папулярнымі інструментамі доступу, такімі як Telnet, SSH, HTTP, HTTPS, VNC, RDP, каб забяспечыць бяспечны доступ да аддаленага кіравання "націсні і пстрыкні" ўсім сістэмам і прыладам, якімі кіруем. Інфармацыю аб выкарыстанні канектараў для доступу браўзера да кансолі кіравання кансольнага сервера, доступу Telnet/SSH да каманднага радка кансольнага сервера і TCP/UDP-злучэння з хостамі, падлучанымі па сетцы да кансольнага сервера, можна знайсці ў раздзеле 5. Раздымы могуць быць усталёўваецца на ПК з Windows, Mac OS X і ў большасці сістэм Linux, UNIX і Solaris.
2.6 Канфігурацыя сеткі кіравання
Кансольныя серверы маюць дадатковыя сеткавыя парты, якія можна наладзіць для забеспячэння доступу да лакальнай сеткі кіравання і/або пераключэння пры збоях або доступу па-за сеткай. 2.6.1 Уключыць кансоль кіравання лакальнай сеткай. Серверы можна наладзіць так, каб другі порт Ethernet забяспечваў шлюз лакальнай сеткі кіравання. Шлюз мае функцыі брандмаўэра, маршрутызатара і сервера DHCP. Вам трэба падключыць знешні камутатар лакальнай сеткі да сеткі 2, каб далучыць хосты да гэтай лакальнай сеткі кіравання:
ЗАЎВАГА. Другі порт Ethernet можа быць сканфігураваны альбо як порт шлюза лакальнай сеткі кіравання, альбо як порт OOB/Аварыйны порт. Упэўніцеся, што вы не прызначылі NET2 у якасці інтэрфейсу пераключэння пасля адмовы, калі наладжвалі асноўнае сеткавае злучэнне ў меню Сістэма > IP.
21

Раздзел 2: Канфігурацыя сістэмы
Каб наладзіць шлюз лакальнай сеткі кіравання: 1. Абярыце ўкладку Інтэрфейс лакальнай сеткі кіравання ў меню Сістэма > IP і зніміце сцяжок Адключыць. 2. Наладзьце IP-адрас і маску падсеткі для лакальнай сеткі кіравання. Пакіньце палі DNS пустымі. 3. Націсніце Ужыць.
Функцыя шлюза кіравання ўключана з правіламі брандмаўэра і маршрутызатара па змаўчанні, каб лакальная сетка кіравання была даступная толькі праз пераадрасацыю партоў SSH. Гэта забяспечвае бяспеку аддаленых і лакальных злучэнняў з кіраванымі прыладамі ў лакальнай сетцы кіравання. Парты LAN таксама можна наладзіць у рэжыме моста або злучэння або ўручную з каманднага радка. 2.6.2 Наладзьце сервер DHCP Сервер DHCP дазваляе аўтаматычна раздаваць IP-адрасы прыладам у лакальнай сетцы кіравання, на якіх працуюць кліенты DHCP. Каб уключыць сервер DHCP:
1. Націсніце Сістэма > Сервер DHCP. 2. На ўкладцы «Сеткавы інтэрфейс» адзначце «Уключыць сервер DHCP».
22

Кіраўніцтва карыстальніка
3. Увядзіце адрас шлюза, які будзе выдадзены кліентам DHCP. Калі гэта поле пакінуць пустым, выкарыстоўваецца IP-адрас кансольнага сервера.
4. Увядзіце першасны DNS і другасны DNS-адрас для выдачы кліентаў DHCP. Калі гэта поле пакінуць пустым, выкарыстоўваецца IP-адрас кансольнага сервера.
5. Пры жаданні ўвядзіце суфікс даменнага імя для выдачы кліентаў DHCP. 6. Увядзіце час арэнды па змаўчанні і максімальны час арэнды ў секундах. Гэта колькасць часу
што дынамічна прызначаны IP-адрас сапраўдны, перш чым кліент павінен запытаць яго зноў. 7. Націсніце "Ужыць". DHCP-сервер выдае IP-адрасы з указаных пулаў адрасоў: 1. Націсніце "Дадаць" у полі "Пулы дынамічнага размеркавання адрасоў". 2. Увядзіце пачатковы і канчатковы адрас пула DHCP. 3. Націсніце Ужыць.
23

Раздзел 2: Канфігурацыя сістэмы
Сервер DHCP таксама падтрымлівае папярэдняе прызначэнне IP-адрасоў для пэўных MAC-адрасоў і рэзерваванне IP-адрасоў для выкарыстання падлучанымі вузламі з фіксаванымі IP-адрасамі. Каб зарэзерваваць IP-адрас для пэўнага хоста:
1. Націсніце «Дадаць» у полі «Зарэзерваваныя адрасы». 2. Увядзіце імя хаста, апаратны адрас (MAC) і статычна зарэзерваваны IP-адрас для
кліент DHCP і націсніце Ужыць.
Калі DHCP вылучыў адрасы хастоў, рэкамендуецца скапіяваць іх у папярэдне прызначаны спіс, каб той самы IP-адрас быў пераразмеркаваны ў выпадку перазагрузкі.
24

Кіраўніцтва карыстальніка
2.6.3 Абярыце Адказны або шырокапалосны OOB Кансольныя серверы забяспечваюць магчымасць пераключэння пасля адмовы, так што ў выпадку праблемы з выкарыстаннем асноўнага злучэння лакальнай сеткі для доступу да сервера кансолі выкарыстоўваецца альтэрнатыўны шлях доступу. Каб уключыць адбой:
1. Абярыце старонку "Сеткавы інтэрфейс" у меню "Сістэма > IP". 2. Выберыце інтэрфейс пераключэння пасля адмовы, які будзе выкарыстоўвацца ў выпадку збоюtage у асноўнай сетцы.
3. Націсніце Ужыць. Пераключэнне пасля адмовы становіцца актыўным пасля таго, як вы ўкажаце знешнія сайты, якія будуць правярацца для запуску адключэння і наладжваеце парты пераключэння пры збоі.
2.6.4 Аб'яднанне сеткавых партоў Па змаўчанні можна атрымаць доступ да сеткавых партоў кансольнага сервера кіравання з дапамогай тунэлявання SSH / пераадрасацыі партоў або шляхам усталявання тунэля IPsec VPN да сервера кансолі. Усе правадныя сеткавыя парты на кансольных серверах могуць быць аб'яднаны праз мост або злучэнне.
25

Кіраўніцтва карыстальніка
· Па змаўчанні агрэгацыя інтэрфейсаў адключана ў меню «Сістэма > IP > Агульныя налады» · Абярыце Інтэрфейсы моста або Інтэрфейсы сувязі
o Калі мост уключаны, сеткавы трафік перанакіроўваецца праз усе парты Ethernet без абмежаванняў брандмаўэра. Усе парты Ethernet празрыста злучаны на канальным узроўні (узровень 2), таму яны захоўваюць свае унікальныя MAC-адрасы
o Пры злучэнні сеткавы трафік перадаецца паміж партамі, але мае адзін MAC-адрас
Абодва рэжымы выдаляюць усе функцыі інтэрфейсу кіравання лакальнай сеткай і пазапалоснага/адказнага інтэрфейсу і адключаюць сервер DHCP · У рэжыме агрэгацыі ўсе парты Ethernet канфігуруюцца разам з дапамогай меню сеткавага інтэрфейсу
25

Раздзел 2: Канфігурацыя сістэмы
2.6.5 Статычныя маршруты Статычныя маршруты забяспечваюць вельмі хуткі спосаб маршрутызацыі даных з адной падсеткі ў іншую. Вы можаце жорстка закадаваць шлях, які загадвае кансольнаму серверу/маршрутызатару дабрацца да пэўнай падсеткі, выкарыстоўваючы пэўны шлях. Гэта можа быць карысна для доступу да розных падсетак на аддаленым сайце пры выкарыстанні сотавага злучэння OOB.

Каб дадаць статычны маршрут у табліцу маршрутаў Сістэмы:
1. Абярыце ўкладку Налады маршруту ў меню Сістэма > Агульныя налады IP.
2. Націсніце Новы маршрут
3. Увядзіце назву маршрута.
4. У полі Destination Network/Host увядзіце IP-адрас мэтавай сеткі/хаста, да якога маршрут забяспечвае доступ.
5. Увядзіце значэнне ў поле Destination netmask, якое вызначае сетку прызначэння або хост. Любы лік ад 0 да 32. Маска падсеткі 32 вызначае маршрут хаста.
6. Увядзіце Route Gateway з IP-адрасам маршрутызатара, які будзе накіроўваць пакеты ў сетку прызначэння. Гэта поле можна пакінуць пустым.
7. Выберыце інтэрфейс, які будзе выкарыстоўвацца для дасягнення пункта прызначэння, можна пакінуць як Няма.
8. Увядзіце значэнне ў поле Метрыка, якое прадстаўляе метрыку гэтага злучэння. Выкарыстоўвайце любы лік, роўны або большы за 0. Гэта трэба ўсталёўваць, толькі калі два ці больш маршрутаў канфліктуюць або маюць перакрываючыяся мэты.
9. Націсніце Ужыць.

УВАГА

На старонцы дэталяў маршруту прадстаўлены спіс сеткавых інтэрфейсаў і мадэмаў, да якіх можна прывязаць маршрут. У выпадку з мадэмам маршрут будзе далучаны да любога сеансу камутаванай сувязі, устаноўленага праз гэтую прыладу. Маршрут можа быць вызначаны з дапамогай шлюза, інтэрфейсу або абодвух. Калі ўказаны інтэрфейс неактыўны, маршруты, сканфігураваныя для гэтага інтэрфейсу, не будуць актыўнымі.

Кіраўніцтва карыстальніка 3. КАНФІГУРАЦЫЯ ПАСЛЯДОЎНАГА ПОРТА, ХОСТА, ПРЫЛАДЫ І КАРЫСТАЛЬНІКА
Кансольны сервер забяспечвае доступ і кантроль паслядоўна падлучаных прылад і прылад, падлучаных да сеткі (хасты). Адміністратар павінен наладзіць правы доступу для кожнай з гэтых прылад і ўказаць службы, якія можна выкарыстоўваць для кіравання прыладамі. Адміністратар можа таксама наладзіць новых карыстальнікаў і вызначыць індывідуальныя правы доступу і кантролю для кожнага карыстальніка.
У гэтым раздзеле разглядаюцца кожны з этапаў канфігуравання прылад, падлучаных да сеткі і паслядоўна падключаных: · Паслядоўныя парты, налада пратаколаў, якія выкарыстоўваюцца паслядоўна падлучанымі прыладамі · Карыстальнікі і групы, наладжванне карыстальнікаў і вызначэнне правоў доступу для кожнага з гэтых карыстальнікаў · Аўтэнтыфікацыя, гэта разглядаецца ў больш падрабязнай частцы падрабязней у раздзеле 8 · Сеткавыя хасты, якія наладжваюць доступ да падключаных да лакальнай сеткі камп'ютараў або прылад (хасты) · Налада давераных сетак – прызначыць IP-адрасы, з якіх давераныя карыстальнікі атрымліваюць доступ · Каскад і перанакіраванне паслядоўных партоў кансолі · Падключэнне да сілкавання (UPS, PDU і IPMI) і прылады маніторынгу навакольнага асяроддзя (EMD) · Перанакіраванне паслядоўнага порта з выкарыстаннем вокнаў PortShare і кліентаў Linux · Кіраваныя прылады – прадстаўляе кансалідаваны view усіх злучэнняў · IPSec з падтрымкай VPN-злучэння · OpenVPN · PPTP
3.1 Наладзьце паслядоўныя парты
Першым крокам у канфігурацыі паслядоўнага порта з'яўляецца ўстаноўка агульных параметраў, такіх як пратаколы і параметры RS232, якія будуць выкарыстоўвацца для злучэння дадзеных з гэтым портам (напрыклад, хуткасць перадачы дадзеных). Выберыце, у якім рэжыме будзе працаваць порт. Кожны порт можна наладзіць на падтрымку аднаго з гэтых рэжымаў працы:
· Рэжым адключаны па змаўчанні, паслядоўны порт неактыўны
27

Раздзел 3:

Паслядоўны порт, канфігурацыя хоста, прылады і карыстальніка

· Рэжым кансольнага сервера забяспечвае агульны доступ да паслядоўнага кансольнага порта на паслядоўна падлучаных прыладах
· Рэжым прылады наладжвае паслядоўны порт для сувязі з інтэлектуальным паслядоўным кіраваннем PDU, UPS або прыладамі кантролю навакольнага асяроддзя (EMD)
· Рэжым тэрмінальнага сервера ўсталёўвае паслядоўны порт для чакання ўваходнага сеанса ўваходу ў тэрмінал · Рэжым паслядоўнага моста забяспечвае празрыстае злучэнне двух прылад паслядоўнага порта праз
сеткі.
1. Выберыце Паслядоўны і сеткавы порт > Паслядоўны порт, каб адлюстраваць дэталі паслядоўнага порта. 2. Па змаўчанні кожны паслядоўны порт усталяваны ў рэжыме кансольнага сервера. Націсніце "Рэдагаваць" побач з патрэбным портам
пераканфігураваны. Або націсніце "Рэдагаваць некалькі партоў" і выберыце, якія парты вы хочаце наладзіць як групу. 3. Калі вы пераналадзілі агульныя налады і рэжым для кожнага порта, наладзьце любы аддалены сістэмны часопіс (гл. наступныя раздзелы для атрымання канкрэтнай інфармацыі). Націсніце "Ужыць" 4. Калі кансольны сервер быў сканфігураваны з уключаным размеркаваным маніторынгам Nagios, выкарыстоўвайце параметры налад Nagios, каб уключыць маніторынг прызначаных службаў на хасце 3.1.1 Агульныя налады Для кожнага паслядоўнага нумара можна задаць шэраг агульных налад. порт. Яны не залежаць ад рэжыму, у якім выкарыстоўваецца порт. Гэтыя параметры паслядоўнага порта павінны быць устаноўлены так, каб яны адпавядалі параметрам паслядоўнага порта на прыладзе, якую вы падключаеце да гэтага порта:
28

Кіраўніцтва карыстальніка

· Увядзіце метку для порта · Выберыце адпаведную хуткасць перадачы дадзеных, цотнасць, біты дадзеных, стоп-біты і кантроль патоку для кожнага порта

· Усталюйце распіноўку порта. Гэты пункт меню з'яўляецца для партоў IM7200, дзе пін-аўт для кожнага паслядоўнага порта RJ45 можа быць усталяваны як X2 (Cisco Straight) або X1 (Cisco Rolled)

· Усталюйце рэжым DTR. Гэта дазваляе вам выбраць, калі DTR заўсёды або толькі падчас актыўнага карыстальніцкага сеансу

· Перш чым прыступіць да далейшай канфігурацыі паслядоўнага порта, вы павінны падключыць парты да паслядоўных прылад, якімі яны будуць кіраваць, і пераканайцеся, што яны маюць адпаведныя налады

3.1.2

Рэжым кансольнага сервера
Выберыце Рэжым сервера кансолі, каб уключыць доступ аддаленага кіравання да паслядоўнай кансолі, якая падключана да гэтага паслядоўнага порта:

Узровень запісу Гэта вызначае ўзровень інфармацыі, якая будзе запісвацца і кантралявацца.
29

Раздзел 3: Паслядоўны порт, хост, прылада і канфігурацыя карыстальніка
Узровень 0: адключыць вядзенне журналаў (па змаўчанні)
Узровень 1: запісвайце падзеі LOGIN, LOGOUT і SIGNAL
Узровень 2: запіс падзей LOGIN, LOGOUT, SIGNAL, TXDATA і RXDATA
Узровень 3: Рэгіструйце падзеі LOGIN, LOGOUT, SIGNAL і RXDATA
Узровень 4: Рэгіструйце падзеі LOGIN, LOGOUT, SIGNAL і TXDATA
Input/RXDATA - гэта даныя, атрыманыя прыладай Opengear ад падключанай паслядоўнай прылады, а output/TXDATA - гэта даныя, адпраўленыя прыладай Opengear (напрыклад, уведзеныя карыстальнікам) да падлучанай паслядоўнай прылады.
Кансолі прылад звычайна паўтараюць зваротныя сімвалы, калі яны ўводзяцца, таму TXDATA, уведзены карыстальнікам, пасля прымаецца як RXDATA і адлюстроўваецца на яго тэрмінале.
УВАГА: пасля запыту пароля падключаная прылада адпраўляе сімвалы *, каб пароль не адлюстроўваўся.

