opengear ACM7000 Remote Site Gateway kasutusjuhend

See seade vastab FCC reeglite 15. osale. Selle seadme kasutamisel kehtivad järgmised tingimused: (1) see seade ei tohi põhjustada kahjulikke häireid ja (2) see seade peab vastu võtma kõik häired, mis võivad põhjustada soovimatut tööd.

KKK-d

K: Kas ma saan kasutada ACM7000 Remote Site Gateway tormi ajal?
- A: Ei, kahjustuste vältimiseks ei soovitata konsooliserverit tormi ajal ühendada ega lahti ühendada.

K: Millisele FCC reeglite versioonile seade vastab?
- A: Seade vastab FCC reeglite 15. osale.

View Fullscreen

Kasutusjuhend
ACM7000 Remote Site Gateway ACM7000-L vastupidavuslüüs IM7200 infrastruktuurihaldur CM7100 konsooliserverid
Versioon 5.0 – 2023-12

Ohutus
Konsooliserveri paigaldamisel ja kasutamisel järgige alltoodud ettevaatusabinõusid: · Ärge eemaldage metallkatteid. Sees ei ole operaatori poolt hooldatavaid komponente. Katte avamine või eemaldamine võib põhjustada ohtlikke volüümetage mis võib põhjustada tulekahju või elektrilöögi. Andke kõik hooldustööd Opengeari kvalifitseeritud personalile. · Elektrilöögi vältimiseks peab toitejuhtme maandusjuhe olema maandusega ühendatud. · Toitejuhet pesast lahti ühendades tõmmake alati pistikust, mitte kaablist.
Ärge ühendage ega lahutage konsooliserverit tormi ajal. Seadmete kaitsmiseks siirdehäirete eest kasutage ka liigpinge summutit või UPS-i.
FCC hoiatusavaldus
See seade vastab FCC reeglite 15. osale. Selle seadme kasutamine sõltub järgmistest tingimustest
tingimused: (1) see seade ei tohi põhjustada kahjulikke häireid ja (2) see seade peab vastu võtma kõik häired, mis võivad põhjustada soovimatut tööd.
Süsteemi tõrgetest põhjustatud vigastuste, surma või varakahjustuste eest kaitsmiseks tuleks kasutada õigeid varusüsteeme ja vajalikke ohutusseadmeid. Sellise kaitse eest vastutab kasutaja. See konsoolserverseade ei ole heaks kiidetud kasutamiseks elu toetava või meditsiinilise süsteemina. Selle konsooliserveri seadme mis tahes muudatused või modifikatsioonid, mis on tehtud ilma Opengeari selgesõnalise loata või nõusolekuta, tühistavad Opengeari mis tahes vastutuse või vastutuse mis tahes riketest põhjustatud vigastuste või kahjude eest. See seade on mõeldud kasutamiseks siseruumides ja kõik sidejuhtmed on piiratud hoone sees.
2

Kasutusjuhend
Autoriõigus
©Opengear Inc. 2023. Kõik õigused kaitstud. Selles dokumendis sisalduvat teavet võidakse ette teatamata muuta ja see ei kujuta endast Opengeari kohustust. Opengear pakub seda dokumenti "sellisena", ilma igasuguse otsese või kaudse garantiita, sealhulgas, kuid mitte ainult, kaudsed garantiid sobivuse või turustatavuse kohta konkreetseks otstarbeks. Opengear võib käesolevas juhendis või selles juhendis kirjeldatud toote(de)s ja/või programmides igal ajal parandusi ja/või muudatusi teha. See toode võib sisaldada tehnilisi ebatäpsusi või trükivigu. Siin esitatud teabes tehakse perioodiliselt muudatusi; need muudatused võidakse lisada väljaande uutesse väljaannetesse.\

1. peatükk

See juhend

SEE JUHEND

See kasutusjuhend selgitab Opengeari konsooliserverite installimist, kasutamist ja haldamist. See juhend eeldab, et tunnete Interneti- ja IP-võrke, HTTP-d, FTP-d, põhilisi turbetoiminguid ja oma organisatsiooni sisevõrku.
1.1 Kasutajate tüübid
Konsooliserver toetab kahte kasutajaklassi:
· Administraatorid, kellel on konsooli üle piiramatud konfiguratsiooni- ja haldusõigused
server ja ühendatud seadmed, samuti kõik teenused ja pordid kõigi jadaühendusega seadmete ja võrguga ühendatud seadmete (hostide) juhtimiseks. Administraatorid on seadistatud administraatori kasutajarühma liikmeteks. Administraator saab konsooliserverile juurde pääseda ja seda juhtida, kasutades konfiguratsiooniutiliiti, Linuxi käsurida või brauseripõhist halduskonsooli.
· Kasutajad, kelle on seadistanud administraator, kelle juurdepääsu- ja kontrollivolitused on piiratud.
Kasutajatel on piiratud view halduskonsooli ja pääseb juurde ainult volitatud konfigureeritud seadmetele ja uuestiview sadama logid. Need kasutajad on seadistatud ühe või mitme eelkonfigureeritud kasutajarühma (nt PPTPD, dialin, FTP, pmshell, kasutajad või administraatori loodud kasutajarühmad) liikmeteks. Neil on õigus teostada ainult konkreetseid ühendatud seadmetes määratud juhtelemente. Lubatud kasutajad saavad juurdepääsu jada- või võrguga ühendatud seadmetele ja neid juhtida, kasutades selleks määratud teenuseid (nt Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Kaugkasutajad on kasutajad, kes ei ole konsooliserveriga samas LAN-segmendis. Kaugkasutaja võib olla teel, et luua ühenduse hallatavate seadmetega avaliku Interneti kaudu, administraator teises kontoris, kes loob ühenduse konsooliserveriga ettevõtte VPN-i kaudu või samas ruumis või kontoris, kuid konsooliga on ühendatud eraldi VLAN-i kaudu. server.
1.2 Halduskonsool
Opengeari halduskonsool võimaldab teil konfigureerida ja jälgida oma Opengeari konsooliserveri funktsioone. Halduskonsool töötab brauseris ja pakub a view konsooliserverist ja kõigist ühendatud seadmetest. Administraatorid saavad halduskonsooli kasutada konsooliserveri, kasutajate, portide, hostide, toiteseadmete ning seotud logide ja hoiatuste konfigureerimiseks ja haldamiseks. Mitteadministraatorid saavad valitud seadmete juhtimiseks kasutada halduskonsooli piiratud menüüjuurdepääsugaview nende logid ja pääsete neile juurde sisseehitatud seadme abil Web terminal.
Konsooliserveris töötab sisseehitatud Linuxi operatsioonisüsteem ja seda saab konfigureerida käsurealt. Juurdepääsu käsureale saate kasutada mobiilsidevõrgu / sissehelistamisega, otse konsooliserveri jadakonsooli/modemi pordiga ühenduse loomisega või konsooliserveriga LAN-i kaudu ühenduse loomiseks SSH või Telneti abil (või PPTP, IPseci või OpenVPN-i kaudu ühenduse loomisel) .
6

Kasutusjuhend
Käsurea liidese (CLI) käskude ja täpsemate juhiste jaoks laadige alla Opengeari CLI ja Scripting Reference.pdf saidilt https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Lisateave
Lisateabe saamiseks vaadake: · Opengeari tooted Web Sait: vaadake https://opengear.com/products. Kõige värskema teabe saamiseks konsooliserveris sisalduva kohta külastage oma konkreetse toote jaotist Mida sisaldab. · Kiirjuhend: oma seadme kiirjuhendi hankimiseks vaadake https://opengear.com/support/documentation/. · Opengeari teadmistebaas: tehniliste juhiste artiklite, tehniliste näpunäidete, KKK ja oluliste teatiste saamiseks külastage veebisaiti https://opengear.zendesk.com. · Opengeari CLI ja skriptimise viide: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

2. peatükk:

Süsteemi konfiguratsioon

SÜSTEEMI KONFIGURATSIOON

See peatükk sisaldab samm-sammult juhiseid teie konsooliserveri esialgseks konfigureerimiseks ja selle ühendamiseks haldus- või operatiivse LAN-iga. Toimingud on järgmised:
Aktiveerige halduskonsool. Muutke administraatori parooli. Määrake IP-aadressi konsooli serveri peamine LAN-port. Valige lubatavad teenused ja juurdepääsuõigused. Selles peatükis käsitletakse ka sidetarkvara tööriistu, mida administraator võib kasutada konsooliserverile juurdepääsuks, ja täiendavate LAN-portide konfigureerimist.
2.1 Halduskonsooli ühendus
Teie konsooliserver on konfigureeritud vaikimisi IP-aadressiga 192.168.0.1 ja alamvõrgu maskiga 255.255.255.0 NET1 (WAN) jaoks. Esialgseks konfigureerimiseks soovitame ühendada arvuti otse konsooliga. Kui otsustate LAN-i ühendada enne esialgsete seadistustoimingute lõpetamist, veenduge, et:
· LAN-is pole muid seadmeid aadressiga 192.168.0.1. · Konsooliserver ja arvuti asuvad samas LAN-segmendis, ilma ruuterita
seadmed.
2.1.1 Ühendatud arvuti seadistamine Konsooliserveri konfigureerimiseks brauseriga peab ühendatud arvuti IP-aadress olema konsooliserveriga samas vahemikus (ntample, 192.168.0.100):
· Linuxi või Unixi arvuti IP-aadressi konfigureerimiseks käivitage ifconfig. · Windowsi arvutite jaoks:
1. Klõpsake Start > Settings > Control Panel ja topeltklõpsake Network Connections. 2. Paremklõpsake Local Area Connection ja valige Properties (Atribuudid). 3. Valige Interneti-protokoll (TCP/IP) ja klõpsake nuppu Atribuudid. 4. Valige Kasuta järgmist IP-aadressi ja sisestage järgmised üksikasjad.
o IP-aadress: 192.168.0.100 o Alamvõrgu mask: 255.255.255.0 5. Kui soovite selle võrguühenduse jaoks säilitada olemasolevad IP-sätted, klõpsake nuppu Täpsemalt ja Lisa ülaltoodud sekundaarse IP-ühendusena.
2.1.2 Brauseri ühendus
Avage ühendatud arvutis/tööjaamas brauser ja sisestage https://192.168.0.1.
Logi sisse:
Kasutajanimi> juurparool> vaikimisi
8

Kasutusjuhend
Esmakordsel sisselogimisel peate muutma juurparooli. Klõpsake nuppu Esita.
Muudatuse lõpuleviimiseks sisestage uus parool uuesti. Klõpsake nuppu Esita. Ilmub tervituskuva.
Kui teie süsteemil on mobiilside modem, antakse teile järgmised sammud mobiilside ruuteri funktsioonide konfigureerimiseks: · Mobiilside modemi ühenduse konfigureerimine (Süsteem > Dial leht. Vt peatükk 4) · Luba edastamine mobiilside sihtvõrku (Süsteem > Tulemüür lehekülg. Vt 4. peatükk) · Lubage mobiilsideühenduse jaoks IP maskeering (Süsteem > Tulemüür. Vt 4. peatükk)
Pärast kõigi ülaltoodud sammude sooritamist saate naasta konfiguratsiooniloendisse, klõpsates ekraani vasakus ülanurgas Opengeari logol. MÄRKUS Kui te ei saa halduskonsooliga ühendust luua aadressil 192.168.0.1 või kui vaikeseade
Kasutajanime/parooli ei aktsepteerita, lähtestage oma konsooliserver (vt 10. peatükk).
9

2. peatükk: Süsteemi konfigureerimine
2.2 Administraatori seadistamine
2.2.1 Juursüsteemi vaikeparooli muutmine Peate esmakordsel seadmesse sisselogimisel muutma juurparooli. Saate seda parooli igal ajal muuta.
1. Klõpsake Serial & Network > Users & Groups või klõpsake tervituskuval nuppu Muuda vaikehaldusparooli.
2. Kerige alla ja leidke kasutajate alt juurkasutaja kirje ja klõpsake nuppu Redigeeri. 3. Sisestage uus parool väljadele Parool ja Kinnita.
MÄRKUS. Parooli salvestamise kontrollimine püsivara kustutamise ajal salvestab parooli, nii et see ei kustu püsivara lähtestamisel. Kui see parool kaob, tuleb seadme püsivara taastada.
4. Klõpsake nuppu Rakenda. Logige sisse uue parooliga 2.2.2 Seadistage uus administraator Looge uus administraatoriõigustega kasutaja ja logige sisse selle kasutajana, et kasutada administreerimisfunktsioone, mitte kasutada administraatorit.
10

Kasutusjuhend
1. Klõpsake Serial & Network > Users & Groups. Kerige lehe allossa ja klõpsake nuppu Lisa kasutaja.
2. Sisestage kasutajanimi. 3. Märkige jaotises Rühmad ruut administraator. 4. Sisestage parool väljadele Parool ja Kinnita.
5. Saate lisada ka SSH volitatud võtmeid ja valida selle kasutaja jaoks parooliautentimise keelamise.
6. Sellel lehel saab määrata selle kasutaja jaoks lisavalikuid, sealhulgas sissehelistamisvalikud, juurdepääsetavad hostid, juurdepääsetavad pordid ja juurdepääsetavad RPC-väljundid.
7. Uue kasutaja loomiseks klõpsake ekraani allosas nuppu Rakenda.
11

2. peatükk: Süsteemi konfigureerimine
2.2.3 Lisage süsteemi nimi, süsteemi kirjeldus ja MOTD. 1. Valige Süsteem > Administreerimine. 2. Sisestage konsooliserveri jaoks süsteemi nimi ja süsteemi kirjeldus, et anda sellele kordumatu ID ja hõlbustada tuvastamist. Süsteemi nimi võib sisaldada 1 kuni 64 tähtnumbrilist märki ja erimärke allkriipsu (_), miinus (-) ja punkti (.). Süsteemi kirjeldus võib sisaldada kuni 254 tähemärki.
3. MOTD bännerit saab kasutada kasutajatele päevateksti kuvamiseks. See kuvatakse ekraani vasakus ülanurgas Opengeari logo all.
4. Klõpsake Apply (Rakenda).
12

2. peatükk: Süsteemi konfigureerimine
5. Valige Süsteem > Administreerimine. 6. MOTD-bännerit saab kasutada kasutajatele päevateksti kuvamiseks. See kuvatakse
ekraani vasakus ülanurgas Opengeari logo all. 7. Klõpsake nuppu Rakenda.
2.3 Võrgu konfigureerimine
Sisestage konsooliserveri peamise Etherneti (LAN/Network/Network1) pordi IP-aadress või lubage selle DHCP-kliendil DHCP-serverist automaatselt IP-aadress hankida. Vaikimisi on konsooliserveris DHCP-klient lubatud ja see aktsepteerib automaatselt kõiki teie võrgu DHCP-serveri määratud võrgu IP-aadresse. Selles algolekus vastab konsooliserver nii staatilisele vaikeaadressile 192.168.0.1 kui ka DHCP-aadressile.
1. Klõpsake System > IP ja klõpsake vahekaarti Network Interface. 2. Valige konfiguratsioonimeetodiks DHCP või Staatiline.
Kui valite Staatiline, sisestage IP-aadress, alamvõrgu mask, lüüsi ja DNS-serveri üksikasjad. See valik keelab DHCP-kliendi.
12

Kasutusjuhend
3. Konsooliserveri LAN-port tuvastab automaatselt Etherneti ühenduse kiiruse. Kasutage rippmenüüd Media, et lukustada Ethernet 10 Mb/s või 100 Mb/s ja Full Duplex või Half Duplex.
Kui teil tekib sätte Auto (Automaatne) kasutamisel paketikadu või halb võrgu jõudlus, muutke Ethernet Media sätteid konsooliserveris ja seadmes, millega see on ühendatud. Enamikul juhtudel muutke mõlemad 100baseTx-FD-ks (100 megabitti, täisdupleks).
4. Kui valite DHCP, otsib konsooliserver konfiguratsiooni üksikasju DHCP-serverist. See valik keelab kõik staatilised aadressid. Konsooliserveri MAC-aadressi leiate alusplaadi sildilt.
5. CIDR-i tähistuses võite sisestada teisese aadressi või komadega eraldatud aadresside loendi, nt 192.168.1.1/24 IP-aliasena.
6. Klõpsake nuppu Rakenda 7. Ühendage brauser uuesti arvutis, mis on ühendatud konsooliserveriga, sisestades
http://your new IP address.
Kui muudate konsooliserveri IP-aadressi, peate oma arvuti uuesti konfigureerima nii, et IP-aadress jääks uue konsooliserveri aadressiga samasse võrguvahemikku. MTU saate seadistada Etherneti liidestele. See on täiustatud suvand, mida saab kasutada juhul, kui teie juurutusstsenaarium ei tööta vaike-MTU-ga 1500 baiti. MTU määramiseks klõpsake Süsteem > IP ja klõpsake vahekaarti Võrguliides. Kerige alla väljale MTU ja sisestage soovitud väärtus. Kehtivad väärtused on 1280-megabitiste liideste puhul vahemikus 1500 kuni 100 ja gigabitiste liideste puhul 1280 kuni 9100. Kui sildamine või sidumine on konfigureeritud, määratakse võrguliidese lehel määratud MTU liidestele, mis on silla või sideme osa. . MÄRKUS Mõnel juhul ei pruugi kasutaja määratud MTU kehtida. Mõned NIC-draiverid võivad ümardada liiga suured MTU-d maksimaalse lubatud väärtuseni ja teised tagastavad veakoodi. MTU suurus: configure haldamiseks saate kasutada ka CLI-käsku
# config -s config.interfaces.wan.mtu=1380 kontroll
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.config.ipv6. .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

