opengear Uživatelská příručka k vzdálené bráně ACM7000

Toto zařízení vyhovuje části 15 pravidel FCC. Provoz tohoto zařízení podléhá následujícím podmínkám: (1) Toto zařízení nesmí způsobovat škodlivé rušení a (2) toto zařízení musí akceptovat jakékoli rušení, které může způsobit nežádoucí provoz.

Nejčastější dotazy

Otázka: Mohu použít bránu vzdáleného místa ACM7000 během bouřky?
- A: Ne, doporučuje se nepřipojovat ani neodpojovat konzolový server během bouřky, aby nedošlo k poškození.

Otázka: Jakou verzi pravidel FCC zařízení vyhovuje?
- A: Zařízení vyhovuje části 15 pravidel FCC.

View Fullscreen

Uživatelská příručka
Brána vzdáleného místa ACM7000 Brána odolnosti ACM7000-L Servery konzoly IM7200 Správce infrastruktury CM7100
Verze 5.0 – 2023-12

Bezpečnost
Při instalaci a provozu konzolového serveru dodržujte následující bezpečnostní opatření: · Neodstraňujte kovové kryty. Uvnitř nejsou žádné součásti opravitelné operátorem. Otevřením nebo sejmutím krytu se můžete vystavit nebezpečnému objtage které mohou způsobit požár nebo úraz elektrickým proudem. Veškerý servis přenechejte kvalifikovanému personálu Opengear. · Aby nedošlo k úrazu elektrickým proudem, musí být ochranný zemnicí vodič napájecího kabelu připojen k zemi. · Při odpojování napájecího kabelu ze zásuvky vždy tahejte za zástrčku, nikoli za kabel.
Nepřipojujte ani neodpojujte konzolový server během bouřky. K ochraně zařízení před přechodovými jevy také použijte přepěťovou ochranu nebo UPS.
Výstražné prohlášení FCC
Toto zařízení vyhovuje části 15 pravidel FCC. Provoz tohoto zařízení podléhá následujícímu
podmínky: (1) Toto zařízení nesmí způsobovat škodlivé rušení a (2) toto zařízení musí akceptovat jakékoli rušení, které může způsobit nežádoucí provoz.
K ochraně před zraněním, smrtí nebo škodou na majetku v důsledku selhání systému by měly být použity správné záložní systémy a nezbytná bezpečnostní zařízení. Za takovou ochranu odpovídá uživatel. Toto konzolové serverové zařízení není schváleno pro použití jako život-podpora nebo lékařský systém. Jakékoli změny nebo úpravy provedené na tomto konzolovém serverovém zařízení bez výslovného schválení nebo souhlasu Opengear zbaví Opengear jakékoli odpovědnosti nebo odpovědnosti za zranění nebo ztrátu způsobenou jakoukoli poruchou. Toto zařízení je určeno pro vnitřní použití a všechny komunikační kabely jsou omezeny na vnitřní část budovy.
2

Uživatelská příručka
Copyright
©Opengear Inc. 2023. Všechna práva vyhrazena. Informace v tomto dokumentu se mohou bez upozornění změnit a nepředstavují závazek ze strany Opengear. Opengear poskytuje tento dokument „tak, jak je“, bez záruky jakéhokoli druhu, vyjádřené nebo předpokládané, včetně, ale nikoli výhradně, předpokládaných záruk vhodnosti nebo prodejnosti pro konkrétní účel. Opengear může kdykoli vylepšit a/nebo změnit tuto příručku nebo produkt(y) a/nebo program(y) popsané v této příručce. Tento produkt může obsahovat technické nepřesnosti nebo typografické chyby. Zde uvedené informace se pravidelně mění; tyto změny mohou být začleněny do nových vydání publikace.\

Kapitola 1

Tento manuál

TENTO MANUÁL

Tato uživatelská příručka vysvětluje instalaci, provoz a správu konzolových serverů Opengear. Tato příručka předpokládá, že jste obeznámeni s Internetem a sítěmi IP, HTTP, FTP, základními bezpečnostními operacemi a vnitřní sítí vaší organizace.
1.1 Typy uživatelů
Konzolový server podporuje dvě třídy uživatelů:
· Administrátoři, kteří mají neomezená oprávnění ke konfiguraci a správě konzole
server a připojená zařízení, stejně jako všechny služby a porty pro ovládání všech sériově připojených zařízení a síťově připojených zařízení (hostitelů). Správci jsou nastaveni jako členové uživatelské skupiny admin. Administrátor může přistupovat a ovládat server konzoly pomocí konfiguračního nástroje, příkazového řádku systému Linux nebo konzoly pro správu založenou na prohlížeči.
· Uživatelé, kteří byli nastaveni administrátorem s omezeními jejich přístupu a kontrolních oprávnění.
Uživatelé mají omezený view Management Console a může přistupovat pouze k autorizovaným nakonfigurovaným zařízením a znovuview protokoly portů. Tito uživatelé jsou nastaveni jako členové jedné nebo více předkonfigurovaných skupin uživatelů, jako jsou PPTPD, dialin, FTP, pmshell, uživatelé nebo skupiny uživatelů, které mohl vytvořit správce. Jsou oprávněni provádět pouze specifické kontroly na konkrétních připojených zařízeních. Uživatelé, pokud jsou autorizováni, mohou přistupovat a ovládat sériová nebo síťově připojená zařízení pomocí specifikovaných služeb (např. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Vzdálení uživatelé jsou uživatelé, kteří nejsou ve stejném segmentu LAN jako server konzoly. Vzdálený uživatel se může na cestách připojovat ke spravovaným zařízením přes veřejný internet, správce v jiné kanceláři se připojuje ke konzolovému serveru přes podnikovou VPN nebo ve stejné místnosti či stejné kanceláři, ale připojen ke konzoli prostřednictvím samostatné VLAN. server.
1.2 Konzole pro správu
Opengear Management Console vám umožňuje konfigurovat a monitorovat funkce vašeho Opengear konzolového serveru. Management Console běží v prohlížeči a poskytuje a view konzolového serveru a všech připojených zařízení. Administrátoři mohou pomocí Management Console konfigurovat a spravovat konzolový server, uživatele, porty, hostitele, napájecí zařízení a související protokoly a výstrahy. Uživatelé, kteří nejsou správci, mohou používat konzolu Management Console s omezeným přístupem k nabídce k ovládání vybraných zařízení, napřview jejich protokoly a přistupovat k nim pomocí vestavěného Web terminál.
Na konzolovém serveru běží vestavěný operační systém Linux a lze jej konfigurovat z příkazového řádku. Přístup k příkazovému řádku můžete získat mobilním připojením / telefonickým připojením, přímým připojením k sériovému portu konzoly/modemu na konzolovém serveru nebo pomocí SSH nebo Telnetu pro připojení ke konzolovému serveru přes LAN (nebo připojením pomocí PPTP, IPsec nebo OpenVPN). .
6

Uživatelská příručka
Pro příkazy rozhraní příkazového řádku (CLI) a pokročilé pokyny si stáhněte Opengear CLI and Scripting Reference.pdf z https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Další informace
Další informace najdete na: · Produkty Opengear Web Web: Viz https://opengear.com/products. Chcete-li získat nejaktuálnější informace o tom, co je součástí vašeho konzolového serveru, navštivte část Co je součástí vašeho konkrétního produktu. · Rychlý průvodce: Chcete-li získat Rychlý průvodce pro vaše zařízení, přejděte na https://opengear.com/support/documentation/. · Opengear Knowledge Base: Navštivte https://opengear.zendesk.com a získejte přístup k technickým článkům s návody, technickým tipům, nejčastějším dotazům a důležitým upozorněním. · Opengear CLI a reference skriptování: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Kapitola 2:

Konfigurace systému

KONFIGURACE SYSTÉMU

Tato kapitola poskytuje podrobné pokyny pro počáteční konfiguraci vašeho konzolového serveru a jeho připojení k Management nebo Operational LAN. Postup je následující:
Aktivujte konzolu pro správu. Změňte heslo správce. Nastavte hlavní port LAN serveru konzoly IP adresy. Vyberte služby, které chcete povolit, a přístupová oprávnění. Tato kapitola také pojednává o komunikačních softwarových nástrojích, které může správce použít pro přístup ke konzolovému serveru, ao konfiguraci dalších portů LAN.
2.1 Připojení Management Console
Váš konzolový server je nakonfigurován s výchozí IP adresou 192.168.0.1 a maskou podsítě 255.255.255.0 pro NET1 (WAN). Pro počáteční konfiguraci doporučujeme připojit počítač přímo ke konzole. Pokud se rozhodnete připojit síť LAN před dokončením kroků počátečního nastavení, ujistěte se, že:
· V síti LAN nejsou žádná další zařízení s adresou 192.168.0.1. · Konzolový server a počítač jsou ve stejném segmentu LAN bez vloženého směrovače
spotřebičů.
2.1.1 Nastavení připojeného počítače Chcete-li nakonfigurovat konzolový server pomocí prohlížeče, měl by mít připojený počítač IP adresu ve stejném rozsahu jako konzolový server (např.ample, 192.168.0.100):
· Chcete-li nakonfigurovat IP adresu vašeho počítače se systémem Linux nebo Unix, spusťte ifconfig. · Pro počítače se systémem Windows:
1. Klepněte na Start > Nastavení > Ovládací panely a poklepejte na Síťová připojení. 2. Klepněte pravým tlačítkem na Připojení k místní síti a vyberte Vlastnosti. 3. Vyberte Internetový protokol (TCP/IP) a klepněte na Vlastnosti. 4. Vyberte možnost Použít následující adresu IP a zadejte následující podrobnosti:
o IP adresa: 192.168.0.100 o Maska podsítě: 255.255.255.0 5. Pokud chcete zachovat stávající nastavení IP pro toto síťové připojení, klikněte na Upřesnit a Přidat výše uvedené jako sekundární připojení IP.
2.1.2 Připojení prohlížeče
Otevřete prohlížeč na připojeném PC / pracovní stanici a zadejte https://192.168.0.1.
Přihlásit se s:
Uživatelské jméno> root heslo> výchozí
8

Uživatelská příručka
Při prvním přihlášení musíte změnit heslo uživatele root. Klikněte na Odeslat.
Pro dokončení změny zadejte nové heslo znovu. Klikněte na Odeslat. Zobrazí se uvítací obrazovka.
Pokud je váš systém vybaven celulárním modemem, zobrazí se vám kroky ke konfiguraci funkcí celulárního routeru: · Nakonfigurujte připojení celulárního modemu (stránka Systém > Volat. Viz kapitola 4) · Povolte přesměrování do cílové mobilní sítě (stránka Systém > Firewall. Viz kapitola 4) · Povolte maskování IP pro mobilní připojení (stránka Systém > Firewall. Viz kapitola 4)
Po dokončení každého z výše uvedených kroků se můžete vrátit do seznamu konfigurace kliknutím na logo Opengear v levém horním rohu obrazovky. POZNÁMKA Pokud se nemůžete připojit k Management Console na 192.168.0.1 nebo pokud výchozí
Uživatelské jméno / heslo nejsou akceptovány, resetujte svůj konzolový server (viz kapitola 10).
9

Kapitola 2: Konfigurace systému
2.2 Nastavení správce
2.2.1 Změna výchozího hesla uživatele root Při prvním přihlášení k zařízení jste povinni změnit heslo uživatele root. Toto heslo můžete kdykoli změnit.
1. Klikněte na položku Sériové číslo a síť > Uživatelé a skupiny nebo na úvodní obrazovce klikněte na Změnit výchozí heslo pro správu.
2. Přejděte dolů a najděte položku uživatele root v části Uživatelé a klepněte na Upravit. 3. Zadejte nové heslo do polí Heslo a Potvrdit.
POZNÁMKA Zaškrtnutím možnosti Uložit heslo mezi vymazáním firmwaru uložíte heslo, aby nedošlo k jeho vymazání při resetování firmwaru. Pokud toto heslo ztratíte, bude nutné obnovit firmware zařízení.
4. Klepněte na tlačítko Použít. Přihlaste se s novým heslem 2.2.2 Nastavení nového administrátora Vytvořte nového uživatele s administrátorskými právy a přihlaste se jako tento uživatel pro funkce správy, nikoli pomocí root.
10

Uživatelská příručka
1. Klikněte na položku Serial & Network > Users & Groups. Přejděte na konec stránky a klikněte na tlačítko Přidat uživatele.
2. Zadejte uživatelské jméno. 3. V části Skupiny zaškrtněte políčko správce. 4. Zadejte heslo do polí Heslo a Potvrdit.
5. Můžete také přidat autorizované klíče SSH a zvolit možnost Zakázat ověřování hesla pro tohoto uživatele.
6. Na této stránce lze nastavit další možnosti pro tohoto uživatele, včetně možností telefonického připojení, přístupných hostitelů, dostupných portů a přístupných zásuvek RPC.
7. Klepnutím na tlačítko Použít v dolní části obrazovky vytvořte nového uživatele.
11

Kapitola 2: Konfigurace systému
2.2.3 Přidejte název systému, popis systému a MOTD. 1. Vyberte Systém > Správa. 2. Zadejte System Name (Název systému) a System Description (Popis systému) pro konzolový server, abyste mu dali jedinečné ID a usnadnili jeho identifikaci. Systémový název může obsahovat 1 až 64 alfanumerických znaků a speciální znaky podtržítka (_), mínus (-) a tečku (.). Popis systému může obsahovat až 254 znaků.
3. Banner MOTD lze použít k zobrazení textu zprávy dne uživatelům. Zobrazuje se v levé horní části obrazovky pod logem Opengear.
4. Klepněte na tlačítko Použít.
12

Kapitola 2: Konfigurace systému
5. Vyberte Systém > Správa. 6. Banner MOTD lze použít k zobrazení textu zprávy dne uživatelům. Objeví se na
vlevo nahoře na obrazovce pod logem Opengear. 7. Klepněte na tlačítko Použít.
2.3 Konfigurace sítě
Zadejte IP adresu hlavního ethernetového portu (LAN/Network/Network1) na konzolovém serveru nebo povolte jeho klientovi DHCP automaticky získat IP adresu ze serveru DHCP. Ve výchozím nastavení má konzolový server zapnutého klienta DHCP a automaticky přijímá jakoukoli síťovou IP adresu přidělenou serverem DHCP ve vaší síti. V tomto počátečním stavu bude konzolový server reagovat na svou výchozí statickou adresu 192.168.0.1 i na adresu DHCP.
1. Klepněte na Systém > IP a klepněte na kartu Síťové rozhraní. 2. Jako metodu konfigurace vyberte DHCP nebo Static.
Pokud zvolíte Statická, zadejte IP adresu, masku podsítě, bránu a podrobnosti o serveru DNS. Tato volba zakáže klienta DHCP.
12

