Opengear ACM7000 Remote Site Gateway korisnički priručnik

Ovaj uređaj je u skladu sa dijelom 15 FCC pravila. Rad ovog uređaja podliježe sljedećim uvjetima: (1) Ovaj uređaj ne smije uzrokovati štetne smetnje i (2) ovaj uređaj mora prihvatiti sve smetnje koje mogu uzrokovati neželjeni rad.

FAQs

P: Mogu li koristiti ACM7000 Remote Site Gateway tokom oluje?
- A: Ne, savjetuje se da ne povezujete ili isključujete server konzole tokom oluje kako biste spriječili oštećenje.

P: S kojom verzijom FCC pravila je uređaj usklađen?
- A: Uređaj je u skladu sa dijelom 15 FCC pravila.

View Fullscreen

Uputstvo za upotrebu
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 konzolni serveri
Verzija 5.0 – 2023-12

Sigurnost
Slijedite dolje navedene sigurnosne mjere kada instalirate i koristite konzolni server: · Nemojte skidati metalne poklopce. Unutra nema komponenti koje može servisirati rukovalac. Otvaranje ili skidanje poklopca može vas izložiti opasnoj voltage što može uzrokovati požar ili strujni udar. Sve usluge uputite kvalifikovanom osoblju Opengeara. · Da biste izbjegli strujni udar, zaštitni vodič za uzemljenje kabela za napajanje mora biti spojen na masu. · Uvek vucite utikač, a ne kabl, kada izvlačite kabl za napajanje iz utičnice.
Nemojte povezivati ili isključivati server konzole tokom oluje. Također koristite supresor prenapona ili UPS za zaštitu opreme od prolaznih pojava.
FCC izjava upozorenja
Ovaj uređaj je u skladu sa dijelom 15 FCC pravila. Rad ovog uređaja podliježe sljedećem
uslovi: (1) Ovaj uređaj ne smije uzrokovati štetne smetnje i (2) ovaj uređaj mora prihvatiti sve smetnje koje mogu uzrokovati neželjeni rad.
Treba koristiti odgovarajuće rezervne sisteme i neophodne sigurnosne uređaje za zaštitu od povreda, smrti ili oštećenja imovine usled kvara sistema. Takva zaštita je odgovornost korisnika. Ovaj konzolni server nije odobren za upotrebu kao sistem za održavanje života ili medicinski sistem. Sve promjene ili modifikacije napravljene na ovom konzolnom serverskom uređaju bez izričitog odobrenja ili pristanka Opengeara poništavaju Opengear bilo kakvu odgovornost ili odgovornost za povrede ili gubitak uzrokovane bilo kojim kvarom. Ova oprema je za unutrašnju upotrebu i sva komunikacijska ožičenja su ograničena na unutrašnjost zgrade.
2

Uputstvo za upotrebu
Copyright
©Opengear Inc. 2023. Sva prava pridržana. Informacije u ovom dokumentu podložne su promjenama bez prethodne najave i ne predstavljaju obavezu Opengear-a. Opengear pruža ovaj dokument „onakav kakav jeste“, bez garancije bilo koje vrste, izražene ili implicirane, uključujući, ali ne ograničavajući se na, implicirane garancije o prikladnosti ili prodajnoj mogućnosti za određenu svrhu. Opengear može u bilo koje vrijeme napraviti poboljšanja i/ili izmjene u ovom priručniku ili u proizvodu(ima) i/ili programu(ima) opisanim u ovom priručniku. Ovaj proizvod može sadržavati tehničke netočnosti ili tipografske greške. Periodično se mijenjaju informacije ovdje; ove promjene mogu biti uključene u nova izdanja publikacije.\

Poglavlje 1

Ovaj priručnik

OVAJ PRIRUČNIK

Ovaj korisnički priručnik objašnjava instalaciju, rad i upravljanje Opengear konzolnim serverima. Ovaj priručnik pretpostavlja da ste upoznati s Internetom i IP mrežama, HTTP-om, FTP-om, osnovnim sigurnosnim operacijama i internom mrežom vaše organizacije.
1.1 Vrste korisnika
Konzolni server podržava dvije klase korisnika:
· Administratori koji imaju neograničene privilegije konfiguracije i upravljanja nad konzolom
server i povezane uređaje kao i sve usluge i portove za kontrolu svih serijski povezanih uređaja i uređaja povezanih na mrežu (hostove). Administratori su postavljeni kao članovi admin korisničke grupe. Administrator može pristupiti i kontrolirati poslužitelj konzole koristeći uslužni program za konfiguraciju, Linux komandnu liniju ili upravljačku konzolu zasnovanu na pretraživaču.
· Korisnici koje je postavio administrator sa ograničenjima njihovog pristupa i ovlaštenja kontrole.
Korisnici imaju ograničeno view upravljačke konzole i može pristupiti samo ovlaštenim konfiguriranim uređajima i review port logs. Ovi korisnici su postavljeni kao članovi jedne ili više unaprijed konfiguriranih korisničkih grupa kao što su PPTPD, dialin, FTP, pmshell, korisnici ili korisničke grupe koje je administrator možda kreirao. Oni su ovlašteni samo za obavljanje određenih kontrola na određenim povezanim uređajima. Korisnici, kada su ovlašteni, mogu pristupiti i kontrolirati serijske ili mrežno povezane uređaje koristeći određene usluge (npr. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Udaljeni korisnici su korisnici koji nisu na istom LAN segmentu kao konzolni server. Udaljeni korisnik može biti na putu povezujući se na upravljane uređaje preko javnog Interneta, administrator u drugoj kancelariji koji se povezuje na server konzole preko VPN-a preduzeća, ili u istoj prostoriji ili istoj kancelariji, ali povezan na zasebnom VLAN-u na konzolu server.
1.2 Upravljačka konzola
Opengear Management Console vam omogućava da konfigurišete i nadgledate karakteristike vašeg servera Opengear konzole. Upravljačka konzola radi u pretraživaču i pruža a view servera konzole i svih povezanih uređaja. Administratori mogu koristiti upravljačku konzolu za konfiguriranje i upravljanje poslužiteljem konzole, korisnicima, portovima, hostovima, uređajima za napajanje i povezanim zapisnicima i upozorenjima. Korisnici koji nisu administratori mogu koristiti upravljačku konzolu sa ograničenim pristupom izborniku za kontrolu odabranih uređaja, review njihovim zapisnicima i pristupite im pomoću ugrađenog Web terminal.
Konzolni server pokreće ugrađeni Linux operativni sistem i može se konfigurisati u komandnoj liniji. Možete dobiti pristup komandnoj liniji putem mobilnog / dial-in, direktnog povezivanja na serijski konzolni/modemski port konzolnog servera, ili korištenjem SSH ili Telneta za povezivanje na server konzole preko LAN-a (ili povezivanjem s PPTP, IPsec ili OpenVPN) .
6

Uputstvo za upotrebu
Za komande interfejsa komandne linije (CLI) i napredna uputstva, preuzmite Opengear CLI i Scripting Reference.pdf sa https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Više informacija
Za više informacija, konsultujte: · Opengear Products Web Sajt: Pogledajte https://opengear.com/products. Da biste dobili najnovije informacije o tome šta je uključeno u vaš server konzole, posjetite odjeljak Što je uključeno za vaš određeni proizvod. · Vodič za brzi početak: Da biste dobili vodič za brzi početak za svoj uređaj, pogledajte https://opengear.com/support/documentation/. · Opengear baza znanja: Posetite https://opengear.zendesk.com da biste pristupili tehničkim člancima sa uputstvima, tehničkim savetima, često postavljanim pitanjima i važnim obaveštenjima. · Opengear CLI i Referenca za skriptiranje: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Poglavlje 2:

Konfiguracija sistema

KONFIGURACIJA SISTEMA

Ovo poglavlje pruža upute korak po korak za početnu konfiguraciju vašeg poslužitelja konzole i povezivanje na upravljački ili operativni LAN. Koraci su:
Aktivirajte upravljačku konzolu. Promijenite lozinku administratora. Postavite glavni LAN port servera IP adrese konzole. Odaberite usluge koje želite omogućiti i privilegije pristupa. Ovo poglavlje također razmatra komunikacijske softverske alate koje administrator može koristiti za pristup poslužitelju konzole i konfiguraciju dodatnih LAN portova.
2.1 Povezivanje upravljačke konzole
Vaš server konzole dolazi konfigurisan sa podrazumevanom IP adresom 192.168.0.1 i maskom podmreže 255.255.255.0 za NET1 (WAN). Za početnu konfiguraciju, preporučujemo da povežete računar direktno na konzolu. Ako odlučite povezati svoj LAN prije nego što završite početne korake postavljanja, provjerite sljedeće:
· Nema drugih uređaja na LAN-u sa adresom 192.168.0.1. · Konzolni server i kompjuter su u istom LAN segmentu, bez umetnutog rutera
aparati.
2.1.1 Podešavanje povezanog računara Da biste konfigurisali server konzole sa pretraživačem, povezani računar treba da ima IP adresu u istom opsegu kao i server konzole (npr.ample, 192.168.0.100):
· Da konfigurišete IP adresu vašeg Linux ili Unix računara, pokrenite ifconfig. · Za Windows računare:
1. Kliknite na Start > Settings > Control Panel i dvaput kliknite na Network Connections. 2. Desni klik na Local Area Connection i izaberite Properties. 3. Odaberite Internet Protocol (TCP/IP) i kliknite na Svojstva. 4. Odaberite Koristi sljedeću IP adresu i unesite sljedeće detalje:
o IP adresa: 192.168.0.100 o Maska podmreže: 255.255.255.0 5. Ako želite zadržati postojeće IP postavke za ovu mrežnu vezu, kliknite Napredno i Dodaj gore navedeno kao sekundarnu IP vezu.
2.1.2 Veza sa pretraživačem
Otvorite pretraživač na povezanom računaru/radnoj stanici i unesite https://192.168.0.1.
Prijavite se sa:
Korisničko ime> root Lozinka> default
8

Uputstvo za upotrebu
Kada se prvi put prijavite, od vas se traži da promijenite root lozinku. Kliknite na Pošalji.
Da biste dovršili promjenu, ponovo unesite novu lozinku. Kliknite na Pošalji. Pojavljuje se ekran dobrodošlice.
Ako vaš sistem ima ćelijski modem, dobićete korake za konfigurisanje karakteristika mobilnog rutera: · Konfigurišite vezu mobilnog modema (stranica Sistem > Poziv. Pogledajte Poglavlje 4) · Dozvolite prosleđivanje na celularnu odredišnu mrežu (stranica Sistem > Zaštitni zid). Pogledajte Poglavlje 4) · Omogućite IP maskiranje za mobilnu vezu (System > Firewall stranica. Pogledajte Poglavlje 4)
Nakon dovršetka svakog od gornjih koraka, možete se vratiti na konfiguracijsku listu klikom na Opengear logo u gornjem lijevom kutu ekrana. NAPOMENA Ako se ne možete povezati na upravljačku konzolu na 192.168.0.1 ili ako je zadana
Korisničko ime/Lozinka se ne prihvataju, resetujte server konzole (pogledajte Poglavlje 10).
9

Poglavlje 2: Konfiguracija sistema
2.2 Postavljanje administratora
2.2.1 Promjena zadane lozinke root sistema Od vas se traži da promijenite root lozinku kada se prvi put prijavite na uređaj. Ovu lozinku možete promijeniti u bilo kojem trenutku.
1. Kliknite na Serial & Network > Users & Groups ili, na ekranu dobrodošlice, kliknite na Change default administrator password.
2. Pomaknite se prema dolje i pronađite unos root korisnika pod Korisnici i kliknite Uredi. 3. Unesite novu lozinku u polja Lozinka i Potvrdi.
NAPOMENA Provjera Sačuvaj lozinku u svim brisanjem firmvera čuva lozinku kako se ne bi izbrisala kada se firmver resetuje. Ako se ova lozinka izgubi, potrebno je obnoviti firmver uređaja.
4. Kliknite na Apply. Prijavite se s novom lozinkom 2.2.2 Postavite novog administratora Kreirajte novog korisnika s administrativnim privilegijama i prijavite se kao ovaj korisnik za funkcije administracije, umjesto da koristite root.
10

Uputstvo za upotrebu
1. Kliknite na Serial & Network > Users & Groups. Skrolujte do dna stranice i kliknite na dugme Dodaj korisnika.
2. Unesite korisničko ime. 3. U odeljku Grupe označite polje za administratore. 4. Unesite lozinku u polja Lozinka i Potvrdi.
5. Također možete dodati SSH autorizirane ključeve i odabrati da onemogućite autentifikaciju lozinkom za ovog korisnika.
6. Dodatne opcije za ovog korisnika mogu se postaviti na ovoj stranici uključujući opcije biranja, dostupne hostove, pristupačne portove i dostupne RPC izlaze.
7. Kliknite na dugme Primeni na dnu ekrana da kreirate ovog novog korisnika.
11

Poglavlje 2: Konfiguracija sistema
2.2.3 Dodajte naziv sistema, opis sistema i MOTD. 1. Odaberite Sistem > Administracija. 2. Unesite naziv sistema i opis sistema za poslužitelj konzole da mu date jedinstveni ID i olakšate identifikaciju. Naziv sistema može sadržavati od 1 do 64 alfanumerička znaka i posebne znakove podvlake (_), minus (-) i tačku (.). Opis sistema može sadržavati do 254 znaka.
3. MOTD baner se može koristiti za prikazivanje tekstualne poruke dana korisnicima. Pojavljuje se u gornjem lijevom dijelu ekrana ispod Opengear logotipa.
4. Kliknite na Apply.
12

Poglavlje 2: Konfiguracija sistema
5. Odaberite Sistem > Administracija. 6. MOTD Baner se može koristiti za prikazivanje teksta poruke dana korisnicima. Pojavljuje se na
u gornjem lijevom dijelu ekrana ispod Opengear logotipa. 7. Kliknite na Apply.
2.3 Konfiguracija mreže
Unesite IP adresu za glavni Ethernet (LAN/Network/Network1) port na poslužitelju konzole ili omogućite njegovom DHCP klijentu da automatski dobije IP adresu od DHCP poslužitelja. Podrazumevano, server konzole ima omogućen DHCP klijent i automatski prihvata bilo koju mrežnu IP adresu koju je dodelio DHCP server na vašoj mreži. U ovom početnom stanju, server konzole će odgovoriti i na svoju zadanu statičku adresu 192.168.0.1 i na svoju DHCP adresu.
1. Kliknite na System > IP i kliknite na karticu Network Interface. 2. Odaberite ili DHCP ili Static za metod konfiguracije.
Ako odaberete Static, unesite IP adresu, Subnet Mask, Gateway i detalje DNS servera. Ovaj izbor onemogućava DHCP klijenta.
12

