Manual d'usuari de la passarel·la del lloc remot opengear ACM7000

No connecteu ni desconnecteu el servidor de la consola durant una tempesta elèctrica. Utilitzeu sempre un supresor de sobretensions o un SAI per protegir l'equip dels transitoris.

Avís de la FCC:

Aquest dispositiu compleix la part 15 de les normes de la FCC. El funcionament d'aquest dispositiu està subjecte a les condicions següents: (1) Aquest dispositiu no pot causar interferències perjudicials i (2) aquest dispositiu ha d'acceptar qualsevol interferència que pugui provocar un funcionament no desitjat.

Preguntes freqüents

P: Puc utilitzar l'ACM7000 Remote Site Gateway durant una tempesta elèctrica?
- A: No, es recomana no connectar ni desconnectar el servidor de la consola durant una tempesta elèctrica per evitar danys.

P: Quina versió de les regles de la FCC compleix el dispositiu?
- A: El dispositiu compleix la part 15 de les normes de la FCC.

View Fullscreen

Manual d'usuari
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Versió 5.0 – 2023-12

Seguretat
Seguiu les precaucions de seguretat següents quan instal·leu i utilitzeu el servidor de la consola: · No traieu les cobertes metàl·liques. A l'interior no hi ha components que puguin ser reparats per l'operador. Obrir o treure la coberta pot exposar-vos a perills voltagi que pot causar incendi o descàrrega elèctrica. Demaneu tot el servei a personal qualificat d'Opengear. · Per evitar descàrregues elèctriques, el conductor de protecció del cable d'alimentació s'ha de connectar a terra. · Estireu sempre de l'endoll, no del cable, quan desconnecteu el cable d'alimentació de la presa.
No connecteu ni desconnecteu el servidor de la consola durant una tempesta elèctrica. També utilitzeu un supresor de sobretensions o SAI per protegir l'equip dels transitoris.
Declaració d'advertència de la FCC
Aquest dispositiu compleix la part 15 de les normes de la FCC. El funcionament d'aquest dispositiu està subjecte al següent
condicions: (1) Aquest dispositiu no pot causar interferències perjudicials i (2) aquest dispositiu ha d'acceptar qualsevol interferència que pugui provocar un funcionament no desitjat.
S'han d'utilitzar sistemes de seguretat adequats i els dispositius de seguretat necessaris per protegir-se de lesions, morts o danys a la propietat a causa d'una fallada del sistema. Aquesta protecció és responsabilitat de l'usuari. Aquest dispositiu de servidor de consola no està aprovat per utilitzar-lo com a sistema mèdic o de suport vital. Qualsevol canvi o modificació realitzada al dispositiu del servidor de la consola sense l'aprovació o el consentiment explícit d'Opengear anul·larà a Opengear qualsevol responsabilitat o responsabilitat per lesions o pèrdues causades per un mal funcionament. Aquest equip és per a ús interior i tots els cables de comunicació es limiten a l'interior de l'edifici.
2

Manual d'usuari
Copyright
©Opengear Inc. 2023. Tots els drets reservats. La informació d'aquest document està subjecta a canvis sense previ avís i no representa cap compromís per part d'Opengear. Opengear proporciona aquest document "tal com és", sense cap tipus de garantia, expressa o implícita, incloses, entre d'altres, les garanties implícites d'aptitud o comercialització per a un propòsit particular. Opengear pot fer millores i/o canvis en aquest manual o en els productes i/o els programes descrits en aquest manual en qualsevol moment. Aquest producte pot incloure imprecisions tècniques o errors tipogràfics. Periòdicament es fan canvis a la informació continguda; aquests canvis es podran incorporar en noves edicions de la publicació.\

Capítol 1

Aquest manual

AQUEST MANUAL

Aquest manual d'usuari explica la instal·lació, el funcionament i la gestió dels servidors de la consola Opengear. Aquest manual suposa que esteu familiaritzat amb Internet i les xarxes IP, HTTP, FTP, les operacions bàsiques de seguretat i la xarxa interna de la vostra organització.
1.1 Tipus d'usuaris
El servidor de la consola admet dues classes d'usuaris:
· Administradors que tenen privilegis il·limitats de configuració i gestió sobre la consola
servidor i dispositius connectats, així com tots els serveis i ports per controlar tots els dispositius connectats en sèrie i dispositius connectats a la xarxa (amfitrions). Els administradors es configuren com a membres del grup d'usuaris administradors. Un administrador pot accedir i controlar el servidor de la consola mitjançant la utilitat de configuració, la línia d'ordres de Linux o la consola de gestió basada en navegador.
· Usuaris que hagin estat configurats per un administrador amb límits de la seva autoritat d'accés i control.
Els usuaris tenen un límit view de la Consola de gestió i només pot accedir als dispositius configurats autoritzats i review registres del port. Aquests usuaris es configuren com a membres d'un o més dels grups d'usuaris preconfigurats, com ara PPTPD, dialin, FTP, pmshell, usuaris o grups d'usuaris que l'administrador hagi creat. Només estan autoritzats a realitzar controls específics en dispositius connectats específics. Els usuaris, quan estiguin autoritzats, poden accedir i controlar dispositius connectats en sèrie o en xarxa mitjançant serveis específics (per exemple, Telnet, HHTPS, RDP, IPMI, sèrie a través de LAN, control d'alimentació). Els usuaris remots són usuaris que no es troben al mateix segment de LAN que el servidor de la consola. Un usuari remot pot estar a la carretera connectant-se a dispositius gestionats a través d'Internet pública, un administrador d'una altra oficina connectant-se al servidor de la consola a través de la VPN de l'empresa, o a la mateixa habitació o la mateixa oficina però connectat en una VLAN independent a la consola. servidor.
1.2 Consola de gestió
La consola de gestió d'Opengear us permet configurar i supervisar les funcions del vostre servidor de consola Opengear. La consola de gestió s'executa en un navegador i proporciona un view del servidor de la consola i tots els dispositius connectats. Els administradors poden utilitzar la consola de gestió per configurar i gestionar el servidor de la consola, els usuaris, els ports, els amfitrions, els dispositius d'alimentació i els registres i alertes associats. Els usuaris no administradors poden utilitzar la Consola de gestió amb accés limitat al menú per controlar dispositius seleccionats, review els seus registres i accedir-hi mitjançant l'opció integrada Web terminal.
El servidor de la consola executa un sistema operatiu Linux incrustat i es pot configurar a la línia d'ordres. Podeu obtenir accés a la línia d'ordres per telèfon mòbil / marcatge, connectant-vos directament al port sèrie de la consola/mòdem del servidor de la consola o utilitzant SSH o Telnet per connectar-vos al servidor de la consola a través de la LAN (o connectant-vos amb PPTP, IPsec o OpenVPN) .
6

Manual d'usuari
Per obtenir ordres de la interfície de línia d'ordres (CLI) i instruccions avançades, descarregueu l'Opengear CLI and Scripting Reference.pdf des de https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Més informació
Per a més informació, consulteu: · Productes Opengear Web Lloc: Vegeu https://opengear.com/products. Per obtenir la informació més actualitzada sobre el que s'inclou amb el servidor de la consola, visiteu la secció Què s'inclou del vostre producte en concret. · Guia d'inici ràpid: per obtenir la Guia d'inici ràpid del vostre dispositiu, consulteu https://opengear.com/support/documentation/. · Base de coneixements d'Opengear: visiteu https://opengear.zendesk.com per accedir a articles tècnics, consells tècnics, preguntes freqüents i notificacions importants. · Opengear CLI i referència de scripting: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Capítol 2:

Configuració del sistema

CONFIGURACIÓ DEL SISTEMA

Aquest capítol proporciona instruccions pas a pas per a la configuració inicial del servidor de la consola i per connectar-lo a la LAN de gestió o operativa. Els passos són:
Activeu la consola de gestió. Canvia la contrasenya de l'administrador. Configureu el port LAN principal del servidor de la consola d'adreces IP. Seleccioneu els serveis que voleu habilitar i els privilegis d'accés. Aquest capítol també tracta les eines de programari de comunicacions que un administrador pot utilitzar per accedir al servidor de la consola i la configuració dels ports LAN addicionals.
2.1 Connexió de la consola de gestió
El vostre servidor de consola ve configurat amb una adreça IP predeterminada 192.168.0.1 i una màscara de subxarxa 255.255.255.0 per a NET1 (WAN). Per a la configuració inicial, us recomanem que connecteu un ordinador directament a la consola. Si decidiu connectar la vostra LAN abans de completar els passos de configuració inicials, assegureu-vos que:
· No hi ha cap altre dispositiu a la LAN amb una adreça de 192.168.0.1. · El servidor de la consola i l'ordinador es troben al mateix segment LAN, sense cap encaminador interposat
electrodomèstics.
2.1.1 Configuració de l'ordinador connectat Per configurar el servidor de la consola amb un navegador, l'ordinador connectat ha de tenir una adreça IP en el mateix rang que el servidor de la consola (per exempleample, 192.168.0.100):
· Per configurar l'adreça IP del vostre ordinador Linux o Unix, executeu ifconfig. · Per a ordinadors amb Windows:
1. Feu clic a Inici > Configuració > Tauler de control i feu doble clic a Connexions de xarxa. 2. Feu clic amb el botó dret a Connexió d'àrea local i seleccioneu Propietats. 3. Seleccioneu Protocol d'Internet (TCP/IP) i feu clic a Propietats. 4. Seleccioneu Utilitza l'adreça IP següent i introduïu els detalls següents:
o Adreça IP: 192.168.0.100 o Màscara de subxarxa: 255.255.255.0 5. Si voleu conservar la vostra configuració IP existent per a aquesta connexió de xarxa, feu clic a Avançat i Afegeix l'anterior com a connexió IP secundària.
2.1.2 Connexió del navegador
Obriu un navegador a l'ordinador/estació de treball connectat i introduïu https://192.168.0.1.
Accedir amb:
Nom d'usuari> Contrasenya root> per defecte
8

Manual d'usuari
La primera vegada que inicieu sessió, haureu de canviar la contrasenya d'arrel. Feu clic a Envia.
Per completar el canvi, torneu a introduir la contrasenya nova. Feu clic a Envia. Apareix la pantalla de benvinguda.
Si el vostre sistema té un mòdem cel·lular, se us donaran els passos per configurar les funcions de l'encaminador cel·lular: · Configura la connexió del mòdem cel·lular (Pàgina Sistema > Marcar. Vegeu el capítol 4) · Permet el reenviament a la xarxa de destinació cel·lular (Pàgina Sistema > Tallafoc. Vegeu el capítol 4) · Activa l'emmascarament d'IP per a la connexió mòbil (pàgina Sistema > Tallafoc. Vegeu el capítol 4)
Després de completar cadascun dels passos anteriors, podeu tornar a la llista de configuració fent clic al logotip d'Opengear a la cantonada superior esquerra de la pantalla. NOTA Si no us podeu connectar a la consola de gestió a 192.168.0.1 o si el valor predeterminat
El nom d'usuari/contrasenya no s'accepten, reinicieu el servidor de la consola (vegeu el capítol 10).
9

Capítol 2: Configuració del sistema
2.2 Configuració de l'administrador
2.2.1 Canviar la contrasenya d'arrel predeterminada del sistema Heu de canviar la contrasenya d'arrel quan inicieu sessió al dispositiu. Podeu canviar aquesta contrasenya en qualsevol moment.
1. Feu clic a Sèrie i xarxa > Usuaris i grups o, a la pantalla de benvinguda, feu clic a Canvia la contrasenya d'administració predeterminada.
2. Desplaceu-vos cap avall i localitzeu l'entrada de l'usuari root a Usuaris i feu clic a Edita. 3. Introduïu la nova contrasenya als camps Contrasenya i Confirmar.
NOTA Si comproveu Desa la contrasenya entre els esborrats del microprogramari, es desa la contrasenya perquè no s'esborri quan es restableixi el microprogramari. Si es perd aquesta contrasenya, caldrà recuperar el microprogramari del dispositiu.
4. Feu clic a Aplica. Inicieu la sessió amb la nova contrasenya 2.2.2 Configuració d'un nou administrador Creeu un usuari nou amb privilegis d'administrador i inicieu sessió com a usuari per a les funcions d'administració, en comptes d'utilitzar root.
10

Manual d'usuari
1. Feu clic a Sèrie i xarxa > Usuaris i grups. Desplaceu-vos fins a la part inferior de la pàgina i feu clic al botó Afegeix usuari.
2. Introduïu un nom d'usuari. 3. A la secció Grups, marqueu la casella d'administració. 4. Introduïu una contrasenya als camps Contrasenya i Confirmar.
5. També podeu afegir claus autoritzades SSH i triar desactivar l'autenticació de contrasenya per a aquest usuari.
6. En aquesta pàgina es poden definir opcions addicionals per a aquest usuari, com ara les opcions d'accés, els amfitrions accessibles, els ports accessibles i els punts de venda RPC accessibles.
7. Feu clic al botó Aplica a la part inferior de la pantalla per crear aquest nou usuari.
11

Capítol 2: Configuració del sistema
2.2.3 Afegiu el nom del sistema, la descripció del sistema i el MOTD. 1. Seleccioneu Sistema > Administració. 2. Introduïu un nom del sistema i una descripció del sistema per al servidor de la consola per donar-li un identificador únic i facilitar-ne la identificació. El nom del sistema pot contenir d'1 a 64 caràcters alfanumèrics i els caràcters especials de subratllat (_), menys (-) i punt (.). La descripció del sistema pot contenir fins a 254 caràcters.
3. El bàner MOTD es pot utilitzar per mostrar un missatge de text del dia als usuaris. Apareix a la part superior esquerra de la pantalla sota el logotip d'Opengear.
4. Feu clic a Aplica.
12

Capítol 2: Configuració del sistema
5. Seleccioneu Sistema > Administració. 6. El bàner MOTD es pot utilitzar per mostrar un missatge de text del dia als usuaris. Apareix a la
superior esquerra de la pantalla sota el logotip d'Opengear. 7. Feu clic a Aplica.
2.3 Configuració de la xarxa
Introduïu una adreça IP per al port Ethernet principal (LAN/Xarxa/Xarxa1) al servidor de la consola o activeu el seu client DHCP per obtenir automàticament una adreça IP d'un servidor DHCP. De manera predeterminada, el servidor de la consola té el seu client DHCP habilitat i accepta automàticament qualsevol adreça IP de xarxa assignada per un servidor DHCP a la vostra xarxa. En aquest estat inicial, el servidor de la consola respondrà tant a la seva adreça estàtica predeterminada 192.168.0.1 com a la seva adreça DHCP.
1. Feu clic a Sistema > IP i feu clic a la pestanya Interfície de xarxa. 2. Trieu DHCP o Estàtica per al Mètode de configuració.
Si trieu Estàtica, introduïu l'adreça IP, la màscara de subxarxa, la passarel·la i els detalls del servidor DNS. Aquesta selecció desactiva el client DHCP.
12