2. peatükk: Süsteemi konfigureerimine
2.3.1 IPv6 konfiguratsioon Konsooliserveri Etherneti liidesed toetavad vaikimisi IPv4. Neid saab konfigureerida IPv6 tööks:
1. Klõpsake System > IP. Klõpsake vahekaarti Üldsätted ja märkige ruut Luba IPv6. Soovi korral klõpsake märkeruutu Disable IPv6 for Cellular.
2. Konfigureerige IPv6 parameetrid igal liidese lehel. IPv6 saab konfigureerida kas automaatseks režiimiks, mis kasutab aadresside, marsruutide ja DNS-i konfigureerimiseks SLAAC-i või DHCPv6-d, või staatiliseks režiimiks, mis võimaldab aadressiteavet käsitsi sisestada.
2.3.2 Dünaamilise DNS-i (DDNS) konfiguratsioon Dünaamilise DNS-i (DDNS) abil saab konsooliserveri, mille IP-aadress on määratud dünaamiliselt, leida fikseeritud hosti- või domeeninime abil. Looge konto teie valitud toetatud DDNS-teenuse pakkuja juures. DDNS-i konto seadistamisel valite kasutajanime, parooli ja hostinime, mida kasutate DNS-nimena. DDNS-i teenusepakkujad võimaldavad teil valida hostinime URL ja määrake algne IP-aadress, mis vastaks sellele hostinimele URL.
14

Kasutusjuhend
DDNS-i lubamiseks ja konfigureerimiseks konsooliserveri mis tahes Etherneti või mobiilsidevõrgu ühenduses. 1. Klõpsake System > IP ja kerige jaotises Dynamic DNS alla. Valige oma DDNS-teenuse pakkuja
ripploendist Dünaamiline DNS. DDNS-teabe saate määrata ka vahekaardi Mobiilmodem all jaotises Süsteem > Helista.
2. Sisestage väljale DDNS-i hostinimi oma konsooliserveri täielikult kvalifitseeritud DNS-i hostinimi, nt teie hostinimi.dyndns.org.
3. Sisestage DDNS-i teenusepakkuja konto DDNS-i kasutajanimi ja DDNS-parool. 4. Määrake maksimaalne värskenduste vaheline intervall päevades. DDNS-i värskendus saadetakse isegi siis, kui
aadress pole muutunud. 5. Määrake muudetud aadresside kontrollimise vaheline minimaalne intervall sekundites. Värskendused tulevad
saata, kui aadress on muutunud. 6. Määrake Maksimaalne katsete arv värskenduse kohta, mis on värskendamiskatsete arv
enne alla andmist. Vaikimisi on see 3. 7. Klõpsake nuppu Rakenda.
15

2. peatükk: Süsteemi konfigureerimine
2.3.3 EAPoL režiim WAN, LAN ja OOBFO jaoks
(OOBFO kehtib ainult IM7216-2-24E-DAC-i puhul)
Läbiview EAPoL IEEE 802.1X või PNAC (Port-based Network Access Control) kasutab IEEE 802 LAN-infrastruktuuride füüsilisi juurdepääsuomadusi, et pakkuda vahendeid LAN-pordiga ühendatud seadmete autentimiseks ja autoriseerimiseks, millel on punkt-to- punktiühenduse omadused ja sellele pordile juurdepääsu takistamine juhtudel, kui autentimine ja autoriseerimine ebaõnnestuvad. Port on selles kontekstis üks ühenduskoht kohtvõrgu infrastruktuuriga.
Kui uus traadita või juhtmega sõlm (WN) taotleb juurdepääsu LAN-ressursile, küsib pääsupunkt (AP) WN-i identiteeti. Enne WN-i autentimist ("port" on suletud või "autentseerimata") pole lubatud muud liiklust peale EAP. Autentimist taotlevat traadita sõlme nimetatakse sageli Palujaks, palvetaja vastutab Authenticatori andmetele vastamise eest, mis määravad kindlaks tema mandaadid. Sama kehtib pääsupunkti kohta; Authenticator ei ole pääsupunkt. Pigem sisaldab pääsupunkt Authenticatorit. Authenticator ei pea olema pääsupunktis; see võib olla väline komponent. Rakendatakse järgmisi autentimismeetodeid:
· EAP-MD5 taotleja o Meetod EAP MD5-Challenge kasutab tavalist kasutajanime/parooli
· EAP-PEAP-MD5 o EAP PEAP (Protected EAP) MD5 autentimismeetod kasutab kasutaja mandaate ja CA sertifikaati
· EAP-TLS o EAP TLS (Transport Layer Security) autentimismeetod nõuab CA sertifikaati, kliendi sertifikaati ja privaatvõtit.
EAP-protokolli, mida kasutatakse autentimiseks, kasutati algselt sissehelistamis-PPP jaoks. Identiteediks oli kasutajanimi ja kasutaja parooli kontrollimiseks kasutati kas PAP- või CHAP-autentimist. Kuna identiteet saadetakse selgena (mitte krüpteerimata), võib pahatahtlik nuusutaja teada saada kasutaja identiteedi. Seetõttu kasutatakse „identiteedi peitmist”; tegelikku identiteeti ei saadeta enne krüptitud TLS-tunneli valmimist.
16

Kasutusjuhend
Pärast identiteedi saatmist algab autentimisprotsess. Taotleja ja autentija vahel kasutatav protokoll on EAP (või EAPoL). Authenticator kapseldab EAP-teated uuesti RADIUS-vormingusse ja edastab need autentimisserverisse. Autentimise ajal edastab Authenticator paketid taotleja ja autentimisserveri vahel. Kui autentimisprotsess on lõppenud, saadab autentimisserver eduteate (või ebaõnnestumise, kui autentimine ebaõnnestus). Seejärel avab Authenticator taotleja jaoks pordi. Autentimisseadetele pääsete juurde lehelt EAPoL Supplicant Settings. Praeguse EAPoL-i olek kuvatakse üksikasjalikult vahekaardi EAPoL lehel Olekustatistika:
Võrgurollide EAPoL-i abstraktsioon kuvatakse armatuurlaua liidese jaotises „Ühendushaldur”.
17

2. peatükk: Süsteemi konfigureerimine
Allpool on näidatud endineampeduka autentimise kord:
IEEE 802.1x (EAPOL) tugi IM7216-2-24E-DAC ja ACM7004-5 lülitiportidel: silmuste vältimiseks ei tohiks kasutajad ühendada sama ülemise taseme lülitiga rohkem kui ühte lülitiporti.
18

Kasutusjuhend
2.4 Juurdepääs teenusele ja jõhkra jõu kaitse
Administraator pääseb ligi konsooliserverile ja ühendatud jadaportidele ning hallatavatele seadmetele, kasutades erinevaid juurdepääsuprotokolle/teenuseid. Iga juurdepääsu jaoks
· Teenus tuleb esmalt konsooliserveris konfigureerida ja lubada. · Juurdepääs tulemüüri kaudu peab olema lubatud iga võrguühenduse jaoks. Teenuse lubamiseks ja konfigureerimiseks: 1. Klõpsake System > Services ja seejärel vahekaarti Teenuse sätted.

2. Lubage ja konfigureerige põhiteenused.

HTTP

Vaikimisi töötab HTTP-teenus ja seda ei saa täielikult keelata. Vaikimisi on HTTP-juurdepääs kõigis liidestes keelatud. Soovitame selle juurdepääsu keelata, kui konsooliserverile pääseb kaugjuurdepääs Interneti kaudu.
Alternatiivne HTTP võimaldab teil seadistada kuulamiseks alternatiivse HTTP-pordi. HTTP-teenus jätkab CMS-i ja konnektori side kuulamist TCP-pordi 80 kaudu, kuid sellele ei pääse tulemüüri kaudu juurde.

HTTPS

Vaikimisi töötab HTTPS-teenus ja see on lubatud kõigil võrguliidestel. Kui konsooliserverit kavatsetakse hallata mis tahes avaliku võrgu kaudu, on soovitatav kasutada ainult HTTPS-i juurdepääsu. See tagab administraatoritele turvalise brauseri juurdepääsu kõikidele konsooliserveri menüüdele. Samuti võimaldab see õigesti konfigureeritud kasutajatel turvalise brauseri juurdepääsu valitud Halda menüüdele.
HTTPS-i teenuse saab keelata või uuesti lubada, kontrollides HTTPS-i Web Määratud haldus ja alternatiivne port (vaikimisi port on 443).

Telnet

Vaikimisi töötab Telneti teenus, kuid see on keelatud kõigil võrguliidestel.
Telneti saab kasutada administraatorile juurdepääsu andmiseks süsteemi käsurea kestale. See teenus võib olla kasulik kohalikule administraatorile ja kasutajale juurdepääsuks valitud jadakonsoolidele. Soovitame teil selle teenuse keelata, kui konsooliserverit hallatakse kaughaldamisel.
Märkeruut Enable Telnet käsukesta lubab või keelab Telneti teenuse. Alternatiivse Telneti pordi kuulamiseks saab määrata jaotises Alternatiivne Telneti port (vaikimisi port on 23).

2. peatükk: Süsteemi konfigureerimine

SSH

See teenus pakub turvalist SSH-juurdepääsu konsooliserverile ja ühendatud seadmetele

ja vaikimisi SSH-teenus töötab ja on kõigis liidestes lubatud. see on

soovitame valida protokolliks, millega administraator ühenduse loob, SSH

konsooliserveriga Interneti või mõne muu avaliku võrgu kaudu. See annab

autentitud side kaugjuhtimispuldi SSH-klientprogrammi vahel

arvuti ja SSH-server konsooliserveris. SSH kohta lisateabe saamiseks

konfiguratsioon Vt 8. peatükk – Autentimine.

Märkeruut Luba SSH käsukesta lubab või keelab selle teenuse. Alternatiivse SSH-pordi kuulamiseks saab määrata SSH-käsu kesta pordis (vaikimisi port on 22).

3. Lubage ja konfigureerige muid teenuseid.

TFTP/FTP Kui konsooliserveris tuvastatakse USB-välkmälukaart või sisemine välklamp, lubab ruut Luba TFTP (FTP) teenus selle teenuse ja seadistab USB-välkmälu vaike-tftp- ja ftp-serveri. Neid servereid kasutatakse konfiguratsiooni salvestamiseks files, juurdepääsu- ja tehingulogide haldamine jne. Filetftp ja ftp abil edastatud failid salvestatakse kausta /var/mnt/storage.usb/tftpboot/ (või ACM7000-seeria seadmetes /var/mnt/storage.nvlog/tftpboot/). Märke eemaldamine Luba TFTP (FTP) teenus keelab TFTP (FTP) teenuse.

DNS-i edastamise kontrollimine DNS-serveri lubamine/edastus lubab DNS-edastusfunktsiooni, nii et klientidele saab konfigureerida oma DNS-serveri seadistuste jaoks konsooliserveri IP-aadressi ja konsooliserver edastab DNS-päringud tegelikule DNS-serverile.

Web Terminali kontrollimise lubamine Web Terminal lubab web brauseri juurdepääs süsteemi käsurea kestale läbi Halda > Terminal.

4. Määrake alternatiivsed pordinumbrid töötlemata TCP, otsese Telneti/SSH ja autentimata Telneti/SSH teenuste jaoks. Konsooliserver kasutab erinevate juurdepääsu jaoks TCP/IP-portide jaoks kindlaid vahemikke
teenused, mida kasutajad saavad kasutada jadaportidega ühendatud seadmetele juurdepääsuks (nagu on kirjeldatud peatükis 3 Jadaportide konfigureerimine). Administraator saab määrata nendele teenustele alternatiivsed vahemikud ja neid sekundaarseid porte kasutatakse lisaks vaikeseadetele.

Telneti juurdepääsu TCP/IP-baaspordi vaikeaadress on 2000 ja Telneti vahemik on IP-aadress: Port (2000 + jadaport #) st 2001 2048. Kui administraator määraks Telneti teiseseks baasiks 8000, siis jada konsooliserveri pordile nr 2 pääseb juurde Telnetile IP kaudu
Aadress: 2002 ja IP-aadress: 8002. SSH vaikebaas on 3000; töötlemata TCP puhul on 4000; ja RFC2217 puhul on see 5000

5. Selles menüüs saab lubada ja konfigureerida muid teenuseid, valides konfigureerimiseks klõpsake siin:

Nagiose juurdepääs Nagiose NRPE jälgimisdeemonitele

pähkli

Juurdepääs NUT UPS-i seiredeemonile

SNMP Lubab snmp konsooliserveris. SNMP on vaikimisi keelatud

NTP

6. Klõpsake Apply (Rakenda). Ilmub kinnitusteade: Teade Konfiguratsiooni muutmine õnnestus

Teenuste juurdepääsu seadeid saab seadistada juurdepääsu lubamiseks või blokeerimiseks. See määrab, milliseid lubatud teenuseid saavad administraatorid kasutada iga võrguliidese kaudu konsooliserveriga ühenduse loomiseks ja konsooliserveri kaudu ühendatud jada- ja võrguga ühendatud seadmetega.

Kasutusjuhend
1. Valige lehel Süsteem > Teenused vahekaart Teenuse juurdepääs.
2. See kuvab konsooliserveri võrguliideste jaoks lubatud teenused. Sõltuvalt konkreetsest konsooliserveri mudelist võivad kuvatavad liidesed sisaldada järgmist: · Võrguliides (peamise Etherneti ühenduse jaoks) · Halduskoht LAN / OOB-tõrkevahetus (teine Etherneti ühendus) · Sissehelistus / Mobiilside (V90 ja 3G modem) · Sissehelistus (sisemine) või väline V90 modem) · VPN (IPsec või Open VPN ühendus mis tahes võrguliidese kaudu)
3. Märkige/tühjendage iga võrgu puhul, millisele teenusele juurdepääs tuleb lubada/keelata. Respond to ICMP kordab (st ping) teenuse juurdepääsu valikuid, mida saab seadistadatage. See võimaldab konsooliserveril vastata sissetulevatele ICMP kajapäringutele. Ping on vaikimisi lubatud. Turvalisuse suurendamiseks peaksite esmase konfigureerimise lõpetamisel selle teenuse keelama. Saate lubada juurdepääsu jadapordiseadmetele määratud võrguliidestest, kasutades töötlemata TCP-d, otsest Telneti/SSH-d, autentimata Telneti/SSH-teenuseid jne.
4. Klõpsake Apply (Rakenda). Web Haldussätted Märkeruut Luba HSTS võimaldab ranget HTTP ranget transporditurvet. HSTS-režiim tähendab, et StrictTransport-Security päis tuleks saata HTTPS-i transpordi kaudu. Nõuetele vastav web brauser jätab selle päise meelde ja kui palutakse võtta ühendust sama hostiga HTTP kaudu (tavaline), lülitub see automaatselt sellele
19

2. peatükk: Süsteemi konfigureerimine
HTTPS enne HTTP proovimist, kui brauser on ühe korra turvalisele saidile juurde pääsenud ja näinud STS-i päist.
Julma jõu kaitse Julma jõu kaitse (Micro Fail2ban) blokeerib ajutiselt allika IP-d, mis näitavad pahatahtlikke märke, näiteks liiga palju paroolitõrkeid. See võib aidata, kui seadme võrguteenused puutuvad kokku ebausaldusväärse võrguga, nagu avalik WAN ja skriptitud rünnakud või tarkvaraussid, mis üritavad ära arvata (toore jõuga) kasutaja mandaate ja saada volitamata juurdepääsu.

Loetletud teenuste jaoks võib olla lubatud brute Force Protection. Vaikimisi keelatakse pärast kaitse aktiveerimist 3 sekundi jooksul 60 või enam ebaõnnestunud ühenduse loomist konkreetsest allika IP-st selle ühenduse loomine konfigureeritava ajavahemiku jooksul. Katsete limiiti ja keelamise ajalõpu saab kohandada. Samuti on loetletud aktiivsed keelud ja neid saab värskendada lehe uuesti laadimisel.

MÄRKUS

Kui töötate ebausaldusväärses võrgus, kaaluge kaugjuurdepääsu lukustamiseks erinevate strateegiate kasutamist. See hõlmab SSH avaliku võtme autentimist, VPN-i ja tulemüürireegleid
lubatud loendi kaugjuurdepääs ainult usaldusväärsetest lähtevõrkudest. Vaadake üksikasju Opengeari teadmistebaasi.

2.5 Sidetarkvara
Olete konfigureerinud administraatorikliendi juurdepääsuprotokollid, mida konsooliserveriga ühenduse loomisel kasutada. Kasutajakliendid kasutavad neid protokolle ka konsooliserveri jadaühendusega seadmetele ja võrguga ühendatud hostidele juurde pääsedes. Peate administraatori ja kasutajakliendi arvutis seadistama sidetarkvara tööriistad. Ühenduse loomiseks võite kasutada selliseid tööriistu nagu PuTTY ja SSHTerm.