Uputstvo za upotrebu
3. LAN port poslužitelja konzole automatski detektuje brzinu Ethernet veze. Koristite padajuću listu Mediji da zaključate Ethernet na 10 Mb/s ili 100 Mb/s i na Full Duplex ili Half Duplex.
Ako naiđete na gubitak paketa ili loše performanse mreže s postavkom Auto, promijenite postavke Ethernet medija na poslužitelju konzole i uređaju na koji je povezan. U većini slučajeva promijenite oba na 100baseTx-FD (100 megabita, puni dupleks).
4. Ako odaberete DHCP, poslužitelj konzole će tražiti detalje o konfiguraciji od DHCP servera. Ovaj odabir onemogućuje bilo koju statičku adresu. MAC adresa servera konzole se može naći na naljepnici na osnovnoj ploči.
5. Možete uneti sekundarnu adresu ili listu adresa odvojenih zarezima u CIDR notaciji, npr. 192.168.1.1/24 kao IP Alias.
6. Kliknite na Apply 7. Ponovo povežite pretraživač na računaru koji je povezan sa serverom konzole unosom
http://your new IP address.
Ako promijenite IP adresu poslužitelja konzole, trebate ponovo konfigurirati vaš računar da ima IP adresu u istom mrežnom rasponu kao i nova adresa servera konzole. Možete postaviti MTU na Ethernet interfejsima. Ovo je napredna opcija koja se koristi ako vaš scenarij implementacije ne radi sa zadanim MTU-om od 1500 bajtova. Da biste postavili MTU, kliknite na System > IP i kliknite na karticu Network Interface. Pomaknite se prema dolje do polja MTU i unesite željenu vrijednost. Važeće vrijednosti su od 1280 do 1500 za 100-megabitna sučelja i 1280 do 9100 za gigabitna sučelja Ako je konfigurisano premošćavanje ili povezivanje, MTU postavljen na stranici Mrežno sučelje bit će postavljen na interfejsima koji su dio mosta ili veze . NAPOMENA U nekim slučajevima MTU koji je odredio korisnik možda neće stupiti na snagu. Neki upravljački programi za NIC mogu zaokružiti prevelike MTU-ove na maksimalnu dozvoljenu vrijednost, a drugi će vratiti kod greške. Također možete koristiti CLI naredbu za upravljanje MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 provjera
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6. .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Poglavlje 2: Konfiguracija sistema
2.3.1 IPv6 konfiguracija Ethernet sučelja poslužitelja konzole podržavaju IPv4 prema zadanim postavkama. Mogu se konfigurirati za IPv6 rad:
1. Kliknite Sistem > IP. Kliknite na karticu Opšte postavke i označite Omogući IPv6. Ako želite, kliknite na potvrdni okvir Onemogući IPv6 za celularnu mrežu.
2. Konfigurirajte IPv6 parametre na svakoj stranici sučelja. IPv6 se može konfigurirati za automatski način rada, koji će koristiti SLAAC ili DHCPv6 za konfiguriranje adresa, ruta i DNS-a, ili za statički način, koji omogućava ručno unošenje informacija o adresi.
2.3.2 Konfiguracija dinamičkog DNS-a (DDNS) Sa dinamičkim DNS-om (DDNS), server konzole čija je IP adresa dinamički dodijeljena može se locirati pomoću fiksnog imena hosta ili domene. Kreirajte nalog kod podržanog DDNS provajdera po svom izboru. Kada postavite svoj DDNS nalog, birate korisničko ime, lozinku i ime hosta koje ćete koristiti kao DNS ime. Provajderi DDNS usluga vam dozvoljavaju da odaberete ime hosta URL i postavite početnu IP adresu koja odgovara tom imenu hosta URL.
14

Uputstvo za upotrebu
Da biste omogućili i konfigurirali DDNS na bilo kojoj od Ethernet ili ćelijske mrežne veze na poslužitelju konzole. 1. Kliknite Sistem > IP i skrolujte nadole odeljak Dinamički DNS. Odaberite svog DDNS provajdera
sa padajuće liste Dynamic DNS. DDNS informacije možete postaviti i na kartici Cellular Modem pod System > Dial.
2. U DDNS Hostname, unesite potpuno kvalificirano DNS ime hosta za vaš poslužitelj konzole, npr. yourhostname.dyndns.org.
3. Unesite DDNS korisničko ime i DDNS lozinku za nalog provajdera DDNS usluga. 4. Odredite maksimalni interval između ažuriranja u danima. DDNS ažuriranje će se poslati čak i ako
adresa nije promijenjena. 5. Odredite minimalni interval između provjera promijenjenih adresa u sekundama. Ažuriranja će
biti poslat ako se adresa promijenila. 6. Navedite maksimalni broj pokušaja po ažuriranju, što je broj pokušaja ažuriranja
prije odustajanja. Ovo je standardno 3. 7. Kliknite na Apply.
15

Poglavlje 2: Konfiguracija sistema
2.3.3 EAPoL način rada za WAN, LAN i OOBFO
(OOBFO je primjenjiv samo na IM7216-2-24E-DAC)
Gotovoview EAPoL IEEE 802.1X, ili PNAC (Port-based Network Access Control) koristi karakteristike fizičkog pristupa IEEE 802 LAN infrastrukture kako bi obezbijedio sredstva za autentifikaciju i autorizaciju uređaja priključenih na LAN port koji ima point-to- karakteristike tačke veze i sprečavanje pristupa tom portu u slučajevima kada autentifikacija i autorizacija ne uspe. Port je u ovom kontekstu jedna tačka vezanja za LAN infrastrukturu.
Kada novi bežični ili žičani čvor (WN) zatraži pristup LAN resursu, pristupna tačka (AP) traži identitet WN-a. Nije dozvoljen nikakav drugi promet osim EAP-a prije autentifikacije WN-a („port“ je zatvoren ili „neautentifikovan“). Bežični čvor koji traži autentifikaciju često se naziva Supplicant, podnositelj zahtjeva je odgovoran za odgovor na podatke Authenticator-a koji će uspostaviti njegove vjerodajnice. Isto važi i za pristupnu tačku; Authenticator nije pristupna tačka. Umjesto toga, pristupna tačka sadrži Authenticator. Authenticator ne mora biti u pristupnoj tački; može biti eksterna komponenta. Implementiraju se sljedeće metode autentifikacije:
· EAP-MD5 molitelj o EAP MD5-Challenge metoda koristi jednostavno korisničko ime/lozinku
· EAP-PEAP-MD5 o EAP PEAP (Zaštićeni EAP) MD5 metoda provjere autentičnosti koristi korisničke vjerodajnice i CA certifikat
· EAP-TLS o EAP TLS (Transport Layer Security) metoda provjere autentičnosti zahtijeva CA certifikat, klijentski certifikat i privatni ključ.
EAP protokol, koji se koristi za autentifikaciju, prvobitno je korišten za PPP putem dial-up. Identitet je bilo korisničko ime, a za provjeru korisničke lozinke korištena je ili PAP ili CHAP autentifikacija. Kako se identitet šalje jasno (ne šifriran), zlonamjerni njuškač može saznati identitet korisnika. Stoga se koristi “skrivanje identiteta”; pravi identitet se ne šalje prije nego što se pokrene šifrirani TLS tunel.
16

Uputstvo za upotrebu
Nakon što je identitet poslan, počinje proces autentifikacije. Protokol koji se koristi između podnosioca zahtjeva i autentifikatora je EAP (ili EAPoL). Authenticator ponovo enkapsulira EAP poruke u RADIUS format i prosljeđuje ih serveru za autentifikaciju. Tokom provjere autentičnosti, Autentifikator prenosi pakete između Molitelja i Autentifikacijskog servera. Kada se proces provjere autentičnosti završi, Authentication Server šalje poruku o uspjehu (ili neuspjehu, ako autentifikacija nije uspjela). Autentifikator tada otvara “port” za molioca. Postavkama autentikacije se može pristupiti sa stranice Postavke EAPoL suplicanta. Status trenutnog EAPoL-a je detaljno prikazan na stranici Status Statistics na kartici EAPoL:
Apstrakcija EAPoL-a na mrežnim ULOGama prikazana je u odeljku „Upravitelj veze“ na interfejsu Dashboard.
17

Poglavlje 2: Konfiguracija sistema
Dolje je prikazan bivšiampbroj uspješne autentifikacije:
Podrška IEEE 802.1x (EAPOL) na portovima komutatora IM7216-2-24E-DAC i ACM7004-5: Kako bi izbjegli petlje, korisnici ne bi trebali priključiti više od jednog porta komutatora na isti prekidač višeg nivoa.
18

Uputstvo za upotrebu
2.4 Pristup servisu i zaštita od grube sile
Administrator može pristupiti serveru konzole i povezanim serijskim portovima i upravljanim uređajima koristeći niz pristupnih protokola/usluga. Za svaki pristup
· Usluga prvo mora biti konfigurirana i omogućena da radi na poslužitelju konzole. · Pristup preko zaštitnog zida mora biti omogućen za svaku mrežnu vezu. Da biste omogućili i konfigurisali uslugu: 1. Kliknite na Sistem > Usluge i kliknite na karticu Postavke usluge.

2. Omogućite i konfigurirajte osnovne usluge:

HTTP

Podrazumevano, HTTP usluga je pokrenuta i ne može se u potpunosti onemogućiti. Podrazumevano, HTTP pristup je onemogućen na svim interfejsima. Preporučujemo da ovaj pristup ostane onemogućen ako se serveru konzole pristupa daljinski preko Interneta.
Alternativni HTTP vam omogućava da konfigurirate alternativni HTTP port za slušanje. HTTP usluga će nastaviti da sluša na TCP portu 80 za CMS i komunikaciju konektora, ali će biti nedostupna kroz zaštitni zid.

HTTPS

Podrazumevano, HTTPS usluga je pokrenuta i omogućena na svim mrežnim interfejsima. Preporučuje se da se koristi samo HTTPS pristup ako se serverom konzole treba upravljati preko bilo koje javne mreže. Ovo osigurava da administratori imaju siguran pristup pretraživaču svim menijima na serveru konzole. Takođe omogućava prikladno konfigurisanim korisnicima siguran pristup pretraživaču odabranim menijima upravljanja.
HTTPS usluga se može onemogućiti ili ponovo omogućiti provjerom HTTPS-a Web Navedeno je upravljanje i alternativni port (podrazumevani port je 443).

Telnet

Podrazumevano je Telnet usluga pokrenuta, ali onemogućena na svim mrežnim interfejsima.
Telnet se može koristiti za davanje administratorskog pristupa ljusci sistemske komandne linije. Ova usluga može biti korisna za lokalnog administratora i pristup korisnika odabranim serijskim konzolama. Preporučujemo da onemogućite ovu uslugu ako se serverom konzole upravlja daljinski.
Polje za potvrdu Omogući Telnet komandnu ljusku će omogućiti ili onemogućiti Telnet uslugu. Alternativni Telnet port za slušanje može se navesti u Alternate Telnet Port (podrazumevani port je 23).

Poglavlje 2: Konfiguracija sistema

SSH

Ova usluga pruža siguran SSH pristup serveru konzole i priključenim uređajima

i po defaultu je SSH servis pokrenut i omogućen na svim interfejsima. TO JE

preporučujemo da odaberete SSH kao protokol na koji se administrator povezuje

server konzole preko Interneta ili bilo koje druge javne mreže. Ovo će obezbediti

provjerene komunikacije između SSH klijentskog programa na daljinskom upravljaču

računar i SSH server na serveru konzole. Za više informacija o SSH-u

konfiguracija Pogledajte Poglavlje 8 – Autentifikacija.

Polje za potvrdu Omogući SSH komandnu ljusku će omogućiti ili onemogućiti ovu uslugu. Alternativni SSH port za slušanje može se navesti u portu SSH komandne ljuske (podrazumevani port je 22).

3. Omogućite i konfigurirajte druge usluge:

TFTP/FTP Ako je USB fleš kartica ili interni fleš otkriven na serveru konzole, čekiranje Omogući TFTP (FTP) uslugu omogućava ovu uslugu i postavlja podrazumevani tftp i ftp server na USB flešu. Ovi serveri se koriste za pohranjivanje konfiguracija files, održavati evidenciju pristupa i transakcija itd. FilePreneseni putem tftp-a i ftp će biti pohranjeni pod /var/mnt/storage.usb/tftpboot/ (ili /var/mnt/storage.nvlog/tftpboot/ na uređajima serije ACM7000). Opoziv opcije Omogući TFTP (FTP) uslugu će onemogućiti TFTP (FTP) uslugu.

Provera DNS releja Omogući DNS server/relej omogućava funkciju DNS releja tako da se klijenti mogu konfigurisati sa IP serverom konzole za postavku DNS servera, a server konzole će proslediti DNS upite pravom DNS serveru.

Web Omogući provjeru terminala Web Terminal dozvoljava web pristup pretraživaču ljusci sistemske komandne linije preko Upravljanje > Terminal.

4. Navedite alternativne brojeve portova za Raw TCP, direktni Telnet/SSH i Telnet/SSH usluge bez autentifikacije. Konzolni server koristi specifične opsege za TCP/IP portove za različite pristupe
usluge koje korisnici mogu koristiti za pristup uređajima spojenim na serijske portove (kao što je pokriveno u poglavlju 3 Konfiguracija serijskih portova). Administrator može postaviti alternativne opsege za ove usluge i ovi sekundarni portovi će se koristiti kao dodatak zadanim.

Podrazumevana TCP/IP adresa baznog porta za pristup Telnetu je 2000, a opseg za Telnet je IP adresa: Port (2000 + serijski port #) tj. 2001 2048. Ako bi administrator postavio 8000 kao sekundarnu bazu za Telnet, serijski portu #2 na serveru konzole može se pristupiti Telnetom na IP
Adresa:2002 i na IP adresi:8002. Podrazumevana baza za SSH je 3000; za sirovi TCP je 4000; a za RFC2217 je 5000

5. Druge usluge se mogu omogućiti i konfigurirati iz ovog menija odabirom Kliknite ovdje za konfiguraciju:

Nagios Pristup Nagios NRPE demonima za praćenje

NUT

Pristup NUT UPS monitoring demonu

SNMP Omogućava snmp na serveru konzole. SNMP je po defaultu onemogućen

NTP

6. Kliknite na Apply. Pojavljuje se poruka potvrde: Poruka Promjene konfiguracije su uspjele

Postavke pristupa uslugama mogu se podesiti tako da dozvoljavaju ili blokiraju pristup. Ovo specificira koje omogućene usluge administratori mogu koristiti preko svakog mrežnog interfejsa za povezivanje sa serverom konzole i preko konzolnog servera na priključene serijske i mrežno povezane uređaje.

Uputstvo za upotrebu
1. Odaberite karticu Pristup servisu na stranici Sistem > Usluge.
2. Ovo prikazuje omogućene usluge za mrežna sučelja poslužitelja konzole. Ovisno o konkretnom modelu konzolnog servera prikazani sučelji mogu uključivati: · Mrežni interfejs (za glavnu Ethernet vezu) · Upravljački LAN / OOB Failover (druge Ethernet veze) · Dialout / Cellular (V90 i 3G modem) · Dial-in (interni ili vanjski V90 modem) · VPN (IPsec ili Open VPN veza preko bilo kojeg mrežnog sučelja)
3. Označite/uklonite oznaku za svaku mrežu kojoj pristup servisu treba omogućiti/onemogućiti. Odgovor na ICMP odjekuje (tj. ping) opcije pristupa uslugama koje se mogu konfigurirati na ovom stage. Ovo omogućava poslužitelju konzole da odgovori na dolazne ICMP eho zahtjeve. Ping je podrazumevano omogućen. Za povećanu sigurnost, trebali biste onemogućiti ovu uslugu kada završite početnu konfiguraciju. Možete dozvoliti pristup uređajima serijskog porta sa nominiranih mrežnih sučelja koristeći Raw TCP, direktni Telnet/SSH, neautorizirane Telnet/SSH usluge, itd.
4. Kliknite na Apply Web Postavke upravljanja Polje za potvrdu Omogući HSTS omogućava strogu HTTP strogu sigurnost transporta. HSTS način znači da zaglavlje StrictTransport-Security treba biti poslano preko HTTPS transporta. A compliant web pretraživač pamti ovo zaglavlje i kada se od njega zatraži da kontaktira isti host preko HTTP-a (običnog) automatski će se prebaciti na
19

Poglavlje 2: Konfiguracija sistema
HTTPS prije pokušaja HTTP-a, pod uslovom da je pretraživač jednom pristupio sigurnoj stranici i vidio STS zaglavlje.
Zaštita grubom silom Zaštita grubom silom (Micro Fail2ban) privremeno blokira izvorne IP adrese koje pokazuju zlonamjerne znakove, kao što je previše pogrešaka lozinke. Ovo može pomoći kada su mrežne usluge uređaja izložene nepouzdanoj mreži kao što je javni WAN i skriptirani napadi ili softverski crvi pokušavaju da pogode (brute sile) korisničke vjerodajnice i dobiju neovlašteni pristup.

Zaštita grubom silom može biti omogućena za navedene usluge. Prema zadanim postavkama, kada je zaštita omogućena, 3 ili više neuspjelih pokušaja povezivanja unutar 60 sekundi od određenog izvornog IP-a dovode do zabrane povezivanja na vremenski period koji se može konfigurirati. Ograničenje pokušaja i vremensko ograničenje zabrane mogu se prilagoditi. Aktivne zabrane su također navedene i mogu se osvježiti ponovnim učitavanjem stranice.

NAPOMENA

Kada radite na nepouzdanoj mreži, razmislite o korištenju različitih strategija koje se koriste za zaključavanje udaljenog pristupa. Ovo uključuje SSH provjeru autentičnosti javnog ključa, VPN i pravila zaštitnog zida za
dozvoljeni daljinski pristup samo sa pouzdanih izvornih mreža. Za detalje pogledajte Opengear bazu znanja.

2.5 Komunikacijski softver
Konfigurirali ste pristupne protokole za klijenta administratora koje će koristiti prilikom povezivanja na poslužitelj konzole. Korisnički klijenti također koriste ove protokole kada pristupaju serijski spojenim uređajima konzolnog poslužitelja i mrežnim hostovima. Potrebni su vam komunikacijski softverski alati postavljeni na računaru administratora i klijenta korisnika. Za povezivanje možete koristiti alate kao što su PuTTY i SSHTerm.