Telnet Калі служба Telnet уключана на серверы кансолі, кліент Telnet на кампутары карыстальніка можа падключацца да паслядоўнай прылады, падключанай да гэтага паслядоўнага порта на серверы кансолі. Паколькі сувязі Telnet незашыфраваныя, гэты пратакол рэкамендуецца толькі для лакальных злучэнняў або тунэляваных VPN-злучэнняў.
Калі аддаленая сувязь тунэлюецца з дапамогай раздыма, Telnet можна выкарыстоўваць для бяспечнага доступу да гэтых падключаных прылад.

УВАГА

У рэжыме кансольнага сервера карыстальнікі могуць выкарыстоўваць злучальнік для наладжвання бяспечных злучэнняў Telnet, якія тунэлююцца па SSH ад іх кліенцкіх кампутараў да паслядоўнага порта на кансольным серверы. Злучальнікі могуць быць устаноўлены на ПК з Windows і большасці платформаў Linux, і гэта дазваляе выбіраць бяспечныя злучэнні Telnet з дапамогай націску.

Каб выкарыстоўваць злучальнік для доступу да кансоляў на паслядоўных партах кансольнага сервера, наладзьце злучальнік з кансольным серверам у якасці шлюза і ў якасці хоста і ўключыце службу Telnet на порце (2000 + нумар паслядоўнага порта), напрыклад, 2001.

Вы таксама можаце выкарыстоўваць стандартныя пакеты сувязі, такія як PuTTY, каб усталяваць прамое злучэнне Telnet або SSH з паслядоўнымі партамі.

УВАГА У рэжыме кансольнага сервера пры падключэнні да паслядоўнага порта вы падключаецеся праз pmshell. Каб згенераваць BREAK на паслядоўным порце, увядзіце паслядоўнасць сімвалаў ~b. Калі вы робіце гэта праз OpenSSH, увядзіце ~~b.

SSH

Рэкамендуецца выкарыстоўваць SSH у якасці пратаколу пры падключэнні карыстальнікаў да кансольнага сервера

(або падлучыцца праз кансольны сервер да падлучаных паслядоўных кансоляў) праз Інтэрнэт або любы іншы

іншая публічная сетка.

Для доступу па SSH да кансоляў на прыладах, падлучаных да паслядоўных партоў кансольнага сервера, можна выкарыстоўваць злучальнік. Наладзьце злучальнік з кансольным серверам у якасці шлюза і ў якасці хоста і ўключыце службу SSH на порце (3000 + нумар паслядоўнага порта), г.зн. 3001-3048.

Вы таксама можаце выкарыстоўваць агульныя камунікацыйныя пакеты, такія як PuTTY або SSHTerm, для падлучэння па SSH да адраса порта IP-адрас _ Порт (3000 + нумар паслядоўнага порта), г.зн. 3001

Злучэнні SSH можна наладзіць з дапамогай стандартнага порта SSH 22. Паслядоўны порт, да якога ажыццяўляецца доступ, вызначаецца шляхам дадання дэскрыптара да імя карыстальніка. Гэты сінтаксіс падтрымлівае:

Кіраўніцтва карыстальніка
: : Каб карыстальнік з імем chris меў доступ да паслядоўнага порта 2, пры наладжванні SSH-кліента SSHTerm або PuTTY замест уводу username = chris і ssh port = 3002 можна ўвесці username = chris:port02 (або username = chris: ttyS1) і порт ssh = 22. Або, набраўшы username=chris:serial і порт ssh = 22, карыстальніку будзе прадстаўлены варыянт выбару порта:

Гэты сінтаксіс дазваляе карыстальнікам наладжваць тунэлі SSH для ўсіх паслядоўных партоў з адным IP-портам 22, які павінен быць адкрыты ў брандмаўэры/шлюзе
УВАГА У рэжыме кансольнага сервера вы падключаецеся да паслядоўнага порта праз pmshell. Каб згенераваць BREAK на паслядоўным порце, увядзіце паслядоўнасць сімвалаў ~b. Калі вы робіце гэта праз OpenSSH, увядзіце ~~b.

TCP

RAW TCP дазваляе падключацца да сокета TCP. У той час як камунікацыйныя праграмы, такія як PuTTY

таксама падтрымліваюць RAW TCP, гэты пратакол звычайна выкарыстоўваецца карыстацкімі праграмамі

Для RAW TCP адрас порта па змаўчанні IP-адрас _ порт (4000 + нумар паслядоўнага порта), г.зн. 4001 4048

RAW TCP таксама дазваляе тунэляваць паслядоўны порт на аддалены кансольны сервер, так што дзве прылады з паслядоўным портам могуць празрыста злучацца паміж сабой па сетцы (гл. раздзел 3.1.6 Паслядоўны мост)

RFC2217 Выбар RFC2217 уключае перанакіраванне паслядоўнага порта на гэтым порце. Для RFC2217 адрас порта па змаўчанні IP-адрас _ порт (5000 + нумар паслядоўнага порта), г.зн. 5001 5048
Спецыяльнае кліенцкае праграмнае забеспячэнне даступна для Windows UNIX і Linux, якое падтрымлівае віртуальныя com-парты RFC2217, таму аддалены хост можа кантраляваць і кіраваць аддаленымі паслядоўна падлучанымі прыладамі, як быццам яны падлучаныя да лакальнага паслядоўнага порта (падрабязнасці глядзіце ў раздзеле 3.6 Перанакіраванне паслядоўнага порта)
RFC2217 таксама дазваляе тунэляваць паслядоўны порт на аддалены кансольны сервер, каб дзве прылады з паслядоўным портам маглі празрыста злучацца паміж сабой праз сетку (гл. раздзел 3.1.6 Паслядоўны мост)

Unauthenticated Telnet Гэта дазваляе атрымаць доступ праз Telnet да паслядоўнага порта без уліковых дадзеных аўтэнтыфікацыі. Калі карыстальнік атрымлівае доступ да кансольнага сервера Telnet праз паслядоўны порт, яму даецца запыт на ўваход. З неаўтэнтыфікаваным Telnet яны падключаюцца непасрэдна праз порт без усялякай праблемы ўваходу на кансольны сервер. Калі кліент Telnet запытвае аўтэнтыфікацыю, любыя ўведзеныя даныя дазваляюць падключыцца.

Раздзел 3: Паслядоўны порт, хост, прылада і канфігурацыя карыстальніка
Гэты рэжым выкарыстоўваецца з вонкавай сістэмай (напрыклад, кансерватарам), якая кіруе аўтэнтыфікацыяй карыстальніка і прывілеямі доступу на ўзроўні паслядоўнай прылады.
Для ўваходу ў прыладу, падключаную да сервера кансолі, можа спатрэбіцца аўтэнтыфікацыя.
Для неаўтэнтыфікаванага Telnet адрас порта па змаўчанні IP-адрас _ порт (6000 + нумар паслядоўнага порта), г.зн. 6001 6048

Неаўтэнтыфікаваны SSH Гэта дазваляе SSH-доступ да паслядоўнага порта без уліковых дадзеных аўтэнтыфікацыі. Калі карыстальнік атрымлівае доступ да кансольнага сервера Telnet праз паслядоўны порт, яму даецца запыт на ўваход. З неаўтэнтыфікаваным SSH яны падключаюцца непасрэдна праз порт без усялякіх праблем з уваходам у кансольны сервер.
Гэты рэжым выкарыстоўваецца, калі ў вас ёсць іншая сістэма, якая кіруе аўтэнтыфікацыяй карыстальніка і прывілеямі доступу на ўзроўні паслядоўнай прылады, але вы хочаце зашыфраваць сеанс па сетцы.
Для ўваходу ў прыладу, падключаную да сервера кансолі, можа спатрэбіцца аўтэнтыфікацыя.
Для неаўтэнтыфікаванага Telnet адрас порта па змаўчанні IP-адрас _ порт (7000 + нумар паслядоўнага порта), г.зн. 7001 7048
The : метад доступу да порта (як апісана ў раздзеле SSH вышэй) заўсёды патрабуе аўтэнтыфікацыі.

Web Тэрмінал Гэта дазваляе web доступ браўзэра да паслядоўнага порта праз Кіраванне > Прылады: Паслядоўны з дапамогай убудаванага ў Кансоль кіравання тэрмінала AJAX. Web Тэрмінал падключаецца як аўтэнтыфікаваны карыстальнік кансолі кіравання і не праходзіць паўторную аўтэнтыфікацыю. Для больш падрабязнай інфармацыі глядзіце раздзел 12.3.

Псеўданім IP

Уключыць доступ да паслядоўнага порта з выкарыстаннем пэўнага IP-адраса, указанага ў фармаце CIDR. Кожнаму паслядоўнаму порту можа быць прызначаны адзін або некалькі псеўданімаў IP, настроеных для кожнага сеткавага інтэрфейсу. Паслядоўны порт можа, напрample, быць даступным па адрасе 192.168.0.148 (як частка ўнутранай сеткі) і 10.10.10.148 (як частка лакальнай сеткі кіравання). Таксама можна зрабіць паслядоўны порт даступным на двух IP-адрасах у адной сетцы (напрыклад,ample, 192.168.0.148 і 192.168.0.248).

Гэтыя IP-адрасы могуць выкарыстоўвацца толькі для доступу да пэўнага паслядоўнага порта, даступнага з выкарыстаннем нумароў портаў TCP стандартнага пратаколу службаў кансольнага сервера. Напрыкладample, SSH на паслядоўным порце 3 будзе даступны на порце 22 IP-псеўданіма паслядоўнага порта (у той час як на першасным адрасе сервера кансолі ён даступны на порце 2003).

Гэтую функцыю таксама можна наладзіць на старонцы рэдагавання некалькіх партоў. У гэтым выпадку IP-адрасы прымяняюцца паслядоўна, прычым IP-адрас уводзіцца для першага выбранага порта, а наступныя павялічваюцца, пры гэтым лічбы прапускаюцца для любых невыбраных партоў. Напрыкладample, калі выбраны парты 2, 3 і 5 і IP-псеўданім 10.0.0.1/24 уведзены для сеткавага інтэрфейсу, прызначаюцца наступныя адрасы:

Порт 2: 10.0.0.1/24

Порт 3: 10.0.0.2/24

Порт 5: 10.0.0.4/24

Псеўданімы IP таксама падтрымліваюць адрасы псеўданімаў IPv6. Адзінае адрозненне ў тым, што адрасы з'яўляюцца шаснаццатковымі лікамі, таму порт 10 можа адпавядаць адрасу, які заканчваецца на A, а 11 - аднаму, які заканчваецца на B, а не 10 або 11 у адпаведнасці з IPv4.

Кіраўніцтва карыстальніка
Шыфраванне трафіку / аўтэнтыфікацыя Уключыць простае шыфраванне і аўтэнтыфікацыю паслядоўнай сувязі RFC2217 з дапамогай Portshare (для моцнага шыфравання выкарыстоўвайце VPN).
Перыяд назапашвання Пасля таго, як злучэнне было ўстаноўлена для пэўнага паслядоўнага порта (напрыклад, перанакіраванне RFC2217 або Telnet-злучэнне з аддаленым кампутарам), любыя ўваходныя сімвалы на гэтым порце перанакіроўваюцца па сетцы сімвал за сімвалам. Перыяд назапашвання вызначае перыяд часу, на працягу якога ўваходныя сімвалы збіраюцца перад адпраўкай у выглядзе пакета па сетцы
Escape Character Змяніць сімвал, які выкарыстоўваецца для адпраўкі Escape-сімвалаў. Па змаўчанні ~. Замяніць Backspace Замяніць значэнне Backspace па змаўчанні CTRL+? (127) з дапамогай CTRL+h (8). Меню сілкавання Каманда для выкліку меню сілкавання ~p і дазваляе каманду сілкавання абалонкі, так што a
Карыстальнік можа кіраваць падключэннем сілкавання да кіраванай прылады з каманднага радка, калі яны падключаны да прылады праз Telnet або SSH. На кіраванай прыладзе павінна быць наладжана падключэнне да паслядоўнага порта і падключэння да сілкавання.
Адзінае злучэнне Гэта абмяжоўвае порт адным злучэннем, таму, калі некалькі карыстальнікаў маюць прывілеі доступу да пэўнага порта, толькі адзін карыстальнік адначасова можа атрымаць доступ да гэтага порта (г.зн. адсочванне порта не дазваляецца).
33

Раздзел 3: Паслядоўны порт, хост, прылада і канфігурацыя карыстальніка
3.1.3 Рэжым прылады (RPC, UPS, экалагічны) Гэты рэжым канфігуруе абраны паслядоўны порт для сувязі з крыніцай бесперабойнага сілкавання з паслядоўным кіраваннем (КБС), дыстанцыйным кантролерам харчавання / блокамі размеркавання электраэнергіі (RPC) або прыладай кантролю навакольнага асяроддзя (экалагічны)

1. Выберыце патрэбны тып прылады (КБС, RPC або экалагічнае)
2. Перайдзіце да адпаведнай старонкі канфігурацыі прылады (Паслядоўны і сеткавы порт > Злучэнні КБС, Злучэнне RPC або Экалагічнае), як апісана ў раздзеле 7.

