Manual del usuario de la puerta de enlace de sitio remoto opengear ACM7000

No conecte ni desconecte el servidor de la consola durante una tormenta eléctrica. Utilice siempre un supresor de sobretensiones o UPS para proteger el equipo de transitorios.

Advertencia de la FCC:

Este dispositivo cumple con la Parte 15 de las reglas de la FCC. El funcionamiento de este dispositivo está sujeto a las siguientes condiciones: (1) Este dispositivo no puede causar interferencias dañinas y (2) este dispositivo debe aceptar cualquier interferencia que pueda causar un funcionamiento no deseado.

Preguntas frecuentes

P: ¿Puedo utilizar la puerta de enlace para sitio remoto ACM7000 durante una tormenta eléctrica?
- A: No, se recomienda no conectar ni desconectar el servidor de la consola durante una tormenta eléctrica para evitar daños.

P: ¿Qué versión de las normas de la FCC cumple el dispositivo?
- A: El dispositivo cumple con la Parte 15 de las reglas de la FCC.

View Fullscreen

Manual de usuario
ACM7000 Puerta de enlace de sitio remoto ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Servidores de consola
Versión 5.0 – 2023-12

Seguridad
Siga las precauciones de seguridad a continuación al instalar y operar el servidor de consola: · No retire las cubiertas metálicas. En el interior no hay componentes que el operador pueda reparar. Abrir o quitar la cubierta puede exponerle a volátiles peligrosos.tage que pueda causar incendio o descarga eléctrica. Consulte todo el servicio al personal calificado de Opengear. · Para evitar descargas eléctricas, el conductor de protección a tierra del cable de alimentación debe estar conectado a tierra. · Tire siempre del enchufe, no del cable, al desconectar el cable de alimentación de la toma de corriente.
No conecte ni desconecte el servidor de la consola durante una tormenta eléctrica. Utilice también un supresor de sobretensiones o UPS para proteger el equipo de transitorios.
Advertencia de la FCC
Este dispositivo cumple con la Parte 15 de las reglas de la FCC. El funcionamiento de este dispositivo está sujeto a las siguientes
condiciones: (1) Este dispositivo no puede causar interferencias dañinas y (2) este dispositivo debe aceptar cualquier interferencia que pueda causar un funcionamiento no deseado.
Se deben utilizar sistemas de respaldo adecuados y dispositivos de seguridad necesarios para proteger contra lesiones, muerte o daños a la propiedad debido a fallas del sistema. Dicha protección es responsabilidad del usuario. Este dispositivo de servidor de consola no está aprobado para su uso como sistema médico o de soporte vital. Cualquier cambio o modificación realizada en este dispositivo servidor de consola sin la aprobación o consentimiento explícito de Opengear anulará a Opengear cualquier responsabilidad por lesiones o pérdidas causadas por cualquier mal funcionamiento. Este equipo es para uso interior y todos los cableados de comunicación se limitan al interior del edificio.
2

Manual de usuario
Derechos de autor
©Opengear Inc. 2023. Todos los derechos reservados. La información contenida en este documento está sujeta a cambios sin previo aviso y no representa un compromiso por parte de Opengear. Opengear proporciona este documento "tal cual", sin garantía de ningún tipo, expresa o implícita, incluidas, entre otras, las garantías implícitas de idoneidad o comerciabilidad para un propósito particular. Opengear puede realizar mejoras y/o cambios en este manual o en los productos y/o programas descritos en este manual en cualquier momento. Este producto podría incluir imprecisiones técnicas o errores tipográficos. Periódicamente se realizan cambios en la información aquí; estos cambios podrán incorporarse en nuevas ediciones de la publicación.\

Capítulo 1

Este manual

ESTE MANUAL

Este manual de usuario explica la instalación, operación y administración de servidores de consola Opengear. Este manual asume que está familiarizado con Internet y las redes IP, HTTP, FTP, operaciones básicas de seguridad y la red interna de su organización.
1.1 Tipos de usuarios
El servidor de consola admite dos clases de usuarios:
· Administradores que tienen privilegios ilimitados de configuración y administración sobre la consola
servidor y dispositivos conectados, así como todos los servicios y puertos para controlar todos los dispositivos conectados en serie y dispositivos conectados en red (hosts). Los administradores están configurados como miembros del grupo de usuarios administradores. Un administrador puede acceder y controlar el servidor de la consola utilizando la utilidad de configuración, la línea de comandos de Linux o la Management Console basada en navegador.
· Usuarios que han sido configurados por un administrador con límites de su autoridad de acceso y control.
Los usuarios tienen un límite view de la Consola de administración y solo puede acceder a dispositivos configurados autorizados y volverview registros de puertos. Estos usuarios se configuran como miembros de uno o más de los grupos de usuarios preconfigurados, como PPTPD, dialin, FTP, pmshell, usuarios o grupos de usuarios que el administrador haya creado. Solo están autorizados a realizar controles específicos en dispositivos conectados específicos. Los usuarios, cuando están autorizados, pueden acceder y controlar dispositivos conectados en serie o en red utilizando servicios específicos (por ejemplo, Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Los usuarios remotos son usuarios que no están en el mismo segmento de LAN que el servidor de consola. Un usuario remoto puede estar de viaje conectándose a dispositivos administrados a través de Internet público, un administrador en otra oficina conectándose al servidor de la consola a través de la VPN empresarial, o en la misma sala o en la misma oficina pero conectado a una VLAN separada a la consola. servidor.
1.2 Consola de administración
Opengear Management Console le permite configurar y monitorear las funciones de su servidor de consola Opengear. La Consola de gestión se ejecuta en un navegador y proporciona una view del servidor de consola y de todos los dispositivos conectados. Los administradores pueden usar Management Console para configurar y administrar el servidor de la consola, los usuarios, los puertos, los hosts, los dispositivos de alimentación y los registros y alertas asociados. Los usuarios que no sean administradores pueden usar la Consola de administración con acceso limitado al menú para controlar dispositivos seleccionados, review sus registros y acceder a ellos mediante el software integrado Web Terminal.
El servidor de consola ejecuta un sistema operativo Linux integrado y se puede configurar en la línea de comandos. Puede obtener acceso a la línea de comando mediante celular/marcación telefónica, conectándose directamente al puerto serie de consola/módem del servidor de la consola, o usando SSH o Telnet para conectarse al servidor de la consola a través de la LAN (o conectándose con PPTP, IPsec u OpenVPN). .
6

Manual de usuario
Para obtener comandos de la interfaz de línea de comandos (CLI) e instrucciones avanzadas, descargue Opengear CLI y Scripting Reference.pdf desde https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Más información
Para más información consulte: · Productos Opengear Web Sitio: consulte https://opengear.com/products. Para obtener la información más actualizada sobre lo que se incluye con su servidor de consola, visite la sección Qué se incluye para su producto en particular. · Guía de inicio rápido: para obtener la Guía de inicio rápido para su dispositivo, consulte https://opengear.com/support/documentation/. · Base de conocimientos de Opengear: visite https://opengear.zendesk.com para acceder a artículos técnicos, consejos técnicos, preguntas frecuentes y notificaciones importantes. · Referencia de secuencias de comandos y CLI de Opengear: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Capítulo 2:

Configuración del sistema

CONFIGURACIÓN DEL SISTEMA

Este capítulo proporciona instrucciones paso a paso para la configuración inicial de su servidor de consola y su conexión a la LAN operativa o de administración. Los pasos son:
Active la Consola de administración. Cambie la contraseña del administrador. Configure el puerto LAN principal del servidor de la consola de direcciones IP. Seleccione los servicios a habilitar y acceda a los privilegios. Este capítulo también analiza las herramientas de software de comunicaciones que un administrador puede utilizar para acceder al servidor de consola y la configuración de los puertos LAN adicionales.
2.1 Conexión de la consola de administración
Su servidor de consola viene configurado con una dirección IP predeterminada 192.168.0.1 y una máscara de subred 255.255.255.0 para NET1 (WAN). Para la configuración inicial, le recomendamos que conecte una computadora directamente a la consola. Si elige conectar su LAN antes de completar los pasos de configuración iniciales, asegúrese de que:
· No hay otros dispositivos en la LAN con una dirección de 192.168.0.1. · El servidor de la consola y la computadora están en el mismo segmento LAN, sin enrutador interpuesto
accesorios.
2.1.1 Configuración de la computadora conectada Para configurar el servidor de la consola con un navegador, la computadora conectada debe tener una dirección IP en el mismo rango que el servidor de la consola (por ejemploamparchivo, 192.168.0.100):
· Para configurar la dirección IP de su computadora Linux o Unix, ejecute ifconfig. · Para PC con Windows:
1. Haga clic en Inicio > Configuración > Panel de control y haga doble clic en Conexiones de red. 2. Haga clic derecho en Conexión de área local y seleccione Propiedades. 3. Seleccione Protocolo de Internet (TCP/IP) y haga clic en Propiedades. 4. Seleccione Usar la siguiente dirección IP e ingrese los siguientes detalles:
o Dirección IP: 192.168.0.100 o Máscara de subred: 255.255.255.0 5. Si desea conservar la configuración de IP existente para esta conexión de red, haga clic en Avanzado y agregue lo anterior como conexión IP secundaria.
2.1.2 Conexión del navegador
Abra un navegador en la PC/estación de trabajo conectada e ingrese https://192.168.0.1.
Inicia con:
Nombre de usuario> contraseña raíz> predeterminado
8

Manual de usuario
La primera vez que inicie sesión, deberá cambiar la contraseña de root. Haga clic en Enviar.
Para completar el cambio, ingrese nuevamente la nueva contraseña. Haga clic en Enviar. Aparece la pantalla de bienvenida.
Si su sistema tiene un módem celular, se le indicarán los pasos para configurar las funciones del enrutador celular: · Configure la conexión del módem celular (página Sistema > Marcar. Consulte el Capítulo 4) · Permita el reenvío a la red celular de destino (página Sistema > Cortafuegos. Consulte el Capítulo 4) · Habilite el enmascaramiento de IP para la conexión celular (página Sistema > Firewall. Consulte el Capítulo 4)
Después de completar cada uno de los pasos anteriores, puede regresar a la lista de configuración haciendo clic en el logotipo de Opengear en la esquina superior izquierda de la pantalla. NOTA Si no puede conectarse a la Consola de administración en 192.168.0.1 o si el valor predeterminado
No se aceptan nombre de usuario/contraseña; reinicie su servidor de consola (consulte el Capítulo 10).
9

Capítulo 2: Configuración del sistema
2.2 Configuración del administrador
2.2.1 Cambiar la contraseña predeterminada del sistema raíz. Debe cambiar la contraseña de raíz cuando inicia sesión por primera vez en el dispositivo. Puede cambiar esta contraseña en cualquier momento.
1. Haga clic en Serie y red > Usuarios y grupos o, en la pantalla de bienvenida, haga clic en Cambiar contraseña de administración predeterminada.
2. Desplácese hacia abajo y ubique la entrada del usuario raíz en Usuarios y haga clic en Editar. 3. Ingrese la nueva contraseña en los campos Contraseña y Confirmar.
NOTA Al marcar Guardar contraseña en los borrados de firmware se guarda la contraseña para que no se borre cuando se restablece el firmware. Si se pierde esta contraseña, será necesario recuperar el firmware del dispositivo.
4. Haga clic en Aplicar. Inicie sesión con la nueva contraseña 2.2.2 Configurar un nuevo administrador Cree un nuevo usuario con privilegios administrativos e inicie sesión como este usuario para funciones de administración, en lugar de usar root.
10

Manual de usuario
1. Haga clic en Serie y red > Usuarios y grupos. Desplácese hasta el final de la página y haga clic en el botón Agregar usuario.
2. Ingrese un nombre de usuario. 3. En la sección Grupos, marque la casilla de administración. 4. Ingrese una contraseña en los campos Contraseña y Confirmar.
5. También puede agregar claves autorizadas SSH y elegir Desactivar la autenticación de contraseña para este usuario.
6. Se pueden configurar opciones adicionales para este usuario en esta página, incluidas opciones de acceso telefónico, hosts accesibles, puertos accesibles y salidas RPC accesibles.
7. Haga clic en el botón Aplicar en la parte inferior de la pantalla para crear este nuevo usuario.
11

Capítulo 2: Configuración del sistema
2.2.3 Agregar nombre del sistema, descripción del sistema y MOTD. 1. Seleccione Sistema > Administración. 2. Ingrese un Nombre del sistema y una Descripción del sistema para el servidor de la consola para darle una ID única y facilitar su identificación. El nombre del sistema puede contener de 1 a 64 caracteres alfanuméricos y los caracteres especiales subrayan (_), menos (-) y punto (.). La descripción del sistema puede contener hasta 254 caracteres.
3. El banner MOTD se puede utilizar para mostrar un mensaje de texto del día a los usuarios. Aparece en la parte superior izquierda de la pantalla debajo del logotipo de Opengear.
4. Haga clic en Aplicar.
12

Capítulo 2: Configuración del sistema
5. Seleccione Sistema > Administración. 6. El banner MOTD se puede utilizar para mostrar un mensaje de texto del día a los usuarios. Aparece en el
arriba a la izquierda de la pantalla debajo del logotipo de Opengear. 7. Haga clic en Aplicar.
2.3 Configuración de red
Ingrese una dirección IP para el puerto Ethernet principal (LAN/Red/Red1) en el servidor de la consola o habilite su cliente DHCP para obtener automáticamente una dirección IP de un servidor DHCP. De forma predeterminada, el servidor de la consola tiene su cliente DHCP habilitado y acepta automáticamente cualquier dirección IP de red asignada por un servidor DHCP en su red. En este estado inicial, el servidor de la consola responderá tanto a su dirección estática predeterminada 192.168.0.1 como a su dirección DHCP.
1. Haga clic en Sistema > IP y haga clic en la pestaña Interfaz de red. 2. Elija DHCP o Estático para el Método de configuración.
Si elige Estático, ingrese la dirección IP, la máscara de subred, la puerta de enlace y los detalles del servidor DNS. Esta selección deshabilita el cliente DHCP.
12

Manual de usuario
3. El puerto LAN del servidor de la consola detecta automáticamente la velocidad de la conexión Ethernet. Utilice la lista desplegable Medios para bloquear Ethernet a 10 Mb/s o 100 Mb/s y a Full Duplex o Half Duplex.
Si experimenta pérdida de paquetes o un rendimiento deficiente de la red con la configuración Automática, cambie la configuración de Medios Ethernet en el servidor de la consola y el dispositivo al que está conectado. En la mayoría de los casos, cambie ambos a 100baseTx-FD (100 megabits, full duplex).
4. Si selecciona DHCP, el servidor de la consola buscará detalles de configuración de un servidor DHCP. Esta selección desactiva cualquier dirección estática. La dirección MAC del servidor de consola se puede encontrar en una etiqueta en la placa base.
5. Puede ingresar una dirección secundaria o una lista de direcciones separadas por comas en notación CIDR, por ejemplo, 192.168.1.1/24 como alias de IP.
6. Haga clic en Aplicar. 7. Vuelva a conectar el navegador en la computadora que está conectada al servidor de la consola ingresando
http://your new IP address.
Si cambia la dirección IP del servidor de consola, deberá reconfigurar su computadora para que tenga una dirección IP en el mismo rango de red que la nueva dirección del servidor de consola. Puede configurar la MTU en interfaces Ethernet. Esta es una opción avanzada que se utilizará si su escenario de implementación no funciona con la MTU predeterminada de 1500 bytes. Para configurar la MTU, haga clic en Sistema > IP y haga clic en la pestaña Interfaz de red. Desplácese hacia abajo hasta el campo MTU e ingrese el valor deseado. Los valores válidos son de 1280 a 1500 para interfaces de 100 megabits y de 1280 a 9100 para interfaces gigabit. Si se configura el puente o el enlace, la MTU configurada en la página Interfaz de red se configurará en las interfaces que forman parte del puente o del enlace. . NOTA En algunos casos, es posible que la MTU especificada por el usuario no surta efecto. Algunos controladores de NIC pueden redondear las MTU de gran tamaño al valor máximo permitido y otros devolverán un código de error. También puede utilizar un comando CLI para administrar el tamaño de MTU: configurar
# config -s config.interfaces.wan.mtu=1380 comprobar
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider ninguno config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode configuración sin estado .interfaces.wan.media Configuración automática.interfaces.wan.mode estática config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Capítulo 2: Configuración del sistema
2.3.1 Configuración de IPv6 Las interfaces Ethernet del servidor de consola admiten IPv4 de forma predeterminada. Se pueden configurar para funcionamiento IPv6:
1. Haga clic en Sistema > IP. Haga clic en la pestaña Configuración general y marque Habilitar IPv6. Si lo desea, haga clic en la casilla de verificación Desactivar IPv6 para celulares.
2. Configure los parámetros de IPv6 en cada página de la interfaz. IPv6 se puede configurar para el modo Automático, que utilizará SLAAC o DHCPv6 para configurar direcciones, rutas y DNS, o para el modo Estático, que permite ingresar manualmente la información de la dirección.
2.3.2 Configuración de DNS dinámico (DDNS) Con DNS dinámico (DDNS), un servidor de consola cuya dirección IP se asigna dinámicamente se puede ubicar utilizando un host fijo o un nombre de dominio. Cree una cuenta con el proveedor de servicios DDNS compatible de su elección. Cuando configura su cuenta DDNS, elige un nombre de usuario, contraseña y nombre de host que utilizará como nombre DNS. Los proveedores de servicios DDNS le permiten elegir un nombre de host URL y establecer una dirección IP inicial para que corresponda a ese nombre de host URL.
14