Uživatelská příručka
3. Port LAN serveru konzoly automaticky detekuje rychlost ethernetového připojení. Pomocí rozevíracího seznamu Média uzamkněte Ethernet na 10 Mb/s nebo 100 Mb/s a na Full Duplex nebo Half Duplex.
Pokud zaznamenáte ztrátu paketů nebo slabý výkon sítě s nastavením Auto, změňte nastavení Ethernet Media na konzolovém serveru a zařízení, ke kterému je připojeno. Ve většině případů změňte oba na 100baseTx-FD (100 megabitů, plně duplexní).
4. Pokud vyberete DHCP, konzolový server vyhledá podrobnosti o konfiguraci ze serveru DHCP. Tento výběr zakáže jakoukoli statickou adresu. MAC adresu konzolového serveru naleznete na štítku na základní desce.
5. Můžete zadat sekundární adresu nebo seznam adres oddělených čárkami v notaci CIDR, např. 192.168.1.1/24 jako IP Alias.
6. Klepněte na tlačítko Použít. 7. Zadejte znovu prohlížeč na počítači, který je připojen ke konzolovému serveru
http://your new IP address.
Pokud změníte IP adresu konzolového serveru, musíte překonfigurovat svůj počítač tak, aby měl IP adresu ve stejném rozsahu sítě jako nová adresa konzolového serveru. Můžete nastavit MTU na rozhraní Ethernet. Toto je pokročilá možnost, která se použije, pokud váš scénář nasazení nefunguje s výchozí MTU 1500 bajtů. Chcete-li nastavit MTU, klikněte na Systém > IP a klikněte na kartu Síťové rozhraní. Přejděte dolů do pole MTU a zadejte požadovanou hodnotu. Platné hodnoty jsou od 1280 do 1500 pro 100megabitová rozhraní a 1280 až 9100 pro gigabitová rozhraní Pokud je nakonfigurováno přemostění nebo propojení, MTU nastavená na stránce Síťové rozhraní bude nastavena na rozhraních, která jsou součástí mostu nebo vazby. . POZNÁMKA V některých případech se nemusí MTU zadaná uživatelem projevit. Některé ovladače NIC mohou zaokrouhlit příliš velké jednotky MTU na maximální povolenou hodnotu a jiné vrátí kód chyby. Ke správě MTU Size: configure můžete také použít příkaz CLI
# config -s config.interfaces.wan.mtu=1380 zkontrolovat
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider žádné config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode bezstavová konfigurace .interfaces.wan.media Auto config.interfaces.wan.mode statická config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Kapitola 2: Konfigurace systému
2.3.1 Konfigurace IPv6 Ethernetová rozhraní konzolového serveru standardně podporují IPv4. Lze je nakonfigurovat pro provoz IPv6:
1. Klikněte na Systém > IP. Klepněte na kartu Obecná nastavení a zaškrtněte políčko Povolit IPv6. V případě potřeby zaškrtněte políčko Zakázat IPv6 pro mobilní sítě.
2. Nakonfigurujte parametry IPv6 na každé stránce rozhraní. IPv6 lze nakonfigurovat buď na automatický režim, který bude používat SLAAC nebo DHCPv6 ke konfiguraci adres, tras a DNS, nebo na statický režim, který umožňuje ruční zadávání informací o adrese.
2.3.2 Konfigurace dynamického DNS (DDNS) Pomocí dynamického DNS (DDNS) lze konzolový server, jehož IP adresa je dynamicky přidělována, lokalizovat pomocí pevného názvu hostitele nebo domény. Vytvořte si účet u podporovaného poskytovatele služeb DDNS dle vašeho výběru. Při nastavování účtu DDNS si zvolíte uživatelské jméno, heslo a název hostitele, které budete používat jako název DNS. Poskytovatelé služeb DDNS vám umožňují vybrat název hostitele URL a nastavte počáteční IP adresu tak, aby odpovídala tomuto názvu hostitele URL.
14

Uživatelská příručka
Chcete-li povolit a nakonfigurovat DDNS na libovolném připojení k síti Ethernet nebo mobilní síti na serveru konzoly. 1. Klikněte na Systém > IP a přejděte dolů v části Dynamické DNS. Vyberte poskytovatele služby DDNS
z rozevíracího seznamu Dynamic DNS. Informace DDNS můžete také nastavit na kartě Mobilní modem v části Systém > Vytočit.
2. Do pole DDNS Hostname zadejte plně kvalifikovaný název hostitele DNS pro váš konzolový server, např. yourhostname.dyndns.org.
3. Zadejte uživatelské jméno DDNS a heslo DDNS pro účet poskytovatele služeb DDNS. 4. Zadejte Maximální interval mezi aktualizacemi ve dnech. Aktualizace DDNS bude odeslána, i když
adresa se nezměnila. 5. Zadejte Minimální interval mezi kontrolami změněných adres v sekundách. Aktualizace budou
zaslat, pokud se adresa změnila. 6. Zadejte Maximální počet pokusů na aktualizaci, což je počet pokusů o aktualizaci
než se vzdát. Toto je standardně 3. 7. Klepněte na tlačítko Použít.
15

Kapitola 2: Konfigurace systému
2.3.3 Režim EAPoL pro WAN, LAN a OOBFO
(OOBFO platí pouze pro IM7216-2-24E-DAC)
Nadview EAPoL IEEE 802.1X nebo PNAC (Port-based Network Access Control) využívá charakteristiky fyzického přístupu infrastruktur LAN IEEE 802, aby poskytl prostředky pro autentizaci a autorizaci zařízení připojených k LAN portu, který má point-to- charakteristiky bodového připojení a zabránění přístupu k tomuto portu v případech, kdy autentizace a autorizace selžou. Port je v tomto kontextu jediným bodem připojení k infrastruktuře LAN.
Když nový bezdrátový nebo drátový uzel (WN) požaduje přístup ke zdroji LAN, přístupový bod (AP) požádá o identitu WN. Před ověřením WN není povolen žádný jiný provoz než EAP ("port" je uzavřen nebo "neověřen"). Bezdrátový uzel, který požaduje ověření, se často nazývá žadatel, žadatel je zodpovědný za odpověď na data aplikace Authenticator, která vytvoří jeho přihlašovací údaje. Totéž platí pro přístupový bod; Authenticator není přístupový bod. Přístupový bod spíše obsahuje Authenticator. Authenticator nemusí být v přístupovém bodu; může to být externí součást. Jsou implementovány následující metody autentizace:
· Žadatel EAP-MD5 o Metoda EAP MD5-Challenge používá prosté uživatelské jméno/heslo
· EAP-PEAP-MD5 o EAP Metoda ověřování PEAP (chráněný EAP) MD5 používá přihlašovací údaje uživatele a certifikát CA
· EAP-TLS o Metoda ověřování EAP TLS (Transport Layer Security) vyžaduje certifikát CA, klientský certifikát a soukromý klíč.
Protokol EAP, který se používá k ověřování, byl původně používán pro vytáčené PPP. Identitou bylo uživatelské jméno a ke kontrole hesla uživatele bylo použito ověřování PAP nebo CHAP. Vzhledem k tomu, že identita je zasílána jako čistá (nešifrovaná), může škodlivý sniffer zjistit identitu uživatele. Proto se používá „skrytí identity“; skutečná identita není odeslána před spuštěním šifrovaného tunelu TLS.
16

Uživatelská příručka
Po odeslání identity začne proces ověřování. Protokol používaný mezi žadatelem a ověřovatelem je EAP (nebo EAPoL). Authenticator znovu zapouzdří zprávy EAP do formátu RADIUS a předá je Authentication Server. Během ověřování Authenticator předává pakety mezi žadatelem a ověřovacím serverem. Po dokončení procesu ověřování autentizační server odešle zprávu o úspěchu (nebo selhání, pokud se ověření nezdařilo). Authenticator poté otevře „port“ pro žadatele. Nastavení autentizace jsou přístupná ze stránky EAPoL Supplicant Settings. Stav aktuální EAPoL je podrobně zobrazen na stránce Status Statistics na záložce EAPoL:
Abstrakce EAPoL o síťových ROLE se zobrazí v části „Správce připojení“ v rozhraní Dashboard.
17

Kapitola 2: Konfigurace systému
Níže je uveden exampsoubor úspěšného ověření:
Podpora IEEE 802.1x (EAPOL) na portech přepínače IM7216-2-24E-DAC a ACM7004-5: Aby se zabránilo zacyklení, uživatelé by neměli zapojovat více než jeden port přepínače do stejného přepínače vyšší úrovně.
18

Uživatelská příručka
2.4 Přístup ke službě a ochrana hrubou silou
Administrátor může přistupovat ke konzolovému serveru a připojeným sériovým portům a spravovaným zařízením pomocí řady přístupových protokolů/služeb. Pro každý přístup
· Služba musí být nejprve nakonfigurována a povolena ke spuštění na konzolovém serveru. · Pro každé síťové připojení musí být povolen přístup přes firewall. Chcete-li povolit a nakonfigurovat službu: 1. Klepněte na položku Systém > Služby a klepněte na kartu Nastavení služby.

2. Povolte a nakonfigurujte základní služby:

HTTP

Ve výchozím nastavení je služba HTTP spuštěna a nelze ji zcela zakázat. Ve výchozím nastavení je přístup HTTP na všech rozhraních zakázán. Doporučujeme, aby tento přístup zůstal zakázán, pokud je server konzoly vzdálený přístup přes Internet.
Alternativní HTTP umožňuje konfigurovat alternativní HTTP port pro naslouchání. Služba HTTP bude nadále naslouchat na portu TCP 80 pro komunikaci CMS a konektoru, ale nebude přístupná přes bránu firewall.

HTTPS

Ve výchozím nastavení je služba HTTPS spuštěna a povolena na všech síťových rozhraních. Pokud má být konzolový server spravován prostřednictvím jakékoli veřejné sítě, doporučuje se používat pouze přístup HTTPS. To zajišťuje správcům bezpečný přístup ke všem nabídkám na serveru konzoly prostřednictvím prohlížeče. To také umožňuje vhodně nakonfigurovaným uživatelům bezpečný přístup k vybraným nabídkám správy prostřednictvím prohlížeče.
Službu HTTPS lze zakázat nebo znovu povolit zaškrtnutím HTTPS Web Je zadán management a alternativní port (výchozí port je 443).

Telnet

Ve výchozím nastavení je služba Telnet spuštěna, ale vypnuta na všech síťových rozhraních.
Telnet lze použít k poskytnutí přístupu administrátora k shellu příkazového řádku systému. Tato služba může být užitečná pro lokální administrátory a uživatele pro přístup k vybraným sériovým konzolím. Pokud je server konzoly spravován vzdáleně, doporučujeme tuto službu zakázat.
Zaškrtávací políčko Enable Telnet command shell povolí nebo zakáže službu Telnet. Alternativní port Telnet pro naslouchání lze zadat v Alternate Telnet Port (výchozí port je 23).

Kapitola 2: Konfigurace systému

SSH

Tato služba poskytuje bezpečný přístup SSH ke konzolovému serveru a připojeným zařízením

a ve výchozím nastavení je služba SSH spuštěna a povolena na všech rozhraních. to je

doporučujeme zvolit SSH jako protokol, ke kterému se správce připojuje

konzolový server přes internet nebo jinou veřejnou síť. Toto zajistí

ověřená komunikace mezi klientským programem SSH na vzdáleném místě

počítač a server SSH na konzolovém serveru. Další informace o SSH

konfigurace Viz kapitola 8 – Autentizace.

Zaškrtávací políčko Enable SSH command shell povolí nebo zakáže tuto službu. Alternativní port SSH pro naslouchání lze zadat v portu příkazového shellu SSH (výchozí port je 22).

3. Povolte a nakonfigurujte další služby:

TFTP/FTP Pokud je na konzolovém serveru detekována USB flash karta nebo interní flash, zaškrtnutím políčka Povolit službu TFTP (FTP) tuto službu povolíte a nastavíte výchozí tftp a ftp server na USB flash disku. Tyto servery se používají k ukládání konfigurace files, udržovat přístupové a transakční protokoly atd. FilePřenesené pomocí tftp a ftp budou uloženy pod /var/mnt/storage.usb/tftpboot/ (nebo /var/mnt/storage.nvlog/tftpboot/ na zařízeních řady ACM7000). Zrušením zaškrtnutí políčka Povolit službu TFTP (FTP) službu TFTP (FTP) zakážete.

Kontrola DNS Relay Enable DNS Server/Relay povolí funkci přenosu DNS, takže klienti mohou být konfigurováni pomocí IP serveru konzoly pro jejich nastavení serveru DNS a server konzoly bude předávat dotazy DNS skutečnému serveru DNS.

Web Kontrola terminálu Povolit Web Terminál umožňuje web přístup prohlížeče k shellu příkazového řádku systému přes Spravovat > Terminál.

4. Zadejte alternativní čísla portů pro nezpracované TCP, přímé služby Telnet/SSH a neověřené služby Telnet/SSH. Konzolový server používá specifické rozsahy pro porty TCP/IP pro různé přístupy
služby, které mohou uživatelé používat pro přístup k zařízením připojeným k sériovým portům (jak je popsáno v kapitole 3 Konfigurace sériových portů). Správce může pro tyto služby nastavit alternativní rozsahy a tyto sekundární porty budou použity navíc k výchozím nastavením.

Výchozí adresa základního portu TCP/IP pro přístup Telnet je 2000 a rozsah pro Telnet je Adresa IP: Port (2000 + sériové číslo portu), tj. 2001 2048. Pokud by správce nastavil 8000 jako sekundární základnu pro Telnet, sériové port #2 na konzolovém serveru může být přístupný přes Telnet přes IP
Adresa: 2002 a na adrese IP: 8002. Výchozí základ pro SSH je 3000; pro Raw TCP je 4000; a pro RFC2217 je to 5000

5. Další služby lze povolit a konfigurovat z této nabídky výběrem možnosti Konfigurovat kliknutím sem:

Nagios Přístup k monitorovacím démonům Nagios NRPE

MATICE

Přístup k monitorovacímu démonovi NUT UPS

SNMP Povolí snmp na konzolovém serveru. SNMP je ve výchozím nastavení zakázáno

NTP

6. Klepněte na tlačítko Použít. Zobrazí se potvrzovací zpráva: Zpráva Změny konfigurace byly úspěšné

Nastavení přístupu ke službám lze nastavit tak, aby povolilo nebo zablokovalo přístup. To určuje, které povolené služby mohou administrátoři používat přes každé síťové rozhraní pro připojení ke konzolovému serveru a prostřednictvím konzolového serveru k připojeným sériovým a síťově připojeným zařízením.

Uživatelská příručka
1. Vyberte kartu Service Access na stránce System > Services.
2. Zobrazí se povolené služby pro síťová rozhraní konzolového serveru. V závislosti na konkrétním modelu konzolového serveru mohou zobrazená rozhraní zahrnovat: · Síťové rozhraní (pro hlavní ethernetové připojení) · Management LAN / OOB Failover (druhá ethernetová připojení) · Dialout / Cellular (V90 a 3G modem) · Dial-in (interní nebo externí modem V90) · VPN (IPsec nebo Open VPN připojení přes libovolné síťové rozhraní)
3. Zaškrtněte/zrušte zaškrtnutí pro každou síť, která služba má být povolena/zakázána Možnosti přístupu ke službě Respond to ICMP echoes (tj. ping), které lze konfigurovat zdetagE. To umožňuje konzolovému serveru odpovídat na příchozí požadavky ICMP echo. Ping je ve výchozím nastavení povolen. Pro zvýšení bezpečnosti byste měli tuto službu zakázat, když dokončíte počáteční konfiguraci. Můžete povolit přístup k zařízením se sériovým portem z nominovaných síťových rozhraní pomocí Raw TCP, přímého Telnet/SSH, neověřených služeb Telnet/SSH atd.
4. Klepněte na tlačítko Použít Web Nastavení správy Zaškrtávací políčko Povolit HSTS umožňuje přísné zabezpečení přenosu HTTP. Režim HSTS znamená, že hlavička StrictTransport-Security by měla být odeslána přes přenos HTTPS. Vyhovující web prohlížeč si tuto hlavičku pamatuje a když je požádán, aby kontaktoval stejného hostitele přes HTTP (prostý), automaticky se na něj přepne
19

Kapitola 2: Konfigurace systému
HTTPS před pokusem o HTTP, pokud prohlížeč jednou přistoupil na zabezpečený web a viděl záhlaví STS.
Ochrana hrubou silou Ochrana hrubou silou (Micro Fail2ban) dočasně blokuje zdrojové adresy IP, které vykazují škodlivé znaky, například příliš mnoho chybných hesel. To může pomoci, když jsou síťové služby zařízení vystaveny nedůvěryhodné síti, jako je veřejná síť WAN a skriptované útoky nebo softwaroví červi, kteří se pokoušejí uhodnout (hrubou silou) přihlašovací údaje uživatele a získat neoprávněný přístup.

Pro uvedené služby může být povolena ochrana hrubou silou. Ve výchozím nastavení, jakmile je ochrana aktivována, 3 nebo více neúspěšných pokusů o připojení během 60 sekund od konkrétní zdrojové IP spustí zákaz připojení na nastavitelnou dobu. Limit pokusů a časový limit zákazu lze upravit. Aktivní zákazy jsou také uvedeny a lze je obnovit opětovným načtením stránky.

POZNÁMKA

Při spuštění v nedůvěryhodné síti zvažte použití různých strategií k uzamčení vzdáleného přístupu. To zahrnuje ověřování pomocí veřejného klíče SSH, VPN a pravidla brány firewall
seznam povolených vzdálený přístup pouze z důvěryhodných zdrojových sítí. Podrobnosti najdete v databázi znalostí Opengear.