3.1.4 ·

Рэжым тэрмінальнага сервера
Выберыце рэжым тэрмінальнага сервера і тып тэрмінала (vt220, vt102, vt100, Linux або ANSI), каб уключыць геці на абраным паслядоўным порце

Getty наладжвае порт і чакае, пакуль будзе ўстаноўлена злучэнне. Актыўнае злучэнне на паслядоўнай прыладзе паказваецца прыпаднятым штыфтам выяўлення носьбіта дадзеных (DCD) на паслядоўнай прыладзе. Пры выяўленні злучэння праграма getty выдае запыт login: і выклікае праграму ўваходу для апрацоўкі ўваходу ў сістэму.
ЗАЎВАГА. Выбар рэжыму тэрмінальнага сервера адключае дыспетчар партоў для гэтага паслядоўнага порта, таму дадзеныя больш не запісваюцца для папярэджанняў і г.д.

Кіраўніцтва карыстальніка
3.1.5 Рэжым паслядоўнага моста Пры паслядоўным мосту паслядоўныя даныя на прызначаным паслядоўным порце на адным кансольным серверы інкапсулююцца ў сеткавыя пакеты і перадаюцца па сетцы на другі кансольны сервер, дзе яны прадстаўлены ў выглядзе паслядоўных даных. Два кансольныя серверы дзейнічаюць як віртуальны паслядоўны кабель праз сетку IP. Адзін кансольны сервер наладжаны як сервер. Паслядоўны порт сервера, які трэба злучыць, усталяваны ў рэжыме кансольнага сервера з уключаным RFC2217 або RAW. Для сервера кансолі кліента паслядоўны порт, які трэба злучыць, павінен быць усталяваны ў рэжыме моста:
· Выберыце рэжым паслядоўнага моста і ўкажыце IP-адрас сервера кансолі сервера і адрас TCP-порта аддаленага паслядоўнага порта (для моста RFC2217 гэта будзе 5001-5048)
· Па змаўчанні кліент моста выкарыстоўвае RAW TCP. Выберыце RFC2217, калі гэта рэжым кансольнага сервера, які вы ўказалі на серверы кансольнага сервера
· Вы можаце абараніць сувязь праз лакальны Ethernet, уключыўшы SSH. Стварыць і загрузіць ключы.
3.1.6 Syslog У дадатак да ўбудаваных журналаў і маніторынгу, якія могуць прымяняцца да паслядоўнага і сеткавага доступу да кіравання, як апісана ў главе 6, кансольны сервер таксама можна наладзіць для падтрымкі аддаленага пратаколу syslog на паслядоўным порце. аснова:
· Абярыце палі Syslog Facility/Priority, каб уключыць рэгістрацыю трафіку праз абраны паслядоўны порт на сервер syslog; а таксама сартаваць і дзейнічаць з гэтымі зарэгістраванымі паведамленнямі (г.зн. перанакіроўваць іх / адпраўляць папярэджанне па электроннай пошце.)
35

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
Напрыкладampкалі камп'ютар, падлучаны да паслядоўнага порта 3, ніколі не павінен адпраўляць што-небудзь праз свой паслядоўны кансольны порт, адміністратар можа ўсталяваць Facility для гэтага порта на local0 (local0 .. local7 прызначаны для лакальных значэнняў сайта), а Priority на крытычны . Пры гэтым прыярытэце, калі сервер сістэмнага часопіса кансольнага сервера атрымлівае паведамленне, ён стварае папярэджанне. Глядзіце раздзел 6. 3.1.7 Паток NMEA ACM7000-L можа забяспечваць струменевую перадачу даных GPS NMEA з унутранага GPS/сотавага мадэма. Гэты паток даных прадстаўлены як паслядоўны паток даных на порце 5 на мадэлях ACM.
Агульныя налады (хуткасць перадачы дадзеных і г.д.) ігнаруюцца пры канфігурацыі паслядоўнага порта NMEA. Вы можаце задаць частату выпраўлення (г.зн. гэтая хуткасць выпраўлення GPS вызначае частату атрымання выпраўленняў GPS). Вы таксама можаце прымяніць да гэтага порта ўсе налады рэжыму кансольнага сервера, сістэмнага часопіса і паслядоўнага моста.
Вы можаце выкарыстоўваць pmshell, webабалонка, SSH, RFC2217 або RawTCP, каб атрымаць доступ да патоку:
Напрыкладample, выкарыстоўваючы ст Web тэрмінал:
36

Кіраўніцтва карыстальніка

3.1.8 USB-кансолі
Кансольныя серверы з USB-партамі падтрымліваюць USB-кансольныя злучэнні з прыладамі розных вытворцаў, уключаючы Cisco, HP, Dell і Brocade. Гэтыя парты USB таксама могуць працаваць як простыя паслядоўныя парты RS-232, калі падключаны адаптар USB-паслядоўны.

Гэтыя парты USB даступныя як звычайныя парты дыспетчара партоў і прадстаўлены лічбамі ў web Карыстацкі інтэрфейс пасля ўсіх паслядоўных партоў RJ45.

ACM7008-2 мае восем паслядоўных партоў RJ45 на задняй частцы кансольнага сервера і чатыры USB-порта на пярэдняй панэлі. У раздзеле Паслядоўны і сеткавы порт > Паслядоўны порт яны пазначаны як

Порт # раздым

RJ45

USB

10 USB

11 USB

12 USB

Калі канкрэтны ACM7008-2 з'яўляецца сотавай мадэллю, порт №13 — для GPS — таксама будзе паказаны.

7216-24U мае 16 паслядоўных партоў RJ45 і 24 USB-порты на задняй панэлі, а таксама два пярэднія USB-порты і (у сотавай мадэлі) GPS.

Паслядоўныя парты RJ45 прадстаўлены ў раздзеле «Паслядоўны і сеткавы порт > Паслядоўны порт» пад нумарамі 1. 16 парты USB, размешчаныя ззаду, маюць нумары 24, а парты USB, размешчаныя на пярэдняй панэлі, пазначаны пад нумарамі 17 і 40 адпаведна. І, як і ў ACM41-42, калі канкрэтны 7008-2U з'яўляецца сотавай мадэллю, GPS прадстаўлены ў порце нумар 7216.

Агульныя параметры (хуткасць перадачы дадзеных і г.д.) выкарыстоўваюцца пры канфігурацыі партоў, але некаторыя аперацыі могуць не працаваць у залежнасці ад рэалізацыі асноўнага паслядоўнага чыпа USB.

3.2 Даданне і рэдагаванне карыстальнікаў
Адміністратар выкарыстоўвае гэтае меню для стварэння, рэдагавання і выдалення карыстальнікаў і для вызначэння правоў доступу для кожнага з гэтых карыстальнікаў.

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка

Карыстальнікам можа быць дазволены доступ да вызначаных службаў, паслядоўных партоў, прылад харчавання і вызначаных сеткавых хастоў. Гэтым карыстальнікам таксама можна надаць поўны статус адміністратара (з поўнай канфігурацыяй і правамі кіравання і доступу).

Карыстальнікаў можна дадаваць у групы. Па змаўчанні наладжана шэсць груп:

адмін

Дае неабмежаваную канфігурацыю і прывілеі кіравання.

pptpd

Дазваляе доступ да сервера PPTP VPN. Пароль карыстальнікаў у гэтай групе захоўваецца ў адкрытым выглядзе.

дыялін

Дазваляе тэлефонны доступ праз мадэмы. Пароль карыстальнікаў у гэтай групе захоўваецца ў адкрытым выглядзе.

ftp

Дазваляе доступ да ftp і file доступ да назапашвальнікаў.

pmshell

Усталёўвае абалонку па змаўчанні ў pmshell.

карыстальнікаў

Дае карыстальнікам асноўныя прывілеі кіравання.

Група адміністратара дае ўдзельнікам поўныя правы адміністратара. Карыстальнік-адміністратар можа атрымаць доступ да сервера кансолі, выкарыстоўваючы любыя сэрвісы, якія былі ўключаны ў раздзеле «Сістэма > Службы». Яны таксама могуць атрымаць доступ да любога з падлучаных хастоў або прылад з паслядоўным портам, выкарыстоўваючы любыя сэрвісы, якія былі ўключаны для гэтых злучэнняў. Толькі давераныя карыстальнікі павінны мець доступ адміністратара
Група карыстальнікаў прадастаўляе ўдзельнікам абмежаваны доступ да кансольнага сервера і падлучаных хостаў і паслядоўных прылад. Гэтыя карыстальнікі могуць атрымаць доступ толькі да раздзела «Кіраванне» меню кансолі кіравання і не маюць доступу да сервера кансолі з каманднага радка. Яны могуць атрымаць доступ толькі да тых хастоў і паслядоўных прылад, якія былі правераны для іх, выкарыстоўваючы службы, якія былі ўключаны
Карыстальнікі ў групах pptd, dialin, ftp або pmshell абмежавалі доступ карыстальніцкай абалонкі да прызначаных кіраваных прылад, але яны не будуць мець прамога доступу да кансольнага сервера. Каб дадаць гэта, карыстальнікі таксама павінны быць членамі карыстальнікаў або груп адміністратараў
Адміністратар можа наладзіць дадатковыя групы з пэўнай прыладай харчавання, паслядоўным портам і правамі доступу да хаста. Карыстальнікі ў гэтых дадатковых групах не маюць доступу да меню кансолі кіравання і не маюць доступу да сервера кансолі з каманднага радка.

Кіраўніцтва карыстальніка
Адміністратар можа наладзіць карыстальнікам пэўныя прылады харчавання, паслядоўны порт і правы доступу да хаста, якія не ўваходзяць ні ў якія групы. Гэтыя карыстальнікі не маюць доступу ні да меню кансолі кіравання, ні да сервера кансолі з каманднага радка. 3.2.1 Наладзіць новую групу Каб наладзіць новыя групы і новых карыстальнікаў, а таксама класіфікаваць карыстальнікаў як членаў пэўных груп:
1. Абярыце Паслядоўны і сеткавы порт > Карыстальнікі і групы, каб паказаць усе групы і карыстальнікаў 2. Націсніце Дадаць групу, каб дадаць новую групу
3. Дадайце назву і апісанне групы для кожнай новай групы і вылучыце даступныя хасты, даступныя парты і даступныя разеткі RPC, да якіх карыстальнікі гэтай новай групы змогуць атрымаць доступ
4. Націсніце "Ужыць" 5. Адміністратар можа рэдагаваць або выдаляць любую дададзеную групу 3.2.2 Наладзіць новых карыстальнікаў Каб наладзіць новых карыстальнікаў і класіфікаваць карыстальнікаў як членаў пэўных груп: 1. Выберыце Паслядоўны і сеткавы нумар > Карыстальнікі і групы для адлюстравання усе групы і карыстальнікі 2. Націсніце Дадаць карыстальніка
39

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
3. Дадайце імя карыстальніка для кожнага новага карыстальніка. Вы таксама можаце ўключыць інфармацыю, звязаную з карыстальнікам (напрыклад, кантактныя дадзеныя), у поле Апісанне. Імя карыстальніка можа змяшчаць ад 1 да 127 літарна-лічбавых сімвалаў і сімвалы «-», «_» і «.».
4. Укажыце, членам якіх груп вы хочаце, каб карыстальнік быў 5. Дадайце пацверджаны пароль для кожнага новага карыстальніка. Усе сімвалы дазволеныя. 6. Можна выкарыстоўваць аўтэнтыфікацыю па ключы доступу SSH. Устаўце адкрытыя ключы аўтарызаваных адкрытых/прыватных
пары ключоў для гэтага карыстальніка ў полі Аўтарызаваныя ключы SSH 7. Адзначце Адключыць аўтэнтыфікацыю пароля, каб дазволіць аўтэнтыфікацыю з адкрытым ключом толькі для гэтага карыстальніка
пры выкарыстанні SSH 8. Пастаўце галачку «Уключыць зваротны набор» у меню «Параметры ўваходу», каб дазволіць выходнае злучэнне з зваротным нумарам
быць запушчаны пры ўваходзе ў гэты порт. Увядзіце нумар тэлефона для зваротнага дазвону разам з нумарам тэлефона для зваротнага званка пры ўваходзе карыстальніка 9. Праверце «Даступныя хасты» і/або «Даступныя парты», каб прызначыць паслядоўныя парты і хасты, падлучаныя да сеткі, да якіх вы хочаце, каб карыстальнік меў прывілеі доступу 10. Калі ёсць настроеныя RPC, адзначце Accessible RPC Outlets, каб вызначыць, якімі разеткамі карыстальнік можа кіраваць (напрыклад, уключэнне/выключэнне харчавання). 11. Націсніце Apply. Новы карыстальнік зможа атрымаць доступ да даступных сеткавых прылад, партоў і разетак RPC. Калі карыстальнік з'яўляецца членам групы, ён таксама можа атрымаць доступ да любой іншай прылады/порта/разеткі, даступнай групе
40

Кіраўніцтва карыстальніка
Няма абмежаванняў на колькасць карыстальнікаў, якія вы можаце наладзіць, або колькасць карыстальнікаў на паслядоўны порт або хост. Некалькі карыстальнікаў могуць кіраваць/кантраляваць адзін порт або хост. Няма абмежаванняў на колькасць груп, і кожны карыстальнік можа быць членам некалькіх груп. Карыстальнік не павінен быць членам якіх-небудзь груп, але калі карыстальнік з'яўляецца членам групы карыстальнікаў па змаўчанні, ён не зможа выкарыстоўваць кансоль кіравання для кіравання партамі. Нягледзячы на тое, што абмежаванняў няма, час на паўторную канфігурацыю павялічваецца па меры павелічэння колькасці і складанасці. Мы рэкамендуем, каб агульная колькасць карыстальнікаў і груп была меншай за 250. Адміністратар таксама можа рэдагаваць параметры доступу для любых існуючых карыстальнікаў:
· Выберыце Паслядоўны і сеткавы порт > Карыстальнікі і групы і націсніце «Рэдагаваць», каб змяніць прывілеі доступу карыстальніка · Націсніце «Выдаліць», каб выдаліць карыстальніка · Націсніце «Адключыць», каб часова заблакіраваць прывілеі доступу
3.3 Аўтэнтыфікацыя
Глядзіце раздзел 8 для дэталяў канфігурацыі аўтэнтыфікацыі.
3.4 Сеткавыя хасты
Для маніторынгу і аддаленага доступу да камп'ютара або прылады ў лакальнай сетцы (называецца хостам) вы павінны ідэнтыфікаваць хост:
1. Выбраўшы паслядоўны і сеткавы порт > Сеткавыя хасты, будуць прадстаўлены ўсе падлучаныя да сеткі хасты, якія былі ўключаны для выкарыстання.
2. Націсніце «Дадаць хост», каб уключыць доступ да новага хоста (або выберыце «Рэдагаваць», каб абнавіць налады існуючага хоста)
41

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
3. Калі хост з'яўляецца прыладай сілкавання PDU або UPS або серверам з кіраваннем магутнасцю IPMI, укажыце RPC (для IPMI і PDU) або UPS і тып прылады. Адміністратар можа канфігураваць гэтыя прылады і ўключыць, якія карыстальнікі маюць дазвол на выдаленае ўключэнне і ўключэнне харчавання і г.д. Глядзіце раздзел 7. У адваротным выпадку пакіньце для Тып прылады значэнне Няма.
4. Калі кансольны сервер быў наладжаны з уключаным размеркаваным маніторынгам Nagios, вы таксама ўбачыце параметры налад Nagios, каб уключыць маніторынг прызначаных службаў на хасце.
5. Націсніце Ужыць. Гэта стварае новы хост, а таксама новую кіраваную прыладу з такой жа назвай.
3.5 Давераныя сеткі
Функцыя Trusted Networks дае вам магчымасць прызначыць IP-адрасы, на якіх павінны знаходзіцца карыстальнікі, каб мець доступ да паслядоўных партоў кансольнага сервера:
42

Кіраўніцтва карыстальніка
1. Абярыце Паслядоўны і сеткавы порт > Давераныя сеткі 2. Каб дадаць новую давераную сетку, абярыце Дадаць правіла. Пры адсутнасці правілаў няма доступу
абмежаванні адносна IP-адрасу, па якім могуць знаходзіцца карыстальнікі.