Manual de usuario
Para habilitar y configurar DDNS en cualquiera de las conexiones de red Ethernet o celular en el servidor de consola. 1. Haga clic en Sistema > IP y desplácese hacia abajo en la sección DNS dinámico. Seleccione su proveedor de servicios DDNS
de la lista desplegable DNS dinámico. También puede configurar la información de DDNS en la pestaña Módem celular en Sistema > Marcar.
2. En Nombre de host DDNS, ingrese el nombre de host DNS completo para su servidor de consola, por ejemplo, sunombredehost.dyndns.org.
3. Ingrese el nombre de usuario de DDNS y la contraseña de DDNS para la cuenta del proveedor de servicios DDNS. 4. Especifique el intervalo máximo entre actualizaciones en días. Se enviará una actualización de DDNS incluso si el
la dirección no ha cambiado. 5. Especifique el intervalo mínimo entre comprobaciones de direcciones modificadas en segundos. Las actualizaciones
se enviará si la dirección ha cambiado. 6. Especifique el Máximo de intentos por actualización, que es la cantidad de veces que se intenta una actualización.
antes de rendirse. Este es 3 por defecto. 7. Haga clic en Aplicar.
15

Capítulo 2: Configuración del sistema
2.3.3 Modo EAPoL para WAN, LAN y OOBFO
(OOBFO solo se aplica al IM7216-2-24E-DAC)
Encimaview de EAPoL IEEE 802.1X, o PNAC (Control de acceso a red basado en puertos) hace uso de las características de acceso físico de las infraestructuras LAN IEEE 802 para proporcionar un medio de autenticación y autorización de dispositivos conectados a un puerto LAN que tiene punto a punto. características del punto de conexión, y de impedir el acceso a ese puerto en los casos en que falle la autenticación y autorización. Un puerto en este contexto es un único punto de conexión a la infraestructura LAN.
Cuando un nuevo nodo (WN) inalámbrico o cableado solicita acceso a un recurso LAN, el punto de acceso (AP) solicita la identidad del WN. No se permite ningún otro tráfico que no sea EAP antes de que se autentique el WN (el "puerto" está cerrado o "no autenticado"). El nodo inalámbrico que solicita autenticación suele denominarse Suplicante, el Suplicante es responsable de responder a los datos del Autenticador que establecerán sus credenciales. Lo mismo ocurre con el punto de acceso; el Autenticador no es el punto de acceso. Más bien, el punto de acceso contiene un autenticador. No es necesario que el Autenticador esté en el punto de acceso; puede ser un componente externo. Se implementan los siguientes métodos de autenticación:
· Solicitante EAP-MD5 o El método EAP MD5-Challenge utiliza nombre de usuario/contraseña simple
· EAP-PEAP-MD5 o El método de autenticación MD5 EAP PEAP (EAP protegido) utiliza credenciales de usuario y certificado de CA
· El método de autenticación EAP-TLS o EAP TLS (Transport Layer Security) requiere certificado CA, certificado de cliente y una clave privada.
El protocolo EAP, que se utiliza para la autenticación, se utilizó originalmente para el acceso telefónico PPP. La identidad era el nombre de usuario y se utilizó la autenticación PAP o CHAP para verificar la contraseña del usuario. Como la identidad se envía de forma clara (no cifrada), un rastreador malintencionado puede conocer la identidad del usuario. Por lo tanto, se utiliza el “ocultamiento de identidad”; la identidad real no se envía antes de que esté activo el túnel TLS cifrado.
16

Manual de usuario
Una vez enviada la identidad, comienza el proceso de autenticación. El protocolo utilizado entre el Solicitante y el Autenticador es EAP (o EAPoL). El autenticador vuelve a encapsular los mensajes EAP en formato RADIUS y los pasa al servidor de autenticación. Durante la autenticación, el autenticador transmite paquetes entre el solicitante y el servidor de autenticación. Cuando se completa el proceso de autenticación, el servidor de autenticación envía un mensaje de éxito (o de error, si la autenticación falló). Luego, el Autenticador abre el “puerto” para el Suplicante. Se puede acceder a la configuración de autenticación desde la página Configuración del solicitante de EAPoL. El estado del EAPoL actual se muestra en detalle en la página Estadísticas de estado en la pestaña EAPoL:
Se muestra una abstracción de EAPoL en los ROLE de la red en la sección "Administrador de conexiones" en la interfaz del Panel.
17

Capítulo 2: Configuración del sistema
A continuación se muestra un examparchivo de autenticación exitosa:
Compatibilidad con IEEE 802.1x (EAPOL) en los puertos del conmutador IM7216-2-24E-DAC y ACM7004-5: para evitar bucles, los usuarios no deben conectar más de un puerto del conmutador al mismo conmutador de nivel superior.
18

Manual de usuario
2.4 Acceso al servicio y protección de fuerza bruta
El administrador puede acceder al servidor de la consola, a los puertos serie conectados y a los dispositivos administrados mediante una variedad de protocolos/servicios de acceso. Para cada acceso
· El servicio primero debe configurarse y habilitarse para ejecutarse en el servidor de la consola. · El acceso a través del firewall debe estar habilitado para cada conexión de red. Para habilitar y configurar un servicio: 1. Haga clic en Sistema > Servicios y haga clic en la pestaña Configuración del servicio.

2. Habilitar y configurar servicios básicos:

HTTP

De forma predeterminada, el servicio HTTP se está ejecutando y no se puede desactivar por completo. De forma predeterminada, el acceso HTTP está deshabilitado en todas las interfaces. Recomendamos que este acceso permanezca deshabilitado si se accede al servidor de la consola de forma remota a través de Internet.
HTTP alternativo le permite configurar un puerto HTTP alternativo para escuchar. El servicio HTTP seguirá escuchando en el puerto TCP 80 para las comunicaciones del CMS y del conector, pero no será accesible a través del firewall.

HTTPS

De forma predeterminada, el servicio HTTPS se ejecuta y está habilitado en todas las interfaces de red. Se recomienda utilizar solo el acceso HTTPS si el servidor de la consola se va a administrar a través de cualquier red pública. Esto garantiza que los administradores tengan acceso seguro al navegador a todos los menús del servidor de la consola. También permite a los usuarios configurados adecuadamente acceder de forma segura al navegador a los menús Administrar seleccionados.
El servicio HTTPS se puede desactivar o volver a activar marcando HTTPS Web Administración y un puerto alternativo especificado (el puerto predeterminado es 443).

Telnet

De forma predeterminada, el servicio Telnet se está ejecutando pero está deshabilitado en todas las interfaces de red.
Telnet se puede utilizar para otorgar acceso de administrador al shell de la línea de comandos del sistema. Este servicio puede ser útil para el administrador local y el acceso de usuario a consolas seriales seleccionadas. Le recomendamos que deshabilite este servicio si el servidor de la consola se administra de forma remota.
La casilla de verificación Habilitar shell de comando Telnet habilitará o deshabilitará el servicio Telnet. Se puede especificar un puerto Telnet alternativo para escuchar en Puerto Telnet alternativo (el puerto predeterminado es 23).

Capítulo 2: Configuración del sistema

SSH

Este servicio proporciona acceso SSH seguro al servidor de la consola y a los dispositivos conectados.

y de forma predeterminada, el servicio SSH se está ejecutando y habilitado en todas las interfaces. Es

Se recomienda elegir SSH como protocolo al que se conecta un administrador.

el servidor de la consola a través de Internet o cualquier otra red pública. Esto proporcionará

Comunicaciones autenticadas entre el programa cliente SSH en el servidor remoto.

computadora y el servidor SSH en el servidor de consola. Para más información sobre SSH

configuración Consulte el Capítulo 8: Autenticación.

La casilla de verificación Habilitar shell de comando SSH habilitará o deshabilitará este servicio. Se puede especificar un puerto SSH alternativo para escuchar en el puerto del shell de comandos SSH (el puerto predeterminado es 22).

3. Habilite y configure otros servicios:

TFTP/FTP Si se detecta una tarjeta flash USB o una memoria flash interna en un servidor de consola, marcar Habilitar servicio TFTP (FTP) habilita este servicio y configura el servidor tftp y ftp predeterminado en la memoria flash USB. Estos servidores se utilizan para almacenar la configuración. files, mantener registros de acceso y transacciones, etc. FileLos archivos transferidos mediante tftp y ftp se almacenarán en /var/mnt/storage.usb/tftpboot/ (o /var/mnt/storage.nvlog/tftpboot/ en dispositivos de la serie ACM7000). Al desmarcar Habilitar servicio TFTP (FTP), se deshabilitará el servicio TFTP (FTP).

La marca de retransmisión DNS Habilitar servidor/retransmisión DNS habilita la función de retransmisión DNS para que los clientes puedan configurarse con la IP del servidor de consola para su configuración de servidor DNS, y el servidor de consola reenviará las consultas DNS al servidor DNS real.

Web Habilitación de verificación de terminal Web terminal permite web acceso del navegador al shell de la línea de comandos del sistema a través de Administrar > Terminal.

4. Especifique números de puerto alternativos para servicios TCP sin formato, Telnet/SSH directo y Telnet/SSH no autenticados. El servidor de consola utiliza rangos específicos para los puertos TCP/IP para los distintos accesos.
servicios que los usuarios pueden utilizar para acceder a dispositivos conectados a puertos serie (como se explica en el Capítulo 3 Configurar puertos serie). El administrador puede establecer rangos alternativos para estos servicios y estos puertos secundarios se utilizarán además de los predeterminados.

La dirección del puerto base TCP/IP predeterminado para el acceso Telnet es 2000, y el rango para Telnet es Dirección IP: Puerto (2000 + número de puerto serie), es decir, 2001 2048. Si un administrador configurara 8000 como base secundaria para Telnet, el puerto serie Se puede acceder al puerto n.° 2 en el servidor de consola mediante Telnet en IP
Dirección: 2002 y en Dirección IP: 8002. La base predeterminada para SSH es 3000; para TCP sin formato es 4000; y para RFC2217 es 5000

5. Se pueden habilitar y configurar otros servicios desde este menú seleccionando Haga clic aquí para configurar:

Nagios Acceso a los demonios de monitoreo NRPE de Nagios

TUERCA

Acceso al demonio de monitorización de UPS NUT

SNMP Habilita snmp en el servidor de consola. SNMP está deshabilitado de forma predeterminada

Programa Nacional de Pruebas

6. Haga clic en Aplicar. Aparece un mensaje de confirmación: Mensaje Los cambios en la configuración se realizaron correctamente

La configuración de Acceso a servicios se puede configurar para permitir o bloquear el acceso. Esto especifica qué servicios habilitados pueden usar los administradores en cada interfaz de red para conectarse al servidor de consola y, a través del servidor de consola, a los dispositivos conectados en serie y en red.

Manual de usuario
1. Seleccione la pestaña Acceso al servicio en la página Sistema > Servicios.
2. Esto muestra los servicios habilitados para las interfaces de red del servidor de consola. Dependiendo del modelo de servidor de consola particular, las interfaces mostradas pueden incluir: · Interfaz de red (para la conexión Ethernet principal) · LAN de administración / Conmutación por error OOB (segunda conexión Ethernet) · Marcación/Celular (módem V90 y 3G) · Marcación (interna) o módem V90 externo) · VPN (IPsec o conexión Open VPN a través de cualquier interfaz de red)
3. Marque/desmarque para cada red qué acceso al servicio se habilitará/deshabilitará. Las opciones de acceso al servicio Responder a ecos ICMP (es decir, ping) se pueden configurar en este momento.tagmi. Esto permite que el servidor de la consola responda a las solicitudes de eco ICMP entrantes. El ping está habilitado de forma predeterminada. Para mayor seguridad, debe desactivar este servicio cuando complete la configuración inicial. Puede permitir que se acceda a los dispositivos de puerto serie desde interfaces de red designadas utilizando TCP sin formato, Telnet/SSH directo, servicios Telnet/SSH no autenticados, etc.
4. Haga clic en Aplicar Web Configuración de administración La casilla de verificación Habilitar HSTS habilita una estricta seguridad de transporte HTTP. El modo HSTS significa que se debe enviar un encabezado StrictTransport-Security a través del transporte HTTPS. Un obediente web El navegador recuerda este encabezado y, cuando se le solicita que se comunique con el mismo host a través de HTTP (simple), cambiará automáticamente a
19

Capítulo 2: Configuración del sistema
HTTPS antes de intentar HTTP, siempre que el navegador haya accedido al sitio seguro una vez y haya visto el encabezado STS.
Protección de fuerza bruta La protección de fuerza bruta (Micro Fail2ban) bloquea temporalmente las IP de origen que muestran signos maliciosos, como demasiadas fallas de contraseña. Esto puede ayudar cuando los servicios de red del dispositivo están expuestos a una red que no es de confianza, como la WAN pública, y los ataques programados o los gusanos de software intentan adivinar (fuerza bruta) las credenciales del usuario y obtener acceso no autorizado.

La protección de fuerza bruta puede estar habilitada para los servicios enumerados. De forma predeterminada, una vez que la protección está habilitada, 3 o más intentos fallidos de conexión dentro de los 60 segundos desde una IP de origen específica activan la prohibición de conectarse durante un período de tiempo configurable. El límite de intentos y el tiempo de espera de prohibición se pueden personalizar. Las prohibiciones activas también se enumeran y pueden actualizarse recargando la página.

NOTA

Cuando se ejecuta en una red que no es de confianza, considere utilizar una variedad de estrategias para bloquear el acceso remoto. Esto incluye autenticación de clave pública SSH, VPN y reglas de firewall para
Incluya en la lista de permitidos el acceso remoto únicamente desde redes de fuentes confiables. Consulte la base de conocimientos de Opengear para obtener más detalles.

Software de comunicaciones 2.5
Ha configurado protocolos de acceso para que los utilice el cliente administrador al conectarse al servidor de consola. Los clientes usuarios también utilizan estos protocolos cuando acceden a los dispositivos conectados en serie del servidor de consola y a los hosts conectados a la red. Necesita herramientas de software de comunicaciones configuradas en el ordenador del administrador y del usuario cliente. Para conectarse puede utilizar herramientas como PuTTY y SSHTerm.

