opengear ACM7000 Remote Site Gateway Ръководство за потребителя

Не свързвайте и не изключвайте конзолния сървър по време на гръмотевична буря. Винаги използвайте ограничител на пренапрежение или UPS, за да защитите оборудването от преходни процеси.

Предупреждение на FCC:

Това устройство е в съответствие с част 15 от правилата на FCC. Работата на това устройство е предмет на следните условия: (1) Това устройство не може да причинява вредни смущения и (2) това устройство трябва да приема всякакви смущения, които могат да причинят нежелана работа.

Често задавани въпроси

Въпрос: Мога ли да използвам ACM7000 Remote Site Gateway по време на гръмотевична буря?
- A: Не, препоръчително е да не свързвате или изключвате конзолния сървър по време на гръмотевична буря, за да предотвратите повреда.

Въпрос: С каква версия на правилата на FCC отговаря устройството?
- A: Устройството отговаря на част 15 от правилата на FCC.

View Fullscreen

Ръководство за потребителя
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Версия 5.0 – 2023-12

Безопасност
Следвайте предпазните мерки за безопасност по-долу, когато инсталирате и работите с конзолния сървър: · Не отстранявайте металните капаци. Вътре няма обслужвани от оператора компоненти. Отварянето или премахването на капака може да ви изложи на опасен обtage, което може да причини пожар или токов удар. Отнесете всички услуги към квалифициран персонал на Opengear. · За да избегнете токов удар, защитният заземителен проводник на захранващия кабел трябва да бъде свързан към земята. · Винаги дърпайте щепсела, а не кабела, когато изключвате захранващия кабел от контакта.
Не свързвайте и не изключвайте конзолния сървър по време на гръмотевична буря. Използвайте също устройство за потискане на пренапрежение или UPS, за да защитите оборудването от преходни процеси.
Предупредителна декларация на FCC
Това устройство е в съответствие с част 15 от правилата на FCC. Работата на това устройство зависи от следното
условия: (1) Това устройство не може да причинява вредни смущения и (2) това устройство трябва да приема всякакви смущения, които могат да причинят нежелана работа.
Трябва да се използват подходящи резервни системи и необходимите предпазни устройства, за да се предпазят от нараняване, смърт или щети на имущество поради повреда на системата. Тази защита е отговорност на потребителя. Това конзолно сървърно устройство не е одобрено за използване като животоподдържаща или медицинска система. Всички промени или модификации, направени на това конзолно сървърно устройство без изричното одобрение или съгласие на Opengear, ще анулират Opengear от всякаква отговорност или отговорност за нараняване или загуба, причинени от неизправност. Това оборудване е за употреба на закрито и всички комуникационни кабели са ограничени до вътрешността на сградата.
2

Ръководство за потребителя
Авторско право
©Opengear Inc. 2023. Всички права запазени. Информацията в този документ подлежи на промяна без предизвестие и не представлява ангажимент от страна на Opengear. Opengear предоставя този документ „какъвто е“, без никаква гаранция, изрична или подразбираща се, включително, но не само, подразбиращите се гаранции за пригодност или продаваемост за определена цел. Opengear може да направи подобрения и/или промени в това ръководство или в продукта(ите) и/или програмата(ите), описани в това ръководство по всяко време. Този продукт може да включва технически неточности или типографски грешки. Периодично се правят промени в информацията тук; тези промени могат да бъдат включени в нови издания на публикацията.\

Глава 1

Това ръководство

ТОВА РЪКОВОДСТВО

Това Ръководство за потребителя обяснява инсталирането, работата и управлението на конзолни сървъри Opengear. Това ръководство предполага, че сте запознати с Интернет и IP мрежите, HTTP, FTP, основните операции по сигурността и вътрешната мрежа на вашата организация.
1.1 Видове потребители
Конзолният сървър поддържа два класа потребители:
· Администратори, които имат неограничени права за конфигуриране и управление на конзолата
сървър и свързани устройства, както и всички услуги и портове за контрол на всички серийно свързани устройства и мрежово свързани устройства (хостове). Администраторите се настройват като членове на потребителската група администратори. Администраторът може да осъществява достъп и да контролира сървъра на конзолата, като използва помощната програма за конфигуриране, командния ред на Linux или базираната на браузър конзола за управление.
· Потребители, които са настроени от администратор с ограничения на техния достъп и правомощия за контрол.
Потребителите имат ограничен view на конзолата за управление и има достъп само до оторизирани конфигурирани устройства и реview дневници на портове. Тези потребители са настроени като членове на една или повече от предварително конфигурираните потребителски групи като PPTPD, dialin, FTP, pmshell, потребители или потребителски групи, които администраторът може да е създал. Те са упълномощени само да извършват определени контроли на конкретни свързани устройства. Потребителите, когато са упълномощени, могат да осъществяват достъп и да контролират серийно или мрежово свързани устройства, използвайки определени услуги (напр. Telnet, HHTPS, RDP, IPMI, Сериен през LAN, Контрол на мощността). Отдалечените потребители са потребители, които не са в същия LAN сегмент като конзолния сървър. Отдалечен потребител може да е на път, свързвайки се с управлявани устройства през обществения интернет, администратор в друг офис, свързващ се със сървъра на конзолата през VPN на предприятието, или в същата стая или същия офис, но свързан на отделна VLAN към конзолата сървър.
1.2 Конзола за управление
Конзолата за управление на Opengear ви позволява да конфигурирате и наблюдавате функциите на сървъра на конзолата на Opengear. Конзолата за управление работи в браузър и предоставя a view на конзолния сървър и всички свързани устройства. Администраторите могат да използват конзолата за управление, за да конфигурират и управляват конзолния сървър, потребителите, портовете, хостовете, захранващите устройства и свързаните регистрационни файлове и предупреждения. Потребителите, които не са администратори, могат да използват конзолата за управление с ограничен достъп до менюто, за да управляват избрани устройства, тview техните регистрационни файлове и достъп до тях чрез вградения Web терминал.
Сървърът на конзолата работи с вградена операционна система Linux и може да бъде конфигуриран от командния ред. Можете да получите достъп до командния ред чрез клетъчна мрежа / набиране, директно свързване към серийния конзолен/модемен порт на сървъра на конзолата или чрез използване на SSH или Telnet за свързване към сървъра на конзолата през LAN (или свързване с PPTP, IPsec или OpenVPN) .
6

Ръководство за потребителя
За команди на интерфейса на командния ред (CLI) и разширени инструкции изтеглете Opengear CLI и Scripting Reference.pdf от https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Повече информация
За повече информация се консултирайте с: · Opengear Products Web Сайт: Вижте https://opengear.com/products. За да получите най-актуалната информация за това какво е включено във вашия конзолен сървър, посетете раздела Какво е включено за вашия конкретен продукт. · Ръководство за бърз старт: За да получите ръководството за бърз старт за вашето устройство, вижте https://opengear.com/support/documentation/. · База знания на Opengear: Посетете https://opengear.zendesk.com за достъп до статии с технически инструкции, технически съвети, често задавани въпроси и важни известия. · Opengear CLI и Справочник за скриптове: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Глава 2:

Системна конфигурация

СИСТЕМНА КОНФИГУРАЦИЯ

Тази глава предоставя инструкции стъпка по стъпка за първоначалната конфигурация на вашия конзолен сървър и свързването му към LAN за управление или работа. Стъпките са:
Активирайте конзолата за управление. Променете администраторската парола. Задайте основния LAN порт на сървъра на конзолата за IP адрес. Изберете услугите, които да бъдат активирани, и привилегии за достъп. Тази глава също така обсъжда комуникационните софтуерни инструменти, които администраторът може да използва за достъп до конзолния сървър, и конфигурацията на допълнителните LAN портове.
2.1 Връзка с конзолата за управление
Вашият конзолен сървър се доставя конфигуриран с IP адрес по подразбиране 192.168.0.1 и подмрежова маска 255.255.255.0 за NET1 (WAN). За първоначална конфигурация ви препоръчваме да свържете компютър директно към конзолата. Ако решите да свържете вашата LAN, преди да завършите първоначалните стъпки за настройка, уверете се, че:
· В LAN няма други устройства с адрес 192.168.0.1. · Сървърът на конзолата и компютърът са в един и същ LAN сегмент, без вмъкнат рутер
уреди.
2.1.1 Настройка на свързания компютър За да конфигурирате сървъра на конзолата с браузър, свързаният компютър трябва да има IP адрес в същия диапазон като сървъра на конзолата (напр.ample, 192.168.0.100):
· За да конфигурирате IP адреса на вашия Linux или Unix компютър, стартирайте ifconfig. · За компютри с Windows:
1. Щракнете върху Старт > Настройки > Контролен панел и щракнете двукратно върху Мрежови връзки. 2. Щракнете с десния бутон върху Local Area Connection и изберете Properties. 3. Изберете Интернет протокол (TCP/IP) и щракнете върху Свойства. 4. Изберете Използване на следния IP адрес и въведете следните подробности:
o IP адрес: 192.168.0.100 o Подмрежова маска: 255.255.255.0 5. Ако искате да запазите вашите съществуващи IP настройки за тази мрежова връзка, щракнете върху Разширени и Добавете горното като вторична IP връзка.
2.1.2 Връзка с браузър
Отворете браузър на свързания компютър/работна станция и въведете https://192.168.0.1.
Влез с:
Потребителско име> парола на root> по подразбиране
8

Ръководство за потребителя
Първият път, когато влезете, трябва да промените root паролата. Щракнете върху Изпращане.
За да завършите промяната, въведете новата парола отново. Щракнете върху Изпрати. Появява се началният екран.
Ако вашата система има клетъчен модем, ще ви бъдат дадени стъпките за конфигуриране на функциите на клетъчния рутер: · Конфигуриране на връзката на клетъчния модем (Система > Страница за набиране. Вижте Глава 4) · Разрешаване на пренасочване към клетъчната целева мрежа (Система > страница Защитна стена. Вижте Глава 4) · Активиране на маскиране на IP за клетъчна връзка (Система > Страница Защитна стена. Вижте Глава 4)
След като завършите всяка от горните стъпки, можете да се върнете към списъка с конфигурация, като щракнете върху логото на Opengear в горния ляв ъгъл на екрана. ЗАБЕЛЕЖКА Ако не можете да се свържете с конзолата за управление на 192.168.0.1 или ако по подразбиране
Потребителско име/парола не се приемат, нулирайте вашия конзолен сървър (вижте Глава 10).
9

Глава 2: Системна конфигурация
2.2 Настройка на администратор
2.2.1 Промяна на системната парола за root по подразбиране От вас се изисква да промените паролата за root, когато за първи път влезете в устройството. Можете да промените тази парола по всяко време.
1. Щракнете върху Сериен и мрежа > Потребители и групи или на началния екран щракнете върху Промяна на административната парола по подразбиране.
2. Превъртете надолу и намерете записа на root потребител под Потребители и щракнете върху Редактиране. 3. Въведете новата парола в полетата Password и Confirm.
ЗАБЕЛЕЖКА Проверката на Save Password при изтриванията на фърмуера запазва паролата, така че да не се изтрие при нулиране на фърмуера. Ако тази парола бъде изгубена, ще трябва да се възстанови фърмуерът на устройството.
4. Щракнете върху Прилагане. Влезте с новата парола 2.2.2 Настройте нов администратор Създайте нов потребител с административни привилегии и влезте като този потребител за административни функции, вместо да използвате root.
10

Ръководство за потребителя
1. Щракнете върху Сериен и мрежа > Потребители и групи. Превъртете до края на страницата и щракнете върху бутона Добавяне на потребител.
2. Въведете потребителско име. 3. В секцията Групи поставете отметка в полето за администратор. 4. Въведете парола в полетата Password и Confirm.
5. Можете също да добавите SSH оторизирани ключове и да изберете да забраните удостоверяването на парола за този потребител.
6. Допълнителни опции за този потребител могат да бъдат зададени на тази страница, включително опции за набиране, достъпни хостове, достъпни портове и достъпни RPC изходи.
7. Щракнете върху бутона Прилагане в долната част на екрана, за да създадете този нов потребител.
11

Глава 2: Системна конфигурация
2.2.3 Добавете име на системата, описание на системата и MOTD. 1. Изберете Система > Администриране. 2. Въведете системно име и системно описание за конзолния сървър, за да му дадете уникален идентификатор и да го улесните за идентифициране. Името на системата може да съдържа от 1 до 64 буквено-цифрови знака и специалните знаци долна черта (_), минус (-) и точка (.). Описанието на системата може да съдържа до 254 знака.
3. Банерът MOTD може да се използва за показване на текст на съобщение от деня на потребителите. Показва се в горния ляв ъгъл на екрана под логото на Opengear.
4. Щракнете върху Прилагане.
12

Глава 2: Системна конфигурация
5. Изберете Система > Администриране. 6. Банерът MOTD може да се използва за показване на текст на съобщение от деня на потребителите. Появява се на
горе вляво на екрана под логото на Opengear. 7. Щракнете върху Прилагане.
2.3 Конфигурация на мрежата
Въведете IP адрес за главния Ethernet (LAN/Network/Network1) порт на конзолния сървър или разрешете неговия DHCP клиент автоматично да получава IP адрес от DHCP сървър. По подразбиране конзолният сървър има активиран DHCP клиент и автоматично приема всеки мрежов IP адрес, зададен от DHCP сървър във вашата мрежа. В това първоначално състояние сървърът на конзолата ще отговори както на своя статичен адрес по подразбиране 192.168.0.1, така и на своя DHCP адрес.
1. Щракнете върху Система > IP и щракнете върху раздела Мрежов интерфейс. 2. Изберете DHCP или Статичен за Метод на конфигуриране.
Ако изберете Статично, въведете подробностите за IP адреса, подмрежовата маска, шлюза и DNS сървъра. Този избор деактивира DHCP клиента.
12

Ръководство за потребителя
3. LAN портът на конзолния сървър автоматично открива скоростта на Ethernet връзката. Използвайте падащия списък Media, за да заключите Ethernet на 10 Mb/s или 100 Mb/s и на Full Duplex или Half Duplex.
Ако срещнете загуба на пакети или лоша производителност на мрежата с настройката Auto, променете настройките на Ethernet Media на конзолния сървър и устройството, към което е свързан. В повечето случаи сменете и двете на 100baseTx-FD (100 мегабита, пълен дуплекс).
4. Ако изберете DHCP, конзолният сървър ще търси подробности за конфигурацията от DHCP сървър. Този избор деактивира всеки статичен адрес. MAC адресът на конзолния сървър може да бъде намерен на етикет на основната плоча.
5. Можете да въведете вторичен адрес или разделен със запетаи списък с адреси в CIDR нотация, напр. 192.168.1.1/24 като IP псевдоним.
6. Щракнете върху Приложи 7. Свържете отново браузъра на компютъра, който е свързан към конзолния сървър, като въведете
http://your new IP address.
Ако промените IP адреса на конзолния сървър, трябва да преконфигурирате компютъра си, за да има IP адрес в същия мрежов обхват като новия адрес на конзолния сървър. Можете да зададете MTU на Ethernet интерфейси. Това е разширена опция, която трябва да се използва, ако вашият сценарий на внедряване не работи с MTU по подразбиране от 1500 байта. За да зададете MTU, щракнете върху Система > IP и щракнете върху раздела Мрежов интерфейс. Превъртете надолу до полето MTU и въведете желаната стойност. Валидните стойности са от 1280 до 1500 за 100-мегабитови интерфейси и от 1280 до 9100 за гигабитови интерфейси. Ако е конфигурирано мостово свързване или свързване, MTU, зададено на страницата Мрежов интерфейс, ще бъде зададено на интерфейсите, които са част от моста или връзката . ЗАБЕЛЕЖКА В някои случаи указаното от потребителя MTU може да не влезе в сила. Някои драйвери за NIC може да закръглят прекалено големи MTU до максимално допустимата стойност, а други ще върнат код за грешка. Можете също да използвате CLI команда за управление на MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 проверка
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode stateless config .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Глава 2: Системна конфигурация
2.3.1 IPv6 конфигурация Ethernet интерфейсите на конзолния сървър поддържат IPv4 по подразбиране. Те могат да бъдат конфигурирани за работа с IPv6:
1. Щракнете върху Система > IP. Щракнете върху раздела Общи настройки и отметнете Активиране на IPv6. Ако желаете, щракнете върху квадратчето Деактивиране на IPv6 за клетъчна мрежа.
2. Конфигурирайте IPv6 параметрите на всяка интерфейсна страница. IPv6 може да бъде конфигуриран или за автоматичен режим, който ще използва SLAAC или DHCPv6 за конфигуриране на адреси, маршрути и DNS, или за статичен режим, който позволява адресната информация да бъде въведена ръчно.
2.3.2 Конфигурация на динамичен DNS (DDNS) С динамичен DNS (DDNS), конзолен сървър, чийто IP адрес е динамично присвоен, може да бъде локализиран с помощта на фиксирано име на хост или домейн. Създайте акаунт с поддържания доставчик на DDNS услуги по ваш избор. Когато настройвате вашия DDNS акаунт, вие избирате потребителско име, парола и име на хост, които ще използвате като DNS име. Доставчиците на DDNS услуги ви позволяват да изберете име на хост URL и задайте първоначален IP адрес, който да съответства на това име на хост URL.
14