Manual d'usuari
3. El port LAN del servidor de la consola detecta automàticament la velocitat de connexió Ethernet. Utilitzeu la llista desplegable Multimèdia per bloquejar Ethernet a 10 Mb/s o 100 Mb/s i a Full Duplex o Half Duplex.
Si trobeu una pèrdua de paquets o un rendiment de xarxa deficient amb la configuració Automàtica, canvieu la configuració de mitjans Ethernet al servidor de la consola i al dispositiu al qual està connectat. En la majoria dels casos, canvieu tots dos a 100baseTx-FD (100 megabits, dúplex complet).
4. Si seleccioneu DHCP, el servidor de la consola buscarà els detalls de configuració d'un servidor DHCP. Aquesta selecció desactiva qualsevol adreça estàtica. L'adreça MAC del servidor de la consola es pot trobar en una etiqueta de la placa base.
5. Podeu introduir una adreça secundària o una llista d'adreces separades per comes en notació CIDR, per exemple, 192.168.1.1/24 com a Àlies IP.
6. Feu clic a Aplica. 7. Torneu a connectar el navegador de l'ordinador connectat al servidor de la consola entrant
http://your new IP address.
Si canvieu l'adreça IP del servidor de la consola, haureu de reconfigurar l'ordinador perquè tingui una adreça IP en el mateix rang de xarxa que la nova adreça del servidor de la consola. Podeu configurar la MTU a les interfícies Ethernet. Aquesta és una opció avançada que cal utilitzar si el vostre escenari de desplegament no funciona amb la MTU predeterminada de 1500 bytes. Per configurar la MTU, feu clic a Sistema > IP i feu clic a la pestanya Interfície de xarxa. Desplaceu-vos cap avall fins al camp MTU i introduïu el valor desitjat. Els valors vàlids són de 1280 a 1500 per a interfícies de 100 megabits i de 1280 a 9100 per a interfícies gigabit. Si es configura el pont o l'enllaç, la MTU establerta a la pàgina Interfície de xarxa s'establirà a les interfícies que formen part del pont o de l'enllaç. . NOTA En alguns casos, és possible que la MTU especificada per l'usuari no tingui efecte. Alguns controladors NIC poden arrodonir les MTU sobredimensionades al valor màxim permès i d'altres retornaran un codi d'error. També podeu utilitzar una ordre CLI per gestionar MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 comproveu
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider cap config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode config sense estat .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Capítol 2: Configuració del sistema
2.3.1 Configuració IPv6 Les interfícies Ethernet del servidor de la consola admeten IPv4 de manera predeterminada. Es poden configurar per al funcionament IPv6:
1. Feu clic a Sistema > IP. Feu clic a la pestanya Configuració general i marqueu Habilita IPv6. Si ho desitja, feu clic a la casella de selecció Desactiva IPv6 per a mòbils.
2. Configureu els paràmetres IPv6 a cada pàgina d'interfície. IPv6 es pot configurar per al mode automàtic, que utilitzarà SLAAC o DHCPv6 per configurar adreces, rutes i DNS, o el mode estàtic, que permet introduir la informació de l'adreça manualment.
2.3.2 Configuració del DNS dinàmic (DDNS) Amb el DNS dinàmic (DDNS), es pot localitzar un servidor de consola l'adreça IP del qual està assignada dinàmicament mitjançant un nom d'amfitrió o domini fix. Creeu un compte amb el proveïdor de serveis DDNS compatible que trieu. Quan configureu el vostre compte DDNS, trieu un nom d'usuari, una contrasenya i un nom d'amfitrió que utilitzareu com a nom DNS. Els proveïdors de serveis DDNS us permeten triar un nom d'amfitrió URL i establiu una adreça IP inicial que correspongui a aquest nom d'amfitrió URL.
14

Manual d'usuari
Per habilitar i configurar DDNS a qualsevol de les connexions Ethernet o de xarxa mòbil del servidor de la consola. 1. Feu clic a Sistema > IP i desplaceu-vos cap avall a la secció DNS dinàmic. Seleccioneu el vostre proveïdor de serveis DDNS
de la llista desplegable Dynamic DNS. També podeu configurar la informació DDNS a la pestanya Mòdem mòbil a Sistema > Marcar.
2. A Nom d'amfitrió DDNS, introduïu el nom d'amfitrió DNS totalment qualificat per al vostre servidor de consola, per exemple, el vostre nom d'amfitrió.dyndns.org.
3. Introduïu el nom d'usuari DDNS i la contrasenya DDNS per al compte del proveïdor de serveis DDNS. 4. Especifiqueu l'Interval màxim entre actualitzacions en dies. S'enviarà una actualització DDNS encara que el
l'adreça no ha canviat. 5. Especifiqueu l'Interval mínim entre comprovacions d'adreces canviades en segons. Les actualitzacions seran
s'enviarà si l'adreça ha canviat. 6. Especifiqueu el nombre màxim d'intents per actualització, que és el nombre de vegades que cal intentar una actualització
abans de rendir-se. Aquest és 3 per defecte. 7. Feu clic a Aplica.
15

Capítol 2: Configuració del sistema
2.3.3 Mode EAPoL per a WAN, LAN i OOBFO
(OOBFO només s'aplica a l'IM7216-2-24E-DAC)
Acabatview d'EAPoL IEEE 802.1X, o PNAC (Port-based Network Access Control) fa ús de les característiques d'accés físic de les infraestructures LAN IEEE 802 per tal de proporcionar un mitjà per autenticar i autoritzar dispositius connectats a un port LAN que tingui punt a característiques de connexió del punt, i d'impedir l'accés a aquest port en els casos en què l'autenticació i l'autorització fallin. En aquest context, un port és un únic punt de connexió a la infraestructura LAN.
Quan un nou node sense fil o cablejat (WN) sol·licita accés a un recurs LAN, el punt d'accés (AP) demana la identitat del WN. No es permet cap altre trànsit que no sigui EAP abans que s'autentiqui el WN (el "port" està tancat o "no autenticat"). El node sense fil que sol·licita l'autenticació sovint s'anomena suplicant, el suplicant és responsable de respondre a les dades de l'autenticador que establirà les seves credencials. El mateix passa amb el punt d'accés; l'autenticador no és el punt d'accés. Més aviat, el punt d'accés conté un autenticador. No cal que l'autenticador estigui al punt d'accés; pot ser un component extern. S'implementen els següents mètodes d'autenticació:
· Suplicant EAP-MD5 o El mètode EAP MD5-Challenge utilitza un nom d'usuari/contrasenya senzill
· EAP-PEAP-MD5 o EAP PEAP (EAP protegit) El mètode d'autenticació MD5 utilitza credencials d'usuari i certificat CA
· El mètode d'autenticació EAP-TLS o EAP TLS (Transport Layer Security) requereix un certificat CA, un certificat de client i una clau privada.
El protocol EAP, que s'utilitza per a l'autenticació, es va utilitzar originalment per a PPP d'accés telefònic. La identitat era el nom d'usuari i es va utilitzar l'autenticació PAP o CHAP per comprovar la contrasenya de l'usuari. Com que la identitat s'envia clarament (no xifrada), un rastrejador maliciós pot conèixer la identitat de l'usuari. Per tant, s'utilitza "ocultació d'identitat"; la identitat real no s'envia abans que el túnel TLS xifrat estigui en funcionament.
16

Manual d'usuari
Un cop enviada la identitat, comença el procés d'autenticació. El protocol utilitzat entre el suplicant i l'autenticador és EAP (o EAPoL). L'autenticador torna a encapsular els missatges EAP al format RADIUS i els passa al servidor d'autenticació. Durant l'autenticació, l'autenticador transmet paquets entre el suplicant i el servidor d'autenticació. Quan es completa el procés d'autenticació, el servidor d'autenticació envia un missatge d'èxit (o error, si l'autenticació ha fallat). Aleshores, l'autenticador obre el "port" per al suplicant. Es pot accedir a la configuració d'autenticació des de la pàgina de configuració del suplicant d'EAPoL. L'estat de l'EAPoL actual es mostra amb detall a la pàgina Estadístiques d'estat de la pestanya EAPoL:
A la secció "Gestor de connexions" de la interfície del tauler es mostra una abstracció de l'EAPoL als ROLES de xarxa.
17

Capítol 2: Configuració del sistema
A continuació es mostra un exampfitxer d'autenticació correcta:
Compatibilitat amb IEEE 802.1x (EAPOL) als ports del commutador d'IM7216-2-24E-DAC i ACM7004-5: per evitar bucles, els usuaris no haurien de connectar més d'un port del commutador al mateix commutador de nivell superior.
18

Manual d'usuari
2.4 Accés al servei i protecció de força bruta
L'administrador pot accedir al servidor de la consola i als ports sèrie connectats i als dispositius gestionats mitjançant una sèrie de protocols/serveis d'accés. Per cada accés
· Primer s'ha de configurar i habilitar el servei per executar-se al servidor de la consola. · L'accés a través del tallafoc ha d'estar habilitat per a cada connexió de xarxa. Per habilitar i configurar un servei: 1. Feu clic a Sistema > Serveis i feu clic a la pestanya Configuració del servei.

2. Habilita i configura els serveis bàsics:

HTTP

De manera predeterminada, el servei HTTP s'està executant i no es pot desactivar completament. Per defecte, l'accés HTTP està desactivat a totes les interfícies. Recomanem que aquest accés es mantingui desactivat si s'accedeix al servidor de la consola de forma remota a través d'Internet.
L'HTTP alternatiu us permet configurar un port HTTP alternatiu per escoltar-lo. El servei HTTP continuarà escoltant al port TCP 80 per a comunicacions de CMS i connectors, però serà inaccessible a través del tallafoc.

HTTPS

De manera predeterminada, el servei HTTPS s'està executant i habilitat a totes les interfícies de xarxa. Es recomana que només s'utilitzi l'accés HTTPS si el servidor de la consola s'ha de gestionar a través de qualsevol xarxa pública. Això garanteix que els administradors tinguin accés segur del navegador a tots els menús del servidor de la consola. També permet als usuaris configurats adequadament l'accés segur del navegador als menús de gestió seleccionats.
El servei HTTPS es pot desactivar o tornar a habilitar marcant HTTPS Web S'ha especificat la gestió i un port alternatiu (el port predeterminat és 443).

Telnet

De manera predeterminada, el servei Telnet s'està executant però està desactivat a totes les interfícies de xarxa.
Telnet es pot utilitzar per donar accés a un administrador a l'intèrpret d'ordres de la línia d'ordres del sistema. Aquest servei pot ser útil per a l'accés de l'administrador local i l'usuari a les consoles sèrie seleccionades. Us recomanem que desactiveu aquest servei si el servidor de la consola està administrat de manera remota.
La casella de selecció Habilita l'intèrpret d'ordres Telnet activarà o desactivarà el servei Telnet. Un port Telnet alternatiu per escoltar es pot especificar a Port Telnet alternatiu (el port predeterminat és 23).

Capítol 2: Configuració del sistema

SSH

Aquest servei proporciona accés SSH segur al servidor de la consola i als dispositius connectats

i per defecte el servei SSH s'està executant i habilitat a totes les interfícies. És

us recomanem que trieu SSH com a protocol al qual es connecta un administrador

el servidor de la consola a través d'Internet o qualsevol altra xarxa pública. Això proporcionarà

comunicacions autenticades entre el programa client SSH del comandament remot

l'ordinador i el servidor SSH al servidor de la consola. Per a més informació sobre SSH

configuració Vegeu el Capítol 8 – Autenticació.

La casella de selecció Habilita l'intèrpret d'ordres SSH activarà o desactivarà aquest servei. Es pot especificar un port SSH alternatiu per escoltar al port de l'intèrpret d'ordres SSH (el port per defecte és 22).

3. Habiliteu i configureu altres serveis:

TFTP/FTP Si es detecta una targeta flash USB o un flaix intern en un servidor de consola, marcant Habilita el servei TFTP (FTP) s'habilita aquest servei i es configura el servidor tftp i ftp predeterminat al flaix USB. Aquests servidors s'utilitzen per emmagatzemar la configuració files, mantenir registres d'accés i transaccions, etc. FileEls transferits mitjançant tftp i ftp s'emmagatzemaran a /var/mnt/storage.usb/tftpboot/ (o /var/mnt/storage.nvlog/tftpboot/ als dispositius de la sèrie ACM7000). Si desmarqueu Habilita el servei TFTP (FTP), es desactivarà el servei TFTP (FTP).

La comprovació del relé DNS Habilita el servidor/relé DNS activa la funció de retransmissió DNS perquè els clients es puguin configurar amb la IP del servidor de la consola per a la configuració del servidor DNS i el servidor de la consola reenviarà les consultes DNS al servidor DNS real.

Web Habilita la comprovació del terminal Web El terminal permet web accés del navegador a l'intèrpret d'ordres de línia del sistema mitjançant Gestiona > Terminal.

4. Especifiqueu números de port alternatius per a serveis TCP en brut, Telnet/SSH directe i Telnet/SSH no autenticats. El servidor de la consola utilitza intervals específics per als ports TCP/IP per als diferents accessos
serveis que els usuaris poden utilitzar per accedir als dispositius connectats als ports sèrie (tal com es descriu al capítol 3 Configuració dels ports sèrie). L'administrador pot establir intervals alternatius per a aquests serveis i aquests ports secundaris s'utilitzaran a més dels valors predeterminats.

L'adreça del port base TCP/IP per defecte per a l'accés a Telnet és 2000, i l'interval per a Telnet és Adreça IP: Port (2000 + número de port sèrie), és a dir, 2001 2048. Si un administrador hagués d'establir 8000 com a base secundària per a Telnet, la sèrie Es pot accedir a Telnet al port #2 del servidor de la consola des d'IP
Adreça: 2002 i a l'adreça IP: 8002. La base predeterminada per a SSH és 3000; per a Raw TCP és 4000; i per a RFC2217 és 5000

5. Altres serveis es poden habilitar i configurar des d'aquest menú seleccionant Feu clic aquí per configurar:

Accés de Nagios als dimonis de monitorització NRPE de Nagios

nou

Accés al dimoni de supervisió NUT UPS

SNMP Habilita snmp al servidor de la consola. SNMP està desactivat per defecte

NTP

6. Feu clic a Aplica. Apareix un missatge de confirmació: Missatge Els canvis a la configuració s'han realitzat correctament

La configuració d'accés als serveis es pot configurar per permetre o bloquejar l'accés. Això especifica quins serveis habilitats poden utilitzar els administradors a través de cada interfície de xarxa per connectar-se al servidor de la consola i mitjançant el servidor de la consola als dispositius connectats en sèrie i a la xarxa.

Manual d'usuari
1. Seleccioneu la pestanya Accés al servei a la pàgina Sistema > Serveis.
2. Això mostra els serveis activats per a les interfícies de xarxa del servidor de consola. Depenent del model de servidor de consola en particular, les interfícies que es mostren poden incloure: · Interfície de xarxa (per a la connexió Ethernet principal) · Gestió LAN / OOB Failover (segones connexions Ethernet) · Dialout/cell (mòdem V90 i 3G) · Dial-in (intern o mòdem V90 extern) · VPN (connexió IPsec o Open VPN a través de qualsevol interfície de xarxa)
3. Marqueu/desmarqueu per a cada xarxa quin accés al servei s'ha d'activar/desactivar. Les opcions d'accés al servei Resposta a ICMP (és a dir, ping) es poden configurar en aquest stage. Això permet que el servidor de la consola respongui a les sol·licituds d'eco ICMP entrants. El ping està habilitat per defecte. Per augmentar la seguretat, hauríeu de desactivar aquest servei quan finalitzeu la configuració inicial. Podeu permetre que s'accedeixi als dispositius de port sèrie des d'interfícies de xarxa designades mitjançant Raw TCP, Telnet/SSH directe, serveis Telnet/SSH no autenticats, etc.
4. Feu clic a Aplica Web Configuració de gestió La casella de selecció Habilita HSTS habilita una seguretat estricta de transport HTTP. El mode HSTS significa que s'ha d'enviar una capçalera StrictTransport-Security mitjançant el transport HTTPS. Un conforme web el navegador recorda aquesta capçalera i, quan se li demana que es pose en contacte amb el mateix amfitrió per HTTP (sense), canviarà automàticament a
19

Capítol 2: Configuració del sistema
HTTPS abans d'intentar HTTP, sempre que el navegador hagi accedit al lloc segur una vegada i hagi vist la capçalera STS.
Protecció de força bruta La protecció de força bruta (Micro Fail2ban) bloqueja temporalment les IP d'origen que mostren signes maliciosos, com ara massa errors de contrasenya. Això pot ajudar quan els serveis de xarxa del dispositiu estan exposats a una xarxa no fiable, com ara la WAN pública, i els atacs amb script o els cucs de programari intenten endevinar (força bruta) les credencials d'usuari i obtenir accés no autoritzat.

La protecció de força bruta pot estar habilitada per als serveis indicats. De manera predeterminada, un cop activada la protecció, 3 o més intents de connexió fallits en 60 segons des d'una IP d'origen específica desencadenen que es prohibeix la connexió durant un període de temps configurable. El límit d'intents i el temps d'espera de la prohibició es poden personalitzar. També s'enumeren les prohibicions actives i es poden actualitzar tornant a carregar la pàgina.

NOTA

Quan s'executa en una xarxa no fiable, considereu l'ús d'una varietat d'estratègies que s'utilitzen per bloquejar l'accés remot. Això inclou l'autenticació de clau pública SSH, la VPN i les regles del tallafoc
llistes d'accés remot només des de xarxes d'origen de confiança. Consulteu la base de coneixement d'Opengear per obtenir més informació.