Manual de usuario
Los conectores disponibles comercialmente combinan el confiable protocolo de túnel SSH con herramientas de acceso populares como Telnet, SSH, HTTP, HTTPS, VNC, RDP para proporcionar acceso de administración remota seguro con solo apuntar y hacer clic a todos los sistemas y dispositivos que se administran. En el Capítulo 5 se puede encontrar información sobre el uso de conectores para el acceso del navegador a la Consola de administración del servidor de consola, el acceso Telnet/SSH a la línea de comandos del servidor de consola y la conexión TCP/UDP a hosts que están conectados en red al servidor de consola. instalado en PC con Windows, Mac OS X y en la mayoría de los sistemas Linux, UNIX y Solaris.
2.6 Configuración de la red de administración
Los servidores de consola tienen puertos de red adicionales que se pueden configurar para proporcionar acceso LAN de administración y/o conmutación por error o acceso fuera de banda. 2.6.1 Habilitar los servidores de la consola LAN de administración se pueden configurar para que el segundo puerto Ethernet proporcione una puerta de enlace LAN de administración. La puerta de enlace tiene funciones de firewall, enrutador y servidor DHCP. Debe conectar un conmutador LAN externo a la Red 2 para conectar hosts a esta LAN de administración:
NOTA El segundo puerto Ethernet se puede configurar como puerto de puerta de enlace LAN de administración o como puerto OOB/Failover. Asegúrese de no haber asignado NET2 como interfaz de conmutación por error cuando configuró la conexión de red principal en el menú Sistema > IP.
21

Capítulo 2: Configuración del sistema
Para configurar la puerta de enlace LAN de administración: 1. Seleccione la pestaña Interfaz LAN de administración en el menú Sistema > IP y desmarque Desactivar. 2. Configure la dirección IP y la máscara de subred para la LAN de administración. Deje los campos DNS en blanco. 3. Haga clic en Aplicar.
La función de puerta de enlace de administración está habilitada con reglas predeterminadas de firewall y enrutador configuradas de modo que solo se pueda acceder a la LAN de administración mediante el reenvío de puerto SSH. Esto garantiza que las conexiones remotas y locales a los dispositivos administrados en la LAN de administración sean seguras. Los puertos LAN también se pueden configurar en modo puente o enlazado o configurarse manualmente desde la línea de comando. 2.6.2 Configurar el servidor DHCP El servidor DHCP permite la distribución automática de direcciones IP a dispositivos en la LAN de administración que ejecutan clientes DHCP. Para habilitar el servidor DHCP:
1. Haga clic en Sistema > Servidor DHCP. 2. En la pestaña Interfaz de red, marque Habilitar servidor DHCP.
22

Manual de usuario
3. Ingrese la dirección de puerta de enlace que se enviará a los clientes DHCP. Si este campo se deja en blanco, se utiliza la dirección IP del servidor de la consola.
4. Ingrese la dirección DNS primaria y DNS secundaria para emitir los clientes DHCP. Si este campo se deja en blanco, se utiliza la dirección IP del servidor de la consola.
5. Opcionalmente, ingrese un sufijo de nombre de dominio para emitir clientes DHCP. 6. Ingrese el tiempo de arrendamiento predeterminado y el tiempo de arrendamiento máximo en segundos. Esta es la cantidad de tiempo
que una dirección IP asignada dinámicamente es válida antes de que el cliente deba solicitarla nuevamente. 7. Haga clic en Aplicar. El servidor DHCP emite direcciones IP de grupos de direcciones especificados: 1. Haga clic en Agregar en el campo Grupos de asignación dinámica de direcciones. 2. Ingrese la dirección inicial y final del grupo DHCP. 3. Haga clic en Aplicar.
23

Capítulo 2: Configuración del sistema
El servidor DHCP también admite la preasignación de direcciones IP para asignarlas a direcciones MAC específicas y la reserva de direcciones IP para que las utilicen hosts conectados con direcciones IP fijas. Para reservar una dirección IP para un host en particular:
1. Haga clic en Agregar en el campo Direcciones reservadas. 2. Ingrese el nombre de host, la dirección de hardware (MAC) y la dirección IP reservada estáticamente para
el cliente DHCP y haga clic en Aplicar.
Cuando DHCP ha asignado direcciones de hosts, se recomienda copiarlas en la lista preasignada para que se reasigne la misma dirección IP en caso de reiniciar.
24

Manual de usuario
2.6.3 Seleccionar conmutación por error o OOB de banda ancha Los servidores de consola proporcionan una opción de conmutación por error, por lo que, en caso de un problema al utilizar la conexión LAN principal para acceder al servidor de la consola, se utiliza una ruta de acceso alternativa. Para habilitar la conmutación por error:
1. Seleccione la página Interfaz de red en el menú Sistema > IP. 2. Seleccione la interfaz de conmutación por error que se utilizará en caso de una falla.tage en la red principal.
3. Haga clic en Aplicar. La conmutación por error se activa después de especificar los sitios externos que se van a sondear para activar la conmutación por error y configurar los puertos de conmutación por error.
2.6.4 Agregar los puertos de red De forma predeterminada, se puede acceder a los puertos de red LAN de administración del servidor de consola mediante un túnel SSH/reenvío de puertos o estableciendo un túnel VPN IPsec hacia el servidor de consola. Todos los puertos de red cableados en los servidores de la consola se pueden agregar mediante puentes o enlaces.
25

Manual de usuario
· De forma predeterminada, la agregación de interfaces está deshabilitada en el menú Sistema > IP > Configuración general · Seleccione Interfaces de puente o Interfaces de enlace
o Cuando el puente está habilitado, el tráfico de red se reenvía a través de todos los puertos Ethernet sin restricciones de firewall. Todos los puertos Ethernet están conectados de forma transparente en la capa de enlace de datos (capa 2) para que conserven sus direcciones MAC únicas.
o Con la vinculación, el tráfico de red se transporta entre los puertos pero está presente con una dirección MAC
Ambos modos eliminan todas las funciones de la interfaz LAN de administración y de la interfaz fuera de banda/conmutación por error y desactivan el servidor DHCP. · En el modo de agregación, todos los puertos Ethernet se configuran colectivamente mediante el menú de la interfaz de red.
25

Capítulo 2: Configuración del sistema
2.6.5 Rutas estáticas Las rutas estáticas proporcionan una forma muy rápida de enrutar datos de una subred a otra subred. Puede codificar una ruta que le indique al servidor/enrutador de la consola que llegue a una subred determinada utilizando una ruta determinada. Esto puede resultar útil para acceder a varias subredes en un sitio remoto cuando se utiliza la conexión OOB celular.

Para agregar la ruta estática a la tabla de rutas del Sistema:
1. Seleccione la pestaña Configuración de ruta en el menú Sistema > Configuración general de IP.
2. Haga clic en Nueva ruta
3. Ingrese un nombre de ruta para la ruta.
4. En el campo Red/Host de destino, ingrese la dirección IP de la red/host de destino al que la ruta proporciona acceso.
5. Introduzca un valor en el campo Máscara de red de destino que identifique la red o el host de destino. Cualquier número entre 0 y 32. Una máscara de subred de 32 identifica una ruta de host.
6. Ingrese Route Gateway con la dirección IP de un enrutador que enrutará paquetes a la red de destino. Esto puede dejarse en blanco.
7. Seleccione la interfaz que utilizará para llegar al destino; puede dejarla como Ninguna.
8. Introduzca un valor en el campo Métrica que represente la métrica de esta conexión. Utilice cualquier número igual o mayor que 0. Esto solo debe configurarse si dos o más rutas entran en conflicto o tienen objetivos superpuestos.
9. Haga clic en Aplicar.

NOTA

La página de detalles de la ruta proporciona una lista de interfaces de red y módems a los que se puede vincular una ruta. En el caso de un módem, la ruta se adjuntará a cualquier sesión de acceso telefónico establecida a través de ese dispositivo. Se puede especificar una ruta con una puerta de enlace, una interfaz o ambas. Si la interfaz especificada no está activa, las rutas configuradas para esa interfaz no estarán activas.

Manual de usuario 3. CONFIGURACIÓN DE PUERTO SERIE, HOST, DISPOSITIVO Y USUARIO
El servidor de consola permite el acceso y control de dispositivos conectados en serie y dispositivos conectados en red (hosts). El administrador debe configurar los privilegios de acceso para cada uno de estos dispositivos y especificar los servicios que se pueden utilizar para controlar los dispositivos. El administrador también puede configurar nuevos usuarios y especificar el acceso individual y los privilegios de control de cada usuario.
Este capítulo cubre cada uno de los pasos en la configuración de dispositivos conectados en red y conectados en serie: · Puertos serie, configuración de protocolos utilizados en dispositivos conectados en serie · Usuarios y grupos, configuración de usuarios y definición de permisos de acceso para cada uno de estos usuarios · Autenticación, esto se trata en más detalle en el Capítulo 8 · Hosts de red que configuran el acceso a computadoras o dispositivos (hosts) conectados a la red local · Configuración de redes confiables: designe direcciones IP a las que acceden los usuarios confiables desde · Conexión en cascada y redirección de puertos serie de consola · Conexión a la alimentación (UPS, PDU y IPMI) y dispositivos de monitoreo ambiental (EMD) · Redirección de puerto serie utilizando los clientes PortShare Windows y Linux · Dispositivos administrados: presenta una solución consolidada view de todas las conexiones · IPSec habilitando la conexión VPN · OpenVPN · PPTP
3.1 Configurar puertos serie
El primer paso para configurar un puerto serie es establecer las configuraciones comunes, como los protocolos y los parámetros RS232 que se utilizarán para la conexión de datos a ese puerto (por ejemplo, velocidad en baudios). Seleccione en qué modo funcionará el puerto. Cada puerto se puede configurar para que admita uno de estos modos de funcionamiento:
· El modo deshabilitado es el predeterminado, el puerto serie está inactivo
27

Capítulo 3:

Puerto serie, host, dispositivo y configuración de usuario

· El modo de servidor de consola permite el acceso general al puerto de consola serie en los dispositivos conectados en serie
· El modo de dispositivo configura el puerto serie para comunicarse con una PDU, UPS o dispositivos de monitoreo ambiental (EMD) controlados en serie inteligente.
· El modo Terminal Server configura el puerto serie para esperar una sesión de inicio de sesión de terminal entrante · El modo Serial Bridge permite la interconexión transparente de dos dispositivos de puerto serie a través de un
red.
1. Seleccione Serie y red > Puerto serie para mostrar los detalles del puerto serie. 2. De forma predeterminada, cada puerto serie está configurado en el modo de servidor de consola. Haga clic en Editar junto al puerto que desea
reconfigurado. O haga clic en Editar varios puertos y seleccione qué puertos desea configurar como grupo. 3. Cuando haya reconfigurado las configuraciones comunes y el modo para cada puerto, configure cualquier syslog remoto (consulte las siguientes secciones para obtener información específica). Haga clic en Aplicar 4. Si el servidor de la consola se configuró con el monitoreo distribuido de Nagios habilitado, use las opciones de Configuración de Nagios para habilitar los servicios nominados en el Host que se monitorearán. 3.1.1 Configuraciones comunes Hay una serie de configuraciones comunes que se pueden configurar para cada serie. puerto. Estos son independientes del modo en el que se utiliza el puerto. Estos parámetros del puerto serie deben configurarse para que coincidan con los parámetros del puerto serie en el dispositivo que conecta a ese puerto:
28

Manual de usuario

· Escriba una etiqueta para el puerto · Seleccione la velocidad de baudios, la paridad, los bits de datos, los bits de parada y el control de flujo apropiados para cada puerto

· Establezca la configuración del puerto. Este elemento de menú aparece para los puertos IM7200 donde la distribución de pines para cada puerto serie RJ45 se puede configurar como X2 (Cisco recto) o X1 (Cisco enrollado).

· Configure el modo DTR. Esto le permite elegir si DTR siempre se afirma o solo cuando hay una sesión de usuario activa.

· Antes de continuar con la configuración adicional del puerto serie, debe conectar los puertos a los dispositivos serie que controlarán y asegurarse de que tengan configuraciones coincidentes.

3.1.2

Modo de servidor de consola
Seleccione Modo de servidor de consola para habilitar el acceso de administración remota a la consola serie conectada a este puerto serie:

Nivel de registro Esto especifica el nivel de información que se registrará y monitoreará.
29

Capítulo 3: Puerto serie, host, dispositivo y configuración de usuario
Nivel 0: deshabilitar el registro (predeterminado)
Nivel 1: Registrar eventos de INICIAR SESIÓN, CIERRE DE SEÑAL y SEÑAL
Nivel 2: Registrar eventos de INICIO DE SESIÓN, CIERRE DE SESIÓN, SEÑAL, TXDATA y RXDATA
Nivel 3: Registrar eventos de INICIAR SESIÓN, CIERRE DE SESIÓN, SEÑAL y RXDATA
Nivel 4: Registrar eventos de INICIO DE SESIÓN, CIERRE DE SESIÓN, SEÑAL y TXDATA
La entrada/RXDATA son datos recibidos por el dispositivo Opengear desde el dispositivo serie conectado, y la salida/TXDATA son datos enviados por el dispositivo Opengear (por ejemplo, escritos por el usuario) al dispositivo serie conectado.
Las consolas de dispositivos generalmente repiten los caracteres a medida que se escriben, por lo que TXDATA escrito por un usuario se recibe posteriormente como RXDATA y se muestra en su terminal.
NOTA: Después de solicitar una contraseña, el dispositivo conectado envía caracteres * para evitar que se muestre la contraseña.

Telnet Cuando el servicio Telnet está habilitado en el servidor de consola, un cliente Telnet en la computadora de un usuario puede conectarse a un dispositivo serie conectado a este puerto serie en el servidor de consola. Debido a que las comunicaciones Telnet no están cifradas, este protocolo sólo se recomienda para conexiones locales o de túnel VPN.
Si las comunicaciones remotas se canalizan con un conector, se puede utilizar Telnet para acceder de forma segura a estos dispositivos conectados.

NOTA

En el modo de servidor de consola, los usuarios pueden usar un conector para configurar conexiones Telnet seguras que se canalizan mediante un túnel SSH desde sus computadoras cliente al puerto serie en el servidor de consola. Los conectores se pueden instalar en PC con Windows y en la mayoría de las plataformas Linux y permiten seleccionar conexiones Telnet seguras con solo apuntar y hacer clic.

Para utilizar un conector para acceder a las consolas en los puertos serie del servidor de consola, configure el conector con el servidor de consola como puerta de enlace y como host, y habilite el servicio Telnet en el puerto (2000 + número de puerto serie), es decir, 2001.

También puede utilizar paquetes de comunicaciones estándar como PuTTY para configurar una conexión Telnet o SSH directa a los puertos serie.

NOTA En el modo de servidor de consola, cuando se conecta a un puerto serie, se conecta a través de pmshell. Para generar una INTERRUPCIÓN en el puerto serie, escriba la secuencia de caracteres ~b. Si está haciendo esto a través de OpenSSH, escriba ~~b.

SSH

Se recomienda utilizar SSH como protocolo cuando los usuarios se conectan al servidor de la consola.

(o conectarse a través del servidor de consola a las consolas serie adjuntas) a través de Internet o cualquier

otra red pública.

Para el acceso SSH a las consolas en dispositivos conectados a los puertos serie del servidor de la consola, puede utilizar un conector. Configure el conector con el servidor de consola como puerta de enlace y como host, y habilite el servicio SSH en el puerto (3000 + número de puerto serie), es decir, 3001-3048.