Ръководство за потребителя
За да активирате и конфигурирате DDNS на която и да е Ethernet или клетъчна мрежова връзка на сървъра на конзолата. 1. Щракнете върху Система > IP и превъртете надолу в секцията Динамичен DNS. Изберете вашия доставчик на DDNS услуги
от падащия списък с динамични DNS. Можете също да зададете DDNS информация в раздела Cellular Modem под System > Dial.
2. В DDNS име на хост въведете пълното име на DNS хост за вашия конзолен сървър, напр. yourhostname.dyndns.org.
3. Въведете DDNS потребителско име и DDNS парола за акаунта на доставчик на DDNS услуги. 4. Посочете Максимален интервал между актуализациите в дни. DDNS актуализация ще бъде изпратена дори ако
адресът не е променен. 5. Задайте Минимален интервал между проверките за променени адреси в секунди. Актуализациите ще
се изпраща, ако адресът е променен. 6. Посочете максималния брой опити за актуализация, което е броят пъти за опит за актуализация
преди да се откажа. Това е 3 по подразбиране. 7. Щракнете върху Прилагане.
15

Глава 2: Системна конфигурация
2.3.3 Режим EAPoL за WAN, LAN и OOBFO
(OOBFO е приложим само за IM7216-2-24E-DAC)
крайview на EAPoL IEEE 802.1X, или PNAC (Port-based Network Access Control) използва характеристиките за физически достъп на IEEE 802 LAN инфраструктури, за да осигури средство за удостоверяване и оторизиране на устройства, свързани към LAN порт, който има точка към- характеристики на връзката на точката и за предотвратяване на достъпа до този порт в случаите, когато удостоверяването и оторизацията са неуспешни. Портът в този контекст е единична точка на свързване към LAN инфраструктурата.
Когато нов безжичен или кабелен възел (WN) поиска достъп до LAN ресурс, точката за достъп (AP) пита за самоличността на WN. Никакъв друг трафик освен EAP не е разрешен, преди WN да бъде удостоверен („портът“ е затворен или „неавтентифициран“). Безжичният възел, който изисква удостоверяване, често се нарича Supplicant, Supplicant е отговорен за отговора на данните от Authenticator, които ще установят неговите идентификационни данни. Същото важи и за точката за достъп; автентификаторът не е точката за достъп. По-скоро точката за достъп съдържа Authenticator. Не е необходимо Удостоверителят да е в точката за достъп; може да бъде външен компонент. Реализирани са следните методи за удостоверяване:
· EAP-MD5 кандидат o Методът EAP MD5-Challenge използва обикновено потребителско име/парола
· EAP-PEAP-MD5 o EAP PEAP (Защитен EAP) MD5 метод за удостоверяване използва потребителски идентификационни данни и CA сертификат
· EAP-TLS o EAP TLS (Transport Layer Security) метод за удостоверяване изисква CA сертификат, клиентски сертификат и частен ключ.
EAP протоколът, който се използва за удостоверяване, първоначално е бил използван за комутируем PPP. Идентичността беше потребителското име и PAP или CHAP удостоверяване беше използвано за проверка на паролата на потребителя. Тъй като самоличността се изпраща ясно (не криптирана), злонамерен снифър може да научи самоличността на потребителя. Следователно се използва „скриване на самоличността“; истинската самоличност не се изпраща преди шифрованият TLS тунел да е готов.
16

Ръководство за потребителя
След изпращане на самоличността започва процесът на удостоверяване. Протоколът, използван между заявителя и автентификатора, е EAP (или EAPoL). Удостоверителят повторно капсулира EAP съобщенията във формат RADIUS и ги предава на сървъра за удостоверяване. По време на удостоверяване, Удостоверителят препредава пакети между Заявителя и Удостоверяващия сървър. Когато процесът на удостоверяване завърши, сървърът за удостоверяване изпраща съобщение за успех (или неуспех, ако удостоверяването е неуспешно). След това автентификаторът отваря „порта“ за молителя. Настройките за удостоверяване могат да бъдат достъпни от страницата с настройки на EAPoL Supplicant. Състоянието на текущия EAPoL се показва подробно на страницата „Статистика на състоянието“ в раздела EAPoL:
Абстракция на EAPoL за мрежови РОЛИ се показва в секцията „Мениджър на връзки“ на интерфейса на таблото за управление.
17

Глава 2: Системна конфигурация
По-долу е показан бившampфайл за успешно удостоверяване:
Поддръжка на IEEE 802.1x (EAPOL) на портовете на комутатора на IM7216-2-24E-DAC и ACM7004-5: За да се избегнат цикли, потребителите не трябва да включват повече от един порт на комутатора към един и същ комутатор от по-високо ниво.
18

Ръководство за потребителя
2.4 Достъп до услугата и защита от груба сила
Администраторът има достъп до сървъра на конзолата и свързаните серийни портове и управлявани устройства, използвайки набор от протоколи/услуги за достъп. За всеки достъп
· Услугата първо трябва да бъде конфигурирана и разрешена за работа на конзолния сървър. · Достъпът през защитната стена трябва да бъде разрешен за всяка мрежова връзка. За да активирате и конфигурирате услуга: 1. Щракнете върху Система > Услуги и щракнете върху раздела Настройки на услугата.

2. Активирайте и конфигурирайте основни услуги:

HTTP

По подразбиране HTTP услугата работи и не може да бъде напълно деактивирана. По подразбиране HTTP достъпът е деактивиран на всички интерфейси. Препоръчваме този достъп да остане деактивиран, ако до конзолния сървър се осъществява отдалечен достъп през интернет.
Алтернативният HTTP ви позволява да конфигурирате алтернативен HTTP порт за слушане. HTTP услугата ще продължи да слуша TCP порт 80 за CMS и комуникации с конектор, но ще бъде недостъпна през защитната стена.

HTTPS

По подразбиране HTTPS услугата работи и е активирана на всички мрежови интерфейси. Препоръчително е да се използва само HTTPS достъп, ако сървърът на конзолата трябва да се управлява през публична мрежа. Това гарантира на администраторите защитен достъп на браузъра до всички менюта на конзолния сървър. Той също така позволява на подходящо конфигурирани потребители защитен достъп на браузъра до избрани менюта за управление.
Услугата HTTPS може да бъде деактивирана или активирана отново чрез отметка на HTTPS Web Управление и посочен алтернативен порт (портът по подразбиране е 443).

Telnet

По подразбиране услугата Telnet работи, но е деактивирана на всички мрежови интерфейси.
Telnet може да се използва за предоставяне на администраторски достъп до командния ред на системата. Тази услуга може да бъде полезна за локален администратор и потребителски достъп до избрани серийни конзоли. Препоръчваме ви да деактивирате тази услуга, ако сървърът на конзолата се администрира дистанционно.
Квадратчето Enable Telnet command shell ще активира или деактивира услугата Telnet. Алтернативен Telnet порт за слушане може да бъде указан в Alternate Telnet Port (портът по подразбиране е 23).

Глава 2: Системна конфигурация

SSH

Тази услуга осигурява защитен SSH достъп до конзолния сървър и свързаните устройства

и по подразбиране услугата SSH работи и е активирана на всички интерфейси. то е

препоръчваме да изберете SSH като протокол, към който се свързва администратор

сървъра на конзолата през Интернет или всяка друга публична мрежа. Това ще осигури

удостоверени комуникации между SSH клиентската програма на дистанционното управление

компютър и SSH сървъра в конзолния сървър. За повече информация относно SSH

конфигурация Вижте Глава 8 – Удостоверяване.

Квадратчето Enable SSH command shell ще активира или деактивира тази услуга. Алтернативен SSH порт за слушане може да бъде указан в SSH командния порт на обвивката (портът по подразбиране е 22).

3. Активирайте и конфигурирайте други услуги:

TFTP/FTP Ако на конзолен сървър бъде открита USB флаш карта или вътрешна флаш памет, отметката за Активиране на TFTP (FTP) услуга активира тази услуга и настройва tftp и ftp сървъра по подразбиране на USB флаш паметта. Тези сървъри се използват за съхраняване на конфигурация files, поддържане на регистрационни файлове за достъп и транзакции и др. FileПрехвърлените чрез tftp и ftp ще се съхраняват в /var/mnt/storage.usb/tftpboot/ (или /var/mnt/storage.nvlog/tftpboot/ на устройства от серия ACM7000). Премахването на отметката от Активиране на услугата TFTP (FTP) ще деактивира услугата TFTP (FTP).

Проверка на DNS Relay Enable DNS Server/Relay активира функцията DNS relay, така че клиентите да могат да бъдат конфигурирани с IP на конзолния сървър за настройката на DNS сървъра си и конзолният сървър ще препраща DNS заявките към истинския DNS сървър.

Web Активиране на проверката на терминала Web Терминалът позволява web достъп на браузъра до обвивката на командния ред на системата чрез Управление > Терминал.

4. Посочете алтернативни номера на портове за Raw TCP, директни Telnet/SSH и неупълномощени Telnet/SSH услуги. Конзолният сървър използва специфични диапазони за TCP/IP портовете за различните видове достъп
услуги, които потребителите могат да използват за достъп до устройства, свързани към серийни портове (както е описано в Глава 3 Конфигуриране на серийни портове). Администраторът може да зададе алтернативни диапазони за тези услуги и тези вторични портове ще се използват в допълнение към стандартните.

Базовият адрес на TCP/IP порт по подразбиране за Telnet достъп е 2000, а диапазонът за Telnet е IP адрес: Порт (2000 + сериен порт #), т.е. 2001 2048. Ако администраторът зададе 8000 като вторична база за Telnet, сериен порт #2 на конзолния сървър може да бъде достъпен чрез Telnet на IP
Адрес: 2002 и на IP адрес: 8002. Базата по подразбиране за SSH е 3000; за необработен TCP е 4000; а за RFC2217 е 5000

5. Други услуги могат да бъдат активирани и конфигурирани от това меню, като изберете Щракнете тук, за да конфигурирате:

Nagios Достъп до демоните за наблюдение на Nagios NRPE

ГАЙКА

Достъп до демона за наблюдение на NUT UPS

SNMP Активира snmp в конзолния сървър. SNMP е деактивиран по подразбиране

NTP

6. Щракнете върху Приложи. Появява се съобщение за потвърждение: Съобщение Промени в конфигурацията са успешни

Настройките за достъп до услуги могат да бъдат настроени да разрешават или блокират достъпа. Това указва кои активирани услуги администраторите могат да използват през всеки мрежов интерфейс за свързване към конзолния сървър и чрез конзолния сървър към свързани серийни и мрежово свързани устройства.

Ръководство за потребителя
1. Изберете раздела Достъп до услугата на страницата Система > Услуги.
2. Това показва активираните услуги за мрежовите интерфейси на конзолния сървър. В зависимост от конкретния модел на конзолния сървър показаните интерфейси може да включват: · Мрежов интерфейс (за основната Ethernet връзка) · Управление на LAN / OOB Failover (втори Ethernet връзки) · Dialout /Cellular (V90 и 3G модем) · Dial-in (вътрешен) или външен V90 модем) · VPN (IPsec или Open VPN връзка през всеки мрежов интерфейс)
3. Поставете отметка/премахнете отметката за всяка мрежа кой достъп до услугата трябва да бъде активиран/деактивиран Опциите за достъп до услугата „Отговаряне на ICMP ехо“ (т.е. ping), които могат да бъдат конфигурирани на тозиtagд. Това позволява на конзолния сървър да отговаря на входящи ICMP ехо заявки. Ping е активиран по подразбиране. За по-голяма сигурност трябва да деактивирате тази услуга, когато завършите първоначалната конфигурация. Можете да разрешите достъп до устройства със сериен порт от номинирани мрежови интерфейси с помощта на необработен TCP, директен Telnet/SSH, неупълномощени Telnet/SSH услуги и др.
4. Щракнете върху Приложи Web Настройки за управление Квадратчето за отметка Разрешаване на HSTS активира стриктна HTTP стриктна транспортна сигурност. Режимът HSTS означава, че заглавката StrictTransport-Security трябва да бъде изпратена през HTTPS транспорт. Съвместим web браузърът запомня тази заглавка и когато бъде помолен да се свърже със същия хост през HTTP (обикновен), той автоматично ще превключи към
19

Глава 2: Системна конфигурация
HTTPS преди опит за HTTP, стига браузърът да е осъществил достъп до защитения сайт веднъж и да е видял STS заглавката.
Защита от груба сила Защитата от груба сила (Micro Fail2ban) временно блокира изходни IP адреси, които показват злонамерени признаци, като например твърде много неуспешни пароли. Това може да помогне, когато мрежовите услуги на устройството са изложени на ненадеждна мрежа като публичната WAN и скриптирани атаки или софтуерни червеи се опитват да отгатнат (груба сила) потребителските идентификационни данни и да получат неоторизиран достъп.

Защитата от груба сила може да бъде активирана за изброените услуги. По подразбиране, след като защитата е активирана, 3 или повече неуспешни опита за свързване в рамките на 60 секунди от конкретен IP източник задействат забрана за свързване за конфигурируем период от време. Ограничението за опити и изчакването за забрана могат да бъдат персонализирани. Активните забрани също са изброени и могат да бъдат обновени чрез презареждане на страницата.

ЗАБЕЛЕЖКА

Когато работите в ненадеждна мрежа, обмислете използването на различни стратегии, използвани за блокиране на отдалечения достъп. Това включва SSH удостоверяване с публичен ключ, VPN и правила за защитна стена
разрешен отдалечен достъп само от доверени изходни мрежи. Вижте базата знания на Opengear за подробности.

2.5 Комуникационен софтуер
Вие сте конфигурирали протоколи за достъп, които администраторският клиент да използва при свързване към конзолния сървър. Потребителските клиенти също използват тези протоколи, когато осъществяват достъп до серийно свързани устройства на конзолен сървър и свързани към мрежата хостове. Необходими са ви комуникационни софтуерни инструменти, настроени на компютъра на клиента на администратора и потребителя. За да се свържете, можете да използвате инструменти като PuTTY и SSHTerm.