2.5 Programari de comunicacions
Heu configurat protocols d'accés perquè els utilitzi el client administrador quan us connecteu al servidor de la consola. Els clients d'usuari també utilitzen aquests protocols quan accedeixen als dispositius connectats en sèrie del servidor de la consola i als amfitrions connectats a la xarxa. Necessiteu eines de programari de comunicacions configurades a l'ordinador de l'administrador i del client d'usuari. Per connectar-vos podeu utilitzar eines com PuTTY i SSHTerm.

Manual d'usuari
Els connectors disponibles comercialment combinen el protocol de túnel SSH de confiança amb eines d'accés populars com Telnet, SSH, HTTP, HTTPS, VNC, RDP per proporcionar un accés segur de gestió remota d'apuntar i fer clic a tots els sistemes i dispositius que s'estan gestionant. Al capítol 5 es pot trobar informació sobre l'ús de connectors per a l'accés del navegador a la consola de gestió del servidor de la consola, l'accés Telnet/SSH a la línia d'ordres del servidor de la consola i la connexió TCP/UDP als amfitrions connectats en xarxa al servidor de la consola. instal·lat a ordinadors Windows, Mac OS X i a la majoria de sistemes Linux, UNIX i Solaris.
2.6 Gestió de la configuració de la xarxa
Els servidors de consola tenen ports de xarxa addicionals que es poden configurar per proporcionar accés a la LAN de gestió i/o migració per error o accés fora de banda. 2.6.1 Habilita la gestió LAN Els servidors de la consola es poden configurar de manera que el segon port Ethernet proporcioni una passarel·la LAN de gestió. La passarel·la té funcions de tallafoc, encaminador i servidor DHCP. Heu de connectar un commutador de LAN extern a la xarxa 2 per connectar amfitrions a aquesta LAN de gestió:
NOTA El segon port Ethernet es pot configurar com a port de passarel·la LAN de gestió o com a port OOB/Failover. Assegureu-vos que no heu assignat NET2 com a interfície de failover quan vau configurar la connexió de xarxa principal al menú Sistema > IP.
21

Capítol 2: Configuració del sistema
Per configurar la passarel·la de LAN de gestió: 1. Seleccioneu la pestanya Interfície de LAN de gestió al menú Sistema > IP i desmarqueu Desactivar. 2. Configureu l'adreça IP i la màscara de subxarxa per a la LAN de gestió. Deixeu els camps DNS en blanc. 3. Feu clic a Aplica.
La funció de passarel·la de gestió està habilitada amb el tallafoc i les regles d'encaminador per defecte configurades, de manera que només es pot accedir a la LAN de gestió mitjançant el reenviament de ports SSH. Això garanteix que les connexions remotes i locals als dispositius gestionats a la LAN de gestió siguin segures. Els ports LAN també es poden configurar en mode pont o vinculat o manualment des de la línia d'ordres. 2.6.2 Configuració del servidor DHCP El servidor DHCP permet la distribució automàtica d'adreces IP als dispositius de la LAN de gestió que executen clients DHCP. Per habilitar el servidor DHCP:
1. Feu clic a Sistema > Servidor DHCP. 2. A la pestanya Interfície de xarxa, marqueu Habilita el servidor DHCP.
22

Manual d'usuari
3. Introduïu l'adreça de passarel·la que s'ha d'emetre als clients DHCP. Si aquest camp es deixa en blanc, s'utilitza l'adreça IP del servidor de la consola.
4. Introduïu l'adreça DNS principal i DNS secundària per emetre els clients DHCP. Si aquest camp es deixa en blanc, s'utilitza l'adreça IP del servidor de la consola.
5. Opcionalment, introduïu un sufix de nom de domini per emetre clients DHCP. 6. Introduïu el temps d'arrendament predeterminat i el temps màxim d'arrendament en segons. Aquesta és la quantitat de temps
que una adreça IP assignada dinàmicament és vàlida abans que el client la torni a demanar. 7. Feu clic a Aplica. El servidor DHCP emet adreces IP dels grups d'adreces especificats: 1. Feu clic a Afegeix al camp Grups d'assignació d'adreces dinàmiques. 2. Introduïu l'adreça inicial i l'adreça final del grup DHCP. 3. Feu clic a Aplica.
23

Capítol 2: Configuració del sistema
El servidor DHCP també admet l'assignació prèvia d'adreces IP per assignar-les a adreces MAC específiques i la reserva d'adreces IP per ser utilitzades pels amfitrions connectats amb adreces IP fixes. Per reservar una adreça IP per a un host concret:
1. Feu clic a Afegeix al camp Adreces reservades. 2. Introduïu el nom d'amfitrió, l'adreça de maquinari (MAC) i l'adreça IP reservada estàticament
el client DHCP i feu clic a Aplica.
Quan DHCP ha assignat adreces d'amfitrions, es recomana copiar-les a la llista prèviament assignada perquè la mateixa adreça IP es torni a assignar en cas de reinici.
24

Manual d'usuari
2.6.3 Seleccioneu Failover o de banda ampla Els servidors de consola OOB proporcionen una opció de failover, de manera que, en cas d'un problema amb la connexió LAN principal per accedir al servidor de consola, s'utilitza una ruta d'accés alternativa. Per habilitar la migració per error:
1. Seleccioneu la pàgina Interfície de xarxa al menú Sistema > IP 2. Seleccioneu la interfície de failover que s'utilitzarà en cas detage a la xarxa principal.
3. Feu clic a Aplica. La failover s'activa després d'especificar els llocs externs que s'han de provar per activar la failover i configurar els ports de failover.
2.6.4 Agregació dels ports de xarxa De manera predeterminada, es pot accedir als ports de xarxa LAN de gestió del servidor de consola mitjançant el túnel SSH/reenviament de ports o establint un túnel VPN IPsec al servidor de la consola. Tots els ports de xarxa amb cable dels servidors de la consola es poden agregar mitjançant ponts o enllaços.
25

Manual d'usuari
· De manera predeterminada, l'agregació d'interfícies està desactivada al menú Sistema > IP > Configuració general · Seleccioneu Interfícies de pont o Interfícies d'enllaç
o Quan el pont està habilitat, el trànsit de xarxa es reenvia a tots els ports Ethernet sense restriccions de tallafoc. Tots els ports Ethernet estan connectats de manera transparent a la capa d'enllaç de dades (capa 2), de manera que conserven les seves adreces MAC úniques.
o Amb l'enllaç, el trànsit de xarxa es transporta entre els ports, però present amb una adreça MAC
Ambdós modes eliminen totes les funcions de la interfície LAN de gestió i la interfície fora de banda/conmuta per error i desactiven el servidor DHCP · En mode d'agregació, tots els ports Ethernet es configuren col·lectivament mitjançant el menú Interfície de xarxa
25

Capítol 2: Configuració del sistema
2.6.5 Rutes estàtiques Les rutes estàtiques proporcionen una manera molt ràpida d'encaminar dades d'una subxarxa a una subxarxa diferent. Podeu codificar un camí que indiqui al servidor/encaminador de la consola que arribi a una subxarxa determinada mitjançant un camí determinat. Això pot ser útil per accedir a diverses subxarxes en un lloc remot quan s'utilitza la connexió OOB cel·lular.

Per afegir a la ruta estàtica a la taula de rutes del sistema:
1. Seleccioneu la pestanya Configuració de la ruta al menú Sistema > Configuració general d'IP.
2. Feu clic a Nova ruta
3. Introduïu un nom de ruta per a la ruta.
4. Al camp Xarxa/amfitrió de destinació, introduïu l'adreça IP de la xarxa/amfitrió de destinació al qual la ruta proporciona accés.
5. Introduïu un valor al camp Màscara de xarxa de destinació que identifiqui la xarxa o l'amfitrió de destinació. Qualsevol nombre entre 0 i 32. Una màscara de subxarxa de 32 identifica una ruta d'amfitrió.
6. Introduïu Route Gateway amb l'adreça IP d'un encaminador que encaminarà els paquets a la xarxa de destinació. Això es pot deixar en blanc.
7. Seleccioneu la interfície que voleu utilitzar per arribar a la destinació, es pot deixar com a Cap.
8. Introduïu un valor al camp Mètrica que representi la mètrica d'aquesta connexió. Utilitzeu qualsevol nombre igual o superior a 0. Només s'ha d'establir si dues o més rutes entren en conflicte o tenen objectius superposats.
9. Feu clic a Aplica.

NOTA

La pàgina de detalls de la ruta proporciona una llista d'interfícies de xarxa i mòdems als quals es pot vincular una ruta. En el cas d'un mòdem, la ruta s'adjuntarà a qualsevol sessió d'accés telefònic establerta mitjançant aquest dispositiu. Es pot especificar una ruta amb una passarel·la, una interfície o ambdues. Si la interfície especificada no està activa, les rutes configurades per a aquesta interfície no estaran actives.

Manual d'usuari 3. CONFIGURACIÓ DEL PORT SÈRIE, HOST, DISPOSITIU I USUARI
El servidor de consola permet l'accés i el control de dispositius connectats en sèrie i dispositius connectats a la xarxa (amfitrions). L'administrador ha de configurar els privilegis d'accés per a cadascun d'aquests dispositius i especificar els serveis que es poden utilitzar per controlar els dispositius. L'administrador també pot configurar nous usuaris i especificar els privilegis d'accés i control individuals de cada usuari.
Aquest capítol tracta cadascun dels passos per configurar els dispositius connectats a la xarxa i connectats en sèrie: · Ports sèrie que configuren els protocols utilitzats en dispositius connectats en sèrie · Usuaris i grups que configuren usuaris i defineixen els permisos d'accés per a cadascun d'aquests usuaris · Autenticació, això es tracta a més detalls al Capítol 8 · Amfitrions de xarxa que configuren l'accés a ordinadors o aparells connectats a la xarxa local (amfitrions) · Configuració de xarxes de confiança: designeu adreces IP des de les quals accedeixen els usuaris de confiança · En cascada i redirecció de ports de consola sèrie · Connexió a l'alimentació (UPS, PDU i Dispositius IPMI) i monitorització ambiental (EMD) · Redirecció de port sèrie mitjançant les finestres de PortShare i clients Linux · Dispositius gestionats: presenta un conjunt consolidat view de totes les connexions · IPSec que permet la connexió VPN · OpenVPN · PPTP
3.1 Configurar els ports sèrie
El primer pas per configurar un port sèrie és establir els paràmetres comuns, com ara els protocols i els paràmetres RS232 que s'han d'utilitzar per a la connexió de dades a aquest port (p. ex. velocitat de transmissió). Seleccioneu en quin mode ha d'operar el port. Cada port es pot configurar per admetre un d'aquests modes de funcionament:
· El mode desactivat és el per defecte, el port sèrie està inactiu
27

Capítol 3:

Configuració de port sèrie, host, dispositiu i usuari

· El mode de servidor de consola permet l'accés general al port de la consola sèrie als dispositius connectats en sèrie
· El mode de dispositiu configura el port sèrie per comunicar-se amb una PDU, SAI o dispositius de monitoratge ambiental (EMD) controlats en sèrie intel·ligents.
· El mode Terminal Server configura el port sèrie per esperar una sessió d'inici de sessió del terminal entrant · El mode Serial Bridge permet la interconnexió transparent de dos dispositius de port sèrie a través d'un
xarxa.
1. Seleccioneu Serial & Network > Serial Port per mostrar els detalls del port sèrie 2. De manera predeterminada, cada port sèrie està configurat en mode de servidor de consola. Feu clic a Edita al costat del port que voleu
reconfigurat. O feu clic a Edita diversos ports i seleccioneu quins ports voleu configurar com a grup. 3. Quan hàgiu tornat a configurar els paràmetres comuns i el mode de cada port, configureu qualsevol syslog remot (consulteu les seccions següents per obtenir informació específica). Feu clic a Aplica 4. Si el servidor de la consola s'ha configurat amb la vigilància distribuïda de Nagios activada, utilitzeu les opcions de configuració de Nagios per habilitar els serveis designats a l'amfitrió per supervisar 3.1.1 Configuració comuna Hi ha una sèrie de paràmetres comuns que es poden establir per a cada sèrie port. Són independents del mode en què s'utilitza el port. Aquests paràmetres del port sèrie s'han d'establir de manera que coincideixin amb els paràmetres del port sèrie del dispositiu que connecteu a aquest port:
28

Manual d'usuari

· Escriviu una etiqueta per al port · Seleccioneu la velocitat de transmissió, la paritat, els bits de dades, els bits d'aturada i el control de flux adequats per a cada port

· Establir el pinout del port. Aquest element del menú apareix per als ports IM7200 on el pin-out per a cada port sèrie RJ45 es pot configurar com a X2 (Cisco Straight) o X1 (Cisco Rolled)

· Establiu el mode DTR. Això us permet triar si DTR sempre s'afirma o només s'afirma quan hi ha una sessió d'usuari activa

· Abans de continuar amb la configuració del port sèrie, hauríeu de connectar els ports als dispositius sèrie que controlaran i assegurar-vos que tinguin paràmetres coincidents.

3.1.2

Mode de servidor de consola
Seleccioneu Mode de servidor de consola per habilitar l'accés de gestió remota a la consola sèrie que està connectada a aquest port sèrie:

Nivell de registre Això especifica el nivell d'informació que s'ha de registrar i supervisar.
29

Capítol 3: Configuració de port sèrie, host, dispositiu i usuari
Nivell 0: desactiva el registre (per defecte)
Nivell 1: registre els esdeveniments LOGIN, LOGOUT i SIGNAL
Nivell 2: registre d'esdeveniments de LOGIN, LOGOUT, SIGNAL, TXDATA i RXDATA
Nivell 3: registre d'esdeveniments LOGIN, LOGOUT, SIGNAL i RXDATA
Nivell 4: registre esdeveniments LOGIN, LOGOUT, SIGNAL i TXDATA
L'entrada/RXDATA són les dades rebudes pel dispositiu Opengear des del dispositiu sèrie connectat, i la sortida/TXDATA són les dades enviades pel dispositiu Opengear (per exemple, escrites per l'usuari) al dispositiu sèrie connectat.
Les consoles dels dispositius solen fer ressò dels caràcters a mesura que s'escriuen, de manera que les dades TXDATA escrites per un usuari es reben posteriorment com a RXDATA, que es mostren al seu terminal.
NOTA: Després de demanar una contrasenya, el dispositiu connectat envia caràcters * per evitar que es mostri la contrasenya.

Telnet Quan el servei Telnet està habilitat al servidor de la consola, un client Telnet a l'ordinador d'un usuari es pot connectar a un dispositiu sèrie connectat a aquest port sèrie al servidor de la consola. Com que les comunicacions Telnet no estan xifrades, aquest protocol només es recomana per a connexions locals o túnelitzades VPN.
Si les comunicacions remotes s'estan túnelitzant amb un connector, es pot utilitzar Telnet per accedir de manera segura a aquests dispositius connectats.

NOTA

En el mode de servidor de consola, els usuaris poden utilitzar un connector per configurar connexions Telnet segures que s'endinsen SSH des dels seus ordinadors client al port sèrie del servidor de la consola. Els connectors es poden instal·lar a ordinadors Windows i a la majoria de plataformes Linux i permet seleccionar connexions Telnet segures amb el punt i clic.

Per utilitzar un connector per accedir a les consoles als ports sèrie del servidor de la consola, configureu el connector amb el servidor de la consola com a passarel·la i com a host, i activeu el servei Telnet al port (2000 + número de port sèrie), és a dir, 2001.

També podeu utilitzar paquets de comunicacions estàndard com PuTTY per establir una connexió directa Telnet o SSH als ports sèrie.

NOTA En el mode de servidor de consola, quan us connecteu a un port sèrie us connecteu mitjançant pmshell. Per generar un BREAK al port sèrie, escriviu la seqüència de caràcters ~b. Si ho feu mitjançant OpenSSH, escriviu ~~b.

SSH

Es recomana utilitzar SSH com a protocol quan els usuaris es connecten al servidor de la consola

(o connecteu-vos a través del servidor de la consola a les consoles sèrie connectades) per Internet o qualsevol

altra xarxa pública.

Per a l'accés SSH a les consoles en dispositius connectats als ports sèrie del servidor de la consola, podeu utilitzar un connector. Configureu el connector amb el servidor de la consola com a passarel·la i com a host, i activeu el servei SSH al port (3000 + número de port sèrie), és a dir, 3001-3048.