Kasutusjuhend
Kaubanduslikult saadaolevad konnektorid ühendavad usaldusväärse SSH-tunneldamisprotokolli populaarsete juurdepääsutööriistadega, nagu Telnet, SSH, HTTP, HTTPS, VNC, RDP, et pakkuda kõigile hallatavatele süsteemidele ja seadmetele osutada ja klõpsata turvalist kaughaldusjuurdepääsu. Teavet konsooliserveri halduskonsoolile brauseri juurdepääsuks, Telneti/SSH-le juurdepääsuks konsooliserveri käsureale ja TCP/UDP-ühenduse loomise kohta hostidega, mis on võrguühenduses konsooliserveriga, leiate 5. peatükist. Ühendused võivad olla installitud Windowsi arvutitesse, Mac OS X-i ning enamikesse Linuxi, UNIX-i ja Solarise süsteemidesse.
2.6 Haldusvõrgu konfiguratsioon
Konsooliserveritel on täiendavad võrgupordid, mida saab konfigureerida pakkuma halduskohtvõrgu juurdepääsu ja/või tõrkesiirde või ribavälist juurdepääsu. 2.6.1 Luba haldus LAN-konsooli servereid saab konfigureerida nii, et teine Etherneti port pakub haldamise LAN-lüüsi. Lüüsil on tulemüüri, ruuteri ja DHCP-serveri funktsioonid. Peate ühendama võrguga Network 2 välise LAN-i lüliti, et ühendada hostid selle halduskohtvõrguga.
MÄRKUS. Teist Etherneti porti saab konfigureerida kas halduskohtvõrgu lüüsi pordina või OOB/tõrkesiirdepordina. Veenduge, et te ei määranud peamise võrguühenduse menüüs Süsteem > IP konfigureerimisel tõrkesiirteliideseks NET2.
21

2. peatükk: Süsteemi konfigureerimine
Halduskohtvõrgu lüüsi konfigureerimiseks toimige järgmiselt. 1. Valige menüüst Süsteem > IP vahekaart Halduskohtvõrgu liides ja tühjendage märkeruut Keela. 2. Konfigureerige halduskohtvõrgu IP-aadress ja alamvõrgumask. Jätke DNS-väljad tühjaks. 3. Klõpsake Apply (Rakenda).
Halduslüüsi funktsioon on lubatud tulemüüri ja ruuteri vaikereeglitega, mis on konfigureeritud nii, et halduskohtvõrgule pääseb juurde ainult SSH-pordi edastamise kaudu. See tagab, et kaug- ja kohalikud ühendused halduskohtvõrgu hallatavate seadmetega on turvalised. LAN-porte saab konfigureerida ka silla- või siderežiimis või käsitsi konfigureerida käsurealt. 2.6.2 DHCP-serveri konfigureerimine DHCP-server võimaldab IP-aadresside automaatset levitamist halduskohtvõrgu seadmetele, mis töötavad DHCP-kliente. DHCP-serveri lubamiseks toimige järgmiselt.
1. Klõpsake Süsteem > DHCP-server. 2. Märkige vahekaardil Võrguliides valik Luba DHCP-server.
22

Kasutusjuhend
3. Sisestage DHCP klientidele väljastatav lüüsi aadress. Kui see väli tühjaks jätta, kasutatakse konsooliserveri IP-aadressi.
4. Sisestage DHCP-klientide väljastamiseks esmane DNS-i ja sekundaarne DNS-aadress. Kui see väli tühjaks jätta, kasutatakse konsooliserveri IP-aadressi.
5. Soovi korral sisestage DHCP-klientide väljastamiseks domeeninime järelliide. 6. Sisestage vaikerendi aeg ja maksimaalne rendiaeg sekundites. See on aeg
et dünaamiliselt määratud IP-aadress on kehtiv, enne kui klient peab seda uuesti taotlema. 7. Klõpsake nuppu Rakenda DHCP-server väljastab määratud aadressikogumitest IP-aadresse: 1. Klõpsake väljal Dynamic Address Allocation Pools nuppu Lisa. 2. Sisestage DHCP basseini algusaadress ja lõppaadress. 3. Klõpsake Apply (Rakenda).
23

2. peatükk: Süsteemi konfigureerimine
DHCP-server toetab ka IP-aadresside eelmääramist, mis eraldatakse konkreetsetele MAC-aadressidele, ja IP-aadresside reserveerimist fikseeritud IP-aadressidega ühendatud hostidele. Konkreetsele hostile IP-aadressi reserveerimiseks tehke järgmist.
1. Klõpsake väljal Reserveeritud aadressid nuppu Lisa. 2. Sisestage hostinimi, riistvaraaadress (MAC) ja staatiliselt reserveeritud IP-aadress
DHCP-klient ja klõpsake nuppu Rakenda.
Kui DHCP on eraldanud hostiaadressid, on soovitatav need kopeerida eelnevalt määratud loendisse, et taaskäivitamise korral jaotatakse sama IP-aadress ümber.
24

Kasutusjuhend
2.6.3 Valige tõrkesiirde või lairibaühendusega OOB-konsooliserverid pakuvad tõrkesiirdevalikut, nii et kui konsooliserverile juurdepääsuks peamise LAN-ühenduse kasutamisel tekib probleem, kasutatakse alternatiivset juurdepääsuteed. Tõrkevahetuse lubamiseks tehke järgmist.
1. Valige menüüst Süsteem > IP leht Võrguliides. 2. Valige rikke korral kasutatav tõrkesiirteliides.tage põhivõrgus.
3. Klõpsake Apply (Rakenda). Tõrkesiirde aktiveeritakse pärast seda, kui määrate tõrkesiirde käivitamiseks kontrollitavad välised saidid ja seadistate tõrkesiirde pordid.
2.6.4 Võrguportide koondamine Vaikimisi pääseb konsooliserveri halduse LAN-võrgu portidele juurde SSH tunneldamise / pordi suunamise abil või luues konsooliserverisse IPseci VPN-tunneli. Kõiki konsooliserverite juhtmega võrguporte saab ühendada silla või sidemega.
25

Kasutusjuhend
· Vaikimisi on liidese liitmine keelatud menüüs Süsteem > IP > Üldsätted · Valige Bridge Interfaces või Bond Interfaces
o Kui sildamine on lubatud, suunatakse võrguliiklus tulemüüripiiranguteta kõigi Etherneti portide kaudu. Kõik Etherneti pordid on kõik läbipaistvalt ühendatud andmesidekihis (kiht 2), nii et nad säilitavad oma ainulaadsed MAC-aadressid
o Sidumisel toimub võrguliiklus portide vahel, kuid sellel on üks MAC-aadress
Mõlemad režiimid eemaldavad kõik haldus-LAN-liidese ja ribavälise/tõrkesiirde liidese funktsioonid ning keelavad DHCP-serveri · Koondamisrežiimis konfigureeritakse kõik Etherneti pordid ühiselt võrguliidese menüü abil
25

2. peatükk: Süsteemi konfigureerimine
2.6.5 Staatilised marsruudid Staatilised marsruudid pakuvad väga kiiret viisi andmete marsruueerimiseks ühest alamvõrgust erinevasse alamvõrku. Saate kõvasti kodeerida tee, mis käsib konsooliserveril/ruuteril teatud teed kasutades teatud alamvõrku jõuda. See võib olla kasulik erinevatele alamvõrkudele juurdepääsuks kaugsaidil, kui kasutate mobiilsidevõrgu OOB-ühendust.

Staatilise marsruudi lisamiseks süsteemi marsruuditabelisse:
1. Valige menüüst Süsteem > IP üldsätted vahekaart Marsruudi sätted.
2. Klõpsake nuppu Uus marsruut
3. Sisesta marsruudi nimi.
4. Sisestage väljale Sihtvõrk/Host selle sihtvõrgu/hosti IP-aadress, millele marsruut juurdepääsu pakub.
5. Sisestage väljale Destination netmask väärtus, mis identifitseerib sihtvõrgu või hosti. Mis tahes arv vahemikus 0 kuni 32. Alamvõrgu mask 32 tuvastab hosti marsruudi.
6. Sisestage Route Gateway ruuteri IP-aadressiga, mis suunab paketid sihtvõrku. Selle võib tühjaks jätta.
7. Valige sihtpunkti jõudmiseks kasutatav liides, mille olekuks võib jääda valikuks Puudub.
8. Sisestage väljale Metric väärtus, mis tähistab selle ühenduse mõõdikut. Kasutage suvalist arvu, mis on 0-ga võrdne või suurem. See tuleb määrata ainult siis, kui kaks või enam marsruuti on vastuolus või nende sihtmärgid kattuvad.
9. Klõpsake Apply (Rakenda).

MÄRKUS

Marsruudi üksikasjade lehel on loend võrguliidestest ja modemitest, millega marsruuti saab siduda. Modemi puhul lisatakse marsruut selle seadme kaudu loodud sissehelistamisseansse. Marsruudi saab määrata lüüsi, liidese või mõlemaga. Kui määratud liides pole aktiivne, ei ole selle liidese jaoks konfigureeritud marsruudid aktiivsed.

Kasutusjuhend 3. SERIALPORT, HOST, SEADME JA KASUTAJA SEADISTUS
Konsooliserver võimaldab juurdepääsu jadaühendusega seadmetele ja võrguga ühendatud seadmetele (hostid) ja neid juhtida. Administraator peab konfigureerima kõigi nende seadmete juurdepääsuõigused ja määrama teenused, mida saab seadmete juhtimiseks kasutada. Administraator saab seadistada ka uusi kasutajaid ning määrata iga kasutaja individuaalsed juurdepääsu- ja juhtimisõigused.
See peatükk hõlmab kõiki võrguga ühendatud ja jadaühendusega seadmete konfigureerimise etappe: · Jadapordid jadaühendusega seadmete kasutatavate protokollide seadistamine · Kasutajad ja rühmad kasutajate seadistamine ja igale sellisele kasutajale juurdepääsuõiguste määramine · Autentimine seda käsitletakse rohkem Üksikasjalik teave 8. peatükis · Võrguhostid, mis konfigureerivad juurdepääsu kohtvõrku ühendatud arvutitele või seadmetele (hostid) · Usaldusväärsete võrkude konfigureerimine – määrake IP-aadressid, millele usaldusväärsed kasutajad pääsevad juurde · Jadakonsooli portide kaskaadimine ja ümbersuunamine · Toiteallikaga ühendamine (UPS, PDU ja IPMI) ja keskkonnaseire (EMD) seadmed · Jadapordi ümbersuunamine PortShare'i akende ja Linuxi klientide abil · Hallatavad seadmed – esitab konsolideeritud view kõigist ühendustest · IPSec lubab VPN-ühendust · OpenVPN · PPTP
3.1 Jadaportide seadistamine
Jadapordi konfigureerimise esimene samm on ühissätted, nagu protokollid ja RS232 parameetrid, mida kasutatakse andmeühenduse loomiseks selle pordiga (nt andmeedastuskiirus). Valige, millises režiimis port töötab. Iga pordi saab seadistada toetama ühte järgmistest töörežiimidest:
· Vaikimisi on keelatud režiim, jadaport on passiivne
27

3. peatükk:

Jadaport, host, seadme ja kasutaja konfiguratsioon

· Konsooliserveri režiim võimaldab üldist juurdepääsu jadakonsooli pordile jadaühendusega seadmetes
· Seadmerežiim seab jadapordi üles suhtlema intelligentse jadajuhitava PDU, UPSi või keskkonnaseireseadmetega (EMD)
· Terminaliserveri režiim seab jadapordi ootama sissetulevat terminali sisselogimisseanssi · Serial Bridge režiim võimaldab kahe jadapordiseadme läbipaistvat omavahelist ühendamist.
võrku.
1. Jadapordi üksikasjade kuvamiseks valige Serial & Network > Serial Port. 2. Vaikimisi on iga jadaport seatud konsooliserveri režiimile. Klõpsake soovitud pordi kõrval nuppu Redigeeri
ümber konfigureeritud. Või klõpsake nuppu Redigeeri mitut porti ja valige pordid, mida soovite rühmana konfigureerida. 3. Kui olete iga pordi jaoks üldsätted ja režiimi ümber konfigureerinud, seadistage mis tahes kaugsüsteemi logi (täpsemat teavet leiate järgmistest jaotistest). Klõpsake nuppu Rakenda 4. Kui konsooliserver on konfigureeritud jaotatud Nagiose jälgimisega, kasutage Nagiose seadete suvandeid, et võimaldada hosti määratud teenuste jälgimist. 3.1.1 Üldsätted Iga seeria jaoks saab määrata mitmeid ühiseid sätteid sadamasse. Need ei sõltu režiimist, milles porti kasutatakse. Need jadapordi parameetrid tuleb seadistada nii, et need ühtiksid selle pordiga ühendatud seadme jadapordi parameetritega:
28

Kasutusjuhend

· Sisestage pordi silt · Valige iga pordi jaoks sobiv edastuskiirus, paarsus, andmebitid, stoppbitid ja voo juhtimine

· Määrake Port Pinout. See menüüelement kuvatakse IM7200 portide jaoks, kus iga RJ45 jadapordi väljundiks saab määrata kas X2 (Cisco Straight) või X1 (Cisco Rolled)

· Seadistage DTR-režiim. See võimaldab teil valida, kas DTR-i rakendatakse alati või ainult aktiivse kasutajaseansi korral

· Enne jadapordi edasise konfigureerimise jätkamist peaksite ühendama pordid jadaseadmetega, mida nad juhivad, ja veenduma, et neil on sobivad sätted

3.1.2

Konsooli serverirežiim
Valige konsooliserveri režiim, et lubada kaughaldusjuurdepääs selle jadapordiga ühendatud jadakonsoolile:

Logimise tase See määrab logitava ja jälgitava teabe taseme.
29

3. peatükk: Jadaport, host, seade ja kasutaja konfiguratsioon
Tase 0: Keela logimine (vaikimisi)
1. tase: logi sisselogimise, väljalogimise ja signaali sündmusi
Tase 2: logi sisselogimise, väljalogimise, signaali, TXDATA ja RXDATA sündmused
3. tase: logi sisselogimise, väljalogimise, signaali ja RXDATA sündmuste logi
Tase 4: Logi sisse LOGIN, LOGOUT, SIGNAL ja TXDATA sündmused
Sisend/RXDATA on Opengeari seadme poolt ühendatud jadaseadmelt vastuvõetud andmed ja väljund/TXDATA on andmed, mille Opengear seade saadab (nt kasutaja poolt sisestatud) ühendatud jadaseadmesse.
Seadmekonsoolid kajavad tavaliselt nende tippimise ajal tagasi märgid, nii et kasutaja sisestatud TXDATA võetakse hiljem vastu RXDATA-na, mis kuvatakse nende terminalis.
MÄRKUS. Pärast parooli küsimist saadab ühendatud seade * tähemärki, et vältida parooli kuvamist.

Telnet Kui Telneti teenus on konsooliserveris lubatud, saab kasutaja arvuti Telneti klient ühenduse luua konsooliserveri selle jadapordiga ühendatud jadaseadmega. Kuna Telneti side on krüptimata, on see protokoll soovitatav ainult kohalike või VPN-tunneliga ühenduste jaoks.
Kui kaugsidet tunnelitakse pistikuga, saab Telneti kasutada nendele ühendatud seadmetele turvaliseks juurdepääsuks.

MÄRKUS

Konsooliserveri režiimis saavad kasutajad kasutada konnektorit turvaliste Telneti ühenduste seadistamiseks, mis on SSH tunneliga nende klientarvutitest konsooliserveri jadaporti. Konnektorid saab installida Windowsi personaalarvutitesse ja enamikule Linuxi platvormidele ning see võimaldab valida turvalisi Telneti ühendusi, kasutades osutamist ja klõpsamist.

Konsooliserveri jadaportide konsoolidele juurdepääsuks konnektori kasutamiseks konfigureerige konsooliserveriga konnektor lüüsina ja hostina ning lubage Telneti teenus pordis (2000 + jadaport #), st 2001.

Telneti või SSH otseühenduse seadmiseks jadaportidega saate kasutada ka standardseid sidepakette, nagu PuTTY.

MÄRKUS Konsooliserveri režiimis loote jadapordiga ühenduse loomisel pmshelli kaudu ühenduse. Jadapordis BREAK genereerimiseks tippige märgijada ~b. Kui teete seda OpenSSH kaudu, tippige ~~b.

SSH

Soovitatav on kasutada konsooliserveriga ühenduse loomisel protokollina SSH-d

(või looge ühendus konsooliserveri kaudu lisatud jadakonsoolidega) Interneti või muu kaudu

muu avalik võrk.

Konsooliserveri jadaportidega ühendatud seadmete konsoolidele SSH-juurdepääsuks saate kasutada konnektorit. Seadistage konsooliserveriga konnektor lüüsina ja hostina ning lubage SSH-teenus pordis (3000 + jadaport nr) st 3001-3048.