También puede utilizar paquetes de comunicaciones comunes, como PuTTY o SSHTerm para conectarse SSH a la dirección del puerto Dirección IP _ Puerto (3000 + número de puerto serie), es decir, 3001

Las conexiones SSH se pueden configurar utilizando el puerto SSH estándar 22. El puerto serie al que se accede se identifica agregando un descriptor al nombre de usuario. Esta sintaxis admite:

Manual de usuario
: : Para que un usuario llamado chris acceda al puerto serie 2, al configurar SSHTerm o el cliente SSH PuTTY, en lugar de escribir nombre de usuario = chris y puerto ssh = 3002, la alternativa es escribir nombre de usuario = chris:port02 (o nombre de usuario = chris: ttyS1) y puerto ssh = 22. O al escribir nombre de usuario = chris:serial y puerto ssh = 22, se presenta al usuario una opción de selección de puerto:

Esta sintaxis permite a los usuarios configurar túneles SSH para todos los puertos serie con un único puerto IP 22 que debe abrirse en su firewall/puerta de enlace.
NOTA En el modo de servidor de consola, se conecta a un puerto serie a través de pmshell. Para generar una INTERRUPCIÓN en el puerto serie, escriba la secuencia de caracteres ~b. Si está haciendo esto a través de OpenSSH, escriba ~~b.

Protocolo de control de tráfico

RAW TCP permite conexiones a un socket TCP. Mientras que programas de comunicación como PuTTY

También admite RAW TCP, este protocolo suele ser utilizado por una aplicación personalizada.

Para TCP RAW, la dirección de puerto predeterminada es Dirección IP _ Puerto (4000 + número de puerto serie), es decir, 4001 4048

RAW TCP también permite que el puerto serie se tunelice a un servidor de consola remoto, de modo que dos dispositivos de puerto serie puedan interconectarse de forma transparente a través de una red (consulte el Capítulo 3.1.6 Puente serie)

RFC2217 Seleccionar RFC2217 habilita la redirección del puerto serie en ese puerto. Para RFC2217, la dirección de puerto predeterminada es Dirección IP _ Puerto (5000 + número de puerto serie), es decir, 5001 5048
Hay disponible un software de cliente especial para Windows UNIX y Linux que admite puertos de comunicación virtuales RFC2217, por lo que un host remoto puede monitorear y administrar dispositivos remotos conectados en serie como si estuvieran conectados al puerto serie local (consulte el Capítulo 3.6 Redirección del puerto serie para obtener más detalles).
RFC2217 también permite que el puerto serie se conecte a un servidor de consola remoto, de modo que dos dispositivos de puerto serie puedan interconectarse de forma transparente a través de una red (consulte el Capítulo 3.1.6 Puente serie)

Telnet no autenticado Esto permite el acceso Telnet al puerto serie sin credenciales de autenticación. Cuando un usuario accede al servidor de consola a través de Telnet a un puerto serie, se le solicita iniciar sesión. Con Telnet no autenticado, se conectan directamente a través del puerto sin ningún desafío de inicio de sesión en el servidor de consola. Si un cliente Telnet solicita autenticación, cualquier dato ingresado permitirá la conexión.

Capítulo 3: Puerto serie, host, dispositivo y configuración de usuario
Este modo se utiliza con un sistema externo (como un servidor) que gestiona la autenticación del usuario y los privilegios de acceso a nivel del dispositivo serie.
Iniciar sesión en un dispositivo conectado al servidor de la consola puede requerir autenticación.
Para Telnet no autenticado, la dirección del puerto predeterminado es Dirección IP _ Puerto (6000 + número de puerto serie), es decir, 6001 6048

SSH no autenticado Esto permite el acceso SSH al puerto serie sin credenciales de autenticación. Cuando un usuario accede al servidor de consola a través de Telnet a un puerto serie, se le solicita iniciar sesión. Con SSH no autenticado, se conectan directamente al puerto sin ningún desafío de inicio de sesión en el servidor de consola.
Este modo se utiliza cuando tiene otro sistema que administra la autenticación de usuario y los privilegios de acceso en el nivel del dispositivo serie pero desea cifrar la sesión a través de la red.
Iniciar sesión en un dispositivo conectado al servidor de la consola puede requerir autenticación.
Para Telnet no autenticado, la dirección del puerto predeterminado es Dirección IP _ Puerto (7000 + número de puerto serie), es decir, 7001 7048
El : el método de acceso al puerto (como se describe en la sección SSH anterior) siempre requiere autenticación.

Web Terminal Esto permite web acceso del navegador al puerto serie a través de Administrar > Dispositivos: Serie utilizando el terminal AJAX integrado de la Consola de administración. Web El terminal se conecta como el usuario de Management Console actualmente autenticado y no se vuelve a autenticar. Consulte la sección 12.3 para obtener más detalles.

Alias de IP

Habilite el acceso al puerto serie utilizando una dirección IP específica, especificada en formato CIDR. A cada puerto serie se le pueden asignar uno o más alias de IP, configurados según la interfaz de red. Un puerto serie puede, por ejemploamparchivo, estará accesible tanto en 192.168.0.148 (como parte de la red interna) como en 10.10.10.148 (como parte de la LAN de administración). También es posible hacer que un puerto serie esté disponible en dos direcciones IP en la misma red (por ejemploamparchivos, 192.168.0.148 y 192.168.0.248).

Estas direcciones IP solo se pueden utilizar para acceder al puerto serie específico, accesible mediante los números de puerto TCP del protocolo estándar de los servicios del servidor de consola. por ejemploampEn este archivo, se podría acceder a SSH en el puerto serie 3 en el puerto 22 de un alias de IP de puerto serie (mientras que en la dirección principal del servidor de consola está disponible en el puerto 2003).

Esta función también se puede configurar a través de la página de edición de múltiples puertos. En este caso, las direcciones IP se aplican secuencialmente: el primer puerto seleccionado recibe la IP ingresada y los siguientes se incrementan, y los números se omiten para los puertos no seleccionados. por ejemploamparchivo, si se seleccionan los puertos 2, 3 y 5 y se ingresa el alias IP 10.0.0.1/24 para la interfaz de red, se asignan las siguientes direcciones:

Puerto 2: 10.0.0.1/24

Puerto 3: 10.0.0.2/24

Puerto 5: 10.0.0.4/24

Los alias de IP también admiten direcciones de alias IPv6. La única diferencia es que las direcciones son números hexadecimales, por lo que el puerto 10 puede corresponder a una dirección que termina en A y el 11 a una que termina en B, en lugar de 10 u 11 como en IPv4.

Manual de usuario
Cifrar tráfico/autenticar Habilite el cifrado trivial y la autenticación de comunicaciones serie RFC2217 mediante Portshare (para un cifrado sólido, utilice VPN).
Período de acumulación Una vez que se ha establecido una conexión para un puerto serie en particular (como una redirección RFC2217 o una conexión Telnet a una computadora remota), cualquier carácter entrante en ese puerto se reenvía a través de la red carácter por carácter. El período de acumulación especifica un período de tiempo en el que se recopilan los caracteres entrantes antes de enviarse como un paquete a través de la red.
Carácter de escape Cambia el carácter utilizado para enviar caracteres de escape. El valor predeterminado es ~. Reemplazar Retroceso ¿Sustituir el valor de retroceso predeterminado de CTRL+? (127) con CTRL+h (8). Menú de energía El comando para abrir el menú de energía es ~p y habilita el comando de energía del shell para que
El usuario puede controlar la conexión de alimentación a un dispositivo administrado desde la línea de comando cuando está conectado por Telnet o SSH al dispositivo. El dispositivo administrado debe configurarse con su conexión de puerto serie y su conexión de alimentación configuradas.
Conexión única Esto limita el puerto a una sola conexión, de modo que si varios usuarios tienen privilegios de acceso para un puerto en particular, sólo un usuario a la vez puede acceder a ese puerto (es decir, no se permite el espionaje de puertos).
33

Capítulo 3: Puerto serie, host, dispositivo y configuración de usuario
3.1.3 Modo de dispositivo (RPC, UPS, ambiental) Este modo configura el puerto serie seleccionado para comunicarse con una fuente de alimentación ininterrumpida (UPS) controlada en serie, un controlador de energía remoto/unidades de distribución de energía (RPC) o un dispositivo de monitoreo ambiental (ambiental).

1. Seleccione el tipo de dispositivo deseado (UPS, RPC o ambiental)
2. Vaya a la página de configuración del dispositivo correspondiente (Serie y red > Conexiones UPS, Conexión RPC o Ambiental) como se detalla en el Capítulo 7.

3.1.4 ·

Modo de servidor de terminales
Seleccione el modo Terminal Server y el tipo de terminal (vt220, vt102, vt100, Linux o ANSI) para habilitar un getty en el puerto serie seleccionado

Getty configura el puerto y espera a que se establezca una conexión. Una conexión activa en un dispositivo serie se indica mediante el pin de detección de portador de datos (DCD) elevado en el dispositivo serie. Cuando se detecta una conexión, el programa Getty emite un mensaje de inicio de sesión: e invoca el programa de inicio de sesión para manejar el inicio de sesión del sistema.
NOTA Al seleccionar el modo Terminal Server se desactiva el Administrador de puertos para ese puerto serie, por lo que ya no se registran datos para alertas, etc.

Manual de usuario
3.1.5 Modo de puente serie Con puente serie, los datos serie en un puerto serie designado en un servidor de consola se encapsulan en paquetes de red y se transportan a través de una red a un segundo servidor de consola donde se representan como datos serie. Los dos servidores de consola actúan como un cable serie virtual a través de una red IP. Un servidor de consola está configurado como servidor. El puerto serie del servidor que se va a conectar se configura en el modo de servidor de consola con RFC2217 o RAW habilitado. Para el servidor de la consola del cliente, el puerto serie que se va a conectar debe estar configurado en modo puente:
· Seleccione el modo de puente serie y especifique la dirección IP del servidor de la consola del servidor y la dirección del puerto TCP del puerto serie remoto (para el puente RFC2217 será 5001-5048)
· De forma predeterminada, el cliente puente utiliza TCP RAW. Seleccione RFC2217 si este es el modo de servidor de consola que ha especificado en el servidor de consola del servidor.
· Puede proteger las comunicaciones a través de Ethernet local habilitando SSH. Generar y cargar claves.
3.1.6 Syslog Además del registro y la supervisión incorporados que se pueden aplicar a los accesos de administración conectados en serie y en red, como se explica en el Capítulo 6, el servidor de consola también se puede configurar para admitir el protocolo syslog remoto en un puerto serie por puerto. base:
· Seleccione los campos Instalación/Prioridad de Syslog para habilitar el registro de tráfico en el puerto serie seleccionado a un servidor syslog; y ordenar y actuar sobre esos mensajes registrados (es decir, redirigirlos/enviar correo electrónico de alerta).
35

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
Por ejemploamparchivo, si la computadora conectada al puerto serie 3 nunca debe enviar nada a su puerto serie de consola, el administrador puede configurar la Instalación para ese puerto en local0 (local0 .. local7 están destinados a valores locales del sitio) y la Prioridad en crítico. . Con esta prioridad, si el servidor syslog del servidor de consola recibe un mensaje, genera una alerta. Consulte el Capítulo 6. 3.1.7 Transmisión NMEA El ACM7000-L puede proporcionar transmisión de datos GPS NMEA desde el módem GPS/celular interno. Este flujo de datos se presenta como un flujo de datos en serie en el puerto 5 en los modelos ACM.
Las configuraciones comunes (velocidad en baudios, etc.) se ignoran al configurar el puerto serie NMEA. Puede especificar la frecuencia de fijación (es decir, esta tasa de fijación de GPS determina la frecuencia con la que se obtienen las fijaciones de GPS). También puede aplicar todas las configuraciones del modo de servidor de consola, Syslog y puente serie a este puerto.
Puedes usar pmshell, webshell, SSH, RFC2217 o RawTCP para acceder a la transmisión:
Por ejemploamparchivo, usando el Web Terminal:
36

Manual de usuario

3.1.8 Consolas USB
Los servidores de consola con puertos USB admiten conexiones de consola USB a dispositivos de una amplia gama de proveedores, incluidos Cisco, HP, Dell y Brocade. Estos puertos USB también pueden funcionar como puertos serie RS-232 simples cuando se conecta un adaptador USB a serie.

Estos puertos USB están disponibles como puertos de administrador de puertos normales y se presentan numéricamente en la web UI después de todos los puertos serie RJ45.

El ACM7008-2 tiene ocho puertos serie RJ45 en la parte posterior del servidor de consola y cuatro puertos USB en la parte frontal. En Serie y red > Puerto serie, estos se enumeran como

Puerto # Conector

RJ45

USB

10 USB

11 USB

12 USB

Si el ACM7008-2 en particular es un modelo celular, también aparecerá el puerto n.° 13, para el GPS.

El 7216-24U tiene 16 puertos serie RJ45 y 24 puertos USB en la parte posterior, así como dos puertos USB frontales y (en el modelo celular) un GPS.

Los puertos serie RJ45 se presentan en Serie y red > Puerto serie como números de puerto 1. Los 16 puertos USB posteriores toman los números de puerto 24, y los puertos USB frontales se enumeran en los números de puerto 17 y 40 respectivamente. Y, al igual que con el ACM41-42, si el 7008-2U en particular es un modelo celular, el GPS se presenta en el puerto número 7216.

Las configuraciones comunes (velocidad en baudios, etc.) se utilizan al configurar los puertos, pero es posible que algunas operaciones no funcionen dependiendo de la implementación del chip serie USB subyacente.

3.2 Agregar y editar usuarios
El administrador utiliza esta selección de menú para crear, editar y eliminar usuarios y para definir los permisos de acceso para cada uno de estos usuarios.

Capítulo 3: Puerto serie, dispositivo y configuración de usuario

Los usuarios pueden recibir autorización para acceder a servicios específicos, puertos serie, dispositivos de alimentación y hosts conectados a la red específicos. A estos usuarios también se les puede otorgar el estado de administrador completo (con privilegios completos de configuración, administración y acceso).

Los usuarios se pueden agregar a grupos. Se configuran seis grupos de forma predeterminada:

administración

Proporciona privilegios ilimitados de configuración y administración.

pptpd

Permite el acceso al servidor VPN PPTP. Los usuarios de este grupo tienen su contraseña almacenada en texto sin cifrar.

Marcar

Permite el acceso telefónico a través de módems. Los usuarios de este grupo tienen su contraseña almacenada en texto sin cifrar.

FTP

Permite acceso ftp y file acceso a dispositivos de almacenamiento.

pmshell

Establece el shell predeterminado en pmshell.

usuarios

Proporciona a los usuarios privilegios de administración básicos.

El grupo de administración proporciona a los miembros privilegios completos de administrador. El usuario administrador puede acceder al servidor de la consola utilizando cualquiera de los servicios que se han habilitado en Sistema > Servicios. También puede acceder a cualquiera de los hosts o dispositivos de puerto serie conectados utilizando cualquiera de los servicios que se han habilitado para estas conexiones. Sólo los usuarios de confianza deben tener acceso de administrador
El grupo de usuarios proporciona a los miembros acceso limitado al servidor de la consola y a los hosts y dispositivos serie conectados. Estos usuarios solo pueden acceder a la sección Administración del menú de la Consola de administración y no tienen acceso a la línea de comandos al servidor de la consola. Sólo pueden acceder a aquellos Hosts y dispositivos seriales que hayan sido verificados para ellos, utilizando servicios que hayan sido habilitados.
Los usuarios de los grupos pptd, dialin, ftp o pmshell tienen acceso restringido al shell de usuario a los dispositivos administrados designados, pero no tendrán ningún acceso directo al servidor de consola. Para agregar esto, los usuarios también deben ser miembros de los usuarios o grupos de administradores.
El administrador puede configurar grupos adicionales con permisos de acceso al host, puerto serie y dispositivo de alimentación específicos. Los usuarios de estos grupos adicionales no tienen ningún acceso al menú de Management Console ni tienen acceso a la línea de comandos al servidor de la consola.