També podeu utilitzar paquets de comunicacions habituals, com ara PuTTY o SSHTerm per connectar-se a SSH a l'adreça del port Adreça IP _ Port (3000 + número de port sèrie), és a dir, 3001

Les connexions SSH es poden configurar mitjançant el port SSH estàndard 22. El port sèrie al qual s'accedeix s'identifica afegint un descriptor al nom d'usuari. Aquesta sintaxi admet:

Manual d'usuari
: : Perquè un usuari anomenat chris accedeixi al port sèrie 2, en configurar el client SSHterm o PuTTY SSH, en comptes d'escriure username = chris i ssh port = 3002, l'alternativa és escriure username = chris:port02 (o username = chris: ttyS1) i ssh port = 22. O escrivint username=chris:serial i ssh port = 22, es presenta a l'usuari una opció de selecció de port:

Aquesta sintaxi permet als usuaris configurar túnels SSH a tots els ports sèrie amb un sol port IP 22 que s'ha d'obrir al seu tallafoc/gateway.
NOTA En el mode de servidor de consola, us connecteu a un port sèrie mitjançant pmshell. Per generar un BREAK al port sèrie, escriviu la seqüència de caràcters ~b. Si ho feu mitjançant OpenSSH, escriviu ~~b.

TCP

RAW TCP permet connexions a un sòcol TCP. Mentre que programes de comunicació com PuTTY

també és compatible amb RAW TCP, aquest protocol l'utilitza normalment una aplicació personalitzada

Per a RAW TCP, l'adreça del port predeterminada és Adreça IP _ Port (4000 + número de port sèrie), és a dir, 4001 4048

RAW TCP també permet tunelitzar el port sèrie a un servidor de consola remot, de manera que dos dispositius de port sèrie es poden interconnectar de manera transparent a través d'una xarxa (vegeu el capítol 3.1.6 Pont en sèrie)

RFC2217 Si seleccioneu RFC2217, s'habilita la redirecció del port sèrie en aquest port. Per a RFC2217, l'adreça del port predeterminada és Adreça IP _ Port (5000 + número de port sèrie), és a dir, 5001 5048
El programari de client especial està disponible per a Windows UNIX i Linux que admet ports de comunicacions virtuals RFC2217, de manera que un amfitrió remot pot supervisar i gestionar dispositius connectats en sèrie remots com si estiguessin connectats al port sèrie local (vegeu el capítol 3.6 Redirecció del port sèrie per a més detalls)
RFC2217 també permet tunelitzar el port sèrie a un servidor de consola remot, de manera que dos dispositius de port sèrie es poden interconnectar de manera transparent a través d'una xarxa (vegeu el capítol 3.1.6 Pont en sèrie)

Telnet no autenticat Això permet l'accés Telnet al port sèrie sense credencials d'autenticació. Quan un usuari accedeix al servidor de la consola a Telnet a un port sèrie, se li dóna una sol·licitud d'inici de sessió. Amb Telnet no autenticat, es connecten directament al port sense cap desafiament d'inici de sessió al servidor de la consola. Si un client Telnet sol·licita l'autenticació, les dades introduïdes permeten la connexió.

Capítol 3: Configuració de port sèrie, host, dispositiu i usuari
Aquest mode s'utilitza amb un sistema extern (com ara conservador) que gestiona l'autenticació dels usuaris i els privilegis d'accés a nivell de dispositiu sèrie.
L'inici de sessió en un dispositiu connectat al servidor de la consola pot requerir autenticació.
Per a Telnet no autenticat, l'adreça del port predeterminada és Adreça IP _ Port (6000 + número de port sèrie), és a dir, 6001 6048

SSH no autenticat Això permet l'accés SSH al port sèrie sense credencials d'autenticació. Quan un usuari accedeix al servidor de la consola a Telnet a un port sèrie, se li dóna una sol·licitud d'inici de sessió. Amb SSH no autenticat es connecten directament al port sense cap desafiament d'inici de sessió al servidor de la consola.
Aquest mode s'utilitza quan teniu un altre sistema que gestiona l'autenticació d'usuari i els privilegis d'accés a nivell de dispositiu sèrie, però voleu xifrar la sessió a la xarxa.
L'inici de sessió en un dispositiu connectat al servidor de la consola pot requerir autenticació.
Per a Telnet no autenticat, l'adreça del port predeterminada és Adreça IP _ Port (7000 + número de port sèrie), és a dir, 7001 7048
El : el mètode d'accés al port (tal com es descriu a la secció SSH anterior) sempre requereix autenticació.

Web Terminal Això habilita web accés del navegador al port sèrie mitjançant Gestiona > Dispositius: sèrie mitjançant el terminal AJAX integrat de la consola de gestió. Web El terminal es connecta com a usuari de la consola de gestió autenticat actualment i no es torna a autenticar. Vegeu la secció 12.3 per a més detalls.

Àlies IP

Habiliteu l'accés al port sèrie mitjançant una adreça IP específica, especificada en format CIDR. A cada port sèrie se li pot assignar un o més àlies IP, configurats per interfície de xarxa. Un port sèrie pot, per exempleample, sigui accessible tant a 192.168.0.148 (com a part de la xarxa interna) com a 10.10.10.148 (com a part de la LAN de gestió). També és possible fer que un port sèrie estigui disponible en dues adreces IP de la mateixa xarxa (per example, 192.168.0.148 i 192.168.0.248).

Aquestes adreces IP només es poden utilitzar per accedir al port sèrie específic, accessible mitjançant els números de port TCP del protocol estàndard dels serveis del servidor de la consola. Per exampli, SSH al port sèrie 3 seria accessible al port 22 d'un àlies IP del port sèrie (mentre que a l'adreça principal del servidor de la consola està disponible al port 2003).

Aquesta característica també es pot configurar mitjançant la pàgina d'edició de ports múltiples. En aquest cas, les adreces IP s'apliquen seqüencialment, amb el primer port seleccionat que s'introdueix l'IP i els posteriors s'incrementen, amb els números que s'ometen per als ports no seleccionats. Per exampsi s'han seleccionat els ports 2, 3 i 5 i s'introdueix l'àlies IP 10.0.0.1/24 per a la interfície de xarxa, s'assignen les adreces següents:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

Els àlies IP també admeten adreces d'àlies IPv6. L'única diferència és que les adreces són números hexadecimals, de manera que el port 10 pot correspondre a una adreça acabada en A, i 11 a una que acaba en B, en lloc de 10 o 11 segons IPv4.

Manual d'usuari
Xifra el trànsit / Autentica Habiliteu el xifratge trivial i l'autenticació de les comunicacions sèrie RFC2217 mitjançant Portshare (per a un xifratge fort, utilitzeu VPN).
Període d'acumulació Un cop s'ha establert una connexió per a un port sèrie determinat (com ara una redirecció RFC2217 o una connexió Telnet a un ordinador remot), qualsevol caràcter entrant en aquest port es reenvia per la xarxa caràcter per caràcter. El període d'acumulació especifica un període de temps durant el qual es recullen els caràcters entrants abans de ser enviats com a paquet a la xarxa.
Caràcter d'escapada Canvia el caràcter utilitzat per enviar caràcters d'escapada. El valor predeterminat és ~. Substitueix el retrocés Voleu substituir el valor de retrocés predeterminat de CTRL+? (127) amb CTRL+h (8). Menú d'engegada L'ordre per obrir el menú d'engegada és ~p i habilita l'ordre d'alimentació de l'intèrpret d'ordres a
L'usuari pot controlar la connexió d'alimentació a un dispositiu gestionat des de la línia d'ordres quan estigui connectat amb Telnet o SSH al dispositiu. El dispositiu gestionat s'ha de configurar amb la connexió del port sèrie i la connexió d'alimentació configurades.
Connexió única Això limita el port a una única connexió, de manera que si diversos usuaris tenen privilegis d'accés per a un port determinat, només un usuari alhora pot accedir a aquest port (és a dir, no es permet l'exploració de ports).
33

Capítol 3: Configuració de port sèrie, host, dispositiu i usuari
3.1.3 Mode de dispositiu (RPC, UPS, medi ambient) Aquest mode configura el port sèrie seleccionat per comunicar-se amb una font d'alimentació ininterrompuda (UPS) controlada en sèrie, un controlador d'alimentació remot/unitats de distribució d'energia (RPC) o un dispositiu de monitorització ambiental (mediambiental)

1. Seleccioneu el tipus de dispositiu desitjat (UPS, RPC o mediambiental)
2. Aneu a la pàgina de configuració del dispositiu adequada (Serial & Network > UPS Connections, RPC Connection or Environmental) tal com es detalla al capítol 7.

3.1.4 ·

Mode Terminal Server
Seleccioneu el mode de servidor de terminal i el tipus de terminal (vt220, vt102, vt100, Linux o ANSI) per habilitar un getty al port sèrie seleccionat

El getty configura el port i espera que es faci una connexió. Una connexió activa en un dispositiu sèrie s'indica amb el pin de detecció de portador de dades (DCD) elevat al dispositiu sèrie. Quan es detecta una connexió, el programa getty emet un indicador d'inici de sessió: i invoca el programa d'inici de sessió per gestionar l'inici de sessió del sistema.
NOTA En seleccionar el mode Terminal Server, es desactiva el Port Manager per a aquest port sèrie, de manera que les dades ja no es registren per a alertes, etc.

Manual d'usuari
3.1.5 Mode de pont en sèrie Amb el pont en sèrie, les dades en sèrie d'un port sèrie designat en un servidor de consola s'encapsulen en paquets de xarxa i es transporten a través d'una xarxa a un segon servidor de consola on es representen com a dades en sèrie. Els dos servidors de consola actuen com un cable sèrie virtual a través d'una xarxa IP. Un servidor de consola està configurat per ser el servidor. El port sèrie del servidor que s'ha de connectar s'estableix en mode de servidor de consola amb RFC2217 o RAW habilitat. Per al servidor de la consola del client, el port sèrie que s'ha de connectar s'ha d'establir en mode de pont:
· Seleccioneu Serial Bridging Mode i especifiqueu l'adreça IP del servidor de la consola del servidor i l'adreça del port TCP del port sèrie remot (per al pont RFC2217, serà 5001-5048)
· Per defecte, el client de pont utilitza RAW TCP. Seleccioneu RFC2217 si aquest és el mode de servidor de la consola que heu especificat al servidor de la consola del servidor
· Podeu assegurar les comunicacions a través de l'Ethernet local activant SSH. Generar i carregar claus.
3.1.6 Syslog A més del registre i la supervisió incorporats que es poden aplicar als accessos de gestió connectats en sèrie i connectats a la xarxa, tal com es descriu al capítol 6, el servidor de la consola també es pot configurar per suportar el protocol syslog remot en un port sèrie. base:
· Seleccioneu els camps Syslog Facility/Priority per habilitar el registre de trànsit al port sèrie seleccionat a un servidor syslog; i ordenar i actuar sobre aquests missatges registrats (és a dir, redirigir-los / enviar un correu electrònic d'alerta).
35

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
Per exampsi l'ordinador connectat al port sèrie 3 no ha d'enviar mai res al seu port de consola sèrie, l'administrador pot establir la instal·lació d'aquest port a local0 (local0 ... local7 estan pensats per als valors locals del lloc) i la prioritat a crític. . Amb aquesta prioritat, si el servidor syslog del servidor de la consola rep un missatge, genera una alerta. Vegeu el capítol 6. 3.1.7 Transmissió NMEA L'ACM7000-L pot proporcionar la transmissió de dades GPS NMEA des del mòdem GPS/cel·lular intern. Aquest flux de dades es presenta com un flux de dades en sèrie al port 5 dels models ACM.
Els paràmetres comuns (velocitat de baudios, etc.) s'ignoren quan es configura el port sèrie NMEA. Podeu especificar la freqüència de fixació (és a dir, aquesta taxa de fixació del GPS determina la freqüència amb què s'obtenen les fixacions del GPS). També podeu aplicar tots els paràmetres del mode de servidor de la consola, Syslog i Serial Bridging a aquest port.
Podeu utilitzar pmshell, webshell, SSH, RFC2217 o RawTCP per accedir al flux:
Per example, utilitzant el Web Terminal:
36

Manual d'usuari

3.1.8 Consoles USB
Els servidors de consola amb ports USB admeten connexions de consola USB a dispositius d'una àmplia gamma de proveïdors, com ara Cisco, HP, Dell i Brocade. Aquests ports USB també poden funcionar com a ports sèrie RS-232 normals quan es connecta un adaptador USB a sèrie.

Aquests ports USB estan disponibles com a ports regulars de gestor de ports i es presenten numèricament a la pàgina web Interfície d'usuari després de tots els ports sèrie RJ45.

L'ACM7008-2 té vuit ports sèrie RJ45 a la part posterior del servidor de la consola i quatre ports USB a la part frontal. A Serial & Network > Serial Port s'enumeren com a

Port # Connector

RJ45

USB

10 USB

11 USB

12 USB

Si l'ACM7008-2 concret és un model mòbil, també apareixerà el port #13, per al GPS.

El 7216-24U té 16 ports sèrie RJ45 i 24 ports USB a la seva cara posterior, així com dos ports USB frontals i (en el model mòbil) un GPS.

Els ports sèrie RJ45 es presenten a Sèrie i xarxa > Port sèrie com a números de port 1. Els 16 ports USB de la part posterior tenen els números de port 24 i els ports USB de la part frontal es mostren als números de port 17 i 40, respectivament. I, igual que amb l'ACM41-42, si el 7008-2U particular és un model mòbil, el GPS es presenta al port número 7216.

Els paràmetres habituals (velocitat de baudios, etc.) s'utilitzen quan es configuren els ports, però algunes operacions poden no funcionar depenent de la implementació del xip sèrie USB subjacent.

3.2 Afegir i editar usuaris
L'administrador utilitza aquesta selecció de menú per crear, editar i eliminar usuaris i definir els permisos d'accés per a cadascun d'aquests usuaris.

Capítol 3: Port sèrie, dispositiu i configuració d'usuari

Els usuaris poden tenir autorització per accedir a serveis específics, ports sèrie, dispositius d'alimentació i hosts connectats a la xarxa especificats. Aquests usuaris també poden rebre l'estat d'administrador complet (amb privilegis de configuració i gestió i accés complets).

Es poden afegir usuaris als grups. Sis grups estan configurats per defecte:

admin

Ofereix privilegis de configuració i gestió il·limitats.

pptpd

Permet l'accés al servidor VPN PPTP. Els usuaris d'aquest grup tenen la seva contrasenya emmagatzemada en text clar.

dialin

Permet l'accés de marcatge mitjançant mòdems. Els usuaris d'aquest grup tenen la seva contrasenya emmagatzemada en text clar.

ftp

Permet l'accés ftp i file accés als dispositius d'emmagatzematge.

pmshell

Estableix l'intèrpret d'ordres per defecte a pmshell.

usuaris

Ofereix als usuaris privilegis bàsics de gestió.

El grup d'administració proporciona als membres privilegis d'administrador complets. L'usuari administrador pot accedir al servidor de la consola mitjançant qualsevol dels serveis que s'han habilitat a Sistema > Serveis. També pot accedir a qualsevol dels hosts connectats o dispositius de port sèrie mitjançant qualsevol dels serveis que s'han habilitat per a aquestes connexions. Només els usuaris de confiança haurien de tenir accés d'administrador
El grup d'usuaris proporciona als membres un accés limitat al servidor de la consola i als amfitrions connectats i als dispositius sèrie. Aquests usuaris només poden accedir a la secció Gestió del menú de la Consola de gestió i no tenen accés a la línia d'ordres al servidor de la consola. Només poden accedir a aquells amfitrions i dispositius sèrie que s'han comprovat, utilitzant serveis que s'han habilitat
Els usuaris dels grups pptd, dialin, ftp o pmshell han restringit l'accés de l'intèrpret d'ordres d'usuari als dispositius gestionats designats, però no tindran cap accés directe al servidor de la consola. Per afegir-ho, els usuaris també han de ser membres dels usuaris o grups d'administració
L'administrador pot configurar grups addicionals amb un dispositiu d'alimentació específic, un port sèrie i permisos d'accés a l'amfitrió. Els usuaris d'aquests grups addicionals no tenen accés al menú de la consola de gestió ni tenen accés a la línia d'ordres al servidor de la consola.