Võite kasutada ka tavalisi sidepakette, nagu PuTTY või SSHTerm to SSH, et ühenduda pordiaadressiga IP-aadress _ Port (3000 + jadaport nr) st 3001

SSH-ühendusi saab konfigureerida standardse SSH-pordi 22 abil. Juurdepääs olev jadaport tuvastatakse kasutajanimele deskriptori lisamisega. See süntaks toetab:

Kasutusjuhend
: : Kui kasutaja nimega chris pääseb juurde jadapordile 2, on SSHTermi või PuTTY SSH-kliendi seadistamisel kasutajanimi = chris ja ssh port = 3002 tippimise asemel sisestada kasutajanimi = chris:port02 (või kasutajanimi = chris: ttyS1) ja ssh port = 22. Või sisestades kasutajanimi=chris:serial ja ssh port = 22, kuvatakse kasutajale pordi valikuvõimalus:

See süntaks võimaldab kasutajatel seadistada SSH tunnelid kõikidesse jadaportidesse, mille tulemüüris/lüüsis tuleb avada üks IP-port 22
MÄRKUS. Konsooliserveri režiimis loote ühenduse jadapordiga pmshelli kaudu. Jadapordis BREAK genereerimiseks tippige märgijada ~b. Kui teete seda OpenSSH kaudu, tippige ~~b.

TCP

RAW TCP võimaldab ühendusi TCP-pesaga. Kuigi suhtlusprogrammid nagu PuTTY

toetab ka RAW TCP-d, seda protokolli kasutab tavaliselt kohandatud rakendus

RAW TCP puhul on pordi vaikeaadress IP-aadress _ Port (4000 + jadaport nr) st 4001 4048

RAW TCP võimaldab ka jadapordi tunneldamist kaugkonsooliserverisse, nii et kaks jadapordiseadet saavad läbipaistvalt võrgu kaudu ühendada (vt peatükki 3.1.6 Jadasild)

RFC2217 RFC2217 valimine võimaldab selles pordis jadapordi ümbersuunamise. RFC2217 puhul on pordi vaikeaadress IP-aadress _ Port (5000 + jadaport nr) st 5001 5048
Windows UNIX-i ja Linuxi jaoks on saadaval spetsiaalne klienditarkvara, mis toetab RFC2217 virtuaalseid sideporte, nii et kaughost saab jälgida ja hallata jadaühendusega kaugseadmeid nii, nagu need oleksid ühendatud kohaliku jadapordiga (üksikasju vt peatükist 3.6 Jadapordi ümbersuunamine).
RFC2217 võimaldab ka jadapordi tunneldamist kaugkonsooliserverisse, nii et kaks jadapordiseadet saavad läbipaistvalt võrgu kaudu ühendada (vt peatükki 3.1.6 Jadasild)

Autentimata Telnet See võimaldab Telnetile juurdepääsu jadapordile ilma autentimismandaatideta. Kui kasutaja pöördub Telneti konsooliserveri poole jadaporti, kuvatakse talle sisselogimisviip. Autentimata Telnetiga loovad nad ühenduse otse pordiga ilma konsooliserveri sisselogimisprobleemideta. Kui Telneti klient küsib autentimist, võimaldavad kõik sisestatud andmed ühenduse luua.

3. peatükk: Jadaport, host, seade ja kasutaja konfiguratsioon
Seda režiimi kasutatakse välise süsteemiga (nt konserver), mis haldab kasutaja autentimist ja juurdepääsuõigusi jadaseadme tasemel.
Konsooliserveriga ühendatud seadmesse sisselogimine võib nõuda autentimist.
Autentimata Telneti puhul on pordi vaikeaadress IP-aadress _ Port (6000 + jadaport nr) st 6001 6048

Autentimata SSH See võimaldab SSH-le juurdepääsu jadapordile ilma autentimismandaatideta. Kui kasutaja pöördub Telneti konsooliserveri poole jadaporti, kuvatakse talle sisselogimisviip. Autentimata SSH-ga ühenduvad nad otse pordiga ilma konsooliserveri sisselogimisprobleemideta.
Seda režiimi kasutatakse siis, kui teil on teine süsteem, mis haldab kasutaja autentimist ja juurdepääsuõigusi jadaseadme tasemel, kuid soovite krüpteerida seanssi üle võrgu.
Konsooliserveriga ühendatud seadmesse sisselogimine võib nõuda autentimist.
Autentimata Telneti puhul on pordi vaikeaadress IP-aadress _ Port (7000 + jadaport nr) st 7001 7048
The : pordi juurdepääsu meetod (nagu on kirjeldatud ülaltoodud SSH jaotises) nõuab alati autentimist.

Web Terminal See võimaldab web brauseri juurdepääs jadapordile läbi Halda > Seadmed: jada, kasutades halduskonsooli sisseehitatud AJAX-terminali. Web Terminal loob ühenduse praegu autentitud halduskonsooli kasutajana ega autenti uuesti. Täpsemalt vaadake jaotist 12.3.

IP-alias

Lubage juurdepääs jadapordile konkreetse IP-aadressi abil, mis on määratud CIDR-vormingus. Igale jadapordile saab määrata ühe või mitu IP-aliast, mis on konfigureeritud võrguliidesepõhiselt. Jadaport võib ntample, teha juurdepääsetavaks nii 192.168.0.148 (sisevõrgu osana) kui ka 10.10.10.148 (halduskohtvõrgu osana). Samuti on võimalik teha jadaport kättesaadavaks kahel IP-aadressil samas võrgus (ntample, 192.168.0.148 ja 192.168.0.248).

Neid IP-aadresse saab kasutada ainult konkreetsele jadapordile juurdepääsuks, millele pääseb juurde konsooliserveri teenuste standardprotokolli TCP-pordi numbrite abil. Näiteksample, SSH jadapordis 3 oleks juurdepääsetav jadapordi IP-aliase pordis 22 (konsooliserveri esmasel aadressil on see saadaval pordis 2003).

Seda funktsiooni saab konfigureerida ka mitme pordi redigeerimislehe kaudu. Sel juhul rakendatakse IP-aadresse järjestikku, kusjuures esimesele valitud portile sisestatakse IP ja järgnevaid suurendatakse, kusjuures valimata portide numbrid jäetakse vahele. NäiteksampKui valitud on pordid 2, 3 ja 5 ning võrguliidese jaoks on sisestatud IP-alias 10.0.0.1/24, määratakse järgmised aadressid:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

IP-aliased toetavad ka IPv6 pseudonüümi aadresse. Ainus erinevus on see, et aadressid on kuueteistkümnendarvud, nii et port 10 võib vastata aadressile, mis lõpeb tähega A, ja 11 ühele, mis lõpeb tähega B, mitte 10 või 11 IPv4 järgi.

Kasutusjuhend
Liikluse krüptimine / autentimine Lubage RFC2217 jadaside triviaalne krüptimine ja autentimine Portshare'i abil (tugeva krüptimise jaoks kasutage VPN-i).
Kogumisperiood Kui konkreetse jadapordi jaoks on loodud ühendus (nt RFC2217 ümbersuunamine või Telneti ühendus kaugarvutiga), edastatakse kõik selle pordi sissetulevad märgid tähemärgi kaupa võrgu kaudu. Kogumisperiood määrab aja, mille jooksul sissetulevad märgid kogutakse enne paketina üle võrgu saatmist
Põgenemismärk Muutke paomärkide saatmiseks kasutatavat märki. Vaikimisi on ~. Asenda tagasilükkeklahv Kas asendada vaikimisi tagasilükkeklahviga CTRL+? (127) kombinatsiooniga CTRL+h (8). Toitemenüü Käsk toitemenüü avamiseks on ~p ja lubab shelli toitekäsku, nii et a
kasutaja saab juhtida toiteühendust hallatava seadmega käsurealt, kui nad on seadmega ühendatud Telneti või SSH-ga. Hallatav seade peab olema seadistatud nii jadapordiühenduse kui ka toiteühendusega.
Üks ühendus See piirab pordi ühe ühendusega, nii et kui mitmel kasutajal on konkreetse pordi juurdepääsuõigused, pääseb sellele pordile juurde korraga ainult üks kasutaja (st pordi nuhkimine pole lubatud).
33

3. peatükk: Jadaport, host, seade ja kasutaja konfiguratsioon
3.1.3 Seadme (RPC, UPS, keskkonna) režiim See režiim konfigureerib valitud jadapordi suhtlema jadajuhitava katkematu toiteallika (UPS), kaugtoitekontrolleri / toitejaotusseadmetega (RPC) või keskkonnaseireseadmega (keskkonnaseire)

1. Valige soovitud seadme tüüp (UPS, RPC või Environmental)
2. Liikuge vastava seadme konfiguratsioonilehele (Serial & Network > UPS Connections, RPC Connection või Environmental), nagu on kirjeldatud 7. peatükis.

3.1.4 ·

Terminali serveri režiim
Valige terminaliserveri režiim ja terminali tüüp (vt220, vt102, vt100, Linux või ANSI), et lubada valitud jadapordis getty

Getty konfigureerib pordi ja ootab ühenduse loomist. Jadaseadme aktiivset ühendust näitab jadaseadmel üles tõstetud andmekandja tuvastamise (DCD) viik. Kui ühendus tuvastatakse, väljastab programm getty login: viipa ja kutsub süsteemi sisselogimist käsitlema sisselogimisprogrammi.
MÄRKUS Terminalserveri režiimi valimine keelab selle jadapordi pordihalduri, nii et andmeid ei logita enam hoiatuste jms jaoks.

Kasutusjuhend
3.1.5 Jadasilda režiim Jadasildamise korral kapseldatakse ühe konsooliserveri määratud jadapordi jadaandmed võrgupakettidesse ja transporditakse võrgu kaudu teise konsooliserverisse, kus need on esitatud jadaandmetena. Kaks konsooliserverit toimivad virtuaalse jadakaablina üle IP-võrgu. Üks konsooliserver on konfigureeritud serveriks. Sillatav serveri jadaport on seatud konsooliserveri režiimis, kus on lubatud kas RFC2217 või RAW. Kliendikonsooli serveri jaoks peab sillatav jadaport olema seadistatud sillarežiimis:
· Valige Serial Bridging Mode ja määrake serverikonsooli serveri IP-aadress ja kaugjadapordi TCP-pordi aadress (RFC2217 silla puhul on see 5001-5048)
· Vaikimisi kasutab sildklient RAW TCP-d. Valige RFC2217, kui see on konsooliserveri režiim, mille olete serverikonsooliserveris määranud
· SSH-i lubades saate sidet kohaliku Etherneti kaudu kaitsta. Looge ja laadige üles võtmed.
3.1.6 Syslog Lisaks sisseehitatud logimisele ja jälgimisele, mida saab rakendada jadaühendusega ja võrguga ühendatud haldusjuurdepääsudele, nagu on kirjeldatud peatükis 6, saab konsooliserverit konfigureerida ka toetama kaugsüslogi protokolli jadapordi kohta alus:
· Valige Syslog Facility/Priority väljad, et võimaldada valitud jadapordi liikluse logimist syslogi serverisse; ning logitud kirjade sorteerimiseks ja nende järgi tegutsemiseks (st nende ümbersuunamiseks / hoiatusmeili saatmiseks).
35

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
NäiteksampKui 3. jadapordiga ühendatud arvuti ei peaks kunagi oma jadakonsooli pordi kaudu midagi välja saatma, saab administraator määrata selle pordi seadmeks local0 (local0 .. local7 on mõeldud saidi kohalike väärtuste jaoks) ja prioriteediks kriitilise tähtsusega . Selle prioriteediga, kui konsooliserveri syslogiserver saab teate, annab see hoiatuse. Vt 6. peatükki. 3.1.7 NMEA voogesitus ACM7000-L suudab pakkuda GPS NMEA andmete voogedastust sisemisest GPS-/mobiilmodemist. Seda andmevoogu esitatakse ACM-mudelitel 5. pordis jadaandmevoona.
NMEA jadapordi konfigureerimisel eiratakse üldsätteid (edastuskiirus jne). Saate määrata Fix Frequency (st see GPS-i fikseerimise määr määrab, kui sageli GPS-parandusi saadakse). Sellele pordile saate rakendada ka kõiki konsooliserveri režiimi, syslogi ja jadasildade sätteid.
Võite kasutada pmshelli, webshell, SSH, RFC2217 või RawTCP voogu pääsemiseks:
Näiteksample, kasutades Web Terminal:
36

Kasutusjuhend

3.1.8 USB-konsoolid
USB-portidega konsooliserverid toetavad USB-konsooliühendusi paljude tootjate seadmetega, sealhulgas Cisco, HP, Dell ja Brocade. Need USB-pordid võivad toimida ka tavaliste RS-232 jadaportidena, kui on ühendatud USB-jadaadapter.

Need USB-pordid on saadaval tavaliste pordihalduri portidena ja need on esitatud numbriliselt web UI pärast kõiki RJ45 jadaporte.

ACM7008-2-l on konsooliserveri tagaküljel kaheksa RJ45 jadaporti ja ees neli USB-porti. Jada ja võrk > Jadaport on loetletud järgmiselt

Port # pistik

RJ45

USB

10 USB

11 USB

12 USB

Kui konkreetne ACM7008-2 on mobiilsidemudel, kuvatakse ka port nr 13 GPS-i jaoks.

Mudelil 7216-24U on 16 RJ45 jadaporti ja 24 USB-porti tagaküljel, samuti kaks ettepoole suunatud USB-porti ja (mobiiltelefoni mudelil) GPS.

RJ45 jadapordid on esitatud jaotises Jada ja võrk > Jadaport pordinumbritena 1. 16 tagaküljel asuvat USB-porti võtavad pordinumbrid 24 ja esiküljel olevad USB-pordid on loetletud vastavalt pordinumbritega 17 ja 40. Ja nagu ACM41-42 puhul, kui konkreetne 7008-2U on mobiilne mudel, kuvatakse GPS pordis 7216.

Portide konfigureerimisel kasutatakse tavalisi sätteid (edastuskiirus jne), kuid mõned toimingud ei pruugi toimida, olenevalt aluseks oleva USB jadakiibi rakendamisest.

3.2 Kasutajate lisamine ja muutmine
Administraator kasutab seda menüüvalikut kasutajate loomiseks, muutmiseks ja kustutamiseks ning iga kasutaja juurdepääsuõiguste määramiseks.

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon

Kasutajaid saab lubada juurdepääsuks määratud teenustele, jadaportidele, toiteseadmetele ja määratud võrguga ühendatud hostidele. Nendele kasutajatele saab anda ka täieliku administraatori staatuse (täieliku konfiguratsiooni ja halduse ning juurdepääsuõigustega).

Kasutajaid saab gruppidesse lisada. Vaikimisi on seadistatud kuus rühma:

admin

Pakub piiramatuid konfiguratsiooni- ja haldusõigusi.

pptpd

Võimaldab juurdepääsu PPTP VPN-serverile. Selle grupi kasutajate parool on salvestatud tekstina.

dialin

Võimaldab sissehelistamist modemite kaudu. Selle grupi kasutajate parool on salvestatud tekstina.

ftp

Võimaldab juurdepääsu ftp-le ja file juurdepääs salvestusseadmetele.

pmshell

Määrab vaikekestaks pmshell.

kasutajad

Annab kasutajatele põhilised haldusõigused.

Administraatorirühm annab liikmetele täielikud administraatoriõigused. Administraatorikasutaja pääseb konsooliserverisse juurde, kasutades mis tahes teenust, mis on lubatud jaotises Süsteem > Teenused. Samuti pääseb ta juurde mis tahes ühendatud hostidele või jadapordiseadmetele, kasutades mis tahes teenuseid, mis on nende ühenduste jaoks lubatud. Ainult usaldusväärsetel kasutajatel peaks olema administraatori juurdepääs
Kasutajarühm pakub liikmetele piiratud juurdepääsu konsooliserverile ning ühendatud hostidele ja jadaseadmetele. Need kasutajad pääsevad juurde ainult halduskonsooli menüü jaotisele Haldus ja neil pole käsurea juurdepääsu konsooliserverile. Nad pääsevad juurde ainult nendele hostidele ja jadaseadmetele, mis on nende jaoks kontrollitud, kasutades teenuseid, mis on lubatud
Rühma pptd, dialin, ftp või pmshell kasutajatel on piiratud juurdepääs määratud hallatavatele seadmetele, kuid neil pole otsest juurdepääsu konsooliserverile. Selle lisamiseks peavad kasutajad olema ka kasutajate või administraatorirühmade liikmed
Administraator saab luua täiendavaid rühmi konkreetse toiteseadme, jadapordi ja hosti juurdepääsuõigustega. Nende lisarühmade kasutajatel pole juurdepääsu halduskonsooli menüüle ega käsurea juurdepääsu konsooliserverile.