Manual de usuario
El administrador puede configurar usuarios con permisos específicos de acceso al host, puerto serie y dispositivo de alimentación que no sean miembros de ningún grupo. Estos usuarios no tienen ningún acceso al menú de Management Console ni acceso a la línea de comandos al servidor de la consola. 3.2.1 Configurar un nuevo grupo Para configurar nuevos grupos y nuevos usuarios, y clasificar a los usuarios como miembros de grupos particulares:
1. Seleccione Serie y red > Usuarios y grupos para mostrar todos los grupos y usuarios. 2. Haga clic en Agregar grupo para agregar un nuevo grupo.
3. Agregue un nombre de grupo y una descripción para cada grupo nuevo y designe los hosts accesibles, los puertos accesibles y las salidas RPC accesibles a los que los usuarios de este nuevo grupo podrán acceder.
4. Haga clic en Aplicar 5. El administrador puede editar o eliminar cualquier grupo agregado. 3.2.2 Configurar nuevos usuarios Para configurar nuevos usuarios y clasificar usuarios como miembros de grupos particulares: 1. Seleccione Serie y red > Usuarios y grupos para mostrar todos los grupos y usuarios 2. Haga clic en Agregar usuario
39

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
3. Agregue un nombre de usuario para cada nuevo usuario. También puede incluir información relacionada con el usuario (por ejemplo, datos de contacto) en el campo Descripción. El Nombre de usuario puede contener de 1 a 127 caracteres alfanuméricos y los caracteres “-” “_” y “.”.
4. Especifique de qué grupos desea que el usuario sea miembro. 5. Agregue una contraseña confirmada para cada nuevo usuario. Todos los personajes están permitidos. 6. Se puede utilizar la autenticación de clave de acceso SSH. Pegue las claves públicas de público/privado autorizado
pares de claves para este usuario en el campo Claves SSH autorizadas. 7. Marque Desactivar autenticación de contraseña para permitir solo la autenticación de clave pública para este usuario.
cuando se utiliza SSH 8. Marque Habilitar devolución de llamada en el menú Opciones de llamada entrante para permitir una conexión de devolución de llamada saliente.
que se activará al iniciar sesión en este puerto. Ingrese el número de teléfono de devolución de llamada con el número de teléfono al que devolverá la llamada cuando el usuario inicie sesión. 9. Marque Hosts accesibles y/o Puertos accesibles para designar los puertos seriales y los hosts conectados a la red a los que desea que el usuario tenga privilegios de acceso. 10. Si hay RPC configurados, marque Salidas RPC accesibles para especificar qué salidas puede controlar el usuario (es decir, encendido/apagado). 11. Haga clic en Aplicar. El nuevo usuario podrá acceder a los dispositivos de red, puertos y salidas RPC accesibles. Si el usuario es miembro del grupo, también puede acceder a cualquier otro dispositivo/puerto/toma de corriente accesible al grupo.
40

Manual de usuario
No hay límites en la cantidad de usuarios que puede configurar ni en la cantidad de usuarios por puerto serie o host. Varios usuarios pueden controlar/monitorear un puerto o host. No hay límites en el número de grupos y cada usuario puede ser miembro de varios grupos. Un usuario no tiene que ser miembro de ningún grupo, pero si es miembro del grupo de usuarios predeterminado, no podrá usar Management Console para administrar puertos. Si bien no hay límites, el tiempo para reconfigurar aumenta a medida que aumenta el número y la complejidad. Recomendamos que el número total de usuarios y grupos se mantenga por debajo de 250. El administrador también puede editar la configuración de acceso para cualquier usuario existente:
· Seleccione Serie y red > Usuarios y grupos y haga clic en Editar para modificar los privilegios de acceso del usuario · Haga clic en Eliminar para eliminar al usuario · Haga clic en Desactivar para bloquear temporalmente los privilegios de acceso
3.3 Autenticación
Consulte el Capítulo 8 para obtener detalles de configuración de autenticación.
3.4 Anfitriones de red
Para monitorear y acceder de forma remota a una computadora o dispositivo en red local (denominado Host), debe identificar el Host:
1. Al seleccionar Serie y red > Hosts de red se presentan todos los hosts conectados a la red que se han habilitado para su uso.
2. Haga clic en Agregar host para permitir el acceso a un nuevo host (o seleccione Editar para actualizar la configuración del host existente)
41

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
3. Si el Host es un dispositivo de alimentación PDU o UPS o un servidor con control de energía IPMI, especifique RPC (para IPMI y PDU) o UPS y el tipo de dispositivo. El administrador puede configurar estos dispositivos y habilitar qué usuarios tienen permiso para realizar ciclos de energía de forma remota, etc. Consulte el Capítulo 7. De lo contrario, deje el Tipo de dispositivo establecido en Ninguno.
4. Si el servidor de la consola se ha configurado con la supervisión distribuida de Nagios habilitada, también verá las opciones de Configuración de Nagios para permitir que se supervisen los servicios nominados en el Host.
5. Haga clic en Aplicar. Esto crea el nuevo Host y también crea un nuevo dispositivo administrado con el mismo nombre.
3.5 Redes confiables
La función Trusted Networks le ofrece la opción de designar direcciones IP en las que deben ubicarse los usuarios para tener acceso a los puertos serie del servidor de consola:
42

Manual de usuario
1. Seleccione Serie y red > Redes confiables. 2. Para agregar una nueva red confiable, seleccione Agregar regla. A falta de Normas no hay acceso
limitaciones en cuanto a la dirección IP en la que se pueden ubicar los usuarios.

3. Seleccione los puertos accesibles a los que se aplicará la nueva regla.
4. Ingrese la dirección de red de la subred a la que se le permitirá el acceso.
5. Especifique el rango de direcciones que se permitirán ingresando una máscara de red para ese rango de IP permitido, por ejemplo
· Para permitir que todos los usuarios ubicados con una conexión de red Clase C particular accedan al puerto designado, agregue la siguiente nueva regla de red confiable:

Dirección IP de red

204.15.5.0

Máscara de subred

255.255.255.0

· Para permitir que solo un usuario ubicado en una dirección IP específica se conecte:

Dirección IP de red

204.15.5.13

Máscara de subred

255.255.255.255

· Para permitir que todos los usuarios que operan dentro de un rango específico de direcciones IP (por ejemplo, cualquiera de las treinta direcciones desde 204.15.5.129 a 204.15.5.158) puedan conectarse al puerto designado:

Dirección de host/subred

204.15.5.128

Máscara de subred

255.255.255.224

6. Haga clic en Aplicar

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
3.6 Puerto serie en cascada
Los puertos en cascada le permiten agrupar servidores de consola distribuidos para que se pueda configurar y acceder a una gran cantidad de puertos serie (hasta 1000) a través de una dirección IP y administrarlos a través de una consola de administración. Un servidor de consola, el Primario, controla otros servidores de consola como unidades de Nodo y todos los puertos serie en las unidades de Nodo aparecen como si fueran parte del Primario. La agrupación en clústeres de Opengear conecta cada nodo con el primario con una conexión SSH. Esto se hace mediante autenticación de clave pública, de modo que el primario pueda acceder a cada nodo utilizando el par de claves SSH (en lugar de utilizar contraseñas). Esto garantiza comunicaciones autenticadas seguras entre el primario y los nodos, lo que permite que las unidades del servidor de consola del nodo se distribuyan localmente en una LAN o de forma remota en todo el mundo.
3.6.1 Generar y cargar claves SSH automáticamente Para configurar la autenticación de clave pública, primero debe generar un par de claves RSA o DSA y cargarlas en los servidores de consola principal y de nodo. Esto se puede hacer automáticamente desde la Primaria:
44

Manual de usuario
1. Seleccione Sistema > Administración en la Consola de administración principal.
2. Marque Generar claves SSH automáticamente. 3. Haga clic en Aplicar
A continuación debe seleccionar si desea generar claves usando RSA y/o DSA (si no está seguro, seleccione solo RSA). Generar cada conjunto de claves requiere dos minutos y las nuevas claves destruyen las antiguas de ese tipo. Mientras la nueva generación está en marcha, las funciones que dependen de claves SSH (por ejemplo, la conexión en cascada) pueden dejar de funcionar hasta que se actualicen con el nuevo conjunto de claves. Para generar claves:
1. Marque las casillas de las claves que desea generar. 2. Haga clic en Aplicar
3. Una vez generadas las nuevas claves, haga clic en el enlace Haga clic aquí para regresar. Las claves estan cargadas
a los Nodos Primarios y conectados.
3.6.2 Generar y cargar claves SSH manualmente. Alternativamente, si tiene un par de claves RSA o DSA, puede cargarlas en los servidores de consola principal y de nodo. Para cargar el par de claves pública y privada al servidor de consola principal:
1. Seleccione Sistema > Administración en la Consola de administración del primario.
2. Busque la ubicación donde almacenó la clave pública RSA (o DSA) y cárguela en la clave pública SSH RSA (DSA).
3. Busque la clave privada RSA (o DSA) almacenada y cárguela en la clave privada SSH RSA (DSA). 4. Haga clic en Aplicar.
45

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
A continuación, debe registrar la Clave Pública como Clave Autorizada en el Nodo. En el caso de un primario con múltiples nodos, usted carga una clave pública RSA o DSA para cada nodo.
1. Seleccione Sistema > Administración en la consola de administración del nodo. 2. Busque la clave pública RSA (o DSA) almacenada y cárguela en la clave autorizada SSH del nodo.
3. Haga clic en Aplicar. El siguiente paso es tomar la huella digital de cada nueva conexión Nodo-Primario. Este paso valida que estás estableciendo una sesión SSH con quien crees que eres. En la primera conexión, el Nodo recibe una huella digital del Primario utilizada en todas las conexiones futuras: Para establecer la huella digital, primero inicie sesión en el servidor Primario como raíz y establezca una conexión SSH con el host remoto del Nodo:
# ssh remhost Una vez que se haya establecido la conexión SSH, se le pedirá que acepte la clave. Responda sí y la huella digital se agregará a la lista de hosts conocidos. Si se le solicita que proporcione una contraseña, hubo problemas al cargar las claves. 3.6.3 Configurar los nodos y sus puertos serie Comience a configurar los nodos y los puertos serie de los nodos desde el servidor de consola principal:
1. Seleccione Serie y red > Puertos en cascada en la consola de administración del primario: 2. Para agregar soporte de agrupación en clústeres, seleccione Agregar nodo
No puede agregar nodos hasta que haya generado claves SSH. Para definir y configurar un Nodo:
46

Manual de usuario
1. Ingrese la dirección IP remota o el nombre DNS para el servidor de consola del nodo. 2. Ingrese una breve descripción y una breve etiqueta para el nodo. 3. Ingrese el número completo de puertos serie en la unidad del nodo en Número de puertos. 4. Haga clic en Aplicar. Esto establece el túnel SSH entre el Nodo Primario y el nuevo.
El menú Serie y red > Puertos en cascada muestra todos los nodos y los números de puerto que se han asignado en el primario. Si el servidor de consola principal tiene 16 puertos propios, los puertos 1 a 16 están preasignados al principal, por lo que al primer nodo agregado se le asigna el número de puerto 17 en adelante. Una vez que haya agregado todos los servidores de la consola del Nodo, los puertos seriales del Nodo y los dispositivos conectados son configurables y accesibles desde el menú de la Consola de administración del Primario y accesibles a través de la dirección IP del Primario.
1. Seleccione la Serie y red apropiada > Puerto serie y Editar para configurar los puertos serie en el
Nodo.
2. Seleccione la Serie y Red > Usuarios y Grupos apropiados para agregar nuevos usuarios con privilegios de acceso.
a los puertos serie del nodo (o para ampliar los privilegios de acceso de los usuarios existentes).
3. Seleccione la Serie y red apropiada > Redes confiables para especificar las direcciones de red que
puede acceder a los puertos serie del nodo designado. 4. Seleccione Alertas y registro > Alertas apropiados para configurar la conexión y el estado del puerto del nodo.
Alertas de coincidencia de patrones de cambiador. Los cambios de configuración realizados en el primario se propagan a todos los nodos cuando hace clic en Aplicar.
3.6.4 Gestión de nodos El primario tiene el control de los puertos serie del nodo. por ejemploamparchivo, si cambia los privilegios de acceso de un usuario o edita cualquier configuración del puerto serie en el Primario, la configuración actualizada fileLos mensajes de correo electrónico se envían a cada nodo en paralelo. Cada nodo realiza cambios en sus configuraciones locales (y solo realiza cambios relacionados con sus puertos serie particulares). Puede utilizar la Consola de administración de nodos local para cambiar la configuración en cualquier puerto serie del nodo (como alterar las velocidades en baudios). Estos cambios se sobrescriben la próxima vez que el Primario envíe una configuración. file actualizar. Si bien el principal tiene el control de todas las funciones relacionadas con el puerto serie del nodo, no es el principal en las conexiones del host de la red del nodo ni en el sistema del servidor de consola del nodo. Las funciones de los nodos, como las configuraciones de IP, SMTP y SNMP, fecha y hora y el servidor DHCP, deben administrarse accediendo a cada nodo directamente y estas funciones no se sobrescriben cuando los cambios de configuración se propagan desde el primario. La configuración de IPMI y del host de red del nodo se debe configurar en cada nodo.
47

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
La consola de administración del primario proporciona una solución consolidada view de la configuración para sus propios puertos serie y los de todo el Nodo. La Primaria no proporciona un sistema totalmente consolidado. view. Por ejemploamparchivo, si desea saber quién ha iniciado sesión en los puertos serie en cascada desde el principal, verá que Estado > Usuarios activos solo muestra aquellos usuarios activos en los puertos del principal, por lo que es posible que deba escribir scripts personalizados para proporcionar esto. view.
3.7 Redirección del puerto serie (PortShare)
El software Port Share de Opengear ofrece la tecnología de puerto serie virtual que sus aplicaciones Windows y Linux necesitan para abrir puertos serie remotos y leer los datos de los dispositivos serie que están conectados a su servidor de consola.
PortShare se suministra de forma gratuita con cada servidor de consola y usted tiene licencia para instalar PortShare en una o más computadoras para acceder a cualquier dispositivo serie conectado a un puerto de servidor de consola. PortShare para Windows Portshare_setup.exe se puede descargar desde el sitio ftp. Consulte el Manual del usuario de PortShare y el Inicio rápido para obtener detalles sobre la instalación y el funcionamiento. PortShare para Linux El controlador PortShare para Linux asigna el puerto serie del servidor de consola a un puerto de prueba del host. Opengear ha lanzado portshare-serial-client como una utilidad de código abierto para Linux, AIX, HPUX, SCO, Solaris y UnixWare. Esta utilidad se puede descargar desde el sitio ftp. Este redirector de puerto serie PortShare le permite utilizar un dispositivo serie conectado al servidor de consola remota como si estuviera conectado a su puerto serie local. El cliente serial portshare crea un puerto pseudo tty, conecta la aplicación serie al puerto pseudo tty, recibe datos del puerto pseudo tty, los transmite al servidor de consola a través de la red y recibe datos del servidor de consola a través de la red y los transmite. al puerto pseudo-tty. El .alquitrán file se puede descargar desde el sitio ftp. Consulte el Manual del usuario de PortShare y el Inicio rápido para obtener detalles sobre la instalación y el funcionamiento.
48

Manual de usuario
3.8 dispositivos administrados
La página Dispositivos administrados presenta una vista consolidada view de todas las conexiones a un dispositivo al que se puede acceder y monitorear a través del servidor de consola. A view las conexiones a los dispositivos, seleccione Serie y red > Dispositivos administrados
Esta pantalla muestra todos los dispositivos administrados con su Descripción/Notas y listas de todas las Conexiones configuradas:
· Número de puerto serie (si está conectado en serie) o · USB (si está conectado USB) · Dirección IP (si está conectado a la red) · Detalles de la PDU/tomacorriente de alimentación (si corresponde) y cualquier conexión de UPS Los dispositivos como servidores pueden tener más de una conexión de energía (por ejemplo, suministro de alimentación dual) y más de una conexión de red (por ejemplo, para BMC/procesador de servicio). Todos los usuarios pueden view estas conexiones de dispositivos administrados seleccionando Administrar > Dispositivos. Los administradores también pueden editar y agregar/eliminar estos dispositivos administrados y sus conexiones. Para editar un dispositivo existente y agregar una nueva conexión: 1. Seleccione Editar en Serie y red > Dispositivos administrados y haga clic en Agregar conexión. 2. Seleccione el tipo de conexión para la nueva conexión (Serie, Host de red, UPS o RPC) y seleccione
la conexión de la lista presentada de hosts/puertos/salidas no asignados configurados
49