Uputstvo za upotrebu
Komercijalno dostupni konektori spajaju pouzdani protokol SSH tuneliranja s popularnim alatima za pristup kao što su Telnet, SSH, HTTP, HTTPS, VNC, RDP kako bi pružili siguran daljinski pristup ukaži i klikni svim sistemima i uređajima kojima se upravlja. Informacije o korišćenju konektora za pristup pretraživaču upravljačkoj konzoli servera konzole, Telnet/SSH pristupu komandnoj liniji servera konzole i TCP/UDP povezivanju sa hostovima koji su mrežno povezani sa serverom konzole mogu se naći u Poglavlju 5. Konektori mogu biti instaliran na Windows računarima, Mac OS X i na većini Linux, UNIX i Solaris sistema.
2.6 Upravljanje mrežnom konfiguracijom
Konzolni serveri imaju dodatne mrežne portove koji se mogu konfigurisati da obezbede pristup LAN-u za upravljanje i/ili prelazak na grešku ili pristup van opsega. 2.6.1 Omogućavanje LAN konzole za upravljanje Serveri se mogu konfigurirati tako da drugi Ethernet port pruža upravljački LAN gateway. Gateway ima zaštitni zid, ruter i karakteristike DHCP servera. Potrebno je da povežete eksterni LAN prekidač na mrežu 2 da povežete hostove na ovaj LAN za upravljanje:
NAPOMENA Drugi Ethernet port se može konfigurisati ili kao port za upravljanje LAN gateway-om ili kao OOB/failover port. Uvjerite se da niste dodijelili NET2 kao Failover Interface kada ste konfigurirali glavnu mrežnu vezu na System > IP izborniku.
21

Poglavlje 2: Konfiguracija sistema
Da biste konfigurisali upravljački LAN gateway: 1. Odaberite karticu Management LAN Interface na System > IP meniju i poništite opciju Disable. 2. Konfigurirajte IP adresu i podmrežnu masku za LAN za upravljanje. Ostavite DNS polja prazna. 3. Kliknite na Apply.
Funkcija gateway-a za upravljanje je omogućena sa konfiguriranim zadanim pravilima zaštitnog zida i rutera tako da je LAN za upravljanje dostupan samo putem prosljeđivanja SSH portova. Ovo osigurava da su udaljene i lokalne veze s upravljanim uređajima na LAN-u za upravljanje sigurne. LAN portovi se također mogu konfigurirati u premošćenom ili povezanom načinu ili ručno konfigurirati iz komandne linije. 2.6.2 Konfigurisanje DHCP servera DHCP server omogućava automatsku distribuciju IP adresa uređajima na LAN-u za upravljanje koji pokreću DHCP klijente. Da biste omogućili DHCP server:
1. Kliknite Sistem > DHCP server. 2. Na kartici Mrežni interfejs, označite Omogući DHCP server.
22

Uputstvo za upotrebu
3. Unesite adresu mrežnog prolaza koja će se izdati DHCP klijentima. Ako je ovo polje prazno, koristi se IP adresa servera konzole.
4. Unesite primarni DNS i sekundarni DNS adresu za izdavanje DHCP klijenata. Ako je ovo polje prazno, koristi se IP adresa servera konzole.
5. Opciono unesite sufiks imena domene za izdavanje DHCP klijenata. 6. Unesite zadano vrijeme zakupa i maksimalno vrijeme zakupa u sekundama. Ovo je količina vremena
da je dinamički dodijeljena IP adresa važeća prije nego što je klijent mora ponovo zatražiti. 7. Kliknite na Primijeni DHCP server izdaje IP adrese iz navedenih skupova adresa: 1. Kliknite na Dodaj u polju Dinamička spremišta za dodjelu adresa. 2. Unesite početnu i krajnju adresu DHCP grupe. 3. Kliknite na Apply.
23

Poglavlje 2: Konfiguracija sistema
DHCP server takođe podržava prethodno dodeljivanje IP adresa koje će se dodeliti određenim MAC adresama i rezervisanje IP adresa koje će koristiti povezani hostovi sa fiksnim IP adresama. Da rezervišete IP adresu za određeni host:
1. Kliknite na Dodaj u polju Rezervirane adrese. 2. Unesite ime hosta, hardversku adresu (MAC) i statički rezerviranu IP adresu za
DHCP klijenta i kliknite na Primijeni.
Kada je DHCP dodijelio adrese hostova, preporučuje se da ih kopirate u unaprijed dodijeljenu listu kako bi se ista IP adresa ponovno dodijelila u slučaju ponovnog pokretanja.
24

Uputstvo za upotrebu
2.6.3 Odaberite Failover ili širokopojasni OOB Konzolni serveri pružaju opciju nadilaženja greške tako da se u slučaju problema pri korištenju glavne LAN veze za pristup poslužitelju konzole koristi alternativna pristupna staza. Da biste omogućili prelazak na grešku:
1. Odaberite stranicu Network Interface na System > IP meniju 2. Odaberite Failover Interface koji će se koristiti u slučaju outage na glavnoj mreži.
3. Kliknite na Apply. Failover postaje aktivan nakon što navedete eksterne lokacije koje treba ispitati kako bi pokrenule prelazak na grešku i postavite portove za nadilaženje greške.
2.6.4 Objedinjavanje mrežnih portova Podrazumevano, mrežnim portovima za upravljanje LAN servera konzole može se pristupiti korišćenjem SSH tuneliranja /prosleđivanja portova ili uspostavljanjem IPsec VPN tunela do servera konzole. Svi žičani mrežni portovi na serverima konzole mogu se agregirati tako što će biti premošteni ili povezani.
25

Uputstvo za upotrebu
· Podrazumevano, agregacija interfejsa je onemogućena u meniju System > IP > General Settings · Izaberite Bridge Interfaces ili Bond Interfaces
o Kada je premošćavanje omogućeno, mrežni promet se prosljeđuje preko svih Ethernet portova bez ograničenja zaštitnog zida. Svi Ethernet portovi su transparentno povezani na sloju veze podataka (sloj 2) tako da zadržavaju svoje jedinstvene MAC adrese
o Sa povezivanjem, mrežni saobraćaj se prenosi između portova, ali je prisutan sa jednom MAC adresom
Oba načina uklanjaju sve funkcije LAN sučelja za upravljanje i sučelja izvan opsega/failovera i onemogućuju DHCP server · U agregacijskom načinu svi Ethernet portovi su zajednički konfigurisani pomoću menija Mrežnog sučelja
25

Poglavlje 2: Konfiguracija sistema
2.6.5 Statičke rute Statičke rute pružaju vrlo brz način za usmjeravanje podataka iz jedne podmreže u drugu podmrežu. Možete čvrsto kodirati putanju koja govori serveru/ruteru konzole da dođe do određene podmreže koristeći određenu putanju. Ovo može biti korisno za pristup različitim podmrežama na udaljenom mjestu kada se koristi OOB veza za celularnu mrežu.

Da biste dodali statičku rutu u tabelu ruta sistema:
1. Odaberite karticu Postavke rute u meniju Sistem > Opšte postavke IP-a.
2. Kliknite Nova ruta
3. Unesite naziv rute za rutu.
4. U polje Odredišna mreža/Host unesite IP adresu odredišne mreže/host-a kojem ruta omogućava pristup.
5. Unesite vrijednost u polje Odredišna mrežna maska koja identificira odredišnu mrežu ili host. Bilo koji broj između 0 i 32. Podmrežna maska od 32 identifikuje rutu domaćina.
6. Unesite Route Gateway sa IP adresom rutera koji će usmjeravati pakete na odredišnu mrežu. Ovo može ostati prazno.
7. Odaberite Interfejs koji ćete koristiti za postizanje odredišta, može se ostaviti kao Ništa.
8. Unesite vrijednost u polje Metrik koja predstavlja metriku ove veze. Koristite bilo koji broj jednak ili veći od 0. Ovo se mora postaviti samo ako se dvije ili više ruta sukobljavaju ili imaju preklapajuće ciljeve.
9. Kliknite na Apply.

NAPOMENA

Stranica s detaljima rute pruža popis mrežnih sučelja i modema na koje se ruta može vezati. U slučaju modema, ruta će biti povezana sa bilo kojom dialup sesijom uspostavljenom preko tog uređaja. Ruta se može specificirati sa gateway-om, interfejsom ili oboje. Ako navedeno sučelje nije aktivno, rute konfigurirane za to sučelje neće biti aktivne.

Korisnički priručnik 3. SERIJSKI PORT, HOST, UREĐAJ I KORISNIČKA KONFIGURACIJA
Konzolni server omogućava pristup i kontrolu serijski spojenih uređaja i mrežnih uređaja (hostova). Administrator mora konfigurirati privilegije pristupa za svaki od ovih uređaja i specificirati usluge koje se mogu koristiti za kontrolu uređaja. Administrator također može postaviti nove korisnike i odrediti individualne privilegije pristupa i kontrole svakog korisnika.
Ovo poglavlje pokriva svaki od koraka u konfiguraciji mrežno povezanih i serijski spojenih uređaja: · Serijski portovi postavljaju protokole koji koriste serijski povezane uređaje · Korisnici i grupe postavljaju korisnike i definiraju pristupne dozvole za svakog od ovih korisnika · Autentifikaciju ovo je pokriveno u više detaljnije u poglavlju 8 · Mrežni domaćini koji konfigurišu pristup računarima ili uređajima (hostovima) povezanim na lokalnu mrežu · Konfigurisanje pouzdanih mreža – nominujte IP adrese kojima pouzdani korisnici pristupaju sa · Kaskadno i preusmjeravanje portova serijskih konzola · Povezivanje na napajanje (UPS, PDU i IPMI) i uređaji za praćenje okoline (EMD) · Preusmjeravanje serijskog porta pomoću prozora PortShare i Linux klijenata · Upravljani uređaji – predstavlja konsolidovanu view svih veza · IPSec omogućava VPN vezu · OpenVPN · PPTP
3.1 Konfiguracija serijskih portova
Prvi korak u konfiguraciji serijskog porta je postavljanje zajedničkih postavki kao što su protokoli i RS232 parametri koji će se koristiti za podatkovnu vezu s tim portom (npr. brzina prijenosa). Odaberite u kojem modu će port raditi. Svaki port se može podesiti da podržava jedan od ovih načina rada:
· Disabled mode je podrazumevani, serijski port je neaktivan
27

Poglavlje 3:

Serijski port, host, uređaj i konfiguracija korisnika

· Režim konzolnog servera omogućava opšti pristup serijskom konzolnom portu na serijski priključenim uređajima
· Način rada uređaja postavlja serijski port za komunikaciju s inteligentnim serijski kontroliranim PDU-om, UPS-om ili uređajima za praćenje okoliša (EMD)
· Režim terminalskog servera postavlja serijski port tako da čeka dolaznu sesiju prijavljivanja na terminal · Režim serijskog mosta omogućava transparentno međusobno povezivanje dva uređaja serijskog porta preko
mreže.
1. Odaberite Serial & Network > Serial Port za prikaz detalja o serijskom portu. 2. Podrazumevano, svaki serijski port je postavljen u režimu konzole servera. Kliknite Uredi pored porta koji želite
rekonfigurisano. Ili kliknite Uredi više portova i odaberite portove koje želite konfigurirati kao grupu. 3. Kada ste ponovo konfigurisali uobičajena podešavanja i način rada za svaki port, podesite bilo koji udaljeni sistemski dnevnik (pogledajte sledeće odeljke za specifične informacije). Kliknite Apply 4. Ako je konzolni server konfigurisan sa omogućenim distribuiranim Nagios nadzorom, koristite opcije Nagios Settings da omogućite imenovane usluge na Host-u za nadgledanje 3.1.1 Zajedničke postavke Postoji niz uobičajenih postavki koje se mogu postaviti za svaki serijski luka. One su neovisne o načinu u kojem se port koristi. Ovi parametri serijskog porta moraju biti postavljeni tako da odgovaraju parametrima serijskog porta na uređaju koji priključite na taj port:
28

Uputstvo za upotrebu

· Unesite oznaku za port · Odaberite odgovarajuću brzinu prijenosa, paritet, bitove podataka, stop bitove i kontrolu toka za svaki port

· Postavite Pinout porta. Ova stavka menija se pojavljuje za IM7200 portove gdje se pin-out za svaki RJ45 serijski port može postaviti kao X2 (Cisco Straight) ili X1 (Cisco Rolled)

· Postavite DTR mod. Ovo vam omogućava da odaberete da li se DTR uvijek potvrđuje ili se potvrđuje samo kada postoji aktivna korisnička sesija

· Prije nego što nastavite s daljnjom konfiguracijom serijskog porta, trebate povezati portove sa serijskim uređajima koje će kontrolirati i osigurati da imaju odgovarajuće postavke

3.1.2

Način rada konzole servera
Odaberite Režim poslužitelja konzole da omogućite pristup daljinskom upravljanju serijskoj konzoli koja je priključena na ovaj serijski port:

Nivo evidentiranja Ovo specificira nivo informacija koje treba evidentirati i pratiti.
29

Poglavlje 3: Serijski port, host, uređaj i konfiguracija korisnika
Nivo 0: Onemogući evidentiranje (zadano)
Nivo 1: Zabilježite LOGIN, LOGOUT i SIGNAL događaje
Nivo 2: Zabilježite LOGIN, LOGOUT, SIGNAL, TXDATA i RXDATA događaje
Nivo 3: Zabilježite LOGIN, LOGOUT, SIGNAL i RXDATA događaje
Nivo 4: Zabilježite LOGIN, LOGOUT, SIGNAL i TXDATA događaje
Ulaz/RXDATA su podaci koje Opengear uređaj prima sa povezanog serijskog uređaja, a izlazni/TXDATA su podaci koje Opengear uređaj šalje (npr. ukucan od strane korisnika) na povezani serijski uređaj.
Konzole uređaja obično eho vraćaju znakove dok se kucaju, tako da se TXDATA koji je otkucao korisnik naknadno prima kao RXDATA, prikazan na njihovom terminalu.
NAPOMENA: Nakon što zatraži lozinku, povezani uređaj šalje znakove * kako bi spriječio prikazivanje lozinke.

Telnet Kada je Telnet usluga omogućena na serveru konzole, Telnet klijent na računaru korisnika može se povezati na serijski uređaj spojen na ovaj serijski port na serveru konzole. Budući da su Telnet komunikacije nešifrirane, ovaj protokol se preporučuje samo za lokalne ili VPN tunelske veze.
Ako se daljinska komunikacija tunelira pomoću konektora, Telnet se može koristiti za siguran pristup ovim priključenim uređajima.

NAPOMENA

U režimu konzolnog servera, korisnici mogu koristiti konektor za postavljanje sigurnih Telnet veza koje su SSH tunelirane od njihovih klijentskih računara do serijskog porta na serveru konzole. Konektori se mogu instalirati na Windows računare i većinu Linux platformi i omogućavaju da se sigurne Telnet veze biraju sa pokaži i klikni.

Da biste koristili konektor za pristup konzolama na serijskim portovima servera konzole, konfigurirajte konektor sa serverom konzole kao gateway i kao host i omogućite Telnet uslugu na Portu (2000 + serijski port #) tj. 2001.

Također možete koristiti standardne komunikacione pakete kao što je PuTTY da postavite direktnu Telnet ili SSH vezu sa serijskim portovima.

NAPOMENA U režimu konzolnog servera, kada se povežete na serijski port, povezujete se preko pmshell-a. Da biste generisali BREAK na serijskom portu, otkucajte niz znakova ~b. Ako ovo radite preko OpenSSH-a, upišite ~~b.

SSH

Preporučuje se da koristite SSH kao protokol kada se korisnici povezuju na server konzole

(ili se povežite preko servera konzole na priključene serijske konzole) preko Interneta ili bilo kojeg drugog

drugu javnu mrežu.

Za SSH pristup konzolama na uređajima spojenim na serijske portove poslužitelja konzole, možete koristiti konektor. Konfigurišite konektor sa serverom konzole kao gateway, i kao host, i omogućite SSH uslugu na Portu (3000 + serijski port #) tj. 3001-3048.

