opengear ACM7000 Remote Site Gateway User Manual

Ĉi tiu aparato konformas al Parto 15 de la FCC-reguloj. Funkciado de ĉi tiu aparato estas submetita al la sekvaj kondiĉoj: (1) Ĉi tiu aparato eble ne kaŭzas malutilan interferon, kaj (2) ĉi tiu aparato devas akcepti ajnan interferon kiu povas kaŭzi nedeziratan operacion.

Oftaj Demandoj

Q: Ĉu mi povas uzi la ACM7000 Remote Site Gateway dum elektra ŝtormo?
- A: Ne, estas konsilite ne konekti aŭ malkonekti la konzolan servilon dum elektra ŝtormo por malhelpi damaĝon.

Q: Kiun version de FCC-reguloj la aparato konformas?
- A: La aparato konformas al Parto 15 de la FCC-reguloj.

View Fullscreen

Uzanto Manlibro
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Konzola Serviloj
Versio 5.0 - 2023-12

Sekureco
Sekvu la sekurecajn antaŭzorgojn sube dum instalado kaj funkciado de la konzola servilo: · Ne forigu la metalajn kovrilojn. Ne estas funkciigistaj komponantoj ene. Malfermi aŭ forigi la kovrilon povas eksponi vin al danĝera voltage kiu povas kaŭzi fajron aŭ elektran ŝokon. Referu ĉiun servon al kvalifikita personaro de Opengear. · Por eviti elektran ŝokon, la elektra ŝnuro protekta surgrunda konduktilo devas esti konektita tra al tero. · Ĉiam tiru la ŝtopilon, ne la kablon, kiam malkonektos la elektran ŝnuron de la ŝtopilo.
Ne konektu aŭ malkonektu la konzolan servilon dum elektra ŝtormo. Ankaŭ uzu ŝprucsubpremilon aŭ UPS por protekti la ekipaĵon kontraŭ transiroj.
Averto de FCC
Ĉi tiu aparato konformas al Parto 15 de la FCC-reguloj. Funkciado de ĉi tiu aparato estas kondiĉigita de la sekvanta
kondiĉoj: (1) Ĉi tiu aparato eble ne kaŭzas malutilan interferon, kaj (2) ĉi tiu aparato devas akcepti ajnan interferon kiu povas kaŭzi nedeziratan operacion.
Taŭgaj sekurecsistemoj kaj necesaj sekurecaj aparatoj devus esti utiligitaj por protekti kontraŭ vundo, morto aŭ posedaĵdamaĝo pro sistema fiasko. Tia protekto estas la respondeco de la uzanto. Ĉi tiu konzola servila aparato ne estas aprobita por uzo kiel vivsubteno aŭ medicina sistemo. Ajna ŝanĝoj aŭ modifoj faritaj al ĉi tiu konzola servila aparato sen la eksplicita aprobo aŭ konsento de Opengear nuligos Opengear de ajna respondeco aŭ respondeco de vundo aŭ perdo kaŭzita de iu misfunkcio. Ĉi tiu ekipaĵo estas por endoma uzo kaj ĉiuj komunikaddratoj estas limigitaj al interno de la konstruaĵo.
2

Uzanto Manlibro
Kopirajto
©Opengear Inc. 2023. Ĉiuj Rajtoj Rezervitaj. Informoj en ĉi tiu dokumento estas ŝanĝebla sen avizo kaj ne reprezentas devontigon fare de Opengear. Opengear provizas ĉi tiun dokumenton "kiel estas", sen ajna speco de garantio, esprimita aŭ implicita, inkluzive de, sed ne limigitaj al, la implicitaj garantioj de taŭgeco aŭ komercebleco por aparta celo. Opengear povas fari plibonigojn kaj/aŭ ŝanĝojn en ĉi tiu manlibro aŭ en la produkto(j) kaj/aŭ la programo(j) priskribitaj en ĉi tiu manlibro iam ajn. Ĉi tiu produkto povus inkluzivi teknikajn erarojn aŭ tipografiajn erarojn. Ŝanĝoj estas periode faritaj al la informoj ĉi tie; ĉi tiuj ŝanĝoj povas esti korpigitaj en novaj eldonoj de la eldonaĵo.\

Ĉapitro 1

Ĉi tiu Manlibro

ĈI MANUALO

Ĉi tiu UzantManlibro klarigas instali, funkcii kaj administri Opengear-konzolservilojn. Ĉi tiu manlibro supozas, ke vi konas la Interreton kaj IP-retojn, HTTP, FTP, bazajn sekurecajn operaciojn kaj la internan reton de via organizo.
1.1 Specoj de uzantoj
La konzola servilo subtenas du klasojn de uzantoj:
· Administrantoj, kiuj havas senlimajn agordajn kaj administrajn privilegiojn super la konzolo
servilo kaj konektitaj aparatoj same kiel ĉiujn servojn kaj havenojn por kontroli ĉiujn seriajn konektitajn aparatojn kaj retajn konektitajn aparatojn (gastigantoj). Administrantoj estas starigitaj kiel membroj de la administra uzantgrupo. Administranto povas aliri kaj kontroli la konzolservilon uzante la agordan ilon, la Linuksan komandlinion aŭ la retumilon bazitan pri Administra Konzolo.
· Uzantoj kiuj estis starigitaj de administranto kun limoj de sia aliro kaj kontrolo-aŭtoritato.
Uzantoj havas limigitan view de la Administra Konzolo kaj povas nur aliri rajtigitajn agorditajn aparatojn kaj review havenaj protokoloj. Ĉi tiuj uzantoj estas starigitaj kiel membroj de unu aŭ pli el la antaŭkonfiguritaj uzantgrupoj kiel ekzemple PPTPD, dialin, FTP, pmshell, uzantoj aŭ uzantgrupoj kiujn la administranto eble kreis. Ili estas nur rajtigitaj fari specifitajn kontrolojn sur specifaj konektitaj aparatoj. Uzantoj, kiam rajtigitaj, povas aliri kaj kontroli seriajn aŭ retajn ligitajn aparatojn uzante specifitajn servojn (ekz. Telnet, HHTPS, RDP, IPMI, Seria super LAN, Potenca Kontrolo). Foraj uzantoj estas uzantoj kiuj ne estas sur la sama LAN-segmento kiel la konzola servilo. Fora uzanto povas esti survoje konektanta al administritaj aparatoj per la publika Interreto, administranto en alia oficejo konektanta al la konzolservilo per la entreprena VPN, aŭ en la sama ĉambro aŭ la sama oficejo sed konektita per aparta VLAN al la konzolo. servilo.
1.2 Administra Konzolo
La Opengear-Administra Konzolo permesas vin agordi kaj kontroli la funkciojn de via Opengear-konzola servilo. La Administra Konzolo funkcias en retumilo kaj provizas a view de la konzola servilo kaj ĉiuj konektitaj aparatoj. Administrantoj povas uzi la Administran Konzolon por agordi kaj administri la konzolservilon, uzantojn, havenojn, gastigantojn, potencajn aparatojn kaj rilatajn protokolojn kaj atentigojn. Ne-administrantoj povas uzi la Administran Konzolon kun limigita menualiro por kontroli elektitajn aparatojn, review iliajn protokolojn, kaj aliru ilin uzante la enkonstruitan Web terminalo.
La konzola servilo kuras enigitan Linuksan operaciumon, kaj povas esti agordita ĉe la komandlinio. Vi povas akiri komandlinian aliron per ĉela / alvoko, rekte konektante al la seria konzolo/modema haveno de la konzola servilo, aŭ uzante SSH aŭ Telnet por konekti al la konzola servilo per la LAN (aŭ konektante kun PPTP, IPsec aŭ OpenVPN) .
6

Uzanto Manlibro
Por komandlinia interfaco (CLI) komandoj kaj altnivelaj instrukcioj, elŝutu la Opengear CLI kaj Scripting Reference.pdf de https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Pliaj informoj
Por pliaj informoj, konsultu: · Opengear Products Web Retejo: Vidu https://opengear.com/products. Por akiri la plej ĝisdatajn informojn pri tio, kio estas inkluzivita kun via konzola servilo, vizitu la sekcion Kio estas inkluzivita por via aparta produkto. · Rapida Komenca Gvidilo: Por akiri la Rapidan Komencan Gvidilon por via aparato, vidu https://opengear.com/support/documentation/. · Opengear Knowledge Base: Vizitu https://opengear.zendesk.com por aliri teknikajn artikolojn, teknikajn konsiletojn, Oftajn Demandojn kaj gravajn sciigojn. · Opengear CLI kaj Scripting-Referenco: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Ĉapitro 2:

Sistema Agordo

SISTEMA KONFIGURO

Ĉi tiu ĉapitro provizas paŝon post paŝo instrukciojn por la komenca agordo de via konzola servilo kaj konekti ĝin al la Administrado aŭ Operacia LAN. La paŝoj estas:
Aktivigu la Administran Konzolon. Ŝanĝu la pasvorton de administranto. Agordu la ĉefan LAN-havenon de la IP-adreso-konzola servilo. Elektu la servojn por esti ebligitaj kaj aliru privilegiojn. Ĉi tiu ĉapitro ankaŭ diskutas la komunikajn programajn ilojn, kiujn administranto povas uzi por aliri la konzola servilon, kaj la agordon de la kromaj LAN-havenoj.
2.1 Administra Konzolo-Konekto
Via konzola servilo venas agordita kun defaŭlta IP-adreso 192.168.0.1 kaj subreta masko 255.255.255.0 por NET1 (WAN). Por komenca agordo, ni rekomendas, ke vi konektu komputilon rekte al la konzolo. Se vi elektas konekti vian LAN antaŭ ol plenumi la komencajn agordajn paŝojn, certigu, ke:
· Ne estas aliaj aparatoj en la LAN kun adreso 192.168.0.1. · La konzola servilo kaj la komputilo estas sur la sama LAN-segmento, sen intermetita enkursigilo
aparatoj.
2.1.1 Konektita komputila agordo Por agordi la konzolservilon per retumilo, la konektita komputilo havu IP-adreson en la sama intervalo kiel la konzola servilo (ekz.ample, 192.168.0.100):
· Por agordi la IP-adreson de via komputilo Linukso aŭ Unikso, rulu ifconfig. · Por Vindozaj Komputiloj:
1. Klaku Komenco > Agordoj > Kontrolo Panelo kaj duoble alklaku Retaj Konektoj. 2. Dekstre alklaku Loka Area Konekto kaj elektu Propraĵojn. 3. Elektu Interretan Protokolon (TCP/IP) kaj alklaku Propraĵojn. 4. Elektu Uzu la sekvan IP-adreson kaj enigu la sekvajn detalojn:
o IP-adreso: 192.168.0.100 o Subreta masko: 255.255.255.0 5. Se vi volas konservi viajn ekzistantajn IP-agordojn por ĉi tiu reto-konekto, alklaku Altnivela kaj Aldonu ĉi-supran kiel malĉefan IP-konekton.
2.1.2 Retumila konekto
Malfermu retumilon sur la konektita komputilo / laborstacio kaj enigu https://192.168.0.1.
Ensalutu kun:
Uzantnomo> radiko Pasvorto> defaŭlta
8

Uzanto Manlibro
La unuan fojon, kiam vi ensalutas, vi devas ŝanĝi la radikan pasvorton. Klaku Submeti.
Por kompletigi la ŝanĝon, enigu la novan pasvorton denove. Klaku Submeti. La Bonvena ekrano aperas.
Se via sistemo havas ĉelan modemon, vi ricevos la paŝojn por agordi la funkciojn de la ĉela enkursigilo: · Agordu la ĉelan modeman konekton (Sistemo > Dial paĝo. Vidu Ĉapitro 4) · Permesu plusendi al la ĉela celreto (Sistemo > Fajromuro paĝo. Vidu Ĉapitro 4) · Ebligu IP-maskeradon por ĉela konekto (Sistemo > Fajromuro paĝo. Vidu Ĉapitro 4)
Post plenumi ĉiun el la supraj paŝoj, vi povas reveni al la agorda listo alklakante la Opengear-emblemon en la supra maldekstra angulo de la ekrano. NOTO Se vi ne kapablas konektiĝi al la Administra Konzolo ĉe 192.168.0.1 aŭ se la defaŭlta
Uzantnomo/Pasvorto ne estas akceptitaj, restarigi vian konzolan servilon (Vidu Ĉapitro 10).
9

Ĉapitro 2: Sistema Agordo
2.2 Agordo de Administranto
2.2.1 Ŝanĝi defaŭltan radikan Pasvorton Vi devas ŝanĝi la radikan pasvorton kiam vi unue ensalutas al la aparato. Vi povas ŝanĝi ĉi tiun pasvorton iam ajn.
1. Klaku Seria & Reto > Uzantoj & Grupoj aŭ, sur la Bonvena ekrano, klaku Ŝanĝi defaŭltan administran pasvorton.
2. Rulumu malsupren kaj lokalizu la radikan uzantan eniron sub Uzantoj kaj alklaku Redakti. 3. Enigu la novan pasvorton en la kampoj Pasvorto kaj Konfirmu.
NOTO Kontroli Konservi Pasvorton tra firmware-viŝadoj konservas la pasvorton tiel ke ĝi ne estas forviŝita kiam la firmvaro estas rekomencigita. Se ĉi tiu pasvorto estas perdita, la aparato devos esti firmvaro reakirita.
4. Klaku Apliki. Ensalutu per la nova pasvorto 2.2.2 Agordu novan administranton Kreu novan uzanton kun administraj privilegioj kaj ensalutu kiel ĉi tiu uzanto por administraj funkcioj, anstataŭ uzi radikon.
10

Uzanto Manlibro
1. Klaku Seria & Reto > Uzantoj & Grupoj. Rulumu al la malsupro de la paĝo kaj alklaku la butonon Aldoni Uzanton.
2. Enigu Uzantnomon. 3. En la sekcio Grupoj, kontrolu la administran skatolon. 4. Enigu pasvorton en la kampoj Pasvorto kaj Konfirmu.
5. Vi ankaŭ povas aldoni SSH Rajtigitaj Ŝlosiloj kaj elekti Malŝalti Pasvortan Aŭtentigon por ĉi tiu uzanto.
6. Pliaj ebloj por ĉi tiu uzanto povas esti agordita sur ĉi tiu paĝo inkluzive de Dial-en-Ebloj, Alireblaj Gastigantoj, Alireblaj Havenoj kaj Alireblaj RPC-Elsejoj.
7. Alklaku la butonon Apliki ĉe la malsupro de la ekrano por krei ĉi tiun novan uzanton.
11

Ĉapitro 2: Sistema Agordo
2.2.3 Aldonu Sisteman Nomon, Sisteman Priskribon kaj MOTD. 1. Elektu Sistemon > Administrado. 2. Enigu Sisteman Nomon kaj Sisteman Priskribon por la konzola servilo por doni al ĝi unikan identigilon kaj faciligi identigi ĝin. Sistemonomo povas enhavi de 1 ĝis 64 alfanombrajn signojn kaj la specialaj signoj substreko (_), minuso (-), kaj punkto (.). Sistemo Priskribo povas enhavi ĝis 254 signojn.
3. La MOTD Standardo povas esti uzata por montri mesaĝon de la tago teksto al uzantoj. Ĝi aperas supre maldekstre de la ekrano sub la emblemo de Opengear.
4. Klaku Apliki.
12

Ĉapitro 2: Sistema Agordo
5. Elektu Sistemon > Administrado. 6. La MOTD Standardo povas esti uzata por montri mesaĝon de la tago teksto al uzantoj. Ĝi aperas sur la
supra maldekstre de la ekrano sub la emblemo de Opengear. 7. Klaku Apliki.
2.3 Reta Agordo
Enigu IP-adreson por la ĉefa Ethernet (LAN/Reto/Reto1) haveno sur la konzola servilo aŭ ebligu ĝian DHCP-klienton aŭtomate akiri IP-adreson de DHCP-servilo. Defaŭlte, la konzola servilo havas sian DHCP-klienton ebligita kaj aŭtomate akceptas ajnan retan IP-adreson asignitan de DHCP-servilo en via reto. En ĉi tiu komenca stato, la konzola servilo respondos kaj al sia defaŭlta Statika adreso 192.168.0.1 kaj al sia DHCP-adreso.
1. Alklaku Sistemo > IP kaj alklaku la langeton Reto-Interfaco. 2. Elektu aŭ DHCP aŭ Static por la Agorda Metodo.
Se vi elektas Statika, enigu la IP-Adreson, Subretan Maskon, Enirejon kaj DNS-servilon detalojn. Ĉi tiu elekto malŝaltas la DHCP-klienton.
12