Kasutusjuhend
Administraator saab seadistada konkreetse toiteseadme, jadapordi ja hosti juurdepääsuõigusega kasutajaid, kes ei ole ühegi rühma liikmed. Neil kasutajatel pole juurdepääsu halduskonsooli menüüle ega käsurea juurdepääsu konsooliserverile. 3.2.1 Uue grupi seadistamine Uute rühmade ja kasutajate loomiseks ning kasutajate liigitamiseks teatud rühmade liikmeteks:
1. Kõigi rühmade ja kasutajate kuvamiseks valige Jada ja võrk > Kasutajad ja rühmad 2. Uue grupi lisamiseks klõpsake nuppu Lisa rühm
3. Lisage igale uuele rühmale rühma nimi ja kirjeldus ning määrake juurdepääsetavad hostid, juurdepääsetavad pordid ja juurdepääsetavad RPC-väljundid, millele selle uue grupi kasutajad pääsevad juurde.
4. Klõpsake nuppu Rakenda 5. Administraator saab redigeerida või kustutada mis tahes lisatud gruppi. 3.2.2 Uute kasutajate seadistamine Uute kasutajate seadistamiseks ja kasutajate liigitamiseks teatud rühmade liikmeteks: 1. Valige kuvamiseks Serial & Network > Users & Groups kõik rühmad ja kasutajad 2. Klõpsake nuppu Lisa kasutaja
39

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
3. Lisage igale uuele kasutajale kasutajanimi. Väljale Kirjeldus võite lisada ka kasutajaga seotud teabe (nt kontaktandmed). Kasutajanimi võib sisaldada 1 kuni 127 tähtnumbrilist märki ja märke "-" "_" ja ".".
4. Määrake, milliste gruppide liikmeks soovite kasutajat lisada. 5. Lisage igale uuele kasutajale kinnitatud parool. Kõik märgid on lubatud. 6. Kasutada saab SSH-pääsuvõtme autentimist. Kleepige volitatud avaliku/privaatse võtme avalikud võtmed
selle kasutaja võtmepaarid väljal Volitatud SSH-võtmed 7. Märkige ruut Disable Password Authentication, et lubada ainult selle kasutaja avaliku võtmega autentimist
kui kasutate SSH-d 8. Väljamineva tagasihelistamise ühenduse lubamiseks märkige sissehelistamisvalikud menüüs Luba tagasihelistamine
käivitatakse sellesse porti sisse logides. Sisestage tagasihelistamise telefoninumber koos telefoninumbriga, millele kasutaja sisselogimisel tagasi helistada. 9. Märkige ruut Accessible Hosts ja/või Accessible Ports, et määrata jadapordid ja võrguga ühendatud hostid, millele soovite kasutajal juurdepääsuõigusi 10-le. seal on konfigureeritud RPC-d, kontrollige Accessible RPC Outlets, et määrata, milliseid pistikupesasid kasutaja saab juhtida (st Power On/Off). 11. Klõpsake Apply. Uus kasutaja pääseb ligi juurdepääsetavatele võrguseadmetele, portidele ja RPC-väljunditele. Kui kasutaja on grupi liige, pääseb ta juurde ka mis tahes muule seadmele/pordile/väljundile, millele rühm pääseb
40

Kasutusjuhend
Seadistatavate kasutajate arv või kasutajate arv jadapordi või hosti kohta ei ole piiratud. Ühte porti või hosti saavad juhtida/jälgida mitu kasutajat. Gruppide arv ei ole piiratud ja iga kasutaja võib olla mitme grupi liige. Kasutaja ei pea olema ühegi rühma liige, kuid kui kasutaja on vaikimisi kasutajarühma liige, ei saa ta portide haldamiseks halduskonsooli kasutada. Kuigi piiranguid pole, pikeneb ümberkonfigureerimise aeg, kui arv ja keerukus kasvab. Soovitame kasutajate ja rühmade koguarvu hoida alla 250. Administraator saab muuta ka olemasolevate kasutajate juurdepääsuseadeid:
· Valige Jada ja võrk > Kasutajad ja rühmad ning klõpsake kasutaja juurdepääsuõiguste muutmiseks nuppu Redigeeri · Kasutaja eemaldamiseks klõpsake nuppu Kustuta · Juurdepääsuõiguste ajutiseks blokeerimiseks klõpsake nuppu Keela
3.3 Autentimine
Autentimise konfiguratsiooni üksikasju leiate peatükist 8.
3.4 Võrguhostid
Kohaliku võrguga arvuti või seadme (mida nimetatakse hostiks) jälgimiseks ja kaugjuurdepääsuks sellele peate tuvastama hosti:
1. Kui valite Jada ja võrk > Võrguhostid, kuvatakse kõik võrguga ühendatud hostid, mis on kasutamiseks lubatud.
2. Klõpsake käsul Add Host, et lubada juurdepääs uuele hostile (või valige Redigeeri, et värskendada olemasoleva hosti sätteid).
41

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
3. Kui host on PDU või UPS-i toiteseade või IPMI toitekontrolliga server, määrake RPC (IPMI ja PDU jaoks) või UPS ja seadme tüüp. Administraator saab neid seadmeid konfigureerida ja lubada, millistel kasutajatel on kaugjuhtimise luba jne. Vt peatükki 7. Vastasel juhul jätke seadme tüübi väärtuseks Puudub.
4. Kui konsooliserver on konfigureeritud jaotatud Nagiose jälgimisega, näete ka Nagiose sätteid, et võimaldada hosti määratud teenuste jälgimist.
5. Klõpsake nuppu Rakenda. See loob uue hosti ja loob ka uue sama nimega hallatava seadme.
3.5 Usaldusväärsed võrgud
Usaldusväärsete võrkude funktsioon annab teile võimaluse määrata IP-aadressid, millel peavad kasutajad asuma, et pääseda ligi konsooliserveri jadaportidele.
42

Kasutusjuhend
1. Valige Serial & Network > Trusted Networks. 2. Uue usaldusväärse võrgu lisamiseks valige Lisa reegel. Reeglite puudumisel puudub juurdepääs
kasutajate asukoha IP-aadressi piirangud.

3. Valige juurdepääsetavad pordid, millele uus reegel rakendub
4. Sisestage juurdepääsu lubatava alamvõrgu võrguaadress
5. Määrake lubatud aadresside vahemik, sisestades selle lubatud IP-vahemiku jaoks võrgumaski, nt.
· Kõigi teatud C-klassi võrguühendusega kasutajate lubamiseks määratud porti lisage järgmine usaldusväärse võrgu uus reegel:

Võrgu IP-aadress

204.15.5.0

Alamvõrgu mask

255.255.255.0

· Ühenduse loomiseks ainult ühel kindlal IP-aadressil asuval kasutajal:

Võrgu IP-aadress

204.15.5.13

Alamvõrgu mask

255.255.255.255

· Et võimaldada kõikidel kasutajatel, kes töötavad teatud IP-aadresside vahemikus (ütleme ükskõik millisest kolmekümnest aadressist vahemikus 204.15.5.129 kuni 204.15.5.158), lubada ühendust määratud pordiga:

Hosti/alamvõrgu aadress

204.15.5.128

Alamvõrgu mask

255.255.255.224

6. Klõpsake Apply (Rakenda).

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
3.6 Jadapordi kaskaad
Kaskaadpordid võimaldavad teil hajutatud konsooliservereid rühmitada, nii et suurt hulka jadaporte (kuni 1000) saab konfigureerida ja juurde pääseda ühe IP-aadressi kaudu ning hallata ühe halduskonsooli kaudu. Üks konsooliserver, esmane, juhib teisi konsooliservereid sõlmeüksustena ja kõik sõlmeüksuste jadapordid näivad olevat osa esmasest serverist. Opengeari rühmitus ühendab iga sõlme SSH-ühenduse abil esmase sõlmega. Seda tehakse avaliku võtmega autentimise abil, nii et esmane pääseb igale sõlmele juurde SSH-võtmepaari kasutades (paroolide asemel). See tagab turvalise autentitud side esmase ja sõlmede vahel, võimaldades sõlme konsooliserveriüksusi lokaalselt LAN-is või eemalt üle maailma levitada.
3.6.1 SSH-võtmete automaatne genereerimine ja üleslaadimine Avaliku võtme autentimise seadistamiseks peate esmalt genereerima RSA- või DSA-võtmepaari ning laadima need üles primaar- ja sõlmekonsooliserveritesse. Seda saab teha automaatselt esmasest:
44

Kasutusjuhend
1. Valige Primary halduskonsoolis Süsteem > Administreerimine
2. Märkige ruut Generate SSH võtmed automaatselt. 3. Klõpsake Apply (Rakenda).
Järgmisena peate valima, kas genereerida võtmed RSA ja/või DSA abil (kui pole kindel, valige ainult RSA). Iga võtmekomplekti genereerimine võtab kaks minutit ja uued võtmed hävitavad seda tüüpi vanad võtmed. Uue põlvkonna loomise ajal võivad SSH-klahvidele tuginevad funktsioonid (nt kaskaad) lakata töötamast, kuni neid uue võtmekomplektiga värskendatakse. Võtmete loomiseks toimige järgmiselt.
1. Märkige ruudud võtmete jaoks, mida soovite genereerida. 2. Klõpsake Apply (Rakenda).
3. Kui uued võtmed on loodud, klõpsake linki Tagasipöördumiseks klõpsake siin. Võtmed laaditakse üles
esmastele ja ühendatud sõlmedele.
3.6.2 SSH-võtmete käsitsi genereerimine ja üleslaadimine Kui teil on RSA- või DSA-võtmepaar, saate need üles laadida esmasesse ja sõlmekonsooliserverisse. Avaliku ja privaatvõtme paari üleslaadimiseks esmasesse konsooliserverisse tehke järgmist.
1. Valige esmase halduskonsoolis Süsteem > Haldus
2. Sirvige asukohta, kuhu olete salvestanud RSA (või DSA) avaliku võtme ja laadige see üles SSH RSA (DSA) avalikku võtmesse
3. Sirvige salvestatud RSA (või DSA) privaatvõtit ja laadige see üles SSH RSA (DSA) privaatvõtmesse 4. Klõpsake nuppu Rakenda
45

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
Järgmiseks peate registreerima avaliku võtme sõlmes volitatud võtmena. Ühe mitme sõlmega esmase võtme puhul laadite iga sõlme jaoks üles ühe avaliku RSA või DSA võtme.
1. Valige sõlme halduskonsoolil Süsteem > Administreerimine 2. Sirvige salvestatud RSA (või DSA) avalikku võtit ja laadige see üles sõlme SSH volitatud võtmesse.
3. Klõpsake nuppu Rakenda. Järgmine samm on võtta igale uuele sõlme-primaarühendusele sõrmejälg. See samm kinnitab, et loote SSH-seansi sellele, kellena arvate end olevat. Esimesel ühendusel saab sõlm esmaselt sõrmejälje, mida kasutatakse kõigi tulevaste ühenduste puhul: Sõrmejälje loomiseks logige esmalt esmasesse serverisse administraatorina ja looge SSH-ühendus Node'i kaughostiga:
# ssh remhost Kui SSH-ühendus on loodud, palutakse teil võtmega nõustuda. Vastake jah ja sõrmejälg lisatakse teadaolevate hostide loendisse. Kui teil palutakse sisestada parool, tekkis võtmete üleslaadimisel probleem. 3.6.3 Sõlmede ja nende jadaportide konfigureerimine Alustage sõlmede seadistamist ja sõlmede jadaportide seadistamist esmasest konsooliserverist:
1. Valige esmase halduskonsoolis Serial & Network > Cascaded Ports: 2. Klastrite toe lisamiseks valige Add Node.
Te ei saa sõlme lisada enne, kui olete loonud SSH-võtmed. Sõlme määratlemiseks ja konfigureerimiseks tehke järgmist.
46

Kasutusjuhend
1. Sisestage sõlme konsooli serveri IP-aadress või DNS-i kaugnimi. 2. Sisestage sõlme lühikirjeldus ja lühike silt. 3. Sisestage sõlme üksuse jadaportide täisarv jaotises Portide arv 4. Klõpsake nuppu Rakenda. See loob SSH-tunneli esmase ja uue sõlme vahel
Menüü Serial & Network > Cascaded Ports kuvab kõik sõlmed ja pordinumbrid, mis on eraldatud jaotises Primary. Kui esmasel konsooliserveril on 16 oma porti, eraldatakse pordid 1–16 esmasele, seega omistatakse esimesele lisatud sõlmele pordi number 17. Kui olete lisanud kõik sõlmekonsooli serverid, on sõlme jadapordid ja ühendatud seadmed konfigureeritavad ja neile pääseb juurde esmase halduskonsooli menüüst ning pääsete juurde peamise IP-aadressi kaudu.
1. Valige sobiv Jada ja võrk > Jadaport ja Redigeeri, et konfigureerida jadaporte.
Sõlm.
2. Uute juurdepääsuõigustega kasutajate lisamiseks valige sobiv Serial & Network > Users & Groups
sõlme jadaportidele (või olemasolevate kasutajate juurdepääsuõiguste laiendamiseks).
3. Valige sobiv Serial & Network > Trusted Networks võrguaadresside määramiseks
pääseb juurde määratud sõlme jadaportidele. 4. Valige sobiv Alerts & Logging > Alerts, et konfigureerida sõlme pordi ühendus, olek
Changeor Pattern Match hoiatused. Peamiselt tehtud konfiguratsioonimuudatused levitatakse kõigisse sõlmedesse, kui klõpsate nupul Rakenda.
3.6.4 Sõlmede haldamine Peamine juhib sõlme jadaporte. Näiteksampkui muudate kasutaja juurdepääsuõigusi või muudate peamise jadapordi sätteid, värskendatakse konfiguratsiooni files saadetakse paralleelselt igale sõlmele.Iga sõlm muudab oma kohalikke konfiguratsioone (ja teeb ainult muudatusi, mis on seotud tema konkreetsete jadaportidega). Kohaliku sõlmehalduskonsooli abil saate muuta mis tahes sõlme jadapordi sätteid (nt andmeedastuskiirust). Järgmisel korral, kui esmane seade konfiguratsiooni välja saadab, kirjutatakse need muudatused üle file värskendada. Kuigi esmane juhib kõiki sõlme jadapordiga seotud funktsioone, ei ole see sõlme võrgu hostiühenduste ega sõlmekonsooliserveri süsteemi üle esmane. Sõlme funktsioone, nagu IP, SMTP ja SNMP sätted, kuupäev ja kellaaeg, DHCP-serverit, tuleb hallata igale sõlmele otse juurde pääsedes ja neid funktsioone ei kirjutata üle, kui konfiguratsioonimuudatused edastatakse esmasest. Sõlme võrguhosti ja IPMI sätted tuleb konfigureerida igas sõlmes.
47

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
Primary halduskonsool pakub konsolideeritud view enda ja koguNode'i jadaportide seadistustest. Esmane ei paku täielikult konsolideeritud view. NäiteksampKui soovite teada saada, kes on primaarsest kaskaadportidesse sisse logitud, näete, et Olek > Aktiivsed kasutajad kuvab ainult neid kasutajaid, kes on aktiivsed esmase portides, nii et selle tagamiseks peate võib-olla kirjutama kohandatud skripte. view.
3.7 Jadapordi ümbersuunamine (PortShare)
Opengeari Port Share tarkvara pakub virtuaalse jadapordi tehnoloogiat, mida teie Windowsi ja Linuxi rakendused vajavad kaugjadaportide avamiseks ja andmete lugemiseks teie konsooliserveriga ühendatud jadaseadmetelt.
PortShare tarnitakse tasuta iga konsooliserveriga ja teil on litsents PortShare'i installimiseks ühte või mitmesse arvutisse, et pääseda juurde mis tahes konsooliserveri pordiga ühendatud jadaseadmele. PortShare for Windows Faili portshare_setup.exe saab alla laadida ftp saidilt. Installimise ja kasutamise üksikasju leiate PortShare'i kasutusjuhendist ja kiirkäivitusest. PortShare Linuxi jaoks PortShare'i draiver Linuxi jaoks kaardistab konsooliserveri jadapordi hosti proovipordiga. Opengear on välja andnud portshare-serial-kliendi avatud lähtekoodiga utiliidina Linuxi, AIX, HPUX, SCO, Solarise ja UnixWare jaoks. Selle utiliidi saab alla laadida ftp saidilt. See PortShare'i jadapordi ümbersuunaja võimaldab teil kasutada kaugkonsooliserveriga ühendatud jadaseadet nii, nagu see oleks ühendatud teie kohaliku jadapordiga. Portshare-serial-klient loob pseudo-tty-pordi, ühendab jadarakenduse pseudo-tty-pordiga, võtab vastu andmeid pseudo-tty-pordist, edastab need võrgu kaudu konsooliserverisse ning võtab võrgu kaudu vastu andmeid konsooliserverist ja edastab need pseudo-tty porti. .tar file saab alla laadida ftp saidilt. Installimise ja kasutamise üksikasju leiate PortShare'i kasutusjuhendist ja kiirkäivitusest.
48

Kasutusjuhend
3.8 hallatavat seadet
Lehel Hallatud seadmed kuvatakse konsolideeritud view kõigist ühendustest seadmega, millele pääseb juurde ja mida saab jälgida konsooliserveri kaudu. To view seadmete ühendused, valige Serial & Network > Managed Devices
Sellel ekraanil kuvatakse kõik hallatavad seadmed koos nende kirjelduse/märkustega ja kõigi konfigureeritud ühenduste loendiga:
· Jadaport nr (kui on jada ühendatud) või · USB (kui USB on ühendatud) · IP-aadress (kui võrku ühendatud) · Toite PDU/väljundi üksikasjad (kui on) ja kõik UPS-i ühendused Seadmetel, näiteks serveritel võib olla rohkem kui üks toiteühendus (nt kahe toiteallikaga) ja rohkem kui üks võrguühendus (nt BMC/teenindusprotsessori jaoks). Kõik kasutajad saavad view nende hallatavate seadmete ühendused, valides Halda > Seadmed. Administraatorid saavad ka neid hallatud seadmeid ja nende ühendusi muuta ja lisada/kustutada. Olemasoleva seadme redigeerimiseks ja uue ühenduse lisamiseks: 1. Valige jaotises Jada ja võrk > Hallatavad seadmed Redigeeri ja klõpsake nuppu Lisa ühendus 2. Valige uue ühenduse tüüp (jada-, võrguhost, UPS või RPC) ja valige
ühendus esitatud konfigureeritud eraldamata hostide/portide/väljundite loendist
49