Također možete koristiti uobičajene komunikacijske pakete, poput PuTTY ili SSHterm za SSH povezivanje na adresu porta IP adresa _ Port (3000 + serijski port #) tj. 3001

SSH veze se mogu konfigurirati korištenjem standardnog SSH porta 22. Serijski port kojem se pristupa identificira se dodavanjem deskriptora korisničkom imenu. Ova sintaksa podržava:

Uputstvo za upotrebu
: : Da bi korisnik po imenu chris pristupio serijskom portu 2, prilikom postavljanja SSHTerm-a ili PuTTY SSH klijenta, umjesto da unesete korisničko ime = chris i ssh port = 3002, alternativa je da upišete korisničko ime = chris:port02 (ili korisničko ime = chris: ttyS1) i ssh port = 22. Ili upisivanjem korisničko ime=chris:serial i ssh port = 22, korisniku se prikazuje opcija odabira porta:

Ova sintaksa omogućava korisnicima da postave SSH tunele za sve serijske portove sa jednim IP portom 22 koji mora biti otvoren u njihovom firewall-u/gateway-u
NAPOMENA U režimu konzolnog servera, povezujete se na serijski port preko pmshell-a. Da biste generisali BREAK na serijskom portu, otkucajte niz znakova ~b. Ako ovo radite preko OpenSSH-a, otkucajte ~~b.

TCP

RAW TCP omogućava povezivanje na TCP utičnicu. Dok komunikacijski programi poput PuTTY

također podržava RAW TCP, ovaj protokol obično koristi prilagođena aplikacija

Za RAW TCP, zadana adresa porta je IP adresa _ Port (4000 + serijski port #) tj. 4001 4048

RAW TCP takođe omogućava tuneliranje serijskog porta do servera udaljene konzole, tako da se dva uređaja serijskog porta mogu transparentno međusobno povezati preko mreže (pogledajte Poglavlje 3.1.6 Serijsko premošćavanje)

RFC2217 Odabirom RFC2217 omogućava se preusmjeravanje serijskog porta na tom portu. Za RFC2217, zadana adresa porta je IP adresa _ Port (5000 + serijski port #) tj. 5001 5048
Dostupan je poseban klijentski softver za Windows UNIX i Linux koji podržava RFC2217 virtuelne com portove, tako da udaljeni domaćin može nadgledati i upravljati udaljenim serijski povezanim uređajima kao da su povezani na lokalni serijski port (pogledajte Poglavlje 3.6 Preusmjeravanje serijskog porta za detalje)
RFC2217 također omogućava tuneliranje serijskog porta do servera udaljene konzole, tako da se dva uređaja serijskog porta mogu transparentno međusobno povezati preko mreže (pogledajte Poglavlje 3.1.6 Serijsko premošćavanje)

Telnet bez autentifikacije Ovo omogućava Telnet pristup serijskom portu bez vjerodajnica za provjeru autentičnosti. Kada korisnik pristupi serveru konzole na Telnet na serijski port, dobija upit za prijavu. Sa neautorizovanim Telnetom, oni se povezuju direktno na port bez ikakvog izazova za prijavu na server konzole. Ako Telnet klijent zatraži autentifikaciju, svi uneseni podaci dozvoljavaju povezivanje.

Poglavlje 3: Serijski port, host, uređaj i konfiguracija korisnika
Ovaj način se koristi s vanjskim sistemom (kao što je konzervator) koji upravlja provjerom autentičnosti korisnika i privilegijama pristupa na razini serijskog uređaja.
Prijava na uređaj povezan sa serverom konzole može zahtijevati autentifikaciju.
Za Telnet bez autentifikacije zadana adresa porta je IP adresa _ Port (6000 + serijski port #) tj. 6001 6048

SSH bez autentifikacije Ovo omogućava SSH pristup serijskom portu bez vjerodajnica za provjeru autentičnosti. Kada korisnik pristupi serveru konzole na Telnet preko serijskog porta, daje mu se prompt za prijavu. Sa neautorizovanim SSH-om oni se povezuju direktno preko porta bez ikakvog izazova za prijavu na server konzole.
Ovaj način se koristi kada imate drugi sistem koji upravlja autentifikacijom korisnika i privilegijama pristupa na razini serijskog uređaja, ali želite šifrirati sesiju preko mreže.
Prijava na uređaj povezan sa serverom konzole može zahtijevati autentifikaciju.
Za Telnet bez autentifikacije zadana adresa porta je IP adresa _ Port (7000 + serijski port #) tj. 7001 7048
The : metoda pristupa portu (kao što je opisano u gornjem odjeljku SSH) uvijek zahtijeva autentifikaciju.

Web Terminal Ovo omogućava web pristup pretraživaču serijskom portu preko Upravljaj > Uređaji: Serijski pomoću ugrađenog AJAX terminala na upravljačkoj konzoli. Web Terminal se povezuje kao trenutno provjereni korisnik Upravljačke konzole i ne vrši ponovnu autentifikaciju. Pogledajte odjeljak 12.3 za više detalja.

IP Alias

Omogućite pristup serijskom portu pomoću određene IP adrese, navedene u CIDR formatu. Svakom serijskom portu može se dodijeliti jedan ili više IP aliasa, konfiguriranih na osnovu mrežnog interfejsa. Serijski port može, npramp192.168.0.148 (kao dio interne mreže) i 10.10.10.148 (kao dio LAN-a za upravljanje). Također je moguće učiniti serijski port dostupnim na dvije IP adrese na istoj mreži (nprample, 192.168.0.148 i 192.168.0.248).

Ove IP adrese se mogu koristiti samo za pristup određenom serijskom portu, kojem se može pristupiti korištenjem standardnih brojeva TCP portova protokola poslužiteljskih usluga konzole. Za nprampSSH na serijskom portu 3 bi bio dostupan na portu 22 IP aliasa serijskog porta (dok je na primarnoj adresi servera konzole dostupan na portu 2003).

Ova funkcija se također može konfigurirati putem stranice za uređivanje više portova. U ovom slučaju IP adrese se primjenjuju sekvencijalno, pri čemu se prvi odabrani port unosi u IP, a sljedeći se povećavaju, pri čemu se brojevi preskaču za sve neizabrane portove. Za nprampUkoliko su izabrani portovi 2, 3 i 5 i unese se IP alias 10.0.0.1/24 za mrežni interfejs, dodeljuju se sledeće adrese:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

IP aliasi takođe podržavaju IPv6 alias adrese. Jedina razlika je u tome što su adrese heksadecimalni brojevi, tako da port 10 može odgovarati adresi koja se završava na A, a 11 na jednoj koja završava na B, a ne na 10 ili 11 prema IPv4.

Uputstvo za upotrebu
Šifriranje prometa / autentifikaciju Omogućite trivijalno šifriranje i autentifikaciju RFC2217 serijske komunikacije koristeći Portshare (za jako šifriranje koristite VPN).
Period akumulacije Kada se uspostavi veza za određeni serijski port (kao što je preusmjeravanje RFC2217 ili Telnet veza sa udaljenim računarom), svi dolazni karakteri na tom portu se prosljeđuju preko mreže na bazi znak po karakter. Period akumulacije određuje vremenski period u kojem se dolazni karakteri prikupljaju prije nego što se pošalju kao paket preko mreže
Escape Character Promenite karakter koji se koristi za slanje izlaznih znakova. Zadana vrijednost je ~. Zamijeni Backspace Zamijeniti zadanu vrijednost backspace CTRL+? (127) sa CTRL+h (8). Meni napajanja Komanda za pokretanje menija napajanja je ~p i omogućava komandu za napajanje ljuske tako a
korisnik može kontrolirati konekciju napajanja na upravljani uređaj iz komandne linije kada su Telnet ili SSH povezani na uređaj. Upravljani uređaj mora biti konfigurisan sa konfigurisanim vezom za serijski port i vezom za napajanje.
Pojedinačna veza Ovo ograničava port na jednu vezu, tako da ako više korisnika ima privilegije pristupa za određeni port, samo jedan korisnik može pristupiti tom portu u isto vrijeme (tj. njuškanje portova nije dozvoljeno).
33

Poglavlje 3: Serijski port, host, uređaj i konfiguracija korisnika
3.1.3 Način rada uređaja (RPC, UPS, okolišni) Ovaj način konfigurira odabrani serijski port za komunikaciju sa serijski kontroliranim neprekidnim napajanjem (UPS), daljinskim upravljačem napajanja / jedinicama za distribuciju energije (RPC) ili uređajem za praćenje okoliša (ekološki)

1. Odaberite željenu vrstu uređaja (UPS, RPC ili Environmental)
2. Idite na odgovarajuću stranicu za konfiguraciju uređaja (Serial & Network > UPS Connections, RPC Connection ili Environmental) kao što je detaljno opisano u poglavlju 7.

3.1.4 ·

Način rada terminalskog servera
Odaberite način rada terminalskog servera i tip terminala (vt220, vt102, vt100, Linux ili ANSI) da omogućite getty na odabranom serijskom portu

Getty konfigurira port i čeka da se uspostavi veza. Aktivna veza na serijskom uređaju je označena podignutim pinom za otkrivanje nosača podataka (DCD) na serijskom uređaju. Kada se detektuje veza, getty program izdaje login: prompt i poziva program za prijavu da upravlja sistemskom prijavom.
NAPOMENA Odabirom načina terminalskog servera onemogućava se Port Manager za taj serijski port, tako da se podaci više ne evidentiraju za upozorenja itd.

Uputstvo za upotrebu
3.1.5 Režim serijskog premošćavanja Sa serijskim premošćivanjem, serijski podaci na nominiranom serijskom portu na jednom poslužitelju konzole se inkapsuliraju u mrežne pakete i prenose preko mreže do drugog poslužitelja konzole gdje su predstavljeni kao serijski podaci. Dva servera konzole djeluju kao virtuelni serijski kabel preko IP mreže. Jedan poslužitelj konzole je konfiguriran da bude Server. Serijski port servera koji treba premostiti je postavljen u režimu konzole servera sa omogućenim RFC2217 ili RAW. Za server klijentske konzole, serijski port koji treba premostiti mora biti postavljen u režimu premošćavanja:
· Odaberite Serial Bridging Mode i odredite IP adresu servera konzole servera i adresu TCP porta udaljenog serijskog porta (za RFC2217 premošćavanje to će biti 5001-5048)
· Po defaultu, klijent za premošćivanje koristi RAW TCP. Izaberite RFC2217 ako je ovo način poslužitelja konzole koji ste naveli na poslužitelju konzole poslužitelja
· Možete osigurati komunikaciju preko lokalnog Etherneta tako što ćete omogućiti SSH. Generirajte i prenesite ključeve.
3.1.6 Syslog Pored ugrađenog evidentiranja i nadzora koji se može primijeniti na serijski spojene i mrežne pristupe upravljanja, kao što je pokriveno u Poglavlju 6, server konzole se također može konfigurirati da podržava udaljeni syslog protokol na po serijskom portu osnova:
· Izaberite polja Syslog Facility/Priority da biste omogućili evidentiranje saobraćaja na izabranom serijskom portu na server syslog; i za sortiranje i djelovanje na tim evidentiranim porukama (tj. preusmjeravanje ih / slanje e-pošte s upozorenjem.)
35

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
Za nprampda, ako računar spojen na serijski port 3 nikada ne bi trebao ništa poslati na svoj serijski port konzole, administrator može postaviti Facility za taj port na local0 (local0 .. local7 su namijenjeni za lokalne vrijednosti lokacije), a prioritet na kritičan . Na ovom prioritetu, ako server syslog servera konzole primi poruku, podiže upozorenje. Pogledajte Poglavlje 6. 3.1.7 NMEA strimovanje ACM7000-L može da obezbedi GPS NMEA strimovanje podataka sa internog GPS/ćelijskog modema. Ovaj tok podataka predstavlja serijski tok podataka na portu 5 na ACM modelima.
Uobičajene postavke (brzina prijenosa itd.) se zanemaruju prilikom konfiguriranja NMEA serijskog porta. Možete odrediti učestalost popravljanja (tj. ova brzina popravka GPS-a određuje koliko često se dobijaju GPS popravci). Također možete primijeniti sve postavke Console Server Mode, Syslog i Serial Bridging postavke na ovaj port.
Možete koristiti pmshell, webshell, SSH, RFC2217 ili RawTCP da dođete do streama:
Za nprample, koristeći Web terminal:
36

Uputstvo za upotrebu

3.1.8 USB konzole
Konzolni serveri sa USB portovima podržavaju USB konzolne veze sa uređajima širokog spektra proizvođača, uključujući Cisco, HP, Dell i Brocade. Ovi USB portovi takođe mogu funkcionisati kao obični RS-232 serijski portovi kada je povezan USB-serijski adapter.

Ovi USB portovi su dostupni kao obični portmanager portovi i predstavljeni su numerički u web UI nakon svih RJ45 serijskih portova.

ACM7008-2 ima osam RJ45 serijskih portova na zadnjoj strani servera konzole i četiri USB porta na prednjoj strani. U Serijski i mreža > Serijski port oni su navedeni kao

Port # konektor

RJ45

USB

10 USB

11 USB

12 USB

Ako je određeni ACM7008-2 mobilni model, port #13 — za GPS — će također biti naveden.

7216-24U ima 16 RJ45 serijskih portova i 24 USB porta na zadnjoj strani, kao i dva prednja USB porta i (u mobilnom modelu) GPS.

RJ45 serijski portovi su predstavljeni u Serijski i mreža > Serijski port kao portovi 1. 16 USB porta okrenuta prema nazad imaju brojeve portova 24, a prednji USB portovi navedeni su pod brojevima portova 17 i 40. I, kao i kod ACM41-42, ako je određeni 7008-2U mobilni model, GPS je predstavljen na portu broj 7216.

Uobičajene postavke (brzina prijenosa, itd.) se koriste prilikom konfiguriranja portova, ali neke operacije možda neće raditi ovisno o implementaciji osnovnog USB serijskog čipa.

3.2 Dodavanje i uređivanje korisnika
Administrator koristi ovaj izbor menija za kreiranje, uređivanje i brisanje korisnika i za definiranje dozvola pristupa za svakog od ovih korisnika.

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika

Korisnici mogu biti ovlašteni za pristup određenim uslugama, serijskim portovima, uređajima za napajanje i određenim mrežnim hostovima. Ovim korisnicima se također može dati potpuni status administratora (sa punom konfiguracijom i privilegijama upravljanja i pristupa).

Korisnici se mogu dodati u grupe. Po defaultu je postavljeno šest grupa:

admin

Pruža neograničene privilegije konfiguracije i upravljanja.

pptpd

Omogućava pristup PPTP VPN serveru. Korisnici u ovoj grupi imaju svoju lozinku pohranjenu u čistom tekstu.

dialin

Omogućava pristup telefonskom linijom putem modema. Korisnici u ovoj grupi imaju svoju lozinku pohranjenu u čistom tekstu.

ftp

Omogućava ftp pristup i file pristup uređajima za pohranu podataka.

pmshell

Postavlja zadanu ljusku na pmshell.

korisnika

Pruža korisnicima osnovne privilegije upravljanja.

Admin grupa pruža članovima pune administratorske privilegije. Administratorski korisnik može pristupiti serveru konzole koristeći bilo koju od usluga koje su omogućene u System > Services. Također mogu pristupiti bilo kojem od povezanih hostova ili uređaja serijskog porta koristeći bilo koju uslugu koja je omogućena za ove veze. Samo pouzdani korisnici trebaju imati administratorski pristup
Korisnička grupa pruža članovima ograničen pristup poslužitelju konzole i povezanim hostovima i serijskim uređajima. Ovi korisnici mogu pristupiti samo odeljku Upravljanje u meniju Upravljačke konzole i nemaju pristup komandnoj liniji serveru konzole. Oni mogu pristupiti samo onim hostovima i serijskim uređajima koji su provjereni za njih, koristeći usluge koje su omogućene
Korisnici u grupama pptd, dialin, ftp ili pmshell imaju ograničen pristup korisničkoj ljusci nominiranim upravljanim uređajima, ali neće imati direktan pristup poslužitelju konzole. Da bi ovo dodali, korisnici također moraju biti članovi korisnika ili administratorskih grupa
Administrator može postaviti dodatne grupe sa određenim dozvolama za napajanje, serijski port i pristup hostu. Korisnici u ovim dodatnim grupama nemaju pristup izborniku konzole za upravljanje niti imaju pristup iz komandne linije serveru konzole.