Uzanto Manlibro
3. La konzola servilo LAN-haveno aŭtomate detektas la Ethernet-konektan rapidon. Uzu la falliston Amaskomunikilaro por ŝlosi la Eterreton al 10 Mb/s aŭ 100Mb/s kaj al Plena Duplex aŭ Duone Duplex.
Se vi renkontas pakaĵperdon aŭ malbonan retan rendimenton kun la Aŭtomata agordo, ŝanĝu la agordojn de Ethernet Media sur la konzola servilo kaj la aparato al kiu ĝi estas konektita. Plejofte, ŝanĝu ambaŭ al 100baseTx-FD (100 megabitoj, plena dupleksa).
4. Se vi elektas DHCP, la konzola servilo serĉos agordajn detalojn de DHCP-servilo. Ĉi tiu elekto malŝaltas ajnan senmovan adreson. La MAC-adreso de la konzola servilo troviĝas sur etikedo sur la baza plato.
5. Vi povas enigi sekundaran adreson aŭ komon disigitan liston de adresoj en CIDR-notacio, ekz. 192.168.1.1/24 kiel IP-Kaŝnomo.
6. Klaku Apliki 7. Rekonektu la retumilon en la komputilo, kiu estas konektita al la konzola servilo per eniro
http://your new IP address.
Se vi ŝanĝas la IP-adreson de la konzola servilo, vi devas reagordi vian komputilon por havi IP-adreson en la sama reto-intervalo kiel la nova adreso de la konzola servilo. Vi povas agordi la MTU sur Ethernet-interfacoj. Ĉi tio estas altnivela opcio por esti uzata se via deploja scenaro ne funkcias kun la defaŭlta MTU de 1500 bajtoj. Por agordi la MTU, alklaku Sistemo > IP kaj alklaku la langeton Reto-Interfaco. Rulumu malsupren al la MTU-kampo kaj enigu la deziratan valoron. Validaj valoroj estas de 1280 ĝis 1500 por 100-megabitaj interfacoj, kaj 1280 ĝis 9100 por gigabitaj interfacoj Se transponto aŭ ligo estas agordita, la MTU-aro sur la retinterfaco paĝo estos agordita sur la interfacoj kiuj estas parto de la ponto aŭ la ligo. . NOTO En iuj kazoj, la uzanto specifita MTU eble ne efektiviĝos. Iuj NIC-ŝoforoj povas rondigi superdimensiajn MTU-ojn al la maksimuma permesita valoro kaj aliaj resendos erarkodon. Vi ankaŭ povas uzi CLI-komandon por administri MTU-Grandecon: agordi
# config -s config.interfaces.wan.mtu=1380 kontrolo
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider neniu config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode sennacia agordo .interfaces.wan.media Aŭtomata konfig.interfaces.wan.mode statika config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Ĉapitro 2: Sistema Agordo
2.3.1 IPv6-agordo La konzola servilo Ethernet-interfacoj subtenas IPv4 defaŭlte. Ili povas esti agorditaj por IPv6 operacio:
1. Klaku Sistemo > IP. Alklaku la langeton Ĝeneralaj Agordoj kaj kontrolu Ebligi IPv6. Se vi volas, alklaku la markobutonon Malŝalti IPv6 por Ĉela.
2. Agordu la IPv6-parametrojn sur ĉiu interfaco-paĝo. IPv6 povas esti agordita por aŭ Aŭtomata reĝimo, kiu uzos SLAAC aŭ DHCPv6 por agordi adresojn, itinerojn kaj DNS, aŭ Static-reĝimon, kiu permesas la adresinformojn esti mane enmetitaj.
2.3.2 Agordo de Dinamika DNS (DDNS) Kun Dynamic DNS (DDNS), konzola servilo, kies IP-adreso estas dinamike asignita, povas troviĝi per fiksa gastiganto aŭ domajna nomo. Kreu konton kun la subtenata DDNS-servo provizanto de via elekto. Kiam vi agordas vian DDNS-konton, vi elektas uzantnomon, pasvorton kaj gastigan nomon, kiujn vi uzos kiel DNS-nomon. DDNS-servoprovizantoj permesas vin elekti gastigan nomon URL kaj agordu komencan IP-adreson por respondi al tiu gastiga nomo URL.
14

Uzanto Manlibro
Por ebligi kaj agordi DDNS sur iu ajn el la Eterreto aŭ ĉela reto-konektoj sur la konzola servilo. 1. Alklaku Sistemo > IP kaj rulumu malsupren la sekcion Dinamika DNS. Elektu vian provizanton de DDNS
el la falmenuo Dinamika DNS-listo. Vi ankaŭ povas agordi la DDNS-informojn sub la langeto Ĉela Modemo sub Sistemo> Dial.
2. En DDNS-Gastignomo, enigu la plene kvalifikitan DNS-gastigan nomon por via konzola servilo ekz. viahostname.dyndns.org.
3. Enigu la DDNS-Uzantnomon kaj DDNS-Pasvorton por la konto de DDNS-provizanto. 4. Specifi la Maksimuma intervalo inter ĝisdatigoj en tagoj. DDNS-ĝisdatigo estos sendita eĉ se la
adreso ne ŝanĝiĝis. 5. Specifu la Minimuman intervalon inter kontroloj por ŝanĝitaj adresoj en sekundoj. Ĝisdatigoj faros
estu sendita se la adreso ŝanĝiĝis. 6. Specifu la Maksimumajn provojn per ĝisdatigo kiu estas la nombro da fojoj por provi ĝisdatigon
antaŭ ol rezigni. Ĉi tio estas 3 defaŭlte. 7. Klaku Apliki.
15

Ĉapitro 2: Sistema Agordo
2.3.3 EAPoL-reĝimo por WAN, LAN kaj OOBFO
(OOBFO aplikeblas nur al la IM7216-2-24E-DAC)
Finiteview de EAPoL IEEE 802.1X, aŭ PNAC (Port-bazita Network Access Control) uzas la fizikajn alirkarakterizaĵojn de IEEE 802 LAN-infrastrukturoj por disponigi rimedon por aŭtentikigi kaj rajtigi aparatojn ligitajn al LAN-haveno kiu havas punkto-al- punktokonektrajtoj, kaj malhelpi aliron al tiu haveno en kazoj kiuj la aŭtentikigo kaj rajtigo malsukcesas. Haveno en ĉi tiu kunteksto estas ununura punkto de alligiteco al la LAN-infrastrukturo.
Kiam nova sendrata aŭ drata nodo (WN) petas aliron al LAN-rimedo, la alirpunkto (AP) petas la identecon de la WN. Neniu alia trafiko ol EAP estas permesita antaŭ ol la WN estas aŭtentikigita (la "haveno" estas fermita, aŭ "neaŭtentikigita"). La sendrata nodo, kiu petas aŭtentikigon, ofte nomiĝas Supplicant, la Supplicant respondecas pri respondado al Authenticator-datumoj, kiuj establos ĝiajn akreditaĵojn. La sama validas por la alirpunkto; la Aŭtentikisto ne estas la alirpunkto. Prefere, la alirpunkto enhavas Aŭtentikilon. La Aŭtentikisto ne bezonas esti en la alirpunkto; ĝi povas esti ekstera komponanto. La sekvaj aŭtentikigmetodoj estas efektivigitaj:
· EAP-MD5-petanto o La metodo EAP MD5-Defio uzas simplan uzantnomon/pasvorton
· EAP-PEAP-MD5 o EAP PEAP (Protected EAP) MD5-aŭtentikigmetodo uzas uzantajn akreditaĵojn kaj CA-atestilon
· EAP-TLS aŭ EAP TLS (Transport Layer Security) aŭtentikigmetodo postulas CA-atestilon, klientatestilon kaj privatan ŝlosilon.
La EAP-protokolo, kiu estas uzita por aŭtentikigo, estis origine uzita por telefontelefona PPP. La identeco estis la uzantnomo, kaj aŭ PAP aŭ CHAP-konfirmo estis uzita por kontroli la pasvorton de la uzanto. Ĉar la identeco estas sendita en klara (ne ĉifrita), malica snufisto povas lerni la identecon de la uzanto. "Identeca kaŝado" estas do uzata; la reala identeco ne estas sendita antaŭ ol la ĉifrita TLS-tunelo finiĝas.
16

Uzanto Manlibro
Post kiam la identeco estas sendita, la aŭtentikigprocezo komenciĝas. La protokolo uzata inter la Petantulo kaj la Aŭtentikisto estas EAP, (aŭ EAPoL). La Aŭtentikisto re-enkapsuligas la EAP-mesaĝojn al RADIUS-formato, kaj pasas ilin al la Aŭtentikiga Servilo. Dum aŭtentikigo, la Aŭtentikisto elsendas pakaĵojn inter la Petantulo kaj la Aŭtentikiga Servilo. Kiam la aŭtentikigprocezo finiĝas, la Aŭtentikiga Servilo sendas sukcesan mesaĝon (aŭ malsukceson, se la aŭtentikigo malsukcesis). La Aŭtentikisto tiam malfermas la "havenon" por la Petantulo. Aŭtentigaj agordoj estas alireblaj de la paĝo de EAPoL Supplicant Settings. La stato de nuna EAPoL estas detale montrata en la paĝo de Statusstatistikoj sur la langeto de EAPoL:
Abstraktaĵo de EAPoL sur retaj ROLOJ estas montrata en la sekcio "Konekto-Manaĝero" sur la Dashboard-interfaco.
17

Ĉapitro 2: Sistema Agordo
Montrita malsupre estas eksampLe de sukcesa aŭtentigo:
IEEE 802.1x (EAPOL) subteno sur la ŝaltilhavenoj de IM7216-2-24E-DAC kaj ACM7004-5: Por eviti buklojn, uzantoj ne devus ŝtopi pli ol unu ŝaltilhavenon al la sama supra-nivela ŝaltilo.
18

Uzanto Manlibro
2.4 Serva Aliro kaj Protekto por Bruta Forto
La administranto povas aliri la konzolservilon kaj konektitajn seriajn havenojn kaj administritajn aparatojn uzante gamon da alirprotokoloj/servoj. Por ĉiu aliro
· La servo unue devas esti agordita kaj ebligita por funkcii en la konzola servilo. · Aliro tra la fajroŝirmilo devas esti ebligita por ĉiu retkonekto. Por ebligi kaj agordi servon: 1. Alklaku Sistemon > Servoj kaj alklaku la langeton de Servaj Agordoj.

2. Ebligu kaj agordi bazajn servojn:

HTTP

Defaŭlte, HTTP-servo funkcias kaj ne povas esti plene malŝaltita. Defaŭlte, HTTP-aliro estas malŝaltita en ĉiuj interfacoj. Ni rekomendas, ke ĉi tiu aliro restu malŝaltita se la konzola servilo estas alirita malproksime per Interreto.
Alterna HTTP ebligas al vi agordi alternan HTTP-pordon por aŭskulti. La HTTP-servo daŭre aŭskultos sur TCP-haveno 80 por CMS kaj konektilo komunikadoj sed estos neatingebla tra la fajroŝirmilo.

HTTPS

Defaŭlte, HTTPS-servo funkcias kaj estas ebligita en ĉiuj retaj interfacoj. Oni rekomendas, ke nur HTTPS-aliro estu uzata se la konzola servilo devas esti administrita per iu publika reto. Ĉi tio certigas, ke administrantoj havas sekuran retumilon aliron al ĉiuj menuoj sur la konzola servilo. Ĝi ankaŭ permesas taŭge agorditajn uzantojn sekuran retumilon aliron al elektitaj Administri menuoj.
La HTTPS-servo povas esti malŝaltita aŭ reŝaltita per kontrolo de HTTPS Web Administrado kaj alterna haveno specifita (defaŭlta haveno estas 443).

Telnet

Defaŭlte la Telnet-servo funkcias sed malŝaltita en ĉiuj retaj interfacoj.
Telnet povas esti uzata por doni al administranto aliron al la sistema komandlinia ŝelo. Ĉi tiu servo povas esti utila por loka administranto kaj la uzanta aliro al elektitaj seriaj konzoloj. Ni rekomendis ke vi malŝaltu ĉi tiun servon se la konzola servilo estas malproksime administrita.
La markobutono Enable Telnet command shell ebligos aŭ malŝaltos la Telnet-servon. Alterna Telnet-haveno por aŭskulti povas esti specifita en Alterna Telnet-haveno (defaŭlta haveno estas 23).

Ĉapitro 2: Sistema Agordo

SSH

Ĉi tiu servo disponigas sekuran SSH-aliron al la konzola servilo kaj alkroĉitajn aparatojn

kaj defaŭlte la SSH-servo funkcias kaj ebligita en ĉiuj interfacoj. Ĝi estas

rekomendis, ke vi elektu SSH kiel la protokolon al kiu administranto konektas

la konzola servilo per la Interreto aŭ iu ajn alia publika reto. Ĉi tio provizos

aŭtentikigitaj komunikadoj inter la SSH-klientprogramo sur la fora

komputilo kaj la SSH-servilo en la konzola servilo. Por pliaj informoj pri SSH

agordo Vidu Ĉapitro 8 – Aŭtentigo.

La markobutono Enable SSH command shell ebligos aŭ malŝaltos ĉi tiun servon. Alterna SSH-haveno por aŭskulti povas esti specifita en SSH-komando-ŝela haveno (defaŭlta haveno estas 22).

3. Ebligu kaj agordu aliajn servojn:

TFTP/FTP Se USB-flash-karto aŭ interna fulmo estas detektita sur konzola servilo, kontrolado Ebligi TFTP (FTP) servon ebligas ĉi tiun servon kaj agordi defaŭltan tftp kaj ftp-servilon sur la USB-fulmo. Ĉi tiuj serviloj estas uzataj por konservi agordojn files, konservi aliron kaj transakciajn protokolojn ktp. Files transdonitaj per tftp kaj ftp estos stokitaj sub /var/mnt/storage.usb/tftpboot/ (aŭ /var/mnt/storage.nvlog/tftpboot/ sur aparatoj de la serio ACM7000). Malmarki Ebligi TFTP (FTP) servon malŝaltos la TFTP (FTP) servon.

Kontrolado de DNS-Relajso Ebligas DNS-Servilon/Relajso ebligas la DNS-relajso-funkcion, por ke klientoj povu agordi kun la IP de la konzola servilo por ilia DNS-servilo, kaj la konzola servilo plusendos la DNS-demandojn al la vera DNS-servilo.

Web Terminal Kontrolo Ebligi Web Terminalo permesas web retumila aliro al la sistema komandlinia ŝelo per Administri > Terminalo.

4. Specifu alternajn havennumerojn por Raw TCP, rekta Telnet/SSH kaj neaŭtentikigitaj Telnet/SSH-servoj. La konzola servilo uzas specifajn intervalojn por la TCP/IP-havenoj por la diversaj aliroj
servoj kiujn uzantoj povas uzi por aliri aparatojn ligitajn al seriaj havenoj (kiel kovrite en Ĉapitro 3 Agordu Seriajn Pordojn). La administranto povas agordi alternajn intervalojn por ĉi tiuj servoj kaj ĉi tiuj malĉefaj havenoj estos uzataj krom la defaŭltoj.

La defaŭlta TCP/IP bazhavenadreso por Telnet-aliro estas 2000, kaj la intervalo por Telnet estas IP-adreso: Port (2000 + seria haveno #) t.e. 2001 2048. Se administranto agordus 8000 kiel sekundaran bazon por Telnet, serialo. haveno #2 sur la konzola servilo povas aliri Telnet ĉe IP
Adreso: 2002 kaj ĉe IP-adreso: 8002. La defaŭlta bazo por SSH estas 3000; por Raw TCP estas 4000; kaj por RFC2217 ĝi estas 5000

5. Aliaj servoj povas esti ebligitaj kaj agorditaj de ĉi tiu menuo elektante Klaku ĉi tie por agordi:

Nagios-Aliro al la Nagios NRPE-monitoraj demonoj

NUKSO

Aliro al la monitora demono de NUT UPS

SNMP Ebligas snmp en la konzola servilo. SNMP estas malŝaltita defaŭlte

NTP

6. Klaku Apliki. Konfirmmesaĝo aperas: Mesaĝo Ŝanĝoj al agordo sukcesis

La agordoj de Servoj-Aliro povas esti agordita por permesi aŭ bloki aliron. Ĉi tio precizigas kiujn ebligitajn servojn administrantoj povas uzi super ĉiu retinterfaco por konekti al la konzolservilo kaj tra la konzolservilo al kunligitaj seriaj kaj retaj ligitaj aparatoj.

Uzanto Manlibro
1. Elektu la langeton Servo-Aliro sur la paĝo Sistemo > Servoj.
2. Ĉi tio montras la ebligitajn servojn por la retaj interfacoj de la konzola servilo. Depende de la speciala konzola servilmodelo la interfacoj montrataj povas inkluzivi: · Reta interfaco (por la ĉefa Ethernet-konekto) · Administrado LAN/OOB-malsukceso (duaj Ethernet-konektoj) · Dialout/Ĉelula (V90 kaj 3G-modemo) · Dial-en (interna). aŭ ekstera V90-modemo) · VPN (IPsec aŭ Open VPN-konekto per iu ajn reto-interfaco)
3. Kontrolu/malmarku por ĉiu reto, kiu servo aliro estas ebligita/malŝaltita La Respondo al ICMP eĥas (t.e. ping) serva aliro opcioj kiuj povas esti agordita ĉe ĉi tiu s.tage. Ĉi tio permesas al la konzolservilo respondi al alvenantaj ICMP-eĥopetoj. Ping estas ebligita defaŭlte. Por pliigita sekureco, vi devus malŝalti ĉi tiun servon kiam vi kompletigas komencan agordon. Vi povas permesi al serio-havaj aparatoj esti aliritaj de nomumitaj retaj interfacoj uzante Raw TCP, rektan Telnet/SSH, neaŭtentikigitajn Telnet/SSH-servojn, ktp.
4. Klaku Apliki Web Administraj agordoj La markobutono Ebligu HSTS ebligas striktan HTTP striktan transportsekurecon. HSTS-reĝimo signifas, ke StrictTransport-Security-kapo estu sendita per HTTPS-transporto. Konforma web retumilo memoras ĉi tiun kaplinion, kaj kiam oni petas kontakti la saman gastiganton per HTTP (ebenaĵo) ĝi aŭtomate ŝanĝos al
19

Ĉapitro 2: Sistema Agordo
HTTPS antaŭ provi HTTP, kondiĉe ke la retumilo unufoje aliris la sekuran retejon kaj vidis la STS-kapon.
Malpura fortprotekto (Micro Fail2ban) provizore blokas fontajn IP-ojn kiuj montras malicajn signojn, kiel tro da pasvortmalsukcesoj. Ĉi tio povas helpi kiam la retservoj de la aparato estas elmontritaj al nefidinda reto kiel la publika WAN kaj skriptitaj atakoj aŭ programaraj vermoj provas diveni (brutforto) uzantajn akreditaĵojn kaj akiri neaŭtorizitan aliron.

Brute Force Protection povas esti ebligita por la listigitaj servoj. Defaŭlte, post kiam protekto estas ebligita, 3 aŭ pli malsukcesaj konektoprovoj ene de 60 sekundoj de specifa fonto IP ekigas ĝin esti malpermesita de konekto dum agordebla tempoperiodo. Prova limo kaj Malpermeso-tempotempo povas esti personecigitaj. Aktivaj Malpermesoj ankaŭ estas listigitaj kaj povas esti refreŝigitaj reŝargante la paĝon.

NOTO

Kiam vi funkcias en nefidinda reto, konsideru uzi diversajn strategiojn uzatajn por ŝlosi foran aliron. Ĉi tio inkluzivas SSH-publikŝlosilon aŭtentikigon, VPN, kaj Fajroŝirmigajn Regulojn al
permesilisto fora aliro de fidindaj fontaj retoj nur. Vidu la Opengear Knowledge Base por detaloj.

2.5 Programaro pri Komunikado
Vi agordis alirprotokolojn por la administra kliento por uzi kiam vi konektas al la konzola servilo. Uzantklientoj ankaŭ uzas ĉi tiujn protokolojn kiam ili aliras al konzola servilo seriajn ligitajn aparatojn kaj retajn ligitajn gastigantojn. Vi bezonas komunikajn programajn ilojn instalitajn sur la komputilo de la administranto kaj uzantkliento. Por konekti vi povas uzi ilojn kiel PuTTY kaj SSHTerm.