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
Uue võrguga ühendatud hallatava seadme lisamiseks toimige järgmiselt. 1. Administraator lisab uue võrguga ühendatud hallatava seadme, kasutades menüüs Serial & Network > Network Host käsku Add Host. See loob automaatselt vastava uue hallatava seadme. 2. Uue võrguga ühendatud RPC või UPS-i toiteseadme lisamisel seadistate võrguhosti, määrake selle RPC-ks või UPS-iks. Asjakohase ühenduse konfigureerimiseks avage RPC-ühendused või UPS-ühendused. Vastavat uut hallatavat seadet, millel on RPC/UPS-i hostiga sama nimi/kirjeldus, ei looda enne, kui see ühenduseetapp on lõpule viidud.
MÄRKUS. Värskelt loodud PDU pistikupesade nimed on Outlet 1 ja Outlet 2. Kui ühendate konkreetse hallatava seadme, mis saab pistikupesast toidet, võtab pistikupesa toitega hallatava seadme nime.
Uue jadaühendusega hallatava seadme lisamiseks toimige järgmiselt. 1. Konfigureerige jadaport, kasutades menüüd Jada ja võrk > Jadaport (vt jaotist 3.1 Jadapordi konfigureerimine). 2. Valige Serial & Network > Managed Devices ja klõpsake nuppu Lisa seade 3. Sisestage seade. Hallatava seadme nimi ja kirjeldus

4. Klõpsake nuppu Add Connection ja valige Serial ja Port, mis ühendab hallatava seadmega

5. UPS/RPC toiteühenduse või võrguühenduse või muu jadaühenduse lisamiseks klõpsake nuppu Lisa ühendus

6. Klõpsake Apply (Rakenda).

MÄRKUS

Jadaühendusega RPC UPS-i või EMD-seadme seadistamiseks konfigureerige jadaport, määrake see seadmeks ning sisestage selle seadme nimi ja kirjeldus jaotises Serial & Network > RPC Connections (või UPS-i ühendused või Environmental). See loob vastava uue hallatava seadme sama nime/kirjeldusega kui RPC/UPS-i hostil. Selle äsja loodud PDU pistikupesade nimed on Outlet 1 ja Outlet 2. Kui ühendate hallatava seadme, mis saab pistikupesast toidet, võtab pistikupesa toitega hallatava seadme nime.

3.9 IPsec VPN
ACM7000, CM7100 ja IM7200 sisaldavad Openswani, IPseci (IP Security) protokollide Linuxi rakendust, mida saab kasutada virtuaalse privaatvõrgu (VPN) konfigureerimiseks. VPN võimaldab mitmel saidil või kaugadministraatoril konsooliserverile ja hallatavatele seadmetele turvaliselt Interneti kaudu juurde pääseda.

Kasutusjuhend
Administraator saab luua krüptitud autentitud VPN-ühendusi kaugsaitidel levitatavate konsooliserverite ja oma keskkontori võrgus asuva VPN-lüüsi (nt IOS IPseci kasutava Cisco ruuteri) vahel.
· Keskkontori kasutajad pääsevad turvaliselt juurde kaugkonsooli serveritele ning ühendatud jadakonsooli seadmetele ja masinatele haldus LAN-i alamvõrgus eemal asuvas asukohas, nagu oleksid nad kohalikud.
· Kõiki neid kaugkonsooli servereid saab jälgida keskvõrgu CMS6000 abil · Jadasilda abil saab keskkontori masina kontrolleri jadaandmeid turvaliselt jälgida
ühendatud kaugsaitidel olevate seeriaviisiliselt juhitavate seadmetega Road Warriori administraator saab kasutada VPN-i IPseci tarkvaraklienti, et kaugjuurdepääs konsooliserverile ja igale halduskohtvõrgu halduse alamvõrgu masinale.
IPseci konfigureerimine on üsna keeruline, seega pakub Opengear GUI-liidest põhiseadistuse jaoks, nagu allpool kirjeldatud. VPN-lüüsi lubamiseks tehke järgmist.
1. Valige menüüst Serial & Networks IPsec VPN
2. Klõpsake nuppu Lisa ja täitke ekraan Lisa IPsec Tunnel. 3. Sisestage mis tahes kirjeldav nimi, mida soovite lisatava IPsec-tunneli tuvastamiseks, näiteks
WestStOutlet-VPN
51

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
4. Valige kasutatav autentimismeetod, kas RSA digitaalallkirjad või jagatud saladus (PSK). o Kui valite RSA, palutakse teil võtmete genereerimiseks klõpsata siin. See genereerib konsooliserveri jaoks RSA avaliku võtme (vasakpoolne avalik võti). Leidke kauglüüsis kasutatav võti, lõigake ja kleepige see õigesse avalikku võtmesse
o Kui valite Shared secret, sisestage eeljagatud saladus (PSK). PSK peab ühtima tunneli teises otsas konfigureeritud PSK-ga
5. Valige jaotises Authentication Protocol kasutatav autentimisprotokoll. Autentige kas ESP (Encapsulating Security Payload) krüptimise osana või eraldi, kasutades AH (autentimispäise) protokolli.
52

Kasutusjuhend
6. Sisestage vasakpoolne ID ja parempoolne ID. See on identifikaator, mida kohalik host/lüüs ja kaughost/lüüs kasutavad IPseci läbirääkimisteks ja autentimiseks. Iga ID peab sisaldama @-d ja võib sisaldada täielikku domeeninime (nt vasak@näitample.com)
7. Sisestage selle Opengeari VPN-lüüsi avalik IP- või DNS-aadress vasakpoolseks aadressiks. Vaikemarsruudi liidese kasutamiseks võite selle tühjaks jätta
8. Väljale Parem aadress sisestage tunneli kaugema otsa avalik IP- või DNS-aadress (ainult siis, kui kaugotsal on staatiline või DynDNS-aadress). Vastasel juhul jätke see tühjaks
9. Kui Opengeari VPN-lüüs toimib kohaliku alamvõrgu VPN-lüüsina (nt konsooliserveris on konfigureeritud haldus-LAN), sisestage privaatse alamvõrgu üksikasjad vasakpoolsesse alamvõrku. Kasutage CIDR-i tähistust (kus IP-aadressi numbrile järgneb kaldkriips ja võrgumaski kahendmärgistuses bittide arv "üks"). Näiteksample, 192.168.0.0/24 näitab IP-aadressi, kus võrguaadressina kasutatakse esimest 24 bitti. See on sama, mis 255.255.255.0. Kui VPN-i juurdepääs on ainult konsooliserverile ja sellega ühendatud jadakonsooli seadmetele, jätke Vasak alamvõrk tühjaks
10. Kui kaugotsas on VPN-lüüs, sisestage privaatse alamvõrgu üksikasjad väljale Parem alamvõrk. Kasutage CIDR-i tähistust ja jätke tühjaks, kui on ainult kaughost
11. Valige Initiate Tunnel, kui tunneliühendus tuleb algatada vasakpoolsest konsooliserveri otsast. Seda saab algatada ainult VPN-lüüsist (vasakul), kui kaugots on konfigureeritud staatilise (või DynDNS-i) IP-aadressiga
12. Muudatuste salvestamiseks klõpsake nuppu Rakenda
MÄRKUS. Konsooliserveris (nimetatakse vasak- või kohalikuks hostiks) seadistatud konfiguratsiooni üksikasjad peavad ühtima kaughosti/lüüsi või tarkvarakliendi konfigureerimisel sisestatud seadistusega. Nende kaugotste konfigureerimise üksikasju leiate aadressilt http://www.opengear.com/faq.html
3.10 OpenVPN
ACM7000, CM7100 ja IM7200 püsivaraga V3.2 ja hilisemad sisaldavad OpenVPN-i. OpenVPN kasutab krüptimiseks, autentimiseks ja sertifitseerimiseks OpenSSL-i teeki, mis tähendab, et see kasutab võtmete vahetamiseks SSL/TSL-i (Secure Socket Layer/Transport Layer Security) ning suudab krüpteerida nii andmeid kui ka juhtimiskanaleid. OpenVPN-i kasutamine võimaldab luua platvormiüleseid, punkt-punkti VPN-e, kasutades kas X.509 PKI (avaliku võtme infrastruktuur) või kohandatud konfiguratsiooni files. OpenVPN võimaldab andmete turvalist tunneldamist ühe TCP/UDP-pordi kaudu üle turvamata võrgu, pakkudes seega turvalist juurdepääsu mitmele saidile ja turvalise kaughalduse konsooliserverile Interneti kaudu. OpenVPN võimaldab kasutada ka dünaamilisi IP-aadresse nii serveril kui ka kliendil, pakkudes seeläbi kliendi mobiilsust. NäiteksampKui andmekeskuses võib rändleva Windowsi kliendi ja Opengeari konsooliserveri vahel luua OpenVPN-i tunneli. OpenVPN-i konfigureerimine võib olla keeruline, nii et Opengear pakub allpool kirjeldatud põhiseadete jaoks GUI-liidest. Täpsem teave on saadaval aadressil http://www.openvpn.net
3.10.1 OpenVPN-i lubamine 1. Valige menüüst Jada- ja võrgud OpenVPN.
53

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
2. Klõpsake nuppu Lisa ja täitke OpenVPN-i tunneli lisamise ekraan. 3. Sisestage mis tahes kirjeldav nimi, mida soovite lisatava OpenVPN-tunneli tuvastamiseks, näiteksample
NorthStOutlet-VPN
4. Valige kasutatav autentimismeetod. Sertifikaatide abil autentimiseks valige PKI (X.509 sertifikaadid) või kohandatud konfiguratsiooni üleslaadimiseks Kohandatud konfiguratsioon files. Kohandatud konfiguratsioonid tuleb salvestada kausta /etc/config.
MÄRKUS. Kui valite PKI, looge: Eraldi sertifikaat (tuntud ka kui avalik võti). See sertifikaat File on *.crt file tippige serveri ja iga kliendi privaatvõti. See privaatvõti File on *.klahv file tüüp
Peamise sertifitseerimisasutuse (CA) sertifikaat ja võti, mida kasutatakse iga serveri allkirjastamiseks
ja kliendi sertifikaadid. See juur-CA sertifikaat on *.crt file tüüp Serveri jaoks võib vaja minna ka dh1024.pem (Diffie Hellmani parameetrid). RSA võtmehalduse juhendi leiate aadressilt http://openvpn.net/easyrsa.html. Alternatiivsete autentimismeetodite leiate aadressilt http://openvpn.net/index.php/documentation/howto.html#auth.
5. Valige kasutatav seadmedraiver, kas Tun-IP või Tap-Ethernet. TUN (võrgutunneli) ja TAP (võrgukraani) draiverid on virtuaalsed võrgudraiverid, mis toetavad vastavalt IP-tunnelit ja Etherneti tunnelit. TUN ja TAP on osa Linuxi tuumast.
6. Valige protokolliks UDP või TCP. UDP on OpenVPN-i vaike- ja eelistatud protokoll. 7. Tihendamise lubamiseks või keelamiseks märkige või tühjendage märkeruut Compression. 8. Tunnelirežiimis määrake, kas see on tunneli kliendi või serveri ots. Joostes as
server, konsooliserver toetab mitut klienti, kes ühenduvad VPN-serveriga sama pordi kaudu.
54

Kasutusjuhend
3.10.2 Seadistage serveriks või kliendiks
1. Sõltuvalt valitud tunnelirežiimist täitke kliendi üksikasjad või serveri üksikasjad. o Kui valitud on Klient, on Primary Server Address OpenVPN serveri aadress. o Kui valitud on Server, sisestage IP-pooli võrguaadress ja IP-pooli võrgumask. IP-pooli võrguaadressi/maskiga määratletud võrku kasutatakse klientide ühendamise aadresside esitamiseks.
2. Muudatuste salvestamiseks klõpsake nuppu Rakenda
55

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
3. Autentimissertifikaatide sisestamiseks ja files, valige OpenVPN-i haldamine Files vahekaart. Laadige üles või sirvige asjakohaseid autentimissertifikaate ja files.
4. Rakenda muudatuste salvestamiseks. Salvestatud files kuvatakse punaselt nupu Laadi üles paremal küljel.
5. OpenVPN-i lubamiseks muutke OpenVPN-i tunnelit
56

Kasutusjuhend
6. Kontrollige nuppu Lubatud. 7. Rakenda muudatuste salvestamiseks MÄRKUS Veenduge, et konsooliserveri süsteemiaeg on OpenVPN-iga töötamisel õige, et vältida
autentimisprobleemid.
8. Tunneli töökorrasoleku kontrollimiseks valige menüüst Olek suvand Statistika.
57

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
3.10.3 Windows OpenVPN-i kliendi ja serveri seadistamine Selles jaotises kirjeldatakse Windows OpenVPN-kliendi või Windows OpenVPN-serveri installimist ja konfigureerimist ning VPN-ühenduse seadistamist konsooliserveriga. Konsooliserverid genereerivad eeljagatud saladuse jaoks (staatiline võti) GUI-st automaatselt Windowsi kliendi konfiguratsiooni File) konfiguratsioonid.
Teise võimalusena saab Windowsi tarkvara OpenVPN GUI (mis sisaldab standardset OpenVPN-i paketti ja Windowsi GUI-d) alla laadida aadressilt http://openvpn.net. Pärast Windowsi arvutisse installimist lisatakse tegumiriba paremas servas asuvale teavitusalale OpenVPN-i ikoon. Paremklõpsake sellel ikoonil VPN-ühenduste loomiseks ja peatamiseks, konfiguratsioonide muutmiseks ja view palgid.
Kui OpenVPN-i tarkvara töötab, kuvatakse C:Programm FilesOpenVPNconfig kausta skannitakse .opvn jaoks files. Seda kausta kontrollitakse uuesti uue konfiguratsiooni osas files alati, kui OpenVPN GUI ikoonil paremklõpsatakse. Kui OpenVPN on installitud, looge konfiguratsioon file:
58

Kasutusjuhend

Looge tekstiredaktoriga fail xxxx.ovpn file ja salvestage C:Programmi FilesOpenVPNconfig. Näiteksample, C: programm FilesOpenVPNconfigclient.ovpn
EndineampOpenVPN Windowsi kliendi konfiguratsioonist file on näidatud allpool:
# kirjeldus: IM4216_kliendi klient proto udp tegusõna 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt võti c:\openvpnkeys bind persist.keysbind tun comp-lzo
EndineampOpenVPN Windows Serveri konfiguratsioonist file on näidatud allpool:
server 10.100.10.0 255.255.255.0 port 1194 Keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpncrtkeys\n:serversokeys\n:server. võti dh c:\openvpnkeys\dh.pem comp-lzo tegusõna 1 syslog IM4216_OpenVPN_Server
Windowsi kliendi/serveri konfiguratsioon file valikud on järgmised:

Valikud #kirjeldus: kliendiserveri proto udp proto tcp mssfix tegusõna
dev tun dev tap

Kirjeldus See on konfiguratsiooni kirjeldav kommentaar. Kommentaariread algavad tähega "#" ja OpenVPN ignoreerib neid. Määrake, kas see on kliendi või serveri konfiguratsioon file. Serveri konfiguratsioonis file, määrake IP-aadresside kogum ja võrgumask. Näiteksample, server 10.100.10.0 255.255.255.0 Määrake protokolliks UDP või TCP. Klient ja server peavad kasutama samu sätteid. Mssfix määrab paketi maksimaalse suuruse. See on UDP jaoks kasulik ainult probleemide ilmnemisel.
Määra logi file paljusõnalisuse tase. Logi paljusõnalisuse taseme saab määrata vahemikus 0 (minimaalne) kuni 15 (maksimaalne). Näiteksample, 0 = vaikne, välja arvatud saatuslikud vead 3 = keskmine väljund, hea üldiseks kasutamiseks 5 = aitab ühenduse probleemide silumisel 9 = paljusõnaline, suurepärane tõrkeotsinguks Valige marsruuditud IP-tunneli loomiseks 'dev tun' või loomiseks 'dev tap' Etherneti tunnel. Klient ja server peavad kasutama samu sätteid.