Uputstvo za upotrebu
Administrator može postaviti korisnike sa određenim dozvolama za napajanje, serijski port i pristup hostu koji nisu članovi nijedne grupe. Ovi korisnici nemaju pristup meniju konzole za upravljanje niti pristup komandnoj liniji serveru konzole. 3.2.1 Podešavanje nove grupe Da biste postavili nove grupe i nove korisnike i klasifikovali korisnike kao članove određenih grupa:
1. Odaberite Serial & Network > Users & Groups za prikaz svih grupa i korisnika 2. Kliknite Dodaj grupu za dodavanje nove grupe
3. Dodajte naziv grupe i opis za svaku novu grupu, i nominirajte dostupne hostove, pristupačne portove i pristupačne RPC izlaze kojima će korisnici u ovoj novoj grupi moći pristupiti
4. Kliknite na Apply 5. Administrator može uređivati ili izbrisati bilo koju dodanu grupu 3.2.2 Postavljanje novih korisnika Za postavljanje novih korisnika i klasificiranje korisnika kao članova određenih grupa: 1. Odaberite Serial & Network > Korisnici i grupe za prikaz sve grupe i korisnici 2. Kliknite Dodaj korisnika
39

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
3. Dodajte korisničko ime za svakog novog korisnika. Također možete uključiti informacije vezane za korisnika (npr. kontakt detalje) u polje Opis. Korisničko ime može sadržavati od 1 do 127 alfanumeričkih znakova i znakova “-”, “_” i “.”.
4. Odredite koje grupe želite da korisnik bude član 5. Dodajte potvrđenu lozinku za svakog novog korisnika. Svi znakovi su dozvoljeni. 6. Može se koristiti provjera autentičnosti SSH ključa. Zalijepite javne ključeve ovlaštenih javnih/privatnih
parove ključeva za ovog korisnika u polju Ovlašteni SSH ključevi 7. Označite Disable Password Authentication da biste dozvolili autentifikaciju javnog ključa samo za ovog korisnika
kada koristite SSH 8. Označite Enable Dial-Back u meniju Dial-in Options da biste omogućili izlaznu dial-back vezu
da se pokrene prijavom na ovaj port. Unesite broj telefona za povratno biranje sa telefonskim brojem za uzvratni poziv kada se korisnik prijavi 9. Označite Accessible Hosts i/ili Accessible Ports da odredite serijske portove i hostove povezane na mrežu za koje želite da korisnik ima privilegije pristupa 10. Ako postoje konfigurisani RPC-ovi, proverite Pristupne RPC utičnice da odredite koje izlaze korisnik može da kontroliše (tj. Uključivanje/isključivanje) 11. Kliknite na Primeni. Novi korisnik će moći pristupiti dostupnim mrežnim uređajima, portovima i RPC utičnicama. Ako je korisnik član grupe, može pristupiti i bilo kojem drugom uređaju/portu/utičnici koji su dostupni grupi
40

Uputstvo za upotrebu
Ne postoje ograničenja za broj korisnika koje možete postaviti ili broj korisnika po serijskom portu ili hostu. Više korisnika može kontrolirati/nadzirati jedan port ili host. Nema ograničenja u broju grupa i svaki korisnik može biti član više grupa. Korisnik ne mora biti član nijedne grupe, ali ako je član zadane korisničke grupe, neće moći koristiti upravljačku konzolu za upravljanje portovima. Iako nema ograničenja, vrijeme za ponovno konfigurisanje raste kako se broj i složenost povećavaju. Preporučujemo da ukupan broj korisnika i grupa bude ispod 250. Administrator također može urediti postavke pristupa za sve postojeće korisnike:
· Odaberite Serial & Network > Korisnici i grupe i kliknite Uredi da promijenite privilegije pristupa korisnika · Kliknite Izbriši da uklonite korisnika · Kliknite Onemogući da privremeno blokirate privilegije pristupa
3.3 Autentifikacija
Pogledajte Poglavlje 8 za detalje konfiguracije autentifikacije.
3.4 Mrežni domaćini
Za nadgledanje i daljinski pristup lokalnom računaru ili uređaju (koji se naziva Host) morate identificirati Host:
1. Odabirom Serial & Network > Network Hosts prikazani su svi hostovi povezani na mrežu koji su omogućeni za korištenje.
2. Kliknite Dodaj hosta da omogućite pristup novom hostu (ili odaberite Uredi da ažurirate postavke za postojeći host)
41

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
3. Ako je Host PDU ili UPS uređaj za napajanje ili server sa IPMI kontrolom napajanja, navedite RPC (za IPMI i PDU) ili UPS i tip uređaja. Administrator može da konfiguriše ove uređaje i omogući korisnicima koji imaju dozvolu za daljinski ciklus napajanja, itd. Pogledajte Poglavlje 7. U suprotnom ostavite Tip uređaja postavljen na Ništa.
4. Ako je konzolni server konfigurisan sa omogućenim distribuiranim Nagios nadzorom, takođe ćete videti opcije Nagios podešavanja da biste omogućili nadgledanje nominovanih usluga na Host-u.
5. Kliknite na Apply. Ovo kreira novi Host i također kreira novi upravljani uređaj s istim imenom.
3.5 Pouzdane mreže
Funkcija Trusted Networks vam daje mogućnost da nominujete IP adrese na kojima se korisnici moraju nalaziti, da bi imali pristup serijskim portovima servera konzole:
42

Uputstvo za upotrebu
1. Odaberite Serial & Network > Trusted Networks 2. Da dodate novu pouzdanu mrežu, odaberite Dodaj pravilo. U nedostatku Pravila, nema pristupa
ograničenja u pogledu IP adrese na kojoj se korisnici mogu locirati.

3. Izaberite pristupne portove na koje će se primijeniti novo pravilo
4. Unesite mrežnu adresu podmreže kojoj će biti dozvoljen pristup
5. Odredite raspon adresa koje će biti dozvoljene unosom mrežne maske za taj dozvoljeni IP raspon, npr.
· Da biste omogućili svim korisnicima koji se nalaze s određenom mrežnom vezom klase C na nominirani port, dodajte sljedeće novo pravilo pouzdane mreže:

Mrežna IP adresa

204.15.5.0

Subnet maska

255.255.255.0

· Da dozvolite samo jednom korisniku koji se nalazi na određenoj IP adresi da se poveže:

Mrežna IP adresa

204.15.5.13

Subnet maska

255.255.255.255

· Da bi se omogućilo svim korisnicima koji rade iz određenog raspona IP adresa (recimo bilo koju od trideset adresa od 204.15.5.129 do 204.15.5.158) da imaju dozvolu za povezivanje sa nominiranim portom:

Adresa hosta/podmreže

204.15.5.128

Subnet maska

255.255.255.224

6. Kliknite na Apply

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
3.6 Kaskadno serijski port
Kaskadni portovi vam omogućavaju da grupišete servere distribuirane konzole tako da se veliki broj serijskih portova (do 1000) može konfigurisati i pristupiti preko jedne IP adrese i upravljati preko jedne konzole za upravljanje. Jedan konzolni server, Primarni, kontrolira druge poslužitelje konzole kao čvorne jedinice i svi serijski portovi na jedinicama čvora izgledaju kao da su dio Primarne. Opengear-ovo grupisanje povezuje svaki čvor sa primarnim putem SSH veze. Ovo se radi pomoću provjere autentičnosti javnog ključa, tako da Primary može pristupiti svakom čvoru koristeći par ključeva SSH (umjesto korištenjem lozinki). Ovo osigurava sigurnu autentificiranu komunikaciju između Primary i Nodes-a, omogućavajući poslužiteljskim jedinicama Node konzole da se distribuiraju lokalno na LAN-u ili na daljinu širom svijeta.
3.6.1 Automatsko generiranje i otpremanje SSH ključeva Da biste postavili autentifikaciju javnog ključa, prvo morate generirati RSA ili DSA par ključeva i učitati ih na servere Primary i Node konzole. Ovo se može uraditi automatski iz Primarne:
44

Uputstvo za upotrebu
1. Izaberite Sistem > Administracija na konzoli za upravljanje primarnom
2. Označite Generiraj SSH ključeve automatski. 3. Kliknite na Apply
Zatim morate odabrati želite li generirati ključeve koristeći RSA i/ili DSA (ako niste sigurni, odaberite samo RSA). Generiranje svakog seta ključeva zahtijeva dvije minute, a novi ključevi uništavaju stare ključeve tog tipa. Dok je nova generacija u toku, funkcije koje se oslanjaju na SSH ključeve (npr. kaskadno) mogu prestati da funkcionišu dok se ne ažuriraju novim skupom ključeva. Za generiranje ključeva:
1. Potvrdite okvire za ključeve koje želite generirati. 2. Kliknite na Apply
3. Kada su novi ključevi generisani, kliknite na vezu Kliknite ovdje za povratak. Ključevi su učitani
na Primarne i povezane čvorove.
3.6.2 Ručno generiranje i učitavanje SSH ključeva Alternativno, ako imate RSA ili DSA par ključeva, možete ih učitati na Primarni i Node konzole. Da biste učitali par ključeva javnog i privatnog ključa na server primarne konzole:
1. Izaberite Sistem > Administracija na konzoli za upravljanje primarnom
2. Dođite do lokacije na kojoj ste pohranili RSA (ili DSA) javni ključ i prenesite ga na SSH RSA (DSA) javni ključ
3. Pretražite pohranjeni RSA (ili DSA) privatni ključ i prenesite ga na SSH RSA (DSA) privatni ključ 4. Kliknite na Primijeni
45

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
Zatim morate registrirati javni ključ kao ovlašteni ključ na čvoru. U slučaju jednog primarnog sa više čvorova, učitavate jedan RSA ili DSA javni ključ za svaki čvor.
1. Odaberite Sistem > Administracija na konzoli za upravljanje čvorom 2. Potražite pohranjeni RSA (ili DSA) javni ključ i otpremite ga na SSH ovlašteni ključ čvora
3. Kliknite na Primijeni Sljedeći korak je otisak prsta svake nove Primarne veze čvora. Ovaj korak potvrđuje da uspostavljate SSH sesiju za onoga za koga mislite da jeste. Pri prvom povezivanju čvor prima otisak prsta od primarnog koji se koristi za sve buduće veze: Da biste uspostavili otisak prsta, prvo se prijavite na primarni server kao root i uspostavite SSH vezu sa udaljenim hostom čvora:
# ssh remhost Kada se SSH veza uspostavi, od vas se traži da prihvatite ključ. Odgovorite da i otisak prsta se dodaje na listu poznatih hostova. Ako se od vas traži da unesete lozinku, došlo je do problema pri učitavanju ključeva. 3.6.3 Konfiguriranje čvorova i njihovih serijskih portova Započnite postavljanje čvorova i konfiguriranje serijskih portova čvorova sa primarnog poslužitelja konzole:
1. Odaberite Serial & Network > Cascaded Ports na Primarnoj upravljačkoj konzoli: 2. Da dodate podršku za grupisanje, odaberite Dodaj čvor
Ne možete dodati čvorove dok ne generirate SSH ključeve. Da biste definirali i konfigurirali čvor:
46

Uputstvo za upotrebu
1. Unesite udaljenu IP adresu ili DNS ime za server konzole čvora 2. Unesite kratak opis i kratku oznaku za čvor 3. Unesite puni broj serijskih portova na jedinici čvora u Broj portova 4. Kliknite na Primijeni. Ovo uspostavlja SSH tunel između primarnog i novog čvora
Meni Serial & Network > Cascaded Ports prikazuje sve čvorove i brojeve portova koji su dodijeljeni na Primary. Ako primarni konzolni server ima 16 vlastitih portova, portovi 1-16 su unaprijed dodijeljeni Primarnom, tako da je prvom dodanom čvoru dodijeljen broj porta 17 pa nadalje. Nakon što dodate sve servere konzole čvora, serijski portovi čvora i povezani uređaji se mogu konfigurirati i pristupiti iz menija Primarne konzole za upravljanje i pristupiti preko IP adrese primarnog.
1. Odaberite odgovarajući Serial & Network > Serial Port i Edit da biste konfigurirali serijske portove na
Čvor.
2. Odaberite odgovarajući Serial & Network > Users & Groups da dodate nove korisnike s privilegijama pristupa
na serijske portove čvora (ili da proširite privilegije pristupa postojećim korisnicima).
3. Odaberite odgovarajuću serijski i mrežni > Pouzdane mreže da navedete mrežne adrese koje
može pristupiti nominiranim serijskim portovima čvora. 4. Odaberite odgovarajuća upozorenja i evidentiranje > upozorenja da konfigurišete vezu porta čvora, stanje
Changeor Pattern Match upozorenja. Promjene konfiguracije napravljene na Primarnom se prenose na sve čvorove kada kliknete na Primijeni.
3.6.4 Upravljanje čvorovima Primarni ima kontrolu nad serijskim portovima čvora. Za nprampako promijenite privilegije pristupa korisnika ili uredite bilo koju postavku serijskog porta na Primarnom, ažurirana konfiguracija files se šalju svakom čvoru paralelno. Svaki čvor vrši promjene u svojim lokalnim konfiguracijama (i pravi promjene samo koje se odnose na njegove posebne serijske portove). Možete koristiti lokalnu konzolu za upravljanje čvorovima da promijenite postavke na bilo kojem serijskom portu čvora (kao što je promjena brzina prijenosa). Ove promjene se prepisuju sljedeći put kada Primary pošalje konfiguraciju file ažurirati. Dok Primary ima kontrolu nad svim funkcijama vezanim za serijski port čvora, on nije primaran preko mrežnih host veza čvora ili preko sistema poslužitelja konzole čvora. Funkcijama čvora kao što su IP, SMTP i SNMP postavke, datum i vrijeme, DHCP server se mora upravljati direktnim pristupom svakom čvoru i ove funkcije se ne prepisuju kada se promjene konfiguracije prenose iz primarnog. Mrežni host i IPMI postavke čvora moraju biti konfigurirani na svakom čvoru.
47

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
Upravljačka konzola Primary pruža konsolidirano view postavki za vlastite i serijske portove cijelog Nodea. Osnovna škola ne pruža potpuno konsolidovanu view. Za npramppa, ako želite da saznate ko je prijavljen na kaskadne serijske portove sa primarnog, videćete da Status > Aktivni korisnici prikazuje samo one korisnike aktivne na Primarnim portovima, tako da ćete možda morati da napišete prilagođene skripte da biste to obezbedili view.
3.7 Preusmjeravanje serijskog porta (PortShare)
Opengearov Port Share softver isporučuje tehnologiju virtuelnog serijskog porta koja je potrebna vašim Windows i Linux aplikacijama za otvaranje udaljenih serijskih portova i čitanje podataka sa serijskih uređaja koji su povezani na server vaše konzole.
PortShare se isporučuje besplatno sa svakim konzolnim serverom i licencirani ste da instalirate PortShare na jedan ili više računara za pristup bilo kom serijskom uređaju povezanom na port konzolnog servera. PortShare za Windows Portshare_setup.exe se može preuzeti sa ftp lokacije. Pogledajte PortShare korisnički priručnik i brzi početak za detalje o instalaciji i radu. PortShare za Linux PortShare drajver za Linux mapira serijski port poslužitelja konzole u port za pokušaj hosta. Opengear je objavio portshare-serial-client kao uslužni program otvorenog koda za Linux, AIX, HPUX, SCO, Solaris i UnixWare. Ovaj uslužni program se može preuzeti sa ftp stranice. Ovaj PortShare preusmjerivač serijskog porta vam omogućava da koristite serijski uređaj povezan na server udaljene konzole kao da je povezan na vaš lokalni serijski port. Portshare-serial-client kreira pseudo tty port, povezuje serijsku aplikaciju sa pseudo tty portom, prima podatke sa pseudo tty porta, prenosi ih na konzolni server preko mreže i prima podatke sa servera konzole kroz mrežu i prenosi ih na pseudo-tty port. The .tar file može se preuzeti sa ftp stranice. Pogledajte PortShare korisnički priručnik i brzi početak za detalje o instalaciji i radu.
48