3. Выберыце даступныя парты, да якіх будзе прымяняцца новае правіла
4. Увядзіце сеткавы адрас падсеткі, да якой будзе дазволены доступ
5. Укажыце дыяпазон адрасоў, якія павінны быць дазволены, увёўшы маску сеткі для гэтага дазволенага дыяпазону IP, напрыклад
· Каб дазволіць усім карыстальнікам, якія знаходзяцца з пэўным сеткавым злучэннем класа C, да прызначанага порта, дадайце наступнае новае правіла даверанай сеткі:

Сеткавы IP-адрас

204.15.5.0

Маска падсеткі

255.255.255.0

· Каб дазволіць падключэнне толькі аднаму карыстальніку, які знаходзіцца на пэўным IP-адрасе:

Сеткавы IP-адрас

204.15.5.13

Маска падсеткі

255.255.255.255

· Каб дазволіць усім карыстальнікам, якія працуюць з пэўнага дыяпазону IP-адрасоў (скажам, любы з трыццаці адрасоў ад 204.15.5.129 да 204.15.5.158), падключэнне да прызначанага порта:

Адрас хаста/падсеткі

204.15.5.128

Маска падсеткі

255.255.255.224

6. Націсніце Ужыць

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
3.6 Каскад паслядоўнага порта
Каскадныя парты дазваляюць кластэрызаваць размеркаваныя кансольныя серверы, каб можна было наладзіць вялікую колькасць паслядоўных партоў (да 1000), атрымаць доступ праз адзін IP-адрас і кіраваць імі праз адзіную кансоль кіравання. Адзін кансольны сервер, асноўны, кантралюе іншыя кансольныя серверы як вузлы, і ўсе паслядоўныя парты на вузлах выглядаюць так, быццам яны з'яўляюцца часткай асноўнага. Кластэрызацыя Opengear злучае кожны вузел з асноўным з дапамогай злучэння SSH. Гэта робіцца з дапамогай аўтэнтыфікацыі з адкрытым ключом, так што першасны можа атрымаць доступ да кожнага вузла з дапамогай пары ключоў SSH (замест выкарыстання пароляў). Гэта забяспечвае бяспечную аўтэнтыфікаваную сувязь паміж асноўнымі і вузламі, што дазваляе размеркаваць серверныя блокі кансолі Node лакальна па лакальнай сеткі або выдалена па ўсім свеце.
3.6.1 Аўтаматычнае стварэнне і загрузка ключоў SSH Каб наладзіць аўтэнтыфікацыю з адкрытым ключом, вы павінны спачатку згенераваць пару ключоў RSA або DSA і загрузіць іх на кансольныя серверы Primary і Node. Гэта можна зрабіць аўтаматычна з першаснага:
44

Кіраўніцтва карыстальніка
1. Абярыце Сістэма > Адміністраванне на кансолі кіравання першаснага
2. Праверце Аўтаматычна ствараць ключы SSH. 3. Націсніце Ужыць
Затым вы павінны выбраць, ці трэба генераваць ключы з дапамогай RSA і/або DSA (калі не ўпэўнены, выберыце толькі RSA). Стварэнне кожнага набору ключоў займае дзве хвіліны, і новыя ключы знішчаюць старыя ключы гэтага тыпу. У той час як новае пакаленне ідзе, функцыі, якія абапіраюцца на ключы SSH (напрыклад, каскадныя), могуць перастаць функцыянаваць, пакуль яны не будуць абноўлены новым наборам ключоў. Каб згенераваць ключы:
1. Усталюйце сцяжкі для ключоў, якія вы хочаце стварыць. 2. Націсніце Ужыць
3. Пасля стварэння новых ключоў націсніце спасылку Націсніце тут, каб вярнуцца. Ключы запампаваныя
да асноўнага і падлучанага вузлоў.
3.6.2 Стварэнне і загрузка ключоў SSH уручную Калі ў вас ёсць пары ключоў RSA або DSA, вы можаце загрузіць іх на кансольныя серверы Primary і Node. Каб загрузіць пару адкрытых і закрытых ключоў на асноўны сервер кансолі:
1. Абярыце Сістэма > Адміністраванне на кансолі кіравання першаснага
2. Перайдзіце да месца, дзе вы захавалі адкрыты ключ RSA (або DSA), і загрузіце яго ў адкрыты ключ SSH RSA (DSA).
3. Перайдзіце да захаванага прыватнага ключа RSA (або DSA) і загрузіце яго ў SSH RSA (DSA) Private Key 4. Націсніце "Ужыць"
45

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
Далей вы павінны зарэгістраваць адкрыты ключ у якасці аўтарызаванага ключа на вузле. У выпадку аднаго першаснага з некалькімі вузламі вы загружаеце адзін адкрыты ключ RSA або DSA для кожнага вузла.
1. Выберыце «Сістэма > Адміністраванне» на кансолі кіравання Node. 2. Перайдзіце да захаванага адкрытага ключа RSA (або DSA) і загрузіце яго ў аўтарызаваны SSH ключ Node.
3. Націсніце "Ужыць". Наступны крок - адбіткі пальцаў для кожнага новага злучэння Node-Primary. Гэты крок пацвярджае, што вы ўсталёўваеце сеанс SSH для таго, кім вы сябе лічыце. Пры першым злучэнні Node атрымлівае адбітак пальца ад Primary, які выкарыстоўваецца для ўсіх будучых злучэнняў: каб усталяваць адбітак пальца, спачатку ўвайдзіце на асноўны сервер як root і ўсталюйце злучэнне SSH з аддаленым хостам Node:
# ssh remhost Пасля ўсталявання злучэння SSH вам будзе прапанавана прыняць ключ. Адкажыце "так", і адбітак будзе дададзены ў спіс вядомых хостаў. Калі вас просяць увесці пароль, узнікла праблема з загрузкай ключоў. 3.6.3 Налада вузлоў і іх паслядоўных партоў Пачніце наладжванне вузлоў і канфігурацыю паслядоўных партоў вузлоў з асноўнага сервера кансолі:
1. Выберыце «Паслядоўныя і сеткавыя порты» > «Каскадныя парты» на кансолі кіравання асноўнага прылады: 2. Каб дадаць падтрымку кластарызацыі, выберыце «Дадаць вузел».
Вы не можаце дадаваць вузлы, пакуль не згенеруеце ключы SSH. Каб вызначыць і наладзіць вузел:
46

Кіраўніцтва карыстальніка
1. Увядзіце аддалены IP-адрас або імя DNS для кансольнага сервера вузла 2. Увядзіце кароткае апісанне і кароткую пазнаку для вузла 3. Увядзіце поўную колькасць паслядоўных партоў на блоку вузла ў Колькасць партоў 4. Націсніце Ужыць. Гэта ўсталёўвае тунэль SSH паміж асноўным і новым вузлом
У меню «Паслядоўны і сеткавы порт» > «Каскадныя парты» адлюстроўваюцца ўсе вузлы і нумары партоў, якія былі прызначаны на асноўным. Калі асноўны кансольны сервер мае 16 уласных партоў, парты 1-16 папярэдне прызначаны першаснаму, таму першаму дададзенаму вузлу прысвойваецца нумар порта ад 17. Пасля таго як вы дадалі ўсе серверы кансолі Node, паслядоўныя парты Node і падлучаныя прылады можна канфігураваць і атрымаць доступ з меню кансолі кіравання асноўнага і праз IP-адрас асноўнага.
1. Выберыце адпаведны Паслядоўны і сеткавы порт > Паслядоўны порт і Рэдагаваць, каб наладзіць паслядоўныя парты на
Вузел.
2. Каб дадаць новых карыстальнікаў з правамі доступу, выберыце адпаведны Серыял і сетка > Карыстальнікі і групы
да паслядоўных партоў Node (або для пашырэння прывілеяў доступу існуючых карыстальнікаў).
3. Выберыце адпаведны паслядоўны і сеткавы порт > Давераныя сеткі, каб указаць сеткавыя адрасы, якія
можа атрымаць доступ да прызначаных паслядоўных партоў вузла. 4. Выберыце адпаведныя Абвесткі і вядзенне журналаў > Абвесткі, каб наладзіць злучэнне порта вузла, стан
Абвесткі аб супадзенні шаблону Changeor. Змены канфігурацыі, унесеныя на першасным, распаўсюджваюцца на ўсе вузлы, калі вы націскаеце "Ужыць".
3.6.4 Кіраванне вузламі Асноўны кантралюе паслядоўныя парты вузла. Напрыкладample, калі змяніць прывілеі доступу карыстальніка або адрэдагаваць налады паслядоўнага порта на Асноўным, абноўленая канфігурацыя files адпраўляюцца кожнаму вузлу паралельна. Кожны вузел уносіць змены ў свае лакальныя канфігурацыі (і толькі ўносіць змены, якія адносяцца да яго канкрэтных паслядоўных партоў). Вы можаце выкарыстоўваць лакальную кансоль кіравання вузлом, каб змяніць налады любога паслядоўнага порта вузла (напрыклад, змяніць хуткасць перадачы дадзеных). Гэтыя змены перазапісваюцца ў наступны раз, калі першасны адпраўляе канфігурацыю file абнаўленне. У той час як Primary кантралюе ўсе функцыі, звязаныя з паслядоўным портам вузла, ён не з'яўляецца асноўным над злучэннямі хаста сеткі вузла або над сістэмай Node Console Server. Такія функцыі вузла, як IP, налады SMTP і SNMP, дата і час, сервер DHCP, павінны кіравацца шляхам непасрэднага доступу да кожнага вузла, і гэтыя функцыі не перапісваюцца, калі змены канфігурацыі распаўсюджваюцца з асноўнага. Сеткавы хост вузла і параметры IPMI павінны быць сканфігураваны на кожным вузле.
47

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
Кансоль кіравання Primary забяспечвае кансалідаваны view налад для свайго ўласнага і паслядоўных партоў усяго Node. Першасны не дае цалкам кансалідаванага view. Напрыкладample, калі вы хочаце даведацца, хто ўвайшоў у каскадныя паслядоўныя парты ад асноўнага, вы ўбачыце, што Статус > Актыўныя карыстальнікі адлюстроўвае толькі карыстальнікаў, актыўных на партах асноўнага, таму вам можа спатрэбіцца напісаць карыстальніцкія скрыпты, каб забяспечыць гэта view.
3.7 Перанакіраванне паслядоўнага порта (PortShare)
Праграмнае забеспячэнне Port Share ад Opengear забяспечвае тэхналогію віртуальнага паслядоўнага порта, неабходную вашым праграмам Windows і Linux для адкрыцця аддаленых паслядоўных партоў і чытання даных з паслядоўных прылад, падлучаных да кансольнага сервера.
PortShare пастаўляецца бясплатна з кожным кансольным серверам, і вы маеце ліцэнзію на ўстаноўку PortShare на адзін або некалькі камп'ютараў для доступу да любой паслядоўнай прылады, падлучанай да порта кансольнага сервера. PortShare для Windows Portshare_setup.exe можна загрузіць з ftp-сайта. Падрабязную інфармацыю аб усталяванні і эксплуатацыі глядзіце ў Інструкцыі карыстальніка PortShare і Quick Start. PortShare для Linux Драйвер PortShare для Linux адлюстроўвае паслядоўны порт кансольнага сервера ў пробны порт хаста. Opengear выпусціла portshare-serial-client як утыліту з адкрытым зыходным кодам для Linux, AIX, HPUX, SCO, Solaris і UnixWare. Гэтую ўтыліту можна спампаваць з ftp-сайта. Гэта перанакіраванне паслядоўнага порта PortShare дазваляе вам выкарыстоўваць паслядоўную прыладу, падключаную да аддаленага сервера кансолі, як калі б яна была падключана да лакальнага паслядоўнага порта. Portshare-serial-client стварае псеўда-порт tty, падключае паслядоўнае прыкладанне да псеўда-порта tty, прымае даныя з псеўда-порта tty, перадае іх на кансольны сервер праз сетку і атрымлівае даныя з кансольнага сервера праз сетку і перадае іх да порта псеўда-tty. .tar file можна спампаваць з ftp-сайта. Падрабязную інфармацыю аб усталяванні і эксплуатацыі глядзіце ў Інструкцыі карыстальніка PortShare і Quick Start.
48

Кіраўніцтва карыстальніка
3.8 кіраваных прылад
На старонцы "Кіраваныя прылады" прадстаўлены кансалідаваны view усіх падключэнняў да прылады, да якіх можна атрымаць доступ і кантраляваць іх праз кансольны сервер. каб view злучэнняў з прыладамі, выберыце Паслядоўны і сеткавы порт > Кіраваныя прылады
На гэтым экране адлюстроўваюцца ўсе кіраваныя прылады з іх апісаннем/нататкамі і спісы ўсіх наладжаных злучэнняў:
· Паслядоўны порт № (пры паслядоўным падключэнні) або · USB (калі падлучаны USB) · IP-адрас (калі падключаны да сеткі) · Падрабязныя звесткі аб PDU/разетцы сілкавання (пры наяўнасці) і любых падключэннях ІБП Такія прылады, як серверы, могуць мець больш чым адно падключэнне да сілкавання (напрыклад, падвойнае сілкаванне) і больш чым адно сеткавае злучэнне (напрыклад, для BMC/сэрвіснага працэсара). Усе карыстальнікі могуць view гэтыя злучэнні кіраваных прылад, выбраўшы Кіраванне > Прылады. Адміністратары таксама могуць рэдагаваць і дадаваць/выдаляць гэтыя кіраваныя прылады і іх падключэнні. Каб адрэдагаваць існуючую прыладу і дадаць новае злучэнне: 1. Абярыце "Рэдагаваць" у раздзеле "Паслядоўны і сеткавы порт" > "Кіраваныя прылады" і націсніце "Дадаць злучэнне" 2. Выберыце тып злучэння для новага злучэння (паслядоўны, сеткавы хост, UPS або RPC) і абярыце
злучэнне з прадстаўленага спісу настроеных неразмеркаваных хастоў/партоў/разетак
49