2.5 Komunikační software
Nakonfigurovali jste přístupové protokoly pro klienta administrátora, které má používat při připojování ke konzolovému serveru. Uživatelští klienti také používají tyto protokoly při přístupu k sériově připojeným zařízením konzolového serveru a hostitelům připojeným k síti. Potřebujete komunikační softwarové nástroje nastavené na klientském počítači správce a uživatele. Pro připojení můžete použít nástroje jako PuTTY a SSHTerm.

Uživatelská příručka
Komerčně dostupné konektory spojují důvěryhodný tunelovací protokol SSH s oblíbenými přístupovými nástroji, jako jsou Telnet, SSH, HTTP, HTTPS, VNC, RDP, a poskytují tak zabezpečený přístup ke vzdálené správě ukaž a klikni ke všem spravovaným systémům a zařízením. Informace o použití konektorů pro přístup prohlížeče k konzole pro správu konzolového serveru, přístup Telnet/SSH k příkazovému řádku konzolového serveru a připojení TCP/UDP k hostitelům, kteří jsou síťově připojeni k serveru konzoly, naleznete v kapitole 5. Konektory lze nainstalované na Windows PC, Mac OS X a na většině systémů Linux, UNIX a Solaris.
2.6 Konfigurace sítě pro správu
Konzolové servery mají další síťové porty, které lze nakonfigurovat tak, aby poskytovaly management LAN přístup a/nebo failover nebo out-of-band přístup. 2.6.1 Povolit Management LAN Console Servery lze nakonfigurovat tak, aby druhý ethernetový port poskytoval bránu pro správu LAN. Brána má funkce firewall, router a DHCP server. Chcete-li připojit hostitele k této síti pro správu, musíte k síti 2 připojit externí přepínač LAN:
POZNÁMKA Druhý ethernetový port lze nakonfigurovat buď jako port brány Management LAN nebo jako port OOB/Failover. Ujistěte se, že jste nealokovali NET2 jako Failover Interface, když jste konfigurovali hlavní síťové připojení v nabídce Systém > IP.
21

Kapitola 2: Konfigurace systému
Konfigurace brány Management LAN: 1. Vyberte kartu Management LAN Interface v nabídce System > IP a zrušte zaškrtnutí políčka Disable. 2. Nakonfigurujte IP adresu a masku podsítě pro Management LAN. Pole DNS ponechte prázdná. 3. Klepněte na tlačítko Použít.
Funkce brány pro správu je povolena s výchozími pravidly brány firewall a směrovače nakonfigurovanými tak, aby síť pro správu LAN byla přístupná pouze přes přesměrování portů SSH. Tím je zajištěno, že vzdálená a místní připojení ke spravovaným zařízením v síti pro správu jsou bezpečná. Porty LAN lze také konfigurovat v přemostěném nebo spojeném režimu nebo je lze konfigurovat ručně z příkazového řádku. 2.6.2 Konfigurace serveru DHCP Server DHCP umožňuje automatickou distribuci IP adres zařízením v síti pro správu, na kterých jsou spuštěni klienti DHCP. Chcete-li povolit server DHCP:
1. Klepněte na Systém > DHCP Server. 2. Na kartě Síťové rozhraní zaškrtněte políčko Povolit server DHCP.
22

Uživatelská příručka
3. Zadejte adresu brány, která má být přidělena klientům DHCP. Pokud toto pole zůstane prázdné, použije se IP adresa konzolového serveru.
4. Zadejte primární DNS a sekundární DNS adresu pro vydání klientů DHCP. Pokud toto pole zůstane prázdné, použije se IP adresa konzolového serveru.
5. Volitelně zadejte příponu názvu domény pro vydávání klientů DHCP. 6. Zadejte Výchozí dobu zapůjčení a Maximální dobu zapůjčení v sekundách. Toto je množství času
že dynamicky přidělená IP adresa je platná, než si ji klient musí znovu vyžádat. 7. Klepněte na tlačítko Použít Server DHCP vydává adresy IP ze zadaných fondů adres: 1. Klepněte na Přidat v poli Dynamické fondy přidělení adres. 2. Zadejte počáteční a koncovou adresu fondu DHCP. 3. Klepněte na tlačítko Použít.
23

Kapitola 2: Konfigurace systému
DHCP server také podporuje předběžné přidělování IP adres, které mají být přiděleny konkrétním MAC adresám, a rezervaci IP adres pro použití připojenými hostiteli s pevnými IP adresami. Pro rezervaci IP adresy pro konkrétního hostitele:
1. Klepněte na Přidat v poli Rezervované adresy. 2. Zadejte název hostitele, hardwarovou adresu (MAC) a staticky vyhrazenou IP adresu pro
klienta DHCP a klepněte na tlačítko Použít.
Když DHCP přidělil adresy hostitelů, doporučuje se je zkopírovat do předem přiřazeného seznamu, aby se v případě restartu znovu přidělila stejná IP adresa.
24

Uživatelská příručka
2.6.3 Vybrat Failover nebo širokopásmové OOB Console servery poskytují možnost převzetí služeb při selhání, takže v případě problému s použitím hlavního LAN připojení pro přístup ke konzolovému serveru se použije alternativní přístupová cesta. Chcete-li povolit převzetí služeb při selhání:
1. Vyberte stránku Síťové rozhraní v nabídce Systém > IP 2. Vyberte Failover Interface, který se má použít v případětage v hlavní síti.
3. Klepněte na tlačítko Použít. Přepnutí při selhání se stane aktivním poté, co určíte externí weby, které mají být testovány, aby spustily přepnutí při selhání, a nastavíte porty přepnutí při selhání.
2.6.4 Agregace síťových portů Ve výchozím nastavení lze k síťovým portům LAN pro správu konzolového serveru přistupovat pomocí tunelování SSH / předávání portů nebo vytvořením tunelu IPsec VPN na konzolový server. Všechny kabelové síťové porty na konzolových serverech lze agregovat přemostěním nebo propojením.
25

Uživatelská příručka
· Ve výchozím nastavení je agregace rozhraní zakázána v nabídce Systém > IP > Obecná nastavení · Vyberte rozhraní Bridge nebo rozhraní Bond
o Když je povoleno přemostění, síťový provoz je přesměrován přes všechny ethernetové porty bez omezení brány firewall. Všechny ethernetové porty jsou transparentně propojeny na vrstvě datového spojení (vrstva 2), takže si zachovávají své jedinečné adresy MAC
o S propojením je síťový provoz přenášen mezi porty, ale je přítomen s jednou MAC adresou
Oba režimy odeberou všechny funkce Management LAN Interface a Out-of-Band/Failover Interface a deaktivují DHCP Server · V režimu agregace jsou všechny ethernetové porty společně konfigurovány pomocí nabídky Network Interface
25

Kapitola 2: Konfigurace systému
2.6.5 Statické trasy Statické trasy poskytují velmi rychlý způsob směrování dat z jedné podsítě do jiné podsítě. Můžete pevně zakódovat cestu, která říká konzolovému serveru/směrovači, aby se dostal do určité podsítě pomocí určité cesty. To může být užitečné pro přístup k různým podsítím na vzdáleném místě při použití mobilního připojení OOB.

Chcete-li přidat ke statické trase do směrovací tabulky systému:
1. Vyberte kartu Nastavení trasy v nabídce Systém > Obecná nastavení IP.
2. Klikněte na Nová trasa
3. Zadejte název trasy pro trasu.
4. Do pole Cílová síť/hostitel zadejte IP adresu cílové sítě/hostitele, ke kterému trasa poskytuje přístup.
5. Do pole Cílová maska sítě zadejte hodnotu, která identifikuje cílovou síť nebo hostitele. Libovolné číslo mezi 0 a 32. Maska podsítě 32 identifikuje trasu hostitele.
6. Zadejte Route Gateway s IP adresou routeru, který bude směrovat pakety do cílové sítě. Toto může zůstat prázdné.
7. Vyberte Rozhraní, které chcete použít k dosažení cíle, může být ponecháno jako Žádné.
8. Do pole Metrika zadejte hodnotu, která představuje metriku tohoto připojení. Použijte libovolné číslo rovné nebo větší než 0. Toto je nutné nastavit pouze v případě, že dvě nebo více tras kolidují nebo mají překrývající se cíle.
9. Klepněte na tlačítko Použít.

POZNÁMKA

Stránka s podrobnostmi o trase obsahuje seznam síťových rozhraní a modemů, ke kterým lze trasu připojit. V případě modemu bude trasa připojena k jakékoli vytáčené relaci vytvořené prostřednictvím tohoto zařízení. Trasu lze zadat pomocí brány, rozhraní nebo obojího. Pokud zadané rozhraní není aktivní, nebudou aktivní cesty nakonfigurované pro toto rozhraní.

Uživatelská příručka 3. SÉRIOVÝ PORT, HOST, ZAŘÍZENÍ A KONFIGURACE UŽIVATELE
Konzolový server umožňuje přístup a ovládání sériově připojených zařízení a síťově připojených zařízení (hostitelů). Správce musí nakonfigurovat přístupová oprávnění pro každé z těchto zařízení a určit služby, které lze použít k ovládání zařízení. Správce může také nastavit nové uživatele a určit individuální přístupová a kontrolní oprávnění každého uživatele.
Tato kapitola pokrývá každý z kroků při konfiguraci síťově připojených a sériově připojených zařízení: · Sériové porty nastavení protokolů používaných sériově připojených zařízení · Users & Groups nastavení uživatelů a definování přístupových oprávnění pro každého z těchto uživatelů · Autentizace, to je popsáno více podrobnosti v kapitole 8 · Síťoví hostitelé konfigurace přístupu k počítačům nebo zařízením (hostitelům) připojeným k místní síti · Konfigurace důvěryhodných sítí – nominujte IP adresy, ze kterých důvěryhodní uživatelé přistupují · Kaskádování a přesměrování portů sériové konzoly · Připojení k napájení (UPS, PDU a IPMI) a zařízení pro monitorování prostředí (EMD) · Přesměrování sériového portu pomocí oken PortShare a linuxových klientů · Spravovaná zařízení – představuje konsolidovaný view všech připojení · IPSec umožňující připojení VPN · OpenVPN · PPTP
3.1 Konfigurace sériových portů
Prvním krokem při konfiguraci sériového portu je nastavení Common Settings, jako jsou protokoly a parametry RS232, které mají být použity pro datové připojení k tomuto portu (např. přenosová rychlost). Vyberte režim, ve kterém má port fungovat. Každý port lze nastavit tak, aby podporoval jeden z těchto provozních režimů:
· Výchozí režim je vypnutý, sériový port je neaktivní
27

Kapitola 3:

Konfigurace sériového portu, hostitele, zařízení a uživatele

· Režim konzolového serveru umožňuje obecný přístup k sériovému konzolovému portu na sériově připojených zařízeních
· Režim zařízení nastavuje sériový port tak, aby komunikoval s inteligentním sériově řízeným PDU, UPS nebo zařízeními pro monitorování prostředí (EMD)
· Režim terminálového serveru nastaví sériový port tak, aby čekal na příchozí relaci přihlášení k terminálu · Režim sériového mostu umožňuje transparentní propojení dvou zařízení se sériovým portem přes
síť.
1. Vyberte Serial & Network > Serial Port pro zobrazení podrobností o sériovém portu. 2. Ve výchozím nastavení je každý sériový port nastaven v režimu konzolového serveru. Klikněte na Upravit vedle požadovaného portu
překonfigurován. Nebo klikněte na Upravit více portů a vyberte porty, které chcete nakonfigurovat jako skupinu. 3. Až překonfigurujete společná nastavení a režim pro každý port, nastavte libovolný vzdálený systémový protokol (konkrétní informace naleznete v následujících částech). Klikněte na Použít 4. Pokud byl konzolový server nakonfigurován s povoleným distribuovaným monitorováním Nagios, použijte možnosti Nastavení Nagios k povolení monitorování nominovaných služeb na hostiteli 3.1.1 Společná nastavení Pro každý seriál lze nastavit řadu společných nastavení přístav. Ty jsou nezávislé na režimu, ve kterém je port používán. Tyto parametry sériového portu musí být nastaveny tak, aby odpovídaly parametrům sériového portu na zařízení, které k tomuto portu připojíte:
28

Uživatelská příručka

· Zadejte označení portu · Vyberte vhodnou přenosovou rychlost, paritu, datové bity, stop bity a řízení toku pro každý port

· Nastavte Pinout portu. Tato položka nabídky se zobrazí pro porty IM7200, kde lze pin-out pro každý sériový port RJ45 nastavit buď jako X2 (Cisco Straight) nebo X1 (Cisco Rolled)

· Nastavte režim DTR. To vám umožňuje zvolit, zda bude DTR uplatňováno vždy nebo pouze v případě aktivní uživatelské relace

· Než budete pokračovat s další konfigurací sériového portu, měli byste připojit porty k sériovým zařízením, která budou ovládat, a zajistit, aby měla odpovídající nastavení

3.1.2

Režim konzolového serveru
Vyberte Console server Mode, abyste povolili vzdálený přístup ke správě sériové konzole, která je připojena k tomuto sériovému portu:

Úroveň protokolování Určuje úroveň informací, které mají být protokolovány a monitorovány.
29

Kapitola 3: Sériový port, hostitel, konfigurace zařízení a uživatele
Úroveň 0: Zakázat protokolování (výchozí)
Úroveň 1: Zaznamenat události PŘIHLÁŠENÍ, ODHLÁŠENÍ a SIGNÁL
Úroveň 2: Log události LOGIN, LOGOUT, SIGNAL, TXDATA a RXDATA
Úroveň 3: Log události LOGIN, LOGOUT, SIGNAL a RXDATA
Úroveň 4: Log události LOGIN, LOGOUT, SIGNAL a TXDATA
Vstup/RXDATA jsou data přijatá zařízením Opengear z připojeného sériového zařízení a výstup/TXDATA jsou data odeslaná zařízením Opengear (např. zadaná uživatelem) do připojeného sériového zařízení.
Konzole zařízení obvykle odrážejí znaky při jejich psaní, takže TXDATA zadaná uživatelem je následně přijata jako RXDATA zobrazená na jejich terminálu.
POZNÁMKA: Po výzvě k zadání hesla odešle připojené zařízení znaky *, které zabrání zobrazení hesla.

Telnet Když je na konzolovém serveru povolena služba Telnet, klient Telnet na počítači uživatele se může připojit k sériovému zařízení připojenému k tomuto sériovému portu na konzolovém serveru. Protože komunikace Telnet je nešifrovaná, je tento protokol doporučen pouze pro místní připojení nebo tunelovaná připojení VPN.
Pokud je vzdálená komunikace tunelována pomocí konektoru, lze pro bezpečný přístup k těmto připojeným zařízením použít Telnet.

POZNÁMKA

V režimu konzolového serveru mohou uživatelé pomocí konektoru nastavit zabezpečená připojení Telnet, která jsou tunelována SSH z jejich klientských počítačů na sériový port na konzolovém serveru. Konektory lze nainstalovat na počítače se systémem Windows a většinu platforem Linux a umožňují výběr zabezpečeného připojení Telnet pouhým ukázáním myši.

Chcete-li použít konektor pro přístup ke konzolám na sériových portech konzolového serveru, nakonfigurujte konektor se serverem konzoly jako bránu a jako hostitele a povolte službu Telnet na portu (2000 + sériový port #), tj. 2001.

Můžete také použít standardní komunikační balíčky, jako je PuTTY, k nastavení přímého připojení Telnet nebo SSH k sériovým portům.

POZNÁMKA V režimu konzolového serveru se při připojení k sériovému portu připojujete přes pmshell. Chcete-li vygenerovat BREAK na sériovém portu, zadejte sekvenci znaků ~b. Pokud to děláte přes OpenSSH, zadejte ~~b.

SSH

Když se uživatelé připojují ke konzolovému serveru, doporučuje se používat jako protokol SSH

(nebo se připojte přes konzolový server k připojeným sériovým konzolám) přes internet nebo jakýkoli jiný

jiná veřejná síť.