Ръководство за потребителя
Наличните в търговската мрежа конектори свързват надеждния протокол за тунелиране на SSH с популярни инструменти за достъп като Telnet, SSH, HTTP, HTTPS, VNC, RDP, за да осигурят защитен отдалечен достъп за управление с точка и щракване до всички системи и устройства, които се управляват. Информация за използване на конектори за достъп на браузъра до конзолата за управление на конзолния сървър, Telnet/SSH достъп до командния ред на конзолния сървър и TCP/UDP свързване към хостове, които са мрежово свързани към конзолния сървър, може да се намери в Глава 5. Конекторите могат да бъдат инсталиран на компютри с Windows, Mac OS X и на повечето Linux, UNIX и Solaris системи.
2.6 Конфигурация на мрежата за управление
Конзолните сървъри имат допълнителни мрежови портове, които могат да бъдат конфигурирани да предоставят достъп до LAN за управление и/или преход при срив или достъп извън лентата. 2.6.1 Активиране на LAN конзолата за управление Сървърите могат да бъдат конфигурирани така, че вторият Ethernet порт да осигурява LAN шлюз за управление. Шлюзът има функции за защитна стена, рутер и DHCP сървър. Трябва да свържете външен LAN превключвател към мрежа 2, за да прикачите хостове към тази LAN за управление:
ЗАБЕЛЕЖКА Вторият Ethernet порт може да бъде конфигуриран или като порт за LAN шлюз за управление, или като OOB/порт при отказ. Уверете се, че не сте разпределили NET2 като Failover Interface, когато сте конфигурирали основната мрежова връзка в менюто System > IP.
21

Глава 2: Системна конфигурация
За да конфигурирате LAN шлюза за управление: 1. Изберете раздела LAN интерфейс за управление в менюто Система > IP и премахнете отметката от Деактивиране. 2. Конфигурирайте IP адреса и подмрежовата маска за LAN за управление. Оставете DNS полетата празни. 3. Щракнете върху Приложи.
Функцията за шлюз за управление е активирана с конфигурирани по подразбиране правила за защитна стена и рутер, така че LAN за управление е достъпна само чрез пренасочване на SSH порт. Това гарантира, че отдалечените и локалните връзки към управляваните устройства в LAN за управление са сигурни. LAN портовете също могат да бъдат конфигурирани в мостов или свързан режим или ръчно конфигурирани от командния ред. 2.6.2 Конфигуриране на DHCP сървъра DHCP сървърът позволява автоматично разпределяне на IP адреси към устройства в LAN за управление, които работят с DHCP клиенти. За да активирате DHCP сървъра:
1. Щракнете върху Система > DHCP сървър. 2. В раздела Мрежов интерфейс отметнете Активиране на DHCP сървър.
22

Ръководство за потребителя
3. Въведете адреса на шлюза, който да бъде издаден на DHCP клиентите. Ако това поле е оставено празно, се използва IP адресът на конзолния сървър.
4. Въведете първичния DNS и вторичния DNS адрес, за да издадете DHCP клиентите. Ако това поле е оставено празно, се използва IP адресът на конзолния сървър.
5. По избор въведете суфикс на име на домейн, за да издадете DHCP клиенти. 6. Въведете времето за наем по подразбиране и максималното време за наем в секунди. Това е количеството време
че динамично зададеният IP адрес е валиден, преди клиентът да трябва да го поиска отново. 7. Щракнете върху Приложи. DHCP сървърът издава IP адреси от определени адресни пулове: 1. Щракнете върху Добавяне в полето Динамични пулове за разпределение на адреси. 2. Въведете началния и крайния адрес на DHCP пула. 3. Щракнете върху Приложи.
23

Глава 2: Системна конфигурация
DHCP сървърът също така поддържа предварително задаване на IP адреси, които да бъдат разпределени към конкретни MAC адреси, и резервиране на IP адреси, които да се използват от свързани хостове с фиксирани IP адреси. За да запазите IP адрес за определен хост:
1. Щракнете върху Добавяне в полето Запазени адреси. 2. Въведете името на хоста, хардуерния адрес (MAC) и статично запазения IP адрес за
DHCP клиента и щракнете върху Приложи.
Когато DHCP е разпределил адреси на хостове, се препоръчва да ги копирате в предварително зададения списък, така че същият IP адрес да бъде преразпределен в случай на рестартиране.
24

Ръководство за потребителя
2.6.3 Изберете Failover или широколентов OOB Console сървъри предоставят опция за failover, така че в случай на проблем с използването на основната LAN връзка за достъп до конзолния сървър се използва алтернативен път за достъп. За да активирате преодоляване при срив:
1. Изберете страницата Мрежов интерфейс в менюто Система > IP 2. Изберете интерфейса за преодоляване на отказ, който да се използва в случай на оуtage в основната мрежа.
3. Щракнете върху Прилагане. Преминаването при срив става активно, след като посочите външните сайтове, които да бъдат изследвани, за да задействат прехода при срив и настроите портовете за преодоляване при срив.
2.6.4 Агрегиране на мрежовите портове По подразбиране мрежовите портове на LAN за управление на конзолния сървър могат да бъдат достъпни чрез SSH тунелиране/пренасочване на портове или чрез установяване на IPsec VPN тунел към конзолния сървър. Всички кабелни мрежови портове на конзолните сървъри могат да бъдат агрегирани чрез мостово или свързано свързване.
25

Ръководство за потребителя
· По подразбиране Interface Aggregation е деактивирано в менюто System > IP > General Settings · Изберете Bridge Interfaces или Bond Interfaces
o Когато свързването е разрешено, мрежовият трафик се препраща през всички Ethernet портове без ограничения на защитната стена. Всички Ethernet портове са прозрачно свързани в слоя за връзка за данни (слой 2), така че запазват своите уникални MAC адреси
o При свързване мрежовият трафик се пренася между портовете, но присъства с един MAC адрес
И двата режима премахват всички функции на интерфейса за управление на LAN и интерфейса извън лентата/отказ и деактивират DHCP сървъра · В режим на агрегиране всички Ethernet портове се конфигурират колективно с помощта на менюто на мрежовия интерфейс
25

Глава 2: Системна конфигурация
2.6.5 Статични маршрути Статичните маршрути предоставят много бърз начин за маршрутизиране на данни от една подмрежа към друга подмрежа. Можете да кодирате твърдо път, който казва на конзолния сървър/рутер да стигне до определена подмрежа, използвайки определен път. Това може да е полезно за достъп до различни подмрежи на отдалечен сайт, когато използвате клетъчната OOB връзка.

За да добавите към статичния маршрут към таблицата с маршрути на системата:
1. Изберете раздела Настройки на маршрута в менюто Система > Общи настройки на IP.
2. Щракнете върху Нов маршрут
3. Въведете име на маршрут за маршрута.
4. В полето Destination Network/Host въведете IP адреса на целевата мрежа/хост, до който маршрутът осигурява достъп.
5. Въведете стойност в полето Destination netmask, която идентифицира целевата мрежа или хост. Всяко число между 0 и 32. Подмрежова маска от 32 идентифицира хост маршрут.
6. Въведете Route Gateway с IP адреса на рутер, който ще насочва пакетите към целевата мрежа. Това може да се остави празно.
7. Изберете интерфейса, който да използвате за достигане до дестинацията, може да бъде оставен като Няма.
8. Въведете стойност в полето Метрика, която представлява метриката на тази връзка. Използвайте произволно число, равно или по-голямо от 0. Това трябва да се зададе само ако два или повече маршрута са в конфликт или имат припокриващи се цели.
9. Щракнете върху Прилагане.

ЗАБЕЛЕЖКА

Страницата с подробности за маршрута предоставя списък с мрежови интерфейси и модеми, към които може да бъде обвързан маршрут. В случай на модем, маршрутът ще бъде прикрепен към всяка комутируема сесия, установена чрез това устройство. Маршрутът може да бъде определен с шлюз, интерфейс или и двете. Ако указаният интерфейс не е активен, маршрутите, конфигурирани за този интерфейс, няма да бъдат активни.

Ръководство за потребителя 3. КОНФИГУРАЦИЯ НА СЕРИЕН ПОРТ, ХОСТ, УСТРОЙСТВО И ПОТРЕБИТЕЛ
Конзолният сървър позволява достъп и контрол на серийно свързани устройства и мрежово свързани устройства (хостове). Администраторът трябва да конфигурира привилегии за достъп за всяко от тези устройства и да посочи услугите, които могат да се използват за управление на устройствата. Администраторът може също да настрои нови потребители и да посочи индивидуалните привилегии за достъп и контрол на всеки потребител.
Тази глава обхваща всяка от стъпките при конфигуриране на мрежово свързани и серийно свързани устройства: · Серийни портове настройка на протоколи, използвани от серийно свързани устройства · Потребители и групи настройка на потребители и дефиниране на разрешения за достъп за всеки от тези потребители · Удостоверяване това е обхванато в повече подробности в Глава 8 · Мрежови хостове, конфигуриращи достъпа до свързани в локална мрежа компютри или уреди (хостове) · Конфигуриране на доверени мрежи – номиниране на IP адреси, от които доверените потребители имат достъп · Каскадно свързване и пренасочване на серийни конзолни портове · Свързване към захранване (UPS, PDU и IPMI) и устройства за мониторинг на околната среда (EMD) · Пренасочване на сериен порт с помощта на прозорците на PortShare и клиенти на Linux · Управлявани устройства – представя консолидиран view на всички връзки · IPSec активираща VPN връзка · OpenVPN · PPTP
3.1 Конфигуриране на серийни портове
Първата стъпка при конфигурирането на сериен порт е да зададете Общите настройки, като например протоколите и RS232 параметрите, които ще се използват за връзка за данни към този порт (напр. скорост на предаване). Изберете в какъв режим да работи портът. Всеки порт може да бъде настроен да поддържа един от следните режими на работа:
· Дезактивиран режим е по подразбиране, серийният порт е неактивен
27

Глава 3:

Конфигурация на сериен порт, хост, устройство и потребител

· Режимът на конзолен сървър позволява общ достъп до серийния конзолен порт на серийно свързаните устройства
· Режимът на устройството настройва серийния порт да комуникира с интелигентен серийно управляван PDU, UPS или устройства за наблюдение на околната среда (EMD)
· Режимът на терминален сървър настройва серийния порт да изчаква входяща терминална сесия за влизане · Режимът на сериен мост позволява прозрачното взаимно свързване на две устройства със сериен порт през a
мрежа.
1. Изберете Сериен и мрежа > Сериен порт, за да покажете подробности за серийния порт 2. По подразбиране всеки сериен порт е зададен в режим на конзолен сървър. Щракнете върху Редактиране до порта, който ще бъде
преконфигуриран. Или щракнете върху Редактиране на множество портове и изберете кои портове искате да конфигурирате като група. 3. Когато преконфигурирате общите настройки и режима за всеки порт, настройте който и да е отдалечен syslog (вижте следващите раздели за специфична информация). Щракнете върху Приложи 4. Ако сървърът на конзолата е конфигуриран с активирано разпределено наблюдение на Nagios, използвайте опциите за настройки на Nagios, за да разрешите номинираните услуги на хоста да бъдат наблюдавани 3.1.1 Общи настройки Има няколко общи настройки, които могат да бъдат зададени за всеки сериал порт. Те са независими от режима, в който се използва портът. Тези параметри на серийния порт трябва да бъдат зададени така, че да съответстват на параметрите на серийния порт на устройството, което свързвате към този порт:
28

Ръководство за потребителя

· Въведете етикет за порта · Изберете подходящата скорост на предаване, паритет, битове данни, стоп битове и контрол на потока за всеки порт

· Задайте Pinout на порта. Този елемент от менюто се появява за портове IM7200, където изводите за всеки сериен порт RJ45 могат да бъдат зададени като X2 (Cisco Straight) или X1 (Cisco Rolled)

· Задайте режим DTR. Това ви позволява да изберете дали DTR винаги да се заявява или само когато има активна потребителска сесия

· Преди да продължите с по-нататъшната конфигурация на серийния порт, трябва да свържете портовете към серийните устройства, които те ще контролират, и да се уверите, че имат съвпадащи настройки

3.1.2

Режим на конзолен сървър
Изберете Console server Mode, за да разрешите достъп за дистанционно управление до серийната конзола, която е прикрепена към този сериен порт:

Ниво на регистриране Това определя нивото на информацията, която да бъде регистрирана и наблюдавана.
29

Глава 3: Сериен порт, хост, устройство и конфигурация на потребителя
Ниво 0: Деактивиране на регистрирането (по подразбиране)
Ниво 1: Регистрирайте събития LOGIN, LOGOUT и SIGNAL
Ниво 2: Регистрирайте събития LOGIN, LOGOUT, SIGNAL, TXDATA и RXDATA
Ниво 3: Регистрирайте събития LOGIN, LOGOUT, SIGNAL и RXDATA
Ниво 4: Регистрирайте събития LOGIN, LOGOUT, SIGNAL и TXDATA
Input/RXDATA са данни, получени от устройството Opengear от свързаното серийно устройство, а output/TXDATA са данни, изпратени от устройството Opengear (напр. въведени от потребителя) към свързаното серийно устройство.
Конзолите на устройствата обикновено повтарят обратно символите, докато се въвеждат, така че TXDATA, въведен от потребител, впоследствие се получава като RXDATA, показан на неговия терминал.
ЗАБЕЛЕЖКА: След запитване за парола, свързаното устройство изпраща * знаци, за да предотврати показването на паролата.

Telnet Когато услугата Telnet е активирана на сървъра на конзолата, Telnet клиент на компютъра на потребителя може да се свърже към серийно устройство, свързано към този сериен порт на сървъра на конзолата. Тъй като Telnet комуникациите са некриптирани, този протокол се препоръчва само за локални или VPN тунелирани връзки.
Ако отдалечените комуникации се тунелират с конектор, Telnet може да се използва за защитен достъп до тези свързани устройства.

ЗАБЕЛЕЖКА

В режим на конзолен сървър потребителите могат да използват конектор, за да настроят защитени Telnet връзки, които са SSH тунелирани от техните клиентски компютри към серийния порт на конзолния сървър. Конекторите могат да се инсталират на компютри с Windows и повечето Linux платформи и позволяват избирането на сигурни Telnet връзки с посочване и щракване.

За да използвате конектор за достъп до конзоли на серийните портове на конзолния сървър, конфигурирайте конектора с конзолния сървър като шлюз и като хост и активирайте услугата Telnet на порт (2000 + сериен порт #), т.е. 2001.

Можете също да използвате стандартни комуникационни пакети като PuTTY, за да зададете директна Telnet или SSH връзка към серийните портове.

ЗАБЕЛЕЖКА В режим на конзолен сървър, когато се свържете към сериен порт, вие се свързвате чрез pmshell. За да генерирате BREAK на серийния порт, въведете последователността от знаци ~b. Ако правите това през OpenSSH, напишете ~~b.

SSH

Препоръчително е да използвате SSH като протокол, когато потребителите се свързват към конзолния сървър

(или се свържете чрез сървъра на конзолата към прикачените серийни конзоли) през интернет или друг

друга обществена мрежа.

За SSH достъп до конзолите на устройства, свързани към серийните портове на конзолния сървър, можете да използвате конектор. Конфигурирайте конектора с конзолния сървър като шлюз и като хост и активирайте услугата SSH на порт (3000 + сериен порт #), т.е. 3001-3048.

Можете също да използвате общи комуникационни пакети, като PuTTY или SSHTerm за SSH свързване към адрес на порт IP адрес _ Порт (3000 + сериен порт #), т.е. 3001

SSH връзките могат да бъдат конфигурирани с помощта на стандартния SSH порт 22. Серийният порт, до който се осъществява достъп, се идентифицира чрез добавяне на дескриптор към потребителското име. Този синтаксис поддържа:

Ръководство за потребителя
: : За потребител на име chris за достъп до сериен порт 2, когато настройвате SSHTerm или PuTTY SSH клиента, вместо да въвеждате потребителско име = chris и ssh port = 3002, алтернативата е да въведете потребителско име = chris:port02 (или потребителско име = chris: ttyS1) и ssh порт = 22. Или чрез въвеждане на потребителско име=chris:serial и ssh порт = 22, на потребителя се представя опция за избор на порт:

Този синтаксис позволява на потребителите да настройват SSH тунели към всички серийни портове, като един IP порт 22 трябва да бъде отворен в тяхната защитна стена/шлюз
ЗАБЕЛЕЖКА В режим на конзолен сървър се свързвате към сериен порт чрез pmshell. За да генерирате BREAK на серийния порт, въведете последователността от знаци ~b. Ако правите това през OpenSSH, напишете ~~b.