Uzanto Manlibro
Komerce disponeblaj konektiloj kunligas la fidindan SSH-tunelprotokolon kun popularaj aliriloj kiel Telnet, SSH, HTTP, HTTPS, VNC, RDP por provizi sekuran foran administradon al ĉiuj sistemoj kaj aparatoj administritaj. Informoj pri uzado de konektiloj por retumila aliro al la Administra Konzolo de la konzola servilo, Telnet/SSH-aliro al la konzola servilo komandlinio, kaj TCP/UDP konektanta al gastigantoj kiuj estas reto konektitaj al la konzola servilo troveblas en Ĉapitro 5. Konektiloj povas esti trovitaj. instalita en Vindozaj komputiloj, Mac OS X kaj en la plej multaj sistemoj Linukso, UNIX kaj Solaris.
2.6 Administra Reto-Agordo
Konzolserviloj havas kromajn retajn havenojn kiuj povas esti agorditaj por disponigi administradan LAN-aliron kaj/aŭ malsukcesi aŭ ekster-grupan aliron. 2.6.1 Ebligi la Administran LAN-Konzolon-serviloj povas esti agorditaj tiel la dua Ethernet-haveno disponigas administran LAN-enirejon. La enirejo havas fajroŝirmilon, enkursigilon kaj DHCP-servilojn. Vi devas konekti eksteran LAN-ŝaltilon al Reto 2 por ligi gastigantojn al ĉi tiu administra LAN:
NOTO La dua Ethernet-haveno povas esti agordita kiel Administra LAN-pordejo aŭ kiel OOB/Failover-haveno. Certigu, ke vi ne asignis NET2 kiel la Malsukcesan Interfacon kiam vi agordis la ĉefan Retan konekton en la menuo Sistemo > IP.
21

Ĉapitro 2: Sistema Agordo
Por agordi la Administran LAN-enirejon: 1. Elektu la langeton Administran LAN-Interfacon en la menuo Sistemo > IP kaj malmarku Malŝalti. 2. Agordu la IP-Adreson kaj Subretan Maskon por la Administra LAN. Lasu la DNS-kampojn malplenaj. 3. Klaku Apliki.
La administra enirejo-funkcio estas ebligita kun defaŭlta fajroŝirmilo kaj enkursigilo reguloj agordita tiel la Administra LAN estas nur alirebla per SSH haveno plusendado. Ĉi tio certigas, ke la foraj kaj lokaj ligoj al Administritaj aparatoj sur la Administra LAN estas sekuraj. La LAN-havenoj ankaŭ povas esti agorditaj en ponta aŭ kunligita reĝimo aŭ permane agordita de la komandlinio. 2.6.2 Agordu la DHCP-servilon La DHCP-servilo ebligas la aŭtomatan distribuon de IP-adresoj al aparatoj en la Administra LAN, kiuj funkcias DHCP-klientojn. Por ebligi la DHCP-servilon:
1. Klaku Sistemo > DHCP-Servilo. 2. Sur la langeto Reta Interfaco, Kontrolu Ebligi DHCP-Servilon.
22

Uzanto Manlibro
3. Enigu la Enirejon adreson esti eldonita al la DHCP-klientoj. Se ĉi tiu kampo estas lasita malplena, la IP-adreso de la konzola servilo estas uzata.
4. Enigu la Primaran DNS kaj Sekundaran DNS-adreson por elsendi la DHCP-klientojn. Se ĉi tiu kampo estas lasita malplena, la IP-adreso de konzola servilo estas uzata.
5. Laŭvole enigu Domajnan Nomon sufikson por elsendi DHCP-klientojn. 6. Enigu la Defaŭltan Liztempon kaj Maksimuman Liztempon en sekundoj. Ĉi tio estas la kvanto de tempo
ke dinamike asignita IP-adreso validas antaŭ ol la kliento devas peti ĝin denove. 7. Klaku Apliki La DHCP-servilo eldonas IP-adresojn de specifitaj adresgrupoj: 1. Klaku Aldoni en la kampo Dynamic Address Allocation Pools. 2. Enigu la Komencan Adreson kaj Finadreson de DHCP Pool. 3. Klaku Apliki.
23

Ĉapitro 2: Sistema Agordo
La DHCP-servilo ankaŭ subtenas antaŭ-asigni IP-adresojn por esti asignitaj al specifaj MAC-adresoj kaj rezervado de IP-adresoj por esti uzataj de konektitaj gastigantoj kun fiksaj IP-adresoj. Por rezervi IP-adreson por aparta gastiganto:
1. Klaku Aldoni en la kampo Rezervitaj Adresoj. 2. Enigu la Gastnomo, la Aparataro-Adreso (MAC) kaj la Statike Rezervita IP-adreso por
la DHCP-kliento kaj alklaku Apliki.
Kiam DHCP asignis mastro-adresojn, oni rekomendas kopii tiujn en la antaŭ-asignitan liston, por ke la sama IP-adreso estu reasignita okaze de rekomenco.
24

Uzanto Manlibro
2.6.3 Elektu malsukcesigan aŭ larĝbendan OOB-konzola servilojn disponigas malsukcesan opcion do en kazo de problemo uzanta la ĉefan LAN-konekton por aliri la konzola servilon alternan alirvojon estas uzata. Por ebligi malsukceson:
1. Elektu la retinterfacon paĝon en la menuo Sistemo > IP 2. Elektu la malsukcesigan interfacon por esti uzata en okazo de aŭ.tage sur la ĉefa reto.
3. Klaku Apliki. Malsukceso fariĝas aktiva post kiam vi specifas la eksterajn ejojn por esti enketitaj por ekigi malsukceson kaj agordi la malsukcesajn havenojn.
2.6.4 Agregado de la retaj havenoj Defaŭlte, la Administraj LAN-retaj havenoj de la konzola servilo estas alireblaj per SSH-tunela/porten plusendado aŭ per establado de IPsec VPN-tunelo al la konzola servilo. Ĉiuj kablaj retaj havenoj sur la konzolserviloj povas esti kunigitaj per transpontiĝo aŭ kunligita.
25

Uzanto Manlibro
· Defaŭlte, Interfaco-Agregado estas malŝaltita en la menuo Sistemo > IP > Ĝeneralaj Agordoj · Elektu Pontajn Interfacojn aŭ Bond Interfacojn
o Kiam pontado estas ebligita, rettrafiko estas plusendita tra ĉiuj Ethernet-havenoj sen fajroŝirmigaj limigoj. Ĉiuj Ethernet-havenoj estas ĉiuj travideble konektitaj ĉe la datumliga tavolo (tavolo 2) do ili konservas siajn unikajn MAC-adresojn.
o Kun ligado, la rettrafiko estas portata inter la havenoj sed ĉeestas kun unu MAC-adreso
Ambaŭ reĝimoj forigas ĉiujn funkciojn de Administra LAN-Interfaco kaj Ekster-de-Band/Failover Interface kaj malŝaltas la DHCP-Servilon · En agregacia reĝimo ĉiuj Ethernet-havenoj estas kolektive agorditaj per la menuo de Reto-Interfaco.
25

Ĉapitro 2: Sistema Agordo
2.6.5 Senmovaj itineroj Senmovaj itineroj provizas tre rapidan manieron por direkti datumojn de unu subreto al malsama subreto. Vi povas malfacile kodi vojon, kiu diras al la konzola servilo/enkursigilo atingi certan subreton uzante certan vojon. Ĉi tio povas esti utila por aliri diversajn subretojn ĉe fora loko kiam vi uzas la ĉelan OOB-konekton.

Por aldoni al la senmova itinero al la itinertabelo de la Sistemo:
1. Elektu la langeton de Itineraj Agordoj en la menuo Sistemo > Ĝeneralaj Agordoj de IP.
2. Klaku Nova Itinero
3. Enigu Itineran Nomon por la itinero.
4. En la kampo de Destina Reto/Gastiganto, enigu la IP-adreson de la cela reto/gastiganto, al kiu la itinero provizas aliron.
5. Enigu valoron en la kampo de Destina retmasko, kiu identigas la celreton aŭ gastiganton. Ajna nombro inter 0 kaj 32. Subreta masko de 32 identigas gastigan itineron.
6. Enigu Route Gateway kun la IP-adreso de enkursigilo, kiu vojos pakojn al la celreto. Ĉi tio povas esti lasita malplena.
7. Elektu la Interfacon por uzi por atingi la celon, eble lasita kiel Neniu.
8. Enigu valoron en la kampo Metrico, kiu reprezentas la metrikon de ĉi tiu konekto. Uzu ajnan nombron egala aŭ pli granda ol 0. Ĉi tio nur devas esti agordita se du aŭ pli da vojoj konfliktas aŭ havas interkovrajn celojn.
9. Klaku Apliki.

NOTO

La paĝo de detaloj pri itinero disponigas liston de retaj interfacoj kaj modemoj al kiuj itinero povas esti ligita. En la kazo de modemo, la itinero estos alkroĉita al iu ajn teletelefonsesio establita per tiu aparato. Itinero povas esti precizigita per enirejo, interfaco aŭ ambaŭ. Se la specifita interfaco ne estas aktiva, itineroj agorditaj por tiu interfaco ne estos aktivaj.

Uzant-Manlibro 3. SERIA PORTO, GASTO, APARATO & UZANTAGRAGO
La konzola servilo ebligas aliron kaj kontrolon de serio-ligitaj aparatoj kaj ret-ligitaj aparatoj (gastigantoj). La administranto devas agordi alirprivilegiojn por ĉiu el ĉi tiuj aparatoj kaj specifi la servojn uzeblajn por kontroli la aparatojn. La administranto ankaŭ povas agordi novajn uzantojn kaj specifi la individuajn alirojn kaj kontrolprivilegiojn de ĉiu uzanto.
Ĉi tiu ĉapitro kovras ĉiun el la paŝoj en agordo de retkonektitaj kaj seriaj ligitaj aparatoj: · Seriaj Pordoj agordado de protokoloj uzataj seriamente konektitaj aparatoj · Uzantoj & Grupoj agordado de uzantoj kaj difinado de la alirpermesoj por ĉiu el ĉi tiuj uzantoj · Aŭtentikigo ĉi tio estas kovrita en pli. detalo en Ĉapitro 8 · Retaj Gastigantoj agordante aliron al loka reto konektitaj komputiloj aŭ aparatoj (gastigantoj) · Agordi Fidindajn Retojn – nomumu IP-adresojn, kiujn fidindaj uzantoj aliras de · Kaskadado kaj Redirekto de Seriaj Konzolaj Havenoj · Konektado al potenco (UPS, PDU, kaj IPMI) kaj media monitorado (EMD) aparatoj · Seria Haveno Redirektado uzante la PortShare fenestroj kaj Linuksaj klientoj · Administrita Aparato - prezentas firmigitan view de ĉiuj konektoj · IPSec ebliganta VPN-konekton · OpenVPN · PPTP
3.1 Agordu Seriajn Pordojn
La unua paŝo en agordo de seria haveno estas agordi la Komunajn Agordojn kiel ekzemple la protokoloj kaj la RS232-parametroj kiuj estas uzotaj por la datumkonekto al tiu haveno (ekz. baudrapideco). Elektu en kiu reĝimo la haveno funkciigu. Ĉiu haveno povas esti agordita por subteni unu el ĉi tiuj operaciumoj:
· Maleblita reĝimo estas la defaŭlta, la seria haveno estas neaktiva
27

Ĉapitro 3:

Seria Haveno, Gastiganto, Aparato & Uzanta Agordo

· Konzola servila reĝimo ebligas ĝeneralan aliron al seria konzola haveno sur la seriaj ligitaj aparatoj
· Aparato-reĝimo agordas la serian havenon por komuniki kun inteligenta seria kontrolita PDU, UPS aŭ Media Monitoraj Aparatoj (EMD)
· Terminal Server-reĝimo agordas la serian havenon atendi envenantan terminalan ensalutan sesion · Seria Ponta reĝimo ebligas la travideblan interkonekton de du seriaj havenaj aparatoj super
reto.
1. Elektu Seria & Reto > Seria Haveno por montri detalojn de seria haveno 2. Defaŭlte, ĉiu seria haveno estas agordita en Konzola servila reĝimo. Klaku Redakti apud la pordo esti
reagordita. Aŭ alklaku Redakti Multoblajn Havenojn kaj elektu kiujn havenojn vi volas agordi kiel grupon. 3. Kiam vi reagordis la komunajn agordojn kaj la reĝimon por ĉiu haveno, agordu ajnan fora sislog (vidu la sekvajn sekciojn por specifaj informoj). Klaku Apliki 4. Se la konzola servilo estis agordita kun distribuita Nagios-monitorado ebligita, uzu Nagios Settings-opciojn por ebligi nomumitajn servojn sur la Gastiganto por esti monitoritaj 3.1.1 Komunaj Agordoj Estas kelkaj komunaj agordoj, kiuj povas esti agordeblaj por ĉiu serialo. haveno. Tiuj estas sendependaj de la reĝimo en kiu la haveno estas uzata. Ĉi tiuj seriaj pordaj parametroj devas esti agorditaj tiel ili kongruas kun la seriaj pordaj parametroj sur la aparato, kiun vi aliĝas al tiu haveno:
28

Uzanto Manlibro

· Tajpu etikedon por la haveno · Elektu la taŭgajn Baudrapidecojn, Parecon, Datumajn Bitojn, Haltigajn Bitojn kaj Fluokontrolon por ĉiu haveno

· Agordu la Port Pinout. Ĉi tiu menuero aperas por IM7200-havenoj kie pin-out por ĉiu RJ45 seria haveno povas esti agordita kiel aŭ X2 (Cisco Straight) aŭ X1 (Cisco Rolled)

· Agordu la DTR-reĝimon. Ĉi tio ebligas al vi elekti ĉu DTR ĉiam estas asertita aŭ nur asertita kiam estas aktiva uzantsesio

· Antaŭ ol daŭrigi kun plia agordo de seria haveno, vi devus konekti la havenojn al la seriaj aparatoj, kiujn ili kontrolos kaj certigi, ke ili havas kongruajn agordojn.

3.1.2

Reĝimo de Konzola Servilo
Elektu Konzola servila Reĝimo por ebligi fora administrada aliro al la seria konzolo, kiu estas ligita al ĉi tiu seria haveno:

Ensaluta Nivelo Ĉi tio specifas la nivelon de informoj por esti registrita kaj monitorita.
29

Ĉapitro 3: Seria Haveno, Gastiganto, Aparato & Uzanta Agordo
Nivelo 0: Malebligu registradon (defaŭlte)
Nivelo 1: Ensalutu eventojn ensalutu, LOGOUT kaj SIGNAL
Nivelo 2: Ensalutu eventojn ensalutu, LOGOUT, SIGNAL, TXDATA kaj RXDATA
Nivelo 3: Ensalutu eventojn ensalutu, LOGOUT, SIGNAL kaj RXDATA
Nivelo 4: Ensalutu eventojn ensalutu, LOGOUT, SIGNAL kaj TXDATA
Enigo/RXDATA estas datumoj ricevitaj de la Opengear-aparato de la ligita seria aparato, kaj eligo/TXDATA estas datumoj senditaj de la Opengear-aparato (ekz. tajpita de la uzanto) al la ligita seria aparato.
Aparatokonzoloj tipe eĥas reen karakterojn kiam ili estas tajpitaj tiel TXDATA tajpita fare de uzanto poste estas ricevita kiel RXDATA, montrita sur sia terminalo.
NOTO: Post petado de pasvorto, la konektita aparato sendas * signojn por malhelpi la pasvorton montriĝi.

Telnet Kiam la Telnet-servo estas ebligita sur la konzola servilo, Telnet-kliento en la komputilo de uzanto povas konektiĝi al seria aparato ligita al ĉi tiu seria haveno sur la konzola servilo. Ĉar Telnet-komunikadoj estas neĉifritaj, ĉi tiu protokolo estas rekomendita nur por lokaj aŭ VPN tunelaj konektoj.
Se la foraj komunikadoj estas tunelitaj per konektilo, Telnet povas esti uzata por sekure aliri ĉi tiujn alkroĉitajn aparatojn.

NOTO

En konzola servila reĝimo, uzantoj povas uzi konektilon por agordi sekurajn Telnet-ligojn, kiuj estas SSH tunelita de siaj klientkomputiloj al la seria haveno sur la konzola servilo. Konektiloj povas esti instalitaj sur Vindozaj komputiloj kaj la plej multaj Linukso-platformoj kaj ĝi ebligas sekurajn Telnet-ligojn esti elektitaj per punkto-kaj-klako.

Por uzi konektilon por aliri konzolojn sur la konzola servilo seriaj havenoj, agordu la konektilon kun la konzola servilo kiel enirejo, kaj kiel gastiganto, kaj ebligu Telnet-servon sur Haveno (2000 + seria haveno #) t.e. 2001.

Vi ankaŭ povas uzi normajn komunikajn pakaĵojn kiel PuTTY por agordi rektan Telnet aŭ SSH-konekton al la seriaj havenoj.

NOTO En konzola servila reĝimo, kiam vi konektas al seria haveno, vi konektas per pmshell. Por generi BREAK sur la seria haveno, tajpu la signosekvencon ~b. Se vi faras tion per OpenSSH tajpu ~~b.

SSH

Oni rekomendas, ke vi uzu SSH kiel la protokolon kiam uzantoj konektas al la konzola servilo

(aŭ konekti per la konzola servilo al la alkroĉitaj seriaj konzoloj) per Interreto aŭ iu ajn

alia publika reto.

Por SSH-aliro al la konzoloj en aparatoj alkroĉitaj al la seriaj pordoj de la konzolo-servilo, vi povas uzi konektilon. Agordu la konektilon kun la konzola servilo kiel enirejo, kaj kiel gastiganto, kaj ebligu SSH-servon sur Haveno (3000 + seria haveno #) t.e. 3001-3048.