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
Каб дадаць новую кіраваную прыладу, падключаную да сеткі: 1. Адміністратар дадае новую кіраваную прыладу, падлучаную да сеткі, выкарыстоўваючы «Дадаць хост» у меню «Паслядоўны і сеткавы порт» > «Сеткавы хост». Гэта аўтаматычна стварае адпаведную новую кіраваную прыладу. 2. Пры даданні новай прылады сілкавання RPC або UPS, падключанай да сеткі, вы наладжваеце сеткавы хост і пазначаеце яго як RPC або UPS. Перайдзіце ў раздзел «Злучэнні RPC» або «Злучэнні UPS», каб наладзіць адпаведнае злучэнне. Адпаведная новая кіраваная прылада з такім жа імем / апісаннем, што і хост RPC/UPS, не будзе створана, пакуль гэты крок падключэння не будзе завершаны.
ЗАЎВАГА Назвы разетак на нядаўна створаным PDU: Outlet 1 і Outlet 2. Калі вы падключаеце пэўную кіраваную прыладу, якая атрымлівае энергію ад разеткі, разетка прымае назву кіраванай прылады з харчаваннем.
Каб дадаць новую кіраваную прыладу з паслядоўным падключэннем: 1. Наладзьце паслядоўны порт з дапамогай меню «Паслядоўны і сеткавы порт» > «Паслядоўны порт» (гл. Раздзел 3.1 «Наладжванне паслядоўнага порта») 2. Выберыце «Паслядоўны і сеткавы порт» > «Кіраваныя прылады» і націсніце «Дадаць прыладу» 3. Увядзіце прыладу Назва і апісанне кіраванай прылады

4. Націсніце «Дадаць злучэнне» і выберыце «Паслядоўны порт» і «Порт», які падключаецца да кіраванай прылады

5. Каб дадаць злучэнне сілкавання UPS/RPC, сеткавае злучэнне або іншае паслядоўнае злучэнне, націсніце «Дадаць злучэнне».

6. Націсніце Ужыць

УВАГА

Каб наладзіць паслядоўна падключаны КБС RPC або прыладу EMD, наладзьце паслядоўны порт, пазначце яго як прыладу і ўвядзіце імя і апісанне гэтай прылады ў раздзеле «Паслядоўны і сеткавы порт» > «RPC-злучэнні» (або «Злучэнні UPS або Environmental»). Гэта стварае адпаведную новую кіраваную прыладу з такім жа імем / апісаннем, што і хост RPC/UPS. Назвы разетак на гэтым нядаўна створаным PDU - Outlet 1 і Outlet 2. Калі вы падключаеце кіраваную прыладу, якая атрымлівае энергію ад разеткі, разетка прымае назву кіраванай прылады з харчаваннем.

3.9 IPsec VPN
ACM7000, CM7100 і IM7200 уключаюць Openswan, рэалізацыю пратаколаў IPsec (IP Security) у Linux, якія можна выкарыстоўваць для канфігурацыі віртуальнай прыватнай сеткі (VPN). VPN дазваляе некалькім сайтам або аддаленым адміністратарам атрымліваць бяспечны доступ да сервера кансолі і кіраваных прылад праз Інтэрнэт.

Кіраўніцтва карыстальніка
Адміністратар можа ўстанаўліваць зашыфраваныя аўтэнтыфікаваныя злучэнні VPN паміж кансольнымі серверамі, размеркаванымі на аддаленых сайтах, і шлюзам VPN (напрыклад, маршрутызатарам Cisco пад кіраваннем IOS IPsec) у сетцы свайго цэнтральнага офіса:
· Карыстальнікі ў цэнтральным офісе могуць атрымаць бяспечны доступ да выдаленых сервераў кансолі і падлучаных паслядоўных кансольных прылад і машын у падсетцы лакальнай сеткі кіравання ў аддаленым месцы, як быццам яны лакальныя
· Усе гэтыя серверы аддаленай кансолі можна кантраляваць з дапамогай CMS6000 у цэнтральнай сетцы · З дапамогай паслядоўнага моста паслядоўныя дадзеныя з кантролера на машыне цэнтральнага офіса могуць быць бяспечна перададзены
падключаны да паслядоўна кіраваных прылад на аддаленых сайтах. Адміністратар road warrior можа выкарыстоўваць кліент праграмнага забеспячэння VPN IPsec для аддаленага доступу да кансольнага сервера і кожнай машыны ў падсетцы лакальнай сеткі кіравання ў аддаленым месцы
Канфігурацыя IPsec даволі складаная, таму Opengear забяспечвае графічны інтэрфейс для базавай налады, як апісана ніжэй. Каб уключыць шлюз VPN:
1. Абярыце IPsec VPN у меню «Паслядоўны і сеткавы порт».
2. Націсніце «Дадаць» і запоўніце экран «Дадаць тунэль IPsec». 3. Увядзіце любое апісальнае імя, якое вы жадаеце ідэнтыфікаваць тунэль IPsec, які вы дадаяце, напрыклад
WestStOutlet-VPN
51

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
4. Выберыце метад аўтэнтыфікацыі, які будзе выкарыстоўвацца: лічбавыя подпісы RSA або агульны сакрэт (PSK) o Калі вы выбіраеце RSA, вам будзе прапанавана націснуць тут, каб згенераваць ключы. Гэта стварае адкрыты ключ RSA для кансольнага сервера (левы адкрыты ключ). Знайдзіце ключ, які будзе выкарыстоўвацца на аддаленым шлюзе, выражыце і ўстаўце яго ў правы адкрыты ключ
o Калі вы выбіраеце агульны сакрэт, увядзіце папярэдні агульны сакрэт (PSK). PSK павінен адпавядаць PSK, настроеным на іншым канцы тунэля
5. У раздзеле "Пратакол аўтэнтыфікацыі" выберыце пратакол аўтэнтыфікацыі, які будзе выкарыстоўвацца. Прайдзіце аўтэнтыфікацыю ў рамках шыфравання ESP (Encapsulating Security Payload) або асобна з выкарыстаннем пратаколу AH (Authentication Header).
52

Кіраўніцтва карыстальніка
6. Увядзіце левы ID і правы ID. Гэта ідэнтыфікатар, які лакальны хост/шлюз і аддалены хост/шлюз выкарыстоўваюць для ўзгаднення і аўтэнтыфікацыі IPsec. Кожны ідэнтыфікатар павінен змяшчаць знак @ і можа ўключаць поўнае даменнае імя (напрыклад, left@example.com)
7. Увядзіце агульнадаступны IP або DNS-адрас гэтага VPN-шлюза Opengear у якасці левага адраса. Вы можаце пакінуць гэта поле пустым, каб выкарыстоўваць інтэрфейс стандартнага маршруту
8. У Right Address увядзіце агульнадаступны IP або DNS-адрас аддаленага канца тунэля (толькі калі аддалены канец мае статычны адрас або адрас DynDNS). У адваротным выпадку пакіньце гэта поле пустым
9. Калі VPN-шлюз Opengear служыць VPN-шлюзам для лакальнай падсеткі (напрыклад, кансольны сервер мае наладжаную лакальную сетку кіравання), увядзіце дэталі прыватнай падсеткі ў Левая падсетка. Выкарыстоўвайце запіс CIDR (дзе за нумарам IP-адраса ідзе косая рыса і колькасць бітаў «адзін» у двайковым запісе сеткавай маскі). Напрыкладample, 192.168.0.0/24 паказвае IP-адрас, дзе першыя 24 біта выкарыстоўваюцца ў якасці сеткавага адраса. Гэта тое ж самае, што 255.255.255.0. Калі доступ VPN ажыццяўляецца толькі да кансольнага сервера і да падключаных да яго паслядоўных кансольных прылад, пакіньце левую падсетку пустой
10. Калі на аддаленым канцы ёсць шлюз VPN, увядзіце дэталі прыватнай падсеткі ў правай падсетцы. Выкарыстоўвайце натацыю CIDR і пакіньце поле пустым, калі ёсць толькі аддалены хост
11. Выберыце «Ініцыяваць тунэль», калі злучэнне з тунэлем павінна быць ініцыявана з левага боку кансольнага сервера. Гэта можа быць ініцыявана толькі са шлюза VPN (злева), калі аддалены канец настроены са статычным (або DynDNS) IP-адрасам
12. Націсніце "Ужыць", каб захаваць змены
ЗАЎВАГА Дэталі канфігурацыі, наладжаныя на кансольным серверы (называецца левым або лакальным хостам), павінны супадаць з параметрамі, уведзенымі пры канфігурацыі аддаленага (правага) хоста/шлюза або праграмнага кліента. Глядзіце http://www.opengear.com/faq.html для атрымання падрабязнай інфармацыі аб канфігурацыі гэтых аддаленых канцоў
3.10 OpenVPN
ACM7000, CM7100 і IM7200 з прашыўкай V3.2 і больш позняй версіі ўключаюць OpenVPN. OpenVPN выкарыстоўвае бібліятэку OpenSSL для шыфравання, аўтэнтыфікацыі і сертыфікацыі, што азначае, што ён выкарыстоўвае SSL/TSL (Secure Socket Layer/Transport Layer Security) для абмену ключамі і можа шыфраваць як дадзеныя, так і каналы кіравання. Выкарыстанне OpenVPN дазваляе ствараць міжплатформенныя сеткі VPN кропка-кропка з выкарыстаннем альбо X.509 PKI (інфраструктура адкрытых ключоў), альбо індывідуальнай канфігурацыі fileс. OpenVPN дазваляе бяспечна тунэляваць даныя праз адзін порт TCP/UDP праз неабароненую сетку, забяспечваючы такім чынам бяспечны доступ да некалькіх сайтаў і бяспечнае выдаленае адміністраванне на кансольным серверы праз Інтэрнэт. OpenVPN таксама дазваляе выкарыстоўваць дынамічныя IP-адрасы як серверам, так і кліентам, што забяспечвае мабільнасць кліента. Напрыкладampнапрыклад, тунэль OpenVPN можа быць усталяваны паміж роўмінгуючым кліентам Windows і кансольным серверам Opengear у цэнтры апрацоўкі дадзеных. Канфігурацыя OpenVPN можа быць складанай, таму Opengear забяспечвае графічны інтэрфейс для базавай налады, як апісана ніжэй. Больш падрабязная інфармацыя даступная на сайце http://www.openvpn.net
3.10.1 Уключэнне OpenVPN 1. Абярыце OpenVPN у меню паслядоўных і сетак
53

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
2. Націсніце «Дадаць» і запоўніце экран «Дадаць тунэль OpenVPN». 3. Увядзіце любое апісальнае імя, якое вы жадаеце вызначыць для тунэля OpenVPN, які вы дадаяце, напрыкладample
NorthStOutlet-VPN
4. Выберыце метад аўтэнтыфікацыі, які будзе выкарыстоўвацца. Для аўтэнтыфікацыі з выкарыстаннем сертыфікатаў выберыце PKI (сертыфікаты X.509) або абярыце Карыстальніцкую канфігурацыю, каб загрузіць карыстальніцкую канфігурацыю fileс. Карыстальніцкія канфігурацыі павінны захоўвацца ў /etc/config.
УВАГА Калі вы выбіраеце PKI, усталюйце: Асобны сертыфікат (таксама вядомы як адкрыты ключ). Гэты сертыфікат File гэта *.crt file увядзіце прыватны ключ для сервера і кожнага кліента. Гэты прыватны ключ File гэта *.ключ file тыпу
Сертыфікат першаснага цэнтра сертыфікацыі (CA) і ключ, які выкарыстоўваецца для подпісу кожнага сервера
і кліенцкія сертыфікаты. Гэты каранёвы сертыфікат ЦС з'яўляецца *.crt file тып Для сервера вам таксама можа спатрэбіцца dh1024.pem (параметры Diffie Hellman). Глядзіце http://openvpn.net/easyrsa.html для кіраўніцтва па базавым кіраванні ключамі RSA. Аб альтэрнатыўных метадах аўтэнтыфікацыі глядзіце http://openvpn.net/index.php/documentation/howto.html#auth.
5. Выберыце драйвер прылады, які будзе выкарыстоўвацца, Tun-IP або Tap-Ethernet. Драйверы TUN (сеткавы тунэль) і TAP (сеткавы адвод) з'яўляюцца драйверамі віртуальнай сеткі, якія падтрымліваюць тунэляванне IP і тунэляванне Ethernet адпаведна. TUN і TAP з'яўляюцца часткай ядра Linux.
6. Выберыце UDP або TCP у якасці пратакола. UDP - гэта пратакол па змаўчанні і пераважны для OpenVPN. 7. Усталюйце або зніміце галачку з кнопкі «Сціск», каб уключыць або выключыць сціск. 8. У тунэльным рэжыме вызначце, ці з'яўляецца гэта канец тунэля кліентам або серверам. Пры запуску як
сервер, кансольны сервер падтрымлівае некалькі кліентаў, якія падключаюцца да сервера VPN праз адзін і той жа порт.
54

Кіраўніцтва карыстальніка
3.10.2 Наладзіць як сервер або кліент
1. Запоўніце звесткі пра кліента або звесткі аб серверы ў залежнасці ад абранага тунэльнага рэжыму. o Калі быў абраны кліент, адрас асноўнага сервера - гэта адрас сервера OpenVPN. o Калі быў абраны сервер, увядзіце сеткавы адрас IP-пула і маску сеткі IP-пула для IP-пула. Сетка, вызначаная сеткавым адрасам/маскай IP-пула, выкарыстоўваецца для прадастаўлення адрасоў для падключэння кліентаў.
2. Націсніце "Ужыць", каб захаваць змены
55

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
3. Каб увесці сертыфікаты аўтэнтыфікацыі і files, абярыце Кіраванне OpenVPN Files ўкладка. Загрузіце або праглядзіце адпаведныя сертыфікаты аўтэнтыфікацыі і files.
4. Ужыць, каб захаваць змены. Захавана files адлюстроўваюцца чырвоным колерам справа ад кнопкі Upload.
5. Каб уключыць OpenVPN, адрэдагуйце тунэль OpenVPN
56