TCP

RAW TCP позволява връзки към TCP сокет. Докато комуникационни програми като PuTTY

също поддържа RAW TCP, този протокол обикновено се използва от персонализирано приложение

За RAW TCP адресът на порта по подразбиране е IP адрес _ порт (4000 + номер на сериен порт), т.е. 4001 4048

RAW TCP също позволява серийният порт да бъде тунелиран към отдалечен конзолен сървър, така че две устройства със сериен порт могат прозрачно да се свързват помежду си в мрежа (вижте Глава 3.1.6 Серийно свързване)

RFC2217 Избирането на RFC2217 активира пренасочване на сериен порт на този порт. За RFC2217 адресът на порта по подразбиране е IP адрес _ порт (5000 + номер на сериен порт), т.е. 5001 5048
Наличен е специален клиентски софтуер за Windows UNIX и Linux, който поддържа RFC2217 виртуални com портове, така че отдалечен хост може да наблюдава и управлява отдалечени серийно свързани устройства, сякаш са свързани към локалния сериен порт (вижте Глава 3.6 Пренасочване на сериен порт за подробности)
RFC2217 също позволява серийният порт да бъде тунелиран към отдалечен конзолен сървър, така че две устройства със сериен порт могат прозрачно да се свързват помежду си в мрежа (вижте глава 3.1.6 Серийно свързване)

Unauthenticated Telnet Това позволява Telnet достъп до серийния порт без идентификационни данни за удостоверяване. Когато потребител осъществи достъп до сървъра на конзолата до Telnet към сериен порт, той получава подкана за влизане. С неудостоверен Telnet те се свързват директно към порта без предизвикателство за влизане в конзолния сървър. Ако Telnet клиент подкани за удостоверяване, всички въведени данни позволяват връзка.

Глава 3: Сериен порт, хост, устройство и конфигурация на потребителя
Този режим се използва с външна система (като консерватор), управляваща удостоверяването на потребителя и привилегиите за достъп на ниво серийно устройство.
Влизането в устройство, свързано към конзолния сървър, може да изисква удостоверяване.
За неупълномощен Telnet адресът на порта по подразбиране е IP адрес _ порт (6000 + сериен порт #), т.е. 6001 6048

Неупълномощен SSH Това позволява SSH достъп до серийния порт без идентификационни данни за удостоверяване. Когато потребител осъществи достъп до сървъра на конзолата до Telnet към сериен порт, той получава подкана за влизане. С неудостоверен SSH те се свързват директно към порта без никакво предизвикателство за влизане в конзолния сървър.
Този режим се използва, когато имате друга система, управляваща удостоверяване на потребителя и привилегии за достъп на ниво серийно устройство, но искате да шифровате сесията в мрежата.
Влизането в устройство, свързано към конзолния сървър, може да изисква удостоверяване.
За неупълномощен Telnet адресът на порта по подразбиране е IP адрес _ порт (7000 + сериен порт #), т.е. 7001 7048
The : методът за достъп до порт (както е описано в горния SSH раздел) винаги изисква удостоверяване.

Web Терминал Това позволява web достъп на браузъра до серийния порт чрез Управление > Устройства: Сериен с помощта на вградения AJAX терминал на конзолата за управление. Web Терминалът се свързва като текущо удостоверения потребител на конзолата за управление и не се удостоверява повторно. Вижте раздел 12.3 за повече подробности.

IP псевдоним

Разрешете достъп до серийния порт, като използвате конкретен IP адрес, посочен във формат CIDR. На всеки сериен порт може да бъде присвоен един или повече IP псевдоними, конфигурирани на базата на мрежов интерфейс. Сериен порт може, напрample, да бъдат достъпни както на 192.168.0.148 (като част от вътрешната мрежа), така и на 10.10.10.148 (като част от LAN за управление). Възможно е също така да направите сериен порт достъпен на два IP адреса в една и съща мрежа (напрample, 192.168.0.148 и 192.168.0.248).

Тези IP адреси могат да се използват само за достъп до конкретния сериен порт, достъпен с помощта на номерата на TCP портовете на стандартния протокол на услугите на конзолния сървър. Напримерample, SSH на сериен порт 3 ще бъде достъпен на порт 22 на IP псевдоним на сериен порт (докато на основния адрес на конзолния сървър е достъпен на порт 2003).

Тази функция може да бъде конфигурирана и чрез страницата за редактиране на множество портове. В този случай IP адресите се прилагат последователно, като първият избран порт получава въведения IP адрес, а следващите се увеличават, като числата се пропускат за всички неизбрани портове. Напримерample, ако са избрани портове 2, 3 и 5 и IP псевдонимът 10.0.0.1/24 е въведен за мрежовия интерфейс, се присвояват следните адреси:

Порт 2: 10.0.0.1/24

Порт 3: 10.0.0.2/24

Порт 5: 10.0.0.4/24

IP псевдонимите също поддържат IPv6 псевдоним адреси. Единствената разлика е, че адресите са шестнадесетични числа, така че порт 10 може да съответства на адрес, завършващ на A, а 11 на адрес, завършващ на B, а не на 10 или 11 според IPv4.

Ръководство за потребителя
Шифроване на трафик / Удостоверяване Активиране на тривиално криптиране и удостоверяване на RFC2217 серийни комуникации с помощта на Portshare (за силно криптиране използвайте VPN).
Период на натрупване След установяване на връзка за конкретен сериен порт (като RFC2217 пренасочване или Telnet връзка към отдалечен компютър), всички входящи символи на този порт се препращат по мрежата символ по знак. Периодът на натрупване определя период от време, през който входящите знаци се събират, преди да бъдат изпратени като пакет по мрежата
Escape Character Променете знака, използван за изпращане на Escape символи. По подразбиране е ~. Замяна на Backspace Замяна на стойността на Backspace по подразбиране на CTRL+? (127) с CTRL+h (8). Меню за захранване Командата за отваряне на менюто за захранване е ~p и активира командата за захранване на обвивката, така че a
потребителят може да контролира захранващата връзка към управлявано устройство от командния ред, когато е свързан към устройството чрез Telnet или SSH. Управляваното устройство трябва да бъде настроено както с конфигурирана връзка със серийния порт, така и със захранваща връзка.
Единична връзка Това ограничава порта до една връзка, така че ако множество потребители имат привилегии за достъп до конкретен порт, само един потребител може да има достъп до този порт (т.е. проследяването на портове не е разрешено).
33

Глава 3: Сериен порт, хост, устройство и конфигурация на потребителя
3.1.3 Режим на устройство (RPC, UPS, Environmental) Този режим конфигурира избрания сериен порт за комуникация със серийно контролирано непрекъсваемо захранване (UPS), дистанционен контролер на захранването / блокове за разпределение на захранването (RPC) или устройство за наблюдение на околната среда (Environmental)

1. Изберете желания тип устройство (UPS, RPC или Environmental)
2. Продължете към съответната страница за конфигурация на устройството (Серийни и мрежови > UPS връзки, RPC връзка или Околна среда), както е описано подробно в Глава 7.

3.1.4 ·

Режим на терминален сървър
Изберете режим на терминален сървър и тип терминал (vt220, vt102, vt100, Linux или ANSI), за да активирате getty на избрания сериен порт

Getty конфигурира порта и изчаква да се осъществи връзка. Активна връзка на серийно устройство се обозначава от повдигнатия щифт за откриване на носител на данни (DCD) на серийното устройство. Когато бъде открита връзка, програмата getty издава подкана за влизане: и извиква програмата за влизане, за да обработи влизането в системата.
ЗАБЕЛЕЖКА Избирането на режим на терминален сървър деактивира порт диспечера за този сериен порт, така че данните вече не се регистрират за предупреждения и т.н.

Ръководство за потребителя
3.1.5 Режим на серийно свързване При серийно свързване серийните данни на номиниран сериен порт на един конзолен сървър се капсулират в мрежови пакети и се транспортират през мрежа до втори конзолен сървър, където се представят като серийни данни. Двата конзолни сървъра действат като виртуален сериен кабел през IP мрежа. Един конзолен сървър е конфигуриран да бъде сървърът. Серийният порт на сървъра, който ще се свързва, е зададен в режим на конзолен сървър с активиран RFC2217 или RAW. За сървъра на клиентската конзола серийният порт, който трябва да бъде свързан, трябва да бъде зададен в режим на свързване:
· Изберете Serial Bridging Mode и посочете IP адреса на сървъра на конзолата на сървъра и адреса на TCP порта на отдалечения сериен порт (за RFC2217 мост това ще бъде 5001-5048)
· По подразбиране мостовият клиент използва RAW TCP. Изберете RFC2217, ако това е режимът на конзолния сървър, който сте посочили на сървъра на конзолата на сървъра
· Можете да защитите комуникациите през локалния Ethernet, като активирате SSH. Генериране и качване на ключове.
3.1.6 Syslog В допълнение към вграденото регистриране и наблюдение, които могат да бъдат приложени към серийно прикачени и мрежови достъпи за управление, както е описано в Глава 6, конзолният сървър може също да бъде конфигуриран да поддържа отдалечен syslog протокол на сериен порт основа:
· Изберете полетата Syslog Facility/Priority, за да активирате регистриране на трафик на избрания сериен порт към syslog сървър; и да сортирате и действате спрямо тези регистрирани съобщения (т.е. да ги пренасочите/изпратите предупредителен имейл.)
35

Глава 3: Сериен порт, устройство и потребителска конфигурация
Напримерample, ако компютърът, свързан към сериен порт 3, никога не трябва да изпраща нищо през серийния си конзолен порт, администраторът може да настрои съоръжението за този порт на local0 (local0 .. local7 са предназначени за локални стойности на сайта) и Priority на критичен . При този приоритет, ако syslog сървърът на конзолния сървър получи съобщение, той издава предупреждение. Вижте Глава 6. 3.1.7 NMEA поточно предаване ACM7000-L може да осигури поточно предаване на GPS NMEA данни от вътрешния GPS/клетъчен модем. Този поток от данни се представя като сериен поток от данни на порт 5 на ACM моделите.
Общите настройки (скорост на предаване и др.) се игнорират при конфигуриране на серийния порт NMEA. Можете да посочите честотата на фиксиране (т.е. тази скорост на GPS фиксиране определя колко често се получават GPS поправки). Можете също така да приложите всички настройки на Console Server Mode, Syslog и Serial Bridging към този порт.
Можете да използвате pmshell, webshell, SSH, RFC2217 или RawTCP, за да стигнете до потока:
Напримерample, използвайки Web Терминал:
36

Ръководство за потребителя

3.1.8 USB конзоли
Конзолните сървъри с USB портове поддържат USB конзолни връзки към устройства от широка гама доставчици, включително Cisco, HP, Dell и Brocade. Тези USB портове могат да функционират и като обикновени RS-232 серийни портове, когато е свързан USB към сериен адаптер.

Тези USB портове са налични като обикновени портове за управление на портове и са представени числено в web UI след всички RJ45 серийни портове.

ACM7008-2 има осем RJ45 серийни порта в задната част на конзолния сървър и четири USB порта отпред. В Сериен и мрежа > Сериен порт те са посочени като

Порт # конектор

RJ45

USB

10 USB

11 USB

12 USB

Ако конкретният ACM7008-2 е клетъчен модел, порт #13 — за GPS — също ще бъде посочен.

7216-24U има 16 RJ45 серийни порта и 24 USB порта на задната страна, както и два предни USB порта и (в клетъчния модел) GPS.

Серийните портове RJ45 са представени в Сериен и мрежа > Сериен порт като номера на портове 1. 16-те обърнати назад USB портове приемат номера на портове 24, а предните USB портове са изброени съответно с номера на портове 17 и 40. И както при ACM41-42, ако конкретният 7008-2U е клетъчен модел, GPS се представя на порт номер 7216.

Общите настройки (скорост на предаване и т.н.) се използват при конфигуриране на портовете, но някои операции може да не работят в зависимост от внедряването на основния USB сериен чип.

3.2 Добавяне и редактиране на потребители
Администраторът използва този избор от менюто, за да създава, редактира и изтрива потребители и да дефинира правата за достъп за всеки от тези потребители.

Глава 3: Сериен порт, устройство и потребителска конфигурация

Потребителите могат да бъдат упълномощени за достъп до определени услуги, серийни портове, захранващи устройства и определени мрежови хостове. Тези потребители също могат да получат пълен статус на администратор (с пълно конфигуриране и управление и привилегии за достъп).

Потребителите могат да се добавят към групи. По подразбиране са зададени шест групи:

администратор

Осигурява неограничени привилегии за конфигуриране и управление.

pptpd

Позволява достъп до PPTP VPN сървъра. Паролата на потребителите в тази група се съхранява в ясен текст.

диалин

Позволява набиране чрез модеми. Паролата на потребителите в тази група се съхранява в ясен текст.

ftp

Позволява ftp достъп и file достъп до устройства за съхранение.

pmshell

Задава обвивката по подразбиране на pmshell.

потребители

Предоставя на потребителите основни привилегии за управление.

Административната група предоставя на членовете пълни администраторски права. Потребителят администратор може да получи достъп до сървъра на конзолата, като използва някоя от услугите, които са били активирани в System > Services. Те също могат да имат достъп до всеки от свързаните хостове или устройства със сериен порт, използвайки някоя от услугите, които са били активирани за тези връзки. Само доверени потребители трябва да имат администраторски достъп
Потребителската група предоставя на членовете ограничен достъп до конзолния сървър и свързаните хостове и серийни устройства. Тези потребители имат достъп само до раздела за управление на менюто на конзолата за управление и нямат достъп до командния ред до сървъра на конзолата. Те имат достъп само до онези хостове и серийни устройства, които са били проверени за тях, като използват услуги, които са били активирани
Потребителите в групите pptd, dialin, ftp или pmshell са ограничили достъпа на потребителската обвивка до номинираните управлявани устройства, но няма да имат директен достъп до конзолния сървър. За да добавите това, потребителите трябва също да са членове на потребителски или администраторски групи
Администраторът може да настрои допълнителни групи със специфично захранващо устройство, сериен порт и разрешения за достъп до хост. Потребителите в тези допълнителни групи нямат никакъв достъп до менюто на конзолата за управление, нито имат достъп от командния ред до сървъра на конзолата.