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
Para agregar un nuevo dispositivo administrado conectado a la red: 1. El administrador agrega un nuevo dispositivo administrado conectado a la red usando Agregar host en el menú Serie y red > Host de red. Esto crea automáticamente un nuevo dispositivo administrado correspondiente. 2. Al agregar un nuevo dispositivo de alimentación RPC o UPS conectado a la red, configura un host de red y lo designa como RPC o UPS. Vaya a Conexiones RPC o Conexiones UPS para configurar la conexión relevante. El nuevo dispositivo administrado correspondiente con el mismo nombre/descripción que el host RPC/UPS no se crea hasta que se complete este paso de conexión.
NOTA Los nombres de los tomacorrientes en la PDU recién creada son Tomacorriente 1 y Tomacorriente 2. Cuando conecta un dispositivo administrado en particular que extrae energía del tomacorriente, el tomacorriente toma el nombre del dispositivo administrado alimentado.
Para agregar un nuevo dispositivo administrado conectado en serie: 1. Configure el puerto serie usando el menú Serie y red > Puerto serie (consulte la Sección 3.1 Configurar puerto serie) 2. Seleccione Serie y red > Dispositivos administrados y haga clic en Agregar dispositivo 3. Ingrese un dispositivo Nombre y descripción del dispositivo administrado

4. Haga clic en Agregar conexión y seleccione Serie y el puerto que se conecta al dispositivo administrado.

5. Para agregar una conexión de alimentación UPS/RPC o una conexión de red u otra conexión en serie, haga clic en Agregar conexión

6. Haga clic en Aplicar

NOTA

Para configurar un dispositivo RPC UPS o EMD conectado en serie, configure el puerto serie, designelo como Dispositivo e ingrese un Nombre y Descripción para ese dispositivo en Serie y red > Conexiones RPC (o Conexiones UPS o Ambiental). Esto crea un nuevo dispositivo administrado correspondiente con el mismo nombre/descripción que el host RPC/UPS. Los nombres de las salidas en esta PDU recién creada son Salida 1 y Salida 2. Cuando conecta un dispositivo administrado que extrae energía de la toma de corriente, la salida toma el nombre del Dispositivo administrado alimentado.

3.9 VPN IPsec
El ACM7000, CM7100 e IM7200 incluyen Openswan, una implementación de Linux de los protocolos IPsec (seguridad IP), que se puede utilizar para configurar una red privada virtual (VPN). La VPN permite que varios sitios o administradores remotos accedan al servidor de la consola y a los dispositivos administrados de forma segura a través de Internet.

Manual de usuario
El administrador puede establecer conexiones VPN autenticadas cifradas entre servidores de consola distribuidos en sitios remotos y una puerta de enlace VPN (como un enrutador Cisco que ejecuta IOS IPsec) en la red de su oficina central:
· Los usuarios de la oficina central pueden acceder de forma segura a los servidores de consola remota y a los dispositivos y máquinas de consola serie conectados en la subred LAN de administración en la ubicación remota como si fueran locales
· Todos estos servidores de consola remota se pueden monitorear con un CMS6000 en la red central · Con puente en serie, los datos en serie del controlador en la máquina de la oficina central se pueden monitorear de forma segura
conectado a los dispositivos controlados en serie en los sitios remotos. El administrador road warrior puede usar un cliente de software VPN IPsec para acceder de forma remota al servidor de la consola y a cada máquina en la subred LAN de administración en la ubicación remota.
La configuración de IPsec es bastante compleja, por lo que Opengear proporciona una interfaz GUI para la configuración básica como se describe a continuación. Para habilitar la puerta de enlace VPN:
1. Seleccione IPsec VPN en el menú Serie y redes.
2. Haga clic en Agregar y complete la pantalla Agregar túnel IPsec. 3. Ingrese cualquier nombre descriptivo que desee para identificar el túnel IPsec que está agregando, como por ejemplo
WestStOutlet-VPN
51

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
4. Seleccione el método de autenticación que se utilizará, ya sea firmas digitales RSA o un secreto compartido (PSK). o Si selecciona RSA, se le pedirá que haga clic aquí para generar claves. Esto genera una clave pública RSA para el servidor de la consola (la clave pública izquierda). Localice la clave que se utilizará en la puerta de enlace remota, córtela y péguela en la clave pública correcta.
o Si selecciona Secreto compartido, ingrese un secreto previamente compartido (PSK). El PSK debe coincidir con el PSK configurado en el otro extremo del túnel.
5. En Protocolo de autenticación seleccione el protocolo de autenticación que se utilizará. Autentíquese como parte del cifrado ESP (carga útil de seguridad encapsulada) o por separado utilizando el protocolo AH (encabezado de autenticación).
52

Manual de usuario
6. Ingrese una ID izquierda y una ID derecha. Este es el identificador que utilizan el host/puerta de enlace local y el host/puerta de enlace remoto para la negociación y autenticación de IPsec. Cada ID debe incluir una @ y puede incluir un nombre de dominio completo (por ejemplo, left@example.com)
7. Ingrese la dirección IP pública o DNS de esta puerta de enlace Opengear VPN como Dirección izquierda. Puede dejar esto en blanco para usar la interfaz de la ruta predeterminada.
8. En Dirección correcta ingrese la dirección IP pública o DNS del extremo remoto del túnel (solo si el extremo remoto tiene una dirección estática o DynDNS). De lo contrario, deja esto en blanco.
9. Si la puerta de enlace Opengear VPN sirve como puerta de enlace VPN a una subred local (por ejemplo, el servidor de la consola tiene una LAN de administración configurada), ingrese los detalles de la subred privada en Subred izquierda. Utilice la notación CIDR (donde el número de dirección IP va seguido de una barra y el número de bits "uno" en la notación binaria de la máscara de red). por ejemploampEl archivo 192.168.0.0/24 indica una dirección IP donde los primeros 24 bits se utilizan como dirección de red. Esto es lo mismo que 255.255.255.0. Si el acceso VPN es solo al servidor de consola y a sus dispositivos de consola serie conectados, deje la Subred izquierda en blanco.
10. Si hay una puerta de enlace VPN en el extremo remoto, ingrese los detalles de la subred privada en Subred derecha. Utilice la notación CIDR y déjela en blanco si solo hay un host remoto
11. Seleccione Iniciar túnel si la conexión del túnel se va a iniciar desde el extremo del servidor de la consola izquierda. Esto solo se puede iniciar desde la puerta de enlace VPN (izquierda) si el extremo remoto está configurado con una dirección IP estática (o DynDNS).
12. Haga clic en Aplicar para guardar los cambios.
NOTA Los detalles de configuración establecidos en el servidor de la consola (denominado host izquierdo o local) deben coincidir con la configuración ingresada al configurar el host/puerta de enlace remoto (derecho) o el cliente de software. Consulte http://www.opengear.com/faq.html para obtener detalles sobre la configuración de estos extremos remotos.
3.10 VPN abierta
Los ACM7000, CM7100 e IM7200 con firmware V3.2 y posteriores incluyen OpenVPN. OpenVPN utiliza la biblioteca OpenSSL para cifrado, autenticación y certificación, lo que significa que utiliza SSL/TSL (Secure Socket Layer/Transport Layer Security) para el intercambio de claves y puede cifrar tanto datos como canales de control. El uso de OpenVPN permite la creación de VPN punto a punto multiplataforma utilizando X.509 PKI (infraestructura de clave pública) o una configuración personalizada. files. OpenVPN permite un túnel seguro de datos a través de un único puerto TCP/UDP a través de una red no segura, proporcionando así acceso seguro a múltiples sitios y administración remota segura a un servidor de consola a través de Internet. OpenVPN también permite el uso de direcciones IP dinámicas tanto por parte del servidor como del cliente, proporcionando así movilidad al cliente. por ejemploamparchivo, se puede establecer un túnel OpenVPN entre un cliente Windows itinerante y un servidor de consola Opengear dentro de un centro de datos. La configuración de OpenVPN puede ser compleja, por lo que Opengear proporciona una interfaz GUI para la configuración básica como se describe a continuación. Información más detallada está disponible en http://www.openvpn.net
3.10.1 Habilite OpenVPN 1. Seleccione OpenVPN en el menú Serie y redes
53

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
2. Haga clic en Agregar y complete la pantalla Agregar túnel OpenVPN. 3. Ingrese cualquier nombre descriptivo que desee para identificar el túnel OpenVPN que está agregando, por ejemplo.ample
NorthStOutlet-VPN
4. Seleccione el método de autenticación que se utilizará. Para autenticarse mediante certificados, seleccione PKI (certificados X.509) o seleccione Configuración personalizada para cargar una configuración personalizada. files. Las configuraciones personalizadas deben almacenarse en /etc/config.
NOTA Si selecciona PKI, establezca: Certificado independiente (también conocido como clave pública). Este certificado File es un *.crt file escriba la clave privada para el servidor y cada cliente. Esta clave privada File es una *.clave file tipo
Certificado de autoridad de certificación primaria (CA) y clave que se utiliza para firmar cada uno de los servidores
y certificados de cliente. Este certificado de CA raíz es un *.crt file escriba Para un servidor, es posible que también necesite dh1024.pem (parámetros de Diffie Hellman). Consulte http://openvpn.net/easyrsa.html para obtener una guía sobre la administración básica de claves RSA. Para conocer métodos de autenticación alternativos, consulte http://openvpn.net/index.php/documentation/howto.html#auth.
5. Seleccione el controlador del dispositivo que se utilizará, ya sea Tun-IP o Tap-Ethernet. Los controladores TUN (túnel de red) y TAP (network tap) son controladores de red virtual que admiten túneles IP y túneles Ethernet, respectivamente. TUN y TAP son parte del kernel de Linux.
6. Seleccione UDP o TCP como protocolo. UDP es el protocolo predeterminado y preferido para OpenVPN. 7. Marque o desmarque el botón Compresión para habilitar o deshabilitar la compresión. 8. En el modo Túnel, indique si este es el extremo del túnel del Cliente o del Servidor. Cuando se ejecuta como
un servidor, el servidor de consola admite que varios clientes se conecten al servidor VPN a través del mismo puerto.
54

Manual de usuario
3.10.2 Configurar como servidor o cliente
1. Complete los Detalles del cliente o los Detalles del servidor según el modo de túnel seleccionado. o Si se ha seleccionado Cliente, la dirección del servidor primario es la dirección del servidor OpenVPN. o Si se ha seleccionado Servidor, ingrese la dirección de red del grupo de IP y la máscara de red del grupo de IP para el grupo de IP. La red definida por la dirección/máscara de red del grupo de IP se utiliza para proporcionar las direcciones para conectar a los clientes.
2. Haga clic en Aplicar para guardar los cambios.
55

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
3. Para ingresar certificados de autenticación y files, seleccione Administrar OpenVPN Filepuñalada. Cargue o busque certificados de autenticación relevantes y files.
4. Aplicar para guardar los cambios. Salvado fileLos archivos se muestran en rojo en el lado derecho del botón Cargar.
5. Para habilitar OpenVPN, edite el túnel OpenVPN
56

Manual de usuario
6. Marque el botón Habilitado. 7. Aplicar para guardar los cambios NOTA Asegúrese de que la hora del sistema del servidor de la consola sea correcta cuando trabaje con OpenVPN para evitar
problemas de autenticación.
8. Seleccione Estadísticas en el menú Estado para verificar que el túnel esté operativo.
57

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
3.10.3 Configuración del servidor y cliente OpenVPN de Windows Esta sección describe la instalación y configuración de un cliente OpenVPN de Windows o un servidor OpenVPN de Windows y la configuración de una conexión VPN a un servidor de consola. Los servidores de consola generan automáticamente la configuración del cliente de Windows desde la GUI para el secreto precompartido (clave estática). File) configuraciones.
Alternativamente, el software OpenVPN GUI para Windows (que incluye el paquete OpenVPN estándar más una GUI de Windows) se puede descargar desde http://openvpn.net. Una vez instalado en la máquina con Windows, se agrega un ícono de OpenVPN al Área de notificación ubicada en el lado derecho de la barra de tareas. Haga clic derecho en este icono para iniciar y detener conexiones VPN, editar configuraciones y view registros.
Cuando el software OpenVPN comienza a ejecutarse, el programa C: FileSe analiza la carpeta sOpenVPNconfig en busca de .opvn files. Esta carpeta se vuelve a comprobar para una nueva configuración. files cada vez que se hace clic con el botón derecho en el icono de la GUI de OpenVPN. Una vez instalado OpenVPN, cree una configuración file:
58

Manual de usuario

Usando un editor de texto, cree un xxxx.ovpn file y guardar en C:Programa FilesOpenVPNconfig. por ejemploample, C: Programa FilesOpenVPNconfigclient.ovpn
Un examparchivo de configuración de un cliente Windows OpenVPN file se muestra a continuación:
# descripción: IM4216_client cliente proto udp verbo 3 dev tun remoto 192.168.250.152 puerto 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind persist-key persist- tun comp-lzo
Un examparchivo de una configuración de OpenVPN Windows Server file se muestra a continuación:
servidor 10.100.10.0 255.255.255.0 puerto 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt key c:\openvpnkeys\server. clave dh c:\openvpnkeys\dh.pem comp-lzo verbo 1 syslog IM4216_OpenVPN_Server
La configuración cliente/servidor de Windows file las opciones son:

Opciones #descripción: cliente servidor proto udp proto tcp mssfix verbo
grifo dev tun dev

Descripción Este es un comentario que describe la configuración. Las líneas de comentarios comienzan con `#' y OpenVPN las ignora. Especifique si esta será una configuración de cliente o de servidor. file. En la configuración del servidor file, defina el grupo de direcciones IP y la máscara de red. por ejemploamparchivo, servidor 10.100.10.0 255.255.255.0 Configure el protocolo en UDP o TCP. El cliente y el servidor deben utilizar la misma configuración. Mssfix establece el tamaño máximo del paquete. Esto sólo es útil para UDP si ocurren problemas.
Establecer registro file nivel de verbosidad. El nivel de detalle del registro se puede establecer entre 0 (mínimo) y 15 (máximo). por ejemploample, 0 = silencioso excepto por errores fatales 3 = salida media, bueno para uso general 5 = ayuda con la depuración de problemas de conexión 9 = detallado, excelente para solucionar problemas Seleccione `dev tun' para crear un túnel IP enrutado o `dev tap' para crear un túnel Ethernet. El cliente y el servidor deben utilizar la misma configuración.