Vi ankaŭ povas uzi komunajn komunikajn pakaĵojn, kiel PuTTY aŭ SSHTerm al SSH konekti al haveno adreso IP-adreso _ Haveno (3000 + seria haveno #) t.e. 3001

SSH-konektoj povas esti agorditaj uzante la norman SSH-havenon 22. La seria haveno alirebla estas identigita aldonante priskribilon al la uzantnomo. Ĉi tiu sintakso subtenas:

Uzanto Manlibro
: : Por ke uzanto nomata chris aliru serian havenon 2, kiam starigas la SSHTerm aŭ la PuTTY SSH-klienton, anstataŭ tajpi uzantnomo = chris kaj ssh port = 3002, la anstataŭanto devas tajpi uzantnomo = chris:port02 (aŭ uzantnomo = chris: ttyS1) kaj ssh port = 22. Aŭ tajpante username=chris:serial kaj ssh port = 22, la uzanto estas prezentita kun elekta elekto de haveno:

Ĉi tiu sintakso ebligas al uzantoj agordi SSH-tunelojn al ĉiuj seriaj havenoj kun ununura IP-haveno 22 devanta esti malfermita en sia fajroŝirmilo/enirejo.
NOTO En konzola servila reĝimo, vi konektas al seria haveno per pmshell. Por generi BREAK sur la seria haveno, tajpu la signosekvencon ~b. Se vi faras tion per OpenSSH, tajpu ~~b.

TCP

RAW TCP permesas ligojn al TCP-ingo. Dum komunikadoj programoj kiel PuTTY

ankaŭ subtenas RAW TCP, ĉi tiu protokolo estas kutime uzata de kutima aplikaĵo

Por RAW TCP, la defaŭlta havenadreso estas IP-adreso _ Haveno (4000 + seria haveno #) t.e. 4001 4048

RAW TCP ankaŭ ebligas la serian havenon esti tunelita al fora konzola servilo, tiel ke du seriahavaj aparatoj povas travideble interkonekti tra reto (vidu Ĉapitro 3.1.6 Seria Ponto)

RFC2217 Elekto de RFC2217 ebligas serian havenon alidirekton sur tiu haveno. Por RFC2217, la defaŭlta havena adreso estas IP-adreso _ Haveno (5000 + seria haveno #) t.e. 5001 5048
Speciala klienta programaro disponeblas por Vindozo UNIX kaj Linukso, kiuj subtenas virtualajn kom-havenojn RFC2217, do fora gastiganto povas monitori kaj administri malproksimajn seriajn ligitajn aparatojn kvazaŭ ili estas konektitaj al la loka seria haveno (vidu Ĉapitro 3.6 Redirektado de Seria Haveno por detaloj)
RFC2217 ankaŭ ebligas la serian havenon esti tunelita al fora konzola servilo, tiel ke du seriaj havenaj aparatoj povas travideble interkonekti tra reto (vidu Ĉapitro 3.1.6 Seria Ponto)

Neaŭtentikigita Telnet Ĉi tio ebligas Telnet-aliron al la seria haveno sen aŭtentigaj akreditaĵoj. Kiam uzanto aliras la konzolservilon al Telnet al seria haveno, ili ricevas ensalutpromeson. Kun neaŭtentikigita Telnet, ili konektas rekte al la haveno sen iu ajn ensaluta defio de konzola servilo. Se Telnet-kliento petas aŭtentikigon, ĉiuj enigitaj datumoj permesas konekton.

Ĉapitro 3: Seria Haveno, Gastiganto, Aparato & Uzanta Agordo
Ĉi tiu reĝimo estas uzata kun ekstera sistemo (kiel konservisto) administranta uzantan aŭtentikigon kaj alirprivilegiojn sur la seria aparato nivelo.
Ensaluti en aparato konektita al la konzola servilo povas postuli aŭtentikigon.
Por Neaŭtentikigita Telnet la defaŭlta havenadreso estas IP-adreso _ Haveno (6000 + seria haveno #) t.e. 6001 6048

Neaŭtentikigita SSH Ĉi tio ebligas SSH-aliron al la seria haveno sen aŭtentigaj akreditaĵoj. Kiam uzanto aliras la konzolservilon al Telnet al seria haveno, ili ricevas ensalutpromeson. Kun neaŭtentikigita SSH ili konektas rekte al la haveno sen ajna defio de ensaluto de konzola servilo.
Ĉi tiu reĝimo estas uzata kiam vi havas alian sistemon administranta uzantajn aŭtentigojn kaj alirprivilegiojn ĉe la seria aparato, sed volas ĉifri la sesion tra la reto.
Ensaluti en aparato konektita al la konzola servilo povas postuli aŭtentikigon.
Por Neaŭtentikigita Telnet la defaŭlta havenadreso estas IP-adreso _ Haveno (7000 + seria haveno #) t.e. 7001 7048
La : metodo de havena aliro (kiel priskribite en la supra SSH-sekcio) ĉiam postulas aŭtentikigon.

Web Terminalo Ĉi tio ebligas web retumila aliro al la seria haveno per Administri > Aparatoj: Seria uzante la enkonstruitan AJAX-terminalon de la Administra Konzolo. Web Terminalo konektas kiel la nuntempe aŭtentikigita Administradkonzolo-uzanto kaj ne reaŭtentikiĝas. Vidu sekcion 12.3 por pliaj detaloj.

IP Kaŝnomo

Ebligu aliron al la seria haveno per specifa IP-adreso, specifita en formato CIDR. Ĉiu seria haveno povas esti asignita unu aŭ pluraj IP-kaŝnomoj, agordita laŭ po-reto-interfaco bazo. Seria haveno povas, ekzample, estu alirebla ĉe kaj 192.168.0.148 (kiel parto de la interna reto) kaj 10.10.10.148 (kiel parto de la Administra LAN). Eblas ankaŭ disponigi serian havenon sur du IP-adresoj en la sama reto (ekzample, 192.168.0.148 kaj 192.168.0.248).

Ĉi tiuj IP-adresoj nur povas esti uzataj por aliri la specifan serian havenon, alireblan per la normaj protokolaj TCP-havennombroj de la konzola servilservoj. Por ekzample, SSH sur seria haveno 3 estus alirebla sur pordo 22 de seria haveno IP-kaŝnomo (dum sur la ĉefa adreso de la konzola servilo ĝi estas havebla sur haveno 2003).

Ĉi tiu funkcio ankaŭ povas esti agordita per la plurporta redakta paĝo. En ĉi tiu kazo, la IP-adresoj estas aplikataj sinsekve, kie la unua elektita haveno ricevas la IP enigitan kaj postaj pliiĝas, kun nombroj estas preterlasitaj por iuj neelektitaj havenoj. Por ekzample, se la havenoj 2, 3 kaj 5 estas elektitaj kaj la IP-kaŝnomo 10.0.0.1/24 estas enigita por la Reta Interfaco, la sekvaj adresoj estas asignitaj:

Haveno 2: 10.0.0.1/24

Haveno 3: 10.0.0.2/24

Haveno 5: 10.0.0.4/24

IP Aliasoj ankaŭ subtenas IPv6-kaŝnomo-adresojn. La nura diferenco estas, ke adresoj estas deksesuma nombroj, do haveno 10 povas respondi al adreso finiĝanta per A, kaj 11 al unu finiĝanta per B, prefere ol 10 aŭ 11 laŭ IPv4.

Uzanto Manlibro
Ĉifri Trafikon / Aŭtentikigi Ebligu banalan ĉifradon kaj aŭtentikigon de RFC2217 seriaj komunikadoj uzante Portshare (por forta ĉifrado uzu VPN).
Akumulperiodo Post kiam konekto estis establita por speciala seria haveno (kiel ekzemple RFC2217 alidirektado aŭ Telnet-konekto al malproksima komputilo), ĉiuj alvenantaj karakteroj sur tiu haveno estas plusendita tra la reto laŭ karaktero post karaktero. La akumulperiodo precizigas tempodaŭron, ke alvenantaj signoj estas kolektitaj antaŭ esti senditaj kiel pakaĵeto tra la reto.
Eskapa Signo Ŝanĝu la signon uzatan por sendi eskapsignojn. La defaŭlta estas ~. Anstataŭigi Backspace Anstataŭigi la defaŭltan retrospacvaloron de CTRL+? (127) kun CTRL+h (8). Potenca menuo La komando por aperigi la potencan menuon estas ~p kaj ebligas la ŝelan potencon do a
uzanto povas kontroli la elektran konekton al administrita aparato de komandlinio kiam ili estas Telnet aŭ SSH konektitaj al la aparato. La administrita aparato devas esti agordita kun sia Seria havena konekto kaj Potenca konekto agordita.
Ununura Konekto Ĉi tio limigas la havenon al ununura konekto do se pluraj uzantoj havas alirprivilegiojn por aparta haveno, nur unu uzanto samtempe povas aliri tiun havenon (t.e. haven-snooping ne estas permesita).
33

Ĉapitro 3: Seria Haveno, Gastiganto, Aparato & Uzanta Agordo
3.1.3 Aparato (RPC, UPS, Media) Reĝimo Ĉi tiu reĝimo agordas la elektitan serian havenon por komuniki kun seria kontrolita Seninterrompa Elektroprovizo (UPS), Malproksima Potenco-Regilo / Potencaj Distribuaj Unuoj (RPC) aŭ Media Monitora Aparato (Ekologia)

1. Elektu la deziratan Aparato-Tipon (UPS, RPC aŭ Media)
2. Iru al la taŭga agorda paĝo (Seria & Reto > UPS-Konektoj, RPC-Konekto aŭ Media) kiel detale en Ĉapitro 7.

3.1.4 ·

Reĝimo de Terminal Server
Elektu Terminal Server Mode kaj la Terminal Type (vt220, vt102, vt100, Linux aŭ ANSI) por ebligi getty sur la elektita seria haveno

La getty agordas la havenon kaj atendas ke konekto estos farita. Aktiva konekto sur seria aparato estas indikita per la levita Data Carrier Detect (DCD) stifto sur la seria aparato. Kiam konekto estas detektita, la getty programo eldonas ensaluton: prompto, kaj alvokas la ensalutan programon por trakti la sisteman ensaluton.
NOTO Elektante Terminal Server-reĝimon malŝaltas Port Manager por tiu seria haveno, do datumoj ne plu estas registritaj por atentigoj ktp.

Uzanto Manlibro
3.1.5 Seria ponta reĝimo Kun seria ponto, la seriaj datumoj sur nomumita seria haveno sur unu konzola servilo estas enkapsuligitaj en retpakaĵojn kaj transportitaj tra reto al dua konzola servilo kie ĝi estas reprezentita kiel seriaj datumoj. La du konzolserviloj funkcias kiel virtuala seria kablo tra IP-reto. Unu konzola servilo estas agordita por esti la Servilo. La servila seria haveno transponta estas agordita en Konzola servila reĝimo kun aŭ RFC2217 aŭ RAW ebligita. Por la Klienta konzolservilo, la seria haveno transponta devas esti agordita en Bridging Mode:
· Elektu Serian Bridging Mode kaj specifu la IP-adreson de la servilo-konzolo-servilo kaj la TCP-havenadreson de la fora seria haveno (por RFC2217-ponto ĉi tio estos 5001-5048)
· Defaŭlte, la transponta kliento uzas RAW TCP. Elektu RFC2217 se ĉi tio estas la konzola servila reĝimo, kiun vi specifis sur la servila konzola servilo
· Vi povas sekurigi la komunikadojn per la loka Ethernet ebligante SSH. Generu kaj alŝutu ŝlosilojn.
3.1.6 Syslog Aldone al enkonstruitaj protokoloj kaj monitorado, kiuj povas esti aplikitaj al seria-ligitaj kaj ret-ligitaj administradaj aliroj, kiel kovrite en Ĉapitro 6, la konzola servilo ankaŭ povas esti agordita por subteni la foran syslog-protokolon sur po seria haveno. bazo:
· Elektu la Syslog Facility/Priority-kampojn por ebligi la ensalutadon de trafiko sur la elektita seria haveno al syslog-servilo; kaj ordigi kaj agi laŭ tiuj registritaj mesaĝoj (t.e. alidirekti ilin / sendi atentan retpoŝton.)
35

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
Por ekzample, se la komputilo alkroĉita al seria haveno 3 neniam devus sendi ion ajn eksteren sur sia seria konzola haveno, la administranto povas agordi la Instalaĵon por tiu haveno al local0 (local0 .. local7 estas signifita por retejo lokaj valoroj), kaj la Prioritato al kritika. . Je ĉi tiu prioritato, se la konzola servilo syslog-servilo ricevas mesaĝon, ĝi levas alarmon. Vidu Ĉapitro 6. 3.1.7 NMEA-Dissendado La ACM7000-L povas provizi GPS-NMEA-datumfluon de la interna GPS/ĉela modemo. Ĉi tiu datumfluo prezentas kiel seria datumfluo sur haveno 5 sur la ACM-modeloj.
La Komunaj Agordoj (baŭdrapideco ktp.) estas ignorataj dum agordado de la seria haveno NMEA. Vi povas specifi la Fix Oftecon (t.e. ĉi tiu GPS-fiksofteco determinas kiom ofte oni ricevas GPS-riparojn). Vi ankaŭ povas apliki ĉiujn agordojn de Konzola Servila Reĝimo, Syslog kaj Seria Ponto al ĉi tiu haveno.
Vi povas uzi pmshell, webŝelo, SSH, RFC2217 aŭ RawTCP por atingi la rivereton:
Por ekzample, uzante la Web Terminalo:
36

Uzanto Manlibro

3.1.8 USB-Konzoloj
Konzolserviloj kun USB-havenoj subtenas USB-konzolligojn al aparatoj de larĝa gamo de vendistoj, inkluzive de Cisco, HP, Dell kaj Brocade. Ĉi tiuj USB-havenoj ankaŭ povas funkcii kiel simplaj RS-232-seriaj havenoj kiam USB-al-seria adaptilo estas konektita.

Ĉi tiuj USB-havenoj haveblas kiel regulaj havenoj de portmanager kaj estas prezentitaj cifere en la web UI post ĉiuj seriaj havenoj RJ45.

La ACM7008-2 havas ok RJ45 seriajn havenojn sur la malantaŭo de la konzola servilo kaj kvar USB-havenojn sur la fronto. En Seria & Reto> Seria Haveno ĉi tiuj estas listigitaj kiel

Haveno # Konektilo

RJ45

USB

10 USB

11 USB

12 USB

Se la aparta ACM7008-2 estas ĉela modelo, la haveno #13 - por la GPS - ankaŭ estos listigita.

La 7216-24U havas 16 RJ45-seriajn havenojn kaj 24 USB-havenojn sur sia malantaŭa vizaĝo same kiel du antaŭ-fruntajn USB-havenojn kaj (en la ĉela modelo) GPS-on.

La seriaj havenoj RJ45 estas prezentitaj en Seria & Reto> Seria Haveno kiel havennumeroj 1. La 16 malantaŭaj USB-havenoj prenas havennumerojn 24, kaj la antaŭ-fruntaĝaj USB-havenoj estas listigitaj ĉe havenaj numeroj 17 kaj 40 respektive. Kaj, kiel kun la ACM41-42, se la aparta 7008-2U estas ĉela modelo, la GPS estas prezentita ĉe la haveno numero 7216.

La komunaj agordoj (baŭdrapideco, ktp.) estas uzataj dum agordado de la havenoj, sed iuj operacioj eble ne funkcias depende de la efektivigo de la subesta USB-seria blato.

3.2 Aldoni kaj Redakti Uzantojn
La administranto uzas ĉi tiun menuelekton por krei, redakti kaj forigi uzantojn kaj difini la alirpermesojn por ĉiu el ĉi tiuj uzantoj.

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo

Uzantoj povas esti rajtigitaj aliri specifitajn servojn, seriajn havenojn, potencajn aparatojn kaj specifitajn retligitajn gastigantojn. Ĉi tiuj uzantoj ankaŭ povas ricevi plenan administran statuson (kun plena agordo kaj administrado kaj alirprivilegioj).

Uzantoj povas esti aldonitaj al grupoj. Ses grupoj estas starigitaj defaŭlte:

admin

Provizas senlimajn agordajn kaj administrajn privilegiojn.

pptpd

Permesas aliron al la PPTP VPN-servilo. Uzantoj en ĉi tiu grupo havas sian pasvorton konservita en klara teksto.

dialin

Permesas dialan aliron per modemoj. Uzantoj en ĉi tiu grupo havas sian pasvorton konservita en klara teksto.

ftp

Permesas ftp-aliron kaj file aliro al stokaj aparatoj.

pmshell

Agordas defaŭltan ŝelon al pmshell.

uzantoj

Provizas uzantojn per bazaj administradprivilegioj.

La administra grupo provizas membrojn plenajn administrantajn privilegiojn. La administranto povas aliri la konzolan servilon uzante iun ajn el la servoj kiuj estis ebligitaj en Sistemo> Servoj Ili ankaŭ povas aliri iun el la konektitaj Gastigantoj aŭ seriaj havenaj aparatoj uzante iun el la servoj kiuj estis ebligitaj por ĉi tiuj konektoj. Nur fidindaj uzantoj havu aliron de administranto
La uzantgrupo provizas membrojn per limigita aliro al la konzola servilo kaj konektitaj gastigantoj kaj seriaj aparatoj. Ĉi tiuj uzantoj nur povas aliri la sekcion Administrado de la menuo de Administra Konzolo kaj ili ne havas komandlinian aliron al la konzola servilo. Ili nur povas aliri tiujn Gastigantojn kaj seriajn aparatojn kiuj estis kontrolitaj por ili, uzante servojn kiuj estis ebligitaj.
Uzantoj en la pptd, dialin, ftp aŭ pmshell-grupoj limigis uzantan ŝelan aliron al la nomumitaj administritaj aparatoj sed ili ne havos ajnan rektan aliron al la konzola servilo. Por aldoni ĉi tion, la uzantoj ankaŭ devas esti membroj de la uzantoj aŭ administraj grupoj
La administranto povas agordi pliajn grupojn kun specifa potenca aparato, seria haveno kaj gastiganta aliro permesoj. Uzantoj en ĉi tiuj aldonaj grupoj ne havas ajnan aliron al la menuo de Administra Konzolo nek havas ajnan komandlinian aliron al la konzola servilo.