Pro přístup SSH ke konzolím na zařízeních připojených k sériovým portům konzolového serveru můžete použít konektor. Nakonfigurujte konektor s konzolovým serverem jako bránu a jako hostitele a povolte službu SSH na portu (3000 + sériový port #), tj. 3001-3048.

Můžete také použít běžné komunikační balíčky, jako je PuTTY nebo SSHTerm pro připojení SSH k adrese portu IP adresa _ Port (3000 + sériový port #), tj. 3001

Připojení SSH lze konfigurovat pomocí standardního portu SSH 22. Sériový port, ke kterému se přistupuje, je identifikován připojením deskriptoru k uživatelskému jménu. Tato syntaxe podporuje:

Uživatelská příručka
: : Pro uživatele jménem chris pro přístup k sériovému portu 2 při nastavování klienta SSHTerm nebo PuTTY SSH namísto zadávání username = chris a ssh port = 3002, alternativou je zadat username = chris:port02 (nebo username = chris: ttyS1) a ssh port = 22. Nebo zadáním username=chris:serial a ssh port = 22 se uživateli zobrazí možnost výběru portu:

Tato syntaxe umožňuje uživatelům nastavit SSH tunely pro všechny sériové porty, přičemž v jejich firewallu/bráně musí být otevřen jeden IP port 22
POZNÁMKA V režimu konzolového serveru se připojujete k sériovému portu pomocí pmshell. Chcete-li vygenerovat BREAK na sériovém portu, zadejte sekvenci znaků ~b. Pokud to děláte přes OpenSSH, napište ~~b.

TCP

RAW TCP umožňuje připojení k TCP socketu. Zatímco komunikační programy jako PuTTY

podporují také RAW TCP, tento protokol obvykle používá vlastní aplikace

Pro RAW TCP je výchozí adresa portu IP Address _ Port (4000 + sériový port #), tj. 4001 4048

RAW TCP také umožňuje tunelování sériového portu na vzdálený konzolový server, takže se dvě zařízení se sériovým portem mohou transparentně propojit přes síť (viz kapitola 3.1.6 Sériové přemostění)

RFC2217 Výběr RFC2217 umožňuje přesměrování sériového portu na tomto portu. Pro RFC2217 je výchozí adresa portu IP Address _ Port (5000 + sériové číslo portu), tj. 5001 5048
Pro Windows UNIX a Linux je k dispozici speciální klientský software, který podporuje virtuální komunikační porty RFC2217, takže vzdálený hostitel může monitorovat a spravovat vzdálená sériově připojená zařízení, jako by byla připojena k místnímu sériovému portu (podrobnosti viz Kapitola 3.6 Přesměrování sériového portu)
RFC2217 také umožňuje tunelování sériového portu na vzdálený konzolový server, takže se dvě zařízení se sériovým portem mohou transparentně propojit přes síť (viz kapitola 3.1.6 Sériové přemostění)

Unauthenticated Telnet Umožňuje Telnet přístup k sériovému portu bez autentizačních pověření. Když uživatel přistupuje k serveru konzoly k Telnetu přes sériový port, zobrazí se mu výzva k přihlášení. S neověřeným Telnetem se připojují přímo k portu bez jakékoli výzvy k přihlášení na konzolový server. Pokud klient Telnet vyzve k ověření, všechna zadaná data umožní připojení.

Kapitola 3: Sériový port, hostitel, konfigurace zařízení a uživatele
Tento režim se používá s externím systémem (jako je například konzervátor), který spravuje ověřování uživatelů a přístupová oprávnění na úrovni sériového zařízení.
Přihlášení do zařízení připojeného k serveru konzoly může vyžadovat ověření.
Pro Unauthenticated Telnet je výchozí adresa portu IP Address _ Port (6000 + sériové číslo portu), tj. 6001 6048

Unauthenticated SSH Umožňuje SSH přístup k sériovému portu bez autentizačních údajů. Když uživatel přistupuje k serveru konzoly k Telnetu přes sériový port, zobrazí se mu výzva k přihlášení. S neověřeným SSH se připojují přímo k portu bez jakékoli výzvy k přihlášení na konzolový server.
Tento režim se používá, když máte jiný systém spravující ověřování uživatelů a přístupová oprávnění na úrovni sériového zařízení, ale chcete šifrovat relaci v síti.
Přihlášení do zařízení připojeného k serveru konzoly může vyžadovat ověření.
Pro Unauthenticated Telnet je výchozí adresa portu IP Address _ Port (7000 + sériové číslo portu), tj. 7001 7048
The : způsob přístupu k portu (jak je popsán ve výše uvedené sekci SSH) vždy vyžaduje ověření.

Web Terminál Umožňuje web přístup pomocí prohlížeče k sériovému portu přes Spravovat > Zařízení: Sériové připojení pomocí vestavěného terminálu AJAX v Management Console. Web Terminál se připojuje jako aktuálně ověřený uživatel konzoly Management Console a neprovádí opětovné ověření. Další podrobnosti naleznete v části 12.3.

IP Alias

Povolit přístup k sériovému portu pomocí specifické IP adresy zadané ve formátu CIDR. Každému sériovému portu lze přiřadit jeden nebo více IP aliasů, konfigurovaných pro jednotlivé síťové rozhraní. Sériový port může napřample, být zpřístupněn jak na 192.168.0.148 (jako součást interní sítě), tak na 10.10.10.148 (jako součást Management LAN). Je také možné zpřístupnit sériový port na dvou IP adresách ve stejné síti (napřample, 192.168.0.148 a 192.168.0.248).

Tyto IP adresy lze použít pouze pro přístup ke konkrétnímu sériovému portu, který je přístupný pomocí standardních čísel portů TCP protokolu služeb konzolového serveru. Napřample, SSH na sériovém portu 3 bude přístupné na portu 22 aliasu IP sériového portu (zatímco na primární adrese konzolového serveru je k dispozici na portu 2003).

Tuto funkci lze také nakonfigurovat pomocí stránky pro úpravu více portů. V tomto případě jsou IP adresy aplikovány postupně, přičemž prvnímu vybranému portu se zadá IP a dalším se zvýší, přičemž čísla u všech nevybraných portů budou přeskočena. Napřample, pokud jsou vybrány porty 2, 3 a 5 a pro síťové rozhraní je zadán alias IP 10.0.0.1/24, jsou přiřazeny následující adresy:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

Aliasy IP také podporují aliasové adresy IPv6. Jediný rozdíl je v tom, že adresy jsou hexadecimální čísla, takže port 10 může odpovídat adrese končící na A a 11 může odpovídat jedné adrese končící na B, spíše než 10 nebo 11 podle IPv4.

Uživatelská příručka
Encrypt Traffic / Authenticate Povolí triviální šifrování a ověřování sériové komunikace RFC2217 pomocí Portshare (pro silné šifrování použijte VPN).
Období akumulace Po navázání připojení pro konkrétní sériový port (například přesměrování RFC2217 nebo připojení Telnet ke vzdálenému počítači) jsou všechny příchozí znaky na tomto portu předávány přes síť na základě znaku po znaku. Doba shromažďování určuje dobu, po kterou jsou příchozí znaky shromažďovány před odesláním jako paket přes síť
Escape Character Změňte znak používaný pro odesílání escape znaků. Výchozí hodnota je ~. Nahradit Backspace Nahradit výchozí hodnotu backspace CTRL+? (127) pomocí CTRL+h (8). Nabídka napájení Příkaz pro vyvolání nabídky napájení je ~p a umožňuje příkaz napájení shellu, takže a
uživatel může ovládat připojení napájení ke spravovanému zařízení z příkazového řádku, když je k zařízení připojen přes Telnet nebo SSH. Spravované zařízení musí být nastaveno s nakonfigurovaným připojením k sériovému portu a připojením napájení.
Single Connection Toto omezuje port na jedno připojení, takže pokud má více uživatelů přístupová práva pro konkrétní port, může k tomuto portu přistupovat vždy pouze jeden uživatel (tj. snooping portů není povolen).
33

Kapitola 3: Sériový port, hostitel, konfigurace zařízení a uživatele
3.1.3 Režim zařízení (RPC, UPS, Environmental) Tento režim konfiguruje vybraný sériový port tak, aby komunikoval se sériově řízeným nepřerušitelným zdrojem napájení (UPS), dálkovým ovladačem napájení / jednotkami distribuce energie (RPC) nebo zařízením pro monitorování prostředí (environmentální).

1. Vyberte požadovaný typ zařízení (UPS, RPC nebo Environmental)
2. Pokračujte na stránku konfigurace příslušného zařízení (Sériové a síťové > Připojení UPS, Připojení RPC nebo Prostředí), jak je podrobně popsáno v kapitole 7.

3.1.4 ·

Režim terminálového serveru
Vyberte režim terminálového serveru a typ terminálu (vt220, vt102, vt100, Linux nebo ANSI), abyste povolili getty na vybraném sériovém portu

Getty nakonfiguruje port a čeká na vytvoření připojení. Aktivní připojení na sériovém zařízení je indikováno vyvýšeným kolíkem Data Carrier Detect (DCD) na sériovém zařízení. Když je detekováno připojení, program getty vydá výzvu login: a vyvolá přihlašovací program, aby provedl přihlášení do systému.
POZNÁMKA Výběr režimu terminálového serveru deaktivuje Správce portů pro daný sériový port, takže data již nebudou protokolována pro výstrahy atd.

Uživatelská příručka
3.1.5 Režim sériového přemostění Při sériovém přemostění jsou sériová data na určeném sériovém portu na jednom konzolovém serveru zapouzdřena do síťových paketů a přenesena po síti na druhý konzolový server, kde jsou reprezentována jako sériová data. Dva konzolové servery fungují jako virtuální sériový kabel přes síť IP. Jeden server konzoly je nakonfigurován jako server. Sériový port serveru, který se má přemostit, je nastaven v režimu konzolového serveru s povoleným RFC2217 nebo RAW. U klientského konzolového serveru musí být sériový port, který má být přemostěn, nastaven v režimu přemostění:
· Vyberte režim sériového přemostění a zadejte IP adresu serveru konzoly serveru a adresu TCP portu vzdáleného sériového portu (pro přemostění RFC2217 to bude 5001-5048)
· Ve výchozím nastavení používá překlenovací klient RAW TCP. Vyberte RFC2217, pokud se jedná o režim konzolového serveru, který jste zadali na serveru konzoly serveru
· Komunikaci přes místní Ethernet můžete zabezpečit povolením SSH. Vygenerujte a nahrajte klíče.
3.1.6 Syslog Kromě vestavěného protokolování a monitorování, které lze použít pro sériově připojené a síťové přístupy pro správu, jak je popsáno v kapitole 6, lze konzolový server také nakonfigurovat tak, aby podporoval vzdálený protokol syslog na jednom sériovém portu. základ:
· Vyberte pole Syslog Facility/Priority pro povolení protokolování provozu na vybraném sériovém portu na server syslog; a třídit a reagovat na tyto zaznamenané zprávy (tj. přesměrovat je / odeslat varovný e-mail.)
35

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
NapřampPokud by počítač připojený k sériovému portu 3 nikdy neměl nic odesílat na svůj sériový konzolový port, správce může nastavit zařízení pro tento port na local0 (local0 .. local7 jsou určeny pro místní hodnoty webu) a Prioritu na kritické . Při této prioritě, pokud server syslog serveru konzoly obdrží zprávu, vyvolá výstrahu. Viz kapitola 6. 3.1.7 NMEA Streaming ACM7000-L může poskytovat GPS NMEA datový tok z interního GPS/mobilního modemu. Tento datový tok se prezentuje jako sériový datový tok na portu 5 u modelů ACM.
Společná nastavení (přenosová rychlost atd.) jsou při konfiguraci sériového portu NMEA ignorována. Můžete specifikovat Fix Frequency (tj. tato rychlost fixace GPS určuje, jak často jsou získávány opravy GPS). Na tento port můžete také použít všechna nastavení Console Server Mode, Syslog a Serial Bridging.
Můžete použít pmshell, webshell, SSH, RFC2217 nebo RawTCP, abyste se dostali ke streamu:
Napřample pomocí Web Terminál:
36

Uživatelská příručka

3.1.8 USB konzole
Konzolové servery s porty USB podporují připojení konzoly USB k zařízením od celé řady výrobců, včetně Cisco, HP, Dell a Brocade. Tyto porty USB mohou také fungovat jako běžné sériové porty RS-232, když je připojen adaptér USB-to-serial.

Tyto porty USB jsou k dispozici jako běžné porty správce portů a jsou uvedeny v číselné podobě web UI po všech sériových portech RJ45.

ACM7008-2 má osm sériových portů RJ45 na zadní straně konzolového serveru a čtyři porty USB na přední straně. V Serial & Network > Serial Port jsou uvedeny jako

Port # Konektor

RJ45

USB

10 USB

11 USB

12 USB

Pokud je konkrétní ACM7008-2 celulární model, bude uveden také port #13 – pro GPS.

7216-24U má 16 sériových portů RJ45 a 24 portů USB na zadní straně, stejně jako dva porty USB na přední straně a (u mobilního modelu) GPS.

Sériové porty RJ45 jsou uvedeny v části Serial & Network > Serial Port jako port číslo 1. 16 zadních portů USB má čísla portů 24 a porty USB směřující dopředu jsou uvedeny pod číslem portů 17 a 40. A stejně jako u ACM41-42, pokud je konkrétní 7008-2U celulární model, GPS je uveden na portu číslo 7216.

Běžná nastavení (přenosová rychlost atd.) se používají při konfiguraci portů, ale některé operace nemusí fungovat v závislosti na implementaci základního sériového čipu USB.

3.2 Přidat a upravit uživatele
Správce používá tuto volbu nabídky k vytváření, úpravám a odstraňování uživatelů ak definování přístupových oprávnění pro každého z těchto uživatelů.

Kapitola 3: Sériový port, konfigurace zařízení a uživatele

Uživatelé mohou být autorizováni pro přístup ke konkrétním službám, sériovým portům, napájecím zařízením a konkrétním hostitelům připojeným k síti. Těmto uživatelům lze také přidělit plný status správce (s plnou konfigurací, správou a přístupovými právy).

Uživatelé mohou být přidáni do skupin. Ve výchozím nastavení je nastaveno šest skupin:

admin

Poskytuje neomezená oprávnění pro konfiguraci a správu.

pptpd

Umožňuje přístup k serveru PPTP VPN. Uživatelé v této skupině mají své heslo uloženo jako prostý text.

vytočit

Umožňuje telefonický přístup přes modemy. Uživatelé v této skupině mají své heslo uloženo jako prostý text.

ftp

Umožňuje ftp přístup a file přístup k úložným zařízením.

pmshell

Nastaví výchozí shell na pmshell.

uživatelů

Poskytuje uživatelům základní práva správy.

Admin group poskytuje členům plná administrátorská práva. Uživatel admin může přistupovat ke konzolovému serveru pomocí kterékoli ze služeb, které byly povoleny v části Systém > Služby. Mohou také přistupovat k libovolnému z připojených hostitelů nebo zařízení se sériovým portem pomocí kterékoli ze služeb, které byly pro tato připojení povoleny. Administrátorský přístup by měli mít pouze důvěryhodní uživatelé
Uživatelská skupina poskytuje členům omezený přístup ke konzolovému serveru a připojeným hostitelům a sériovým zařízením. Tito uživatelé mají přístup pouze k sekci Správa v nabídce Konzoly pro správu a nemají přístup z příkazového řádku k serveru konzoly. Mohou přistupovat pouze k těm hostitelům a sériovým zařízením, která pro ně byla zkontrolována, pomocí služeb, které byly povoleny
Uživatelé ve skupinách pptd, dialin, ftp nebo pmshell mají omezený přístup uživatelského prostředí k určeným spravovaným zařízením, ale nebudou mít žádný přímý přístup ke konzolovému serveru. Chcete-li to přidat, uživatelé musí být také členy skupiny uživatelů nebo administrátorů
Správce může nastavit další skupiny se specifickými oprávněními pro přístup k napájecímu zařízení, sériovému portu a hostiteli. Uživatelé v těchto dodatečných skupinách nemají žádný přístup k nabídce Management Console ani nemají žádný přístup z příkazového řádku k serveru konzoly.