Capítulo 3: Puerto serie, dispositivo y configuración de usuario

remoto Puerto Keepalive
proxy http Californiafile nombre>
certificadofile nombre>
llavefile nombre>
DHfile nombre> Nobind persist-key persist-tun cifrado BF-CBC Blowfish (predeterminado) cifrado AES-128-CBC Cifrado AES DES-EDE3-CBC Triple-DES comp-lzo syslog

El nombre de host/IP del servidor OpenVPN cuando funciona como cliente. Ingrese el nombre de host DNS o la dirección IP estática del servidor. El puerto UDP/TCP del servidor. Keepalive utiliza ping para mantener viva la sesión de OpenVPN. 'Keepalive hace 10 pings de 120′ cada 10 segundos y supone que el par remoto está inactivo si no se ha recibido ningún ping durante un período de 120 segundos. Si se requiere un proxy para acceder al servidor, ingrese el nombre DNS o IP del servidor proxy y el número de puerto. Ingrese el certificado de CA file nombre y ubicación. El mismo certificado CA file Puede ser utilizado por el servidor y todos los clientes. Nota: Asegúrese de que cada `' en la ruta del directorio se reemplace con ` \'. por ejemploamparchivo, c:openvpnkeysca.crt se convertirá en c:\openvpnkeys\ca.crt Ingrese el certificado del cliente o servidor file nombre y ubicación. Cada cliente debe tener su propio certificado y clave. files. Nota: Asegúrese de que cada `' en la ruta del directorio se reemplace con ` \'. Introducir el file nombre y ubicación de la clave del cliente o servidor. Cada cliente debe tener su propio certificado y clave. files. Nota: Asegúrese de que cada `' en la ruta del directorio se reemplace con ` \'. Esto lo utiliza únicamente el servidor. Ingrese la ruta a la clave con los parámetros Diffie-Hellman. 'Nobind' se utiliza cuando los clientes no necesitan vincularse a una dirección local o a un número de puerto local específico. Este es el caso en la mayoría de las configuraciones de clientes. Esta opción evita la recarga de claves durante los reinicios. Esta opción evita el cierre y la reapertura de dispositivos TUN/TAP durante los reinicios. Seleccione un cifrado criptográfico. El cliente y el servidor deben utilizar la misma configuración.
Habilite la compresión en el enlace OpenVPN. Esto debe estar habilitado tanto en el cliente como en el servidor. De forma predeterminada, los registros se encuentran en syslog o, si se ejecutan como un servicio en Windows, en Programa FileDirectorio OpenVPNlog.

Para iniciar el túnel OpenVPN después de la creación de la configuración cliente/servidor files: 1. Haga clic derecho en el icono de OpenVPN en el área de notificación. 2. Seleccione la configuración del cliente o servidor recién creada. 3. Haga clic en Conectar

4. El registro file se muestra cuando se establece la conexión
60

Manual de usuario
5. Una vez establecido, el ícono de OpenVPN muestra un mensaje que indica una conexión exitosa y la IP asignada. Esta información, así como la hora en que se estableció la conexión, está disponible desplazándose sobre el icono de OpenVPN.
3.11 VPN PPTP
Los servidores de consola incluyen un servidor PPTP (Protocolo de túnel punto a punto). PPTP se utiliza para comunicaciones a través de un enlace serie físico o virtual. Los puntos finales de PPP definen una dirección IP virtual para ellos mismos. Las rutas a las redes se pueden definir con estas direcciones IP como puerta de enlace, lo que da como resultado que el tráfico se envíe a través del túnel. PPTP establece un túnel entre los puntos finales físicos de PPP y transporta datos de forma segura a través del túnel.
La fortaleza de PPTP es su facilidad de configuración e integración en la infraestructura existente de Microsoft. Generalmente se utiliza para conectar clientes Windows remotos individuales. Si lleva su computadora portátil a un viaje de negocios, puede marcar un número local para conectarse a su proveedor de servicios de acceso a Internet (ISP) y crear una segunda conexión (túnel) a la red de su oficina a través de Internet y tener el mismo acceso a su red corporativa como si estuviera conectado directamente desde su oficina. Los teletrabajadores también pueden configurar un túnel VPN a través de su módem de cable o enlaces DSL a su ISP local.
61

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
Para configurar una conexión PPTP desde un cliente remoto de Windows a su dispositivo Opengear y a su red local:
1. Habilite y configure el servidor VPN PPTP en su dispositivo Opengear. 2. Configure cuentas de usuario VPN en el dispositivo Opengear y habilite las cuentas apropiadas.
autenticación 3. Configure los clientes VPN en los sitios remotos. El cliente no requiere software especial como
el servidor PPTP admite el software de cliente PPTP estándar incluido con Windows NT y versiones posteriores 4. Conéctese a la VPN remota 3.11.1 Habilite el servidor VPN PPTP 1. Seleccione VPN PPTP en el menú Serie y redes
2. Seleccione la casilla de verificación Habilitar para habilitar el servidor PPTP. 3. Seleccione la autenticación mínima requerida. Se deniega el acceso a los usuarios remotos que intentan
conectarse utilizando un esquema de autenticación más débil que el esquema seleccionado. Los esquemas se describen a continuación, del más fuerte al más débil. · Autenticación cifrada (MS-CHAP v2): el tipo de autenticación más potente que se puede utilizar; esto es
la opción recomendada · Autenticación cifrada débilmente (CHAP): este es el tipo más débil de contraseña cifrada
autenticación a utilizar. No se recomienda que los clientes se conecten usando esto ya que proporciona muy poca protección con contraseña. También tenga en cuenta que los clientes que se conectan mediante CHAP no pueden cifrar el tráfico.
62

Manual de usuario
· Autenticación no cifrada (PAP): Esta es la autenticación de contraseña de texto sin formato. Cuando se utiliza este tipo de autenticación, la contraseña del cliente se transmite sin cifrar.
· Ninguno 4. Seleccione el nivel de cifrado requerido. Se deniega el acceso a los usuarios remotos que intentan conectarse
que no utilizan este nivel de cifrado. 5. En Dirección local, ingrese la dirección IP para asignar al extremo del servidor de la conexión VPN. 6. En Direcciones remotas, ingrese el conjunto de direcciones IP para asignar a la VPN del cliente entrante.
conexiones (por ejemplo, 192.168.1.10-20). Debe ser una dirección IP libre o un rango de direcciones de la red que se asignan a los usuarios remotos mientras están conectados al dispositivo Opengear. 7. Ingrese el valor deseado de la Unidad de transmisión máxima (MTU) para las interfaces PPTP en el campo MTU (el valor predeterminado es 1400) 8. En el campo Servidor DNS, ingrese la dirección IP del servidor DNS que asigna direcciones IP para conectar clientes PPTP. 9. En el campo Servidor WINS, ingrese la dirección IP del servidor WINS que asigna direcciones IP para conectar clientes PPTP. 10. Habilite el registro detallado para ayudar a depurar problemas de conexión. 11. Haga clic en Aplicar configuración. 3.11.2 Agregar un usuario PPTP 1. Seleccione Usuarios y grupos en el menú Serie y redes y complete los campos como se explica en la sección 3.2. 2. Asegúrese de que se haya marcado el grupo pptpd para permitir el acceso al servidor VPN PPTP. Nota: los usuarios de este grupo tienen sus contraseñas almacenadas en texto sin cifrar. 3. Tome nota del nombre de usuario y la contraseña para cuando necesite conectarse a la conexión VPN. 4. Haga clic en Aplicar.
63

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
3.11.3 Configurar un cliente PPTP remoto Asegúrese de que la PC del cliente VPN remoto tenga conectividad a Internet. Para crear una conexión VPN a través de Internet, debe configurar dos conexiones de red. Una conexión es para el ISP y la otra conexión es para el túnel VPN al dispositivo Opengear. NOTA Este procedimiento configura un cliente PPTP en el sistema operativo Windows Professional. Los pasos
puede variar ligeramente según su acceso a la red o si está utilizando una versión alternativa de Windows. Hay instrucciones más detalladas disponibles en Microsoft web sitio. 1. Inicie sesión en su cliente de Windows con privilegios de administrador. 2. Desde el Centro de redes y recursos compartidos en el Panel de control, seleccione Conexiones de red y cree una nueva conexión.
64

Manual de usuario
3. Seleccione Usar mi conexión a Internet (VPN) e ingrese la dirección IP del dispositivo Opengear. Para conectar clientes VPN remotos a la red local, necesita conocer el nombre de usuario y la contraseña de la cuenta PPTP que agregó, así como la IP de Internet. dirección del dispositivo Opengear. Si su ISP no le ha asignado una dirección IP estática, considere utilizar un servicio DNS dinámico. De lo contrario, deberá modificar la configuración del cliente PPTP cada vez que cambie su dirección IP de Internet.
65

Capítulo 3: Puerto serie, dispositivo y configuración de usuario

3.12 Llamar a casa
Todos los servidores de consola incluyen la función Call Home que inicia la configuración de un túnel SSH seguro desde el servidor de consola hasta un Opengear Lighthouse centralizado. El servidor de la consola se registra como candidato en Lighthouse. Una vez aceptado allí, se convierte en un servidor de consola administrado.
Lighthouse monitorea el servidor de consola administrada y los administradores pueden acceder al servidor de consola administrada remoto a través de Lighthouse. Este acceso está disponible incluso cuando el servidor de la consola remota está detrás de un firewall de terceros o tiene direcciones IP privadas no enrutables.

NOTA

Lighthouse mantiene conexiones SSH autenticadas con clave pública para cada uno de sus servidores de consola administrada. Estas conexiones se utilizan para monitorear, dirigir y acceder a los servidores de consola administrada y a los dispositivos administrados conectados al servidor de consola administrada.

Para administrar servidores de consola local, o servidores de consola a los que se puede acceder desde Lighthouse, Lighthouse inicia las conexiones SSH.

Para administrar servidores de consola remota o servidores de consola que tienen cortafuegos, no enrutables o inalcanzables desde Lighthouse, las conexiones SSH las inicia el servidor de consola administrado a través de una conexión de llamada inicial.

Esto garantiza comunicaciones seguras y autenticadas y permite que las unidades de servidores de consola administrada se distribuyan localmente en una LAN o de forma remota en todo el mundo.

3.12.1 Configurar el candidato de Call Home Para configurar el servidor de consola como candidato de administración de Call Home en Lighthouse:
1. Seleccione Llamar a casa en el menú Serie y red.

2. Si aún no ha generado o cargado un par de claves SSH para este servidor de consola, hágalo antes de continuar.
3. Haga clic en Agregar

4. Ingrese la dirección IP o el nombre DNS (por ejemplo, la dirección DNS dinámica) del Lighthouse.
5. Ingrese la contraseña que configuró en el CMS como contraseña de llamada a casa.
66

Manual de usuario
6. Haga clic en Aplicar. Estos pasos inician la conexión de Call Home desde el servidor de la consola al Lighthouse. Esto crea un puerto de escucha SSH en Lighthouse y configura el servidor de la consola como candidato.
Una vez que el candidato ha sido aceptado en Lighthouse, se redirige un túnel SSH al servidor de la consola a través de la conexión Call Home. El servidor de consola se ha convertido en un servidor de consola administrado y Lighthouse puede conectarse y monitorearlo a través de este túnel. 3.12.2 Aceptar candidato de Call Home como servidor de consola administrada en Lighthouse Esta sección ofrece información generalview sobre la configuración de Lighthouse para monitorear los servidores de la consola Lighthouse que están conectados a través de Call Home. Para obtener más detalles, consulte la Guía del usuario de Lighthouse:
1. Ingrese una nueva contraseña de Call Home en Lighthouse. Esta contraseña se utiliza para aceptar
Llame a Homeconnections desde servidores de consola candidatos
2. El servidor de la consola puede contactar con Lighthouse; debe tener una IP estática
dirección o, si usa DHCP, configurarse para usar un servicio DNS dinámico
La pantalla Configurar > Servidores de consola administrados en Lighthouse muestra el estado de
Candidatos y servidores de consola administrada locales y remotos.
La sección Servidores de consola administrados muestra los servidores de consola que monitorea el
Lighthouse. La sección Servidores de consola detectados contiene:
o El menú desplegable Servidores de consola local que enumera todos los servidores de consola que están en el
misma subred que Lighthouse y no están siendo monitoreados
67

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
o El menú desplegable Servidores de consola remota que enumera todos los servidores de consola que han establecido una conexión Call Home y no están siendo monitoreados (es decir, candidatos). Puede hacer clic en Actualizar para actualizar
Para agregar un candidato a servidor de consola a la lista de Servidores de consola administrados, selecciónelo en la lista desplegable Servidores de consola remota y haga clic en Agregar. Ingrese la dirección IP y el puerto SSH (si estos campos no se han completado automáticamente) e ingrese una descripción y un nombre único para el servidor de la consola administrada que está agregando.
Ingrese la contraseña de raíz remota (es decir, la contraseña del sistema que se ha configurado en este servidor de consola administrada). Lighthouse utiliza esta contraseña para propagar claves SSH generadas automáticamente y no se almacena. Haga clic en Aplicar. Lighthouse configura conexiones SSH seguras hacia y desde el servidor de consola administrada y recupera sus dispositivos administrados, detalles de cuentas de usuario y alertas configuradas. 3.12.3 Llamada a casa a un servidor SSH central genérico Si se está conectando a un servidor SSH genérico (no a Lighthouse) puedes configurar ajustes avanzados: · Introduce el puerto del servidor SSH y el usuario SSH. · Ingrese los detalles del redireccionamiento del puerto SSH para crear
Al seleccionar Servidor de escucha, puede crear un puerto remoto desde el servidor a esta unidad, o un puerto local desde esta unidad al servidor:
68

Manual de usuario
· Especifique un puerto de escucha desde el cual reenviar, deje este campo en blanco para asignar un puerto no utilizado · Ingrese el servidor de destino y el puerto de destino que será el destinatario de las conexiones reenviadas
3.13 Transferencia de IP
IP Passthrough se utiliza para hacer que una conexión de módem (por ejemplo, el módem celular interno) parezca una conexión Ethernet normal a un enrutador descendente de terceros, lo que permite que el enrutador descendente utilice la conexión de módem como interfaz WAN principal o de respaldo.
El dispositivo Opengear proporciona la dirección IP del módem y los detalles de DNS al dispositivo descendente a través de DHCP y pasa el tráfico de red hacia y desde el módem y el enrutador.
Mientras que IP Passthrough convierte un Opengear en un medio puente de módem a Ethernet, algunos servicios de capa 4 (HTTP/HTTPS/SSH) pueden terminar en el Opengear (Interceptaciones de servicio). Además, los servicios que se ejecutan en Opengear pueden iniciar conexiones celulares salientes independientemente del enrutador descendente.
Esto permite que Opengear continúe usándose para administración y alertas fuera de banda y también se administre a través de Lighthouse, mientras está en modo IP Passthrough.
3.13.1 Configuración del enrutador descendente Para utilizar la conectividad de conmutación por error en el enrutador descendente (también conocido como Conmutación por error a celular o F2C), debe tener dos o más interfaces WAN.
NOTA La conmutación por error en el contexto de paso a través de IP la realiza el enrutador descendente y la lógica de conmutación por error fuera de banda incorporada en Opengear no está disponible mientras se encuentra en el modo de paso a través de IP.
Conecte una interfaz WAN Ethernet en el enrutador descendente a la interfaz de red o al puerto LAN de administración de Opengear con un cable Ethernet.
Configure esta interfaz en el enrutador descendente para recibir su configuración de red a través de DHCP. Si se requiere conmutación por error, configure el enrutador descendente para la conmutación por error entre su interfaz principal y el puerto Ethernet conectado al Opengear.
3.13.2 Preconfiguración de IP PassThrough Los pasos previos para habilitar IP Passthrough son:
1. Configure la interfaz de red y, cuando corresponda, las interfaces LAN de administración con configuraciones de red estática. · Haga clic en Serie y red > IP. · Para Interfaz de red y, cuando corresponda, LAN de administración, seleccione Estática para el Método de configuración e ingrese la configuración de red (consulte la sección titulada Configuración de red para obtener instrucciones detalladas). · Para la interfaz conectada al enrutador descendente, puede elegir cualquier red privada dedicada. Esta red solo existe entre Opengear y el enrutador descendente y normalmente no es accesible. · Para la otra interfaz, configúrela como lo haría normalmente en la red local. · Para ambas interfaces, deje Puerta de enlace en blanco.
2. Configure el módem en modo siempre activo fuera de banda.
69