Manual d'usuari
L'administrador pot configurar usuaris amb un dispositiu d'alimentació, un port sèrie i permisos d'accés a l'amfitrió específics que no són membres de cap grup. Aquests usuaris no tenen accés al menú de la consola de gestió ni accés a la línia d'ordres al servidor de la consola. 3.2.1 Configurar un grup nou Per configurar nous grups i usuaris nous, i per classificar els usuaris com a membres de grups concrets:
1. Seleccioneu Sèrie i xarxa > Usuaris i grups per mostrar tots els grups i usuaris 2. Feu clic a Afegeix grup per afegir un grup nou
3. Afegiu un nom de grup i una descripció per a cada grup nou i designeu els amfitrions accessibles, els ports accessibles i els punts de venda RPC accessibles als quals els usuaris d'aquest grup nou podran accedir
4. Feu clic a Aplica 5. L'administrador pot editar o suprimir qualsevol grup afegit 3.2.2 Configurar usuaris nous Per configurar usuaris nous i classificar usuaris com a membres de grups concrets: 1. Seleccioneu Serial & Network > Users & Groups per mostrar tots els grups i usuaris 2. Feu clic a Afegeix usuari
39

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
3. Afegiu un nom d'usuari per a cada usuari nou. També podeu incloure informació relacionada amb l'usuari (per exemple, dades de contacte) al camp Descripció. El nom d'usuari pot contenir d'1 a 127 caràcters alfanumèrics i els caràcters “-” “_” i “.”.
4. Especifiqueu de quins grups voleu que l'usuari sigui membre. 5. Afegiu una contrasenya confirmada per a cada usuari nou. Es permeten tots els caràcters. 6. Es pot utilitzar l'autenticació de clau de pas SSH. Enganxeu les claus públiques de públic/privat autoritzat
parells de claus per a aquest usuari al camp Claus SSH autoritzades 7. Marqueu Desactiva l'autenticació de contrasenya per permetre només l'autenticació de clau pública per a aquest usuari
quan utilitzeu SSH 8. Marqueu Habilita la retromarcació al menú Opcions de marcatge per permetre una connexió de retromarcació de sortida.
s'activarà iniciant sessió en aquest port. Introduïu el número de telèfon de retorn amb el número de telèfon per tornar a trucar quan l'usuari iniciï sessió 9. Marqueu Amfitrions accessibles i/o Ports accessibles per designar els ports sèrie i els amfitrions connectats a la xarxa als quals voleu que l'usuari tingui privilegis d'accés 10. Si hi ha RPC configurats, marqueu Preses RPC accessibles per especificar quins punts de venda pot controlar l'usuari (és a dir, encendre/apagar) 11. Feu clic a Aplica. El nou usuari podrà accedir als dispositius de xarxa, ports i punts de venda RPC accessibles. Si l'usuari és membre del grup, també pot accedir a qualsevol altre dispositiu/port/punt de sortida accessible al grup
40

Manual d'usuari
No hi ha límits al nombre d'usuaris que podeu configurar o al nombre d'usuaris per port sèrie o host. Diversos usuaris poden controlar/supervisar el port o l'amfitrió. No hi ha límits en el nombre de grups i cada usuari pot ser membre d'un nombre de grups. Un usuari no ha de ser membre de cap grup, però si l'usuari és membre del grup d'usuaris predeterminat, no podrà utilitzar la consola de gestió per gestionar els ports. Tot i que no hi ha límits, el temps per tornar a configurar augmenta a mesura que augmenta el nombre i la complexitat. Recomanem que el nombre total d'usuaris i grups sigui inferior a 250. L'administrador també pot editar la configuració d'accés per a qualsevol usuari existent:
· Seleccioneu Sèrie i xarxa > Usuaris i grups i feu clic a Edita per modificar els privilegis d'accés de l'usuari · Feu clic a Suprimeix per eliminar l'usuari · Feu clic a Desactiva per bloquejar temporalment els privilegis d'accés
3.3 Autenticació
Consulteu el capítol 8 per obtenir els detalls de la configuració de l'autenticació.
3.4 Amfitrions de xarxa
Per supervisar i accedir de forma remota a un ordinador o dispositiu de xarxa local (anomenat Amfitrió), heu d'identificar l'Amfitrió:
1. Si seleccioneu Serial & Network > Network Hosts, es presenten tots els Amfitrions connectats a la xarxa que s'han habilitat per al seu ús.
2. Feu clic a Afegeix amfitrió per habilitar l'accés a un amfitrió nou (o seleccioneu Edita per actualitzar la configuració de l'amfitrió existent)
41

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
3. Si l'amfitrió és un dispositiu d'alimentació PDU o UPS o un servidor amb control d'alimentació IPMI, especifiqueu RPC (per a IPMI i PDU) o UPS i el tipus de dispositiu. L'administrador pot configurar aquests dispositius i habilitar quins usuaris tenen permís per apagar de forma remota, etc. Vegeu el capítol 7. En cas contrari, deixeu el Tipus de dispositiu establert a Cap.
4. Si el servidor de la consola s'ha configurat amb la supervisió distribuïda de Nagios activada, també veureu les opcions de configuració de Nagios per habilitar els serveis designats a l'amfitrió per ser supervisats.
5. Feu clic a Aplica. Això crea el nou host i també es crea un nou dispositiu gestionat amb el mateix nom.
3.5 Xarxes de confiança
La instal·lació de Xarxes de confiança us ofereix l'opció de designar adreces IP a les quals s'han d'ubicar els usuaris per tenir accés als ports sèrie del servidor de la consola:
42

Manual d'usuari
1. Seleccioneu Sèrie i xarxa > Xarxes de confiança. 2. Per afegir una nova xarxa de confiança, seleccioneu Afegeix una regla. En absència de normes, no hi ha accés
limitacions quant a l'adreça IP a la qual es poden localitzar els usuaris.

3. Seleccioneu els Ports accessibles als quals s'ha d'aplicar la nova regla
4. Introduïu l'adreça de xarxa de la subxarxa a la qual es permetrà l'accés
5. Especifiqueu l'interval d'adreces que s'han de permetre introduint una màscara de xarxa per a aquest interval d'IP permesos, p. ex.
· Per permetre que tots els usuaris ubicats amb una connexió de xarxa de classe C particular al port designat, afegiu la següent regla nova de xarxa de confiança:

Adreça IP de xarxa

204.15.5.0

Màscara de subxarxa

255.255.255.0

· Per permetre que només un usuari situat a una adreça IP específica es connecti:

Adreça IP de xarxa

204.15.5.13

Màscara de subxarxa

255.255.255.255

· Permetre que tots els usuaris que operen des d'un rang específic d'adreces IP (per exemple, qualsevol de les trenta adreces de 204.15.5.129 a 204.15.5.158) es permetin la connexió al port designat:

Adreça de l'amfitrió/subxarxa

204.15.5.128

Màscara de subxarxa

255.255.255.224

6. Feu clic a Aplica

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
3.6 Port sèrie en cascada
Els ports en cascada us permeten agrupar servidors de consola distribuïts en clúster, de manera que es pot configurar i accedir a un gran nombre de ports sèrie (fins a 1000) mitjançant una adreça IP i gestionar-los mitjançant una consola de gestió. Un servidor de consola, el principal, controla altres servidors de consola com a unitats Node i tots els ports sèrie de les unitats Node apareixen com si formen part de la Primaria. L'agrupament d'Opengear connecta cada node amb el principal amb una connexió SSH. Això es fa mitjançant l'autenticació de clau pública, de manera que el principal pot accedir a cada node mitjançant el parell de claus SSH (en lloc d'utilitzar contrasenyes). Això garanteix comunicacions autenticades segures entre Primary i Nodes, permetent que les unitats del servidor de la consola Node es distribueixin localment en una LAN o remotament arreu del món.
3.6.1 Generació i càrrega automàtica de claus SSH Per configurar l'autenticació de clau pública primer heu de generar un parell de claus RSA o DSA i carregar-les als servidors de la consola principal i del node. Això es pot fer automàticament des de Primària:
44

Manual d'usuari
1. Seleccioneu Sistema > Administració a la Consola de gestió principal
2. Marqueu Genera les claus SSH automàticament. 3. Feu clic a Aplica
A continuació, heu de seleccionar si voleu generar claus mitjançant RSA i/o DSA (si no esteu segur, seleccioneu només RSA). La generació de cada conjunt de claus requereix dos minuts i les claus noves destrueixen les claus antigues d'aquest tipus. Mentre la nova generació està en marxa, les funcions que es basen en claus SSH (per exemple, en cascada) poden deixar de funcionar fins que s'actualitzen amb el nou conjunt de claus. Per generar claus:
1. Marqueu les caselles de les claus que voleu generar. 2. Feu clic a Aplica
3. Un cop generades les claus noves, feu clic a l'enllaç Feu clic aquí per tornar. Les claus estan pujades
als nodes primaris i connectats.
3.6.2 Generar i carregar manualment les claus SSH Alternativament, si teniu un parell de claus RSA o DSA, podeu pujar-les als servidors de consola principal i de node. Per carregar la parella de claus pública i privada al servidor de la consola principal:
1. Seleccioneu Sistema > Administració a la Consola d'administració principal
2. Navegueu a la ubicació on heu emmagatzemat la clau pública RSA (o DSA) i pengeu-la a la clau pública SSH RSA (DSA)
3. Navegueu a la clau privada RSA (o DSA) emmagatzemada i pengeu-la a la clau privada SSH RSA (DSA) 4. Feu clic a Aplica.
45

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
A continuació, heu de registrar la clau pública com a clau autoritzada al node. En el cas d'un primari amb diversos nodes, pengeu una clau pública RSA o DSA per a cada node.
1. Seleccioneu Sistema > Administració a la consola de gestió del node 2. Navegueu a la clau pública RSA (o DSA) emmagatzemada i pengeu-la a la clau autoritzada SSH del node
3. Feu clic a Aplica. El següent pas és l'empremta digital de cada connexió Node-Primària nova. Aquest pas valida que esteu establint una sessió SSH a qui creieu que sou. A la primera connexió, el node rep una empremta digital del principal que s'utilitza en totes les connexions futures: per establir l'empremta digital primer registre al servidor principal com a root i establir una connexió SSH amb l'amfitrió remot del node:
# ssh remhost Un cop establerta la connexió SSH, se us demanarà que accepteu la clau. Respon que sí i l'empremta digital s'afegeix a la llista d'amfitrions coneguts. Si se us demana que proporcioneu una contrasenya, hi ha hagut un problema en carregar les claus. 3.6.3 Configuració dels nodes i els seus ports sèrie Comenceu a configurar els nodes i configurar els ports sèrie dels nodes des del servidor de la consola principal:
1. Seleccioneu Sèrie i xarxa > Ports en cascada a la consola de gestió de la primària: 2. Per afegir compatibilitat amb clúster, seleccioneu Afegeix node
No podeu afegir Nodes fins que no hàgiu generat les claus SSH. Per definir i configurar un node:
46

Manual d'usuari
1. Introduïu l'adreça IP remota o el nom DNS per al servidor de la consola del node 2. Introduïu una descripció breu i una etiqueta breu per al node 3. Introduïu el nombre complet de ports sèrie a la unitat del node a Nombre de ports 4. Feu clic a Aplica. Això estableix el túnel SSH entre el node primari i el nou
El menú Sèrie i xarxa > Ports en cascada mostra tots els nodes i els números de port que s'han assignat al principal. Si el servidor de la consola principal té 16 ports propis, els ports 1-16 s'assignen prèviament al principal, de manera que al primer node afegit se li assigna el número de port 17 en endavant. Un cop hàgiu afegit tots els servidors de la consola del Node, els ports sèrie del Node i els dispositius connectats es poden configurar i es pot accedir des del menú de la Consola de gestió del Primary i s'hi pot accedir mitjançant l'adreça IP del Primary.
1. Seleccioneu el port sèrie i xarxa adequats > Port sèrie i Editeu per configurar els ports sèrie al
Node.
2. Seleccioneu Serial & Network > Usuaris i grups adequats per afegir nous usuaris amb privilegis d'accés
als ports sèrie del Node (o per ampliar els privilegis d'accés dels usuaris existents).
3. Seleccioneu la sèrie i xarxa adequada > Xarxes de confiança per especificar les adreces de xarxa
pot accedir als ports sèrie de nodes designats. 4. Seleccioneu Alertes i registre > Alertes adequats per configurar la connexió, l'estat del port del node
Alertes de coincidència de patró de canvi. Els canvis de configuració fets al Primari es propaguen a tots els nodes quan feu clic a Aplica.
3.6.4 Gestió de nodes El principal controla els ports sèrie del node. Per exampsi canvieu els privilegis d'accés d'un usuari o editeu qualsevol paràmetre del port sèrie a la configuració principal, la configuració actualitzada files'envien a cada node en paral·lel. Cada node fa canvis a les seves configuracions locals (i només fa canvis relacionats amb els seus ports sèrie particulars). Podeu utilitzar la Consola de gestió de nodes local per canviar la configuració de qualsevol port sèrie de nodes (com ara modificar les velocitats de transmissió). Aquests canvis es sobreescriuen la propera vegada que el principal enviï una configuració file actualitzar. Tot i que el principal controla totes les funcions relacionades amb el port sèrie del node, no és principal a través de les connexions de l'amfitrió de la xarxa del node ni del sistema del servidor de la consola del node. Les funcions del node, com ara la configuració IP, SMTP i SNMP, la data i l'hora, el servidor DHCP s'han de gestionar accedint directament a cada node i aquestes funcions no es sobreescriuen quan els canvis de configuració es propaguen des del principal. L'amfitrió de xarxa del node i la configuració IPMI s'han de configurar a cada node.
47

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
La Consola de gestió de la primària proporciona un sistema consolidat view de la configuració dels seus propis ports sèrie i de tot el Node. La Primària no ofereix una integració totalment consolidada view. Per exampsi voleu esbrinar qui ha iniciat sessió als ports sèrie en cascada des del principal, veureu que Estat > Usuaris actius només mostra aquells usuaris actius als ports del principal, de manera que potser haureu d'escriure scripts personalitzats per proporcionar-ho. view.
3.7 Redirecció del port sèrie (PortShare)
El programari Port Share d'Opengear ofereix la tecnologia de port sèrie virtual que les vostres aplicacions Windows i Linux necessiten per obrir ports sèrie remots i llegir les dades dels dispositius sèrie connectats al vostre servidor de consola.
PortShare es subministra gratuïtament amb cada servidor de consola i teniu llicència per instal·lar PortShare en un o més ordinadors per accedir a qualsevol dispositiu sèrie connectat a un port de servidor de consola. PortShare per a Windows El portshare_setup.exe es pot descarregar des del lloc ftp. Consulteu el manual d'usuari i l'inici ràpid de PortShare per obtenir més informació sobre la instal·lació i el funcionament. PortShare per a Linux El controlador PortShare per a Linux mapeja el port sèrie del servidor de la consola a un port de prova d'amfitrió. Opengear ha llançat el portshare-serial-client com a utilitat de codi obert per a Linux, AIX, HPUX, SCO, Solaris i UnixWare. Aquesta utilitat es pot descarregar des del lloc ftp. Aquest redirector de port sèrie de PortShare us permet utilitzar un dispositiu sèrie connectat al servidor de la consola remota com si estigués connectat al vostre port sèrie local. El portshare-serial-client crea un port pseudo tty, connecta l'aplicació sèrie al port pseudo tty, rep dades del port pseudo tty, les transmet al servidor de la consola a través de la xarxa i rep dades del servidor de la consola a través de la xarxa i les transmet al port pseudo-tty. El .tar file es pot descarregar des del lloc ftp. Consulteu el manual d'usuari i l'inici ràpid de PortShare per obtenir més informació sobre la instal·lació i el funcionament.
48