Uživatelská příručka
Správce může nastavit uživatele se specifickými oprávněními pro přístup k napájecímu zařízení, sériovému portu a hostiteli, kteří nejsou členy žádné skupiny. Tito uživatelé nemají žádný přístup k nabídce Management Console ani přístup z příkazového řádku k serveru konzoly. 3.2.1 Založení nové skupiny Chcete-li založit nové skupiny a nové uživatele a klasifikovat uživatele jako členy konkrétních skupin:
1. Vyberte Serial & Network > Users & Groups pro zobrazení všech skupin a uživatelů 2. Klikněte na Add Group pro přidání nové skupiny
3. Přidejte název skupiny a popis pro každou novou skupinu a určete přístupné hostitele, přístupné porty a dostupné výstupy RPC, ke kterým budou mít uživatelé v této nové skupině přístup.
4. Klikněte na Použít 5. Administrátor může upravit nebo smazat libovolnou přidanou skupinu 3.2.2 Nastavení nových uživatelů Nastavení nových uživatelů a klasifikace uživatelů jako členů konkrétních skupin: 1. Pro zobrazení vyberte Sériové připojení a síť > Uživatelé a skupiny všechny skupiny a uživatelé 2. Klepněte na Přidat uživatele
39

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
3. Přidejte uživatelské jméno pro každého nového uživatele. Do pole Popis můžete také zahrnout informace související s uživatelem (např. kontaktní údaje). Uživatelské jméno může obsahovat 1 až 127 alfanumerických znaků a znaky „-“, „_“ a „.“.
4. Určete, které skupiny chcete, aby byl uživatel členem. 5. Přidejte potvrzené heslo pro každého nového uživatele. Všechny znaky jsou povoleny. 6. Lze použít autentizaci pomocí SSH pass-key. Vložte veřejné klíče autorizovaných veřejných/soukromých
páry klíčů pro tohoto uživatele v poli Autorizované klíče SSH 7. Chcete-li povolit ověřování veřejným klíčem pouze tomuto uživateli, zaškrtněte políčko Zakázat ověřování hesla
při použití SSH 8. Chcete-li povolit odchozí telefonické připojení, zaškrtněte políčko Povolit zpětné vytáčení v nabídce Možnosti vytáčení.
se spustí přihlášením do tohoto portu. Zadejte telefonní číslo pro zpětné vytáčení s telefonním číslem, kterému chcete zavolat zpět, když se uživatel přihlásí. 9. Zaškrtněte Dostupní hostitelé a/nebo Dostupné porty a určete sériové porty a hostitele připojené k síti, ke kterým chcete, aby měl uživatel přístupová oprávnění 10. Pokud existují nakonfigurované RPC, zaškrtněte Accessible RPC Outlets a určete, které zásuvky může uživatel ovládat (tj. Power On/Off) 11. Klikněte na Apply. Nový uživatel bude mít přístup k přístupným síťovým zařízením, portům a zásuvkám RPC. Pokud je uživatel členem skupiny, může také přistupovat k jakémukoli jinému zařízení/portu/zásuvce přístupné skupině
40

Uživatelská příručka
Neexistují žádná omezení na počet uživatelů, které můžete nastavit, ani na počet uživatelů na sériový port nebo hostitele. Více uživatelů může ovládat/monitorovat jeden port nebo hostitele. Počet skupin není nijak omezen a každý uživatel může být členem více skupin. Uživatel nemusí být členem žádné skupiny, ale pokud je členem výchozí skupiny uživatelů, nebude moci ke správě portů používat konzolu pro správu. I když neexistují žádná omezení, s rostoucím počtem a složitostí se prodlužuje doba potřebná k přenastavení. Doporučujeme udržovat celkový počet uživatelů a skupin pod 250. Správce může také upravit nastavení přístupu pro všechny stávající uživatele:
· Vyberte Serial & Network > Users & Groups a klikněte na Upravit pro úpravu uživatelských přístupových oprávnění · Klikněte na Smazat pro odebrání uživatele · Klikněte na Disable pro dočasné blokování přístupových oprávnění
3.3 Autentizace
Podrobnosti o konfiguraci ověřování naleznete v kapitole 8.
3.4 Síťoví hostitelé
Chcete-li monitorovat a vzdáleně přistupovat k počítači nebo zařízení v místní síti (označovaném jako hostitel), musíte hostitele identifikovat:
1. Výběrem položky Serial & Network > Network Hosts zobrazíte všechny hostitele připojené k síti, u kterých bylo povoleno použití.
2. Kliknutím na Přidat hostitele povolíte přístup k novému hostiteli (nebo výběrem možnosti Upravit aktualizujte nastavení pro stávajícího hostitele)
41

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
3. Pokud je hostitelem napájecí zařízení PDU nebo UPS nebo server s řízením napájení IPMI, zadejte RPC (pro IPMI a PDU) nebo UPS a Typ zařízení. Správce může konfigurovat tato zařízení a povolit, kteří uživatelé mají oprávnění ke vzdálenému vypnutí napájení atd. Viz kapitola 7. Jinak ponechte Typ zařízení nastavený na Žádné.
4. Pokud byl konzolový server nakonfigurován s povoleným distribuovaným monitorováním Nagios, uvidíte také možnosti Nastavení Nagios, které umožňují monitorování nominovaných služeb na hostiteli.
5. Klepněte na tlačítko Použít. Tím se vytvoří nový hostitel a také nové spravované zařízení se stejným názvem.
3.5 Důvěryhodné sítě
Zařízení Trusted Networks vám dává možnost jmenovat IP adresy, na kterých se musí uživatelé nacházet, aby měli přístup k sériovým portům konzolového serveru:
42

Uživatelská příručka
1. Vyberte Sériové a síťové > Důvěryhodné sítě. 2. Chcete-li přidat novou důvěryhodnou síť, vyberte Přidat pravidlo. Při absenci pravidel není přístup
omezení týkající se IP adresy, na které se uživatelé mohou nacházet.

3. Vyberte dostupné porty, na které se má nové pravidlo použít
4. Zadejte síťovou adresu podsítě, které má být povolen přístup
5. Zadejte rozsah adres, které mají být povoleny, zadáním masky sítě pro tento povolený rozsah IP, např
· Chcete-li povolit všem uživatelům nacházejícím se s konkrétním síťovým připojením třídy C k určenému portu, přidejte následující nové pravidlo pro důvěryhodnou síť:

Adresa IP sítě

204.15.5.0

Maska podsítě

255.255.255.0

· Chcete-li povolit připojení pouze jednomu uživateli na konkrétní IP adrese:

Adresa IP sítě

204.15.5.13

Maska podsítě

255.255.255.255

· Chcete-li umožnit všem uživatelům pracujícím z určitého rozsahu IP adres (řekněme kterékoli ze třiceti adres od 204.15.5.129 do 204.15.5.158), aby bylo povoleno připojení k určenému portu:

Adresa hostitele / podsítě

204.15.5.128

Maska podsítě

255.255.255.224

6. Klepněte na tlačítko Použít

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
3.6 Kaskádování sériového portu
Kaskádové porty vám umožňují klastrovat distribuované konzolové servery, takže velký počet sériových portů (až 1000) lze konfigurovat a přistupovat k nim prostřednictvím jedné adresy IP a spravovat je prostřednictvím jedné konzoly pro správu. Jeden konzolový server, Primární, ovládá ostatní konzolové servery jako jednotky uzlů a všechny sériové porty na jednotkách uzlů vypadají, jako by byly součástí primárního. Clustering Opengear spojuje každý uzel s primárním připojením SSH. To se provádí pomocí ověřování pomocí veřejného klíče, takže primární může přistupovat ke každému uzlu pomocí páru klíčů SSH (spíše než pomocí hesel). To zajišťuje bezpečnou autentizovanou komunikaci mezi primárními a uzly, což umožňuje distribuci serverových jednotek konzole Node lokálně v síti LAN nebo vzdáleně po celém světě.
3.6.1 Automatické generování a nahrávání klíčů SSH Chcete-li nastavit ověřování pomocí veřejného klíče, musíte nejprve vygenerovat pár klíčů RSA nebo DSA a nahrát je na servery primární konzoly a uzlu. To lze provést automaticky z primární:
44

Uživatelská příručka
1. Vyberte Systém > Administrace na primární konzole pro správu
2. Zaškrtněte možnost Generovat SSH klíče automaticky. 3. Klepněte na tlačítko Použít
Dále musíte vybrat, zda chcete generovat klíče pomocí RSA a/nebo DSA (pokud si nejste jisti, vyberte pouze RSA). Generování každé sady klíčů vyžaduje dvě minuty a nové klíče zničí staré klíče tohoto typu. Zatímco nová generace probíhá, funkce závislé na klíčích SSH (např. kaskádové) mohou přestat fungovat, dokud nebudou aktualizovány novou sadou klíčů. Postup generování klíčů:
1. Zaškrtněte políčka u klíčů, které chcete vygenerovat. 2. Klepněte na tlačítko Použít
3. Po vygenerování nových klíčů klikněte na odkaz Kliknutím sem se vrátíte. Klíče jsou nahrány
k primárním a připojeným uzlům.
3.6.2 Ruční generování a nahrání klíčů SSH Alternativně, pokud máte pár klíčů RSA nebo DSA, můžete je nahrát na primární servery a servery uzlu. Chcete-li nahrát pár veřejného a soukromého klíče na server primární konzoly:
1. Vyberte Systém > Správa na primární konzole pro správu
2. Přejděte do umístění, kde jste uložili veřejný klíč RSA (nebo DSA) a nahrajte jej do veřejného klíče SSH RSA (DSA)
3. Vyhledejte uložený soukromý klíč RSA (nebo DSA) a nahrajte jej do soukromého klíče SSH RSA (DSA). 4. Klikněte na Použít
45

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
Dále musíte zaregistrovat veřejný klíč jako autorizovaný klíč na uzlu. V případě jednoho primárního s více uzly nahrajete jeden veřejný klíč RSA nebo DSA pro každý uzel.
1. Vyberte Systém > Správa na konzole pro správu uzlu. 2. Vyhledejte uložený veřejný klíč RSA (nebo DSA) a nahrajte jej do autorizovaného klíče SSH uzlu
3. Klikněte na Apply Dalším krokem je otisk každého nového připojení Node-Primary. Tento krok potvrzuje, že zakládáte relaci SSH s tím, kdo si myslíte, že jste. Při prvním připojení uzel obdrží otisk prstu od primárního používaného na všech budoucích připojeních: Chcete-li vytvořit otisk prstu, nejprve se přihlaste na primární server jako root a vytvořte připojení SSH ke vzdálenému hostiteli uzlu:
# ssh remhost Po navázání připojení SSH budete požádáni o přijetí klíče. Odpovězte ano a otisk prstu se přidá do seznamu známých hostitelů. Pokud budete požádáni o zadání hesla, došlo k problému s nahráváním klíčů. 3.6.3 Konfigurace uzlů a jejich sériových portů Začněte s nastavováním uzlů a konfigurací sériových portů uzlů z primárního konzolového serveru:
1. Vyberte Serial & Network > Cascaded Ports na primární konzole pro správu: 2. Chcete-li přidat podporu klastrování, vyberte Add Node
Nemůžete přidávat uzly, dokud nevygenerujete klíče SSH. Chcete-li definovat a nakonfigurovat uzel:
46

Uživatelská příručka
1. Zadejte vzdálenou IP adresu nebo DNS název pro server konzoly uzlu 2. Zadejte stručný popis a krátký popisek pro uzel 3. Zadejte úplný počet sériových portů na jednotce uzlu do pole Počet portů 4. Klepněte na tlačítko Použít. Tím se vytvoří tunel SSH mezi primárním a novým uzlem
Nabídka Serial & Network > Cascaded Ports zobrazuje všechny uzly a čísla portů, které byly přiřazeny primárnímu. Pokud má primární konzolový server 16 vlastních portů, porty 1-16 jsou předem přiděleny primárnímu, takže prvnímu přidanému uzlu je přiřazen port číslo 17 a dále. Jakmile přidáte všechny servery konzoly uzlu, sériové porty uzlu a připojená zařízení jsou konfigurovatelné a přístupné z nabídky konzoly pro správu primárního zařízení a přístupné prostřednictvím adresy IP primárního zařízení.
1. Chcete-li nakonfigurovat sériové porty na zařízení, vyberte příslušné sériové porty a síť > Sériový port a Upravit
Uzel.
2. Vyberte příslušné sériové číslo a síť > Uživatelé a skupiny pro přidání nových uživatelů s přístupovými právy
k sériovým portům Node (nebo k rozšíření přístupových práv stávajících uživatelů).
3. Vyberte příslušnou položku Serial & Network > Trusted Networks a zadejte síťové adresy
má přístup k nominovaným sériovým portům uzlu. 4. Vyberte příslušné Alerts & Logging > Alerts pro konfiguraci Node port Connection, State
Upozornění na shodu vzoru změny. Změny konfigurace provedené na Primárním se po klepnutí na Použít rozšíří do všech uzlů.
3.6.4 Správa uzlů Primární řídí sériové porty uzlů. NapřampPokud změníte přístupová práva uživatele nebo upravíte jakékoli nastavení sériového portu na primárním, aktualizujte konfiguraci files jsou odesílány do každého uzlu paralelně. Každý uzel provádí změny ve své místní konfiguraci (a provádí pouze změny, které se týkají jeho konkrétních sériových portů). Pomocí místní konzoly pro správu uzlu můžete změnit nastavení na libovolném sériovém portu uzlu (například změnit přenosové rychlosti). Tyto změny se přepíší, až primární odešle konfiguraci file Aktualizace. Zatímco primární uzel řídí všechny funkce související se sériovým portem uzlu, není primární nad připojením hostitele sítě uzlu nebo nad systémem serveru konzoly uzlu. Funkce uzlů, jako je nastavení IP, SMTP a SNMP, datum a čas, server DHCP, musí být spravovány přímým přístupem ke každému uzlu a tyto funkce nejsou přepsány, když se změny konfigurace šíří z primárního. Nastavení síťového hostitele a IPMI uzlu musí být nakonfigurováno v každém uzlu.
47

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
Primární Management Console poskytuje konsolidované view nastavení pro jeho vlastní a sériové porty celého Node. Primární neposkytuje plně konsolidované view. NapřampPokud chcete zjistit, kdo je přihlášen ke kaskádovým sériovým portům z primárního, uvidíte, že Stav > Aktivní uživatelé zobrazí pouze ty uživatele, kteří jsou aktivní na primárních portech, takže možná budete muset napsat vlastní skripty. view.
3.7 Přesměrování sériového portu (PortShare)
Software Opengear Port Share poskytuje technologii virtuálního sériového portu, kterou vaše aplikace Windows a Linux potřebují k otevření vzdálených sériových portů a čtení dat ze sériových zařízení připojených k vašemu konzolovému serveru.
PortShare je dodáván zdarma s každým konzolovým serverem a máte licenci k instalaci PortShare na jeden nebo více počítačů pro přístup k jakémukoli sériovému zařízení připojenému k portu konzolového serveru. PortShare pro Windows Portshare_setup.exe lze stáhnout z ftp serveru. Podrobnosti o instalaci a provozu naleznete v uživatelské příručce PortShare a rychlém spuštění. PortShare pro Linux Ovladač PortShare pro Linux mapuje sériový port konzolového serveru na hostitelský try port. Opengear vydal portshare-serial-client jako open source nástroj pro Linux, AIX, HPUX, SCO, Solaris a UnixWare. Tento nástroj lze stáhnout z ftp stránky. Tento přesměrovač sériového portu PortShare vám umožňuje používat sériové zařízení připojené ke vzdálenému konzolovému serveru, jako by bylo připojeno k místnímu sériovému portu. Portshare-serial-client vytvoří pseudo tty port, připojí sériovou aplikaci k pseudo tty portu, přijímá data z pseudo tty portu, přenáší je na konzolový server přes síť a přijímá data z konzolového serveru přes síť a přenáší je do pseudo-tty portu. .tar file lze stáhnout z ftp stránky. Podrobnosti o instalaci a provozu naleznete v uživatelské příručce PortShare a rychlém spuštění.
48