Кіраўніцтва карыстальніка
6. Праверце кнопку Уключана. 7. Прымяніць, каб захаваць змены УВАГА Пераканайцеся, што сістэмны час кансольнага сервера правільны пры працы з OpenVPN, каб пазбегнуць
праблемы аўтэнтыфікацыі.
8. Выберыце «Статыстыка» ў меню «Стан», каб пераканацца, што тунэль працуе.
57

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
3.10.3 Настройка кліента і сервера Windows OpenVPN У гэтым раздзеле апісваецца ўстаноўка і канфігурацыя кліента Windows OpenVPN або сервера Windows OpenVPN і наладжванне VPN-злучэння з кансольным серверам. Кансольныя серверы аўтаматычна ствараюць канфігурацыю кліента Windows з графічнага інтэрфейсу для Pre-shared Secret (Static Key File) канфігурацыі.
Акрамя таго, OpenVPN GUI для праграмнага забеспячэння Windows (уключае стандартны пакет OpenVPN плюс Windows GUI) можна загрузіць з http://openvpn.net. Пасля ўстаноўкі на машыну з Windows значок OpenVPN дадаецца ў вобласць апавяшчэнняў, размешчаную ў правай частцы панэлі задач. Пстрыкніце правай кнопкай мышы на гэтым значку, каб запускаць і спыняць злучэнні VPN, рэдагаваць канфігурацыі і view бярвення.
Калі праграмнае забеспячэнне OpenVPN пачынае працаваць, праграма C:Program FileПапка sOpenVPNconfig скануецца на наяўнасць .opvn fileс. Гэтая папка паўторна правяраецца на наяўнасць новай канфігурацыі files кожны раз, калі значок OpenVPN GUI пстрыкнуць правай кнопкай мышы. Пасля ўстаноўкі OpenVPN стварыце канфігурацыю file:
58

Кіраўніцтва карыстальніка

Выкарыстоўваючы тэкставы рэдактар, стварыце xxxx.ovpn file і захавайце ў C:Program Fileканфігурацыя sOpenVPN. Напрыкладample, C: Праграма FilesOpenVPNconfigclient.ovpn
Былыampфайл канфігурацыі кліента OpenVPN Windows file паказана ніжэй:
# апісанне: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind persist-key persist- тун камп-лзо
Былыampфайл канфігурацыі Windows Server OpenVPN file паказана ніжэй:
сервер 10.100.10.0 255.255.255.0 порт 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt ключ c:\openvpnkeys\server. ключ dh c:\openvpnkeys\dh.pem comp-lzo дзеяслоў 1 syslog IM4216_OpenVPN_Server
Канфігурацыя кліент/сервер Windows file варыянты:

Параметры #description: Кліент-сервер proto udp proto tcp mssfix дзеясл
дэв тун дэв кран

Апісанне Гэта каментар, які апісвае канфігурацыю. Радкі каментарыяў пачынаюцца з "#" і ігнаруюцца OpenVPN. Укажыце, ці будзе гэта канфігурацыя кліента або сервера file. У канфігурацыі сервера file, вызначыць пул IP-адрасоў і маску сеткі. Напрыкладample, сервер 10.100.10.0 255.255.255.0 Усталюйце пратакол UDP або TCP. Кліент і сервер павінны выкарыстоўваць аднолькавыя налады. Mssfix задае максімальны памер пакета. Гэта карысна толькі для UDP, калі ўзнікаюць праблемы.
Усталяваць журнал file ўзровень шматслоўя. Узровень шматслоўнасці журнала можа быць усталяваны ад 0 (мінімум) да 15 (максімум). Напрыкладample, 0 = бясшумны, за выключэннем фатальных памылак 3 = сярэдні вывад, добры для агульнага выкарыстання 5 = дапамагае з адладкай праблем з падключэннем 9 = падрабязны, выдатны для ліквідацыі непаладак Выберыце `dev tun', каб стварыць маршрутызаваны IP-тунэль, або `dev tap', каб стварыць тунэль Ethernet. Кліент і сервер павінны выкарыстоўваць аднолькавыя налады.

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка

аддалены Порт Keepalive
http-проксі каляfile імя>
сертыфікатfile імя>
ключfile імя>
dhfile імя> Nobind шыфр persist-key persist-tun BF-CBC Blowfish (па змаўчанні) шыфр AES-128-CBC AES шыфр DES-EDE3-CBC Triple-DES comp-lzo syslog

Імя хаста/IP сервера OpenVPN пры працы ў якасці кліента. Увядзіце імя хаста DNS або статычны IP-адрас сервера. Порт UDP/TCP сервера. Keepalive выкарыстоўвае ping, каб падтрымліваць сеанс OpenVPN. 'Keepalive 10 120' адпраўляе пінг кожныя 10 секунд і мяркуе, што аддалены пір не працуе, калі на працягу 120 секунд не паступае пінг. Калі для доступу да сервера патрабуецца проксі, увядзіце DNS-імя проксі-сервера або IP і нумар порта. Увядзіце сертыфікат ЦС file імя і месцазнаходжанне. Той жа сертыфікат ЦС file можа выкарыстоўвацца серверам і ўсімі кліентамі. Заўвага: пераканайцеся, што кожны `' у шляху да каталога заменены на ` \'. Напрыкладample, c:openvpnkeysca.crt стане c:\openvpnkeys\ca.crt Увядзіце сертыфікат кліента або сервера file імя і месцазнаходжанне. У кожнага кліента павінен быць свой сертыфікат і ключ fileс. Заўвага: пераканайцеся, што кожны `' у шляху да каталога заменены на ` \'. Увядзіце file імя і месцазнаходжанне ключа кліента або сервера. У кожнага кліента павінен быць свой сертыфікат і ключ fileс. Заўвага: пераканайцеся, што кожны `' у шляху да каталога заменены на ` \'. Гэта выкарыстоўваецца толькі серверам. Увядзіце шлях да ключа з параметрамі Дзіфі-Хеллмана. `Nobind' выкарыстоўваецца, калі кліентам не трэба прывязвацца да лакальнага адрасу або канкрэтнага лакальнага нумара порта. Гэта так у большасці кліенцкіх канфігурацый. Гэты параметр прадухіляе перазагрузку ключоў падчас перазапуску. Гэты параметр прадухіляе закрыццё і паўторнае адкрыццё прылад TUN/TAP пасля перазапуску. Выберыце крыптаграфічны шыфр. Кліент і сервер павінны выкарыстоўваць аднолькавыя налады.
Уключыце сціск па спасылцы OpenVPN. Гэта павінна быць уключана як на кліенце, так і на серверы. Па змаўчанні журналы знаходзяцца ў сістэмным часопісе або, калі яны працуюць як служба ў Window, у праграме FileКаталог sOpenVPNlog.

Каб запусціць тунэль OpenVPN пасля стварэння канфігурацыі кліент/сервер files: 1. Пстрыкніце правай кнопкай мышы значок OpenVPN у вобласці апавяшчэнняў. 2. Выберыце толькі што створаную канфігурацыю кліента або сервера. 3. Націсніце Connect

4. Бервяно file адлюстроўваецца па меры ўсталявання злучэння
60

Кіраўніцтва карыстальніка
5. Пасля ўстаноўкі значок OpenVPN адлюстроўвае паведамленне аб паспяховым злучэнні і прызначаным IP. Гэтую інфармацыю, а таксама час усталявання злучэння можна атрымаць, пракруціўшы значок OpenVPN.
3.11 PPTP VPN
Кансольныя серверы ўключаюць сервер PPTP (пратакол тунэлявання кропка-кропка). PPTP выкарыстоўваецца для сувязі праз фізічную або віртуальную паслядоўную сувязь. Канчатковыя кропкі PPP вызначаюць для сябе віртуальны IP-адрас. Маршруты да сетак можна вызначыць з дапамогай гэтых IP-адрасоў у якасці шлюза, у выніку чаго трафік адпраўляецца праз тунэль. PPTP усталёўвае тунэль паміж фізічнымі канцавымі кропкамі PPP і бяспечна перадае даныя праз тунэль.
Моцнай перавагай PPTP з'яўляецца прастата канфігурацыі і інтэграцыі ў існуючую інфраструктуру Microsoft. Звычайна ён выкарыстоўваецца для падлучэння асобных аддаленых кліентаў Windows. Калі вы бераце свой партатыўны камп'ютар у камандзіроўку, вы можаце набраць мясцовы нумар, каб падключыцца да пастаўшчыка паслуг доступу ў Інтэрнэт (ISP) і стварыць другое злучэнне (тунэль) з офіснай сеткай праз Інтэрнэт і мець такі ж доступ да карпаратыўная сетка, як калі б вы падключыліся непасрэдна са свайго офіса. Асобы, якія працуюць дыстанцыйна, таксама могуць наладзіць VPN-тунэль праз кабельны мадэм або DSL-сувязь з мясцовым інтэрнэт-правайдэрам.
61

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
Каб наладзіць злучэнне PPTP ад аддаленага кліента Windows да вашай прылады Opengear і лакальнай сеткі:
1. Уключыце і наладзьце сервер PPTP VPN на вашым прыладзе Opengear 2. Наладзьце ўліковыя запісы карыстальнікаў VPN на прыладзе Opengear і ўключыце адпаведны
аўтэнтыфікацыя 3. Наладзьце кліенты VPN на аддаленых сайтах. Кліент не патрабуе спецыяльнага праграмнага забеспячэння, як
Сервер PPTP падтрымлівае стандартнае кліенцкае праграмнае забеспячэнне PPTP, якое ўваходзіць у склад Windows NT і больш позніх версій 4. Падключыцеся да аддаленага VPN 3.11.1 Уключыце сервер PPTP VPN 1. Абярыце PPTP VPN у меню Паслядоўныя і сеткі
2. Усталюйце сцяжок «Уключыць», каб уключыць сервер PPTP. 3. Выберыце «Мінімальная неабходная аўтэнтыфікацыя». Доступ забаронены аддаленым карыстальнікам, якія спрабуюць зрабіць гэта
падключацца з выкарыстаннем схемы аўтэнтыфікацыі, слабейшай за абраную. Схемы апісаны ніжэй, ад самай моцнай да самай слабой. · Зашыфраваная аўтэнтыфікацыя (MS-CHAP v2): самы моцны тып аўтэнтыфікацыі для выкарыстання; гэта
рэкамендаваны варыянт · Слаба зашыфраваная аўтэнтыфікацыя (CHAP): гэта самы слабы тып зашыфраванага пароля
аўтэнтыфікацыя для выкарыстання. Не рэкамендуецца, каб кліенты падключаліся з дапамогай гэтага, бо ён забяспечвае вельмі слабую абарону паролем. Таксама звярніце ўвагу, што кліенты, якія падключаюцца з дапамогай CHAP, не могуць шыфраваць трафік
62

Кіраўніцтва карыстальніка
· Незашыфраваная аўтэнтыфікацыя (PAP): гэта аўтэнтыфікацыя паролем з простым тэкстам. Пры выкарыстанні гэтага тыпу аўтэнтыфікацыі пароль кліента перадаецца ў незашыфраваным выглядзе.
· Няма. 4. Выберыце неабходны ўзровень шыфравання. Доступ забаронены аддаленым карыстальнікам, якія спрабуюць падключыцца
якія не выкарыстоўваюць гэты ўзровень шыфравання. 5. У полі «Лакальны адрас» увядзіце IP-адрас для прызначэння канцу VPN-злучэння на серверы 6. У раздзеле «Аддаленыя адрасы» увядзіце пул IP-адрасоў для прызначэння VPN ўваходнага кліента.
сувязі (напрыклад, 192.168.1.10-20). Гэта павінен быць свабодны IP-адрас або дыяпазон адрасоў з сеткі, які прызначаецца аддаленым карыстальнікам пры падключэнні да прылады Opengear 7. Увядзіце жаданае значэнне максімальнай адзінкі перадачы (MTU) для інтэрфейсаў PPTP у поле MTU (па змаўчанні - 1400) 8. У полі DNS-сервер увядзіце IP-адрас DNS-сервера, які прызначае IP-адрасы кліентам PPTP, якія падключаюцца. 9. У полі WINS-сервер увядзіце IP-адрас сервера WINS, які прызначае IP-адрасы кліентам PPTP, якія падключаюцца. 10. Уключыце падрабязнае вядзенне журналаў, каб дапамагчы ў адладцы праблем з падключэннем. 11. Націсніце "Ужыць налады" 3.11.2. Дадайце карыстальніка PPTP 1. Выберыце "Карыстальнікі і групы" ў меню "Паслядоўныя і сеткі" і запоўніце палі, як апісана ў раздзеле 3.2. 2. Пераканайцеся, што група pptpd адзначана, каб дазволіць доступ да сервера PPTP VPN. Заўвага: карыстальнікі гэтай групы захоўваюць свае паролі ў адкрытым выглядзе. 3. Запішыце імя карыстальніка і пароль, калі вам спатрэбіцца падключыцца да злучэння VPN 4. Націсніце "Ужыць"
63

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
3.11.3 Налада аддаленага кліента PPTP Пераканайцеся, што аддалены ПК-кліент VPN мае падключэнне да Інтэрнэту. Каб стварыць VPN-злучэнне праз Інтэрнэт, неабходна наладзіць два сеткавыя злучэнні. Адно злучэнне для інтэрнэт-правайдэра, а другое злучэнне для тунэля VPN да прылады Opengear. ЗАЎВАГА. Гэтая працэдура наладжвае кліент PPTP у аперацыйнай сістэме Windows Professional. Прыступкі
можа нязначна адрознівацца ў залежнасці ад вашага доступу да сеткі або выкарыстання альтэрнатыўнай версіі Windows. Больш падрабязныя інструкцыі можна атрымаць у Microsoft web сайт. 1. Увайдзіце ў кліент Windows з правамі адміністратара 2. У Цэнтры сетак і агульнага доступу на панэлі кіравання абярыце Сеткавыя падключэнні і стварыце новае злучэнне
64

Кіраўніцтва карыстальніка
3. Выберыце «Выкарыстоўваць маё падключэнне да Інтэрнэту (VPN)» і ўвядзіце IP-адрас прылады Opengear. Каб падключыць аддаленых кліентаў VPN да лакальнай сеткі, вам неабходна ведаць імя карыстальніка і пароль для дададзенага вамі ўліковага запісу PPTP, а таксама IP-адрас Інтэрнэту. адрас прылады Opengear. Калі ваш інтэрнэт-правайдэр не прызначыў вам статычны IP-адрас, падумайце аб выкарыстанні службы дынамічнага DNS. У адваротным выпадку вы павінны змяняць канфігурацыю кліента PPTP кожны раз, калі ваш IP-адрас мяняецца.
65

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка

3.12 Званок дадому
Усе кансольныя серверы ўключаюць функцыю Call Home, якая ініцыюе наладжванне абароненага SSH-тунэля ад кансольнага сервера да цэнтралізаванага Opengear Lighthouse. Кансольны сервер рэгіструецца ў якасці кандыдата на Lighthouse. Пасля прыняцця там ён становіцца кіраваным кансольным серверам.
Lighthouse кантралюе сервер кіраванай кансолі, і адміністратары могуць атрымаць доступ да аддаленага сервера кіраванай кансолі праз Lighthouse. Гэты доступ даступны, нават калі аддалены сервер кансолі знаходзіцца за староннім брандмаўэрам або мае прыватныя IP-адрасы, якія не падлягаюць маршрутызацыі.