Uzanto Manlibro
La administranto povas agordi uzantojn per specifaj potencaj aparatoj, seria haveno kaj gastigaj alirpermesoj, kiuj ne estas membroj de iuj grupoj. Ĉi tiuj uzantoj ne havas aliron al la menuo de Administra Konzolo nek aliron de komandlinio al la konzola servilo. 3.2.1 Agordi novan grupon Por starigi novajn grupojn kaj novajn uzantojn, kaj klasifiki uzantojn kiel membrojn de apartaj grupoj:
1. Elektu Seria kaj Reto > Uzantoj kaj Grupoj por montri ĉiujn grupojn kaj uzantojn 2. Klaku Aldoni Grupon por aldoni novan grupon
3. Aldonu Grupnomon kaj Priskribon por ĉiu nova grupo, kaj nomumu la Alireblajn Gastigantojn, Alireblajn Havenojn kaj Alireblajn RPC-Elsejojn, kiujn uzantoj en ĉi tiu nova grupo povos aliri.
4. Klaku Apliki 5. La administranto povas Redakti aŭ Forigi ajnan aldonitan grupon 3.2.2 Agordi novajn uzantojn Por agordi novajn uzantojn kaj klasifiki uzantojn kiel membrojn de apartaj grupoj: 1. Elektu Seriajn & Reton > Uzantojn & Grupojn por montri. ĉiuj grupoj kaj uzantoj 2. Klaku Aldoni Uzanton
39

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
3. Aldonu Uzantnomon por ĉiu nova uzanto. Vi ankaŭ povas inkluzivi informojn rilatajn al la uzanto (ekz. kontaktodetalojn) en la kampo priskribo. La Uzantnomo povas enhavi de 1 ĝis 127 alfanombrajn signojn kaj la signojn “-” “_” kaj “.”.
4. Specifu al kiuj Grupoj vi deziras, ke la uzanto estu membro. 5. Aldonu konfirmitan Pasvorton por ĉiu nova uzanto. Ĉiuj signoj estas permesitaj. 6. SSH-enirpermesila aŭtentikigo povas esti uzata. Algluu la publikajn ŝlosilojn de rajtigitaj publikaj/privataj
klavparoj por ĉi tiu uzanto en la kampo Rajtigitaj Ŝlosiloj SSH 7. Marku Malebligi Pasvortan Aŭtentigon por nur permesi publikan ŝlosilon aŭtentikigon por ĉi tiu uzanto
kiam vi uzas SSH 8. Kontrolu Ebligi Disal-Back en la Dial-en-Agordoj-menuo por permesi eksteren-real-relkonekton.
esti ekigita per ensaluto en ĉi tiun havenon. Enigu la Telefonan Numeron kun la telefonnumero por revoki kiam uzanto ensalutas 9. Kontrolu Alireblajn Gastigantojn kaj/aŭ Alireblajn Havenojn por nomumi la seriajn havenojn kaj retkonektitajn gastigantojn, kiujn vi deziras, ke la uzanto havu alirprivilegiojn al 10. Se estas agorditaj RPC-oj, kontrolu Alireblaj RPC-Elsejoj por specifi kiujn ellasejojn la uzanto kapablas kontroli (t.e. Power On/Off) 11. Klaku Apliki. La nova uzanto povos aliri la alireblajn Retajn Aparatojn, Havenojn kaj RPC-Elsejojn. Se la uzanto estas grupano, ili ankaŭ povas aliri ajnan alian aparaton/havenon/elirejon alirebla al la grupo
40

Uzanto Manlibro
Ne estas limoj pri la nombro da uzantoj, kiujn vi povas agordi, aŭ la nombro da uzantoj per seria haveno aŭ gastiganto. Multoblaj uzantoj povas kontroli/monitori la unu havenon aŭ gastiganton. Ne estas limoj pri la nombro da grupoj kaj ĉiu uzanto povas esti membro de kelkaj grupoj. Uzanto ne devas esti membro de iuj grupoj, sed se la uzanto estas membro de la defaŭlta uzantgrupo, ili ne povos uzi la Administran Konzolon por administri havenojn. Dum ne ekzistas limoj, la tempo por re-agordi pliiĝas dum la nombro kaj komplekseco pliiĝas. Ni rekomendas, ke la entuta nombro da uzantoj kaj grupoj estu sub 250. La administranto ankaŭ povas redakti la alir-agordojn por iuj ekzistantaj uzantoj:
· Elektu Serian & Reton > Uzantoj & Grupoj kaj alklaku Redakti por modifi la uzantajn alirprivilegiojn · Klaku Forigi por forigi la uzanton · Klaku Malŝalti por provizore bloki alirprivilegiojn
3.3 Aŭtentikigo
Vidu Ĉapitro 8 por aŭtentigaj agordaj detaloj.
3.4 Retaj Gastigantoj
Por monitori kaj malproksime aliri loke retan komputilon aŭ aparaton (referitan kiel Gastiganto) vi devas identigi la Gastiganton:
1. Elektante Seriajn & Retojn > Retaj Gastigantoj prezentas ĉiujn retkonektitajn Gastigantojn kiuj estis ebligitaj por uzo.
2. Klaku Aldoni Gastiganton por ebligi aliron al nova Gastiganto (aŭ elektu Redakti por ĝisdatigi la agordojn por ekzistanta Gastiganto)
41

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
3. Se la Gastiganto estas PDU aŭ UPS-potenca aparato aŭ servilo kun IPMI-potenca kontrolo, specifu RPC (por IPMI kaj PDU) aŭ UPS kaj la Aparato-Tipo. La administranto povas agordi ĉi tiujn aparatojn kaj ebligi kiujn uzantojn havas permeson malproksime cikli ŝalti, ktp. Vidu Ĉapitro 7. Alie lasu la Aparato-Tipo agordita al Neniu.
4. Se la konzola servilo estis agordita kun distribuita Nagios-monitorado ebligita, vi ankaŭ vidos opciojn de Nagios Settings por ebligi nomumitajn servojn sur la Gastiganto por esti monitorita.
5. Klaku Apliki. Ĉi tio kreas la novan Gastiganton kaj ankaŭ kreas novan administritan aparaton kun la sama nomo.
3.5 Fidindaj Retoj
La instalaĵo de Fidindaj Retoj donas al vi eblon nomumi IP-adresojn, ĉe kiuj uzantoj devas troviĝi, por havi aliron al seriaj pordoj de konzolo-servilo:
42

Uzanto Manlibro
1. Elektu Serian & Reton > Fidindajn Retojn 2. Por aldoni novan fidindan reton, elektu Aldoni Regulon. En foresto de Reguloj, ne ekzistas aliro
limigoj pri la IP-adreso ĉe kiu uzantoj povas troviĝi.

3. Elektu la Alireblajn Havenojn, al kiuj la nova regulo estas aplikata
4. Enigu la Retan Adreson de la subreto por esti permesita aliro
5. Specifi la gamon de adresoj permesotaj enmetante Retan Maskon por tiu permesita IP-intervalo ekz.
· Por permesi ĉiujn uzantojn situantajn kun aparta Klaso C retkonekto al la nomumita haveno, aldonu la sekvan Fidinda Reto Nova Regulo:

Reta IP-adreso

204.15.5.0

Subreta Masko

255.255.255.0

· Por permesi al nur unu uzanto situanta ĉe specifa IP-adreso konektiĝi:

Reta IP-adreso

204.15.5.13

Subreta Masko

255.255.255.255

· Permesi al ĉiuj uzantoj funkcianta de ene de specifa gamo de IP-adresoj (diru iun el la tridek adresoj de 204.15.5.129 ĝis 204.15.5.158) esti permesita konekto al la nomumita haveno:

Gastiganto/Subreta Adreso

204.15.5.128

Subreta Masko

255.255.255.224

6. Klaku Apliki

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
3.6 Seria Haveno Kaskadado
Kaskadaj Havenoj ebligas vin kunigi distribuitajn konzolajn servilojn tiel ke granda nombro da seriaj havenoj (ĝis 1000) povas esti agordita kaj alirebla per unu IP-adreso kaj administrita per la unu Administra Konzolo. Unu konzolservilo, la Primara, kontrolas aliajn konzolservilojn kiel Node-unuoj kaj ĉiuj seriaj havenoj sur la Node-unuoj aperas kvazaŭ ili estas parto de la Primara. La grupigo de Opengear ligas ĉiun Nodon al la Primara kun SSH-konekto. Ĉi tio estas farita uzante publikan ŝlosilan aŭtentikigon, do la Primara povas aliri ĉiun Nodon uzante la SSH-ŝlosilparon (prefere ol uzi pasvortojn). Ĉi tio certigas sekurajn aŭtentikigitajn komunikadojn inter Primaraj kaj Nodoj ebligante la Node-konzolajn servilunuojn esti distribuitaj loke sur LAN aŭ malproksime tra la mondo.
3.6.1 Aŭtomate generi kaj alŝuti SSH-ŝlosilojn Por agordi publikan ŝlosilkonfirmon vi unue devas generi RSA aŭ DSA-ŝlosilparon kaj alŝuti ilin en la Primarajn kaj Nodajn konzolservilojn. Ĉi tio povas esti farita aŭtomate de la Primara:
44

Uzanto Manlibro
1. Elektu Sistemon > Administradon ĉe la Administra Konzolo de Primara
2. Kontrolu Generate SSH-ŝlosilojn aŭtomate. 3. Klaku Apliki
Poste vi devas elekti ĉu generi ŝlosilojn per RSA kaj/aŭ DSA (se ne certas, elektu nur RSA). Generado de ĉiu aro de ŝlosiloj postulas du minutojn kaj la novaj ŝlosiloj detruas malnovajn ŝlosilojn de tiu tipo. Dum la nova generacio funkcias, funkcioj dependantaj de SSH-ŝlosiloj (ekz. kaskada) eble ĉesos funkcii ĝis ili estos ĝisdatigitaj per la nova aro de ŝlosiloj. Por generi ŝlosilojn:
1. Marku skatolojn por la ŝlosiloj, kiujn vi volas generi. 2. Klaku Apliki
3. Post kiam la novaj ŝlosiloj estas generitaj, alklaku la ligilon Klaku ĉi tie por reveni. La ŝlosiloj estas alŝutitaj
al la Primaraj kaj ligitaj Nodoj.
3.6.2 Mane generi kaj alŝuti SSH-ŝlosilojn Alterne se vi havas RSA aŭ DSA-ŝlosilparon vi povas alŝuti ilin al la Ĉefaj kaj Nodaj konzolserviloj. Por alŝuti la ŝlosilon publikan kaj privatan ŝlosilparon al la Ĉefkonzola servilo:
1. Elektu Sistemon > Administradon en la Administra Konzolo de la Primara
2. Foliumi al la loko, kiun vi konservis RSA (aŭ DSA) Publika Ŝlosilo kaj alŝutu ĝin al SSH RSA (DSA) Publika Ŝlosilo
3. Foliumi al la konservita RSA (aŭ DSA) Privata Ŝlosilo kaj alŝutu ĝin al SSH RSA (DSA) Privata Ŝlosilo 4. Alklaku Apliki
45

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
Poste, vi devas registri la Publikan Ŝlosilon kiel Rajtigita Ŝlosilo sur la Nodo. En la kazo de unu Ĉefa kun pluraj Nodoj, vi alŝutas unu RSA aŭ DSA publika ŝlosilo por ĉiu Nodo.
1. Elektu Sistemon > Administradon en la Administra Konzolo de la Nodo 2. Foliumi al la konservita RSA (aŭ DSA) Publika Ŝlosilo kaj alŝutu ĝin al la Ŝlosilo Rajtigita SSH de Nodo.
3. Klaku Apliki La sekva paŝo estas Fingerprint ĉiu nova Nodo-Primara konekto. Ĉi tiu paŝo konfirmas, ke vi establas SSH-sesion al kiu vi pensas, ke vi estas. Sur la unua konekto la Nodo ricevas fingrospuron de la Primara uzata en ĉiuj estontaj ligoj: Por establi la fingrospuron unue ensalutu en la Ĉefservilo kiel radikon kaj establi SSH-konekton al la fora gastiganto de la Nodo:
# ssh remhost Post kiam la SSH-konekto estas establita, oni petas vin akcepti la ŝlosilon. Respondu jes kaj la fingrospuro estas aldonita al la listo de konataj gastigantoj. Se oni petas vin provizi pasvorton, estis problemo dum alŝuto de ŝlosiloj. 3.6.3 Agordu la Nodojn kaj iliajn seriajn havenojn Komencu agordi la Nodojn kaj agordi la Nodojn seriajn pordojn de la Ĉefkonzola servilo:
1. Elektu Seriajn & Retojn > Kaskaditajn Pordojn sur la Administra Konzolo de la Primara: 2. Por aldoni aglomeran subtenon, elektu Aldoni Nodon.
Vi ne povas aldoni Nodojn ĝis vi generis SSH-ŝlosilojn. Por difini kaj agordi Nodon:
46

Uzanto Manlibro
1. Enigu la foran IP-Adreson aŭ DNS-Nomon por la Nodo-konzolo-servilo 2. Enigu mallongan Priskribon kaj mallongan Etikedon por la Nodo 3. Enigu la plenan nombron da seriaj havenoj sur la Noda unuo en Nombro de Havenoj 4. Alklaku Apliki. Ĉi tio establas la SSH-tunelon inter la Primara kaj la nova Nodo
La menuo Seria & Reto> Kaskadaj Havenoj montras ĉiujn nodojn kaj la havennumerojn kiuj estis asignitaj sur la Ĉefa. Se la Primara konzolservilo havas 16 havenojn proprajn, havenoj 1-16 estas antaŭasignitaj al la Primara, do la unua nodo aldonita ricevas havenon numeron 17 pluen. Post kiam vi aldonis ĉiujn Node-konzolo-servilojn, la Node-seriaj havenoj kaj la konektitaj aparatoj estas agordeblaj kaj alireblaj el la menuo de Administra Konzolo de la Primara kaj alireblaj per la IP-adreso de la Primara.
1. Elektu la taŭgan Serian & Reton > Seria Haveno kaj Redakti por agordi la seriajn havenojn sur la
Nodo.
2. Elektu la taŭgan Serian & Reton > Uzantoj & Grupoj por aldoni novajn uzantojn kun alirprivilegioj
al la Nodaj seriaj havenoj (aŭ por etendi ekzistantajn uzantojn alirprivilegiojn).
3. Elektu la taŭgan Serian & Reton > Fidindajn Retojn por specifi retajn adresojn
povas aliri nomumitajn nodajn seriajn havenojn. 4. Elektu la taŭgan Alerts & Logging > Alerts por agordi Noda haveno Konekto, Ŝtato
Atentigoj pri Ŝanĝiĝo de Ŝanĝo-Match. La agordaj ŝanĝoj faritaj sur la Primara estas disvastigitaj al ĉiuj nodoj kiam vi alklakas Apliki.
3.6.4 Administrado de Nodoj La Primara regas la seriajn havenojn de Nodo. Por ekzample, se ŝanĝas uzantan alirprivilegiojn aŭ redaktas iun serian pordan agordon sur la Ĉefa, la ĝisdatigita agordo files estas senditaj al ĉiu Nodo paralele. Ĉiu Nodo faras ŝanĝojn al siaj lokaj agordoj (kaj nur faras ŝanĝojn kiuj rilatas al ĝiaj apartaj seriaj havenoj). Vi povas uzi la lokan Noda Administra Konzolo por ŝanĝi la agordojn sur iu ajn noda seria haveno (kiel ekzemple ŝanĝi la baudrapidecojn). Ĉi tiuj ŝanĝoj estas anstataŭitaj la venontan fojon kiam la Primara sendas agordon file ĝisdatigo. Dum la Primara regas ĉiujn funkciojn rilatajn al nodaj seriaj havenoj, ĝi ne estas ĉefa super la nodaj retgastigaj konektoj aŭ super la sistemo de Node Console Server. Nodaj funkcioj kiel IP, SMTP & SNMP-Agordoj, Dato & Tempo, DHCP-servilo devas esti administritaj per aliro al ĉiu nodo rekte kaj ĉi tiuj funkcioj ne estas tro skribitaj kiam agordaj ŝanĝoj estas disvastigitaj de la Primara. La Reta Gastiganto kaj IPMI-agordoj de la Nodo devas esti agorditaj ĉe ĉiu nodo.
47

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
La Administra Konzolo de la Primara provizas solidigitan view de la agordoj por siaj propraj kaj la seriaj havenoj de la tuta Nodo. La Primara ne provizas plene firmigitan view. Por ekzample, se vi volas ekscii, kiu estas ensalutinta al kaskaditaj seriaj pordoj de la primara, vi vidos, ke Statuso> Aktivaj Uzantoj nur montras tiujn uzantojn aktivajn sur la havenoj de la Primara, do vi eble bezonos skribi kutimajn skriptojn por provizi ĉi tion. view.
3.7 Seria Havena Redirekto (PortShare)
La programaro Port Share de Opengear liveras la virtualan serian haventeknologion, kiun viaj Vindozaj kaj Linukso-aplikaĵoj bezonas por malfermi forajn seriajn havenojn kaj legi la datumojn de seriaj aparatoj, kiuj estas konektitaj al via konzola servilo.
PortShare estas liverita senpage kun ĉiu konzola servilo kaj vi rajtas instali PortShare sur unu aŭ pluraj komputiloj por aliri ajnan serian aparaton konektitan al konzola servilo. PortShare por Vindozo Portshare_setup.exe elŝuteblas el la ftp-ejo. Vidu la Uzantan Manlibron kaj Rapidan Komencon de PortShare por detaloj pri instalado kaj funkciado. PortShare por Linukso La PortShare-ŝoforo por Linukso mapas la konzolan servilon serian havenon al gastiganta prova haveno. Opengear publikigis la portshare-seria-klienton kiel malfermfontan ilon por Linukso, AIX, HPUX, SCO, Solaris kaj UnixWare. Ĉi tiu ilo povas esti elŝutita de la ftp-ejo. Ĉi tiu PortShare-seria haveno alidirektilo permesas vin uzi serian aparaton konektitan al la fora konzola servilo kvazaŭ ĝi estus konektita al via loka seria haveno. La portshare-seria-kliento kreas pseŭdan tty-havenon, ligas la serian aplikaĵon al la pseŭdo-tty-haveno, ricevas datumojn de la pseŭdo-tty-haveno, transdonas ĝin al la konzola servilo per reto kaj ricevas datumojn de la konzola servilo per reto kaj transdonas ĝin. al la pseŭdo-tty haveno. La .tar file povas esti elŝutita de la ftp-ejo. Vidu la Uzantan Manlibron kaj Rapidan Komencon de PortShare por detaloj pri instalado kaj funkciado.
48