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
· Para una conexión celular, haga clic en Sistema > Marcar: Módem celular interno. · Seleccione Habilitar marcación saliente e ingrese los detalles del operador, como APN (consulte la sección Módem celular
Conexión para instrucciones detalladas). 3.13.3 Configuración de paso a través de IP Para configurar paso a través de IP:
· Haga clic en Serie y red > Paso IP y marque Habilitar. · Seleccione el módem Opengear que desea utilizar para la conectividad ascendente. · Opcionalmente, ingrese la dirección MAC de la interfaz conectada del enrutador descendente. Si la dirección MAC es
Si no se especifica, Opengear pasará al primer dispositivo descendente que solicite una dirección DHCP. · Seleccione la interfaz Ethernet Opengear para usarla para la conectividad con el enrutador descendente.
· Haga clic en Aplicar. 3.13.4 Intercepciones de servicio Permiten que Opengear continúe brindando servicios, por ejemplo.amparchivo, para administración fuera de banda cuando está en modo IP Passthrough. Las conexiones a la dirección del módem en los puertos de intercepción especificados son manejadas por Opengear en lugar de pasar al enrutador descendente.
· Para el servicio requerido de HTTP, HTTPS o SSH, marque Habilitar · Opcionalmente, modifique el puerto de intercepción a un puerto alternativo (por ejemplo, 8443 para HTTPS), esto es útil si
desea continuar permitiendo que el enrutador descendente permanezca accesible a través de su puerto habitual. 3.13.5 Estado de paso de IP Actualizar la página para view la sección Estado. Muestra la dirección IP externa del módem que se pasa, la dirección MAC interna del enrutador descendente (solo se completa cuando el enrutador descendente acepta la concesión de DHCP) y el estado de ejecución general del servicio de transferencia de IP. Es posible que reciba una alerta sobre el estado de conmutación por error del enrutador descendente configurando una verificación de uso de datos enrutados en Alertas y registro > Respuesta automática. 3.13.6 Advertencias Algunos enrutadores descendentes pueden ser incompatibles con la ruta de la puerta de enlace. Esto puede suceder cuando IP Passthrough conecta una red celular 3G donde la dirección de puerta de enlace es una dirección de destino punto a punto y no hay información de subred disponible. Opengear envía una máscara de red DHCP de 255.255.255.255. Los dispositivos normalmente interpretan esto como una única ruta de host en la interfaz, pero algunos dispositivos posteriores más antiguos pueden tener problemas.
70

Manual de usuario
Las intercepciones de servicios locales no funcionarán si Opengear utiliza una ruta predeterminada distinta del módem. Además, no funcionarán a menos que el servicio esté habilitado y el acceso al servicio esté habilitado (consulte Sistema > Servicios, en la pestaña Acceso al servicio busque Marcación/Celular).
Se admiten conexiones salientes que se originan desde Opengear a servicios remotos (por ejemplo, envío de alertas de correo electrónico SMTP, capturas SNMP, obtención de hora NTP, túneles IPSec). Existe un pequeño riesgo de fallo de conexión si tanto el Opengear como el dispositivo descendente intentan acceder al mismo puerto UDP o TCP en el mismo host remoto al mismo tiempo cuando han elegido aleatoriamente el mismo número de puerto local de origen.
3.14 Configuración sobre DHCP (ZTP)
Los dispositivos Opengear se pueden aprovisionar durante su arranque inicial desde un servidor DHCPv4 o DHCPv6 mediante configuración sobre DHCP. El aprovisionamiento en redes que no son de confianza se puede facilitar proporcionando claves en una unidad flash USB. La funcionalidad ZTP también se puede utilizar para realizar una actualización de firmware en la conexión inicial a la red o para inscribirse en una instancia de Lighthouse 5.
Preparación Los pasos típicos para la configuración en una red confiable son:
1. Configure un dispositivo Opengear del mismo modelo. 2. Guarde su configuración como una copia de seguridad de Opengear (.opg) file. 3. Seleccione Sistema > Copia de seguridad de configuración > Copia de seguridad remota. 4. Haga clic en Guardar copia de seguridad. Una configuración de respaldo file — model-name_iso-format-date_config.opg — se descarga desde el dispositivo Opengear al sistema local. Puedes guardar la configuración como un xml. file: 1. Seleccione Sistema > Copia de seguridad de configuración > Configuración XML. Un campo editable que contiene el
configuración file aparece en formato XML. 2. Haga clic en el campo para activarlo. 3. Si está ejecutando cualquier navegador en Windows o Linux, haga clic derecho y elija Seleccionar todo en el menú
menú contextual o presione Control-A. Haga clic derecho y elija Copiar en el menú contextual o presione Control-C. 4. Si está utilizando cualquier navegador en macOS, elija Editar > Seleccionar todo o presione Comando-A. Elija Editar > Copiar o presione Comando-C. 5. En su editor de texto preferido, cree un nuevo documento vacío, pegue los datos copiados en el documento vacío y guarde el file. Lo que file-nombre que elijas, debe incluir el .xml filesufijo de nombre. 6. Copie el .opg o .xml guardado file a un directorio público en un file servidor que sirve al menos uno de los siguientes protocolos: HTTPS, HTTP, FTP o TFTP. (Sólo se puede utilizar HTTPS si la conexión entre el file servidor y un dispositivo Opengear que se va a configurar viaja a través de una red que no es de confianza). 7. Configure su servidor DHCP para incluir una opción "específica del proveedor" para dispositivos Opengear. (Esto se hará de forma específica del servidor DHCP). La opción específica del proveedor debe configurarse en una cadena que contenga el URL del .opg o .xml publicado file en el paso anterior. La cadena de opción no debe exceder los 250 caracteres y debe terminar en .opg o .xml.
71

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
8. Conecte un nuevo dispositivo Opengear, ya sea con restablecimiento de fábrica o con configuración borrada, a la red y aplique energía. El dispositivo puede tardar hasta 5 minutos en reiniciarse.
ExampConfiguración del servidor ISC DHCP (dhcpd)
Lo siguiente es un exampEl fragmento de configuración del servidor DHCP para servir una imagen de configuración .opg a través del servidor DHCP de ISC, dhcpd:
opción espacio código opengear ancho 1 largo ancho 1; opción opengear.config-url código 1 = texto; clase “opengear-config-over-dhcp-test” {
coincide con la opción identificador de clase de proveedor ~~ “^Opengear/”; equipo abierto de espacio de opción de proveedor; opción opengear.config-url “https://example.com/opg/${class}.opg”; }
Esta configuración se puede modificar para actualizar la imagen de configuración usando opengear.image-url opción y proporcionar un URI a la imagen del firmware.
Configuración cuando la LAN no es de confianza Si la conexión entre el file servidor y un dispositivo Opengear que se va a configurar incluye una red que no es de confianza, un enfoque a dos manos puede mitigar el problema.
NOTA Este enfoque introduce dos pasos físicos en los que puede ser difícil, si no imposible, establecer completamente la confianza. Primero, la cadena de custodia desde la creación de la unidad flash USB que transporta datos hasta su implementación. En segundo lugar, las manos que conectan la unidad flash USB al dispositivo Opengear.
· Generar un certificado X.509 para el dispositivo Opengear.
· Concatenar el certificado y su clave privada en un único file llamado cliente.pem.
· Copie client.pem en una unidad flash USB.
· Configurar un servidor HTTPS de manera que se pueda acceder a .opg o .xml file está restringido a clientes que pueden proporcionar el certificado de cliente X.509 generado anteriormente.
· Coloque una copia del certificado de CA que firmó el certificado del servidor HTTP (ca-bundle.crt) en la unidad flash USB que contiene client.pem.
· Inserte la unidad flash USB en el dispositivo Opengear antes de conectar la alimentación o la red.
· Continúe el procedimiento desde `Copiar el .opg o .xml guardado file a un directorio público en un file server' arriba usando el protocolo HTTPS entre el cliente y el servidor.
Prepare una unidad USB y cree el certificado X.509 y la clave privada
· Generar el certificado CA para que se puedan firmar las Solicitudes de firma de certificados (CSR) del cliente y del servidor.
# cp /etc/ssl/openssl.cnf. # mkdir -p exampleCA/newcerts # eco 00 > exampleCA/número de serie echo 00 > exampleCA/crlnúmero # toque exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Este procedimiento genera un certificado llamado ExampleCA pero se puede utilizar cualquier nombre de certificado permitido. Además, este procedimiento utiliza openssl ca. Si su organización tiene un proceso de generación de CA seguro para toda la empresa, debería utilizarlo en su lugar.
72

Manual de usuario
· Generar el certificado del servidor.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-llavefile ca.key -policy política_cualquier cosa -batch -notext
NOTA El nombre de host o la dirección IP debe ser la misma cadena utilizada en el servidor URL. En el examparchivo de arriba, el nombre de host es demo.example.com.
· Generar el certificado de cliente.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-llavefile ca.key -policy política_cualquier cosa -batch -notext # cat client.key client.crt > client.pem
· Formatee una unidad flash USB como un único volumen FAT32.
· Mover client.pem y ca-bundle.crt files en el directorio raíz de la unidad flash.
Depuración de problemas de ZTP Utilice la función de registro de ZTP para depurar problemas de ZTP. Mientras el dispositivo intenta realizar operaciones ZTP, la información de registro se escribe en /tmp/ztp.log en el dispositivo.
Lo siguiente es un examparchivo del registro file de una ejecución exitosa de ZTP.
# cat /tmp/ztp.log miércoles 13 de diciembre a las 22:22:17 UTC de 2017 [aviso 5127] odhcp6c.eth0: restauración de la configuración a través de DHCP miércoles 13 de diciembre a las 22:22:17 UTC de 2017 [aviso 5127] odhcp6c.eth0: esperando 10 segundos para que la red se establezca el miércoles 13 de diciembre a las 22:22:27 UTC de 2017 [aviso 5127] odhcp6c.eth0: NTP omitido: sin servidor el miércoles 13 de diciembre a las 22:22:27 UTC de 2017 [información 5127] odhcp6c.eth0: sellerspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' miércoles 13 de diciembre a las 22:22:27 UTC de 2017 [5127 información] odhcp6c.eth0: sellerspec.2 (n/a) miércoles 13 de diciembre 22:22:27 UTC 2017 [5127 información] odhcp6c.eth0: proveedorspec.3 (n/a) Miércoles 13 de diciembre 22:22:27 UTC 2017 [5127 información] odhcp6c.eth0: proveedorspec.4 (n/a ) Miércoles 13 de diciembre a las 22:22:27 UTC de 2017 [5127 información] odhcp6c.eth0: proveedorspec.5 (n/a) Miércoles 13 de diciembre a las 22:22:28 UTC de 2017 [5127 información] odhcp6c.eth0: proveedorspec.6 (n /a) Miércoles 13 de diciembre a las 22:22:28 UTC de 2017 [5127 información] odhcp6c.eth0: no hay firmware para descargar (vendorspec.2) copia de seguridad.url: probando http://[fd07:2218:1350:44::1]/tftpboot/config.sh… copia de seguridad-url: forzar el modo de configuración wan a la copia de seguridad DHCPurl: configuración del nombre de host en acm7004-0013c601ce97 copia de seguridad-url: carga exitosa miércoles 13 de diciembre a las 22:22:36 UTC 2017 [aviso 5127] odhcp6c.eth0: carga de configuración exitosa miércoles 13 de diciembre 22:22:36 UTC 2017 [información 5127] odhcp6c.eth0: sin configuración de faro (vendorspec.3/ 4/5/6) Miércoles 13 de diciembre a las 22:22:36 UTC de 2017 [aviso 5127] odhcp6c.eth0: aprovisionamiento completado, sin reinicio
Los errores se registran en este registro.
3.15 Inscripción en Lighthouse
Utilice la inscripción en Lighthouse para inscribir dispositivos Opengear en una instancia de Lighthouse, proporcionando acceso centralizado a los puertos de la consola y permitiendo la configuración central de los dispositivos Opengear.
Consulte la Guía del usuario de Lighthouse para obtener instrucciones sobre cómo inscribir dispositivos Opengear en Lighthouse.
73

Capítulo 3: Puerto serie, dispositivo y configuración de usuario
3.16 Habilitar retransmisión DHCPv4
Un servicio de retransmisión DHCP reenvía los paquetes DHCP entre clientes y servidores DHCP remotos. El servicio de retransmisión DHCP se puede habilitar en un servidor de consola Opengear, de modo que escuche a los clientes DHCP en las interfaces inferiores designadas, envuelva y reenvíe sus mensajes a los servidores DHCP utilizando el enrutamiento normal o transmita directamente a las interfaces superiores designadas. El agente de retransmisión DHCP recibe así mensajes DHCP y genera un nuevo mensaje DHCP para enviarlo a otra interfaz. En los pasos siguientes, los servidores de la consola pueden conectarse a ID de circuito, Ethernet o módems celulares mediante el servicio de retransmisión DHCPv4.
Infraestructura de retransmisión DHCPv4 + opción DHCP 82 (identificador de circuito): servidor DHCP local, ACM7004-5 para retransmisión y cualquier otro dispositivo para clientes. Cualquier dispositivo con función LAN se puede utilizar como relé. en este examparchivo, 192.168.79.242 es la dirección de la interfaz retransmitida del cliente (como se define en la configuración del servidor DHCP file arriba) y 192.168.79.244 es la dirección de interfaz superior de la caja de retransmisión, y enp112s0 es la interfaz descendente del servidor DHCP.
1 Infraestructura: retransmisión DHCPv4 + opción DHCP 82 (identificación del circuito)
Pasos en el servidor DHCP 1. Configure el servidor DHCP v4 local; en particular, debe contener una entrada "host" como se muestra a continuación para el cliente DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; opción de identificador de host agente.id-circuito “relay1”; dirección fija 192.168.79.242; } Nota: la línea “hardware ethernet” está comentada, de modo que el servidor DHCP utilizará la configuración “circuit-id” para asignar una dirección al cliente relevante. 2. Reinicie el servidor DHCP para recargar su configuración modificada. file. pkill-HUP dhcpd
74

Manual de usuario
3. Agregue manualmente una ruta de host a la interfaz "retransmitida" del cliente (la interfaz detrás de la retransmisión DHCP, no otras interfaces que el cliente también pueda tener):
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Esto ayudará a evitar el problema de enrutamiento asimétrico cuando el cliente y el servidor DHCP desean acceder entre sí a través de la interfaz retransmitida del cliente, cuando el cliente tiene otras interfaces en la misma subred del grupo de direcciones DHCP.
Nota: Este paso es imprescindible para que el servidor dhcp y el cliente puedan acceder entre sí.
Pasos en la caja de relés – ACM7004-5
1. Configure WAN/eth0 en modo estático o dhcp (no en modo no configurado). Si está en modo estático, debe tener una dirección IP dentro del grupo de direcciones del servidor DHCP.
2. Aplique esta configuración a través de CLI (donde 192.168.79.1 es la dirección del servidor DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. La interfaz inferior del relé DHCP debe tener una dirección IP estática dentro del grupo de direcciones del servidor DHCP. en este example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Espere un momento hasta que el cliente adquiera una concesión DHCP a través del relé.
Pasos en el Cliente (CM7116-2-dac en este ejemploamparchivo o cualquier otro OG CS)
1. Conecte la LAN/eth1 del cliente a la LAN/eth1 del relé 2. Configure la LAN del cliente para obtener la dirección IP a través de DHCP como de costumbre 3. Una vez que el clie

Documentos / Recursos

Puerta de enlace de sitio remoto opengear ACM7000 [pdf] Manual del usuario
ACM7000 Puerta de enlace de sitio remoto, ACM7000, Puerta de enlace de sitio remoto, Puerta de enlace de sitio, Puerta de enlace

Referencias

Manual de usuario

Puerta de enlace de sitio remoto opengear ACM7000

Información del producto

Instrucciones de uso del producto

Preguntas frecuentes

Este manual

Configuración del sistema

Puerto serie, host, dispositivo y configuración de usuario

Documentos / Recursos

Referencias

Deja un comentario

Cancelar respuesta