УВАГА

Lighthouse падтрымлівае SSH-злучэнні з аўтэнтыфікацыяй адкрытага ключа да кожнага са сваіх кіраваных кансольных сервераў. Гэтыя злучэнні выкарыстоўваюцца для кантролю, кіравання і доступу да сервераў кіраванай кансолі і кіраваных прылад, падлучаных да сервера кіраванай кансолі.

Для кіравання лакальнымі кансольнымі серверамі або кансольнымі серверамі, даступнымі з Lighthouse, злучэнні SSH ініцыююцца Lighthouse.

Для кіравання аддаленымі кансольнымі серверамі або кансольнымі серверамі, якія маюць брандмаўэр, не маршрутызуюцца або іншым чынам недаступныя з Lighthouse, SSH-злучэнні ініцыююцца кіраваным кансольным серверам праз пачатковае злучэнне Call Home.

Гэта забяспечвае бяспечную сувязь з аўтэнтыфікацыяй і дазваляе размяркоўваць блокі кіраваных кансольных сервераў лакальна ў лакальнай сетцы або выдалена па ўсім свеце.

3.12.1 Налада кандыдата Call Home Каб наладзіць кансольны сервер у якасці кандыдата кіравання Call Home на Lighthouse:
1. Абярыце "Выклік дадому" ў меню "Паслядоўны і сеткавы порт".

2. Калі вы яшчэ не стварылі або не загрузілі пару ключоў SSH для гэтага кансольнага сервера, зрабіце гэта, перш чым працягваць
3. Націсніце Дадаць

4. Увядзіце IP-адрас або DNS-імя (напрыклад, дынамічны DNS-адрас) Lighthouse.
5. Увядзіце пароль, які вы наладзілі ў CMS у якасці пароля для выкліку дадому.
66

Кіраўніцтва карыстальніка
6. Націсніце "Ужыць". Гэтыя крокі ініцыююць злучэнне Call Home ад сервера кансолі да Lighthouse. Гэта стварае порт SSHlistening на Lighthouse і ўсталёўвае кансольны сервер у якасці кандыдата.
Пасля таго, як кандыдат быў прыняты на Lighthouse, SSH-тунэль да кансольнага сервера перанакіроўваецца назад праз злучэнне Call Home. Кансольны сервер стаў кіраваным кансольным серверам, і Lighthouse можа падключацца да яго і кантраляваць яго праз гэты тунэль. 3.12.2 Прыняць кандыдата Call Home у якасці кіраванага кансольнага сервера на Lighthouse У гэтым раздзеле даецца большview аб наладжванні Lighthouse для маніторынгу кансольных сервераў Lighthouse, падлучаных праз Call Home. Для больш падрабязнай інфармацыі глядзіце Кіраўніцтва карыстальніка Lighthouse:
1. Увядзіце новы пароль для выкліку дадому на Lighthouse. Гэты пароль выкарыстоўваецца для прыняцця
Выклік Homeconnections з магчымых кансольных сервераў
2. З Lighthouse можна звязацца праз кансольны сервер, ён павінен мець статычны IP
адрас або, калі выкарыстоўваецца DHCP, быць настроены на выкарыстанне службы дынамічнага DNS
Экран «Наладзіць > Серверы кіраванай кансолі» на Lighthouse паказвае стан
лакальныя і аддаленыя кіраваныя кансольныя серверы і кандыдаты.
У раздзеле "Кіраваныя кансольныя серверы" паказаны кансольныя серверы, якія кантралююцца
Раздзел Lighthouse.The Detected Console Servers змяшчае:
o Выпадальнае меню Серверы лакальнай кансолі, у якім пералічаны ўсе серверы кансолі, якія знаходзяцца на
тая ж падсетка, што і Lighthouse, і не кантралююцца
67

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
o Выпадальнае меню "Серверы аддаленай кансолі", у якім пералічаны ўсе кансольныя серверы, якія ўсталявалі злучэнне Call Home і не кантралююцца (г.зн. кандыдаты). Вы можаце націснуць Абнавіць, каб абнавіць
Каб дадаць кансольны сервер-кандыдат у спіс Managed Console Server, выберыце яго з выпадальнага спісу Remote Console Servers і націсніце Add. Увядзіце IP-адрас і порт SSH (калі гэтыя палі не былі запоўнены аўтаматычна), а таксама ўвядзіце апісанне і унікальнае імя для сервера кіраванай кансолі, які вы дадаяце
Увядзіце пароль аддаленага каранёвага доступу (г.зн. сістэмны пароль, які быў усталяваны на гэтым серверы кіраванай кансолі). Гэты пароль выкарыстоўваецца Lighthouse для распаўсюджвання аўтаматычна згенераваных ключоў SSH і не захоўваецца. Націсніце Ужыць. Lighthouse наладжвае бяспечныя злучэнні SSH да і ад сервера кіраванай кансолі і атрымлівае яго кіраваныя прылады, звесткі аб уліковым запісе карыстальніка і наладжаныя абвесткі 3.12.3 Выклік дадому да агульнага цэнтральнага сервера SSH Калі вы падключаецеся да агульнага сервера SSH (не Lighthouse) Вы можаце наладзіць дадатковыя параметры: · Увядзіце порт сервера SSH і карыстальніка SSH. · Увядзіце падрабязныя звесткі для пераадрасацыі партоў SSH, якія трэба стварыць
Выбраўшы Listening Server, вы можаце стварыць аддалены порт для перанакіравання з сервера на гэты прыбор або лакальны порт для пераадрасацыі з гэтага прылады на сервер:
68

Кіраўніцтва карыстальніка
· Укажыце порт праслухоўвання для перанакіравання, пакіньце гэтае поле пустым, каб вылучыць нявыкарыстаны порт · Увядзіце мэтавы сервер і мэтавы порт, які будзе атрымальнікам пераадрасаваных злучэнняў
3.13 Праходжанне IP
IP Passthrough выкарыстоўваецца для таго, каб мадэмнае злучэнне (напрыклад, унутраны сотавы мадэм) выглядала як звычайнае Ethernet-злучэнне са староннім маршрутызатарам ніжэйстаячага патоку, што дазваляе маршрутызатару ніжняга патоку выкарыстоўваць мадэмнае злучэнне ў якасці асноўнага або рэзервовага інтэрфейсу WAN.
Прылада Opengear прадастаўляе IP-адрас мадэма і падрабязную інфармацыю аб DNS ніжэйстаячай прыладзе праз DHCP і перадае сеткавы трафік да і ад мадэма і маршрутызатара.
У той час як IP Passthrough ператварае Opengear у паўмост мадэм-Ethernet, некаторыя паслугі ўзроўню 4 (HTTP/HTTPS/SSH) могуць быць спынены на Opengear (перахопы паслуг). Акрамя таго, сэрвісы, якія працуюць на Opengear, могуць ініцыяваць выходныя сотавыя злучэнні незалежна ад маршрутызатара ўніз па плыні.
Гэта дазваляе працягваць выкарыстоўваць Opengear для пазадыяпазоннага кіравання і абвесткі, а таксама кіраваць ім праз Lighthouse у рэжыме IP-праходжання.
3.13.1 Наладжванне маршрутызатара ніжэйстаячага патоку Каб выкарыстоўваць падключэнне пасля адмовы на маршрутызатары ніжэйстаячага канала (ён жа Failover to Cellular або F2C), ён павінен мець два ці больш інтэрфейсы WAN.
ЗАЎВАГА Пераключэнне пасля адмовы ў кантэксце скразнога IP выконваецца ніжэйстаячым маршрутызатарам, і ўбудаваная логіка пазапалоснага пераключэння пасля адмовы на Opengear недаступная ў рэжыме скразнога IP.
Падключыце інтэрфейс Ethernet WAN на ніжэйстаячым маршрутызатары да сеткавага інтэрфейсу Opengear або порта LAN кіравання з дапамогай кабеля Ethernet.
Наладзьце гэты інтэрфейс на ніжэйстаячым маршрутызатары для атрымання налад сеткі праз DHCP. Калі патрабуецца пераключэнне пасля адмовы, наладзьце ніжэйстаячы маршрутызатар для пераключэння паміж яго асноўным інтэрфейсам і портам Ethernet, падлучаным да Opengear.
3.13.2 Папярэдняя канфігурацыя IP Passthrough Неабходныя крокі для ўключэння IP Passthrough:
1. Наладзьце сеткавы інтэрфейс і, дзе гэта магчыма, інтэрфейсы лакальнай сеткі кіравання са статычнымі наладамі сеткі. · Націсніце Паслядоўны і сеткавы порт > IP. · Для сеткавага інтэрфейсу і, дзе гэта дастасавальна, лакальнай сеткі кіравання, выберыце Статычны для Метаду канфігурацыі і ўвядзіце налады сеткі (падрабязныя інструкцыі глядзіце ў раздзеле Канфігурацыя сеткі). · Для інтэрфейсу, падлучанага да ніжэйстаячага маршрутызатара, вы можаце выбраць любую выдзеленую прыватную сетку, гэтая сетка існуе толькі паміж Opengear і ніжэйстаячым маршрутызатарам і звычайна недаступная. · Для іншага інтэрфейсу наладзьце яго, як звычайна ў лакальнай сетцы. · Для абодвух інтэрфейсаў пакіньце Шлюз пустым.
2. Наладзьце мадэм у рэжым Always On Out-of-band.
69

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
· Для сотавага злучэння націсніце Сістэма > Набор: Унутраны сотавы мадэм. · Выберыце «Уключыць зыходны набор» і ўвядзіце дадзеныя аператара, такія як APN (гл. раздзел «Сотавы мадэм».
Падключэнне для падрабязных інструкцый). 3.13.3 Канфігурацыя IP-праходу Каб наладзіць IP-праход:
· Пстрыкніце «Паслядоўны і сеткавы порт» > «Праход IP» і адзначце «Уключыць». · Абярыце мадэм Opengear, які будзе выкарыстоўвацца для падключэння ўверх. · Пры жаданні ўвядзіце MAC-адрас падключанага інтэрфейсу маршрутызатара ніжэйстаячага патоку. Калі MAC-адрас ёсць
не вызначана, Opengear будзе праходзіць да першай ніжэйстаячай прылады, якая запытвае адрас DHCP. · Выберыце інтэрфейс Ethernet Opengear, які будзе выкарыстоўвацца для падлучэння да маршрутызатара ніжэйстаячага ходу.
· Націсніце Ужыць. 3.13.4 Перахопы паслуг Яны дазваляюць Opengear працягваць аказваць паслугі, напрыкладample, для пазадыяпазоннага кіравання ў рэжыме IP-праходжання. Злучэнні з адрасам мадэма на ўказаным(-ых) парты(-ах) перахопу апрацоўваюцца Opengear, а не перадаюцца на ніжэйстаячы маршрутызатар.
· Для неабходнай службы HTTP, HTTPS або SSH пастаўце галачку «Уключыць» · Дадаткова зменіце порт перахопу на альтэрнатыўны порт (напрыклад, 8443 для HTTPS), гэта карысна, калі вы
жадаю працягваць дазваляць маршрутызатару ніжняй плыні заставацца даступным праз звычайны порт. 3.13.5 IP Passthrough Status Абнавіце старонку, каб view раздзел Статус. Ён адлюстроўвае знешні IP-адрас мадэма, які праходзіць праз яго, унутраны MAC-адрас ніжэйстаячага маршрутызатара (запаўняецца толькі тады, калі ніжэйстаячы маршрутызатар прымае арэнду DHCP) і агульны стан працы службы IP-праходжання. Вы можаце атрымаць папярэджанне аб стане пераключэння пасля адмовы ніжэйстаячага маршрутызатара, наладзіўшы Праверку выкарыстання маршрутызаваных даных у раздзеле Абвесткі і вядзенне журнала > Аўтаматычны адказ. 3.13.6 Засцярогі Некаторыя маршрутызатары ніжэйстаячага ходу могуць быць несумяшчальныя з маршрутам шлюза. Гэта можа адбыцца, калі IP Passthrough злучае сотавую сетку 3G, дзе адрас шлюза з'яўляецца адрасам прызначэння кропка-кропка і інфармацыя аб падсетцы адсутнічае. Opengear адпраўляе сеткавую маску DHCP 255.255.255.255. Прылады звычайна тлумачаць гэта як адзіны хост-маршрут на інтэрфейсе, але некаторыя старыя ніжэйстаячыя прылады могуць мець праблемы.
70