Uzanto Manlibro
3.8 Administritaj Aparatoj
La paĝo Administritaj Aparatoj prezentas firmigitan view de ĉiuj konektoj al aparato, kiun oni povas aliri kaj kontroli per la konzola servilo. Al view la konektoj al la aparatoj, elektu Seria kaj Reto > Administritaj Aparatoj
Ĉi tiu ekrano montras ĉiujn administritajn aparatojn kun iliaj Priskribo/Notoj kaj listoj de ĉiuj agorditaj Konektoj:
· Seria Haveno # (se seria konektita) aŭ · USB (se USB konektita) · IP-adreso (se reto konektita) · Potenca PDU/elirejo detaloj (se aplikebla) kaj ajnaj UPS-konektoj Aparatoj kiel serviloj povas havi pli ol unu elektran konekton (ekz. duobla potenco liverita) kaj pli ol unu retkonekto (ekz. por BMC/servoprocesoro). Ĉiuj uzantoj povas view ĉi tiuj administritaj aparato-konektoj elektante Administri > Aparatoj. Administrantoj ankaŭ povas redakti kaj aldoni/forigi ĉi tiujn administritajn aparatojn kaj iliajn ligojn. Por redakti ekzistantan aparaton kaj aldoni novan konekton: 1. Elektu Redakti en la Seria & Reto > Administritaj Aparatoj kaj alklaku Aldoni Konekton 2. Elektu la konekton por la nova konekto (Seria, Reta Gastiganto, UPS aŭ RPC) kaj elektu
la konekto el la prezentita listo de agordita neasignitaj gastigantoj/havenoj/elirejoj
49

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
Por aldoni novan retan konektitan administritan aparaton: 1. La Administranto aldonas novan retkonektan administritan aparaton uzante Aldoni Gastiganton en la menuo Seria & Reto > Reta Gastiganto. Ĉi tio aŭtomate kreas respondan novan administritan aparaton. 2. Aldonante novan retan konektitan RPC aŭ UPS-potencan aparaton, vi starigas Retan Gastiganton, nomu ĝin kiel RPC aŭ UPS. Iru al RPC-Konektoj aŭ UPS-Konektoj por agordi la koncernan konekton. Ekvivalenta nova administrita aparato kun la sama Nomo/Priskribo kiel la RPC/UPS-Gastiganto ne estas kreita ĝis ĉi tiu koneksa paŝo estas finita.
NOTO La nomoj de ellasejoj sur la lastatempe kreita PDU estas Elirejo 1 kaj Elirejo 2. Kiam vi konektas apartan administritan aparaton, kiu ĉerpas potencon de la ellasejo, la ellasejo prenas la nomon de la funkciigita administrita aparato.
Por aldoni novan seri-konektitan administritan aparaton: 1. Agordu la serian havenon per la menuo Seria & Reto > Seria Haveno (Vidu Sekcion 3.1 Agordu Serian Porton) 2. Elektu Seriajn kaj Reton > Administritajn Aparatojn kaj alklaku Aldoni Aparato 3. Enigu Aparaton. Nomo kaj Priskribo por la administrita aparato

4. Klaku Aldoni Konekton kaj elektu Seria kaj la Haveno kiu konektas al la administrita aparato

5. Por aldoni elektran konekton de UPS/RPC aŭ retan konekton aŭ alian serian konekton alklaku Aldoni Konekton

6. Klaku Apliki

NOTO

Por agordi serian konektitan RPC-UPS aŭ EMD-aparaton, agordu la serian havenon, nomu ĝin kiel Aparato, kaj enigu Nomon kaj Priskribon por tiu aparato en la Seria & Reto > RPC-Konektoj (aŭ UPS-Konektoj aŭ Media). Ĉi tio kreas respondan novan administritan aparaton kun la sama Nomo/Priskribo kiel la RPC/UPS-Gastiganto. La nomoj de ellasejo sur ĉi tiu lastatempe kreita PDU estas Elirejo 1 kaj Elirejo 2. Kiam vi konektas administritan aparaton, kiu ĉerpas potencon de la ellasejo, la ellasejo prenas la nomon de la funkciigita administrita Aparato.

3.9 IPsec VPN
La ACM7000, CM7100, kaj IM7200 inkluzivas Openswan, Linuksan efektivigon de la IPsec (IP Security) protokoloj, kiuj povas esti uzataj por agordi Virtual Private Network (VPN). La VPN permesas al pluraj retejoj aŭ foraj administrantoj aliri la konzolan servilon kaj administritajn aparatojn sekure tra la Interreto.

Uzanto Manlibro
La administranto povas establi ĉifritajn aŭtentikigitajn VPN-ligojn inter konzolserviloj distribuitaj ĉe foraj ejoj kaj VPN-enirejo (kiel ekzemple Cisco-enkursigilo funkcianta IOS IPsec) en sia centra oficejo-reto:
· Uzantoj ĉe la centra oficejo povas sekure aliri la forajn konzolajn servilojn kaj konektitajn seriajn konzolajn aparatojn kaj maŝinojn sur la Administra LAN-subreto ĉe la fora loko kvazaŭ ili estus lokaj.
· Ĉiuj ĉi tiuj foraj konzola serviloj povas esti monitoritaj per CMS6000 en la centra reto · Kun seria ponto, seriaj datumoj de regilo ĉe la centra oficejo povas esti sekure
konektita al la serio kontrolitaj aparatoj ĉe la foraj lokoj La administranto de la vojmilitisto povas uzi VPN-IPsec-programaran klienton por malproksime aliri la konzolan servilon kaj ĉiun maŝinon en la subreto de Administrado LAN ĉe la fora loko.
Agordo de IPsec estas sufiĉe kompleksa do Opengear disponigas GUI-interfacon por baza agordo kiel priskribite sube. Por ebligi la VPN-enirejon:
1. Elektu IPsec VPN en la menuo Seriaj kaj Retoj
2. Klaku Aldoni kaj kompletigu la ekranon Aldoni IPsec-Tunelon 3. Enigu ajnan priskriban nomon, kiun vi volas identigi la IPsec-Tunelon, kiun vi aldonas, kiel ekzemple
WestStOutlet-VPN
51

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
4. Elektu la Aŭtentigan Metodon por esti uzata, aŭ RSA-ciferecajn subskribojn aŭ Kundividitan sekreton (PSK) o Se vi elektas RSA, vi petas alklaki ĉi tie por generi ŝlosilojn. Ĉi tio generas RSA publikan ŝlosilon por la konzola servilo (la Maldekstra Publika Ŝlosilo). Trovu la ŝlosilon por esti uzata sur la fora enirejo, tranĉu kaj algluu ĝin en la Ĝustan Publikan Ŝlosilon
o Se vi elektas Kundividitan sekreton, enigu Antaŭdividitan sekreton (PSK). La PSK devas egali la PSK formitan ĉe la alia fino de la tunelo
5. En Authentication Protocol elektu la aŭtentikan protokolon por esti uzata. Aŭ aŭtentikiĝu kiel parto de ĉifrado de ESP (Encapsulating Security Payload) aŭ aparte uzante la protokolon AH (Authentication Header).
52

Uzanto Manlibro
6. Enigu Maldekstran ID kaj Dekstran ID. Ĉi tiu estas la identigilo, kiun la Loka gastiganto/enirejo kaj fora gastiganto/pordejo uzas por IPsec-intertraktado kaj aŭtentikigo. Ĉiu identigilo devas inkluzivi @ kaj povas inkluzivi plene kvalifikitan domajnan nomon (ekz. maldekstra@ekzample.com)
7. Enigu la publikan IP aŭ DNS-adreson de ĉi tiu Opengear VPN-enirejo kiel la Maldekstra Adreso. Vi povas lasi ĉi tion malplena por uzi la interfacon de la defaŭlta itinero
8. En Ĝusta Adreso enigu la publikan IP aŭ DNS-adreson de la fora fino de la tunelo (nur se la fora fino havas statikan aŭ DynDNS-adreson). Alie lasu ĉi tiun malplenan
9. Se la Opengear VPN-enirejo funkcias kiel VPN-enirejo al loka subreto (ekz. la konzola servilo havas Administran LAN agordita) enigu la privatajn subretajn detalojn en Maldekstra Subreto. Uzu la CIDR-notacion (kie la IP-adresnumero estas sekvata de oblikvo kaj la nombro da `unu' bitoj en la binara notacio de la retmasko). Por ekzample, 192.168.0.0/24 indikas IP-adreson kie la unuaj 24 bitoj estas uzataj kiel la retadreso. Ĉi tio estas la sama kiel 255.255.255.0. Se la VPN-aliro estas nur al la konzola servilo kaj al ĝiaj ligitaj seriaj konzolaj aparatoj, lasu Maldekstran Subreton malplena
10. Se estas VPN-enirejo ĉe la fora fino, enigu la privatajn subretajn detalojn en Dekstra Subreto. Uzu la CIDR-notacion kaj lasu malplena se estas nur fora gastiganto
11. Elektu Initiate Tunnel se la tunela konekto devas esti komencita de la Maldekstra konzola servilo. Ĉi tio nur povas esti komencita de la VPN-enirejo (Maldekstre) se la fora fino estas agordita kun statika (aŭ DynDNS) IP-adreso
12. Klaku Apliki por konservi ŝanĝojn
NOTO Detaloj de agordo starigitaj sur la konzola servilo (referita kiel la Maldekstra aŭ Loka gastiganto) devas kongrui kun la agordo enigita dum agordado de la Malproksima (Dekstra) gastiganto/pordejo aŭ programara kliento. Vidu http://www.opengear.com/faq.html por detaloj pri agordo de ĉi tiuj foraj finoj
3.10 OpenVPN
La ACM7000, CM7100, kaj IM7200 kun firmware V3.2 kaj poste inkluzivas OpenVPN. OpenVPN uzas la OpenSSL-bibliotekon por ĉifrado, aŭtentikigo kaj atestado, kio signifas, ke ĝi uzas SSL/TSL (Secure Socket Layer/Transport Layer Security) por ŝlosilŝanĝo kaj povas ĉifri ambaŭ datumojn kaj kontrolkanalojn. Uzi OpenVPN ebligas la konstruadon de transplatformaj, punkt-al-punktaj VPN-oj uzante aŭ X.509 PKI (Publika Ŝlosila Infrastrukturo) aŭ laŭmendan agordon. files. OpenVPN permesas sekuran tuneladon de datumoj per ununura TCP/UDP-haveno tra nesekurigita reto, tiel disponigante sekuran aliron al pluraj ejoj kaj sekuran malproksiman administradon al konzola servilo per Interreto. OpenVPN ankaŭ permesas la uzon de Dinamika IP-adresoj de kaj la servilo kaj kliento tiel provizante klientan moveblecon. Por ekzampvi, OpenVPN-tunelo povas esti establita inter vaganta fenestrokliento kaj Opengear-konzola servilo ene de datencentro. Agordo de OpenVPN povas esti kompleksa do Opengear disponigas GUI-interfacon por baza agordo kiel priskribite sube. Pli detalaj informoj haveblas ĉe http://www.openvpn.net
3.10.1 Ebligu OpenVPN 1. Elektu OpenVPN en la menuo Seriaj kaj Retoj.
53

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
2. Alklaku Aldoni kaj kompletigu la ekranon Aldoni OpenVPN-Tunelon 3. Enigu ajnan priskriban nomon, kiun vi volas identigi la OpenVPN-Tunelon, kiun vi aldonas, ekz.ample
NorthStOutlet-VPN
4. Elektu la aŭtentikigmetodon por esti uzata. Por aŭtentikigi per atestiloj elektu PKI (X.509-Atestiloj) aŭ elektu Propra Agordo por alŝuti propran agordon files. Propraj agordoj devas esti konservitaj en /etc/config.
NOTO Se vi elektas PKI, starigu: Apartan atestilon (ankaŭ konatan kiel publika ŝlosilo). Ĉi tiu Atestilo File estas *.crt file tajpu Private Key por la servilo kaj ĉiu kliento. Ĉi tiu Privata Ŝlosilo File estas *.ŝlosilo file tajpu
Primara Atestila Aŭtoritato (CA) atestilo kaj ŝlosilo, kiu estas uzata por subskribi ĉiun el la servilo
kaj klientatestiloj. Ĉi tiu Radika CA Atestilo estas *.crt file tajpu Por servilo, vi eble ankaŭ bezonas dh1024.pem (parametroj de Diffie Hellman). Vidu http://openvpn.net/easyrsa.html por gvidilo pri baza RSA-ŝlosiladministrado. Por alternativaj aŭtentikigmetodoj vidu http://openvpn.net/index.php/documentation/howto.html#auth.
5. Elektu la aparaton pelilon por esti uzata, ĉu Tun-IP aŭ Tap-Ethernet. La ŝoforoj TUN (retotunelo) kaj TAP (reto-frapeto) estas virtualaj retaj ŝoforoj kiuj subtenas IP-tuneladon kaj Eterreton-tuneladon, respektive. TUN kaj TAP estas parto de la Linukso-kerno.
6. Elektu aŭ UDP aŭ TCP kiel la Protokolo. UDP estas la defaŭlta kaj preferata protokolo por OpenVPN. 7. Kontrolu aŭ malmarku la butonon Kunpremo por ebligi aŭ malŝalti kunpremadon. 8. En Tunela Reĝimo, nomu ĉu ĉi tio estas la Kliento aŭ Servilo fino de la tunelo. Kiam kuras kiel
servilo, la konzola servilo subtenas plurajn klientojn konektantajn al la VPN-servilo per la sama haveno.
54

Uzanto Manlibro
3.10.2 Agordu kiel Servilo aŭ Kliento
1. Kompletigu la Klientajn Detalojn aŭ Servilajn Detalojn depende de la Tunela Reĝimo elektita. o Se Kliento estis elektita, la Ĉefa Servilo-Adreso estas la adreso de la OpenVPN-Servilo. o Se Servilo estis elektita, enigu la IP Pool Network-adreson kaj la IP Pool Network maskon por la IP Pool. La reto difinita de la IP Pool Network-adreso/masko estas uzata por provizi la adresojn por konekti klientojn.
2. Klaku Apliki por konservi ŝanĝojn
55

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
3. Por enigi aŭtentigajn atestilojn kaj files, elektu la Administri OpenVPN Files langeto. Alŝutu aŭ foliumu al koncernaj aŭtentigaj atestiloj kaj files.
4. Apliki por konservi ŝanĝojn. Savita files estas montritaj ruĝe ĉe la dekstra flanko de la butono Alŝuto.
5. Por ebligi OpenVPN, Redaktu la OpenVPN-tunelon
56

Uzanto Manlibro
6. Kontrolu la butonon Ebligita. 7. Apliki por konservi ŝanĝojn NOTO Certigu, ke la tempo de la sistemo de la servilo de la konzolo estas ĝusta kiam vi laboras kun OpenVPN por eviti
problemoj pri aŭtentigo.
8. Elektu Statistiko en la Statuso-menuo por kontroli, ke la tunelo funkcias.
57

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
3.10.3 Agordo de Kliento kaj Servilo de Windows OpenVPN Ĉi tiu sekcio skizas la instaladon kaj agordon de Vindoza OpenVPN-kliento aŭ Windows OpenVPN-servilo kaj agordi VPN-konekton al konzola servilo. Konzolserviloj generas Vindozan klientkonfiguradon aŭtomate de la GUI por Antaŭdividita Sekreto (Statika Ŝlosilo File) agordojn.
Alternative OpenVPN GUI por Vindozo-programaro (kiu inkluzivas la norman OpenVPN-pakaĵon plus Vindozan GUI) povas esti elŝutita de http://openvpn.net. Unufoje instalita sur la Vindoza maŝino, OpenVPN-ikono estas aldonita al la Sciiga Areo situanta en la dekstra flanko de la taskobreto. Dekstre alklaku ĉi tiun ikonon por komenci kaj haltigi VPN-konektojn, redakti agordojn kaj view ŝtipoj.
Kiam la OpenVPN-programaro komenciĝas, la C:Programo FilesOpenVPNconfig dosierujo estas skanita por .opvn files. Ĉi tiu dosierujo estas rekontrolita por nova agordo files kiam ajn la OpenVPN GUI-ikono estas dekstre alklakita. Post kiam OpenVPN estas instalita, kreu agordon file:
58

Uzanto Manlibro

Uzante tekstredaktilon, kreu xxxx.ovpn file kaj konservu en C:Programo FilesOpenVPNconfig. Por ekzample, C: Programo FilesOpenVPNconfigclient.ovpn
Eksampdosiero de OpenVPN Vindoza klienta agordo file estas montrita sube:
# priskribo: IM4216_client kliento proto udp verbo 3 dev tun fora 192.168.250.152 haveno 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt ŝlosilo c:\openvpnkeys\client.key persistd persist-bin tun comp-lzo
Eksampdosiero de OpenVPN Windows Server-agordo file estas montrita sube:
servilo 10.100.10.0 255.255.255.0 haveno 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeysrtvpserver\nkeyr. ŝlosilo dh c:\openvpnkeys\dh.pem comp-lzo verbo 1 syslog IM4216_OpenVPN_Server
La Vindoza kliento/servilo agordo file opcioj estas:

Opcioj #priskribo: Kliento-servilo proto udp proto tcp mssfix verbo
dev tun dev tap

Priskribo Ĉi tio estas komento priskribanta la agordon. Komentlinioj komenciĝas per "#" kaj estas ignorataj de OpenVPN. Indiku ĉu tio estos kliento aŭ servila agordo file. En la agordo de la servilo file, difinu la IP-adresaron kaj retan maskon. Por ekzample, servilo 10.100.10.0 255.255.255.0 Agordu la protokolon al UDP aŭ TCP. La kliento kaj servilo devas uzi la samajn agordojn. Mssfix fiksas la maksimuman grandecon de la pako. Ĉi tio utilas nur por UDP se problemoj okazas.
Agordu protokolon file nivelo de verboseco. Protokolo-nivelo povas esti agordita de 0 (minimuma) ĝis 15 (maksimumo). Por ekzample, 0 = silenta krom fatalaj eraroj 3 = meza eligo, bona por ĝenerala uzado 5 = helpas pri senararaj konektoproblemoj 9 = multvorta, bonega por solvi problemojn Elektu `dev tun' por krei enirigitan IP-tunelon aŭ `dev tap' por krei Ethernet-tunelo. La kliento kaj servilo devas uzi la samajn agordojn.