Uživatelská příručka
3.8 Spravovaná zařízení
Stránka Managed Devices představuje konsolidovaný view všech připojení k zařízení, ke kterému lze přistupovat a sledovat je prostřednictvím konzolového serveru. Na view připojení k zařízením, vyberte Sériové a síťové > Spravovaná zařízení
Tato obrazovka zobrazuje všechna spravovaná zařízení s jejich popisem/poznámkami a seznamy všech nakonfigurovaných připojení:
· Serial Port # (je-li sériově připojeno) nebo · USB (pokud je připojeno USB) · IP adresa (pokud je připojeno k síti) · Podrobnosti napájení PDU/zásuvky (pokud jsou k dispozici) a všechna připojení UPS Zařízení, jako jsou servery, mohou mít více než jedno připojení napájení (např. duální napájení) a více než jedno síťové připojení (např. pro BMC/servisní procesor). Všichni uživatelé mohou view tato připojení spravovaných zařízení výběrem Spravovat > Zařízení. Správci mohou také upravovat a přidávat/odstraňovat tato spravovaná zařízení a jejich připojení. Chcete-li upravit stávající zařízení a přidat nové připojení: 1. Vyberte Upravit na Sériové a síťové > Spravovaná zařízení a klikněte na Přidat připojení 2. Vyberte typ připojení pro nové připojení (Sériové, Síťový hostitel, UPS nebo RPC) a vyberte
připojení z uvedeného seznamu nakonfigurovaných nepřidělených hostitelů/portů/výstupů
49

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
Přidání nového spravovaného zařízení připojeného k síti: 1. Správce přidá nové spravované zařízení připojené k síti pomocí Přidat hostitele v nabídce Serial & Network > Network Host. Tím se automaticky vytvoří odpovídající nové spravované zařízení. 2. Při přidávání nového síťového RPC nebo napájecího zařízení UPS nastavíte síťového hostitele a označíte jej jako RPC nebo UPS. Přejděte na Připojení RPC nebo Připojení UPS a nakonfigurujte příslušné připojení. Odpovídající nové spravované zařízení se stejným názvem/popisem jako hostitel RPC/UPS nebude vytvořeno, dokud nebude tento krok připojení dokončen.
POZNÁMKA Názvy zásuvek na nově vytvořeném PDU jsou Outlet 1 a Outlet 2. Když připojíte konkrétní spravované zařízení, které odebírá energii ze zásuvky, zásuvka převezme název napájeného spravovaného zařízení.
Přidání nového sériově připojeného spravovaného zařízení: 1. Nakonfigurujte sériový port pomocí nabídky Serial & Network > Serial Port (viz část 3.1 Konfigurace sériového portu) 2. Vyberte Serial & Network > Managed Devices a klikněte na Add Device 3. Zadejte Device Název a popis spravovaného zařízení

4. Klikněte na Přidat připojení a vyberte Sériový a Port, který se připojuje ke spravovanému zařízení

5. Chcete-li přidat napájecí připojení UPS/RPC nebo síťové připojení nebo jiné sériové připojení, klikněte na Přidat připojení

6. Klepněte na tlačítko Použít

POZNÁMKA

Chcete-li nastavit sériově připojené zařízení UPS RPC nebo EMD, nakonfigurujte sériový port, označte jej jako Zařízení a zadejte Název a Popis tohoto zařízení v části Sériové a síťové > Připojení RPC (nebo Připojení UPS nebo Environmentální). Tím se vytvoří odpovídající nové spravované zařízení se stejným názvem/popisem jako hostitel RPC/UPS. Názvy zásuvek na tomto nově vytvořeném PDU jsou Outlet 1 a Outlet 2. Když připojíte spravované zařízení, které odebírá energii ze zásuvky, zásuvka převezme název napájeného spravovaného zařízení.

3.9 IPsec VPN
ACM7000, CM7100 a IM7200 zahrnují Openswan, linuxovou implementaci protokolů IPsec (IP Security), kterou lze použít ke konfiguraci virtuální privátní sítě (VPN). VPN umožňuje více místům nebo vzdáleným správcům bezpečný přístup ke konzolovému serveru a spravovaným zařízením přes internet.

Uživatelská příručka
Administrátor může vytvořit šifrovaná ověřená připojení VPN mezi konzolovými servery distribuovanými na vzdálených místech a bránou VPN (jako je router Cisco se systémem IOS IPsec) v síti jejich centrální kanceláře:
· Uživatelé v centrální kanceláři mohou bezpečně přistupovat ke vzdáleným konzolovým serverům a připojeným sériovým konzolovým zařízením a počítačům v podsíti Management LAN ve vzdáleném umístění, jako by byly místní
· Všechny tyto vzdálené konzolové servery lze monitorovat pomocí CMS6000 v centrální síti · Díky sériovému přemostění lze sériová data z kontroléru na stroji centrální kanceláře bezpečně
připojené k sériově řízeným zařízením na vzdálených místech Administrátor road warrior může použít softwarového klienta VPN IPsec pro vzdálený přístup ke konzolovému serveru a ke každému počítači v podsíti Management LAN na vzdáleném místě
Konfigurace IPsec je poměrně složitá, takže Opengear poskytuje rozhraní GUI pro základní nastavení, jak je popsáno níže. Chcete-li povolit bránu VPN:
1. Vyberte IPsec VPN v nabídce Serial & Networks
2. Klikněte na Přidat a dokončete obrazovku Přidat IPsec Tunnel. 3. Zadejte libovolný popisný název, který chcete identifikovat IPsec Tunnel, který přidáváte, např.
WestStOutlet-VPN
51

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
4. Vyberte metodu ověřování, která se má použít, buď digitální podpisy RSA nebo sdílené tajemství (PSK) o Pokud vyberete RSA, budete požádáni, abyste klikli sem a vygenerovali klíče. Tím se vygeneruje veřejný klíč RSA pro konzolový server (levý veřejný klíč). Vyhledejte klíč, který chcete použít na vzdálené bráně, vystřihněte jej a vložte do Pravého veřejného klíče
o Pokud zvolíte Shared secret, zadejte Pre-shared secret (PSK). PSK se musí shodovat s PSK nakonfigurovaným na druhém konci tunelu
5. V Authentication Protocol vyberte ověřovací protokol, který chcete použít. Buď se ověřte jako součást šifrování ESP (Encapsulating Security Payload) nebo samostatně pomocí protokolu AH (Authentication Header).
52

Uživatelská příručka
6. Zadejte levé ID a pravé ID. Toto je identifikátor, který místní hostitel/brána a vzdálený hostitel/brána používají pro vyjednávání a ověřování protokolu IPsec. Každé ID musí obsahovat @ a může zahrnovat plně kvalifikovaný název domény (např. left@example.com)
7. Zadejte veřejnou IP nebo DNS adresu této Opengear VPN brány jako levou adresu. Chcete-li použít rozhraní výchozí trasy, můžete toto pole nechat prázdné
8. Do pole Right Address zadejte veřejnou IP nebo DNS adresu vzdáleného konce tunelu (pouze pokud má vzdálený konec statickou nebo DynDNS adresu). Jinak ponechte toto prázdné
9. Pokud brána Opengear VPN slouží jako brána VPN do místní podsítě (např. konzolový server má nakonfigurovanou síť pro správu), zadejte podrobnosti o privátní podsíti v levé podsíti. Použijte zápis CIDR (kde za číslem IP adresy následuje lomítko a počet bitů „jedna“ v binárním zápisu masky sítě). Napřample, 192.168.0.0/24 označuje IP adresu, kde je prvních 24 bitů použito jako síťová adresa. To je stejné jako 255.255.255.0. Pokud je přístup VPN pouze ke konzolovému serveru a jeho připojeným sériovým konzolovým zařízením, ponechte levou podsíť prázdnou
10. Pokud je na vzdáleném konci brána VPN, zadejte podrobnosti o soukromé podsíti v Pravá podsíť. Použijte zápis CIDR a ponechte prázdné, pokud existuje pouze vzdálený hostitel
11. Vyberte Initiate Tunnel, pokud má být tunelové připojení iniciováno z konce serveru levé konzoly. Toto lze spustit pouze z brány VPN (vlevo), pokud je vzdálený konec nakonfigurován se statickou (nebo DynDNS) IP adresou.
12. Klepnutím na tlačítko Použít uložte změny
POZNÁMKA Podrobnosti konfigurace nastavené na konzolovém serveru (označovaném jako levý nebo místní hostitel) se musí shodovat s nastavením zadaným při konfiguraci vzdáleného (pravého) hostitele/brány nebo softwarového klienta. Podrobnosti o konfiguraci těchto vzdálených konců najdete na http://www.opengear.com/faq.html
3.10 OpenVPN
ACM7000, CM7100 a IM7200 s firmwarem V3.2 a novějším obsahují OpenVPN. OpenVPN používá knihovnu OpenSSL pro šifrování, ověřování a certifikaci, což znamená, že používá SSL/TSL (Secure Socket Layer/Transport Layer Security) pro výměnu klíčů a může šifrovat jak data, tak řídicí kanály. Použití OpenVPN umožňuje budovat multiplatformní, point-to-point VPN pomocí buď X.509 PKI (Public Key Infrastructure) nebo vlastní konfigurace. files. OpenVPN umožňuje bezpečné tunelování dat přes jediný TCP/UDP port přes nezabezpečenou síť, čímž poskytuje bezpečný přístup k více místům a bezpečnou vzdálenou správu na konzolový server přes internet. OpenVPN také umožňuje použití dynamických IP adres jak serverem, tak klientem, čímž poskytuje mobilitu klientů. NapřampV datovém centru může být vytvořen tunel OpenVPN mezi roamingovým klientem Windows a konzolovým serverem Opengear. Konfigurace OpenVPN může být složitá, takže Opengear poskytuje rozhraní GUI pro základní nastavení, jak je popsáno níže. Podrobnější informace jsou k dispozici na http://www.openvpn.net
3.10.1 Povolení OpenVPN 1. Vyberte OpenVPN v nabídce Serial & Networks
53

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
2. Klikněte na Přidat a dokončete obrazovku Přidat tunel OpenVPN. 3. Zadejte jakýkoli popisný název, podle kterého chcete identifikovat tunel OpenVPN, který přidáváte, např.ample
NorthStOutlet-VPN
4. Vyberte metodu ověřování, kterou chcete použít. Chcete-li ověřit pomocí certifikátů, vyberte PKI (Certifikáty X.509) nebo vyberte Vlastní konfiguraci a nahrajte vlastní konfiguraci files. Vlastní konfigurace musí být uloženy v /etc/config.
POZNÁMKA Pokud vyberete PKI, vytvořte: Samostatný certifikát (známý také jako veřejný klíč). Tento certifikát File je *.crt file zadejte soukromý klíč pro server a každého klienta. Tento soukromý klíč File je *.klíč file typ
Certifikát a klíč primární certifikační autority (CA), který se používá k podpisu každého serveru
a klientské certifikáty. Tento certifikát kořenové CA je *.crt file type Pro server můžete také potřebovat dh1024.pem (parametry Diffie Hellman). Průvodce základní správou klíčů RSA naleznete na adrese http://openvpn.net/easyrsa.html. Alternativní metody ověřování viz http://openvpn.net/index.php/documentation/howto.html#auth.
5. Vyberte ovladač zařízení, který chcete použít, buď Tun-IP nebo Tap-Ethernet. Ovladače TUN (network tunnel) a TAP (network tap) jsou virtuální síťové ovladače, které podporují IP tunelování a Ethernet tunelování. TUN a TAP jsou součástí linuxového jádra.
6. Jako protokol vyberte UDP nebo TCP. UDP je výchozí a preferovaný protokol pro OpenVPN. 7. Chcete-li povolit nebo zakázat kompresi, zaškrtněte nebo zrušte zaškrtnutí tlačítka Komprese. 8. V režimu tunelu určete, zda se jedná o klientský nebo serverový konec tunelu. Při běhu jako
server, konzolový server podporuje více klientů připojujících se k serveru VPN přes stejný port.
54

Uživatelská příručka
3.10.2 Konfigurovat jako server nebo klient
1. Vyplňte Podrobnosti klienta nebo Podrobnosti serveru v závislosti na vybraném režimu tunelu. o Pokud byl vybrán Klient, adresa primárního serveru je adresa serveru OpenVPN. o Pokud byl vybrán Server, zadejte síťovou adresu fondu IP a masku sítě fondu IP pro fond IP. Síť definovaná IP Pool Network address/maska se používá k poskytování adres pro připojení klientů.
2. Klepnutím na tlačítko Použít uložte změny
55

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
3. Chcete-li zadat ověřovací certifikáty a files, vyberte Spravovat OpenVPN Files tab. Nahrajte nebo vyhledejte příslušné ověřovací certifikáty a files.
4. Použít pro uložení změn. Uložené files jsou zobrazeny červeně na pravé straně tlačítka Nahrát.
5. Chcete-li povolit OpenVPN, upravte tunel OpenVPN
56

Uživatelská příručka
6. Zaškrtněte tlačítko Povoleno. 7. Použít pro uložení změn POZNÁMKA Při práci s OpenVPN se ujistěte, že systémový čas konzolového serveru je správný
problémy s autentizací.
8. Vyberte Statistiky v nabídce Stav a ověřte, zda je tunel funkční.
57

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
3.10.3 Nastavení klienta a serveru Windows OpenVPN Tato část popisuje instalaci a konfiguraci klienta Windows OpenVPN nebo Windows OpenVPN serveru a nastavení připojení VPN ke konzolovému serveru. Konzolové servery generují konfiguraci klienta Windows automaticky z GUI pro Pre-shared Secret (Static Key File) konfigurace.
Alternativně lze software OpenVPN GUI pro Windows (který zahrnuje standardní balíček OpenVPN plus grafické uživatelské rozhraní Windows) stáhnout z http://openvpn.net. Po instalaci do počítače se systémem Windows se do oznamovací oblasti na pravé straně hlavního panelu přidá ikona OpenVPN. Kliknutím pravým tlačítkem na tuto ikonu spustíte a zastavíte připojení VPN, upravíte konfigurace atd view protokoly.
Když se spustí software OpenVPN, C:Program FileSložka sOpenVPNconfig je prohledána na .opvn files. Tato složka je znovu zkontrolována pro novou konfiguraci files vždy, když kliknete pravým tlačítkem na ikonu OpenVPN GUI. Po instalaci OpenVPN vytvořte konfiguraci file:
58

Uživatelská příručka

Pomocí textového editoru vytvořte xxxx.ovpn file a uložit do C:Program FilesOpenVPNconfig. Napřample, C: Program FilesOpenVPNconfigclient.ovpn
Bývalýampsoubor konfigurace klienta OpenVPN Windows file je zobrazen níže:
# description: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt klíč c:\openvpnkeys\d persist-key no persistent-key tun comp-lzo
Bývalýampsoubor konfigurace OpenVPN Windows Server file je zobrazen níže:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkey\keyserver:openpservn klíč dh c:\openvpnkeys\dh.pem comp-lzo sloveso 1 syslog IM4216_OpenVPN_Server
Konfigurace klient/server Windows file možnosti jsou:

Možnosti #description: Klientský server proto udp proto tcp mssfix sloveso
dev tun dev tap

Popis Toto je komentář popisující konfiguraci. Řádky komentářů začínají „#“ a OpenVPN je ignoruje. Určete, zda se bude jednat o konfiguraci klienta nebo serveru file. V konfiguraci serveru file, definujte fond IP adres a masku sítě. Napřample, server 10.100.10.0 255.255.255.0 Nastavte protokol na UDP nebo TCP. Klient a server musí používat stejné nastavení. Mssfix nastavuje maximální velikost paketu. To je užitečné pouze pro UDP, pokud nastanou problémy.
Nastavit protokol file úroveň výřečnosti. Úroveň výřečnosti protokolu lze nastavit od 0 (minimum) do 15 (maximum). Napřample, 0 = tichý s výjimkou fatálních chyb 3 = střední výstup, dobré pro běžné použití 5 = pomáhá s laděním problémů s připojením 9 = podrobný, vynikající pro odstraňování problémů Vyberte `dev tun' pro vytvoření směrovaného IP tunelu nebo `dev tap' pro vytvoření ethernetový tunel. Klient a server musí používat stejné nastavení.