Кіраўніцтва карыстальніка
Перахопы для мясцовых службаў не будуць працаваць, калі Opengear выкарыстоўвае маршрут па змаўчанні, адрозны ад мадэма. Акрамя таго, яны не будуць працаваць, пакуль служба не ўключана і доступ да службы не ўключаны (гл. Сістэма > Службы, на ўкладцы Доступ да службы знайдзіце Тэлефонная сувязь/Сотавая сувязь).
Падтрымліваюцца выходныя злучэнні Opengear з аддаленымі службамі (напрыклад, адпраўка абвестак па электроннай пошце SMTP, пасткі SNMP, атрыманне часу NTP, тунэлі IPSec). Існуе невялікая рызыка збою злучэння, калі і Opengear, і наступная прылада паспрабуюць атрымаць доступ да аднаго і таго ж порта UDP або TCP на адным і тым жа аддаленым хасце адначасова, калі яны выпадкова выбралі адзін і той жа зыходны нумар лакальнага порта.
3.14 Канфігурацыя праз DHCP (ZTP)
Прылады Opengear могуць быць падрыхтаваны падчас іх першапачатковай загрузкі з сервера DHCPv4 або DHCPv6 з дапамогай config-over-DHCP. Прадастаўленне ў ненадзейных сетках можа быць палегчана шляхам прадастаўлення ключоў на флэш-дыску USB. Функцыянальнасць ZTP таксама можа быць выкарыстана для выканання абнаўлення прашыўкі пры першапачатковым падключэнні да сеткі або для рэгістрацыі ў асобніку Lighthouse 5.
Падрыхтоўка Тыповыя этапы канфігурацыі праз давераную сетку:
1. Наладзьце прыладу Opengear той жа мадэлі. 2. Захавайце канфігурацыю ў якасці рэзервовай копіі Opengear (.opg) file. 3. Абярыце Сістэма > Рэзервовае капіраванне канфігурацыі > Аддаленае рэзервовае капіраванне. 4. Націсніце Захаваць рэзервовую копію. Рэзервовая канфігурацыя file — model-name_iso-format-date_config.opg — спампоўваецца з прылады Opengear у лакальную сістэму. Вы можаце захаваць канфігурацыю ў фармаце xml file: 1. Абярыце Сістэма > Рэзервовае капіраванне канфігурацыі > Канфігурацыя XML. Рэдагуемае поле, якое змяшчае
канфігурацыя file у фармаце XML з'яўляецца. 2. Пстрыкніце поле, каб зрабіць яго актыўным. 3. Калі вы выкарыстоўваеце любы браўзер у Windows або Linux, пстрыкніце правай кнопкай мышы і выберыце «Выбраць усё» з
кантэкстнае меню або націсніце Control-A. Пстрыкніце правай кнопкай мышы і выберыце «Капіяваць» з кантэкстнага меню або націсніце Control-C. 4. Калі вы выкарыстоўваеце любы браўзер у macOS, выберыце «Праўка» > «Выбраць усё» або націсніце Command-A. Выберыце «Праўка» > «Капіяваць» або націсніце Command-C. 5. У абраным тэкставым рэдактары стварыце новы пусты дакумент, устаўце скапіраваныя даныя ў пусты дакумент і захавайце file. Што заўгодна file-імя, якое вы выбіраеце, павінна ўключаць .xml fileсуфікс імя. 6. Скапіруйце захаваны .opg або .xml file у агульнадаступны каталог на a file сервер, які абслугоўвае як мінімум адзін з наступных пратаколаў: HTTPS, HTTP, FTP або TFTP. (Толькі HTTPS можна выкарыстоўваць, калі злучэнне паміж file сервер і прылада Opengear, якую трэба наладзіць, перамяшчаецца па ненадзейнай сетцы.). 7. Наладзьце свой DHCP-сервер, каб уключыць опцыю «спецыфічны пастаўшчык» для прылад Opengear. (Гэта будзе зроблена спосабам, характэрным для сервера DHCP.) Параметр, які залежыць ад пастаўшчыка, павінен быць усталяваны ў радок, які змяшчае URL апублікаванага .opg або .xml file у кроку вышэй. Параметр радка не павінен перавышаць 250 сімвалаў і заканчвацца на .opg або .xml.
71

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
8. Падключыце новую прыладу Opengear са скідам да заводскіх налад або са сцёртай канфігурацыяй да сеткі і ўключыце сілкаванне. Сама перазагрузка прылады можа заняць да 5 хвілін.
Exampканфігурацыя сервера ISC DHCP (dhcpd).
Наступны эксample Фрагмент канфігурацыі сервера DHCP для абслугоўвання выявы канфігурацыі .opg праз сервер DHCP ISC, dhcpd:
option space opengear code width 1 length width 1; опцыя opengear.config-url код 1 = тэкст; клас "opengear-config-over-dhcp-test" {
супадаць, калі опцыя ідэнтыфікатар-класа пастаўшчыка ~~ “^Opengear/”; vendor-option-space opengear; опцыя opengear.config-url «https://example.com/opg/${клас}.opg”; }
Гэтую ўстаноўку можна змяніць, каб абнавіць вобраз канфігурацыі з дапамогай opengear.image-url варыянт і прадастаўленне URI выявы прашыўкі.
Настройка, калі лакальная сетка ненадзейная Калі злучэнне паміж file сервер і прылада Opengear, якое трэба наладзіць, уключае ненадзейную сетку, падыход з дзвюма рукамі можа змякчыць праблему.
ЗАЎВАГА Гэты падыход уводзіць два фізічныя крокі, на якіх можа быць цяжка, а то і немагчыма цалкам усталяваць давер. Па-першае, ланцужок захавання ад стварэння USB-назапашвальніка з дадзенымі да яго разгортвання. Па-другое, рукі падключаюць USB-назапашвальнік да прылады Opengear.
· Стварыце сертыфікат X.509 для прылады Opengear.
· Аб'яднаць сертыфікат і яго прыватны ключ у адзіны file пад назвай client.pem.
· Скапіруйце client.pem на флэшку USB.
· Наладзьце сервер HTTPS такім чынам, каб мець доступ да .opg або .xml file абмежаваны для кліентаў, якія могуць прадаставіць кліенцкі сертыфікат X.509, створаны вышэй.
· Змесціце копію сертыфіката ЦС, які падпісаў сертыфікат сервера HTTP — ca-bundle.crt — на флэш-назапашвальнік USB з client.pem.
· Устаўце флэш-назапашвальнік USB у прыладу Opengear перад падключэннем сілкавання або сеткі.
· Працягніце працэдуру з `Капіяваць захаваны .opg або .xml file у агульнадаступны каталог на a file server' вышэй з выкарыстаннем пратаколу HTTPS паміж кліентам і серверам.
Падрыхтуйце USB-дыск і стварыце сертыфікат X.509 і прыватны ключ
· Стварыце сертыфікат ЦС, каб можна было падпісаць запыты на подпіс сертыфікатаў кліента і сервера (CSR).
# cp /etc/ssl/openssl.cnf. # mkdir -p exampleCA/newcerts # рэха 00 > напрыкладampleCA/serial # echo 00 > exampleCA/crlnumber # сэнсарны exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ПрыкладampleCA # cp demoCA/cacert.pem ca-bundle.crt
Гэтая працэдура стварае сертыфікат пад назвай ExampleCA, але можна выкарыстоўваць любую дазволеную назву сертыфіката. Акрамя таго, гэтая працэдура выкарыстоўвае openssl ca. Калі ў вашай арганізацыі ёсць бяспечны працэс генерацыі ЦС для ўсяго прадпрыемства, яго трэба выкарыстоўваць замест гэтага.
72

Кіраўніцтва карыстальніка
· Стварыце сертыфікат сервера.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
- ключfile ca.key -policy policy_anything -batch -notext
ЗАЎВАГА. Імя хаста або IP-адрас павінны супадаць з радком, які выкарыстоўваецца пры абслугоўванні URL. У былойampвышэй, імя хаста demo.example.com.
· Стварыце сертыфікат кліента.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
- ключfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Адфарматаваць флэшку USB як адзін том FAT32.
· Перамясціце client.pem і ca-bundle.crt files у каранёвай каталог флэшкі.
Адладка праблем ZTP Выкарыстоўвайце функцыю часопіса ZTP для адладкі праблем ZTP. Пакуль прылада спрабуе выканаць аперацыі ZTP, інфармацыя журнала запісваецца ў /tmp/ztp.log на прыладзе.
Наступны эксampле бервяна file ад паспяховага запуску ZTP.
# cat /tmp/ztp.log серада, 13 снежня, 22:22:17 UTC 2017 [апавяшчэнне 5127] odhcp6c.eth0: аднаўленне канфігурацыі праз DHCP, серада, 13 снежня, 22:22:17 UTC 2017 [апавяшчэнне 5127] odhcp6c.eth0: чаканне 10 с для сеткі для ўрэгулявання серада 13 снежня 22:22:27 UTC 2017 [апавяшчэнне 5127] odhcp6c.eth0: NTP прапушчаны: сервер адсутнічае серада 13 снежня 22:22:27 UTC 2017 [5127 інфармацыя] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' серада, 13 снежня 22:22:27 UTC 2017 г. [5127 інфармацыя] odhcp6c.eth0: vendorspec.2 (н/д) серада 13 снежня 22:22:27 UTC 2017 г. [5127 інфармацыі] odhcp6c.eth0: vendorspec.3 (н/д) Серада 13 снежня 22:22:27 UTC 2017 г. [5127 інфармацыі] odhcp6c.eth0: vendorspec.4 (н/д) ) Серада, 13 снежня, 22:22:27 UTC 2017 [5127 інфармацыя] odhcp6c.eth0: vendorspec.5 (н/д) Серада, 13 снежня 22:22:28 UTC 2017 [5127 інфармацыя] odhcp6c.eth0: vendorspec.6 (н /a) серада, 13 снежня, 22:22:28 UTC 2017 [5127 інфармацыя] odhcp6c.eth0: няма прашыўкі для загрузкі (vendorspec.2) рэзервовая копія-url: спрабуе http://[fd07:2218:1350:44::1]/tftpboot/config.sh … рэзервовая копія-url: прымусовы рэжым канфігурацыі wan для рэзервовага капіравання DHCP-url: усталяванне імя хаста для рэзервовага капіравання acm7004-0013c601ce97-url: загрузка прайшла паспяхова, серада, 13 снежня, 22:22:36 UTC 2017 [апавяшчэнне 5127] odhcp6c.eth0: паспяховая загрузка канфігурацыі, серада, 13 снежня 22:22:36 UTC 2017 [5127 інфармацыя] odhcp6c.eth0: няма канфігурацыі маяка (vendorspec.3/ 4/5/6) серада, 13 снежня, 22:22:36 UTC 2017 [апавяшчэнне 5127] odhcp6c.eth0: падрыхтоўка завершана, не перазагружаецца
Памылкі запісваюцца ў гэты журнал.
3.15 Залічэнне ў Маяк
Выкарыстоўвайце рэгістрацыю ў Lighthouse, каб зарэгістраваць прылады Opengear у асобніку Lighthouse, забяспечваючы цэнтралізаваны доступ да партоў кансолі і дазваляючы цэнтралізаваную канфігурацыю прылад Opengear.
Інструкцыі па рэгістрацыі прылад Opengear у Lighthouse глядзіце ў Кіраўніцтве карыстальніка Lighthouse.
73

Раздзел 3: Паслядоўны порт, канфігурацыя прылады і карыстальніка
3.16 Уключыць рэле DHCPv4
Служба рэтрансляцыі DHCP перасылае пакеты DHCP паміж кліентамі і аддаленымі серверамі DHCP. Служба рэтрансляцыі DHCP можа быць уключана на серверы кансолі Opengear, каб яна праслухоўвала кліентаў DHCP на прызначаных ніжніх інтэрфейсах, абгортвала і перасылала іх паведамленні на серверы DHCP, выкарыстоўваючы або звычайную маршрутызацыю, або трансляцыю непасрэдна на прызначаныя верхнія інтэрфейсы. Такім чынам, агент рэтрансляцыі DHCP атрымлівае паведамленні DHCP і стварае новае паведамленне DHCP для адпраўкі на іншы інтэрфейс. На прыведзеных ніжэй этапах кансольныя серверы могуць падключацца да ідэнтыфікатараў ланцугоў, Ethernet або сотавых мадэмаў з дапамогай службы DHCPv4 Relay.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Інфраструктура – лакальны сервер DHCP, ACM7004-5 для рэле, любыя іншыя прылады для кліентаў. Любую прыладу з роляй LAN можна выкарыстоўваць у якасці рэле. У гэтым эксample, 192.168.79.242 - гэта адрас рэтрансляванага інтэрфейсу кліента (як вызначана ў канфігурацыі сервера DHCP file вышэй) і 192.168.79.244 з'яўляецца верхнім адрасам інтэрфейсу блока рэтрансляцыі, і enp112s0 з'яўляецца ніжнім інтэрфейсам сервера DHCP.
1 інфраструктура – DHCPv4 Relay + DHCP Option 82 (circuit-id)
Крокі на серверы DHCP 1. Наладзьце лакальны сервер DHCP v4, у прыватнасці, ён павінен утрымліваць запіс «host», як паказана ніжэй для кліента DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; параметр ідэнтыфікатара хоста agent.circuit-id “relay1”; фіксаваны адрас 192.168.79.242; } Заўвага: радок “hardware ethernet” закаментаваны, так што сервер DHCP будзе выкарыстоўваць параметр “circuit-id” для прызначэння адраса для адпаведнага кліента. 2. Перазапусціце сервер DHCP, каб перазагрузіць яго змененую канфігурацыю file. pkill -HUP dhcpd
74

Кіраўніцтва карыстальніка
3. Уручную дадайце маршрут хаста да інтэрфейсу кліента, які «рэтранслюецца» (інтэрфейс за рэтранслятарам DHCP, а не іншыя інтэрфейсы, якія таксама могуць быць у кліента:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Гэта дапаможа пазбегнуць праблемы з асіметрычнай маршрутызацыяй, калі кліент і сервер DHCP жадаюць атрымаць доступ адзін да аднаго праз рэтрансляваны інтэрфейс кліента, калі кліент мае іншыя інтэрфейсы ў адным падсетка пула адрасоў DHCP.
Заўвага: гэты крок з'яўляецца абавязковым, каб падтрымліваць доступ сервера dhcp і кліента адзін да аднаго.
Крокі на блоку рэле – ACM7004-5
1. Усталюйце WAN/eth0 у статычным рэжыме або ў рэжыме dhcp (не ў неканфігураваным рэжыме). У статычным рэжыме ён павінен мець IP-адрас у пуле адрасоў сервера DHCP.
2. Прымяніце гэтую канфігурацыю праз CLI (дзе 192.168.79.1 - гэта адрас сервера DHCP)
config -s config.services.dhcprelay.enabled=на канфігурацыі -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 канфігурацыі -s config.services.dhcprelay.lowers.lower1.role=LAN канфігурацыі -s config.services .dhcprelay.lowers.total=1 канфігурацыя -s config.services.dhcprelay.servers.server1=192.168.79.1 канфігурацыя -s config.services.dhcprelay.servers.total=1 канфігурацыя -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Ніжні інтэрфейс рэле DHCP павінен мець статычны IP-адрас у пуле адрасоў сервера DHCP. У гэтым эксample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r IP-канфігурацыя
4. Пачакайце некаторы час, пакуль кліент атрымае арэнду DHCP праз рэле.
Крокі на кліенце (CM7116-2-dac у гэтым прыкладзеample або любы іншы OG CS)
1. Падключыце LAN/eth1 кліента да LAN/eth1 рэтранслятара 2. Наладзьце LAN кліента для атрымання IP-адраса праз DHCP, як звычайна 3. Пасля таго, як клі

Дакументы / Рэсурсы

Шлюз аддаленага сайта opengear ACM7000 [pdfКіраўніцтва карыстальніка
Шлюз аддаленага сайта ACM7000, ACM7000, шлюз аддаленага сайта, шлюз сайта, шлюз

Спасылкі

Кіраўніцтва карыстальніка

Шлюз аддаленага сайта opengear ACM7000

Інфармацыя аб прадукце

Інструкцыя па ўжыванні прадукту

FAQ

Гэта Кіраўніцтва

Канфігурацыя сістэмы

Паслядоўны порт, канфігурацыя хоста, прылады і карыстальніка

Дакументы / Рэсурсы

Спасылкі

Пакінуць каментар

Адмяніць адказ