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon

kaugjuhtimispult Port Keepalive
http-puhverserver cafile nimi>
sertfile nimi>
võtifile nimi>
dhfile nimi> Nobind persist-key persist-tun šifr BF-CBC Blowfish (vaikimisi) šifr AES-128-CBC AES šifr DES-EDE3-CBC Triple-DES comp-lzo syslog

OpenVPN-serveri hostinimi/IP kliendina töötamisel. Sisestage kas DNS-i hostinimi või serveri staatiline IP-aadress. Serveri UDP/TCP port. Keepalive kasutab OpenVPN-i seansi elushoidmiseks pingi. „Keepalive 10 120′ pingi iga 10 sekundi järel ja eeldab, et kaugpartner on maas, kui 120 sekundi jooksul pole pingi vastu võetud. Kui serverile juurdepääsuks on vaja puhverserverit, sisestage puhverserveri DNS-nimi või IP ja pordi number. Sisestage CA sertifikaat file nimi ja asukoht. Sama CA sertifikaat file saavad kasutada nii server kui ka kõik kliendid. Märkus. Veenduge, et kataloogitee iga "" oleks asendatud tähega "\". Näiteksample, c:openvpnkeysca.crt muutub c:\openvpnkeys\ca.crt Sisestage kliendi või serveri sertifikaat file nimi ja asukoht. Igal kliendil peaks olema oma sertifikaat ja võti files. Märkus. Veenduge, et kataloogitee iga "" oleks asendatud tähega "\". Sisestage file kliendi või serveri võtme nimi ja asukoht. Igal kliendil peaks olema oma sertifikaat ja võti files. Märkus. Veenduge, et kataloogitee iga "" oleks asendatud tähega "\". Seda kasutab ainult server. Sisestage võtme tee Diffie-Hellmani parameetritega. 'Nobind' kasutatakse siis, kui kliendid ei pea siduma kohaliku aadressi või konkreetse kohaliku pordinumbriga. See kehtib enamiku kliendikonfiguratsioonide puhul. See suvand takistab võtmete uuesti laadimist taaskäivituste ajal. See suvand takistab TUN/TAP-seadmete sulgemist ja uuesti avamist taaskäivitamise ajal. Valige krüptograafiline šifr. Klient ja server peavad kasutama samu sätteid.
Luba OpenVPN-i lingil tihendamine. See peab olema lubatud nii kliendis kui ka serveris. Vaikimisi asuvad logid syslogis või, kui see töötab aknas teenusena, programmis FilesOpenVPNlogi kataloog.

OpenVPN tunneli käivitamiseks pärast kliendi/serveri konfiguratsiooni loomist files: 1. Paremklõpsake teavitusalas OpenVPN ikoonil 2. Valige äsja loodud kliendi või serveri konfiguratsioon. 3. Klõpsake nuppu Ühenda

4. Palk file kuvatakse ühenduse loomisel
60

Kasutusjuhend
5. Kui see on loodud, kuvatakse OpenVPN-i ikoonil teade, mis näitab edukat ühendust ja määratud IP-d. See teave ja ka ühenduse loomise aeg on saadaval OpenVPN-i ikooni kohal kerides.
3.11 PPTP VPN
Konsooliserverid sisaldavad PPTP (Point-to-Point Tunneling Protocol) serverit. PPTP-d kasutatakse sidepidamiseks füüsilise või virtuaalse jadalingi kaudu. PPP lõpp-punktid määravad endale virtuaalse IP-aadressi. Nende IP-aadresside abil saab lüüsiks määrata marsruute võrkudesse, mille tulemusel suunatakse liiklus tunneli kaudu. PPTP loob tunneli füüsiliste PPP lõpp-punktide vahel ja edastab andmed turvaliselt läbi tunneli.
PPTP tugevus on selle konfigureerimise lihtsus ja integreerimine olemasolevasse Microsofti infrastruktuuri. Seda kasutatakse tavaliselt üksikute Windowsi kaugklientide ühendamiseks. Kui võtate kaasaskantava arvuti ärireisile kaasa, saate Interneti-ühenduse pakkujaga (ISP) ühenduse loomiseks valida kohaliku numbri ja luua teise ühenduse (tunneli) oma kontorivõrku üle Interneti ja teil on sama juurdepääs oma ettevõtte võrku, nagu oleksite ühendatud otse oma kontorist. Kaugtöölised saavad oma kaabelmodemi või DSL-i linkide kaudu luua ka VPN-tunneli kohaliku Interneti-teenuse pakkujaga.
61

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
PPTP-ühenduse seadistamiseks Windowsi kaugkliendist Opengeari seadmesse ja kohalikku võrku tehke järgmist.
1. Lubage ja konfigureerige oma Opengeari seadmes PPTP VPN-server. 2. Seadistage Opengeari seadmes VPN-i kasutajakontod ja lubage sobiv
autentimine 3. Konfigureerige VPN-i kliendid kaugsaitidel. Klient ei vaja spetsiaalset tarkvara nagu
PPTP-server toetab standardset PPTP-klienttarkvara, mis sisaldub Windows NT ja uuemates versioonides 4. Ühenduse loomine kaug-VPN-ga 3.11.1 PPTP VPN-serveri lubamine 1. Valige menüüst Jada- ja võrgud PPTP VPN
2. PPTP-serveri lubamiseks märkige ruut Luba. 3. Valige Minimum Authentication Required. Juurdepääs on keelatud kaugkasutajatele, kes üritavad seda teha
Ühendage, kasutades valitud skeemist nõrgemat autentimisskeemi. Allpool on kirjeldatud skeeme tugevaimast nõrgimani. · Krüpteeritud autentimine (MS-CHAP v2): tugevaim kasutatav autentimise tüüp; see on
soovitatav valik · Nõrgalt krüptitud autentimine (CHAP): see on kõige nõrgem krüptitud parooli tüüp
kasutada autentimist. Klientidel ei ole soovitatav seda kasutades ühendust luua, kuna see pakub väga vähest paroolikaitset. Pange tähele ka seda, et CHAP-i abil ühenduse loovad kliendid ei saa liiklust krüptida
62

Kasutusjuhend
· Unencrypted Authentication (PAP): see on lihtteksti parooliga autentimine. Seda tüüpi autentimise kasutamisel edastatakse kliendi parool krüptimata.
· Puudub 4. Valige nõutav krüptimistase. Juurdepääs on keelatud kaugkasutajatele, kes üritavad ühendust luua
mis seda krüpteerimistase ei kasuta. 5. Väljale Kohalik aadress sisestage IP-aadress, mis määratakse serveri VPN-ühenduse lõpule. 6. Väljale Remote Addresses sisestage IP-aadresside kogum, mis määratakse sissetuleva kliendi VPN-ile.
ühendused (nt 192.168.1.10-20). See peab olema võrgu tasuta IP-aadress või aadresside vahemik, mille kaugkasutajad on Opengeari seadmega ühendatud ajal määratud. 7. Sisestage MTU väljale PPTP liideste maksimaalse edastusühiku (MTU) soovitud väärtus (vaikimisi 1400) 8. Sisestage DNS-serveri väljale selle DNS-serveri IP-aadress, mis määrab ühendavatele PPTP-klientidele IP-aadresse. 9. Sisestage väljale WINS-server selle WINS-serveri IP-aadress, mis määrab ühendavale PPTP-kliendile IP-aadresse. 10. Ühenduse probleemide silumise abistamiseks lubage üksikasjalik logimine. 11. Klõpsake nuppu Rakenda sätted 3.11.2 PPTP kasutaja lisamine 1. Valige menüüst Jada- ja võrgud Kasutajad ja rühmad ning täitke väljad, nagu on kirjeldatud jaotises 3.2. 2. PPTP VPN-serverile juurdepääsu võimaldamiseks veenduge, et pptpd grupp on kontrollitud. Märkus – selle grupi kasutajate paroolid on salvestatud tekstina. 3. Pidage meeles kasutajanime ja parooli, kui peate VPN-ühendusega ühenduse looma. 4. Klõpsake nuppu Rakenda
63

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
3.11.3 Kaug-PPTP-kliendi seadistamine Veenduge, et VPN-i kaugkliendi arvutil oleks Interneti-ühendus. VPN-ühenduse loomiseks Interneti kaudu peate seadistama kaks võrguühendust. Üks ühendus on Interneti-teenuse pakkuja jaoks ja teine ühendus VPN-tunneli jaoks Opengeari seadmega. MÄRKUS. See protseduur häälestab PPTP-kliendi operatsioonisüsteemis Windows Professional. Sammud
võib veidi erineda sõltuvalt teie võrgujuurdepääsust või sellest, kui kasutate Windowsi alternatiivset versiooni. Täpsemad juhised on saadaval Microsoftilt web saidile. 1. Logige oma Windowsi klienti sisse administraatoriõigustega. 2. Valige juhtpaneeli võrgu- ja ühiskasutuskeskusest Võrguühendused ja looge uus ühendus.
64

Kasutusjuhend
3. Valige Use My Internet Connection (VPN) ja sisestage Opengeari seadme IP-aadress VPN-i kaugklientide ühendamiseks kohalikku võrku peate teadma lisatud PPTP-konto kasutajanime ja parooli, samuti Interneti-IP-d. Opengeari seadme aadress. Kui teie Interneti-teenuse pakkuja pole teile staatilist IP-aadressi määranud, kaaluge dünaamilise DNS-teenuse kasutamist. Vastasel juhul peate muutma PPTP kliendi konfiguratsiooni iga kord, kui teie Interneti-IP-aadress muutub.
65

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon

3.12 Helista koju
Kõik konsooliserverid sisaldavad funktsiooni Call Home, mis käivitab turvalise SSH-tunneli seadistamise konsooliserverist tsentraliseeritud Opengeari tuletorni. Konsooliserver registreerub Lighthouse'is kandidaadiks. Pärast seal vastuvõtmist saab sellest hallatud konsooliserver.
Lighthouse jälgib hallatud konsooliserverit ja administraatorid pääsevad majaka kaudu hallatavale konsooli serverile juurde. See juurdepääs on saadaval isegi siis, kui kaugkonsooli server on kolmanda osapoole tulemüüri taga või sellel on privaatsed mittemarsruutitavad IP-aadressid.

MÄRKUS

Lighthouse säilitab avaliku võtmega autentitud SSH-ühendused iga oma hallatava konsooliserveriga. Neid ühendusi kasutatakse hallatavate konsooliserverite ja hallatud konsooliserveriga ühendatud hallatavate seadmete jälgimiseks, suunamiseks ja juurdepääsuks.

Kohalike konsooliserverite või majakast ligipääsetavate konsooliserverite haldamiseks algatab SSH-ühendused Lighthouse.

Kaugkonsooliserverite või tulemüüriga kaitstud, mittemarsruutitavate või muul viisil Lighthouse'ist kättesaamatud konsooliserverite haldamiseks algatab SSH-ühendused hallatud konsooliserver esialgse Call Home ühenduse kaudu.

See tagab turvalise, autentitud suhtluse ja võimaldab hallatud konsooliserverite üksusi lokaalselt LAN-is või eemalt üle maailma levitada.

3.12.1 Call Home kandidaadi seadistamine Konsooliserveri seadistamiseks majakasse Call Home halduskandidaadiks tehke järgmist.
1. Valige Serial & Network menüüst Helista koju

2. Kui te pole veel selle konsooliserveri jaoks SSH-võtmepaari loonud või üles laadinud, tehke seda enne jätkamist
3. Klõpsake nuppu Lisa

4. Sisesta Lighthouse'i IP-aadress või DNS-nimi (nt dünaamiline DNS-aadress).
5. Sisestage parool, mille CMS-is konfigureerisite parooliks Helista koju.
66

Kasutusjuhend
6. Klõpsake nuppu Rakenda. Need sammud käivitavad konsooliserverist Lighthouse'iga ühenduse Call Home. See loob Lighthouse'i SSH- kuulamispordi ja seab konsooliserveri kandidaadiks.
Kui kandidaat on Lighthouse'is vastu võetud, suunatakse SSH-tunnel konsooliserverisse tagasi helistamisühenduse kaudu. Konsooliserverist on saanud hallatud konsooliserver ja Lighthouse saab sellega tunneli kaudu ühenduse luua ja seda jälgida. 3.12.2 Aktsepteeri Call Home kandidaadi hallatava konsooliserverina Lighthouse'is See jaotis annab ülevaateview Lighthouse'i seadistamise kohta, et jälgida konsooli Lighthouse-servereid, mis on ühendatud läbi Call Home. Lisateabe saamiseks vaadake Lighthouse'i kasutusjuhendit:
1. Sisestage majakasse uus koju helistamise parool. Seda parooli kasutatakse aktsepteerimiseks
Helistage Homeconnectionsi kandidaatkonsooliserveritest
2. Konsooliserver saab Lighthouse'iga ühendust võtta, sellel peab olema kas staatiline IP
aadress või DHCP-d kasutades konfigureeritud kasutama dünaamilist DNS-teenust
Lighthouse'i ekraan Configure > Managed Console Servers näitab seadme olekut
kohalikud andremote hallatavad konsooliserverid ja kandidaadid.
Jaotises Hallatud konsooliserverid kuvatakse konsooliserverid, mida jälgib
Lighthouse.Jaotis Tuvastatud konsooliserverid sisaldab:
o rippmenüü Kohalikud konsooliserverid, mis loetleb kõik konsooliserverid, mis asuvad
sama alamvõrk kui majakas ja neid ei jälgita
67

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
o rippmenüü Remote Console Servers, mis loetleb kõik konsooliserverid, mis on loonud Call Home ühenduse ja mida ei jälgita (st kandidaadid). Värskendamiseks võite klõpsata nupul Värskenda
Konsooliserveri kandidaadi lisamiseks loendisse Managed Console Server valige see ripploendist Remote Console Servers ja klõpsake nuppu Lisa. Sisestage IP-aadress ja SSH-port (kui neid välju pole automaatselt täidetud) ning lisatava hallatava konsooli serveri kirjeldus ja kordumatu nimi
Sisestage Remote Root Password (st süsteemi parool, mis on määratud selles hallatava konsooli serveris). Seda parooli kasutab Lighthouse automaatselt genereeritud SSH-võtmete levitamiseks ja seda ei salvestata. Klõpsake nuppu Rakenda. Lighthouse loob turvalised SSH-ühendused hallatava konsooliserveriga ja sealt välja ning hangib selle hallatavad seadmed, kasutajakonto üksikasjad ja konfigureeritud märguanded 3.12.3 Koju helistamine üldisesse kesksesse SSH-serverisse Kui loote ühenduse üldise SSH-serveriga (mitte Lighthouse) saate konfigureerida Täpsemad sätted: · Sisestage SSH-serveri port ja SSH-kasutaja. · Sisestage loodava(te) SSH-pordi edastamise(te) üksikasjad
Valides Kuulamisserveri, saate luua serverist sellesse seadmesse suunamise kaugpordi või sellest seadmest serverisse edastatava kohaliku pordi:
68

Kasutusjuhend
· Määrake kuulamisport, kust edastada, jätke see väli tühjaks, et määrata kasutamata port · Sisestage sihtserver ja sihtport, mis on edastatud ühenduste adressaat
3.13 IP-läbipääs
IP-läbipääsu kasutatakse modemiühenduse (nt sisemise mobiilside modemi) muutmiseks tavalise Etherneti ühendusena kolmanda osapoole allavooluruuteriga, võimaldades allavooluruuteril kasutada modemiühendust esmase või varu WAN-liidesena.
Opengeari seade annab modemi IP-aadressi ja DNS-i üksikasjad allavooluseadmele DHCP kaudu ning edastab võrguliikluse modemile ja ruuterile ning sealt edasi.
Kuigi IP Passthrough muudab Opengeari modemi ja Etherneti poolsillaks, võidakse mõned 4. kihi teenused (HTTP/HTTPS/SSH) Opengearis (teenuse pealtkuulamised) lõpetada. Samuti saavad Opengearis töötavad teenused algatada väljuvaid mobiilsideühendusi sõltumata allavoolu ruuterist.
See võimaldab Opengeari jätkuvalt kasutada ribaväliseks haldamiseks ja hoiatamiseks ning seda hallata ka Lighthouse'i kaudu, samas kui IP-läbipääsurežiimis.
3.13.1 Allvooluruuteri seadistamine Allavooluruuteri tõrkesiirdeühenduse (teise nimega Failover to Cellular või F2C) kasutamiseks peab sellel olema kaks või enam WAN-liidest.
MÄRKUS Failover IP Passthrough kontekstis teostab allavoolu ruuter ja Opengeari sisseehitatud ribaväline tõrkesiirde loogika pole IP-läbipääsurežiimis saadaval.
Ühendage allavoolu ruuteri Etherneti WAN-liides Etherneti kaabli abil Opengeari võrguliidese või halduse LAN-pordiga.
Konfigureerige see liides allavooluruuteris, et saada selle võrgusätteid DHCP kaudu. Kui on vaja tõrkesiiret, konfigureerige allavooluruuter selle esmase liidese ja Opengeariga ühendatud Etherneti pordi vaheliseks tõrkesiirdeks.
3.13.2 IP-läbipääsu eelkonfigureerimine IP-läbipääsu lubamise eeltingimused on järgmised:
1. Konfigureerige võrguliides ja vajaduse korral haldus LAN liidesed staatiliste võrgusätetega. · Klõpsake Serial & Network > IP. · Võrguliidese ja vajaduse korral halduskohtvõrgu jaoks valige konfiguratsioonimeetodiks Staatiline ja sisestage võrgusätted (üksikasjalikud juhised leiate jaotisest Võrgu konfiguratsioon). · Allvooluruuteriga ühendatud liidese jaoks võite valida mis tahes spetsiaalse privaatvõrgu, mis eksisteerib ainult Opengeari ja allavooluruuteri vahel ning pole tavaliselt juurdepääsetav. · Teise liidese jaoks konfigureerige see nii, nagu teeksite seda kohalikus võrgus. · Mõlema liidese puhul jätke Gateway tühjaks.
2. Konfigureerige modem režiimis Alati sees ribaväliselt.
69