Uputstvo za upotrebu
3.8 Upravljani uređaji
Stranica Upravljani uređaji predstavlja konsolidiranu view svih veza sa uređajem kojima se može pristupiti i nadgledati preko servera konzole. To view veze s uređajima, odaberite Serial & Network > Managed Devices
Ovaj ekran prikazuje sve upravljane uređaje sa njihovim opisom/napomenama i listama svih konfigurisanih veza:
· Serijski port # (ako je serijski povezan) ili · USB (ako je USB povezan) · IP adresa (ako je povezan na mrežu) · Detalji PDU/utičnice za napajanje (ako je primjenjivo) i bilo koje UPS veze Uređaji kao što su serveri mogu imati više od jedne veze za napajanje (npr. dvostruko napajanje) i više od jedne mrežne veze (npr. za BMC/servisni procesor). Svi korisnici mogu view ove upravljane veze uređaja odabirom Upravljanje > Uređaji. Administratori također mogu uređivati i dodavati/brisati ove upravljane uređaje i njihove veze. Da biste uredili postojeći uređaj i dodali novu vezu: 1. Odaberite Uredi na Serial & Network > Managed Devices i kliknite na Add Connection 2. Odaberite vrstu veze za novu vezu (Serial, Network Host, UPS ili RPC) i odaberite
vezu sa prikazane liste konfigurisanih nedodeljenih hostova/portova/utičnica
49

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
Da biste dodali novi upravljani uređaj povezan sa mrežom: 1. Administrator dodaje novi upravljani uređaj povezan sa mrežom koristeći Dodaj host na meniju Serial & Network > Network Host. Ovo automatski kreira odgovarajući novi upravljani uređaj. 2. Kada dodajete novi mrežno povezan RPC ili UPS uređaj za napajanje, postavljate Network Host, označavate ga kao RPC ili UPS. Idite na RPC veze ili UPS veze da konfigurišete odgovarajuću vezu. Odgovarajući novi upravljani uređaj sa istim imenom/opisom kao RPC/UPS Host se ne kreira dok se ovaj korak povezivanja ne završi.
NAPOMENA Nazivi utičnica na novokreiranom PDU-u su Outlet 1 i Outlet 2. Kada povežete određeni upravljani uređaj koji crpi struju iz utičnice, utičnica preuzima ime upravljanog uređaja s napajanjem.
Da biste dodali novi serijski povezani upravljani uređaj: 1. Konfigurirajte serijski port koristeći meni Serijski i mreža > Serijski port (pogledajte odjeljak 3.1 Konfiguracija serijskog porta) 2. Odaberite Serijski i mreža > Upravljani uređaji i kliknite Dodaj uređaj 3. Unesite uređaj Naziv i opis za upravljani uređaj

4. Kliknite Dodaj vezu i odaberite Serijski i Port koji se povezuje na upravljani uređaj

5. Da biste dodali UPS/RPC vezu za napajanje ili mrežnu vezu ili drugu serijsku vezu kliknite na Dodaj vezu

6. Kliknite na Apply

NAPOMENA

Da biste postavili serijski povezani RPC UPS ili EMD uređaj, konfigurirajte serijski port, označite ga kao uređaj i unesite naziv i opis za taj uređaj u Serial & Network > RPC Connections (ili UPS Connections ili Environmental). Ovo kreira odgovarajući novi upravljani uređaj sa istim imenom/opisom kao RPC/UPS Host. Nazivi utičnica na ovom novokreiranom PDU-u su utičnica 1 i utičnica 2. Kada povežete upravljani uređaj koji crpi struju iz utičnice, utičnica preuzima ime uređaja kojim se upravlja s napajanjem.

3.9 IPsec VPN
ACM7000, CM7100 i IM7200 uključuju Openswan, Linux implementaciju IPsec (IP Security) protokola, koji se može koristiti za konfiguriranje virtuelne privatne mreže (VPN). VPN omogućava višestrukim lokacijama ili udaljenim administratorima da bezbedno pristupe serveru konzole i upravljanim uređajima preko Interneta.

Uputstvo za upotrebu
Administrator može uspostaviti šifrirane autentificirane VPN veze između poslužitelja konzole distribuiranih na udaljenim lokacijama i VPN gateway-a (kao što je Cisco ruter koji koristi IOS IPsec) na mreži njihove centralne kancelarije:
· Korisnici u središnjoj kancelariji mogu bezbedno pristupiti serverima udaljene konzole i povezanim uređajima i mašinama serijske konzole na podmreži LAN za upravljanje na udaljenoj lokaciji kao da su lokalni
· Svi ovi serveri udaljene konzole mogu se nadgledati pomoću CMS6000 na centralnoj mreži · Sa serijskim premošćavanjem, serijski podaci iz kontrolera na mašini centralne kancelarije mogu biti sigurni
povezan sa serijski kontrolisanim uređajima na udaljenim lokacijama Administrator Road warrior može koristiti VPN IPsec softverski klijent za daljinski pristup konzolnom serveru i svakoj mašini na LAN podmreži za upravljanje na udaljenoj lokaciji
Konfiguracija IPsec-a je prilično složena tako da Opengear pruža GUI interfejs za osnovno podešavanje kao što je opisano u nastavku. Da biste omogućili VPN gateway:
1. Odaberite IPsec VPN na meniju Serial & Networks
2. Kliknite Dodaj i dovršite ekran Add IPsec Tunnel 3. Unesite bilo koji opisni naziv koji želite da identifikujete IPsec tunel koji dodajete, kao što je
WestStOutlet-VPN
51

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
4. Odaberite metodu provjere autentičnosti koja će se koristiti, bilo RSA digitalni potpisi ili Zajednička tajna (PSK) o Ako odaberete RSA, od vas će se tražiti da kliknete ovdje za generiranje ključeva. Ovo generiše RSA javni ključ za server konzole (lijevi javni ključ). Pronađite ključ koji će se koristiti na udaljenom gateway-u, izrežite ga i zalijepite u desni javni ključ
o Ako odaberete Shared secret, unesite pre-shared secret (PSK). PSK mora odgovarati PSK konfigurisanom na drugom kraju tunela
5. U Protokol za provjeru autentičnosti odaberite protokol za provjeru autentičnosti koji će se koristiti. Ili se autentifikujte kao dio ESP (Encapsulating Security Payload) enkripcije ili zasebno koristeći AH (Authentication Header) protokol.
52

Uputstvo za upotrebu
6. Unesite lijevi ID i desni ID. Ovo je identifikator koji lokalni host/gateway i udaljeni host/gateway koriste za IPsec pregovaranje i autentifikaciju. Svaki ID mora uključivati @ i može uključivati potpuno kvalificirano ime domene (npr. left@example.com)
7. Unesite javnu IP ili DNS adresu ovog Opengear VPN gatewaya kao lijevu adresu. Možete ostaviti ovo prazno da biste koristili sučelje zadane rute
8. U Desnu adresu unesite javnu IP ili DNS adresu udaljenog kraja tunela (samo ako udaljeni kraj ima statičku ili DynDNS adresu). U suprotnom ostavite ovo prazno
9. Ako Opengear VPN gateway služi kao VPN gateway do lokalne podmreže (npr. konzolni server ima konfiguriran LAN za upravljanje), unesite detalje privatne podmreže u lijevu podmrežu. Koristite CIDR notaciju (gdje iza broja IP adrese slijedi kosa crta i broj `jedan' bita u binarnoj notaciji mrežne maske). Za nprample, 192.168.0.0/24 označava IP adresu na kojoj se prva 24 bita koriste kao mrežna adresa. Ovo je isto kao 255.255.255.0. Ako je VPN pristup samo serveru konzole i njegovim priključenim uređajima serijske konzole, ostavite lijevu podmrežu praznom
10. Ako postoji VPN gateway na udaljenom kraju, unesite detalje privatne podmreže u Desnu podmrežu. Koristite CIDR notaciju i ostavite prazno ako postoji samo udaljeni host
11. Izaberite Pokreni tunel ako se tunelska veza treba pokrenuti s lijeve strane poslužitelja konzole. Ovo se može pokrenuti samo s VPN gateway-a (lijevo) ako je udaljeni kraj konfiguriran sa statičkom (ili DynDNS) IP adresom
12. Kliknite na Primijeni da sačuvate promjene
NAPOMENA Detalji konfiguracije postavljeni na serveru konzole (koji se nazivaju lijevi ili lokalni host) moraju odgovarati postavci unesenoj prilikom konfiguriranja udaljenog (desnog) hosta/gatewaya ili softverskog klijenta. Pogledajte http://www.opengear.com/faq.html za detalje o konfigurisanju ovih udaljenih krajeva
3.10 OpenVPN
ACM7000, CM7100 i IM7200 sa firmverom V3.2 i novijim uključuju OpenVPN. OpenVPN koristi OpenSSL biblioteku za šifriranje, autentifikaciju i certifikaciju, što znači da koristi SSL/TSL (Secure Socket Layer/Transport Layer Security) za razmjenu ključeva i može šifrirati i podatke i kontrolne kanale. Upotreba OpenVPN-a omogućava izgradnju višeplatformskih VPN-ova od tačke do tačke koristeći bilo X.509 PKI (infrastruktura javnog ključa) ili prilagođenu konfiguraciju files. OpenVPN omogućava bezbedno tuneliranje podataka kroz jedan TCP/UDP port preko nezaštićene mreže, obezbeđujući tako siguran pristup višestrukim lokacijama i sigurnu udaljenu administraciju na serveru konzole preko Interneta. OpenVPN također omogućava korištenje dinamičkih IP adresa kako od strane servera tako i od strane klijenta, čime se osigurava mobilnost klijenta. Za nprampTako se OpenVPN tunel može uspostaviti između Windows klijenta u romingu i Opengear konzolnog servera unutar centra podataka. Konfiguracija OpenVPN-a može biti složena tako da Opengear pruža GUI sučelje za osnovno podešavanje kao što je opisano u nastavku. Detaljnije informacije dostupne su na http://www.openvpn.net
3.10.1 Omogućavanje OpenVPN-a 1. Odaberite OpenVPN u meniju Serial & Networks
53

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
2. Kliknite Dodaj i dovršite ekran Dodaj OpenVPN tunel 3. Unesite bilo koji opisni naziv koji želite da identifikujete OpenVPN tunel koji dodajete, npr.ample
NorthStOutlet-VPN
4. Izaberite metod provjere autentičnosti koji će se koristiti. Za provjeru autentičnosti pomoću certifikata odaberite PKI (X.509 certifikati) ili odaberite Prilagođena konfiguracija za prijenos prilagođene konfiguracije files. Prilagođene konfiguracije moraju biti pohranjene u /etc/config.
NAPOMENA Ako odaberete PKI, uspostavite: Odvojeni certifikat (također poznat kao javni ključ). Ovaj sertifikat File je *.crt file upišite Privatni ključ za server i svakog klijenta. Ovaj privatni ključ File je *.ključ file tip
Certifikat i ključ Primary Certificate Authority (CA) koji se koristi za potpisivanje svakog servera
i sertifikate klijenata. Ovaj korijenski CA certifikat je *.crt file tip Za server, možda će vam trebati i dh1024.pem (Diffie Hellman parametri). Pogledajte http://openvpn.net/easyrsa.html za vodič za osnovno upravljanje RSA ključevima. Za alternativne metode provjere autentičnosti pogledajte http://openvpn.net/index.php/documentation/howto.html#auth.
5. Odaberite upravljački program uređaja koji će se koristiti, ili Tun-IP ili Tap-Ethernet. TUN (mrežni tunel) i TAP (mrežni dodir) drajveri su drajveri virtuelne mreže koji podržavaju IP tuneliranje i Ethernet tuneliranje, respektivno. TUN i TAP su dio Linux kernela.
6. Izaberite ili UDP ili TCP kao protokol. UDP je zadani i preferirani protokol za OpenVPN. 7. Označite ili poništite izbor dugmeta Kompresija da biste omogućili ili onemogućili kompresiju. 8. U režimu tunela odredite da li je ovo klijentski ili serverski kraj tunela. Prilikom pokretanja kao
server, konzolni server podržava više klijenata koji se povezuju na VPN server preko istog porta.
54

Uputstvo za upotrebu
3.10.2 Konfiguracija kao server ili klijent
1. Popunite detalje o klijentu ili pojedinosti o serveru u zavisnosti od odabranog načina rada tunela. o Ako je izabran klijent, primarna adresa servera je adresa OpenVPN servera. o Ako je odabran Server, unesite mrežnu adresu IP Pool i Mrežnu masku IP Pool za IP Pool. Mreža definirana IP Pool Mrežna adresa/maska se koristi za pružanje adresa za povezivanje klijenata.
2. Kliknite na Primijeni da sačuvate promjene
55

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
3. Da unesete sertifikate o autentifikaciji i files, odaberite Upravljanje OpenVPN-om Files tab. Otpremite ili pregledajte relevantne certifikate za autentifikaciju i files.
4. Primijenite da sačuvate promjene. Sačuvano files su prikazane crvenom bojom na desnoj strani dugmeta Upload.
5. Da biste omogućili OpenVPN, uredite OpenVPN tunel
56

Uputstvo za upotrebu
6. Označite dugme Omogućeno. 7. Primijenite da biste sačuvali promjene NAPOMENA Uvjerite se da je sistemsko vrijeme konzolnog servera ispravno kada radite sa OpenVPN-om kako biste izbjegli
pitanja autentifikacije.
8. Odaberite Statistics na Status izborniku da provjerite da tunel radi.
57

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
3.10.3 Podešavanje Windows OpenVPN klijenta i servera Ovaj odeljak opisuje instalaciju i konfiguraciju Windows OpenVPN klijenta ili Windows OpenVPN servera i podešavanje VPN veze sa serverom konzole. Konzolni serveri automatski generišu konfiguraciju Windows klijenta iz GUI-ja za unaprijed dijeljenu tajnu (statički ključ File) konfiguracije.
Alternativno OpenVPN GUI za Windows softver (koji uključuje standardni OpenVPN paket plus Windows GUI) može se preuzeti sa http://openvpn.net. Jednom instaliran na Windows mašini, OpenVPN ikona se dodaje u oblast obaveštenja koja se nalazi na desnoj strani trake zadataka. Desni klik na ovu ikonu da pokrenete i zaustavite VPN veze, uredite konfiguracije i view logs.
Kada softver OpenVPN počne da radi, C: Program FileMapa sOpenVPNconfig je skenirana za .opvn files. Ovaj folder se ponovo provjerava za novu konfiguraciju files kad god se klikne desnim klikom na OpenVPN GUI ikonu. Kada se OpenVPN instalira, kreirajte konfiguraciju file:
58

Uputstvo za upotrebu

Koristeći uređivač teksta, kreirajte xxxx.ovpn file i sačuvajte u C:Programu FilesOpenVPNconfig. Za nprample, C: Program FilesOpenVPNconfigclient.ovpn
Bivšiample konfiguracije OpenVPN Windows klijenta file je prikazano ispod:
# opis: IM4216_client klijent proto udp verb 3 dev tun daljinski 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt ključ c:\openvpnkeys-client-per. tun comp-lzo
Bivšiample konfiguracije OpenVPN Windows servera file je prikazano ispod:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt certnkeys:\openvpnkeys\ca.crt c:\openvpnkeys\ca.crt c:\openvpnkeys c:\openvpnkeys\nkeys:ppenvpcrt ključ dh c:\openvpnkeys\dh.pem comp-lzo verb 1 syslog IM4216_OpenVPN_Server
Konfiguracija Windows klijent/server file opcije su:

Opcije #description: Klijent server proto udp proto tcp mssfix glagol
dev tun dev tap

Opis Ovo je komentar koji opisuje konfiguraciju. Redovi komentara počinju sa `#' i OpenVPN ih zanemaruje. Odredite da li će ovo biti konfiguracija klijenta ili servera file. U konfiguraciji servera file, definirajte skup IP adresa i mrežnu masku. Za nprample, server 10.100.10.0 255.255.255.0 Postavite protokol na UDP ili TCP. Klijent i server moraju koristiti iste postavke. Mssfix postavlja maksimalnu veličinu paketa. Ovo je korisno samo za UDP ako dođe do problema.
Set log file nivo opširnosti. Nivo opširnosti dnevnika može se postaviti od 0 (minimalno) do 15 (maksimalno). Za nprample, 0 = tih, osim za fatalne greške 3 = srednji izlaz, dobar za opću upotrebu 5 = pomaže u otklanjanju grešaka u vezi s vezom 9 = opširno, odlično za rješavanje problema Odaberite `dev tun' da kreirate rutirani IP tunel ili `dev tap' da kreirate Ethernet tunel. Klijent i server moraju koristiti iste postavke.