Manual d'usuari
3.8 Dispositius gestionats
La pàgina de Dispositius gestionats presenta una pàgina consolidada view de totes les connexions a un dispositiu al qual es pot accedir i controlar mitjançant el servidor de la consola. A view les connexions als dispositius, seleccioneu Sèrie i xarxa > Dispositius gestionats
Aquesta pantalla mostra tots els dispositius gestionats amb la seva Descripció/Notes i llistes de totes les connexions configurades:
· Número de port sèrie (si està connectat en sèrie) o · USB (si està connectat USB) · Adreça IP (si està connectat a la xarxa) · Detalls de la PDU/presa d'alimentació (si escau) i qualsevol connexió SAI. Els dispositius com els servidors poden tenir més d'una connexió d'alimentació (p. ex., alimentació dual subministrada) i més d'una connexió de xarxa (per exemple, per a BMC/processador de servei). Tots els usuaris poden view aquestes connexions de dispositius gestionats seleccionant Gestiona > Dispositius. Els administradors també poden editar i afegir/suprimir aquests dispositius gestionats i les seves connexions. Per editar un dispositiu existent i afegir una nova connexió: 1. Seleccioneu Edita a Serial & Network > Managed Devices i feu clic a Afegeix una connexió 2. Seleccioneu el tipus de connexió per a la nova connexió (Serie, Amfitrió de xarxa, UPS o RPC) i seleccioneu
la connexió de la llista presentada d'amfitrions/ports/punts no assignats configurats
49

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
Per afegir un nou dispositiu gestionat connectat a la xarxa: 1. L'administrador afegeix un nou dispositiu gestionat connectat a la xarxa mitjançant Afegeix amfitrió al menú Serial & Network > Network Host. Això crea automàticament un dispositiu gestionat nou corresponent. 2. Quan afegiu un nou dispositiu d'alimentació RPC o UPS connectat a la xarxa, configureu un amfitrió de xarxa i el designeu com a RPC o UPS. Aneu a Connexions RPC o Connexions UPS per configurar la connexió corresponent. El dispositiu gestionat nou corresponent amb el mateix nom/descripció que l'amfitrió RPC/UPS no es crea fins que s'ha completat aquest pas de connexió.
NOTA Els noms de les preses de la PDU de nova creació són la presa 1 i la presa 2. Quan connecteu un dispositiu gestionat concret que treu energia de la presa de corrent, la presa pren el nom del dispositiu gestionat alimentat.
Per afegir un nou dispositiu gestionat connectat en sèrie: 1. Configureu el port sèrie mitjançant el menú Serial & Network > Serial Port (vegeu la secció 3.1 Configuració del port sèrie) 2. Seleccioneu Serial and Network > Managed Devices i feu clic a Afegeix dispositiu 3. Introduïu un dispositiu Nom i descripció del dispositiu gestionat

4. Feu clic a Afegeix una connexió i seleccioneu Serial i el Port que es connecta al dispositiu gestionat

5. Per afegir una connexió d'alimentació UPS/RPC o una connexió de xarxa o una altra connexió en sèrie, feu clic a Afegeix connexió

6. Feu clic a Aplica

NOTA

Per configurar un dispositiu RPC UPS o EMD connectat en sèrie, configureu el port sèrie, designeu-lo com a Dispositiu i introduïu un nom i una descripció per a aquest dispositiu a Serial & Network > RPC Connections (o UPS Connections or Environment). Això crea un dispositiu gestionat nou corresponent amb el mateix nom/descripció que l'amfitrió RPC/UPS. Els noms de les preses d'aquesta PDU de nova creació són la presa 1 i la presa 2. Quan connecteu un dispositiu gestionat que treu energia de la presa de corrent, la presa pren el nom del dispositiu gestionat alimentat.

3.9 VPN IPsec
Els ACM7000, CM7100 i IM7200 inclouen Openswan, una implementació Linux dels protocols IPsec (Seguretat IP), que es pot utilitzar per configurar una xarxa privada virtual (VPN). La VPN permet que diversos llocs o administradors remots accedeixin al servidor de la consola i als dispositius gestionats de manera segura a través d'Internet.

Manual d'usuari
L'administrador pot establir connexions VPN autenticades xifrades entre servidors de consola distribuïts en llocs remots i una passarel·la VPN (com ara un encaminador Cisco amb IOS IPsec) a la seva xarxa d'oficina central:
· Els usuaris de l'oficina central poden accedir de manera segura als servidors de la consola remota i als dispositius i màquines de la consola sèrie connectats a la subxarxa LAN de gestió a la ubicació remota com si fossin locals.
· Tots aquests servidors de consola remota es poden supervisar amb un CMS6000 a la xarxa central · Amb el pont en sèrie, les dades en sèrie del controlador de la màquina de l'oficina central es poden fer de manera segura
connectat als dispositius controlats en sèrie als llocs remots L'administrador de Road Warrior pot utilitzar un client de programari VPN IPsec per accedir de forma remota al servidor de la consola i a totes les màquines de la subxarxa LAN de gestió a la ubicació remota
La configuració d'IPsec és bastant complexa, de manera que Opengear proporciona una interfície GUI per a la configuració bàsica tal com es descriu a continuació. Per habilitar la passarel·la VPN:
1. Seleccioneu VPN IPsec al menú Sèrie i xarxes
2. Feu clic a Afegeix i completeu la pantalla Afegeix un túnel IPsec 3. Introduïu qualsevol nom descriptiu que vulgueu per identificar el túnel IPsec que esteu afegint, com ara
WestStOutlet-VPN
51

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
4. Seleccioneu el Mètode d'autenticació que voleu utilitzar, ja sigui signatures digitals RSA o un secret compartit (PSK) o Si seleccioneu RSA, se us demanarà que feu clic aquí per generar claus. Això genera una clau pública RSA per al servidor de la consola (la clau pública esquerra). Localitzeu la clau que voleu utilitzar a la passarel·la remota, retalleu-la i enganxeu-la a la clau pública dreta
o Si seleccioneu Secret compartit, introduïu un secret precompartit (PSK). El PSK ha de coincidir amb el PSK configurat a l'altre extrem del túnel
5. A Protocol d'autenticació, seleccioneu el protocol d'autenticació que voleu utilitzar. Autentiqueu-vos com a part del xifratge ESP (Encapsulating Security Payload) o per separat mitjançant el protocol AH (Authentication Header).
52

Manual d'usuari
6. Introduïu un identificador esquerre i un identificador dret. Aquest és l'identificador que utilitzen l'amfitrió/la passarel·la local i l'amfitrió/la passarel·la remots per a la negociació i l'autenticació IPsec. Cada identificador ha d'incloure una @ i pot incloure un nom de domini totalment qualificat (p. ex. left@example.com)
7. Introduïu l'adreça IP pública o DNS d'aquesta passarel·la VPN Opengear com a Adreça esquerra. Podeu deixar-ho en blanc per utilitzar la interfície de la ruta predeterminada
8. A Adreça dreta introduïu l'adreça IP pública o DNS de l'extrem remot del túnel (només si l'extrem remot té una adreça estàtica o DynDNS). En cas contrari, deixeu-ho en blanc
9. Si la passarel·la VPN d'Opengear serveix com a passarel·la VPN a una subxarxa local (per exemple, el servidor de la consola té una LAN de gestió configurada), introduïu els detalls de la subxarxa privada a la subxarxa esquerra. Utilitzeu la notació CIDR (on el número d'adreça IP va seguit d'una barra inclinada i el nombre de bits "un" a la notació binària de la màscara de xarxa). Per example, 192.168.0.0/24 indica una adreça IP on s'utilitzen els primers 24 bits com a adreça de xarxa. Això és el mateix que 255.255.255.0. Si l'accés VPN només és al servidor de la consola i als seus dispositius de consola sèrie connectats, deixeu la subxarxa esquerra en blanc
10. Si hi ha una passarel·la VPN a l'extrem remot, introduïu els detalls de la subxarxa privada a Subxarxa dreta. Utilitzeu la notació CIDR i deixeu-lo en blanc si només hi ha un host remot
11. Seleccioneu Inicia el túnel si la connexió del túnel s'ha d'iniciar des de l'extrem del servidor de la consola esquerra. Això només es pot iniciar des de la passarel·la VPN (esquerra) si l'extrem remot està configurat amb una adreça IP estàtica (o DynDNS).
12. Feu clic a Aplica per desar els canvis
NOTA Els detalls de configuració configurats al servidor de la consola (anomenat amfitrió esquerre o local) han de coincidir amb la configuració introduïda en configurar l'amfitrió/la passarel·la remota (dreta) o el client de programari. Consulteu http://www.opengear.com/faq.html per obtenir més informació sobre la configuració d'aquests extrems remots
3.10 OpenVPN
Els ACM7000, CM7100 i IM7200 amb firmware V3.2 i posteriors inclouen OpenVPN. OpenVPN utilitza la biblioteca OpenSSL per a l'encriptació, l'autenticació i la certificació, el que significa que utilitza SSL/TSL (Secure Socket Layer/Transport Layer Security) per a l'intercanvi de claus i pot xifrar tant les dades com els canals de control. L'ús d'OpenVPN permet la creació de VPN punt a punt multiplataforma mitjançant X.509 PKI (Infraestructura de clau pública) o una configuració personalitzada. files. OpenVPN permet un túnel segur de dades a través d'un únic port TCP/UDP a través d'una xarxa no segura, proporcionant així accés segur a diversos llocs i administració remota segura a un servidor de consola a través d'Internet. OpenVPN també permet l'ús d'adreces IP dinàmiques tant pel servidor com pel client, proporcionant així mobilitat al client. Per exampEs pot establir un túnel OpenVPN entre un client de Windows en itinerància i un servidor de consola Opengear dins d'un centre de dades. La configuració d'OpenVPN pot ser complexa, de manera que Opengear proporciona una interfície GUI per a la configuració bàsica tal com es descriu a continuació. Hi ha informació més detallada disponible a http://www.openvpn.net
3.10.1 Habilita l'OpenVPN 1. Seleccioneu OpenVPN al menú Sèrie i xarxes
53

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
2. Feu clic a Afegeix i completeu la pantalla Afegeix un túnel OpenVPN 3. Introduïu qualsevol nom descriptiu que vulgueu per identificar el túnel OpenVPN que esteu afegint, per exempleample
NorthStOutlet-VPN
4. Seleccioneu el mètode d'autenticació que voleu utilitzar. Per autenticar-se mitjançant certificats, seleccioneu PKI (Certificats X.509) o seleccioneu Configuració personalitzada per carregar la configuració personalitzada files. Les configuracions personalitzades s'han d'emmagatzemar a /etc/config.
NOTA Si seleccioneu PKI, establiu: Certificat separat (també conegut com a clau pública). Aquest certificat File és un *.crt file escriviu la clau privada per al servidor i cada client. Aquesta clau privada File és una *.key file tipus
Certificat i clau de l'autoritat de certificació principal (CA) que s'utilitza per signar cadascun dels servidors
i certificats de client. Aquest certificat de CA arrel és un *.crt file escriviu Per a un servidor, també podeu necessitar dh1024.pem (paràmetres de Diffie Hellman). Consulteu http://openvpn.net/easyrsa.html per obtenir una guia sobre la gestió bàsica de claus RSA. Per obtenir mètodes d'autenticació alternatius, consulteu http://openvpn.net/index.php/documentation/howto.html#auth.
5. Seleccioneu el controlador de dispositiu que voleu utilitzar, Tun-IP o Tap-Ethernet. Els controladors TUN (túnel de xarxa) i TAP (aixeta de xarxa) són controladors de xarxa virtual que admeten el túnel IP i el túnel Ethernet, respectivament. TUN i TAP formen part del nucli Linux.
6. Seleccioneu UDP o TCP com a protocol. UDP és el protocol predeterminat i preferit per a OpenVPN. 7. Marqueu o desmarqueu el botó Compressió per activar o desactivar la compressió. 8. En el mode de túnel, indiqueu si aquest és l'extrem del client o del servidor del túnel. Quan corre com
un servidor, el servidor de consola admet diversos clients connectats al servidor VPN a través del mateix port.
54

Manual d'usuari
3.10.2 Configurar com a servidor o client
1. Completeu els detalls del client o del servidor en funció del mode de túnel seleccionat. o Si s'ha seleccionat Client, l'adreça del servidor principal és l'adreça del servidor OpenVPN. o Si s'ha seleccionat Servidor, introduïu l'adreça de xarxa IP Pool i la màscara de xarxa IP Pool per a l'IP Pool. La xarxa definida per l'adreça/màscara de la xarxa IP Pool s'utilitza per proporcionar les adreces per connectar els clients.
2. Feu clic a Aplica per desar els canvis
55

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
3. Per introduir certificats d'autenticació i files, seleccioneu Gestiona OpenVPN Filepestanya s. Carregueu o navegueu als certificats d'autenticació rellevants i files.
4. Aplica per desar els canvis. Desat files es mostren en vermell a la part dreta del botó Carrega.
5. Per habilitar OpenVPN, editeu el túnel OpenVPN
56

Manual d'usuari
6. Marqueu el botó Habilitat. 7. Aplicar per desar els canvis NOTA Assegureu-vos que l'hora del sistema del servidor de la consola sigui correcta quan treballeu amb OpenVPN per evitar
problemes d'autenticació.
8. Seleccioneu Estadístiques al menú Estat per verificar que el túnel estigui operatiu.
57

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
3.10.3 Configuració del client i servidor de Windows OpenVPN Aquesta secció descriu la instal·lació i configuració d'un client de Windows OpenVPN o un servidor de Windows OpenVPN i la configuració d'una connexió VPN a un servidor de consola. Els servidors de la consola generen automàticament la configuració del client de Windows des de la GUI per al secret precompartit (clau estàtica File) configuracions.
Alternativament, el programari OpenVPN GUI per a Windows (que inclou el paquet estàndard OpenVPN més una GUI de Windows) es pot descarregar des de http://openvpn.net. Un cop instal·lat a la màquina Windows, s'afegeix una icona d'OpenVPN a l'àrea de notificació situada a la part dreta de la barra de tasques. Feu clic amb el botó dret a aquesta icona per iniciar i aturar les connexions VPN, editar configuracions i view registres.
Quan el programari OpenVPN comença a executar-se, el C:Program FilesLa carpeta OpenVPNconfig s'escaneja per trobar .opvn files. Aquesta carpeta es torna a comprovar per a una nova configuració files sempre que es fa clic amb el botó dret a la icona de la GUI d'OpenVPN. Un cop instal·lat OpenVPN, creeu una configuració file:
58

Manual d'usuari

Amb un editor de text, creeu un xxxx.ovpn file i deseu a C:Program FilesOpenVPNconfig. Per example, C: Programa FilesOpenVPNconfigclient.ovpn
Un exampfitxer d'una configuració de client de Windows OpenVPN file es mostra a continuació:
# descripció: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt clau c:\openvpnkeys\client-key persist-bind persistent-key tun comp-lzo
Un exampfitxer d'una configuració OpenVPN Windows Server file es mostra a continuació:
servidor 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeysrtvpc:keys\nserver. clau dh c:\openvpnkeys\dh.pem comp-lzo verb 1 syslog IM4216_OpenVPN_Server
La configuració del client/servidor de Windows file les opcions són:

Opcions #descripció: servidor client proto udp proto tcp mssfix verb
dev tun dev tap

Descripció Aquest és un comentari que descriu la configuració. Les línies de comentaris comencen amb "#" i OpenVPN les ignora. Especifiqueu si aquesta serà una configuració de client o servidor file. A la configuració del servidor file, defineix el grup d'adreces IP i la màscara de xarxa. Per example, servidor 10.100.10.0 255.255.255.0 Establiu el protocol a UDP o TCP. El client i el servidor han d'utilitzar la mateixa configuració. Mssfix estableix la mida màxima del paquet. Això només és útil per a UDP si hi ha problemes.
Estableix el registre file nivell de verbositat. El nivell de verbositat del registre es pot establir des de 0 (mínim) fins a 15 (màxim). Per example, 0 = silenciós excepte errors fatals 3 = sortida mitjana, bo per a ús general 5 = ajuda amb la depuració de problemes de connexió 9 = detallat, excel·lent per solucionar problemes Seleccioneu "dev tun" per crear un túnel IP encaminat o "dev tap" per crear un túnel Ethernet. El client i el servidor han d'utilitzar la mateixa configuració.