Kapitola 3: Sériový port, konfigurace zařízení a uživatele

dálkový Port Keepalive
http-proxy cafile jméno>
certfile jméno>
klíčfile jméno>
dhfile jméno> Nobind persist-key persist-tun šifra BF-CBC Blowfish (výchozí) šifra AES-128-CBC AES šifra DES-EDE3-CBC Triple-DES comp-lzo syslog

Název hostitele/IP serveru OpenVPN při provozu jako klient. Zadejte název hostitele DNS nebo statickou IP adresu serveru. UDP/TCP port serveru. Keepalive používá ping k udržení relace OpenVPN naživu. 'Keepalive 10 120′ pingů každých 10 sekund a předpokládá, že vzdálený peer je mimo provoz, pokud nebyl přijat žádný ping po dobu 120 sekund. Pokud je pro přístup k serveru vyžadován proxy server, zadejte název DNS serveru proxy nebo IP a číslo portu. Zadejte certifikát CA file jméno a umístění. Stejný certifikát CA file může být použit serverem a všemi klienty. Poznámka: Ujistěte se, že každé `' v cestě k adresáři je nahrazeno ` \'. Napřample, c:openvpnkeysca.crt se změní na c:\openvpnkeys\ca.crt Zadejte certifikát klienta nebo serveru file jméno a umístění. Každý klient by měl mít svůj vlastní certifikát a klíč files. Poznámka: Ujistěte se, že každé `' v cestě k adresáři je nahrazeno ` \'. Zadejte file název a umístění klíče klienta nebo serveru. Každý klient by měl mít svůj vlastní certifikát a klíč files. Poznámka: Ujistěte se, že každé `' v cestě k adresáři je nahrazeno ` \'. Toto používá pouze server. Zadejte cestu ke klíči pomocí parametrů Diffie-Hellman. `Nobind' se používá, když se klienti nepotřebují vázat na místní adresu nebo konkrétní číslo místního portu. To je případ většiny klientských konfigurací. Tato možnost zabraňuje opětovnému načítání klíčů při restartování. Tato možnost zabraňuje zavření a opětovnému otevření zařízení TUN/TAP při restartování. Vyberte kryptografickou šifru. Klient a server musí používat stejné nastavení.
Povolte kompresi na odkazu OpenVPN. Toto musí být povoleno na klientovi i na serveru. Ve výchozím nastavení jsou protokoly umístěny v syslog nebo, pokud běží jako služba v okně, v programu FilesOpenVPNlog adresář.

Spuštění tunelu OpenVPN po vytvoření konfigurace klient/server files: 1. Klikněte pravým tlačítkem na ikonu OpenVPN v oznamovací oblasti. 2. Vyberte nově vytvořenou konfiguraci klienta nebo serveru. 3. Klepněte na Připojit

4. Protokol file Po navázání spojení se zobrazí
60

Uživatelská příručka
5. Jakmile je navázáno, ikona OpenVPN zobrazí zprávu o úspěšném připojení a přiřazené IP. Tyto informace, stejně jako čas navázání připojení, jsou dostupné po rolování přes ikonu OpenVPN.
3.11 PPTP VPN
Konzolové servery zahrnují server PPTP (Point-to-Point Tunneling Protocol). PPTP se používá pro komunikaci přes fyzickou nebo virtuální sériovou linku. Koncové body PPP si definují virtuální IP adresu. Cesty do sítí lze definovat s těmito IP adresami jako bránou, což vede k odesílání provozu přes tunel. PPTP vytváří tunel mezi fyzickými koncovými body PPP a bezpečně přenáší data přes tunel.
Silnou stránkou PPTP je snadná konfigurace a integrace do stávající infrastruktury společnosti Microsoft. Obecně se používá pro připojení jednotlivých vzdálených klientů Windows. Pokud si vezmete svůj přenosný počítač na služební cestu, můžete vytočit místní číslo a připojit se k poskytovateli služeb přístupu k internetu (ISP) a vytvořit druhé připojení (tunel) do vaší kancelářské sítě přes internet a mít stejný přístup k firemní síť, jako byste byli připojeni přímo ze své kanceláře. Uživatelé z domova mohou také nastavit VPN tunel přes kabelový modem nebo připojení DSL k místnímu poskytovateli internetových služeb.
61

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
Chcete-li nastavit připojení PPTP ze vzdáleného klienta Windows k vašemu zařízení Opengear a místní síti:
1. Povolte a nakonfigurujte server PPTP VPN na vašem zařízení Opengear 2. Nastavte uživatelské účty VPN na zařízení Opengear a povolte příslušné
ověřování 3. Nakonfigurujte klienty VPN na vzdálených místech. Klient nevyžaduje speciální software jako
PPTP Server podporuje standardní klientský software PPTP, který je součástí Windows NT a novějších 4. Připojení ke vzdálené VPN 3.11.1 Povolení serveru PPTP VPN 1. Vyberte PPTP VPN v nabídce Serial & Networks
2. Zaškrtnutím políčka Povolit povolte server PPTP. 3. Vyberte požadované minimální ověření. Vzdáleným uživatelům, kteří se o to pokoušejí, je odepřen přístup
připojit pomocí ověřovacího schématu slabšího než vybrané schéma. Schémata jsou popsána níže, od nejsilnější po nejslabší. · Encrypted Authentication (MS-CHAP v2): Nejsilnější typ autentizace, který lze použít; tohle je
doporučená možnost · Slabě šifrovaná autentizace (CHAP): Toto je nejslabší typ šifrovaného hesla
autentizace k použití. Nedoporučuje se, aby se klienti připojovali pomocí tohoto, protože poskytuje velmi malou ochranu heslem. Všimněte si také, že klienti připojující se pomocí protokolu CHAP nejsou schopni šifrovat provoz
62

Uživatelská příručka
· Unencrypted Authentication (PAP): Toto je ověření pomocí hesla ve formátu prostého textu. Při použití tohoto typu autentizace se heslo klienta přenáší nešifrovaně.
· Žádné 4. Vyberte požadovanou úroveň šifrování. Vzdáleným uživatelům pokoušejícím se o připojení je odepřen přístup
které nepoužívají tuto úroveň šifrování. 5. Do pole Local Address zadejte IP adresu, kterou chcete přiřadit ke konci připojení VPN serveru. 6. Do pole Remote Addresses zadejte fond IP adres, které chcete přiřadit k VPN příchozího klienta.
spojení (např. 192.168.1.10-20). Musí to být volná IP adresa nebo rozsah adres ze sítě, která je přiřazena vzdáleným uživatelům při připojení k zařízení Opengear 7. Zadejte požadovanou hodnotu maximální přenosové jednotky (MTU) pro rozhraní PPTP do pole MTU (výchozí nastavení 1400) 8. Do pole Server DNS zadejte IP adresu serveru DNS, který přiděluje IP adresy připojujícím se klientům PPTP 9. Do pole Server WINS zadejte IP adresu serveru WINS, který přiděluje adresy IP připojujícím se klientům PPTP. 10. Povolte podrobné protokolování pro pomoc při ladění problémů s připojením 11. Klepněte na Apply Settings 3.11.2 Přidání uživatele PPTP 1. Vyberte Users & Groups v nabídce Serial & Networks a vyplňte pole podle části 3.2. 2. Ujistěte se, že byla zaškrtnuta skupina pptpd, aby byl povolen přístup k serveru PPTP VPN. Poznámka – uživatelé v této skupině mají svá hesla uložena jako prostý text. 3. Poznamenejte si uživatelské jméno a heslo pro případ, kdy se potřebujete připojit k připojení VPN. 4. Klepněte na tlačítko Použít
63

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
3.11.3 Nastavení vzdáleného klienta PPTP Ujistěte se, že vzdálený klient VPN má připojení k Internetu. Chcete-li vytvořit připojení VPN přes internet, musíte nastavit dvě síťová připojení. Jedno připojení je pro ISP a druhé připojení je pro tunel VPN k zařízení Opengear. POZNÁMKA Tento postup nastaví klienta PPTP v operačním systému Windows Professional. Kroky
se může mírně lišit v závislosti na vašem síťovém přístupu nebo pokud používáte alternativní verzi systému Windows. Podrobnější pokyny jsou k dispozici od společnosti Microsoft web místo. 1. Přihlaste se ke svému klientovi Windows s právy správce 2. V Centru sítí a sdílení v Ovládacích panelech vyberte Síťová připojení a vytvořte nové připojení.
64

Uživatelská příručka
3. Vyberte Use My Internet Connection (VPN) a zadejte IP adresu zařízení Opengear Chcete-li připojit vzdálené klienty VPN k místní síti, musíte znát uživatelské jméno a heslo pro účet PPTP, který jste přidali, a také internetovou IP adresu adresu zařízení Opengear. Pokud vám váš ISP nepřidělil statickou IP adresu, zvažte použití dynamické služby DNS. Jinak musíte upravit konfiguraci klienta PPTP pokaždé, když se změní vaše internetová adresa IP.
65

Kapitola 3: Sériový port, konfigurace zařízení a uživatele

3.12 Volání domů
Všechny konzolové servery obsahují funkci Call Home, která spouští nastavení zabezpečeného tunelu SSH z konzolového serveru do centralizovaného Opengear Lighthouse. Konzolový server se zaregistruje jako kandidát na Lighthouse. Jakmile je tam přijat, stane se serverem Managed Console Server.
Lighthouse monitoruje server Managed Console Server a správci mohou přistupovat ke vzdálenému serveru Managed Console Server prostřednictvím Lighthouse. Tento přístup je dostupný, i když je vzdálený konzolový server za firewallem třetí strany nebo má soukromé nesměrovatelné IP adresy.

POZNÁMKA

Lighthouse udržuje připojení SSH ověřená veřejným klíčem ke každému ze svých serverů Managed Console Server. Tato připojení se používají pro monitorování, směrování a přístup k serverům Managed Console Server a ke spravovaným zařízením připojeným k serveru Managed Console Server.

Chcete-li spravovat místní konzolové servery nebo konzolové servery, které jsou dosažitelné z Lighthouse, spouští připojení SSH Lighthouse.

Pro správu vzdálených konzolových serverů nebo konzolových serverů, které jsou chráněny firewallem, nejsou směrovatelné nebo jinak nedostupné z Lighthouse, jsou připojení SSH iniciována serverem Managed ConsoleServer prostřednictvím počátečního připojení Call Home.

To zajišťuje bezpečnou a ověřenou komunikaci a umožňuje distribuci jednotek Managed Console Servers lokálně v síti LAN nebo vzdáleně po celém světě.

3.12.1 Nastavení kandidáta Call Home Chcete-li nastavit konzolový server jako kandidáta pro správu Call Home v Lighthouse:
1. Vyberte Call Home v nabídce Serial & Network

2. Pokud jste ještě nevygenerovali nebo nenahráli pár klíčů SSH pro tento konzolový server, udělejte to, než budete pokračovat
3. Klikněte na Přidat

4. Zadejte IP adresu nebo DNS jméno (např. dynamickou DNS adresu) Lighthouse.
5. Zadejte heslo, které jste nakonfigurovali v CMS, jako heslo pro volání domů.
66

Uživatelská příručka
6. Klikněte na Apply. To vytvoří port SSHlistening na Lighthouse a nastaví konzolový server jako kandidáta.
Jakmile je kandidát přijat na Lighthouse, tunel SSH na server konzoly je přesměrován zpět přes spojení Call Home. Server konzoly se stal serverem Managed Console Server a Lighthouse se k němu může připojit a monitorovat jej prostřednictvím tohoto tunelu. 3.12.2 Přijmout kandidáta Call Home jako server Managed Console na Lighthouse Tato část obsahuje konecview o konfiguraci Lighthouse pro monitorování konzolových serverů Lighthouse, které jsou připojeny přes Call Home. Další podrobnosti naleznete v uživatelské příručce Lighthouse:
1. Zadejte do Lighthouse nové heslo pro volání domů. Toto heslo se používá pro přijetí
Volejte Homeconnections z kandidátských konzolových serverů
2. Lighthouse může být kontaktován konzolovým serverem, musí mít buď statickou IP
adresu nebo, pokud používáte DHCP, být nakonfigurován pro použití dynamické služby DNS
Obrazovka Configure > Managed Console Servers v Lighthouse zobrazuje stav
místní andremote Managed Console Servers a kandidáti.
Sekce Managed Console Servers zobrazuje konzolové servery monitorované serverem
Lighthouse. Sekce Detected Console Servers obsahuje:
o Rozbalovací nabídka Servery místní konzoly, která uvádí všechny servery konzoly, které jsou na
stejné podsíti jako Lighthouse a nejsou monitorovány
67

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
o Rozbalovací nabídka Servery vzdálené konzoly, která uvádí všechny servery konzoly, které navázaly spojení Call Home a nejsou monitorovány (tj. kandidáti). Aktualizaci můžete provést kliknutím na tlačítko Obnovit
Chcete-li přidat kandidáta na server konzoly do seznamu Server Managed Console Server, vyberte jej z rozevíracího seznamu Servery vzdálené konzoly a klepněte na tlačítko Přidat. Zadejte adresu IP a port SSH (pokud tato pole nebyla vyplněna automaticky) a zadejte Popis a jedinečný název serveru Managed Console, který přidáváte.
Zadejte heslo vzdáleného kořene (tj. systémové heslo, které bylo nastaveno na tomto serveru Managed Console). Toto heslo používá Lighthouse k šíření automaticky generovaných klíčů SSH a neukládá se. Klepněte na tlačítko Použít. Lighthouse nastavuje zabezpečená připojení SSH k a ze serveru Managed Console Server a získává jeho spravovaná zařízení, podrobnosti o uživatelských účtech a nakonfigurovaná upozornění. můžete nakonfigurovat Pokročilá nastavení: · Zadejte SSH Server Port a SSH User. · Zadejte podrobnosti pro přesměrování SSH portů, které chcete vytvořit
Výběrem Listening Server můžete vytvořit vzdálený port pro předávání ze serveru na tuto jednotku nebo místní port pro předávání z této jednotky na server:
68

Uživatelská příručka
· Zadejte Listening Port, ze kterého se má přeposílat, ponechte toto pole prázdné, chcete-li přidělit nepoužívaný port. · Zadejte cílový server a cílový port, který bude příjemcem předávaných připojení
3.13 IP Passthrough
IP Passthrough se používá k tomu, aby modemové připojení (např. interní celulární modem) vypadalo jako běžné ethernetové připojení k downstream routeru třetí strany, což umožňuje downstream routeru používat modemové připojení jako primární nebo záložní WAN rozhraní.
Zařízení Opengear poskytuje IP adresu modemu a podrobnosti DNS navazujícímu zařízení přes DHCP a předává síťový provoz do az modemu a routeru.
Zatímco IP Passthrough změní Opengear na poloviční most modem-Ethernet, některé služby vrstvy 4 (HTTP/HTTPS/SSH) mohou být ukončeny na Opengear (Service Intercepts). Služby běžící na Opengear mohou také iniciovat odchozí mobilní připojení nezávisle na downstream routeru.
To umožňuje, aby se Opengear nadále používal pro mimopásmovou správu a výstrahy a také byl spravován přes Lighthouse v režimu IP Passthrough.
3.13.1 Nastavení downstream routeru Chcete-li použít konektivitu pro převzetí služeb při selhání na downstream routeru (také známý jako Failover to Cellular nebo F2C), musí mít dvě nebo více WAN rozhraní.
POZNÁMKA Přepnutí při selhání v kontextu IP Passthrough je prováděno downstream routerem a vestavěná outofband failover logika na Opengear není v režimu IP Passthrough dostupná.
Připojte ethernetové rozhraní WAN na downstream routeru k síťovému rozhraní Opengear nebo k portu Management LAN pomocí ethernetového kabelu.
Nakonfigurujte toto rozhraní na downstream routeru tak, aby přijímalo jeho síťová nastavení přes DHCP. Pokud je vyžadováno převzetí služeb při selhání, nakonfigurujte downstream router pro převzetí služeb při selhání mezi jeho primárním rozhraním a ethernetovým portem připojeným k Opengear.
3.13.2 Předkonfigurace IP Passthrough Nezbytnými kroky pro povolení IP Passthrough jsou:
1. Nakonfigurujte síťové rozhraní a případně rozhraní Management LAN se statickým nastavením sítě. · Klepněte na položku Serial & Network > IP. · Pro Síťové rozhraní a případně Management LAN vyberte Static pro Metodu konfigurace a zadejte nastavení sítě (podrobné pokyny naleznete v části Konfigurace sítě). · Pro rozhraní připojené k downstream routeru si můžete vybrat jakoukoli vyhrazenou privátní síť, tato síť existuje pouze mezi Opengear a downstream routerem a není normálně přístupná. · U druhého rozhraní jej nakonfigurujte jako normálně v místní síti. · U obou rozhraní ponechte Gateway prázdné.
2. Nakonfigurujte modem v režimu Always On Out-of-band.
69