Ръководство за потребителя
Администраторът може да настрои потребители със специфично захранващо устройство, сериен порт и разрешения за достъп до хост, които не са членове на никакви групи. Тези потребители нямат достъп до менюто на конзолата за управление, нито достъп до командния ред до сървъра на конзолата. 3.2.1 Настройване на нова група За да настроите нови групи и нови потребители и да класифицирате потребителите като членове на определени групи:
1. Изберете Сериен и мрежа > Потребители и групи, за да покажете всички групи и потребители 2. Щракнете върху Добавяне на група, за да добавите нова група
3. Добавете име на група и описание за всяка нова група и посочете достъпните хостове, достъпните портове и достъпните RPC изходи, до които потребителите в тази нова група ще имат достъп
4. Щракнете върху Приложи 5. Администраторът може да редактира или изтрие всяка добавена група 3.2.2 Настройване на нови потребители За да настроите нови потребители и да класифицирате потребителите като членове на определени групи: 1. Изберете Сериен и мрежа > Потребители и групи за показване всички групи и потребители 2. Щракнете върху Добавяне на потребител
39

Глава 3: Сериен порт, устройство и потребителска конфигурация
3. Добавете потребителско име за всеки нов потребител. Можете също така да включите информация, свързана с потребителя (напр. данни за контакт) в полето Описание. Потребителското име може да съдържа от 1 до 127 буквено-цифрови знака и знаците „-“, „_“ и „.“.
4. Посочете в кои групи желаете потребителят да бъде член. 5. Добавете потвърдена парола за всеки нов потребител. Всички символи са разрешени. 6. Може да се използва SSH удостоверяване чрез ключ за достъп. Поставете публичните ключове на оторизирани публични/частни
двойки ключове за този потребител в полето Authorized SSH Keys 7. Поставете отметка на Disable Password Authentication, за да позволите само удостоверяване с публичен ключ за този потребител
когато използвате SSH 8. Поставете отметка на Enable Dial-Back в менюто Dial-in Options, за да позволите изходяща връзка за обратно набиране
да се задейства чрез влизане в този порт. Въведете телефонния номер за обратно набиране с телефонния номер за обратно повикване, когато потребителят влезе 9. Поставете отметка на Достъпни хостове и/или Достъпни портове, за да посочите серийните портове и свързаните с мрежата хостове, до които искате потребителят да има привилегии за достъп 10. Ако има конфигурирани RPC, проверете Достъпни RPC изходи, за да посочите кои изходи може да контролира потребителят (т.е. включване/изключване на захранването) 11. Щракнете върху Приложи. Новият потребител ще има достъп до достъпните мрежови устройства, портове и RPC изходи. Ако потребителят е член на група, той може също така да има достъп до всяко друго устройство/порт/изход, достъпен за групата
40

Ръководство за потребителя
Няма ограничения за броя потребители, които можете да настроите, или броя потребители на сериен порт или хост. Няколко потребители могат да контролират/наблюдават един порт или хост. Няма ограничения за броя на групите и всеки потребител може да бъде член на няколко групи. Не е необходимо потребителят да е член на групи, но ако е член на потребителската група по подразбиране, той няма да може да използва конзолата за управление за управление на портове. Въпреки че няма ограничения, времето за повторно конфигуриране се увеличава с нарастването на броя и сложността. Препоръчваме общият брой потребители и групи да бъде под 250. Администраторът може също да редактира настройките за достъп за всички съществуващи потребители:
· Изберете Serial & Network > Users & Groups и щракнете върху Edit, за да промените привилегиите за достъп на потребителя · Щракнете върху Delete, за да премахнете потребителя · Щракнете върху Disable, за да блокирате временно привилегиите за достъп
3.3 Удостоверяване
Вижте Глава 8 за подробности за конфигурацията на удостоверяване.
3.4 Мрежови хостове
За да наблюдавате и осъществявате отдалечен достъп до компютър или устройство в локална мрежа (наричано хост), трябва да идентифицирате хоста:
1. Избирането на Сериен и мрежа > Мрежови хостове представя всички свързани с мрежата хостове, които са били активирани за използване.
2. Щракнете върху Добавяне на хост, за да разрешите достъп до нов хост (или изберете Редактиране, за да актуализирате настройките за съществуващ хост)
41

Глава 3: Сериен порт, устройство и потребителска конфигурация
3. Ако хостът е PDU или UPS захранващо устройство или сървър с IPMI контрол на мощността, укажете RPC (за IPMI и PDU) или UPS и типа устройство. Администраторът може да конфигурира тези устройства и да активира кои потребители имат разрешение за отдалечено включване на захранването и т.н. Вижте Глава 7. В противен случай оставете Тип устройство зададен на Няма.
4. Ако сървърът на конзолата е конфигуриран с активирано разпределено наблюдение на Nagios, вие също ще видите опциите за настройки на Nagios, за да разрешите номинираните услуги на хоста да бъдат наблюдавани.
5. Щракнете върху Прилагане. Това създава новия хост и също така създава ново управлявано устройство със същото име.
3.5 Доверени мрежи
Функцията Trusted Networks ви дава възможност да посочите IP адреси, на които трябва да се намират потребителите, за да имат достъп до серийните портове на конзолния сървър:
42

Ръководство за потребителя
1. Изберете Сериен и мрежа > Надеждни мрежи 2. За да добавите нова надеждна мрежа, изберете Добавяне на правило. При липса на правила няма достъп
ограничения по отношение на IP адреса, на който потребителите могат да бъдат разположени.

3. Изберете Достъпните портове, към които да се приложи новото правило
4. Въведете мрежовия адрес на подмрежата, на която ще бъде разрешен достъп
5. Посочете диапазона от адреси, които трябва да бъдат разрешени, като въведете мрежова маска за този разрешен IP диапазон, напр.
· За да разрешите на всички потребители, намиращи се с конкретна мрежова връзка от клас C, до посочения порт, добавете следното ново правило за надеждна мрежа:

Мрежов IP адрес

204.15.5.0

Subnet Mask

255.255.255.0

· За да позволите само на един потребител, намиращ се на определен IP адрес, да се свърже:

Мрежов IP адрес

204.15.5.13

Subnet Mask

255.255.255.255

· За да разрешите на всички потребители, работещи от определен диапазон от IP адреси (да речем някой от тридесетте адреса от 204.15.5.129 до 204.15.5.158), да им бъде разрешено свързване към посочения порт:

Адрес на хост/подмрежа

204.15.5.128

Subnet Mask

255.255.255.224

6. Щракнете върху Приложи

Глава 3: Сериен порт, устройство и потребителска конфигурация
3.6 Каскадно свързване на сериен порт
Каскадните портове ви позволяват да клъстерирате разпределени конзолни сървъри, така че голям брой серийни портове (до 1000) могат да бъдат конфигурирани и достъпни чрез един IP адрес и управлявани чрез една конзола за управление. Един конзолен сървър, основният, контролира други конзолни сървъри като възлови единици и всички серийни портове на възловите единици изглеждат така, сякаш са част от основния. Клъстерирането на Opengear свързва всеки възел с основния чрез SSH връзка. Това се прави чрез удостоверяване с публичен ключ, така че основният може да има достъп до всеки възел чрез двойката SSH ключове (вместо да използва пароли). Това гарантира сигурни удостоверени комуникации между Primary и Nodes, позволявайки сървърните единици на конзолата Node да бъдат разпределени локално в LAN или отдалечено по целия свят.
3.6.1 Автоматично генериране и качване на SSH ключове За да настроите удостоверяване с публичен ключ, първо трябва да генерирате двойка ключове RSA или DSA и да ги качите в сървърите на конзолата на Primary и Node. Това може да се направи автоматично от първичния:
44

Ръководство за потребителя
1. Изберете Система > Администриране в конзолата за управление на Primary
2. Отметнете Автоматично генериране на SSH ключове. 3. Щракнете върху Прилагане
След това трябва да изберете дали да генерирате ключове с помощта на RSA и/или DSA (ако не сте сигурни, изберете само RSA). Генерирането на всеки набор от ключове отнема две минути и новите ключове унищожават старите ключове от този тип. Докато новото поколение е в ход, функциите, разчитащи на SSH ключове (напр. каскадни), може да спрат да функционират, докато не бъдат актуализирани с новия набор от ключове. За да генерирате ключове:
1. Поставете отметки в квадратчетата за ключовете, които искате да генерирате. 2. Щракнете върху Приложи
3. След като новите ключове бъдат генерирани, щракнете върху връзката Щракнете тук, за да се върнете. Ключовете са качени
към първичните и свързаните възли.
3.6.2 Ръчно генериране и качване на SSH ключове Като алтернатива, ако имате двойка ключове RSA или DSA, можете да ги качите на сървърите на конзолата на основния и възловия възел. За да качите двойката публичен и частен ключ на основния конзолен сървър:
1. Изберете Система > Администриране от конзолата за управление на основния
2. Прегледайте местоположението, където сте съхранили RSA (или DSA) публичен ключ, и го качете в SSH RSA (DSA) публичен ключ
3. Прегледайте съхранения RSA (или DSA) частен ключ и го качете в SSH RSA (DSA) частен ключ 4. Щракнете върху Приложи
45

Глава 3: Сериен порт, устройство и потребителска конфигурация
След това трябва да регистрирате публичния ключ като оторизиран ключ на възела. В случай на един първичен с множество възли, вие качвате един RSA или DSA публичен ключ за всеки възел.
1. Изберете Система > Администриране от конзолата за управление на възела 2. Прегледайте съхранения RSA (или DSA) публичен ключ и го качете в SSH оторизирания ключ на възела
3. Щракнете върху Приложи. Следващата стъпка е да поставите пръстов отпечатък на всяка нова връзка между основния възел. Тази стъпка потвърждава, че установявате SSH сесия за това, което мислите, че сте. При първата връзка възелът получава пръстов отпечатък от основния, използван при всички бъдещи връзки: За да установите пръстовия отпечатък, първо влезте в основния сървър като root и установете SSH връзка към отдалечения хост на възела:
# ssh remhost След като SSH връзката бъде установена, ще бъдете помолени да приемете ключа. Отговорете с да и пръстовият отпечатък се добавя към списъка с известни хостове. Ако бъдете помолени да предоставите парола, има проблем с качването на ключове. 3.6.3 Конфигуриране на възлите и техните серийни портове Започнете да настройвате възлите и конфигурирате серийните портове на възлите от основния конзолен сървър:
1. Изберете Серийни и мрежови > Каскадни портове на основната конзола за управление: 2. За да добавите поддръжка за клъстериране, изберете Добавяне на възел
Не можете да добавяте възли, докато не генерирате SSH ключове. За да дефинирате и конфигурирате възел:
46

Ръководство за потребителя
1. Въведете отдалечения IP адрес или DNS име за сървъра на конзолата на възел 2. Въведете кратко описание и кратък етикет за възела 3. Въведете пълния брой серийни портове на устройството на възела в Брой портове 4. Щракнете върху Приложи. Това установява SSH тунела между основния и новия възел
Менюто Серийни и мрежови > Каскадни портове показва всички възли и номерата на портове, които са били разпределени на основния. Ако основният конзолен сървър има 16 собствени порта, портове 1-16 са предварително разпределени към основния, така че на първия добавен възел се присвоява номер на порт 17 нататък. След като добавите всички сървъри на конзолата на Node, серийните портове на Node и свързаните устройства са конфигурируеми и достъпни от менюто на конзолата за управление на Primary и достъпни чрез IP адреса на Primary.
1. Изберете подходящия Serial & Network > Serial Port и Edit, за да конфигурирате серийните портове на
Възел.
2. Изберете подходящия Сериен и мрежа > Потребители и групи, за да добавите нови потребители с права за достъп
към серийните портове на Node (или за разширяване на привилегиите за достъп на съществуващите потребители).
3. Изберете подходящия Сериен и мрежа > Доверени мрежи, за да посочите мрежови адреси, които
може да има достъп до номинирани серийни портове на възел. 4. Изберете подходящите Сигнали и регистриране > Сигнали, за да конфигурирате връзка към порт на възел, състояние
Сигнали за съвпадение на модел за промяна. Промените в конфигурацията, направени на първичния, се разпространяват към всички възли, когато щракнете върху Приложи.
3.6.4 Управление на възли Основният контрол контролира серийните портове на възела. Напримерample, ако промените привилегиите за достъп на потребител или редактирате настройка на сериен порт на основния, актуализираната конфигурация fileсе изпращат до всеки възел паралелно. Всеки възел прави промени в своите локални конфигурации (и прави само промени, които се отнасят до неговите конкретни серийни портове). Можете да използвате локалната конзола за управление на възел, за да промените настройките на всеки сериен порт на възел (като например промяна на скоростта на предаване). Тези промени се презаписват следващия път, когато основният изпрати конфигурация file актуализация. Въпреки че основният контролира всички функции, свързани със сериен порт на възел, той не е основен над мрежовите хост връзки на възела или над системата на сървъра на конзолата на възела. Функции на възел като IP, SMTP & SNMP настройки, дата и час, DHCP сървър трябва да се управляват чрез директен достъп до всеки възел и тези функции не се презаписват, когато промените в конфигурацията се разпространяват от основния. Настройките на мрежовия хост и IPMI на възела трябва да бъдат конфигурирани на всеки възел.
47

Глава 3: Сериен порт, устройство и потребителска конфигурация
Конзолата за управление на Primary предоставя консолидирана view на настройките за своя собствен и серийните портове на целия възел. Първичният не предоставя напълно консолидиран view. Напримерample, ако искате да разберете кой е влязъл в каскадни серийни портове от първичния, ще видите, че Статус > Активни потребители показва само онези потребители, активни на портовете на основния, така че може да се наложи да напишете персонализирани скриптове, за да предоставите това view.
3.7 Пренасочване на сериен порт (PortShare)
Софтуерът за споделяне на портове на Opengear предоставя технологията за виртуален сериен порт, необходима на вашите Windows и Linux приложения, за да отварят отдалечени серийни портове и да четат данните от серийни устройства, които са свързани към вашия конзолен сървър.
PortShare се доставя безплатно с всеки конзолен сървър и имате лиценз да инсталирате PortShare на един или повече компютри за достъп до всяко серийно устройство, свързано към порт на конзолен сървър. PortShare за Windows Portshare_setup.exe може да бъде изтеглен от ftp сайта. Вижте ръководството за потребителя на PortShare и Quick Start за подробности относно инсталирането и работата. PortShare за Linux Драйверът PortShare за Linux преобразува серийния порт на конзолния сървър към порт за опит на хост. Opengear пусна portshare-serial-client като помощна програма с отворен код за Linux, AIX, HPUX, SCO, Solaris и UnixWare. Тази помощна програма може да бъде изтеглена от ftp сайта. Това пренасочване на сериен порт на PortShare ви позволява да използвате серийно устройство, свързано към сървъра на отдалечената конзола, сякаш е свързано към вашия локален сериен порт. Portshare-serial-client създава псевдо tty порт, свързва серийното приложение към псевдо tty порта, получава данни от псевдо tty порта, предава ги към конзолния сървър през мрежата и получава данни от конзолния сървър през мрежата и ги предава към псевдо-tty порта. .tar file може да бъде изтеглен от ftp сайта. Вижте ръководството за потребителя на PortShare и Quick Start за подробности относно инсталирането и работата.
48

Ръководство за потребителя
3.8 управлявани устройства
Страницата „Управлявани устройства“ представя консолидиран view на всички връзки към устройство, което може да бъде достъпно и наблюдавано през конзолния сървър. Да се view връзките към устройствата, изберете Сериен и мрежов > Управлявани устройства
Този екран показва всички управлявани устройства с техните описания/бележки и списъци с всички конфигурирани връзки:
· Сериен порт # (ако е свързан серийно) или · USB (ако е свързан USB) · IP адрес (ако е свързан в мрежа) · Подробности за PDU/изход за захранване (ако е приложимо) и всички UPS връзки Устройства като сървъри може да имат повече от една захранваща връзка (напр. двойно захранване) и повече от една мрежова връзка (напр. за BMC/сервизен процесор). Всички потребители могат view тези управлявани връзки на устройства, като изберете Управление > Устройства. Администраторите могат също да редактират и добавят/изтриват тези управлявани устройства и техните връзки. За да редактирате съществуващо устройство и да добавите нова връзка: 1. Изберете Редактиране в Serial & Network > Managed Devices и щракнете върху Add Connection 2. Изберете типа връзка за новата връзка (сериен, мрежов хост, UPS или RPC) и изберете
връзката от представения списък с конфигурирани неразпределени хостове/портове/изходи
49

Глава 3: Сериен порт, устройство и потребителска конфигурация
За да добавите ново свързано в мрежа управлявано устройство: 1. Администраторът добавя ново свързано в мрежа управлявано устройство чрез Добавяне на хост в менюто Сериен и мрежа > Мрежов хост. Това автоматично създава съответното ново управлявано устройство. 2. Когато добавяте ново свързано в мрежа RPC или UPS захранващо устройство, вие настройвате мрежов хост, обозначавате го като RPC или UPS. Отидете на RPC връзки или UPS връзки, за да конфигурирате съответната връзка. Съответното ново управлявано устройство със същото име/описание като RPC/UPS хоста не се създава, докато тази стъпка за свързване не бъде завършена.
ЗАБЕЛЕЖКА Имената на изходите на новосъздадения PDU са Изход 1 и Изход 2. Когато свържете определено управлявано устройство, което черпи енергия от контакта, изходът приема името на захранваното управлявано устройство.
За да добавите ново серийно свързано управлявано устройство: 1. Конфигурирайте серийния порт, като използвате менюто Сериен и мрежа > Сериен порт (вижте раздел 3.1 Конфигуриране на сериен порт) 2. Изберете Сериен и мрежа > Управлявани устройства и щракнете върху Добавяне на устройство 3. Въведете устройство Име и описание за управляваното устройство

4. Щракнете върху Добавяне на връзка и изберете Сериен и порта, който се свързва с управляваното устройство

5. За да добавите UPS/RPC захранваща връзка или мрежова връзка, или друга серийна връзка, щракнете върху Добавяне на връзка

6. Щракнете върху Приложи

ЗАБЕЛЕЖКА

За да настроите серийно свързано RPC UPS или EMD устройство, конфигурирайте серийния порт, посочете го като устройство и въведете име и описание за това устройство в Серийни и мрежови > RPC връзки (или UPS връзки или Environmental). Това създава съответно ново управлявано устройство със същото име/описание като RPC/UPS хоста. Имената на изходите на това новосъздадено PDU са Изход 1 и Изход 2. Когато свържете управлявано устройство, което черпи енергия от контакта, изходът приема името на захранваното управлявано устройство.