Capítol 3: Port sèrie, dispositiu i configuració d'usuari

remot Port Keepalive
http-proxy cafile nom>
certfile nom>
claufile nom>
dhfile nom> Nobind persist-key persist-tun xifrat BF-CBC Blowfish (per defecte) xifrat AES-128-CBC AES xifrat DES-EDE3-CBC Triple-DES comp-lzo syslog

El nom d'amfitrió/IP del servidor OpenVPN quan opera com a client. Introduïu el nom d'amfitrió DNS o l'adreça IP estàtica del servidor. El port UDP/TCP del servidor. Keepalive utilitza ping per mantenir viva la sessió d'OpenVPN. 'Keepalive 10 120' fa pings cada 10 segons i assumeix que el parell remot està inactiu si no s'ha rebut cap ping durant un període de temps de 120 segons. Si cal un servidor intermediari per accedir al servidor, introduïu el nom DNS del servidor intermediari o la IP i el número de port. Introduïu el certificat CA file nom i ubicació. El mateix certificat CA file pot ser utilitzat pel servidor i tots els clients. Nota: Assegureu-vos que cada `' a la ruta del directori es substitueix per ` \'. Per example, c:openvpnkeysca.crt es convertirà en c:\openvpnkeys\ca.crt Introduïu el certificat del client o del servidor file nom i ubicació. Cada client ha de tenir el seu propi certificat i clau files. Nota: Assegureu-vos que cada `' a la ruta del directori es substitueix per ` \'. Introduïu el file nom i ubicació de la clau del client o del servidor. Cada client ha de tenir el seu propi certificat i clau files. Nota: Assegureu-vos que cada `' a la ruta del directori es substitueix per ` \'. Això només l'utilitza el servidor. Introduïu el camí a la clau amb els paràmetres Diffie-Hellman. `Nobind' s'utilitza quan els clients no necessiten vincular-se a una adreça local o un número de port local específic. Aquest és el cas de la majoria de configuracions de client. Aquesta opció evita la recàrrega de claus durant els reinicis. Aquesta opció evita el tancament i la reobertura dels dispositius TUN/TAP durant els reinicis. Seleccioneu un xifrat criptogràfic. El client i el servidor han d'utilitzar la mateixa configuració.
Activeu la compressió a l'enllaç OpenVPN. Això s'ha d'habilitar tant al client com al servidor. Per defecte, els registres es troben al syslog o, si s'executen com a servei a la finestra, al Programa Files Directori OpenVPNlog.

Per iniciar el túnel OpenVPN després de la creació de la configuració client/servidor files: 1. Feu clic amb el botó dret a la icona d'OpenVPN a l'àrea de notificació. 2. Seleccioneu la configuració del client o del servidor que acaba de crear. 3. Feu clic a Connecta

4. El registre file es mostra a mesura que s'estableix la connexió
60

Manual d'usuari
5. Un cop establert, la icona d'OpenVPN mostra un missatge que indica una connexió correcta i una IP assignada. Aquesta informació, així com el moment en què es va establir la connexió, està disponible desplaçant-se per la icona d'OpenVPN.
3.11 VPN PPTP
Els servidors de consola inclouen un servidor PPTP (Protocol de túnel punt a punt). PPTP s'utilitza per a comunicacions mitjançant un enllaç en sèrie físic o virtual. Els punts finals PPP defineixen una adreça IP virtual per ells mateixos. Les rutes a les xarxes es poden definir amb aquestes adreces IP com a passarel·la, la qual cosa fa que el trànsit s'enviï a través del túnel. PPTP estableix un túnel entre els punts finals físics de PPP i transporta dades de manera segura a través del túnel.
La força de PPTP és la seva facilitat de configuració i integració a la infraestructura existent de Microsoft. Generalment s'utilitza per connectar clients Windows remots únics. Si porteu el vostre ordinador portàtil en un viatge de negocis, podeu marcar un número local per connectar-vos al vostre proveïdor de serveis d'accés a Internet (ISP) i crear una segona connexió (túnel) a la vostra xarxa d'oficina a través d'Internet i tenir el mateix accés al vostre xarxa corporativa com si estigués connectat directament des de la vostra oficina. Els teletreballadors també poden configurar un túnel VPN a través del seu mòdem de cable o enllaços DSL al seu ISP local.
61

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
Per configurar una connexió PPTP des d'un client Windows remot al vostre dispositiu Opengear i a la xarxa local:
1. Activeu i configureu el servidor VPN PPTP al vostre dispositiu Opengear 2. Configureu comptes d'usuari VPN a l'aplicació Opengear i activeu el
autenticació 3. Configureu els clients VPN als llocs remots. El client no requereix programari especial com
el servidor PPTP admet el programari de client PPTP estàndard inclòs amb Windows NT i posterior 4. Connecteu-vos a la VPN remota 3.11.1 Habilita el servidor VPN PPTP 1. Seleccioneu PPTP VPN al menú Sèrie i xarxes
2. Seleccioneu la casella de selecció Habilita per habilitar el servidor PPTP. 3. Seleccioneu l'autenticació mínima necessària. Es denega l'accés als usuaris remots que ho intentin
connecteu-vos mitjançant un esquema d'autenticació més feble que l'esquema seleccionat. Els esquemes es descriuen a continuació, del més fort al més feble. · Autenticació xifrada (MS-CHAP v2): el tipus d'autenticació més fort per utilitzar; això és
l'opció recomanada · Autenticació xifrada feble (CHAP): aquest és el tipus més feble de contrasenya xifrada
autenticació per utilitzar. No es recomana que els clients es connectin amb això, ja que ofereix molt poca protecció amb contrasenya. Tingueu en compte també que els clients que es connecten mitjançant CHAP no poden xifrar el trànsit
62

Manual d'usuari
· Autenticació sense xifrar (PAP): es tracta d'una autenticació de contrasenya de text senzill. Quan s'utilitza aquest tipus d'autenticació, la contrasenya del client es transmet sense xifrar.
· Cap 4. Seleccioneu el nivell de xifratge requerit. Es denega l'accés als usuaris remots que intenten connectar-se
que no utilitzen aquest nivell de xifratge. 5. A Adreça local, introduïu l'adreça IP per assignar-la al final del servidor de la connexió VPN 6. A Adreces remotes introduïu el conjunt d'adreces IP per assignar a la VPN del client entrant
connexions (p. ex. 192.168.1.10-20). Aquesta ha de ser una adreça IP gratuïta o un rang d'adreces de la xarxa que els usuaris remots s'assignen mentre estan connectats a l'aparell Opengear 7. Introduïu el valor desitjat de la unitat de transmissió màxima (MTU) per a les interfícies PPTP al camp MTU (per defecte és 1400) 8. Al camp Servidor DNS, introduïu l'adreça IP del servidor DNS que assigna adreces IP als clients PPTP connectats 9. Al camp Servidor WINS, introduïu l'adreça IP del servidor WINS que assigna adreces IP als clients PPTP connectats. 10. Habiliteu Verbose Logging per ajudar a depurar problemes de connexió 11. Feu clic a Aplica la configuració 3.11.2 Afegeix un usuari PPTP 1. Seleccioneu Usuaris i grups al menú Sèrie i xarxes i empleneu els camps tal com es descriu a la secció 3.2. 2. Assegureu-vos que s'hagi marcat el grup pptpd per permetre l'accés al servidor VPN PPTP. Nota: els usuaris d'aquest grup tenen les seves contrasenyes emmagatzemades en text clar. 3. Anoteu el nom d'usuari i la contrasenya per quan necessiteu connectar-vos a la connexió VPN. 4. Feu clic a Aplica
63

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
3.11.3 Configuració d'un client PPTP remot Assegureu-vos que l'ordinador client VPN remot tingui connectivitat a Internet. Per crear una connexió VPN a Internet, heu de configurar dues connexions de xarxa. Una connexió és per a l'ISP i l'altra connexió és per al túnel VPN a l'aparell Opengear. NOTA Aquest procediment configura un client PPTP al sistema operatiu Windows Professional. Els passos
pot variar lleugerament segons l'accés a la xarxa o si utilitzeu una versió alternativa de Windows. Hi ha instruccions més detallades disponibles a Microsoft web lloc. 1. Inicieu sessió al vostre client de Windows amb privilegis d'administrador 2. Des del Centre de xarxes i compartició del tauler de control, seleccioneu Connexions de xarxa i creeu una nova connexió
64

Manual d'usuari
3. Seleccioneu Utilitza la meva connexió a Internet (VPN) i introduïu l'adreça IP de l'aplicació Opengear. Per connectar clients VPN remots a la xarxa local, heu de conèixer el nom d'usuari i la contrasenya del compte PPTP que heu afegit, així com la IP d'Internet. adreça de l'aparell Opengear. Si el vostre ISP no us ha assignat una adreça IP estàtica, penseu a utilitzar un servei DNS dinàmic. En cas contrari, haureu de modificar la configuració del client PPTP cada vegada que canviï l'adreça IP d'Internet.
65

Capítol 3: Port sèrie, dispositiu i configuració d'usuari

3.12 Truqueu a casa
Tots els servidors de consola inclouen la funció Call Home que inicia la configuració d'un túnel SSH segur des del servidor de la consola fins a un Opengear Lighthouse centralitzat. El servidor de la consola es registra com a candidat al Lighthouse. Un cop acceptat allà es converteix en un servidor de consola gestionada.
Lighthouse supervisa el servidor de la consola gestionada i els administradors poden accedir al servidor de la consola gestionada remota mitjançant el Lighthouse. Aquest accés està disponible fins i tot quan el servidor de la consola remota està darrere d'un tallafoc de tercers o té adreces IP privades no encaminables.

NOTA

Lighthouse manté connexions SSH autenticades amb clau pública a cadascun dels seus servidors de consola gestionada. Aquestes connexions s'utilitzen per supervisar, dirigir i accedir als servidors de la consola gestionada i als dispositius gestionats connectats al servidor de la consola gestionada.

Per gestionar servidors de consola locals o servidors de consola als quals es pot accedir des de Lighthouse, Lighthouse inicia les connexions SSH.

Per gestionar servidors de consola remota o servidors de consola amb tallafoc, no encaminables o inaccessibles des del Lighthouse, les connexions SSH les inicien Managed ConsoleServer mitjançant una connexió inicial de Call Home.

Això garanteix comunicacions segures i autenticades i permet que les unitats dels servidors de consola gestionada es distribueixin localment en una LAN o remotament arreu del món.

3.12.1 Configuració del candidat de Call Home Per configurar el servidor de consola com a candidat de gestió de Call Home al Lighthouse:
1. Seleccioneu Truca a casa al menú Sèrie i xarxa

2. Si encara no heu generat o carregat un parell de claus SSH per a aquest servidor de consola, feu-ho abans de continuar
3. Feu clic a Afegeix

4. Introduïu l'adreça IP o el nom DNS (per exemple, l'adreça DNS dinàmica) del Lighthouse.
5. Introduïu la contrasenya que heu configurat al CMS com a contrasenya de trucada a casa.
66

Manual d'usuari
6. Feu clic a Aplica. Aquests passos inicien la connexió Call Home des del servidor de la consola al Lighthouse. Això crea un port SSHlistening al Lighthouse i configura el servidor de la consola com a candidat.
Una vegada que el candidat ha estat acceptat al Lighthouse, es redirigeix un túnel SSH al servidor de la consola a través de la connexió Call Home. El servidor de la consola s'ha convertit en un servidor de la consola gestionada i el Lighthouse es pot connectar i supervisar a través d'aquest túnel. 3.12.2 Accepta el candidat de Call Home com a servidor de consola gestionada a Lighthouse Aquesta secció ofereix unaview sobre la configuració del Lighthouse per supervisar els servidors de la consola Lighthouse connectats mitjançant Call Home. Per obtenir més informació, consulteu la Guia d'usuari de Lighthouse:
1. Introduïu una nova contrasenya de trucada a casa al Lighthouse. Aquesta contrasenya s'utilitza per acceptar
Truqueu a Homeconnections des dels servidors de la consola candidats
2. El servidor de la consola pot contactar amb Lighthouse, ja que ha de tenir una IP estàtica
adreça o, si fusionen DHCP, estar configurat per utilitzar un servei DNS dinàmic
La pantalla Configura > Servidors de la consola gestionada del Lighthouse mostra l'estat de
Servidors i candidats locals i remots de la consola gestionada.
La secció Servidors de la consola gestionada mostra els servidors de la consola que supervisa
Lighthouse. La secció Servidors de consola detectats conté:
o El menú desplegable Servidors de la consola local que enumera tots els servidors de la consola que es troben al
mateixa subxarxa que el far i no s'estan supervisant
67

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
o El menú desplegable Servidors de consola remota que enumera tots els servidors de consola que han establert una connexió Call Home i que no estan sent monitoritzats (és a dir, candidats). Podeu fer clic a Actualitza per actualitzar
Per afegir un candidat de servidor de consola a la llista de servidors de consola gestionada, seleccioneu-lo a la llista desplegable Servidors de consola remota i feu clic a Afegeix. Introduïu l'adreça IP i el port SSH (si aquests camps no s'han emplenat automàticament) i introduïu una descripció i un nom únic per al servidor de la consola gestionada que esteu afegint
Introduïu la contrasenya d'arrel remota (és a dir, la contrasenya del sistema que s'ha establert en aquest servidor de la consola gestionada). El Lighthouse utilitza aquesta contrasenya per propagar les claus SSH generades automàticament i no s'emmagatzema. Feu clic a Aplica. El Lighthouse configura connexions SSH segures cap a i des del servidor de la consola gestionada i recupera els seus dispositius gestionats, els detalls del compte d'usuari i les alertes configurades 3.12.3 Trucar a casa a un servidor SSH central genèric Si us connecteu a un servidor SSH genèric (no Lighthouse) podeu configurar la configuració avançada: · Introduïu el port del servidor SSH i l'usuari SSH. · Introduïu els detalls dels reenviaments de ports SSH que cal crear
Si seleccioneu Listening Server, podeu crear un reenviament de port remot des del servidor a aquesta unitat o un port local des d'aquesta unitat al servidor:
68

Manual d'usuari
· Especifiqueu un port d'escolta per reenviar, deixeu aquest camp en blanc per assignar un port no utilitzat · Introduïu el servidor de destinació i el port de destinació que serà el destinatari de les connexions reenviades
3.13 Passthrough IP
L'IP Passthrough s'utilitza per fer que una connexió de mòdem (per exemple, el mòdem cel·lular intern) aparegui com una connexió Ethernet normal a un encaminador descendent de tercers, permetent que l'encaminador descendent utilitzi la connexió de mòdem com a interfície WAN principal o de còpia de seguretat.
El dispositiu Opengear proporciona l'adreça IP del mòdem i els detalls del DNS al dispositiu aigües avall mitjançant DHCP i passa el trànsit de xarxa cap a i des del mòdem i l'encaminador.
Mentre que IP Passthrough converteix un Opengear en un mig pont de mòdem a Ethernet, alguns serveis de capa 4 (HTTP/HTTPS/SSH) poden finalitzar a l'Opengear (Interceptes de servei). A més, els serveis que s'executen a l'Opengear poden iniciar connexions cel·lulars de sortida independents de l'encaminador aigües avall.
Això permet que l'Opengear es continuï utilitzant per a la gestió i alerta fora de banda i també es gestioni mitjançant Lighthouse, mentre es troba en mode IP Passthrough.
3.13.1 Configuració de l'encaminador descendent Per utilitzar la connectivitat de migració per error a l'encaminador descendent (també conegut com a Failover to Cellular o F2C), ha de tenir dues o més interfícies WAN.
NOTA La failover en el context IP Passthrough la realitza l'encaminador aigües avall i la lògica de failover fora de banda integrada a l'Opengear no està disponible en mode IP Passthrough.
Connecteu una interfície Ethernet WAN a l'encaminador aigües avall a la interfície de xarxa o al port LAN de gestió de l'Opengear amb un cable Ethernet.
Configureu aquesta interfície a l'encaminador descendent per rebre la configuració de la seva xarxa mitjançant DHCP. Si es requereix una migració per error, configureu l'encaminador de baixada per a la migració per error entre la seva interfície principal i el port Ethernet connectat a l'Opengear.
3.13.2 Configuració prèvia del pas d'IP Els passos previs per habilitar el pas d'IP són:
1. Configureu la interfície de xarxa i, si escau, les interfícies de LAN de gestió amb paràmetres de xarxa estàtics. · Feu clic a Sèrie i xarxa > IP. · Per a la interfície de xarxa i, si escau, LAN de gestió, seleccioneu Estàtica per al Mètode de configuració i introduïu la configuració de la xarxa (vegeu la secció Configuració de la xarxa per obtenir instruccions detallades). · Per a la interfície connectada a l'encaminador aigües avall, podeu triar qualsevol xarxa privada dedicada, aquesta xarxa només existeix entre l'Opengear i l'encaminador aigües avall i normalment no és accessible. · Per a l'altra interfície, configureu-la com ho faríeu normalment a la xarxa local. · Per a ambdues interfícies, deixeu Gateway en blanc.
2. Configureu el mòdem en mode Always On Fora de banda.
69