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika

daljinski Port Keepalive
http-proxy cafile ime>
certfile ime>
ključfile ime>
dhfile naziv> Nobind persist-key persist-tun šifra BF-CBC Blowfish (zadano) šifra AES-128-CBC AES šifra DES-EDE3-CBC Triple-DES comp-lzo syslog

Ime hosta/IP OpenVPN servera kada radi kao klijent. Unesite ili DNS ime hosta ili statičku IP adresu servera. UDP/TCP port servera. Keepalive koristi ping da održava OpenVPN sesiju živom. 'Keepalive 10 120′ pingova svakih 10 sekundi i pretpostavlja da je udaljeni peer isključen ako nijedan ping nije primljen u vremenskom periodu od 120 sekundi. Ako je proxy potreban za pristup serveru, unesite DNS ime proxy servera ili IP i broj porta. Unesite CA certifikat file naziv i lokaciju. Isti CA certifikat file mogu koristiti server i svi klijenti. Napomena: Osigurajte da je svaki `' u putanji direktorija zamijenjen sa ` \'. Za nprample, c:openvpnkeysca.crt će postati c:\openvpnkeys\ca.crt Unesite certifikat klijenta ili servera file naziv i lokaciju. Svaki klijent treba da ima svoj sertifikat i ključ files. Napomena: Osigurajte da je svaki `' u putanji direktorija zamijenjen sa ` \'. Unesite file naziv i lokaciju ključa klijenta ili servera. Svaki klijent treba da ima svoj sertifikat i ključ files. Napomena: Osigurajte da je svaki `' u putanji direktorija zamijenjen sa ` \'. Ovo koristi samo server. Unesite putanju do ključa s Diffie-Hellmanovim parametrima. `Nobind' se koristi kada se klijenti ne moraju vezati za lokalnu adresu ili određeni broj lokalnog porta. To je slučaj u većini konfiguracija klijenata. Ova opcija sprječava ponovno učitavanje ključeva nakon ponovnog pokretanja. Ova opcija sprječava zatvaranje i ponovno otvaranje TUN/TAP uređaja nakon ponovnog pokretanja. Odaberite kriptografsku šifru. Klijent i server moraju koristiti iste postavke.
Omogućite kompresiju na OpenVPN linku. Ovo mora biti omogućeno i na klijentu i na serveru. Prema zadanim postavkama, evidencije se nalaze u syslogu ili, ako se izvršavaju kao usluga u prozoru, u programu FilesOpenVPNlog direktorij.

Za pokretanje OpenVPN tunela nakon kreiranja klijent/server konfiguracije files: 1. Desni klik na OpenVPN ikonu u području obavijesti 2. Odaberite novokreiranu konfiguraciju klijenta ili servera. 3. Kliknite na Connect

4. Dnevnik file se prikazuje kako je veza uspostavljena
60

Uputstvo za upotrebu
5. Kada se uspostavi, OpenVPN ikona prikazuje poruku koja ukazuje na uspješnu vezu i dodijeljenu IP adresu. Ove informacije, kao i vrijeme uspostavljanja veze, dostupne su pomicanjem preko ikone OpenVPN.
3.11 PPTP VPN
Serveri konzole uključuju PPTP (protokol za tuneliranje od tačke do tačke) server. PPTP se koristi za komunikaciju preko fizičke ili virtualne serijske veze. Krajnje točke PPP-a definiraju virtuelnu IP adresu za sebe. Rute do mreža se mogu definirati sa ovim IP adresama kao gateway-om, što rezultira slanjem saobraćaja kroz tunel. PPTP uspostavlja tunel između fizičkih PPP krajnjih tačaka i bezbedno prenosi podatke kroz tunel.
Snaga PPTP-a je njegova lakoća konfiguracije i integracije u postojeću Microsoft infrastrukturu. Obično se koristi za povezivanje pojedinačnih udaljenih Windows klijenata. Ako svoj prijenosni računar ponesete na poslovno putovanje, možete pozvati lokalni broj da se povežete sa svojim provajderom usluga pristupa Internetu (ISP) i kreirate drugu vezu (tunel) u svoju kancelarijsku mrežu preko Interneta i imate isti pristup svom korporativnu mrežu kao da ste povezani direktno iz svoje kancelarije. Zaposleni na daljinu također mogu postaviti VPN tunel preko svog kabelskog modema ili DSL veze do svog lokalnog ISP-a.
61

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
Da biste postavili PPTP vezu s udaljenog Windows klijenta na vaš Opengear uređaj i lokalnu mrežu:
1. Omogućite i konfigurirajte PPTP VPN server na vašem Opengear uređaju 2. Postavite VPN korisničke račune na Opengear uređaju i omogućite odgovarajuće
autentikacija 3. Konfigurirajte VPN klijente na udaljenim stranicama. Klijentu nije potreban poseban softver kao
PPTP server podržava standardni PPTP klijentski softver uključen u Windows NT i novije verzije 4. Povežite se na udaljeni VPN 3.11.1 Omogućite PPTP VPN server 1. Odaberite PPTP VPN na meniju Serial & Networks
2. Potvrdite izbor u polju za potvrdu Omogući da biste omogućili PPTP server. 3. Odaberite minimalnu potrebnu provjeru autentičnosti. Pristup je odbijen udaljenim korisnicima koji to pokušavaju
povežite koristeći šemu autentikacije slabiju od odabrane šeme. Šeme su opisane u nastavku, od najjačih do najslabijih. · Šifrovana autentifikacija (MS-CHAP v2): Najjači tip autentifikacije za upotrebu; ovo je
preporučena opcija · Slabo šifrovana autentifikacija (CHAP): Ovo je najslabija vrsta šifrovane lozinke
autentifikaciju za korištenje. Ne preporučuje se da se klijenti povezuju koristeći ovo jer pruža vrlo malu zaštitu lozinkom. Također imajte na umu da klijenti koji se povezuju koristeći CHAP ne mogu šifrirati promet
62

Uputstvo za upotrebu
· Unencrypted Authentication (PAP): Ovo je autentikacija lozinkom obicnog teksta. Kada se koristi ovaj tip autentifikacije, lozinka klijenta se prenosi nešifrovana.
· Ništa 4. Odaberite potreban nivo šifriranja. Pristup je odbijen udaljenim korisnicima koji pokušavaju da se povežu
koji ne koriste ovaj nivo enkripcije. 5. U Local Address unesite IP adresu koju želite dodijeliti kraju VPN veze servera 6. U Remote Addresses unesite skup IP adresa koje želite dodijeliti VPN-u dolaznog klijenta
veze (npr. 192.168.1.10-20). Ovo mora biti slobodna IP adresa ili raspon adresa iz mreže koji su udaljeni korisnici dodijeljeni dok su povezani na Opengear uređaj. 7. Unesite željenu vrijednost maksimalne jedinice za prijenos (MTU) za PPTP sučelje u polje MTU (podrazumevano na 1400) 8. U polje DNS server unesite IP adresu DNS servera koji dodeljuje IP adrese za povezivanje PPTP klijenata 9. U polje WINS server unesite IP adresu WINS servera koji dodeljuje IP adrese za povezivanje PPTP klijenta 10. Omogućite opširno evidentiranje kako biste pomogli u otklanjanju grešaka u problemima sa vezom 11. Kliknite na Primijeni postavke 3.11.2 Dodavanje PPTP korisnika 1. Odaberite Korisnici i grupe na izborniku Serial & Networks i popunite polja kao što je opisano u odjeljku 3.2. 2. Uvjerite se da je pptpd grupa označena, kako biste dozvolili pristup PPTP VPN serveru. Napomena – korisnici u ovoj grupi imaju svoje lozinke pohranjene u čistom tekstu. 3. Zabilježite korisničko ime i lozinku kada se trebate povezati na VPN vezu 4. Kliknite na Apply
63

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
3.11.3 Podešavanje udaljenog PPTP klijenta Uverite se da udaljeni VPN klijent PC ima internet konekciju. Da biste kreirali VPN vezu preko Interneta, morate postaviti dvije mrežne veze. Jedna veza je za ISP, a druga veza je za VPN tunel do Opengear uređaja. NAPOMENA Ova procedura postavlja PPTP klijenta u operativnom sistemu Windows Professional. Koraci
može se neznatno razlikovati ovisno o vašem pristupu mreži ili ako koristite alternativnu verziju Windows-a. Detaljnija uputstva dostupna su od Microsofta web site. 1. Prijavite se na svoj Windows klijent sa administratorskim privilegijama 2. Iz Centra za mrežu i dijeljenje na kontrolnoj tabli odaberite Mrežne veze i kreirajte novu vezu
64

Uputstvo za upotrebu
3. Odaberite Koristi moju Internet vezu (VPN) i unesite IP adresu Opengear uređaja Da biste povezali udaljene VPN klijente na lokalnu mrežu, morate znati korisničko ime i lozinku za PPTP račun koji ste dodali, kao i Internet IP adresu Opengear uređaja. Ako vam ISP nije dodijelio statičku IP adresu, razmislite o korištenju dinamičke DNS usluge. U suprotnom morate mijenjati konfiguraciju PPTP klijenta svaki put kada se vaša Internet IP adresa promijeni.
65

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika

3.12 Call Home
Svi konzolni serveri uključuju funkciju Call Home koja pokreće postavljanje sigurnog SSH tunela od konzolnog servera do centraliziranog Opengear Lighthousea. Konzolni server se registruje kao kandidat na Lighthouseu. Kada se tamo prihvati, postaje server upravljane konzole.
Lighthouse nadgleda server Managed Console Server i administratori mogu pristupiti udaljenom Managed Console Serveru preko Lighthousea. Ovaj pristup je dostupan čak i kada se server udaljene konzole nalazi iza firewall-a treće strane ili ima privatne IP adrese koje se ne mogu usmjeravati.

NAPOMENA

Lighthouse održava SSH konekciju sa provjerom autentičnosti javnog ključa na svaki od svojih servera upravljane konzole. Ove veze se koriste za nadgledanje, usmjeravanje i pristup serverima upravljane konzole i upravljanim uređajima povezanim sa serverom upravljane konzole.

Za upravljanje Lokalnim serverima konzole ili konzolnim serverima koji su dostupni sa Lighthousea, SSH veze inicira Lighthouse.

Za upravljanje serverima udaljene konzole ili serverima konzole koji su zaštićeni zaštitnim zidom, koji se ne mogu usmjeravati ili su na neki drugi način nedostupni iz Lighthousea, SSH veze inicira Upravljani konzolni server preko početne veze za poziv kući.

Ovo osigurava sigurnu, provjerenu komunikaciju i omogućava da se jedinice upravljanih konzolnih servera distribuiraju lokalno na LAN-u ili na daljinu širom svijeta.

3.12.1 Podešavanje kandidata Call Home Da biste postavili server konzole kao kandidata za upravljanje Call Home na Lighthouseu:
1. Odaberite Call Home na meniju Serial & Network

2. Ako već niste generirali ili prenijeli par SSH ključeva za ovaj konzolni server, učinite to prije nego što nastavite
3. Kliknite na Dodaj

4. Unesite IP adresu ili DNS ime (npr. dinamičku DNS adresu) Lighthousea.
5. Unesite lozinku koju ste konfigurisali na CMS-u kao lozinku za poziv kući.
66

Uputstvo za upotrebu
6. Kliknite na Primijeni Ovi koraci pokreću vezu Call Home sa servera konzole na Lighthouse. Ovo kreira SSHlistening port na Lighthouse-u i postavlja server konzole kao kandidata.
Nakon što je kandidat prihvaćen na Lighthouse-u, SSH tunel do servera konzole se preusmjerava nazad preko Call Home veze. Konzolni server je postao Upravljani konzolni server i Lighthouse se može povezati na njega i nadgledati ga kroz ovaj tunel. 3.12.2 Prihvatite kandidata Call Home kao servera upravljane konzole na Lighthouseu Ovaj odjeljak daje višeview o konfiguraciji Lighthousea za nadgledanje konzolnih Lighthouse servera koji su povezani putem Call Home. Za više detalja pogledajte Lighthouse korisnički vodič:
1. Unesite novu lozinku za poziv kući na Lighthouse. Ova lozinka se koristi za prihvatanje
Pozovite Homeconnections sa servera konzole kandidata
2. Svjetionik može biti kontaktiran od strane servera konzole, on mora imati ili statičku IP adresu
adresu ili, ako koristite DHCP, biti konfigurisan za korištenje dinamičke DNS usluge
Ekran Konfiguracija > Upravljani serveri konzole na Lighthouseu prikazuje status
lokalni andremote Managed Console Servers i kandidati.
Odjeljak Upravljani serveri konzole prikazuje servere konzole koje nadgleda
Lighthouse. Odjeljak Detected Console Servers sadrži:
o Padajući meni Local Console Servers koji navodi sve servere konzole koji se nalaze na
ista podmreža kao i Lighthouse i ne nadgledaju se
67

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
o Padajući meni Remote Console Servers koji navodi sve servere konzole koji su uspostavili Call Home vezu i koji se ne nadziru (tj. kandidati). Možete kliknuti na Osvježi za ažuriranje
Da biste dodali kandidata za konzolni server na listu Upravljani server konzole, izaberite ga sa padajuće liste Remote Console Servers i kliknite na Dodaj. Unesite IP adresu i SSH port (ako ova polja nisu automatski popunjena) i unesite opis i jedinstveno ime za server Managed Console koji dodajete
Unesite Remote Root Password (tj. Sistemsku lozinku koja je postavljena na ovom serveru upravljane konzole). Ovu lozinku koristi Lighthouse za propagiranje automatski generiranih SSH ključeva i nije pohranjena. Kliknite na Primijeni. Lighthouse postavlja sigurne SSH veze sa i sa servera upravljane konzole i preuzima njegove upravljane uređaje, detalje o korisničkom nalogu i konfigurisana upozorenja 3.12.3 Pozivanje kuće na generički centralni SSH server Ako se povezujete na generički SSH server (ne Lighthouse) možete konfigurisati Napredne postavke: · Unesite port SSH servera i SSH korisnika. · Unesite detalje za prosljeđivanje SSH portova za kreiranje
Odabirom Slušajući server, možete kreirati udaljeni port koji se prosljeđuje sa servera na ovu jedinicu ili lokalni port koji se prosljeđuje sa ove jedinice na server:
68

Uputstvo za upotrebu
· Odredite port za slušanje za prosljeđivanje, ostavite ovo polje praznim da dodijelite neiskorišteni port · Unesite ciljni server i ciljni port koji će biti primatelj proslijeđenih veza
3.13 IP prolaz
IP Passthrough se koristi da modemska veza (npr. interni ćelijski modem) izgleda kao obična Ethernet veza sa nizvodnim ruterom treće strane, omogućavajući nizvodnom ruteru da koristi modemsku vezu kao primarni ili rezervni WAN interfejs.
Opengear uređaj obezbjeđuje IP adresu modema i detalje o DNS-u nizvodnom uređaju preko DHCP-a i prosljeđuje mrežni promet do i od modema i rutera.
Dok IP Passthrough pretvara Opengear u polumost modem-Ethernet, neke usluge sloja 4 (HTTP/HTTPS/SSH) mogu biti prekinute na Opengear-u (presretanja usluga). Također, usluge koje rade na Opengear-u mogu pokrenuti odlazne ćelijske veze neovisno o nizvodnom ruteru.
Ovo omogućava da se Opengear i dalje koristi za upravljanje van opsega i uzbunjivanje, kao i da se njime upravlja preko Lighthousea, dok je u IP Passthrough modu.
3.13.1 Podešavanje downstream rutera Da bi se koristilo povezivanje preko greške na nizvodnom ruteru (aka Failover to Cellular ili F2C), on mora imati dva ili više WAN interfejsa.
NAPOMENA Failover u kontekstu IP Passthrough obavlja nizvodni ruter, a ugrađena vanpojasna logika prelaska greške na Opengear nije dostupna dok je u režimu IP Passthrough.
Povežite Ethernet WAN interfejs na nizvodnom ruteru na Opengearov mrežni interfejs ili LAN port za upravljanje pomoću Ethernet kabla.
Konfigurirajte ovo sučelje na nizvodnom ruteru za primanje njegovih mrežnih postavki putem DHCP-a. Ako je potrebno prebacivanje u slučaju greške, konfigurirajte nizvodni ruter za prebacivanje između njegovog primarnog sučelja i Ethernet porta spojenog na Opengear.
3.13.2 Pre-konfiguracija IP prolaza Preduvjetni koraci za omogućavanje IP prolaza su:
1. Konfigurirajte mrežno sučelje i gdje je primjenjivo upravljačka LAN sučelja sa statičkim mrežnim postavkama. · Kliknite Serial & Network > IP. · Za Mrežni interfejs i gde je primenljivo LAN za upravljanje, izaberite Statični za metod konfiguracije i unesite mrežna podešavanja (pogledajte odeljak pod naslovom Mrežna konfiguracija za detaljna uputstva). · Za sučelje povezano na downstream ruter, možete odabrati bilo koju namjensku privatnu mrežu, ova mreža postoji samo između Opengear-a i downstream rutera i nije normalno dostupna. · Za drugi interfejs, konfigurišite ga na uobičajen način na lokalnoj mreži. · Za oba interfejsa, ostavite Gateway praznim.
2. Konfigurirajte modem u Always On Out-of-band modu.
69