3.9 IPsec VPN
ACM7000, CM7100 и IM7200 включват Openswan, Linux реализация на протоколите IPsec (IP Security), които могат да се използват за конфигуриране на виртуална частна мрежа (VPN). VPN позволява на множество сайтове или отдалечени администратори да имат защитен достъп до сървъра на конзолата и управляваните устройства през интернет.

Ръководство за потребителя
Администраторът може да установи криптирани удостоверени VPN връзки между конзолни сървъри, разпределени на отдалечени сайтове, и VPN шлюз (като Cisco рутер, работещ с IOS IPsec) в тяхната централна офисна мрежа:
· Потребителите в централния офис могат сигурно да имат достъп до сървърите на отдалечената конзола и свързаните серийни конзолни устройства и машини в подмрежата на LAN за управление на отдалеченото местоположение, сякаш са локални
· Всички тези отдалечени конзолни сървъри могат да бъдат наблюдавани с CMS6000 в централната мрежа · Със серийно мостово свързване серийните данни от контролера в машината на централния офис могат да бъдат защитени
свързан към серийно управляваните устройства на отдалечените сайтове Администраторът на Road Warrior може да използва VPN IPsec софтуерен клиент за отдалечен достъп до конзолния сървър и всяка машина в подмрежата на LAN за управление на отдалеченото местоположение
Конфигурирането на IPsec е доста сложно, така че Opengear предоставя GUI интерфейс за основна настройка, както е описано по-долу. За да активирате VPN шлюза:
1. Изберете IPsec VPN от менюто Serial & Networks
2. Щракнете върху Добавяне и попълнете екрана Добавяне на IPsec тунел 3. Въведете всяко описателно име, което искате да идентифицирате IPsec тунела, който добавяте, като например
WestStOutlet-VPN
51

Глава 3: Сериен порт, устройство и потребителска конфигурация
4. Изберете метода за удостоверяване, който да се използва, цифрови подписи RSA или споделена тайна (PSK) o Ако изберете RSA, ще бъдете помолени да щракнете тук, за да генерирате ключове. Това генерира RSA публичен ключ за конзолния сървър (левия публичен ключ). Намерете ключа, който ще използвате на отдалечения шлюз, изрежете го и го поставете в десния публичен ключ
o Ако изберете Споделена тайна, въведете предварително споделена тайна (PSK). PSK трябва да съответства на PSK, конфигуриран в другия край на тунела
5. В Authentication Protocol изберете протокола за удостоверяване, който да се използва. Удостоверете се като част от ESP (Encapsulating Security Payload) криптиране или отделно с помощта на AH (Authentication Header) протокол.
52

Ръководство за потребителя
6. Въведете ляв ID и Right ID. Това е идентификаторът, който локалният хост/шлюз и отдалеченият хост/шлюз използват за IPsec преговори и удостоверяване. Всеки идентификатор трябва да включва @ и може да включва напълно квалифицирано име на домейн (напр. left@example.com)
7. Въведете публичния IP или DNS адрес на този Opengear VPN шлюз като левия адрес. Можете да оставите това празно, за да използвате интерфейса на маршрута по подразбиране
8. В Right Address въведете обществения IP или DNS адрес на отдалечения край на тунела (само ако отдалеченият край има статичен или DynDNS адрес). В противен случай оставете това празно
9. Ако Opengear VPN шлюзът служи като VPN шлюз към локална подмрежа (напр. сървърът на конзолата има конфигурирана LAN за управление), въведете подробностите за частната подмрежа в Лява подмрежа. Използвайте CIDR нотацията (където номерът на IP адреса е последван от наклонена черта и броя на битовете „едно“ в двоичната нотация на мрежовата маска). Напримерample, 192.168.0.0/24 показва IP адрес, където първите 24 бита се използват като мрежов адрес. Това е същото като 255.255.255.0. Ако достъпът до VPN е само до сървъра на конзолата и към свързаните към него серийни конзолни устройства, оставете полето Left Subnet празно
10. Ако има VPN шлюз в отдалечения край, въведете подробностите за частната подмрежа в Right Subnet. Използвайте нотацията CIDR и оставете празно, ако има само отдалечен хост
11. Изберете Иницииране на тунел, ако тунелната връзка трябва да бъде инициирана от края на левия конзолен сървър. Това може да бъде инициирано само от VPN шлюза (вляво), ако отдалеченият край е конфигуриран със статичен (или DynDNS) IP адрес
12. Щракнете върху Приложи, за да запазите промените
ЗАБЕЛЕЖКА Конфигурационните детайли, зададени на конзолния сървър (наричан ляв или локален хост), трябва да съответстват на настройките, въведени при конфигуриране на отдалечен (десен) хост/шлюз или софтуерен клиент. Вижте http://www.opengear.com/faq.html за подробности относно конфигурирането на тези отдалечени краища
3.10 OpenVPN
ACM7000, CM7100 и IM7200 с фърмуер V3.2 и по-нови включват OpenVPN. OpenVPN използва библиотеката OpenSSL за криптиране, удостоверяване и сертифициране, което означава, че използва SSL/TSL (Secure Socket Layer/Transport Layer Security) за обмен на ключове и може да криптира както данни, така и контролни канали. Използването на OpenVPN позволява изграждането на междуплатформени VPN мрежи от точка до точка, като се използва или X.509 PKI (инфраструктура с публичен ключ), или персонализирана конфигурация fileс. OpenVPN позволява сигурно тунелиране на данни през един TCP/UDP порт през незащитена мрежа, като по този начин осигурява сигурен достъп до множество сайтове и сигурно отдалечено администриране към конзолен сървър през Интернет. OpenVPN също така позволява използването на динамични IP адреси както от сървъра, така и от клиента, като по този начин осигурява мобилност на клиента. Напримерample, OpenVPN тунел може да бъде установен между роуминг Windows клиент и Opengear конзолен сървър в рамките на център за данни. Конфигурирането на OpenVPN може да бъде сложно, така че Opengear предоставя GUI интерфейс за основна настройка, както е описано по-долу. По-подробна информация можете да намерите на http://www.openvpn.net
3.10.1 Активиране на OpenVPN 1. Изберете OpenVPN от менюто Serial & Networks
53

Глава 3: Сериен порт, устройство и потребителска конфигурация
2. Щракнете върху Добавяне и попълнете екрана Добавяне на OpenVPN тунел 3. Въведете всяко описателно име, което искате да идентифицирате OpenVPN тунела, който добавяте, напр.ample
NorthStOutlet-VPN
4. Изберете метода за удостоверяване, който да използвате. За удостоверяване с помощта на сертификати изберете PKI (X.509 сертификати) или изберете Персонализирана конфигурация, за да качите персонализирана конфигурация fileс. Персонализираните конфигурации трябва да се съхраняват в /etc/config.
ЗАБЕЛЕЖКА Ако изберете PKI, установете: Отделен сертификат (известен също като публичен ключ). Този сертификат File е *.crt file въведете частен ключ за сървъра и всеки клиент. Този личен ключ File е *.ключ file тип
Сертификат и ключ на първичния сертифициращ орган (CA), който се използва за подписване на всеки сървър
и клиентски сертификати. Този основен CA сертификат е *.crt file тип За сървър може да ви трябва и dh1024.pem (параметри на Diffie Hellman). Вижте http://openvpn.net/easyrsa.html за ръководство за основно управление на RSA ключове. За алтернативни методи за удостоверяване вижте http://openvpn.net/index.php/documentation/howto.html#auth.
5. Изберете драйвера на устройството, който да използвате, Tun-IP или Tap-Ethernet. Драйверите TUN (мрежов тунел) и TAP (мрежов кран) са виртуални мрежови драйвери, които поддържат съответно IP тунелиране и Ethernet тунелиране. TUN и TAP са част от ядрото на Linux.
6. Изберете UDP или TCP като протокол. UDP е стандартният и предпочитан протокол за OpenVPN. 7. Поставете отметка или премахнете отметката от бутона Compression, за да активирате или деактивирате компресията. 8. В тунелен режим посочете дали това е клиентският или сървърният край на тунела. Когато работи като
сървър, конзолният сървър поддържа множество клиенти, свързващи се към VPN сървъра през един и същи порт.
54

Ръководство за потребителя
3.10.2 Конфигуриране като сървър или клиент
1. Попълнете данните за клиента или данните за сървъра в зависимост от избрания тунелен режим. o Ако е избран клиент, адресът на основния сървър е адресът на OpenVPN сървъра. o Ако е избран сървър, въведете мрежовия адрес на IP пул и мрежовата маска на IP пул за IP пула. Мрежата, дефинирана от IP Pool Мрежов адрес/маска, се използва за предоставяне на адреси за свързване на клиенти.
2. Щракнете върху Приложи, за да запазите промените
55

Глава 3: Сериен порт, устройство и потребителска конфигурация
3. За да въведете сертификати за удостоверяване и files, изберете Управление на OpenVPN Files раздел. Качете или прегледайте съответните сертификати за удостоверяване и files.
4. Приложете, за да запазите промените. Запазено files се показват в червено от дясната страна на бутона Качване.
5. За да активирате OpenVPN, Редактирайте OpenVPN тунела
56

Ръководство за потребителя
6. Поставете отметка на бутона Enabled. 7. Приложете, за да запазите промените ЗАБЕЛЕЖКА Уверете се, че системното време на конзолния сървър е правилно, когато работите с OpenVPN, за да избегнете
проблеми с удостоверяването.
8. Изберете Статистика от менюто Състояние, за да проверите дали тунелът работи.
57

Глава 3: Сериен порт, устройство и потребителска конфигурация
3.10.3 Настройка на Windows OpenVPN клиент и сървър Този раздел очертава инсталирането и конфигурацията на Windows OpenVPN клиент или Windows OpenVPN сървър и настройването на VPN връзка към конзолен сървър. Конзолните сървъри генерират клиентска конфигурация на Windows автоматично от GUI за предварително споделена тайна (статичен ключ File) конфигурации.
Като алтернатива OpenVPN GUI за Windows софтуер (който включва стандартния OpenVPN пакет плюс Windows GUI) може да бъде изтеглен от http://openvpn.net. Веднъж инсталиран на машината с Windows, иконата на OpenVPN се добавя към областта за уведомяване, разположена в дясната страна на лентата на задачите. Щракнете с десния бутон върху тази икона, за да стартирате и спрете VPN връзки, да редактирате конфигурации и view трупи.
Когато софтуерът OpenVPN започне да работи, програмата C:Program FileПапката sOpenVPNconfig се сканира за .opvn fileс. Тази папка се проверява отново за нова конфигурация files всеки път, когато се щракне с десния бутон върху иконата на OpenVPN GUI. След като OpenVPN е инсталиран, създайте конфигурация file:
58

Ръководство за потребителя

С помощта на текстов редактор създайте xxxx.ovpn file и запишете в C:Program FilesOpenVPNconfig. Напримерample, C: Програма FilesOpenVPNconfigclient.ovpn
Бившampфайл на клиентска конфигурация на OpenVPN Windows file е показано по-долу:
# описание: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 порт 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt ключ c:\openvpnkeys\client.key nobind persist-key persist- тун комп-лзо
Бившampфайл на конфигурация на OpenVPN Windows Server file е показано по-долу:
сървър 10.100.10.0 255.255.255.0 порт 1194 поддържане на активност 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt ключ c:\openvpnkeys\server. ключ dh c:\openvpnkeys\dh.pem comp-lzo глагол 1 syslog IM4216_OpenVPN_Server
Конфигурацията клиент/сървър на Windows file опциите са:

Опции #description: Клиентски сървър proto udp proto tcp mssfix глагол
dev tun dev кран

Описание Това е коментар, описващ конфигурацията. Редовете за коментар започват с „#“ и се игнорират от OpenVPN. Посочете дали това ще бъде клиентска или сървърна конфигурация file. В конфигурацията на сървъра file, дефинирайте набора от IP адреси и мрежовата маска. Напримерample, сървър 10.100.10.0 255.255.255.0 Задайте протокола на UDP или TCP. Клиентът и сървърът трябва да използват едни и същи настройки. Mssfix задава максималния размер на пакета. Това е полезно само за UDP, ако възникнат проблеми.
Задайте дневник file ниво на многословност. Нивото на подробност на регистрационния файл може да бъде зададено от 0 (минимум) до 15 (максимум). Напримерample, 0 = безшумен, с изключение на фатални грешки 3 = среден изход, добър за обща употреба 5 = помага при отстраняване на грешки при проблеми с връзката 9 = подробен, отличен за отстраняване на неизправности Изберете „dev tun“, за да създадете маршрутизиран IP тунел, или „dev tap“, за да създадете Ethernet тунел. Клиентът и сървърът трябва да използват едни и същи настройки.

Глава 3: Сериен порт, устройство и потребителска конфигурация

дистанционно Порт Keepalive
http-прокси окfile име>
сертfile име>
ключfile име>
dhfile име> Nobind persist-key persist-tun cipher BF-CBC Blowfish (по подразбиране) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

Името на хоста/IP на OpenVPN сървъра, когато работи като клиент. Въведете или DNS името на хоста, или статичния IP адрес на сървъра. UDP/TCP портът на сървъра. Keepalive използва ping, за да поддържа OpenVPN сесията жива. „Keepalive 10 120′ пингва на всеки 10 секунди и приема, че отдалеченият партньор не работи, ако не е получен пинг за период от 120 секунди. Ако се изисква прокси за достъп до сървъра, въведете DNS името на прокси сървъра или IP и номер на порт. Въведете CA сертификата file име и местоположение. Същият CA сертификат file може да се използва от сървъра и всички клиенти. Забележка: Уверете се, че всеки `' в пътя на директорията е заменен с ` \'. Напримерample, c:openvpnkeysca.crt ще стане c:\openvpnkeys\ca.crt Въведете сертификата на клиента или сървъра file име и местоположение. Всеки клиент трябва да има собствен сертификат и ключ fileс. Забележка: Уверете се, че всеки `' в пътя на директорията е заменен с ` \'. Влез в file име и местоположение на ключа на клиента или сървъра. Всеки клиент трябва да има собствен сертификат и ключ fileс. Забележка: Уверете се, че всеки `' в пътя на директорията е заменен с ` \'. Това се използва само от сървъра. Въведете пътя до ключа с параметрите на Diffie-Hellman. `Nobind' се използва, когато клиентите не трябва да се свързват с локален адрес или специфичен локален номер на порт. Такъв е случаят в повечето клиентски конфигурации. Тази опция предотвратява презареждането на ключове при рестартиране. Тази опция предотвратява затварянето и повторното отваряне на TUN/TAP устройства при рестартиране. Изберете криптографски шифър. Клиентът и сървърът трябва да използват едни и същи настройки.
Активирайте компресията на връзката OpenVPN. Това трябва да е разрешено както на клиента, така и на сървъра. По подразбиране регистрационните файлове се намират в syslog или, ако се изпълняват като услуга на Window, в Program FilesOpenVPNlog директория.