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo

fora Haveno Keepalive
http-proxy ĉfile nomo>
certfile nomo>
ŝlosilofile nomo>
dhfile nomo> Nobind persist-key persist-tun ĉifro BF-CBC Blowfish (defaŭlta) ĉifro AES-128-CBC AES ĉifro DES-EDE3-CBC Triobla-DES comp-lzo syslog

La gastiga nomo/IP de OpenVPN-servilo kiam funkcias kiel kliento. Enigu aŭ la DNS-gastigan nomon aŭ la statikan IP-adreson de la servilo. La UDP/TCP-haveno de la servilo. Keepalive uzas ping por konservi la OpenVPN-sesion viva. 'Keepalive 10 120′ pings ĉiujn 10 sekundojn kaj supozas ke la fora samulo estas malfunkcia se neniu ping estis ricevita dum 120 dua tempoperiodo. Se prokurilo estas postulata por aliri la servilon, enigu la prokurilon DNS-nomon aŭ IP-on kaj havenon. Enigu la CA-atestilon file nomo kaj loko. La sama CA-atestilo file povas esti uzata de la servilo kaj ĉiuj klientoj. Noto: Certigu, ke ĉiu `' en la dosierujo estas anstataŭigita per ` \'. Por ekzample, c:openvpnkeysca.crt fariĝos c:\openvpnkeys\ca.crt Enigu la atestilon de la kliento aŭ servilo file nomo kaj loko. Ĉiu kliento havu sian propran atestilon kaj ŝlosilon files. Noto: Certigu, ke ĉiu `' en la dosierujo estas anstataŭigita per ` \'. Enigu la file nomo kaj loko de la ŝlosilo de la kliento aŭ servilo. Ĉiu kliento havu sian propran atestilon kaj ŝlosilon files. Noto: Certigu, ke ĉiu `' en la dosierujo estas anstataŭigita per ` \'. Ĉi tio estas uzata nur de la servilo. Enigu la vojon al la ŝlosilo kun la parametroj Diffie-Hellman. `Nobind' estas uzata kiam klientoj ne bezonas ligi al loka adreso aŭ specifa loka havenombro. Ĉi tio estas la kazo en la plej multaj klientaj agordoj. Ĉi tiu opcio malhelpas la reŝargiĝon de ŝlosiloj tra rekomencoj. Ĉi tiu opcio malhelpas la fermon kaj remalfermon de TUN/TAP-aparatoj tra rekomencoj. Elektu kriptografan ĉifron. La kliento kaj servilo devas uzi la samajn agordojn.
Ebligu kunpremadon sur la ligo OpenVPN. Ĉi tio devas esti ebligita ĉe la kliento kaj la servilo. Defaŭlte, protokoloj troviĝas en syslog aŭ, se funkcias kiel servo sur Fenestro, en Programo FilesOpenVPNlog dosierujo.

Por komenci la OpenVPN-tunelon post la kreado de la agordo de kliento/servilo files: 1. Dekstre alklaku la OpenVPN-ikonon en la Sciiga Areo 2. Elektu la nove kreitan klienton aŭ servilan agordon. 3. Klaku Konekti

4. La ŝtipo file montriĝas dum la konekto estas establita
60

Uzanto Manlibro
5. Unufoje establita, la OpenVPN-ikono montras mesaĝon indikante sukcesan konekton kaj asignitan IP. Ĉi tiuj informoj, same kiel la tempo kiam la konekto estis establita, estas disponeblaj per movo super la OpenVPN-ikono.
3.11 PPTP VPN
Konzolserviloj inkluzivas PPTP (Point-to-Point Tunneling Protocol) servilon. PPTP estas uzata por komunikadoj per fizika aŭ virtuala seria ligo. La PPP-finpunktoj difinas virtualan IP-adreson al si mem. Itineroj al retoj povas esti difinitaj kun ĉi tiuj IP-adresoj kiel la enirejo, kio rezultigas trafikon senditan trans la tunelon. PPTP establas tunelon inter la fizikaj PPP-finpunktoj kaj sekure transportas datenojn trans la tunelon.
La forto de PPTP estas ĝia facileco de agordo kaj integriĝo en ekzistantan Mikrosoftan infrastrukturon. Ĝi estas ĝenerale uzata por konekti ununurajn forajn Vindozajn klientojn. Se vi kondukas vian porteblan komputilon dum komerca vojaĝo, vi povas marki lokan numeron por konektiĝi al via provizanto de servoj al Interreta aliro (ISP) kaj krei duan konekton (tunelon) en vian oficejan reton tra la Interreto kaj havi la saman aliron al via. kompania reto kvazaŭ vi estus konektita rekte de via oficejo. Televojaĝantoj ankaŭ povas agordi VPN-tunelon per sia kablomodemo aŭ DSL-ligoj al sia loka ISP.
61

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
Por agordi PPTP-konekton de fora Vindoza kliento al via Opengear-aparato kaj loka reto:
1. Ebligu kaj agordu la PPTP VPN-servilon en via Opengear-aparato 2. Agordu VPN-uzantkontojn sur la Opengear-aparato kaj ebligu la taŭgan
aŭtentigo 3. Agordu la VPN-klientojn ĉe la foraj lokoj. La kliento ne postulas specialan programaron kiel
la PPTP-Servilo subtenas la norman PPTP-klientan programaron inkluzivitan kun Windows NT kaj poste 4. Konekti al la fora VPN 3.11.1 Ebligi la PPTP-VPN-servilon 1. Elektu PPTP VPN en la menuo Seriaj kaj Retoj.
2. Elektu la Ebligi markobutonon por ebligi la PPTP-Servilon 3. Elektu la Minimuman Aŭtentigon Bezonata. Aliro estas malpermesata al foraj uzantoj, kiuj provas
konekti per aŭtentikigskemo pli malforta ol la elektita skemo. La skemoj estas priskribitaj malsupre, de la plej forta ĝis la plej malforta. · Ĉifrita Aŭtentigo (MS-CHAP v2): La plej forta tipo de aŭtentikigo por uzi; ĉi tio estas
la rekomendita opcio · Malforte Ĉifrita Aŭtentigo (CHAP): Ĉi tiu estas la plej malforta tipo de ĉifrita pasvorto
aŭtentigo por uzi. Ne rekomendas, ke klientoj konektiĝu uzante ĉi tion, ĉar ĝi provizas tre malmulte da pasvorta protekto. Rimarku ankaŭ, ke klientoj konektantaj per CHAP ne kapablas ĉifri trafikon
62

Uzanto Manlibro
· Neĉifrita Aŭtentigo (PAP): Ĉi tio estas klarteksta pasvorta aŭtentigo. Kiam oni uzas ĉi tiun tipon de aŭtentigo, la kliento pasvorto estas transdonita neĉifrita.
· Neniu 4. Elektu la Bezonatan Ĉifradan Nivelon. Aliro estas malpermesata al foraj uzantoj provantaj konektiĝi
kiuj ne uzas ĉi tiun ĉifradan nivelon. 5. En Loka Adreso enigu IP-adreson por asigni al la fino de la servilo de la VPN-konekto 6. En Foraj Adresoj enigu la aron de IP-adresoj por asigni al la VPN de la envenanta kliento
konektoj (ekz. 192.168.1.10-20). Ĉi tio devas esti senpaga IP-adreso aŭ gamo da adresoj de la reto, kiun foraj uzantoj estas asignitaj dum konektite al la Opengear-aparato 7. Enigu la deziratan valoron de la Maksimuma Transdona Unuo (MTU) por la PPTP-interfacoj en la MTU-kampon (defaŭlte al 1400) 8. En la kampo DNS-Servilo, enigu la IP-adreson de la DNS-servilo, kiu asignas IP-adresojn al konektitaj PPTP-klientoj 9. En la kampo WINS-Servilo, enigu la IP-adreson de la WINS-servilo, kiu asignas IP-adresojn al konektanta PPTP-kliento. 10. Ebligu Parozan Ensalutadon por helpi en elpurigado de problemoj pri konekto 11. Klaku Apliki Agordojn 3.11.2 Aldoni PPTP-uzanto 1. Elektu Uzantoj & Grupoj en la menuo Seriaj & Retoj kaj kompletigu la kampojn kiel kovrite en sekcio 3.2. 2. Certigu, ke la pptpd-grupo estas kontrolita, por permesi aliron al la PPTP VPN-servilo. Notu - uzantoj en ĉi tiu grupo havas siajn pasvortojn konservitajn en klara teksto. 3. Konservu la uzantnomon kaj pasvorton por kiam vi bezonas konektiĝi al la VPN-konekto 4. Klaku Apliki
63

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
3.11.3 Agordu malproksiman PPTP-klienton Certigu, ke la fora VPN-kliento PC havas interretan konekteblecon. Por krei VPN-konekton tra la Interreto, vi devas agordi du interkonektajn konektojn. Unu konekto estas por la ISP, kaj la alia konekto estas por la VPN-tunelo al la Opengear-aparato. NOTO Ĉi tiu proceduro starigas PPTP-klienton en la operaciumo Windows Professional. La paŝoj
povas iomete varii depende de via retaliro aŭ se vi uzas alternan version de Vindozo. Pli detalaj instrukcioj estas haveblaj de Microsoft web retejo. 1. Ensalutu al via Vindoza kliento kun administranto-privilegioj 2. El la Centro de Reto kaj Kundivido sur la Kontrolpanelo elektu Retaj Konektoj kaj kreu novan konekton
64

Uzanto Manlibro
3. Elektu Uzu Mian Interretan Konekton (VPN) kaj enigu la IP-Adreson de la Opengear-aparato Por konekti forajn VPN-klientojn al la loka reto, vi devas scii la uzantnomon kaj pasvorton por la PPTP-konto, kiun vi aldonis, kaj ankaŭ la Interretan IP. adreso de la Opengear-aparato. Se via ISP ne asignis al vi statikan IP-adreson, konsideru uzi dinamikan DNS-servon. Alie vi devas modifi la PPTP-klientan agordon ĉiufoje kiam via Interreta IP-adreso ŝanĝiĝas.
65

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo

3.12 Voku Hejmon
Ĉiuj konzolserviloj inkluzivas la funkcion Call Home, kiu iniciatas la aranĝon de sekura SSH-tunelo de la konzolservilo ĝis centralizita Opengear Lighthouse. La konzola servilo registras kiel kandidato sur la Lumturo. Post kiam akceptite tie ĝi iĝas Administrita Konzolo-Servilo.
Lighthouse monitoras la Administritan Konzolan Servilon kaj administrantoj povas aliri la malproksiman Administritan Konzolan Servilon per la Lumturo. Ĉi tiu aliro disponeblas eĉ kiam la fora konzola servilo estas malantaŭ triaparta fajroŝirmilo aŭ havas privatajn ne-enrutigeblajn IP-adresojn.

NOTO

Lighthouse konservas publikajn ŝlosilojn aŭtentikigitajn SSH-konektojn al ĉiu el siaj Administritaj Konzolaj Serviloj. Ĉi tiuj ligoj estas uzataj por monitori, direkti kaj aliri la Administritajn Konzolo-Servilojn kaj la administritajn aparatojn konektitajn al la Administrita Konzolo-Servilo.

Por administri Lokajn Konzolservilojn, aŭ konzolservilojn, kiuj estas atingeblaj de la Lumturo, la SSH-konektoj estas iniciatitaj de Lighthouse.

Por administri Remote Console Servers, aŭ konzolservilojn kiuj estas fajroŝirmitaj, ne enrugeblaj, aŭ alie neatingeblaj de la Lumturo, la SSH-ligoj estas iniciatitaj fare de la Administrita ConsoleServer per komenca Voka Hejma konekto.

Ĉi tio certigas sekurajn, aŭtentikigitajn komunikadojn kaj ebligas unuojn de Administritaj Konzolaj Serviloj esti distribuitaj loke sur LAN, aŭ malproksime tra la mondo.

3.12.1 Agordu kandidaton de Voka Hejma Por agordi la konzolservilon kiel kandidaton pri administrado de Voko Hejma sur la Lumturo:
1. Elektu Voki Hejmon en la Seria & Reto menuo

2. Se vi ne jam generis aŭ alŝutis SSH-ŝlosilparon por ĉi tiu konzola servilo, faru tion antaŭ ol daŭrigi
3. Klaku Aldoni

4. Enigu la IP-adreson aŭ DNS-nomon (ekz. la dinamika DNS-adreso) de la Lumturo.
5. Enigu la Pasvorton, kiun vi agordis en la CMS kiel la Voka Hejma Pasvorto.
66

Uzanto Manlibro
6. Klaku Apliki Ĉi tiuj paŝoj iniciatas la Voku Hejman konekton de la konzola servilo al la Lumturo. Ĉi tio kreas SSHlistening-havenon sur la Lumturo kaj starigas la konzolan servilon kiel kandidaton.
Post kiam la kandidato estas akceptita sur la Lumturo, SSH-tunelo al la konzola servilo estas redirektita trans la Voka Hejma konekto. La konzola servilo fariĝis Administrita Konzolo-Servilo kaj la Lumturo povas konekti kaj kontroli ĝin tra ĉi tiu tunelo. 3.12.2 Akceptu kandidaton de Voko Hejma kiel Administritan Konzolan Servilon sur Lighthouse Ĉi tiu sekcio donas superanview pri agordo de la Lumturo por monitori konzolajn servilojn de Lighthouse, kiuj estas konektitaj per Voko Hejme. Por pliaj detaloj, vidu la Gvidilon pri Lumturo:
1. Enigu novan Vokan Hejman Pasvorton sur la Lumturo. Ĉi tiu pasvorto estas uzata por akcepti
Voku Hejmkonektojn de kandidatoj konzolserviloj
2. La Lumturo povas esti kontaktita de la konzola servilo, ĝi devas aŭ havi statikan IP
adreso aŭ, se DHCP, estu agordita por uzi dinamikan DNS-servon
La ekrano Agordu > Administritaj Konzolaj Serviloj sur la Lumturo montras la staton de
lokaj kaj malproksimaj Administritaj Konzolaj Serviloj kaj kandidatoj.
La sekcio Administritaj Konzolaj Serviloj montras la konzolajn servilojn kontrolatajn de la
Lighthouse.La sekcio de Detected Console Servers enhavas:
o La falmenumo de Lokaj Konzolaj Serviloj, kiu listigas ĉiujn konzolservilojn kiuj estas sur la
sama subreto kiel la Lumturo, kaj ne estas monitoritaj
67

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
o La menuo de Remote Console Servers kiu listigas ĉiujn konzolservilojn kiuj establis Vokan Hejman konekton kaj ne estas monitoritaj (te kandidatoj). Vi povas klaki Refreŝigi por ĝisdatigi
Por aldoni kandidaton de konzolo-servilo al la listo de Administrita Konzolo-Servilo, elektu ĝin el la malsupra listo de Remote Console Servers kaj alklaku Aldoni. Enigu IP-adreson kaj SSH-havenon (se ĉi tiuj kampoj ne estis aŭtomate plenigitaj) kaj enigu Priskribon kaj unikan Nomon por la Administrita Konzolo-servilo, kiun vi aldonas.
Enigu la Foran Radikan Pasvorton (t.e. Sistemo-Pasvorto kiu estis agordita sur ĉi tiu Administrita Konzolo-servilo). Ĉi tiu pasvorto estas uzata de la Lumturo por disvastigi aŭtomate generitajn SSH-ŝlosilojn kaj ne estas konservita. Klaku Apliki. La Lumturo starigas sekurajn SSH-konektojn al kaj de la Administrita Konzola Servilo kaj reakiras ĝiajn Administritajn Aparatojn, uzantajn konto-detalojn kaj agorditajn atentigojn 3.12.3 Voki Hejmon al senmarka centra SSH-servilo Se vi konektas al senmarka SSH-servilo (ne Lumturo) vi povas agordi Altnivelajn agordojn: · Enigu la SSH-Servilon-Havenon kaj SSH-Uzanton. · Enigu la detalojn por la SSH-pordenon por krei
Elektante Aŭskultantan Servilon, vi povas krei Foran havenon antaŭen de la Servilo al ĉi tiu unuo, aŭ Lokan havenon antaŭen de ĉi tiu unuo al la Servilo:
68

Uzanto Manlibro
· Specifu Aŭskultantan Havenon de kiu plusendi, lasu ĉi tiun kampon malplena por asigni neuzatan havenon · Enigu la Celan Servilon kaj Celon-Havenon, kiuj estos la ricevanto de plusenditaj konektoj.
3.13 IP Trapaso
IP Passthrough estas uzata por igi modemkonekton (ekz. la interna ĉela modemo) aperi kiel regula Ethernet-konekto al triaparta laŭflua enkursigilo, permesante al la laŭflua enkursigilo uzi la modemkonekton kiel ĉefan aŭ rezervan WAN-interfacon.
La Opengear-aparato disponigas la modeman IP-adreson kaj DNS-detalojn al la kontraŭflua aparato per DHCP kaj pasas retan trafikon al kaj de la modemo kaj enkursigilo.
Dum IP Passthrough iĝas Opengear en modem-al-Eternet duonponton, kelkaj tavoloj 4 servoj (HTTP/HTTPS/SSH) povas esti finitaj ĉe la Opengear (Servaj Interkaptoj). Ankaŭ, servoj funkciantaj sur la Opengear povas iniciati elirajn ĉelajn ligojn sendepende de la kontraŭflua enkursigilo.
Ĉi tio permesas al la Opengear daŭre esti uzata por ekster-grupa administrado kaj atentigo kaj ankaŭ esti administrita per Lighthouse, dum en IP Passthrough-reĝimo.
3.13.1 Malsukcesa enkursigilo Por uzi malsukcesan konekteblecon sur la laŭflua enkursigilo (alinome Failover al Ĉela aŭ F2C), ĝi devas havi du aŭ pli da WAN-interfacoj.
NOTO Malsukceso en IP Passthrough kunteksto estas farita per la kontraŭflua enkursigilo, kaj la enkonstruita ekstergrupa malsukcesa logiko sur la Opengear ne estas havebla dum en IP Passthrough-reĝimo.
Konektu Ethernet-WAN-interfacon sur la laŭflua enkursigilo al la Reta Interfaco aŭ Administrada LAN-haveno de Opengear per Ethernet-kablo.
Agordu ĉi tiun interfacon sur la laŭflua enkursigilo por ricevi ĝiajn retajn agordojn per DHCP. Se malsukceso estas postulata, agordu la kontraŭfluan enkursigilon por malsukceso inter ĝia primara interfaco kaj la Ethernet-haveno konektita al la Opengear.
3.13.2 Antaŭagordo de IP-Pasado Antaŭkondiĉaj paŝoj por ebligi IP-Pasadon estas:
1. Agordu la Retan Interfacon kaj kie aplikeblas Administrajn LAN-interfacojn kun senmovaj retaj agordoj. · Klaku Seria & Reto > IP. · Por Reta Interfaco kaj kie aplikebla Administrado-LAN, elektu Statika por la Agorda Metodo kaj enigu la retajn agordojn (vidu la sekcion titolita Reta Agordo por detalaj instrukcioj). · Por la interfaco konektita al la laŭflua enkursigilo, vi povas elekti ajnan dediĉitan privatan reton, ĉi tiu reto ekzistas nur inter la Opengear kaj laŭflua enkursigilo kaj ne estas normale alirebla. · Por la alia interfaco, agordu ĝin kiel vi kutime farus en la loka reto. · Por ambaŭ interfacoj, lasu Enirejon malplena.
2. Agordi la modemon en Ĉiam Enŝaltita Ekstergrupa reĝimo.
69