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
· Pro mobilní připojení klikněte na Systém > Vytočit: Interní mobilní modem. · Vyberte možnost Povolit vytáčení a zadejte podrobnosti o operátorovi, jako je APN (viz část Mobilní modem
Připojení pro podrobné pokyny). 3.13.3 Konfigurace IP Passthrough Konfigurace IP Passthrough:
· Klepněte na položku Serial & Network > IP Passthrough a zaškrtněte políčko Povolit. · Vyberte Opengear Modem, který chcete použít pro upstream připojení. · Volitelně zadejte MAC adresu připojeného rozhraní downstream routeru. Pokud je MAC adresa
není specifikováno, Opengear projde na první downstream zařízení požadující DHCP adresu. · Vyberte Opengear Ethernet Interface, které chcete použít pro připojení k downstream routeru.
· Klepněte na Použít. 3.13.4 Odposlechy služeb Umožňuje Opengear pokračovat v poskytování služeb, napřample, pro správu mimo pásmo v režimu IP Passthrough. Spojení s adresou modemu na specifikovaném záchytném portu (portech) jsou zpracována Opengear, spíše než aby byla předávána do downstream routeru.
· Pro požadovanou službu HTTP, HTTPS nebo SSH zaškrtněte Povolit · Volitelně upravte Intercept Port na alternativní port (např. 8443 pro HTTPS), to je užitečné, pokud
chcete i nadále umožnit downstream routeru zůstat přístupný přes jeho běžný port. 3.13.5 Stav průchodu IP Obnovte stránku na view sekce Stav. Zobrazuje předávanou externí IP adresu modemu, interní MAC adresu downstream routeru (vyplní se pouze tehdy, když downstream router přijme zapůjčení DHCP) a celkový stav provozu služby IP Passthrough. Na stav převzetí služeb při selhání navazujícího směrovače můžete být upozorněni nakonfigurováním Kontrola využití směrovaných dat v části Výstrahy a protokolování > Automatická odpověď. 3.13.6 Upozornění Některé downstream routery mohou být nekompatibilní s trasou brány. To se může stát, když IP Passthrough přemosťuje 3G mobilní síť, kde je adresa brány cílová adresa typu point-to-point a nejsou k dispozici žádné informace o podsíti. Opengear odešle DHCP masku sítě 255.255.255.255. Zařízení to obvykle chápou jako cestu jednoho hostitele na rozhraní, ale některá starší downstream zařízení mohou mít problémy.
70

Uživatelská příručka
Záchyty pro místní služby nebudou fungovat, pokud Opengear používá jinou výchozí trasu než modem. Rovněž nebudou fungovat, pokud není služba povolena a není povolen přístup ke službě (viz Systém > Služby, na kartě Přístup ke službě vyhledejte Dialout/Cellular).
Podporována jsou odchozí spojení pocházející z Opengear ke vzdáleným službám (např. odesílání e-mailových upozornění SMTP, SNMP trapy, získávání času NTP, tunely IPSec). Existuje malé riziko selhání připojení, pokud by se Opengear i následné zařízení pokusily o přístup ke stejnému portu UDP nebo TCP na stejném vzdáleném hostiteli ve stejnou dobu, když náhodně zvolily stejné původní místní číslo portu.
3.14 Konfigurace přes DHCP (ZTP)
Zařízení Opengear lze zřídit během jejich počátečního spouštění ze serveru DHCPv4 nebo DHCPv6 pomocí config-over-DHCP. Poskytování v nedůvěryhodných sítích lze usnadnit poskytnutím klíčů na USB flash disku. Funkcionalitu ZTP lze také použít k provedení upgradu firmwaru při prvním připojení k síti nebo k registraci do instance Lighthouse 5.
Příprava Typické kroky pro konfiguraci přes důvěryhodnou síť jsou:
1. Nakonfigurujte zařízení Opengear stejného modelu. 2. Uložte jeho konfiguraci jako zálohu Opengear (.opg) file. 3. Vyberte Systém > Záloha konfigurace > Vzdálená záloha. 4. Klikněte na Uložit zálohu. Záložní konfigurace file — model-name_iso-format-date_config.opg — je stažen ze zařízení Opengear do místního systému. Konfiguraci můžete uložit jako xml file: 1. Vyberte Systém > Záloha konfigurace > Konfigurace XML. Upravitelné pole obsahující
konfigurace file se objeví ve formátu XML. 2. Klikněte do pole, aby bylo aktivní. 3. Pokud používáte jakýkoli prohlížeč v systému Windows nebo Linux, klepněte pravým tlačítkem myši a vyberte možnost Vybrat vše z nabídky
kontextové menu nebo stiskněte Control-A. Klepněte pravým tlačítkem myši a z kontextové nabídky vyberte Kopírovat nebo stiskněte Ctrl-C. 4. Pokud v systému macOS používáte jakýkoli prohlížeč, zvolte Úpravy > Vybrat vše nebo stiskněte Command-A. Zvolte Úpravy > Kopírovat nebo stiskněte Command-C. 5. Ve vašem preferovaném textovém editoru vytvořte nový prázdný dokument, vložte zkopírovaná data do prázdného dokumentu a uložte file. Cokoliv file-jméno, které zvolíte, musí obsahovat .xml filepřípona jména. 6. Zkopírujte uložený soubor .opg nebo .xml file do veřejně přístupného adresáře na a file server obsluhující alespoň jeden z následujících protokolů: HTTPS, HTTP, FTP nebo TFTP. (Pouze HTTPS lze použít, pokud je spojení mezi file server a zařízení Opengear, které má být nakonfigurováno, cestují po nedůvěryhodné síti.). 7. Nakonfigurujte váš DHCP server tak, aby zahrnoval volbu `vendor specific' pro zařízení Opengear. (To bude provedeno způsobem specifickým pro server DHCP.) Možnost specifická pro dodavatele by měla být nastavena na řetězec obsahující URL publikovaného .opg nebo .xml file v kroku výše. Řetězec volby nesmí přesáhnout 250 znaků a musí končit buď .opg nebo .xml.
71

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
8. Připojte nové zařízení Opengear, buď s továrním resetem, nebo Config-Erased, k síti a zapněte napájení. Restartování zařízení může trvat až 5 minut.
Example Konfigurace serveru ISC DHCP (dhcpd).
Následuje example Fragment konfigurace serveru DHCP pro poskytování konfiguračního obrazu .opg prostřednictvím serveru ISC DHCP, dhcpd:
možnost space opengear kód šířka 1 délka šířka 1; možnost opengear.config-url kód 1 = text; class “opengear-config-over-dhcp-test” {
match if možnost vendor-class-identifier ~~ “^Opengear/”; vendor-option-space opengear; možnost opengear.config-url "https://example.com/opg/${class}.opg”; }
Toto nastavení lze upravit pro upgrade konfiguračního obrazu pomocí opengear.image-url a poskytnutí URI k obrazu firmwaru.
Nastavení, když LAN není důvěryhodná Pokud je spojení mezi file server a zařízení Opengear, které má být konfigurováno, obsahuje nedůvěryhodnou síť, dvoustranný přístup může tento problém zmírnit.
POZNÁMKA Tento přístup zavádí dva fyzické kroky, kde může být obtížné, ne-li nemožné, zcela navázat důvěru. Za prvé, řetězec správy od vytvoření USB flash disku s daty až po jeho nasazení. Za druhé, ruce připojující USB flash disk k zařízení Opengear.
· Vygenerujte certifikát X.509 pro zařízení Opengear.
· Zřetězit certifikát a jeho soukromý klíč do jednoho file jménem klient.pem.
· Zkopírujte client.pem na USB flash disk.
· Nastavte HTTPS server tak, aby měl přístup k .opg nebo .xml file je omezeno na klienty, kteří mohou poskytnout klientský certifikát X.509 vygenerovaný výše.
· Vložte kopii certifikátu CA, který podepsal certifikát HTTP serveru – ca-bundle.crt – na USB flash disk s client.pem.
· Před připojením napájení nebo sítě vložte USB flash disk do zařízení Opengear.
· Pokračujte v postupu od `Zkopírujte uložené soubory .opg nebo .xml file do veřejně přístupného adresáře na a file server“ výše pomocí protokolu HTTPS mezi klientem a serverem.
Připravte si USB disk a vytvořte certifikát X.509 a soukromý klíč
· Vygenerujte certifikát CA, aby bylo možné podepsat požadavky na podpis certifikátu klienta a serveru (CSR).
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=PříklampleCA # cp demoCA/cacert.pem ca-bundle.crt
Tento postup vygeneruje certifikát s názvem ExampleCA, ale lze použít jakýkoli povolený název certifikátu. Tento postup také používá openssl ca. Pokud má vaše organizace celopodnikový, bezpečný proces generování CA, měl by být místo toho použit.
72

Uživatelská příručka
· Vygenerujte certifikát serveru.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-klíčfile ca.key -policy policy_cokoliv -batch -notext
POZNÁMKA Název hostitele nebo adresa IP musí být stejný řetězec jako při poskytování URL. V example výše, název hostitele je demo.example.com.
· Vygenerujte klientský certifikát.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-klíčfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Naformátujte jednotku USB flash jako jeden svazek FAT32.
· Přesuňte klient.pem a ca-bundle.crt files do kořenového adresáře flash disku.
Ladění problémů se ZTP K ladění problémů se ZTP použijte funkci protokolu ZTP. Zatímco se zařízení pokouší provádět operace ZTP, informace protokolu se zapisují do /tmp/ztp.log na zařízení.
Následuje example logu file z úspěšného běhu ZTP.
# cat /tmp/ztp.log St prosinec 13 22:22:17 UTC 2017 [oznámení 5127] odhcp6c.eth0: obnovení konfigurace přes DHCP St prosinec 13 22:22:17 UTC 2017 [5127 oznámení] odhcp6c.eth0. pro síť k vyrovnání St prosinec 10 13:22:22 UTC 27 [2017 oznámení] odhcp5127c.eth6: NTP přeskočen: žádný server St prosinec 0 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6 = 'vendorspec http://[fd0:1:07:2218::1350]/tftpboot/config.sh' St 44. prosince 1:13:22 UTC 22 [27 info] odhcp2017c.eth5127: vendorspec.6 (n/a) St 0. prosince 2:13:22 UTC 22 [27 info] odhcp2017c.eth5127: vendorspec.6 (n/a) St Dec 0 3:13:22 UTC 22 [27 info] odhcp2017c.eth5127: vendorspec.6 (n/a) ) St Pro /a) St Dec 0 4:13:22 UTC 22 [27 info] odhcp2017c.eth5127: žádný firmware ke stažení (vendorspec.6) záloha-url: zkouším http://[fd07:2218:1350:44::1]/tftpboot/config.sh … záloha-url: vynucení režimu konfigurace wan na zálohování DHCP-url: nastavení názvu hostitele na acm7004-0013c601ce97 backup-url: načtení bylo úspěšné St prosinec 13 22:22:36 UTC 2017 [oznámení 5127] odhcp6c.eth0: úspěšné načtení konfigurace St prosinec 13 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: žádná konfigurace majáku/vendorspec.3 4/5/6) středa 13. prosince 22:22:36 UTC 2017 [oznámení 5127] odhcp6c.eth0: zřizování dokončeno, nerestartuje se
Chyby se zaznamenávají do tohoto protokolu.
3.15 Registrace do Lighthouse
Použijte Enrollment into Lighthouse k registraci zařízení Opengear do instance Lighthouse, která poskytuje centralizovaný přístup k portům konzoly a umožňuje centrální konfiguraci zařízení Opengear.
Pokyny pro registraci zařízení Opengear do Lighthouse najdete v uživatelské příručce k Lighthouse.
73

Kapitola 3: Sériový port, konfigurace zařízení a uživatele
3.16 Povolte přenos DHCPv4
Služba přenosu DHCP předává pakety DHCP mezi klienty a vzdálenými servery DHCP. Přenosová služba DHCP může být povolena na konzolovém serveru Opengear, takže její server naslouchá klientům DHCP na určených nižších rozhraních, zalamuje a předává jejich zprávy serverům DHCP buď pomocí normálního směrování, nebo přímo vysílá na určená horní rozhraní. Přenosový agent DHCP tak přijímá zprávy DHCP a generuje novou zprávu DHCP, která se odešle na jiné rozhraní. V níže uvedených krocích se konzolové servery mohou připojit k ID okruhů, ethernetovým nebo celulárním modemům pomocí služby DHCPv4 Relay.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Infrastructure – Lokální DHCP server, ACM7004-5 pro přenos, jakákoli další zařízení pro klienty. Jakékoli zařízení s rolí LAN lze použít jako relé. V tomto example, 192.168.79.242 je adresa pro předávané rozhraní klienta (jak je definováno v konfiguraci serveru DHCP file výše) a 192.168.79.244 je horní adresa rozhraní přenosového boxu a enp112s0 je výstupní rozhraní serveru DHCP.
1 Infrastruktura – DHCPv4 Relay + DHCP Option 82 (circuit-id)
Kroky na serveru DHCP 1. Nastavte místní server DHCP v4, konkrétně by měl obsahovat položku „host“ pro klienta DHCP, jak je uvedeno níže: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; volba identifikátoru hostitele agent.id-obvodu “relay1”; pevná adresa 192.168.79.242; } Poznámka: řádek „hardwarový ethernet“ je zakomentován, takže server DHCP použije nastavení „id okruhu“ k přiřazení adresy příslušnému klientovi. 2. Restartujte server DHCP, aby se znovu načetla jeho změněná konfigurace file. pkill -HUP dhcpd
74

Uživatelská příručka
3. Ručně přidejte hostitelskou cestu do klientského „reléového“ rozhraní (rozhraní za DHCP relay, nikoli jiná rozhraní, která může mít klient také:
sudo ip route add 192.168.79.242/32 přes 192.168.79.244 dev enp112s0 To pomůže vyhnout se problému s asymetrickým směrováním, když klient a server DHCP chtějí k sobě přistupovat přes předávané rozhraní klienta, když má klient jiná rozhraní ve stejném podsíť fondu adres DHCP.
Poznámka: Tento krok je nezbytný pro podporu dhcp serveru a klienta, kteří mají k sobě navzájem přístup.
Kroky na reléové skříni – ACM7004-5
1. Nastavte WAN/eth0 buď ve statickém nebo dhcp režimu (ne v nekonfigurovaném režimu). Pokud je ve statickém režimu, musí mít IP adresu v rámci fondu adres serveru DHCP.
2. Použijte tuto konfiguraci prostřednictvím CLI (kde 192.168.79.1 je adresa serveru DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay1.uppers.u .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Spodní rozhraní DHCP relay musí mít statickou IP adresu v rámci adresového fondu DHCP serveru. V tomto example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Chvíli počkejte, než klient získá zapůjčení DHCP prostřednictvím přenosu.
Kroky na klientovi (CM7116-2-dac v tomto příkladuample nebo jakýkoli jiný OG CS)
1. Zapojte LAN/eth1 klienta do LAN/eth1 relé 2. Nakonfigurujte LAN klienta tak, aby získala IP adresu přes DHCP jako obvykle.

Dokumenty / zdroje

opengear ACM7000 Remote Site Gateway [pdfUživatelská příručka
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Reference

Uživatelská příručka

opengear ACM7000 Remote Site Gateway

Informace o produktu

Návod k použití produktu

Nejčastější dotazy

Tento manuál

Konfigurace systému

Konfigurace sériového portu, hostitele, zařízení a uživatele

Dokumenty / zdroje

Reference

Zanechte komentář

Zrušit odpověď