За да инициирате OpenVPN тунела след създаването на конфигурацията клиент/сървър files: 1. Щракнете с десния бутон върху иконата OpenVPN в областта за уведомяване 2. Изберете новосъздадената клиентска или сървърна конфигурация. 3. Щракнете върху Свързване

4. Дневникът file се показва при установяване на връзката
60

Ръководство за потребителя
5. Веднъж установена, иконата OpenVPN показва съобщение, показващо успешна връзка и присвоен IP. Тази информация, както и времето на установяване на връзката, са достъпни чрез превъртане върху иконата OpenVPN.
3.11 PPTP VPN
Конзолните сървъри включват PPTP (протокол за тунелиране от точка до точка) сървър. PPTP се използва за комуникация по физическа или виртуална серийна връзка. Крайните PPP точки определят виртуален IP адрес за себе си. Маршрутите към мрежите могат да бъдат определени с тези IP адреси като шлюз, което води до изпращане на трафик през тунела. PPTP установява тунел между физическите PPP крайни точки и сигурно пренася данни през тунела.
Силата на PPTP е неговата лекота на конфигуриране и интегриране в съществуващата инфраструктура на Microsoft. Обикновено се използва за свързване на единични отдалечени Windows клиенти. Ако вземете преносимия си компютър на бизнес пътуване, можете да наберете местен номер, за да се свържете с вашия доставчик на услуги за достъп до интернет (ISP) и да създадете втора връзка (тунел) към вашата офис мрежа през интернет и да имате същия достъп до вашия корпоративна мрежа, сякаш сте свързани директно от вашия офис. Дистанционните служители могат също да настроят VPN тунел през своя кабелен модем или DSL връзки към своя местен интернет доставчик.
61

Глава 3: Сериен порт, устройство и потребителска конфигурация
За да настроите PPTP връзка от отдалечен Windows клиент към вашия Opengear уред и локална мрежа:
1. Активирайте и конфигурирайте PPTP VPN сървъра на вашето устройство Opengear 2. Настройте VPN потребителски акаунти на устройството Opengear и активирайте подходящия
удостоверяване 3. Конфигурирайте VPN клиентите на отдалечените сайтове. Клиентът не изисква специален софтуер като
PPTP сървърът поддържа стандартния PPTP клиентски софтуер, включен в Windows NT и по-нови 4. Свържете се с отдалечения VPN 3.11.1 Активирайте PPTP VPN сървъра 1. Изберете PPTP VPN от менюто Serial & Networks
2. Поставете отметка в квадратчето Разреши, за да активирате PPTP сървъра. 3. Изберете Изисква се минимално удостоверяване. Достъпът е отказан на отдалечени потребители, които се опитват да го направят
свържете се с помощта на схема за удостоверяване, по-слаба от избраната схема. Схемите са описани по-долу, от най-силната към най-слабата. · Шифровано удостоверяване (MS-CHAP v2): Най-силният тип удостоверяване за използване; това е
препоръчителната опция · Слабо криптирана автентификация (CHAP): Това е най-слабият тип криптирана парола
удостоверяване за използване. Не се препоръчва клиентите да се свързват чрез това, тъй като осигурява много слаба защита с парола. Също така имайте предвид, че клиентите, свързващи се с помощта на CHAP, не могат да криптират трафика
62

Ръководство за потребителя
· Некриптирана автентификация (PAP): Това е автентификация с парола с обикновен текст. Когато използвате този тип удостоверяване, клиентската парола се предава некриптирана.
· Няма 4. Изберете Изискваното ниво на криптиране. Достъпът е отказан на отдалечени потребители, които се опитват да се свържат
които не използват това ниво на криптиране. 5. В Local Address въведете IP адрес, който да присвоите към края на сървъра на VPN връзката 6. В Remote Addresses въведете набора от IP адреси, които да присвоите към VPN на входящия клиент
връзки (напр. 192.168.1.10-20). Това трябва да е свободен IP адрес или диапазон от адреси от мрежата, които отдалечените потребители са присвоени, докато са свързани към уреда Opengear 7. Въведете желаната стойност на максималната единица за предаване (MTU) за PPTP интерфейсите в полето MTU (по подразбиране е 1400) 8. В полето DNS сървър въведете IP адреса на DNS сървъра, който присвоява IP адреси на свързващи PPTP клиенти 9. В полето WINS сървър въведете IP адреса на WINS сървъра, който присвоява IP адреси на свързващ се PPTP клиент 10. Активирайте Verbose Logging, за да подпомогнете отстраняването на грешки при проблеми с връзката 11. Щракнете върху Прилагане на настройки 3.11.2 Добавяне на PPTP потребител 1. Изберете Потребители и групи от менюто Серийни и мрежи и попълнете полетата, както е описано в раздел 3.2. 2. Уверете се, че групата pptpd е отметната, за да разрешите достъп до PPTP VPN сървъра. Забележка – паролите на потребителите в тази група се съхраняват в чист текст. 3. Запишете потребителското име и паролата, когато трябва да се свържете с VPN връзката 4. Щракнете върху Приложи
63

Глава 3: Сериен порт, устройство и потребителска конфигурация
3.11.3 Настройване на отдалечен PPTP клиент Уверете се, че отдалеченият VPN клиентски компютър има интернет връзка. За да създадете VPN връзка през интернет, трябва да настроите две мрежови връзки. Едната връзка е за ISP, а другата връзка е за VPN тунела към устройството Opengear. ЗАБЕЛЕЖКА Тази процедура настройва PPTP клиент в операционната система Windows Professional. Стъпките
може да варира леко в зависимост от достъпа ви до мрежата или ако използвате алтернативна версия на Windows. По-подробни инструкции са достъпни от Microsoft web сайт. 1. Влезте във вашия Windows клиент с администраторски права 2. От Центъра за мрежи и споделяне на контролния панел изберете Мрежови връзки и създайте нова връзка
64

Ръководство за потребителя
3. Изберете Използване на моята интернет връзка (VPN) и въведете IP адреса на уреда Opengear. За да свържете отдалечени VPN клиенти към локалната мрежа, трябва да знаете потребителското име и паролата за добавения от вас PPTP акаунт, както и интернет IP адрес на уреда Opengear. Ако вашият интернет доставчик не ви е предоставил статичен IP адрес, обмислете използването на динамична DNS услуга. В противен случай трябва да променяте конфигурацията на PPTP клиента всеки път, когато вашият интернет IP адрес се промени.
65

Глава 3: Сериен порт, устройство и потребителска конфигурация

3.12 Обадете се вкъщи
Всички конзолни сървъри включват функцията Call Home, която инициира настройката на защитен SSH тунел от конзолния сървър към централизиран Opengear Lighthouse. Конзолният сървър се регистрира като кандидат на Lighthouse. Веднъж приет там, той става управляван конзолен сървър.
Lighthouse наблюдава управлявания конзолен сървър и администраторите имат достъп до отдалечения управляван конзолен сървър чрез Lighthouse. Този достъп е достъпен дори когато сървърът на отдалечената конзола е зад защитна стена на трета страна или има частни немаршрутизирани IP адреси.

ЗАБЕЛЕЖКА

Lighthouse поддържа удостоверени с публичен ключ SSH връзки към всеки от своите управлявани конзолни сървъри. Тези връзки се използват за наблюдение, насочване и достъп до сървърите на управляваната конзола и управляваните устройства, свързани към сървъра на управляваната конзола.

За да управлявате локални конзолни сървъри или конзолни сървъри, които са достъпни от Lighthouse, SSHвръзките се инициират от Lighthouse.

За да управлявате отдалечени конзолни сървъри или конзолни сървъри, които са със защитна стена, не могат да се маршрутизират или по друг начин са недостъпни от Lighthouse, SSH връзките се инициират от управлявания конзолен сървър чрез първоначална връзка с Call Home.

Това гарантира сигурни, удостоверени комуникации и позволява управляваните конзолни сървъри да бъдат разпространявани локално в LAN или отдалечено по целия свят.

3.12.1 Настройване на кандидат за Call Home За да настроите конзолния сървър като кандидат за управление на Call Home на Lighthouse:
1. Изберете Call Home от менюто Serial & Network

2. Ако все още не сте генерирали или качили двойка SSH ключове за този конзолен сървър, направете го, преди да продължите
3. Щракнете върху Добавяне

4. Въведете IP адреса или DNS името (напр. динамичния DNS адрес) на Lighthouse.
5. Въведете паролата, която сте конфигурирали в CMS като парола за домашни разговори.
66

Ръководство за потребителя
6. Щракнете върху Приложи. Тези стъпки инициират връзката Call Home от сървъра на конзолата към Lighthouse. Това създава SSHlistening порт на Lighthouse и настройва конзолния сървър като кандидат.
След като кандидатът бъде приет на Lighthouse, SSH тунел към сървъра на конзолата се пренасочва обратно през връзката Call Home. Конзолният сървър се превърна в управляван конзолен сървър и Lighthouse може да се свърже и да го наблюдава през този тунел. 3.12.2 Приемане на кандидат за Call Home като управляван конзолен сървър на Lighthouse Този раздел дава надview относно конфигурирането на Lighthouse за наблюдение на конзолни сървъри на Lighthouse, които са свързани чрез Call Home. За повече подробности вижте ръководството за потребителя на Lighthouse:
1. Въведете нова парола за домашни разговори в Lighthouse. Тази парола се използва за приемане
Обадете се на Homeconnections от кандидат-конзолни сървъри
2. Лайтхаусът може да бъде осъществен чрез конзолния сървър, той трябва или да има статичен IP
адрес или, ако използвате DHCP, да бъдете конфигурирани да използвате динамична DNS услуга
Екранът Конфигуриране > Управлявани конзолни сървъри на Lighthouse показва състоянието на
локални и отдалечени управлявани конзолни сървъри и кандидати.
Разделът Управлявани конзолни сървъри показва конзолните сървъри, наблюдавани от
Lighthouse. Разделът Открити конзолни сървъри съдържа:
o Падащото меню Сървъри на локалната конзола, което изброява всички сървъри на конзолата, които са на
същата подмрежа като Lighthouse и не се наблюдават
67

Глава 3: Сериен порт, устройство и потребителска конфигурация
o Падащото меню Remote Console Servers, което изброява всички конзолни сървъри, които са установили Call Home връзка и не се наблюдават (т.е. кандидати). Можете да щракнете върху Обнови, за да актуализирате
За да добавите кандидат за конзолен сървър към списъка с управляван конзолен сървър, изберете го от падащия списък Сървъри за отдалечена конзола и щракнете върху Добавяне. Въведете IP адрес и SSH порт (ако тези полета не са попълнени автоматично) и въведете описание и уникално име за сървъра на управляваната конзола, който добавяте
Въведете Remote Root Password (т.е. системна парола, която е зададена на този сървър на управлявана конзола). Тази парола се използва от Lighthouse за разпространение на автоматично генерирани SSH ключове и не се съхранява. Кликнете Приложи. Lighthouse настройва защитени SSH връзки към и от сървъра на управляваната конзола и извлича неговите управлявани устройства, подробности за потребителския акаунт и конфигурирани сигнали 3.12.3 Извикване на дома до общ централен SSH сървър Ако се свързвате към общ SSH сървър (не Lighthouse) можете да конфигурирате Разширени настройки: · Въведете SSH Server Port и SSH User. · Въведете подробностите за пренасочване(а) на SSH порт(ове), които да създадете
Като изберете Listening Server, можете да създадете отдалечен порт за пренасочване от сървъра към това устройство или локален порт за пренасочване от това устройство към сървъра:
68

Ръководство за потребителя
· Посочете порт за слушане, от който да пренасочвате, оставете това поле празно, за да разпределите неизползван порт · Въведете целевия сървър и целевия порт, който ще бъде получателят на препращаните връзки
3.13 IP преминаване
IP Passthrough се използва, за да накара модемна връзка (напр. вътрешния клетъчен модем) да изглежда като обикновена Ethernet връзка към рутер надолу по веригата на трета страна, което позволява на рутера надолу по веригата да използва модемната връзка като основен или резервен WAN интерфейс.
Устройството Opengear предоставя IP адреса на модема и подробности за DNS на устройството надолу по веригата през DHCP и предава мрежов трафик към и от модема и рутера.
Докато IP Passthrough превръща Opengear в полумост модем към Ethernet, някои услуги от слой 4 (HTTP/HTTPS/SSH) може да бъдат прекратени в Opengear (Service Intercepts). Освен това услугите, работещи на Opengear, могат да инициират изходящи клетъчни връзки независимо от рутера надолу по веригата.
Това позволява на Opengear да продължи да се използва за извънлентово управление и предупреждение, както и да се управлява чрез Lighthouse, докато е в режим IP Passthrough.
3.13.1 Настройка на рутер надолу по веригата За да използвате свързаност за преход при срив на рутера надолу по веригата (известен още като преход към клетъчна мрежа или F2C), той трябва да има два или повече WAN интерфейса.
ЗАБЕЛЕЖКА Преминаването на срив в контекста на IP Passthrough се извършва от рутера надолу по веригата и вградената логика за преодоляване на срив извън лентата на Opengear не е налична, докато е в режим на IP Passthrough.
Свържете Ethernet WAN интерфейс на рутера надолу по веригата към мрежовия интерфейс на Opengear или LAN порта за управление с Ethernet кабел.
Конфигурирайте този интерфейс на рутера надолу по веригата, за да получите неговите мрежови настройки чрез DHCP. Ако се изисква преход при срив, конфигурирайте рутера надолу по веригата за преход при срив между основния му интерфейс и Ethernet порта, свързан към Opengear.
3.13.2 Предварителна конфигурация на IP Passthrough Необходимите стъпки за активиране на IP Passthrough са:
1. Конфигурирайте мрежовия интерфейс и, където е приложимо, LAN интерфейсите за управление със статични мрежови настройки. · Щракнете върху Сериен и мрежа > IP. · За мрежов интерфейс и, където е приложимо, LAN за управление, изберете Статичен за Метод на конфигуриране и въведете мрежовите настройки (вижте раздела, озаглавен Мрежова конфигурация за подробни инструкции). · За интерфейса, свързан към рутера надолу по веригата, можете да изберете всяка специална частна мрежа, тази мрежа съществува само между Opengear и рутера надолу по веригата и обикновено не е достъпна. · За другия интерфейс го конфигурирайте както обикновено в локалната мрежа. · И за двата интерфейса оставете Gateway празно.
2. Конфигурирайте модема в режим Always On Out-of-band.
69