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
· Per a una connexió mòbil, feu clic a Sistema > Marcar: mòdem cel·lular intern. · Seleccioneu Habilita el marcatge de sortida i introduïu els detalls de l'operador com ara APN (vegeu la secció Mòdem mòbil
Connexió per a instruccions detallades). 3.13.3 Configuració IP Passthrough Per configurar IP Passthrough:
· Feu clic a Serial & Network > IP Passthrough i marqueu Habilita. · Seleccioneu el mòdem Opengear que voleu utilitzar per a la connectivitat amunt. · Opcionalment, introduïu l'adreça MAC de la interfície connectada de l'encaminador posterior. Si l'adreça MAC és
no s'especifica, l'Opengear passarà al primer dispositiu aigües avall que sol·licita una adreça DHCP. · Seleccioneu la interfície Ethernet d'Opengear per utilitzar-la per connectar-vos a l'encaminador posterior.
· Feu clic a Aplica. 3.13.4 Intercepcions de servei Aquestes permeten que l'Opengear continuï proporcionant serveis, per exempleample, per a la gestió fora de banda en mode IP Passthrough. Les connexions a l'adreça del mòdem als ports d'intercepció especificats les gestiona l'Opengear en lloc de passar a l'encaminador aigües avall.
· Per al servei necessari d'HTTP, HTTPS o SSH, marqueu Habilita · Modifiqueu opcionalment el port d'interceptació a un port alternatiu (per exemple, 8443 per a HTTPS), això és útil si
Voleu continuar permetent que l'encaminador aigües avall sigui accessible mitjançant el seu port normal. 3.13.5 Estat de pas d'IP Actualitzeu la pàgina a view la secció Estat. Mostra l'adreça IP externa del mòdem que s'està passant, l'adreça MAC interna de l'encaminador descendent (només s'omple quan l'encaminador descendent accepta l'arrendament DHCP) i l'estat general d'execució del servei IP Passthrough. És possible que se us avisi de l'estat de la migració per error de l'encaminador aigües avall configurant una comprovació d'ús de dades encaminades a Alertes i registre > Resposta automàtica. 3.13.6 Advertències Alguns encaminadors aigües avall poden ser incompatibles amb la ruta de la passarel·la. Això pot passar quan l'IP Passthrough connecta una xarxa mòbil 3G on l'adreça de la passarel·la és una adreça de destinació punt a punt i no hi ha informació de subxarxa disponible. L'Opengear envia una màscara de xarxa DHCP de 255.255.255.255. Els dispositius normalment ho consideren com una ruta d'amfitrió única a la interfície, però alguns dispositius més antics poden tenir problemes.
70

Manual d'usuari
Les intercepcions per als serveis locals no funcionaran si l'Opengear utilitza una ruta predeterminada que no sigui el mòdem. A més, no funcionaran tret que el servei estigui habilitat i l'accés al servei estigui habilitat (vegeu Sistema > Serveis, a la pestanya Accés al servei, cerqueu Dialout/Cellular).
S'admeten connexions de sortida que s'originen des d'Opengear a serveis remots (per exemple, enviament d'alertes de correu electrònic SMTP, trampes SNMP, obtenció de temps NTP, túnels IPSec). Hi ha un petit risc d'error de connexió si tant l'Opengear com el dispositiu aigües avall intenten accedir al mateix port UDP o TCP al mateix host remot al mateix temps quan han escollit aleatòriament el mateix número de port local d'origen.
3.14 Configuració mitjançant DHCP (ZTP)
Els dispositius Opengear es poden subministrar durant l'arrencada inicial des d'un servidor DHCPv4 o DHCPv6 mitjançant config-over-DHCP. El subministrament en xarxes no fiables es pot facilitar proporcionant claus en una unitat flash USB. La funcionalitat ZTP també es pot utilitzar per realitzar una actualització del microprogramari en la connexió inicial a la xarxa o per registrar-se en una instància Lighthouse 5.
Preparació Els passos típics per a la configuració a través d'una xarxa de confiança són:
1. Configureu un dispositiu Opengear del mateix model. 2. Deseu la seva configuració com a còpia de seguretat d'Opengear (.opg) file. 3. Seleccioneu Sistema > Còpia de seguretat de configuració > Còpia de seguretat remota. 4. Feu clic a Desa la còpia de seguretat. Una configuració de còpia de seguretat file — model-name_iso-format-date_config.opg — es baixa des del dispositiu Opengear al sistema local. Podeu desar la configuració com a xml file: 1. Seleccioneu Sistema > Còpia de seguretat de configuració > Configuració XML. Un camp editable que conté el
configuració file en format XML apareix. 2. Feu clic al camp per activar-lo. 3. Si esteu executant qualsevol navegador a Windows o Linux, feu clic amb el botó dret i seleccioneu Selecciona-ho tot al menú
menú contextual o premeu Control-A. Feu clic amb el botó dret i seleccioneu Copia al menú contextual o premeu Control-C. 4. Si utilitzeu qualsevol navegador a macOS, trieu Edita > Selecciona-ho tot o premeu Ordre-A. Trieu Edita > Copia o premeu Ordre-C. 5. Al vostre editor de text preferit, creeu un nou document buit, enganxeu les dades copiades al document buit i deseu el file. El que sigui file-nom que trieu, ha d'incloure el fitxer .xml filesufix de nom. 6. Copieu el fitxer .opg o .xml desat file a un directori públic a file servidor que serveixi almenys un dels protocols següents: HTTPS, HTTP, FTP o TFTP. (Només es pot utilitzar HTTPS si la connexió entre el file servidor i un dispositiu Opengear que s'ha de configurar viatja per una xarxa no fiable). 7. Configureu el vostre servidor DHCP perquè inclogui una opció "específica del proveïdor" per als dispositius Opengear. (Això es farà d'una manera específica del servidor DHCP.) L'opció específica del proveïdor s'hauria d'establir en una cadena que contingui el URL dels .opg o .xml publicats file al pas anterior. La cadena d'opció no ha de superar els 250 caràcters i ha d'acabar en .opg o en .xml.
71

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
8. Connecteu un dispositiu Opengear nou, ja sigui de fàbrica o esborrat de configuració, a la xarxa i poseu-hi alimentació. El dispositiu pot trigar fins a 5 minuts a reiniciar-se.
Example Configuració del servidor ISC DHCP (dhcpd).
El següent és un exampFragment de configuració del servidor DHCP de fitxer per publicar una imatge de configuració .opg mitjançant el servidor DHCP ISC, dhcpd:
opció espai opengear codi amplada 1 longitud amplada 1; opció opengear.config-url codi 1 = text; classe "opengear-config-over-dhcp-test" {
coincideix si l'opció venedor-class-identifier ~~ "^Opengear/"; venedor-opció-espai obert; opció opengear.config-url "https://example.com/opg/${class}.opg”; }
Aquesta configuració es pot modificar per actualitzar la imatge de configuració mitjançant l'opengear.image-url i proporcionant un URI a la imatge del microprogramari.
Configurar quan la LAN no és de confiança Si la connexió entre el file servidor i un dispositiu Opengear per configurar inclou una xarxa no fiable, un enfocament a dues mans pot mitigar el problema.
NOTA Aquest enfocament introdueix dos passos físics on la confiança pot ser difícil, si no impossible, d'establir completament. En primer lloc, la cadena de custòdia des de la creació de la unitat flash USB que porta dades fins al seu desplegament. En segon lloc, les mans que connecten la unitat flash USB al dispositiu Opengear.
· Generar un certificat X.509 per al dispositiu Opengear.
· Concatenar el certificat i la seva clau privada en un sol file anomenat client.pem.
· Copieu client.pem en una unitat flash USB.
· Configureu un servidor HTTPS de manera que l'accés al fitxer .opg o .xml file està restringit als clients que poden proporcionar el certificat de client X.509 generat anteriorment.
· Col·loqueu una còpia del certificat CA que va signar el certificat del servidor HTTP (ca-bundle.crt) a la unitat flash USB que porta client.pem.
· Inseriu la unitat flash USB al dispositiu Opengear abans de connectar l'alimentació o la xarxa.
· Continueu el procediment des de `Copia el fitxer .opg o .xml desat file a un directori públic a file servidor" anterior utilitzant el protocol HTTPS entre el client i el servidor.
Prepareu una unitat USB i creeu el certificat X.509 i la clau privada
· Genereu el certificat CA perquè les sol·licituds de signatura de certificats (CSR) del client i del servidor es puguin signar.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Aquest procediment genera un certificat anomenat ExampleCA però es pot utilitzar qualsevol nom de certificat permès. A més, aquest procediment utilitza openssl ca. Si la vostra organització té un procés de generació de CA segur a tota l'empresa, s'hauria d'utilitzar en el seu lloc.
72

Manual d'usuari
· Generar el certificat del servidor.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-claufile ca.key -policy policy_anything -batch -notext
NOTA El nom d'amfitrió o l'adreça IP ha de ser la mateixa cadena que s'utilitza a la publicació URL. A l'example anterior, el nom d'amfitrió és demo.example.com.
· Generar el certificat de client.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-claufile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formateu una unitat flash USB com un sol volum FAT32.
· Mou el client.pem i ca-bundle.crt files al directori arrel de la unitat flaix.
Depuració de problemes de ZTP Utilitzeu la funció de registre de ZTP per depurar problemes de ZTP. Mentre el dispositiu intenta realitzar operacions ZTP, la informació del registre s'escriu a /tmp/ztp.log al dispositiu.
El següent és un exampel del registre file d'una execució ZTP exitosa.
# cat /tmp/ztp.log Dimecres 13 de desembre 22:22:17 UTC 2017 [avís 5127] odhcp6c.eth0: restauració de la configuració mitjançant DHCP Dimecres 13 de desembre 22:22:17 UTC 2017 [avís 5127] odhcp6c.eth0s: waiting perquè la xarxa es resolgui dimecres 10 de desembre 13:22:22 UTC 27 [avís 2017] odhcp5127c.eth6: NTP saltat: no hi ha servidor Dimecres 0 de desembre 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: 'vendorspec.0 http://[fd1:07:2218:1350::44]/tftpboot/config.sh' dimecres 1 de desembre 13:22:22 UTC 27 [2017 informació] odhcp5127c.eth6: vendorspec.0 (n/a) dimecres 2 de desembre 13:22:22 UTC 27 [2017 informació] odhcp5127c.eth6: vendorspec.0 (n/a) dimecres 3 de desembre 13:22:22 UTC 27 [2017 informació] odhcp5127c.eth6: vendorspec.0 (n/a) ) dimecres 4 de desembre 13:22:22 UTC 27 [2017 informació] odhcp5127c.eth6: vendorspec.0 (n/a) dimecres 5 de desembre 13:22:22 UTC 28 [2017 informació] odhcp5127c.eth6: vendorspec.0 (venrspec.6) /a) Dimecres 13 de desembre 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: no hi ha firmware per descarregar (vendorspec.2) còpia de seguretat-url: provant http://[fd07:2218:1350:44::1]/tftpboot/config.sh … còpia de seguretat-url: forçant el mode de configuració wan a una còpia de seguretat DHCP-url: estableix el nom d'amfitrió a acm7004-0013c601ce97 backup-url: càrrega reeixida dimecres 13 de desembre 22:22:36 UTC 2017 [avís 5127] odhcp6c.eth0: càrrega de configuració correcta dimecres 13 de desembre 22:22:36 UTC 2017 [5127 informació] odhcp6c.eth0: sense configuració del far/vendorspec.3 4/5/6) dimecres 13 de desembre 22:22:36 UTC 2017 [avís 5127] odhcp6c.eth0: aprovisionament completat, no reinici
Els errors es registren en aquest registre.
3.15 Inscripció a Lighthouse
Utilitzeu la inscripció a Lighthouse per inscriure dispositius Opengear a una instància Lighthouse, proporcionant accés centralitzat als ports de la consola i permetent la configuració central dels dispositius Opengear.
Consulteu la Guia d'usuari de Lighthouse per obtenir instruccions per registrar dispositius Opengear a Lighthouse.
73

Capítol 3: Port sèrie, dispositiu i configuració d'usuari
3.16 Habilita el relé DHCPv4
Un servei de retransmissió DHCP reenvia els paquets DHCP entre clients i servidors DHCP remots. El servei de retransmissió DHCP es pot habilitar en un servidor de consola Opengear, de manera que escolti els clients DHCP a les interfícies inferiors designades, embolcalli i reenviï els seus missatges als servidors DHCP mitjançant l'encaminament normal o bé transmetre directament a les interfícies superiors designades. Així, l'agent de retransmissió DHCP rep missatges DHCP i genera un missatge DHCP nou per enviar-lo a una altra interfície. Als passos següents, els servidors de la consola es poden connectar a identificadors de circuits, Ethernet o mòdems cel·lulars mitjançant el servei de retransmissió DHCPv4.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Infraestructura: servidor DHCP local, ACM7004-5 per a relé, qualsevol altre dispositiu per als clients. Qualsevol dispositiu amb funció LAN es pot utilitzar com a relé. En aquest example, 192.168.79.242 és l'adreça de la interfície de retransmissió del client (tal com es defineix a la configuració del servidor DHCP). file anterior) i 192.168.79.244 és l'adreça de la interfície superior de la caixa de relés, i enp112s0 és la interfície descendent del servidor DHCP.
1 Infraestructura: relé DHCPv4 + opció DHCP 82 (identificador de circuit)
Passos al servidor DHCP 1. Configureu el servidor DHCP v4 local, en particular, hauria de contenir una entrada "amfitrió" com a continuació per al client DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; opció d'identificador d'amfitrió agent.circuit-id “relé1”; adreça fixa 192.168.79.242; } Nota: la línia "Ethernet de maquinari" està desactivada, de manera que el servidor DHCP farà ús de la configuració "ID de circuit" per assignar una adreça per al client rellevant. 2. Reinicieu el servidor DHCP per tornar a carregar la configuració modificada file. pkill -HUP dhcpd
74

Manual d'usuari
3. Afegiu manualment una ruta d'amfitrió a la interfície "retransmitida" del client (la interfície darrere del relé DHCP, no altres interfícies que el client també pot tenir:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Això ajudarà a evitar el problema d'encaminament asimètric quan el client i el servidor DHCP volen accedir entre ells mitjançant la interfície de retransmissió del client, quan el client té altres interfícies a la mateixa subxarxa del grup d'adreces DHCP.
Nota: aquest pas és imprescindible per donar suport al servidor dhcp i al client que puguin accedir-hi.
Passos a la caixa de relés - ACM7004-5
1. Configura WAN/eth0 en mode estàtic o dhcp (no en mode no configurat). Si està en mode estàtic, ha de tenir una adreça IP dins del grup d'adreces del servidor DHCP.
2. Apliqueu aquesta configuració mitjançant la CLI (on 192.168.79.1 és l'adreça del servidor DHCP)
config -s config.services.dhcprelay.enabled=a la configuració -s config.services.dhcprelay.lowers.lower1.circuit_id=relé1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. La interfície inferior del relé DHCP ha de tenir una adreça IP estàtica dins del grup d'adreces del servidor DHCP. En aquest example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=config estàtica -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Espereu una estona perquè el client adquireixi un contracte d'arrendament DHCP mitjançant el relé.
Passos al client (CM7116-2-dac en aquest exempleample o qualsevol altre OG CS)
1. Connecteu la LAN/eth1 del client a la LAN/eth1 del relé. 2. Configureu la LAN del client per obtenir l'adreça IP mitjançant DHCP com és habitual. 3. Una vegada que el clic

Documents/Recursos

Opengear ACM7000 Remote Site Gateway [pdfManual d'usuari
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Referències

Manual d'usuari

Opengear ACM7000 Remote Site Gateway

Informació del producte

Instruccions d'ús del producte

Preguntes freqüents

Aquest manual

Configuració del sistema

Configuració de port sèrie, host, dispositiu i usuari

Documents/Recursos

Referències

Deixa un comentari

Cancel·la la resposta