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
· Mobiilsideühenduse loomiseks klõpsake nuppu System > Dial: Internal Cellular Modem. · Valige Enable Dial-Out ja sisestage operaatori andmed, nagu APN (vt jaotist Mobiilmodem
Ühendus üksikasjalike juhiste jaoks). 3.13.3 IP-läbipääsu konfigureerimine IP-läbipääsu konfigureerimiseks tehke järgmist.
· Klõpsake Serial & Network > IP Passthrough ja märkige Luba. · Valige ülesvoolu ühendamiseks kasutatav Opengeari modem. · Soovi korral sisestage allavoolu ruuteri ühendatud liidese MAC-aadress. Kui MAC-aadress on
pole määratud, edastab Opengear esimese allavoolu seadmesse, mis taotleb DHCP-aadressi. · Valige allavoolu ruuteriga ühendamiseks kasutatav Opengeari Etherneti liides.
· Klõpsake nuppu Rakenda. 3.13.4 Teenuse pealtkuulamised Need võimaldavad Opengearil jätkata teenuste osutamist, ntample, ribaväliseks haldamiseks IP-läbipääsurežiimis. Ühendusi modemi aadressiga määratud pealtkuulamispordi(de)s haldab Opengear, mitte ei edasta need allavoolu ruuterisse.
· HTTP, HTTPS või SSH nõutava teenuse jaoks märkige Luba. · Valikuliselt muutke pealtkuulamisporti alternatiivseks pordiks (nt HTTPS-i jaoks 8443), see on kasulik, kui
tahan lubada allavoolu ruuteril jääda juurdepääsetavaks oma tavalise pordi kaudu. 3.13.5 IP-läbipääsu olek Värskendage lehte view jaotist Olek. See kuvab modemi läbiva välise IP-aadressi, allavooluruuteri sisemise MAC-aadressi (asutatakse ainult siis, kui allavooluruuter aktsepteerib DHCP-liisingut) ja IP-läbipääsuteenuse üldist tööolekut. Teid võidakse teavitada allavooluruuteri tõrkesiirde olekust, kui konfigureerite marsruudiandmete kasutamise kontrolli jaotises Alerts & Logging > Auto-Response. 3.13.6 Hoiatused Mõned allavoolu ruuterid ei pruugi lüüsi marsruudiga ühilduda. See võib juhtuda siis, kui IP Passthrough ühendab 3G mobiilsidevõrku, kus lüüsi aadress on punktist punkti sihtkoha aadress ja alamvõrgu teave pole saadaval. Opengear saadab DHCP võrgumaski 255.255.255.255. Seadmed tõlgendavad seda tavaliselt liidese ühe hosti marsruudina, kuid mõnel vanemal allavoolu seadmel võib olla probleeme.
70

Kasutusjuhend
Kohalike teenuste pealtkuulamised ei tööta, kui Opengear kasutab modemist erinevat vaikemarsruuti. Samuti ei tööta need enne, kui teenus on lubatud ja juurdepääs teenusele lubatud (vt Süsteem > Teenused, vahekaardi Juurdepääs teenusele all leidke Dialout/Cellular).
Toetatakse Opengearist kaugteenustesse väljuvaid ühendusi (nt SMTP e-posti hoiatuste saatmine, SNMP lõksud, NTP aja hankimine, IPSec tunnelid). Kui nii Opengear kui ka allavoolu seade proovivad samal ajal samale kaughosti samale UDP- või TCP-pordile juurde pääseda, kui nad on juhuslikult valinud sama algupärase kohaliku pordinumbri, on ühendusetõrke oht.
3.14 Konfigureerimine DHCP (ZTP) kaudu
Opengeari seadmeid saab varustada nende esmase alglaadimise ajal DHCPv4- või DHCPv6-serverist, kasutades konfiguratsiooni üle DHCP. Ebausaldusväärsete võrkude varustamist saab hõlbustada USB-mälupulga võtmete lisamisega. ZTP-funktsiooni saab kasutada ka püsivara uuendamiseks võrguga esmasel ühenduse loomisel või Lighthouse 5 eksemplari registreerimiseks.
Ettevalmistus Usaldusväärse võrgu kaudu seadistamise tüüpilised sammud on järgmised:
1. Konfigureerige sama mudeli Opengeari seade. 2. Salvestage selle konfiguratsioon Opengeari varukoopiana (.opg) file. 3. Valige System > Configuration Backup > Remote Backup. 4. Klõpsake nuppu Salvesta varukoopia. Varukonfiguratsioon file — model-name_iso-format-date_config.opg — laaditakse Opengeari seadmest alla kohalikku süsteemi. Saate konfiguratsiooni salvestada xml-vormingus file: 1. Valige System > Configuration Backup > XML Configuration. Redigeeritav väli, mis sisaldab
konfiguratsiooni file ilmub XML-vormingus. 2. Klõpsake väljal selle aktiveerimiseks. 3. Kui kasutate Windowsi või Linuxi brauserit, paremklõpsake ja valige menüüst Vali kõik
kontekstimenüüst või vajutage klahvikombinatsiooni Ctrl+A. Paremklõpsake ja valige kontekstimenüüst Kopeeri või vajutage klahvikombinatsiooni Ctrl+C. 4. Kui kasutate macOS-is mis tahes brauserit, valige Redigeerimine > Vali kõik või vajutage klahvikombinatsiooni Command-A. Valige Redigeerimine > Kopeeri või vajutage Command-C. 5. Looge eelistatud tekstiredaktoris uus tühi dokument, kleepige kopeeritud andmed tühja dokumenti ja salvestage file. Mida iganes file-nimi, mille valite, peab see sisaldama faili .xml filenime järelliide. 6. Kopeerige salvestatud .opg või .xml file avalikku kataloogi aadressil a file server, mis teenindab vähemalt ühte järgmistest protokollidest: HTTPS, HTTP, FTP või TFTP. (Ainult HTTPS-i saab kasutada, kui ühendus file server ja konfigureeritav Opengeari seade liiguvad üle ebausaldusväärse võrgu.). 7. Konfigureerige oma DHCP-server, et see hõlmaks Opengeari seadmete jaoks "müüja spetsiifilist" valikut. (Seda tehakse DHCP-serverispetsiifilisel viisil.) Tarnijaspetsiifiline suvand tuleks määrata stringile, mis sisaldab URL avaldatud .opg- või .xml-vormingust file ülaltoodud sammus. Suvandistring ei tohi ületada 250 tähemärki ja see peab lõppema .opg või .xml-ga.
71

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
8. Ühendage uus Opengeari seade (kas tehaseseadetele lähtestatud või konfiguratsiooni kustutatud seade) võrku ja lülitage sisse. Seadme taaskäivitamiseks võib kuluda kuni 5 minutit.
Example ISC DHCP (dhcpd) serveri konfiguratsioon
Järgmine on endineample DHCP-serveri konfiguratsioonifragment .opg-konfiguratsioonipildi teenindamiseks ISC DHCP-serveri kaudu, dhcpd:
valik tühik avatud käigukasti kood laius 1 pikkus laius 1; valik opengear.config-url kood 1 = tekst; klass "opengear-config-over-dhcp-test" {
match if suvand hankija-klassi-identifikaator ~~ “^Opengear/”; müüja-võimalus-ruumi avamine; valik opengear.config-url "https://example.com/opg/${klass}.opg”; }
Seda seadistust saab muuta konfiguratsioonipildi uuendamiseks, kasutades faili opengear.image-url suvand ja anda püsivara kujutisele URI.
Seadistamine, kui kohtvõrk on ebausaldusväärne Kui ühendus on file server ja konfigureeritav Opengeari seade sisaldavad ebausaldusväärset võrku, kahe käega lähenemine võib probleemi leevendada.
MÄRKUS. See lähenemine tutvustab kahte füüsilist sammu, mille puhul usalduse täielik loomine võib olla keeruline, kui mitte võimatu. Esiteks, hooldusahel andmeid kandva USB-mälupulga loomisest kuni selle kasutuselevõtuni. Teiseks käed, mis ühendavad USB-mälupulka Opengeari seadmega.
· Looge Opengeari seadmele X.509 sertifikaat.
· Ühendage sertifikaat ja selle privaatvõti üheks tervikuks file nimega klient.pem.
· Kopeerige client.pem USB-mälupulgale.
· Seadistage HTTPS-server nii, et pääsete juurde failile .opg või .xml file on piiratud klientidega, kes suudavad pakkuda ülal loodud X.509 kliendisertifikaati.
· Pange HTTP-serveri sertifikaadi allkirjastanud CA-sertifikaadi koopia – ca-bundle.crt – USB-mälupulgale, millel on client.pem.
· Enne toite või võrgu ühendamist sisestage USB-mälupulk Opengeari seadmesse.
· Jätkake toimingut jaotisest `Kopeeri salvestatud .opg või .xml file avalikku kataloogi aadressil a file server”, kasutades kliendi ja serveri vahelist HTTPS-protokolli.
Valmistage ette USB-draiv ja looge X.509 sertifikaat ja privaatvõti
· Looge CA sertifikaat, et saaks allkirjastada kliendi ja serveri sertifikaadi allkirjastamise taotlusi (CSR).
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=NäitampleCA # cp demoCA/cacert.pem ca-bundle.crt
See protseduur genereerib sertifikaadi nimega ExampleCA, kuid kasutada võib mis tahes lubatud sertifikaadi nime. Samuti kasutab see protseduur openssl ca. Kui teie organisatsioonil on kogu ettevõtet hõlmav turvaline CA genereerimisprotsess, tuleks seda kasutada.
72

Kasutusjuhend
· Looge serveri sertifikaat.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
- võtifile ca.key -policy policy_anything -party -notext
MÄRKUS. Hostinimi või IP-aadress peab olema sama string, mida kasutatakse teenindamisel URL. Eksisampülal, hostinimi on demo.example.com.
· Genereeri kliendi sertifikaat.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
- võtifile ca.key -policy policy_anything -party -notext # cat client.key client.crt > client.pem
· Vormindage USB-mälupulk ühe FAT32 köitena.
· Teisaldage failid client.pem ja ca-bundle.crt files mälupulga juurkataloogi.
ZTP-probleemide silumine Kasutage ZTP-probleemide silumiseks ZTP logi funktsiooni. Kui seade proovib teha ZTP-toiminguid, kirjutatakse logiteave seadme faili /tmp/ztp.log.
Järgmine on endineample palgist file edukast ZTP jooksust.
# cat /tmp/ztp.log kolmap 13. detsember 22:22:17 UTC 2017 [5127 teade] odhcp6c.eth0: konfiguratsiooni taastamine DHCP kaudu kolmapäev 13. detsember 22:22:17 UTC 2017 [5127 teatis] odhcp6c.eth0 võrgu lahendamiseks kolmapäeval 10. detsember 13:22:22 UTC 27 [2017 teade] odhcp5127c.eth6: NTP vahele jäetud: serverit pole kolmapäeval 0. detsember 13:22:22 UTC 27 [2017 teave] odhcp5127c.eth6:0 =dorspec. http://[fd1:07:2218:1350::44]/tftpboot/config.sh' K 1. detsember 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) Kp 2. detsember 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) K 3. detsember 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendors/ac.0 ) K 4. detsember 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) K 5. detsember 13:22:22 UTC 28 [2017 info] odhcp5127c.ethc. /a) Kolmapäev, 6. detsember 0:6:13 UTC 22 [22 info] odhcp28c.eth2017: allalaadimiseks pole püsivara (vendorspec.5127) varundus-url: proovin http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: wan konfiguratsioonirežiimi sundimine DHCP varundamiseks-url: hostinime määramine väärtusele acm7004-0013c601ce97 backup-url: laadimine õnnestus kolmapäeval 13. detsember 22:22:36 UTC 2017 [5127 teade] odhcp6c.eth0: konfiguratsiooni laadimine õnnestus kolmapäeval 13. detsember 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: tuletorni seadistus puudub (3/dorspe.c konfiguratsioon 4/5/6) Kolmapäev, 13. detsember 22:22:36 UTC 2017 [5127 teade] odhcp6c.eth0: ettevalmistamine on lõpetatud, ei taaskäivitatud
Vead salvestatakse sellesse logisse.
3.15 Tuletorni registreerimine
Kasutage Lighthouse'i registreerimist, et registreerida Opengeari seadmed Lighthouse'i eksemplari, pakkudes tsentraliseeritud juurdepääsu konsooliportidele ja võimaldades Opengeari seadmete keskse seadistamise.
Vaadake Lighthouse'i kasutusjuhendist juhiseid Opengeari seadmete Lighthouse'i registreerimiseks.
73

3. peatükk: Jadaport, seade ja kasutaja konfiguratsioon
3.16 Luba DHCPv4 relee
DHCP-edastusteenus edastab DHCP-paketid klientide ja kaug-DHCP-serverite vahel. DHCP-edastusteenust saab lubada Opengeari konsooliserveris, nii et see kuulab DHCP-kliente määratud madalamatel liidestel, murrab ja edastab nende sõnumid DHCP-serveritesse, kasutades tavalist marsruutimist või edastab otse määratud ülemistele liidestele. DHCP-edastusagent võtab seega vastu DHCP-teateid ja genereerib uue DHCP-teate, mis saadetakse teisele liidesele. Alltoodud sammudes saavad konsooliserverid DHCPv4 releeteenuse abil ühenduse luua ahela ID-de, Etherneti või kärjemodemitega.
DHCPv4 relee + DHCP valik 82 (vooluahela ID) infrastruktuur – kohalik DHCP server, ACM7004-5 relee jaoks, mis tahes muud seadmed klientidele. Releena saab kasutada mis tahes LAN-i rolliga seadet. Selles eksample, 192.168.79.242 on kliendi edastusliidese aadress (nagu on määratletud DHCP serveri konfiguratsioonis file ülal) ja 192.168.79.244 on releekasti ülemine liidese aadress ning enp112s0 on DHCP-serveri allavoolu liides.
1 infrastruktuur – DHCPv4 relee + DHCP valik 82 (vooluahela ID)
Toimingud DHCP-serveris 1. Seadistage kohalik DHCP v4 server, eelkõige peaks see sisaldama DHCP-kliendi jaoks allolevat kirjet "host": host cm7116-2-dac { # riistvara ethernet 00:13:C6:02:7E :41; host-identifier suvand agent.circuit-id “relee1”; fikseeritud aadress 192.168.79.242 2 XNUMX XNUMX; } Märkus: rida “hardware ethernet” on kommenteeritud, nii et DHCP-server kasutab vastava kliendi aadressi määramiseks sätet “circuit-id”. XNUMX. Muudetud konfiguratsiooni uuesti laadimiseks taaskäivitage DHCP-server file. pkill -HUP dhcpd
74

Kasutusjuhend
3. Lisage käsitsi hosti marsruut kliendi "edasistatud" liidesele (DHCP relee taga olev liides, mitte muud kliendil võivad olla liidesed:
sudo ip-marsruut lisa 192.168.79.242/32 kaudu 192.168.79.244 dev enp112s0 See aitab vältida asümmeetrilise marsruutimise probleemi, kui klient ja DHCP-server soovivad üksteisele juurde pääseda kliendi edastusliidese kaudu, kui kliendil on samas teised liidesed DHCP-aadressikogumi alamvõrk.
Märkus. See samm on kohustuslik, et toetada dhcp-serverit ja klienti üksteisele juurdepääsu võimaldamisel.
Releekarbi sammud – ACM7004-5
1. Seadistage WAN/eth0 kas staatilises või dhcp-režiimis (mitte konfigureerimata režiimis). Staatilises režiimis peab sellel olema IP-aadress DHCP-serveri aadressikogumis.
2. Rakendage see konfiguratsioon CLI kaudu (kus 192.168.79.1 on DHCP-serveri aadress)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -sconfig. .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelaypper.1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. DHCP-relee alumisel liidesel peab olema staatiline IP-aadress DHCP-serveri aadressikogumis. Selles eksample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.disableds. -r ipconfig
4. Oodake veidi, kuni klient saab relee kaudu DHCP-liisingu.
Sammud kliendile (CM7116-2-dac selles ntample või mõni muu OG CS)
1. Ühendage kliendi LAN/eth1 relee LAN/eth1-ga 2. Konfigureerige kliendi kohtvõrk, et saada IP-aadress DHCP kaudu nagu tavaliselt. 3. Kui clie

Dokumendid / Ressursid

opengear ACM7000 Remote Site Gateway [pdfKasutusjuhend
ACM7000 kaugsaidi lüüs, ACM7000, kaugsaidi lüüs, saidi lüüs, lüüs

Viited

Kasutusjuhend

opengear ACM7000 Remote Site Gateway

Tooteteave

Toote kasutusjuhised

KKK-d

See juhend

Süsteemi konfiguratsioon

Jadaport, host, seadme ja kasutaja konfiguratsioon

Dokumendid / Ressursid

Viited

Jäta kommentaar

Tühista vastus