Глава 3: Сериен порт, устройство и потребителска конфигурация
· За клетъчна връзка щракнете върху Система > Набиране: Вътрешен клетъчен модем. · Изберете Разрешаване на изходящо набиране и въведете данни за оператора, като например APN (вижте раздела Клетъчен модем
Връзка за подробни инструкции). 3.13.3 Конфигуриране на IP Passthrough За да конфигурирате IP Passthrough:
· Щракнете върху Serial & Network > IP Passthrough и поставете отметка на Enable. · Изберете модема Opengear, който да използвате за свързаност нагоре. · По избор въведете MAC адреса на свързания интерфейс на рутера надолу по веригата. Ако MAC адресът е
не е посочено, Opengear ще премине към първото устройство надолу по веригата, поискало DHCP адрес. · Изберете Opengear Ethernet интерфейс, който да използвате за свързване към рутера надолу по веригата.
· Щракнете върху Приложи. 3.13.4 Прехващания на услуги Те позволяват на Opengear да продължи да предоставя услуги, напрample, за управление извън обхвата, когато сте в режим IP Passthrough. Връзките към адреса на модема на посочения порт(ове) за прихващане се обработват от Opengear, а не се предават към рутера надолу по веригата.
· За необходимата услуга на HTTP, HTTPS или SSH, поставете отметка на Enable · По желание променете Intercept Port на алтернативен порт (напр. 8443 за HTTPS), това е полезно, ако
искате да продължите, за да позволите на рутера надолу по веригата да остане достъпен през неговия обикновен порт. 3.13.5 Състояние на IP Passthrough Обновете страницата до view раздел Състояние. Той показва външния IP адрес на модема, през който преминава, вътрешния MAC адрес на рутера надолу по веригата (попълва се само когато рутерът надолу по веригата приеме DHCP лизинг) и общото състояние на работа на услугата за преминаване на IP. Може да бъдете предупредени за състоянието на преход при срив на рутера надолу по веригата, като конфигурирате Проверка на използването на маршрутизирани данни под Сигнали и регистриране > Автоматичен отговор. 3.13.6 Предупреждения Някои рутери надолу по веригата може да са несъвместими с маршрута на шлюза. Това може да се случи, когато IP Passthrough свързва 3G клетъчна мрежа, където адресът на шлюза е адрес на местоназначение от точка до точка и няма налична информация за подмрежата. Opengear изпраща DHCP мрежова маска от 255.255.255.255. Устройствата обикновено тълкуват това като единичен хост маршрут на интерфейса, но някои по-стари устройства надолу по веригата може да имат проблеми.
70

Ръководство за потребителя
Прехващанията за локални услуги няма да работят, ако Opengear използва маршрут по подразбиране, различен от модема. Освен това те няма да работят, освен ако услугата не е активирана и достъпът до услугата е разрешен (вижте Система > Услуги, в раздела Достъп до услугата намерете Dialout/Cellular).
Поддържат се изходящи връзки, произхождащи от Opengear към отдалечени услуги (напр. изпращане на SMTP имейл предупреждения, SNMP капани, получаване на NTP време, IPSec тунели). Има малък риск от повреда на връзката, ако и Opengear, и устройството надолу по веригата се опитат да осъществят достъп до един и същ UDP или TCP порт на един и същ отдалечен хост по едно и също време, когато произволно са избрали един и същ първоначален номер на локален порт.
3.14 Конфигуриране през DHCP (ZTP)
Устройствата Opengear могат да бъдат осигурени по време на първоначалното им зареждане от DHCPv4 или DHCPv6 сървър с помощта на config-over-DHCP. Обезпечаването на ненадеждни мрежи може да бъде улеснено чрез предоставяне на ключове на USB флаш устройство. ZTP функционалността може също да се използва за извършване на надстройка на фърмуера при първоначално свързване към мрежата или за записване в инстанция на Lighthouse 5.
Подготовка Типичните стъпки за конфигуриране през доверена мрежа са:
1. Конфигурирайте устройство Opengear от същия модел. 2. Запазете конфигурацията му като резервно копие на Opengear (.opg) file. 3. Изберете Система > Архивиране на конфигурацията > Отдалечено архивиране. 4. Щракнете върху Запазване на архива. Резервна конфигурация file — model-name_iso-format-date_config.opg — се изтегля от устройството Opengear в локалната система. Можете да запишете конфигурацията като xml file: 1. Изберете Система > Архивиране на конфигурация > XML конфигурация. Редактируемо поле, съдържащо
конфигурация file в XML формат се появява. 2. Щракнете върху полето, за да го направите активно. 3. Ако използвате който и да е браузър на Windows или Linux, щракнете с десния бутон и изберете Избери всички от
контекстно меню или натиснете Control-A. Щракнете с десния бутон и изберете Копиране от контекстното меню или натиснете Control-C. 4. Ако използвате който и да е браузър на macOS, изберете Edit > Select All или натиснете Command-A. Изберете Редактиране > Копиране или натиснете Command-C. 5. В предпочитания от вас текстов редактор създайте нов празен документ, поставете копираните данни в празния документ и запазете file. Каквото и да е file- име, което избирате, то трябва да включва .xml fileиме на суфикса. 6. Копирайте запазения .opg или .xml file към публична директория на a file сървър, обслужващ поне един от следните протоколи: HTTPS, HTTP, FTP или TFTP. (Може да се използва само HTTPS, ако връзката между file сървър и подлежащо на конфигуриране устройство Opengear пътува през ненадеждна мрежа.). 7. Конфигурирайте вашия DHCP сървър, за да включите опция „специфична за доставчика“ за устройства Opengear. (Това ще бъде направено по специфичен за DHCP сървър начин.) Конкретната опция за доставчика трябва да бъде зададена на низ, съдържащ URL на публикувания .opg или .xml file в горната стъпка. Опционният низ не трябва да надвишава 250 знака и трябва да завършва на .opg или .xml.
71

Глава 3: Сериен порт, устройство и потребителска конфигурация
8. Свържете ново устройство Opengear, или фабрично нулирано, или Config-Erased, към мрежата и подайте захранване. Може да отнеме до 5 минути, преди устройството да се рестартира.
Example конфигурация на ISC DHCP (dhcpd) сървър
Следното е ексample DHCP сървър конфигурационен фрагмент за обслужване на .opg конфигурационно изображение чрез ISC DHCP сървър, dhcpd:
опция интервал opengear код ширина 1 дължина ширина 1; опция opengear.config-url код 1 = текст; клас „opengear-config-over-dhcp-test“ {
съответства, ако опцията доставчик-клас-идентификатор ~~ “^Opengear/”; vendor-option-space opengear; опция opengear.config-url „https://example.com/opg/${class}.opg”; }
Тази настройка може да бъде модифицирана, за да се надстрои конфигурационното изображение с помощта на opengear.image-url опция и предоставяне на URI към изображението на фърмуера.
Настройка, когато LAN е ненадеждна Ако връзката между file сървър и подлежащо на конфигуриране устройство Opengear включва ненадеждна мрежа, подход с две ръце може да смекчи проблема.
ЗАБЕЛЕЖКА Този подход въвежда две физически стъпки, при които доверието може да бъде трудно, ако не и невъзможно, да се установи напълно. Първо, веригата за попечителство от създаването на носещото данни USB флаш устройство до неговото внедряване. Второ, ръцете, свързващи USB флаш устройството към устройството Opengear.
· Генериране на X.509 сертификат за устройството Opengear.
· Свържете сертификата и частния му ключ в един file с име client.pem.
· Копирайте client.pem на USB флаш устройство.
· Настройте HTTPS сървър, така че достъп до .opg или .xml file е ограничено до клиенти, които могат да предоставят клиентския сертификат X.509, генериран по-горе.
· Поставете копие на CA сертификата, който е подписал сертификата на HTTP сървъра — ca-bundle.crt — върху USB флаш устройството, носещо client.pem.
· Поставете USB флаш устройството в устройството Opengear, преди да свържете захранване или мрежа.
· Продължете процедурата от `Копирайте запазения .opg или .xml file към публична директория на a file сървър" по-горе, използвайки HTTPS протокола между клиента и сървъра.
Подгответе USB устройство и създайте X.509 сертификат и личен ключ
· Генерирайте CA сертификата, така че заявките за подписване на сертификати на клиента и сървъра (CSR) да могат да бъдат подписани.
# cp /etc/ssl/openssl.cnf. # mkdir -p прampleCA/нови сертификати # ехо 00 > прampleCA/сериен # ехо 00 > прampleCA/crlномер # докосване прampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Тази процедура генерира сертификат, наречен ExampleCA, но може да се използва всяко разрешено име на сертификат. Освен това тази процедура използва openssl ca. Ако вашата организация има защитен процес за генериране на CA за цялото предприятие, той трябва да се използва вместо това.
72

Ръководство за потребителя
· Генерирайте сертификата на сървъра.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -дни 365 -in server.csr -out server.crt
- ключfile ca.key -policy policy_anything -batch -notext
ЗАБЕЛЕЖКА Името на хоста или IP адресът трябва да бъде същият низ, използван при обслужването URL. В бившатаampпо-горе, името на хоста е demo.example.com.
· Генерирайте клиентския сертификат.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -дни 365 -in client.csr -out client.crt
- ключfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Форматирайте USB флаш устройство като един FAT32 том.
· Преместете client.pem и ca-bundle.crt files в главната директория на флаш устройството.
Отстраняване на грешки при ZTP проблеми Използвайте функцията за ZTP журнал за отстраняване на грешки при ZTP проблеми. Докато устройството се опитва да извърши ZTP операции, регистрационната информация се записва в /tmp/ztp.log на устройството.
Следното е ексample от дневника file от успешно изпълнение на ZTP.
# cat /tmp/ztp.log сряда, 13 декември, 22:22:17 UTC 2017 [5127 известие] odhcp6c.eth0: възстановяване на конфигурацията чрез DHCP сряда, 13 декември 22:22:17 UTC 2017 [5127 известие] odhcp6c.eth0: изчакване 10s за мрежа за уреждане на сряда, 13 декември 22:22:27 UTC 2017 [5127 известие] odhcp6c.eth0: NTP е пропуснат: няма сървър сряда, 13 декември 22:22:27 UTC 2017 [5127 информация] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' сряда, 13 декември 22:22:27 UTC 2017 [5127 информация] odhcp6c.eth0: vendorspec.2 (n/a) сряда 13 декември 22:22:27 UTC 2017 [5127 информация] odhcp6c.eth0: vendorspec.3 (n/a) сряда 13 декември 22:22:27 UTC 2017 [5127 информация] odhcp6c.eth0: vendorspec.4 (n/a) ) Сряда, 13 декември 22:22:27 UTC 2017 [5127 информация] odhcp6c.eth0: vendorspec.5 (n/a) Сряда, 13 декември 22:22:28 UTC 2017 [5127 информация] odhcp6c.eth0: vendorspec.6 (n /a) сряда, 13 декември, 22:22:28 UTC 2017 [5127 информация] odhcp6c.eth0: няма фърмуер за изтегляне (vendorspec.2) архивиране-url: опитвам http://[fd07:2218:1350:44::1]/tftpboot/config.sh … архивиране-url: принуждаване на конфигурационен режим на wan към DHCP архивиране-url: задаване на име на хост на acm7004-0013c601ce97 backup-url: успешно зареждане, сряда, 13 декември, 22:22:36 UTC 2017 [известие 5127] odhcp6c.eth0: успешно зареждане на конфигурацията, сряда, 13 декември 22:22:36 UTC 2017 [5127 информация] odhcp6c.eth0: няма конфигурация на фара (vendorspec.3/ 4/5/6) сряда, 13 декември 22:22:36 UTC 2017 [известие 5127] odhcp6c.eth0: осигуряването е завършено, без рестартиране
Грешките се записват в този дневник.
3.15 Записване в Lighthouse
Използвайте Записване в Lighthouse, за да регистрирате устройства Opengear в инстанция на Lighthouse, осигурявайки централизиран достъп до конзолни портове и позволявайки централно конфигуриране на устройствата Opengear.
Вижте ръководството за потребителя на Lighthouse за инструкции за регистриране на устройства Opengear в Lighthouse.
73

Глава 3: Сериен порт, устройство и потребителска конфигурация
3.16 Активирайте DHCPv4 Relay
DHCP релейна услуга препраща DHCP пакетите между клиенти и отдалечени DHCP сървъри. Услугата за DHCP препредаване може да бъде активирана на конзолен сървър на Opengear, така че да слуша за DHCP клиенти на определени долни интерфейси, да обгръща и препраща техните съобщения до DHCP сървъри, използвайки или нормално маршрутизиране, или да се излъчва директно към определени горни интерфейси. По този начин DHCP релейният агент получава DHCP съобщения и генерира ново DHCP съобщение, което да изпрати на друг интерфейс. В стъпките по-долу конзолните сървъри могат да се свързват с идентификатори на вериги, Ethernet или клетъчни модеми, използвайки услугата DHCPv4 Relay.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Инфраструктура – Локален DHCP сървър, ACM7004-5 за реле, всякакви други устройства за клиенти. Всяко устройство с LAN роля може да се използва като реле. В този бившample, 192.168.79.242 е адресът за препредадения интерфейс на клиента (както е дефинирано в конфигурацията на DHCP сървъра file по-горе) и 192.168.79.244 е горният интерфейсен адрес на релейната кутия, а enp112s0 е низходящият интерфейс на DHCP сървъра.
1 Инфраструктура – DHCPv4 Relay + DHCP опция 82 (circuit-id)
Стъпки на DHCP сървъра 1. Настройте локален DHCP v4 сървър, по-специално той трябва да съдържа запис „host“, както е показано по-долу за DHCP клиента: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; хост-идентификатор опция agent.circuit-id “relay1”; фиксиран адрес 192.168.79.242; } Забележка: редът „hardware ethernet“ е коментиран, така че DHCP сървърът ще използва настройката „circuit-id“, за да зададе адрес за съответния клиент. 2. Рестартирайте DHCP сървъра, за да презаредите променената му конфигурация file. pkill -HUP dhcpd
74

Ръководство за потребителя
3. Ръчно добавете хост маршрут към „препредадения“ интерфейс на клиента (интерфейсът зад DHCP релето, а не други интерфейси, които клиентът също може да има:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Това ще помогне за избягване на проблема с асиметричното маршрутизиране, когато клиентът и DHCP сървърът искат да имат достъп един до друг чрез препредадения интерфейс на клиента, когато клиентът има други интерфейси в същия подмрежа на DHCP адресния пул.
Забележка: Тази стъпка е задължителна, за да поддържате dhcp сървъра и клиента да имат достъп един до друг.
Стъпки на релейната кутия – ACM7004-5
1. Настройте WAN/eth0 в статичен или dhcp режим (не неконфигуриран режим). Ако е в статичен режим, той трябва да има IP адрес в групата адреси на DHCP сървъра.
2. Приложете тази конфигурация чрез CLI (където 192.168.79.1 е адрес на DHCP сървър)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Долният интерфейс на DHCP релето трябва да има статичен IP адрес в адресния пул на DHCP сървъра. В този бившample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Изчакайте малко, докато клиентът получи DHCP лизинг чрез релето.
Стъпки на клиента (CM7116-2-dac в този прample или всяка друга OG CS)
1. Включете LAN/eth1 на клиента към LAN/eth1 на релето 2. Конфигурирайте LAN на клиента за получаване на IP адрес чрез DHCP, както обикновено 3. След като clie

Документи / Ресурси

opengear ACM7000 Шлюз за отдалечен сайт [pdf] Ръководство за потребителя
ACM7000 Шлюз за отдалечен сайт, ACM7000, Шлюз за отдалечен сайт, Шлюз за сайт, Шлюз

Референции

Ръководство за потребителя

opengear ACM7000 Шлюз за отдалечен сайт

Информация за продукта

Инструкции за употреба на продукта

Често задавани въпроси

Това ръководство

Системна конфигурация

Конфигурация на сериен порт, хост, устройство и потребител

Документи / Ресурси

Референции

Оставете коментар

Отказ от отговор