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
· Por ĉela konekto, alklaku Sistemo > Dial: Interna Ĉela Modemo. · Elektu Ebligi Dial-Out kaj enigu telefonajn detalojn kiel APN (vidu sekcion Ĉela Modemo
Konekto por detalaj instrukcioj). 3.13.3 Agordo de IP Passthrough Por agordi IP Passthrough:
· Klaku Seria & Reto > IP Passthrough kaj kontrolu Ebligi. · Elektu la Opengear Modemon por uzi por kontraŭflua konektebleco. · Laŭvole, enigu la MAC-Adreson de la konektita interfaco de laŭflua enkursigilo. Se MAC-adreso estas
ne specifita, la Opengear transiros al la unua kontraŭflua aparato petante DHCP-adreson. · Elektu la Opengear Ethernet Interface por uzi por konektebleco al la laŭflua enkursigilo.
· Klaku Apliki. 3.13.4 Servaj Interkaptoj Ĉi tiuj permesas al la Opengear daŭre provizi servojn, ekzample, por ekster-grupa administrado kiam en IP Passthrough-reĝimo. Konektoj al la modema adreso sur la specifita interkapta haveno (j) estas pritraktitaj fare de la Opengear prefere ol trapasitaj al la kontraŭflua enkursigilo.
· Por la bezonata servo de HTTP, HTTPS aŭ SSH, kontrolu Ebligi · Laŭvole modifi la Interkaptan Porton al alterna haveno (ekz. 8443 por HTTPS), ĉi tio estas utila se vi
volas daŭre permesi al la kontraŭflua enkursigilo resti alirebla per sia regula haveno. 3.13.5 IP Passthrough Status Refreŝigu la paĝon al view la sekcio Statuso. Ĝi montras la Eksteran IP-Adreson de la modemo trapasita, la Internan MAC-Adreson de la kontraŭflua enkursigilo (nur loĝita kiam la kontraŭflua enkursigilo akceptas la DHCP-luzon), kaj la ĝeneralan funkciantan statuson de la IP Passthrough-servo. Vi povas esti avertita pri la malsukcesa stato de la laŭflua enkursigilo agordante Kontrolon de Uzado de Vojataj Datumoj sub Atentigoj kaj Registrado > Aŭtomata Respondo. 3.13.6 Avertoj Iuj laŭfluaj enkursigiloj povas esti malkongruaj kun la enireja itinero. Ĉi tio povas okazi kiam IP Passthrough transpontas 3G-ĉelan reton kie la enirejo-adreso estas punkto-al-punkta celo-adreso kaj neniuj subretaj informoj estas haveblaj. La Opengear sendas DHCP-retmaskon de 255.255.255.255. Aparatoj normale konstruas tion kiel ununuran gastigan itineron sur la interfaco, sed kelkaj pli malnovaj kontraŭfluaj aparatoj povas havi problemojn.
70

Uzanto Manlibro
Interkaptoj por lokaj servoj ne funkcios se la Opengear uzas defaŭltan itineron krom la modemo. Ankaŭ, ili ne funkcios krom se la servo estas ebligita kaj aliro al la servo estas ebligita (vidu Sistemo> Servoj, sub la langeto Servo-Aliro trovi Dialout/Cellular).
Eksteraj konektoj devenantaj de Opengear al foraj servoj estas subtenataj (ekz. sendo de SMTP-retpoŝtaj atentigoj, SNMP-kaptiloj, ricevi NTP-tempon, IPSec-tunelojn). Estas malgranda risko de fiasko de konekto se kaj la Opengear kaj la kontraŭflua aparato provus aliri la saman UDP aŭ TCP-havenon sur la sama fora gastiganto samtempe kiam ili hazarde elektis la saman devenan lokan havenon.
3.14 Agordo super DHCP (ZTP)
Opengear-aparatoj povas esti provizitaj dum sia komenca lanĉo de DHCPv4 aŭ DHCPv6-servilo uzante konfig-over-DHCP. Provizado en nefidindaj retoj povas esti faciligita per disponigado de ŝlosiloj sur USB-memordisko. La ZTP-funkcio ankaŭ povas esti uzata por plenumi firmvaran ĝisdatigon ĉe komenca konekto al la reto, aŭ por enskribiĝi en Lighthouse 5-instanco.
Preparo La tipaj paŝoj por agordo tra fidinda reto estas:
1. Agordu sammodelan Opengear-aparaton. 2. Konservu ĝian agordon kiel Opengear-rezervo (.opg) file. 3. Elektu Sistemon > Agorda Rezervo > Malproksima Rezervo. 4. Klaku Konservi Rezervon. Rezerva agordo file — model-name_iso-format-date_config.opg — estas elŝutita de la Opengear-aparato al la loka sistemo. Vi povas konservi la agordon kiel xml file: 1. Elektu Sistemon > Agordo-Sekurkopio > XML-Agordo. Redaktebla kampo enhavanta la
agordo file en XML-formato aperas. 2. Klaku en la kampon por aktivigi ĝin. 3. Se vi funkcias iun retumilon en Vindozo aŭ Linukso, dekstre alklaku kaj elektu Elektu Ĉion el la
kunteksta menuo aŭ premu Kontrolon-A. Dekstre alklaku kaj elektu Kopiu el la kunteksta menuo aŭ premu Kontrolon-C. 4. Se vi uzas iun ajn retumilon en macOS, elektu Redakti > Elektu Ĉion aŭ premu Komando-A. Elektu Redakti > Kopiu aŭ premu Komando-C. 5. En via preferata tekstredaktilo, kreu novan malplenan dokumenton, algluu la kopiitajn datumojn en la malplenan dokumenton kaj konservu la file. Kio ajn file-nomo, kiun vi elektas, ĝi devas inkluzivi la .xml filenomsufikso. 6. Kopiu la konservitan .opg aŭ .xml file al publik-frunta dosierujo sur a file servilo servanta almenaŭ unu el la sekvaj protokoloj: HTTPS, HTTP, FTP aŭ TFTP. (Nur HTTPS povas esti uzata se la konekto inter la file servilo kaj agordebla Opengear-aparato vojaĝas tra nefidinda reto.). 7. Agordu vian DHCP-servilon por inkluzivi opcion "specifa al vendisto" por Opengear-aparatoj. (Ĉi tio estos farita laŭ DHCP-servilo-specifa maniero.) La vendisto-specifa opcio estu agordita al ĉeno enhavanta la URL de la publikigitaj .opg aŭ .xml file en la supra paŝo. La opcioĉeno ne devas superi 250 signojn kaj ĝi devas finiĝi en aŭ .opg aŭ .xml.
71

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
8. Konektu novan Opengear-aparaton, ĉu fabriko-restarigita aŭ Agorda-Forigita, al la reto kaj apliki potencon. Povas daŭri ĝis 5 minutojn por la aparato rekomenci sin.
Example ISC DHCP (dhcpd) servila agordo
La sekvanta estas eksample DHCP-servila agorda fragmento por servi .opg-agordan bildon per la ISC-DHCP-servilo, dhcpd:
opcio spaco opengear kodo larĝo 1 longo larĝo 1; opcio opengear.config-url kodo 1 = teksto; klaso "opengear-config-over-dhcp-test" {
kongruas se opcio vendor-class-identifier ~~ "^Opengear/"; vendor-opcio-spaco opengear; opcio opengear.config-url "https://ekzample.com/opg/${class}.opg”; }
Ĉi tiu aranĝo povas esti modifita por ĝisdatigi la agordan bildon uzante la opengear.image-url opcion, kaj disponigante URI al la firmvarbildo.
Agordu kiam la LAN estas nefidinda Se la konekto inter la file servilo kaj agordebla Opengear-aparato inkluzivas nefiditan reton, dumana aliro povas mildigi la problemon.
NOTO Ĉi tiu aliro enkondukas du fizikajn paŝojn kie fido povas esti malfacile, se ne malebla, starigi tute. Unue, la gardĉeno de la kreado de la datumportanta USB-memordisko ĝis ĝia deplojo. Due, la manoj konektantaj la USB-memorilon al la Opengear-aparato.
· Generu X.509-atestilon por la Opengear-aparato.
· Kunligi la atestilon kaj ĝian privatan ŝlosilon en unuopan file nomita kliento.pem.
· Kopiu client.pem sur USB-memorilon.
· Agordu HTTPS-servilon tia ke aliro al la .opg aŭ .xml file estas limigita al klientoj kiuj povas provizi la X.509-klientatestilon generitan supre.
· Metu kopion de la CA-atesto, kiu subskribis la atestilon de la HTTP-servilo — ca-bundle.crt — sur la USB-poŝmemorilon portantan client.pem.
· Enigu la USB-memorilon en la Opengear-aparaton antaŭ ol ligi potencon aŭ reton.
· Daŭrigu la proceduron de `Kopiu la konservitan .opg aŭ .xml file al publik-frunta dosierujo sur a file servilo' supre uzante la HTTPS-protokolon inter la kliento kaj servilo.
Preparu USB-diskon kaj kreu la X.509-atestilon kaj privatan ŝlosilon
· Generu la CA-atestilon, por ke la kliento kaj servilo Atestilo-Signo-Petoj (CSRs) povas esti subskribitaj.
# cp /etc/ssl/openssl.cnf . # mkdir -p ekzampleCA/newcerts # echo 00 > ekzampleCA/serialo # echo 00 > ekzampleCA/crlnumero # tuŝu ekzampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=EkzampleCA # cp demoCA/cacert.pem ca-bundle.crt
Ĉi tiu proceduro generas atestilon nomitan ExampleCA sed iu ajn permesita atestilnomo povas esti uzata. Ankaŭ ĉi tiu proceduro uzas openssl ĉ. Se via organizo havas tutentreprenan, sekuran CA-generacian procezon, tio devus esti uzata anstataŭe.
72

Uzanto Manlibro
· Generu la servilan atestilon.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-ŝlosilofile ca.key -policy policy_anything -batch -notext
NOTO La gastiga nomo aŭ IP-adreso devas esti la sama ĉeno uzata en la servado URL. En la eksample supre, la gastiga nomo estas demo.example.com.
· Generu la klientan atestilon.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=EksampleClient # openssl ca -days 365 -in client.csr -out client.crt
-ŝlosilofile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatu USBan flash drive kiel ununura FAT32-volumo.
· Movu la client.pem kaj ca-bundle.crt files en la radikan dosierujon de la flash drive.
Sencimigi ZTP-problemojn Uzu la ZTP-protokolo-funkcion por sencimigi ZTP-problemojn. Dum la aparato provas fari ZTP-operaciojn, protokolaj informoj estas skribitaj al /tmp/ztp.log sur la aparato.
La sekvanta estas eksample de la ŝtipo file de sukcesa ZTP-kuro.
# cat /tmp/ztp.log mer Dec 13 22:22:17 UTC 2017 [5127 avizo] odhcp6c.eth0: restarigo de agordo per DHCP mer Dec 13 22:22:17 UTC 2017 [5127 avizo] odhcp6c.eth0: waiting por reto aranĝi mer Dec 10 13:22:22 UTC 27 [2017 avizo] odhcp5127c.eth6: NTP saltita: neniu servilo Wed Dec 0 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: ' vendorspec.0 = ' vendorspec.1 http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Wed Dec 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) Wed Dec 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.3 (n/a) Wed Dec 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.4 (n/a) ) mer Dec 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.5 (n/a) Mer Dec 13 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.6 (venrspec.13) /a) Wed Dec 22 22:28:2017 UTC 5127 [6 info] odhcp0c.eth2: neniu firmware por elŝuti (vendorspec.XNUMX) sekurkopio-url: provante http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: devigante wan-agordan reĝimon al DHCP-sekurkopio-url: fiksante gastigan nomon al acm7004-0013c601ce97 sekurkopio-url: ŝarĝo sukcesis mer Dec 13 22:22:36 UTC 2017 [5127 avizo] odhcp6c.eth0: sukcesa agorda ŝarĝo Wed Dec 13 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: neniu lumtura agordo/vendorspec.3 4/5/6) Wed Dec 13 22:22:36 UTC 2017 [5127 avizo] odhcp6c.eth0: provizado finita, ne rekomencanta
Eraroj estas registritaj en ĉi tiu protokolo.
3.15 Aliĝo al Lumturo
Uzu Enskribon en Lighthouse por enskribi Opengear-aparatojn en Lighthouse-instancon, provizante centraligitan aliron al konzolhavenoj, kaj permesante centran agordon de la Opengear-aparatoj.
Vidu la Gvidilon de Uzanto de Lumturo por instrukcioj por registri Opengear-aparatojn en Lighthouse.
73

Ĉapitro 3: Seria Haveno, Aparato kaj Uzanta Agordo
3.16 Ebligu DHCPv4 Relay
DHCP relajsoservo plusendas la DHCP-pakojn inter klientoj kaj foraj DHCP-serviloj. DHCP-relajsoservo povas esti ebligita sur Opengear-konzolservilo, tiel ke ĝiaj aŭskultas por DHCP-klientoj sur elektitaj pli malaltaj interfacoj, envolvas kaj plusendas iliajn mesaĝojn supren al DHCP-serviloj uzante aŭ normalan vojigon, aŭ dissenditan rekte sur elektitaj supraj interfacoj. La DHCP-relajso-agento tiel ricevas DHCP-mesaĝojn kaj generas novan DHCP-mesaĝon por sendi sur alian interfacon. En la subaj paŝoj, la konzolserviloj povas konektiĝi al cirkvitaj idoj, Ethernet aŭ ĉelaj modemoj uzante DHCPv4 Relay-servon.
DHCPv4 Relajso + DHCP Opcio 82 (cirkvito-id) Infrastrukturo - Loka DHCP-servilo, ACM7004-5 por relajso, iuj aliaj aparatoj por klientoj. Ajna aparato kun LAN-rolo povas esti uzata kiel relajso. En ĉi tiu ekzample, la 192.168.79.242 estas la adreso por la relajita interfaco de la kliento (kiel difinite en la DHCP-servila agordo file supre) kaj la 192.168.79.244 estas la supra interfacadreso de la relajsa skatolo, kaj enp112s0 estas la kontraŭflua interfaco de la DHCP-servilo.
1 Infrastrukturo - DHCPv4 Relajso + DHCP Opcio 82 (cirkvito-identigilo)
Paŝoj sur la DHCP-Servilo 1. Agordu lokan DHCP v4-servilon, precipe, ĝi devus enhavi "gastiganton" eniron kiel sube por la DHCP-kliento: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; host-identifier opcio agent.circuit-id "relay1"; fiksa adreso 192.168.79.242; } Notu: la linio "hardware ethernet" estas komentita, tiel ke la DHCP-servilo uzos la agordon "circuit-id" por atribui adreson por koncerna kliento. 2. Rekomencu DHCP-Servilon por reŝargi ĝian ŝanĝitan agordon file. pkill -HUP dhcpd
74

Uzanto Manlibro
3. Mane aldonu gastigan vojon al la kliento "sendita" interfaco (la interfaco malantaŭ la DHCP-relajso, ne aliajn interfacojn, kiujn la kliento ankaŭ povas havi:
sudo ip route add 192.168.79.242/32 per 192.168.79.244 dev enp112s0 Ĉi tio helpos eviti la malsimetrian enrutigan problemon kiam la kliento kaj DHCP-servilo ŝatus aliri unu la alian per la relajita interfaco de la kliento, kiam la kliento havas aliajn interfacojn en la sama. subreto de la DHCP-adresgrupo.
Noto: Ĉi tiu paŝo estas necesa por subteni la dhcp-servilon kaj klienton kapablan aliri unu la alian.
Paŝoj sur la Relajsa skatolo - ACM7004-5
1. Agordu WAN/eth0 en statika aŭ dhcp-reĝimo (ne neagordita reĝimo). Se en statika reĝimo, ĝi devas havi IP-adreson ene de la adresgrupo de la DHCP-servilo.
2. Apliku ĉi tiun agordon per CLI (kie 192.168.79.1 estas DHCP-servila adreso)
config -s config.services.dhcprelay.enabled=sur agordo -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 agordo -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 agordo -s config.services.dhcprelay.servers.server1=192.168.79.1 agordo -s config.services.dhcprelay.servers.total=1 agordo -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. La pli malalta interfaco de la DHCP-relajso devas havi senmovan IP-adreson ene de la adresgrupo de la DHCP-servilo. En ĉi tiu ekzample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=statika agordo -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Atendu mallongan tempon, ke la kliento akiru DHCP-luzon per la relajso.
Paŝoj sur la Kliento (CM7116-2-dac en ĉi tiu ekzample aŭ ajna alia OG CS)
1. Konektu la LAN/eth1 de la kliento al la LAN/eth1 de la relajso 2. Agordu la LAN de la kliento por ricevi IP-adreson per DHCP kiel kutime 3. Unufoje la klavo

Dokumentoj/Rimedoj

opengear ACM7000 Remote Site Gateway [pdf] Uzanto-manlibro
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Eja Enirejo, Enirejo

Referencoj

Uzanto Manlibro

opengear ACM7000 Remote Site Gateway

Produktaj Informoj

Produktaj Uzado-Instrukcioj

Oftaj Demandoj

Ĉi tiu Manlibro

Sistema Agordo

Seria Haveno, Gastiganto, Aparato & Uzanta Agordo

Dokumentoj/Rimedoj

Referencoj

Lasu komenton

Nuligi respondon