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
· Za mobilnu vezu, kliknite na Sistem > Pozovi: interni celularni modem. · Odaberite Omogući Dial-Out i unesite detalje o operateru kao što je APN (pogledajte odjeljak Mobilni modem
Povezivanje za detaljna uputstva). 3.13.3 Konfiguracija IP prolaza Da biste konfigurirali IP prolaz:
· Kliknite Serial & Network > IP Passthrough i označite Enable. · Odaberite Opengear modem koji ćete koristiti za uzvodno povezivanje. · Opciono, unesite MAC adresu povezanog interfejsa nizvodnog rutera. Ako je MAC adresa
nije specificirano, Opengear će proći do prvog uređaja koji traži DHCP adresu. · Odaberite Opengear Ethernet sučelje za korištenje za povezivanje sa nižim ruterom.
· Kliknite na Apply. 3.13.4 Presretanja usluga Ovo omogućavaju Opengear-u da nastavi pružati usluge, nprample, za upravljanje van opsega kada je u režimu IP prolaza. Vezama na adresu modema na specificiranim portovima za presretanje rukuje Opengear umjesto da se prosljeđuju na nizvodni ruter.
· Za potrebnu uslugu HTTP, HTTPS ili SSH, označite Enable · Opciono modificirajte Intercept Port na alternativni port (npr. 8443 za HTTPS), ovo je korisno ako
žele nastaviti da dozvoljavaju nizvodnom ruteru da ostane dostupan preko svog redovnog porta. 3.13.5 Status IP prolaza Osvježite stranicu na view odeljak Status. Prikazuje eksternu IP adresu modema kroz koju se propušta, internu MAC adresu nizvodnog rutera (popunjena samo kada nizvodni ruter prihvati DHCP zakup) i ukupni status rada IP Passthrough usluge. Možete biti upozoreni na status prelaska na grešku nizvodnog rutera tako što ćete konfigurisati proveru korišćenja usmeravanih podataka u okviru Upozorenja i evidentiranje > Automatski odgovor. 3.13.6 Upozorenja Neki nizvodni ruteri mogu biti nekompatibilni sa rutom mrežnog prolaza. Ovo se može dogoditi kada IP Passthrough premošćuje 3G mobilnu mrežu gdje je adresa mrežnog prolaza odredišna adresa od tačke do tačke i informacije o podmreži nisu dostupne. Opengear šalje DHCP mrežnu masku od 255.255.255.255. Uređaji to obično tumače kao rutu jednog hosta na interfejsu, ali neki stariji uređaji na nižem toku mogu imati problema.
70

Uputstvo za upotrebu
Presretanja za lokalne usluge neće raditi ako Opengear koristi zadanu rutu koja nije modem. Takođe, neće raditi osim ako usluga nije omogućena i pristup usluzi nije omogućen (pogledajte Sistem > Usluge, ispod kartice Pristup servisu pronađite Dialout/Cellular).
Podržane su odlazne veze koje potiču iz Opengear-a do udaljenih usluga (npr. slanje SMTP e-mail upozorenja, SNMP zamke, dobijanje NTP vremena, IPSec tuneli). Postoji mali rizik od neuspjeha veze ako i Opengear i nizvodni uređaj pokušaju pristupiti istom UDP ili TCP portu na istom udaljenom hostu u isto vrijeme kada su nasumično odabrali isti izvorni lokalni broj porta.
3.14 Konfiguracija preko DHCP (ZTP)
Opengear uređaji se mogu obezbediti tokom njihovog početnog pokretanja sa DHCPv4 ili DHCPv6 servera koristeći config-over-DHCP. Omogućavanje na nepouzdanim mrežama može se olakšati obezbjeđivanjem ključeva na USB fleš disku. ZTP funkcionalnost se također može koristiti za obavljanje nadogradnje firmvera pri početnom povezivanju na mrežu ili za upis u Lighthouse 5 instancu.
Priprema Tipični koraci za konfiguraciju preko pouzdane mreže su:
1. Konfigurirajte Opengear uređaj istog modela. 2. Sačuvajte njegovu konfiguraciju kao rezervnu kopiju Opengear (.opg) file. 3. Odaberite System > Configuration Backup > Remote Backup. 4. Kliknite na Save Backup. Konfiguracija rezervne kopije file — naziv-modela_iso-format-date_config.opg — se preuzima sa Opengear uređaja na lokalni sistem. Možete sačuvati konfiguraciju kao xml file: 1. Odaberite Sistem > Sigurnosna kopija konfiguracije > XML konfiguracija. Polje za uređivanje koje sadrži
konfiguraciju file u XML formatu. 2. Kliknite na polje da biste ga učinili aktivnim. 3. Ako koristite bilo koji pretraživač na Windows-u ili Linux-u, kliknite desnim tasterom miša i izaberite Odaberi sve
kontekstualni meni ili pritisnite Control-A. Kliknite desnim tasterom miša i izaberite Kopiraj iz kontekstnog menija ili pritisnite Control-C. 4. Ako koristite bilo koji pretraživač na macOS-u, odaberite Uredi > Odaberi sve ili pritisnite Command-A. Odaberite Uredi > Kopiraj ili pritisnite Command-C. 5. U svom željenom uređivaču teksta kreirajte novi prazan dokument, zalijepite kopirane podatke u prazan dokument i sačuvajte file. Kako god file-name koje odaberete, mora uključivati .xml filesufiks imena. 6. Kopirajte sačuvani .opg ili .xml file u javnom imeniku na a file server koji opslužuje najmanje jedan od sljedećih protokola: HTTPS, HTTP, FTP ili TFTP. (Samo HTTPS se može koristiti ako je veza između file server i Opengear uređaj koji treba da se konfiguriše putuju preko nepouzdane mreže.). 7. Konfigurirajte svoj DHCP server tako da uključuje opciju `specifičnu za dobavljača' za Opengear uređaje. (Ovo će biti urađeno na način specifičan za DHCP server.) Opciju specifičnu za dobavljača treba postaviti na niz koji sadrži URL objavljenog .opg ili .xml file u gornjem koraku. Niz opcija ne smije biti duži od 250 znakova i mora se završavati sa .opg ili .xml.
71

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
8. Povežite novi Opengear uređaj, bilo resetovan na fabrička podešavanja ili obrisan konfiguraciju, na mrežu i priključite napajanje. Može proći do 5 minuta da se uređaj ponovo pokrene.
Example konfiguracija ISC DHCP (dhcpd) servera
Slijedi bivšiample fragment konfiguracije DHCP servera za posluživanje .opg konfiguracijske slike preko ISC DHCP servera, dhcpd:
opcija prostor opengear šifra širina 1 dužina širina 1; opcija opengear.config-url kod 1 = tekst; klasa “opengear-config-over-dhcp-test” {
podudaranje ako opcija vendor-class-identifier ~~ “^Opengear/”; vendor-option-space opengear; opcija opengear.config-url “https://example.com/opg/${class}.opg”; }
Ovo podešavanje se može modificirati za nadogradnju slike konfiguracije pomoću opengear.image-url opciju i pružanje URI-ja za sliku firmvera.
Podešavanje kada je LAN nepouzdan Ako je veza između file server i Opengear uređaj koji treba da se konfiguriše uključuje nepouzdanu mrežu, pristup sa dve ruke može ublažiti problem.
NAPOMENA Ovaj pristup uvodi dva fizička koraka u kojima povjerenje može biti teško, ako ne i nemoguće, uspostaviti u potpunosti. Prvo, lanac starateljstva od kreiranja USB fleš diska koji prenosi podatke do njegovog postavljanja. Drugo, ruke povezuju USB fleš disk sa Opengear uređajem.
· Generirajte X.509 sertifikat za Opengear uređaj.
· Spojite certifikat i njegov privatni ključ u jedan file pod nazivom client.pem.
· Kopirajte client.pem na USB fleš disk.
· Postavite HTTPS server tako da pristupa .opg ili .xml file je ograničen na klijente koji mogu dati X.509 certifikat klijenta generiran gore.
· Stavite kopiju CA sertifikata koji je potpisao sertifikat HTTP servera — ca-bundle.crt — na USB fleš disk koji nosi client.pem.
· Umetnite USB fleš disk u Opengear uređaj pre nego što priključite napajanje ili mrežu.
· Nastavite proceduru od `Kopirajte sačuvani .opg ili .xml file u javnom imeniku na a file server' iznad koristeći HTTPS protokol između klijenta i servera.
Pripremite USB disk i kreirajte X.509 certifikat i privatni ključ
· Generirajte CA certifikat tako da klijentski i serverski zahtjevi za potpisivanje certifikata (CSR) mogu biti potpisani.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serijski # echo 00 > prampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=PrampleCA # cp demoCA/cacert.pem ca-bundle.crt
Ova procedura generiše sertifikat pod nazivom ExampleCA, ali se može koristiti bilo koje dozvoljeno ime certifikata. Također, ova procedura koristi openssl ca. Ako vaša organizacija ima siguran proces generiranja CA za cijelo preduzeće, to bi trebalo koristiti umjesto toga.
72

Uputstvo za upotrebu
· Generirajte sertifikat servera.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-ključfile ca.key -policy policy_anything -batch -notext
NAPOMENA Ime hosta ili IP adresa moraju biti isti niz koji se koristi u serviranju URL. U bivšojampgore, ime hosta je demo.example.com.
· Generirajte certifikat klijenta.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -dana 365 -in client.csr -out client.crt
-ključfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatirajte USB fleš disk kao jedan FAT32 volumen.
· Premjestite client.pem i ca-bundle.crt files u osnovni direktorij fleš diska.
Otklanjanje grešaka u ZTP-u Koristite funkciju ZTP dnevnika za otklanjanje grešaka sa ZTP-om. Dok uređaj pokušava da izvrši ZTP operacije, informacije dnevnika se upisuju u /tmp/ztp.log na uređaju.
Slijedi bivšiample od dnevnika file iz uspješnog ZTP-a.
# cat /tmp/ztp.log Srijeda 13. prosinca 22:22:17 UTC 2017 [5127 obavijest] odhcp6c.eth0: vraćanje konfiguracije putem DHCP-a srijeda 13. prosinca 22:22:17 UTC 2017 [5127 obavijest] odhcp6c. da se mreža podmiri sre, 0. decembra 10:13:22 UTC 22 [27 obaveštenje] odhcp2017c.eth5127: NTP preskočen: nema servera sre, 6. decembra 0:13:22 UTC 22 [27 info] odhcp2017c.eth5127: vendor'spec. http://[fd6:0:1:07::2218]/tftpboot/config.sh' sri 1350. prosinca 44:1:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) sri 6. prosinca 0:2:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) sri 6. prosinca 0:3:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) ) sri 6. prosinca 0:4:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) sri 6. prosinca 0:5:13 UTC 22 [22 info] odhcp28c.eth2017: vendorspec.5127 (vendorspec.6 /a) Srijeda, 0. prosinca 6:13:22 UTC 22 [28 info] odhcp2017c.eth5127: nema firmvera za preuzimanje (vendorspec.6) sigurnosna kopija-url: pokušavam http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: forsiranje wan config moda na DHCP backup-url: postavljanje imena hosta na acm7004-0013c601ce97 backup-url: uspješno učitavanje sri 13. prosinca 22:22:36 UTC 2017 [5127 obavijest] odhcp6c.eth0: uspješno učitavanje konfiguracije sri 13. decembra 22:22:36 UTC 2017 [5127 info] odhcp6c.ethven: nespecifična konfiguracija svjetionika/0 3/4/5) Srijeda, 6. prosinca 13:22:22 UTC 36. [2017 obavijest] odhcp5127c.eth6: dostavljanje je završeno, a ne ponovno pokretanje
Greške se evidentiraju u ovom dnevniku.
3.15 Upis u Lighthouse
Koristite Upis u Lighthouse za upis Opengear uređaja u Lighthouse instancu, pružajući centralizirani pristup konzolnim portovima i omogućavajući centralnu konfiguraciju Opengear uređaja.
Pogledajte Lighthouse korisnički priručnik za upute za upis Opengear uređaja u Lighthouse.
73

Poglavlje 3: Serijski port, uređaj i konfiguracija korisnika
3.16 Omogući DHCPv4 Relay
DHCP relejni servis prosljeđuje DHCP pakete između klijenata i udaljenih DHCP servera. DHCP relejni servis može se omogućiti na Opengear konzolnom serveru, tako da sluša DHCP klijente na određenim nižim interfejsima, omota i prosleđuje njihove poruke do DHCP servera koristeći bilo normalno rutiranje, ili direktno na određene gornje interfejse. DHCP relejni agent stoga prima DHCP poruke i generiše novu DHCP poruku za slanje na drugom interfejsu. U koracima u nastavku, serveri konzole mogu se povezati na ID-ove kola, Ethernet ili ćelijske modeme koristeći DHCPv4 Relay uslugu.
DHCPv4 Relej + DHCP opcija 82 (id-circuit-id) Infrastruktura – Lokalni DHCP server, ACM7004-5 za relej, bilo koji drugi uređaji za klijente. Bilo koji uređaj sa LAN ulogom može se koristiti kao relej. U ovom exampDakle, 192.168.79.242 je adresa za klijentov relejni interfejs (kao što je definisano u konfiguraciji DHCP servera file gore) i 192.168.79.244 je gornja adresa interfejsa relejne kutije, a enp112s0 je nizvodno sučelje DHCP servera.
1 Infrastruktura – DHCPv4 Relej + DHCP opcija 82 (id kola)
Koraci na DHCP serveru 1. Podesite lokalni DHCP v4 server, posebno, trebalo bi da sadrži unos „host“ kao ispod za DHCP klijenta: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; opcija host-identifikatora agent.circuit-id “relay1”; fiksna adresa 192.168.79.242; } Napomena: linija “hardverski ethernet” je komentarisana, tako da će DHCP server koristiti postavku “circuit-id” da dodijeli adresu relevantnom klijentu. 2. Ponovo pokrenite DHCP server da ponovo učitate njegovu promijenjenu konfiguraciju file. pkill -HUP dhcpd
74

Uputstvo za upotrebu
3. Ručno dodajte rutu hosta na sučelje „relayed“ klijenta (sučelje iza DHCP releja, a ne druga sučelja koje klijent također može imati:
sudo ip route add 192.168.79.242/32 preko 192.168.79.244 dev enp112s0 Ovo će pomoći da se izbjegne problem asimetričnog rutiranja kada klijent i DHCP server žele da pristupe jedan drugom preko klijentovog relejnog sučelja, kada klijent ima druga sučelja na istom podmreže skupa DHCP adresa.
Napomena: Ovaj korak je neophodan za podršku dhcp servera i klijenta koji mogu da pristupe jedan drugom.
Koraci na relejnoj kutiji – ACM7004-5
1. Postavite WAN/eth0 u statički ili dhcp način (ne nekonfigurisan način). Ako je u statičkom režimu, mora imati IP adresu unutar skupa adresa DHCP servera.
2. Primijenite ovu konfiguraciju kroz CLI (gdje je 192.168.79.1 adresa DHCP servera)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.uppers. .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Donji interfejs DHCP releja mora imati statičku IP adresu unutar skupa adresa DHCP servera. U ovom example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.disabled. -r ipconfig
4. Sačekajte kratko da klijent dobije DHCP zakup preko releja.
Koraci na klijentu (CM7116-2-dac u ovom example ili bilo koji drugi OG CS)
1. Uključite klijentov LAN/eth1 u LAN/eth1 releja 2. Konfigurirajte klijentov LAN da dobije IP adresu putem DHCP-a kao i obično 3. Jednom

Dokumenti / Resursi

opengear ACM7000 Remote Site Gateway [pdf] Korisnički priručnik
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Reference

Uputstvo za upotrebu

opengear ACM7000 Remote Site Gateway

Informacije o proizvodu

Upute za upotrebu proizvoda

FAQs

Ovaj priručnik

Konfiguracija sistema

Serijski port, host, uređaj i konfiguracija korisnika

Dokumenti / Resursi

Reference

Ostavite komentar

Otkaži odgovor