Opengear ACM7000 Remote Site Gateway
Información do produto
Especificacións:
- Produto: ACM7000 Remote Site Gateway
- Modelo: ACM7000-L Resilience Gateway
- Sistema de xestión: IM7200 Xestor de infraestruturas
- Servidores de consola: CM7100
- Versión: 5.0 – 2023-12
Instrucións de uso do produto
Precaucións de seguridade:
Non conecte nin desconecte o servidor da consola durante unha tormenta eléctrica. Use sempre un supresor de sobretensións ou UPS para protexer o equipo de transitorios.
Aviso da FCC:
Este dispositivo cumpre coa Parte 15 das normas da FCC. O funcionamento deste dispositivo está suxeito ás seguintes condicións: (1) Este dispositivo non pode causar interferencias prexudiciais e (2) este dispositivo debe aceptar calquera interferencia que poida causar un funcionamento non desexado.
Preguntas frecuentes
- P: Podo usar o ACM7000 Remote Site Gateway durante unha tormenta eléctrica?
- A: Non, recoméndase non conectar nin desconectar o servidor da consola durante unha tormenta eléctrica para evitar danos.
- P: Con que versión das regras da FCC cumpre o dispositivo?
- A: O dispositivo cumpre coa Parte 15 das normas da FCC.
Manual de usuario
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager Servidores de consola CM7100
Versión 5.0 - 2023-12
Seguridade
Siga as precaucións de seguridade que se indican a continuación cando instale e utilice o servidor da consola: · Non retire as tapas metálicas. No interior non hai compoñentes reparables polo operador. Abrir ou quitar a tapa pode exporche a perigosos voltage que pode causar incendio ou descarga eléctrica. Envíe todo o servizo a persoal cualificado de Opengear. · Para evitar descargas eléctricas, o condutor de protección do cable de alimentación debe conectarse a terra. · Tire sempre do enchufe, non do cable, cando desconecte o cable de alimentación da toma.
Non conecte nin desconecte o servidor da consola durante unha tormenta eléctrica. Use tamén un supresor de sobretensións ou UPS para protexer o equipo de transitorios.
Declaración de advertencia da FCC
Este dispositivo cumpre coa Parte 15 das normas da FCC. O funcionamento deste dispositivo está suxeito ao seguinte
condicións: (1) Este dispositivo non pode causar interferencias prexudiciais e (2) este dispositivo debe aceptar calquera interferencia que poida causar un funcionamento non desexado.
Deben utilizarse sistemas de respaldo axeitados e os dispositivos de seguridade necesarios para protexerse contra feridas, mortes ou danos materiais debidos a un fallo do sistema. Tal protección é responsabilidade do usuario. Este dispositivo servidor de consola non está aprobado para o seu uso como sistema médico ou de soporte vital. Calquera cambio ou modificación que se realice neste dispositivo servidor de consola sen a aprobación ou o consentimento explícito de Opengear anulará a Opengear de calquera responsabilidade ou responsabilidade por lesións ou perdas causadas por calquera mal funcionamento. Este equipo é para uso interior e todos os cables de comunicación están limitados ao interior do edificio.
2
Manual de usuario
Dereitos de autor
©Opengear Inc. 2023. Todos os dereitos reservados. A información deste documento está suxeita a cambios sen previo aviso e non representa un compromiso por parte de Opengear. Opengear ofrece este documento "tal como está", sen garantías de ningún tipo, expresas ou implícitas, incluídas, pero non limitadas a, as garantías implícitas de aptitude ou comerciabilidade para un propósito particular. Opengear pode facer melloras e/ou cambios neste manual ou nos produtos e/ou programas descritos neste manual en calquera momento. Este produto pode incluír imprecisións técnicas ou erros tipográficos. Realízanse cambios periódicamente na información aquí presentada; estes cambios poderán incorporarse en novas edicións da publicación.\
Capítulo 1
Este Manual
ESTE MANUAL
Este manual de usuario explica a instalación, o funcionamento e a xestión dos servidores de consola Opengear. Este manual asume que está familiarizado con Internet e redes IP, HTTP, FTP, operacións básicas de seguridade e rede interna da súa organización.
1.1 Tipos de usuarios
O servidor de consola admite dúas clases de usuarios:
· Administradores que teñen privilexios de configuración e xestión ilimitados sobre a consola
servidor e dispositivos conectados, así como todos os servizos e portos para controlar todos os dispositivos conectados en serie e os dispositivos conectados á rede (hosts). Os administradores están configurados como membros do grupo de usuarios administradores. Un administrador pode acceder e controlar o servidor da consola mediante a utilidade de configuración, a liña de comandos de Linux ou a Consola de xestión baseada no navegador.
· Usuarios que foron configurados por un administrador con límites de acceso e autoridade de control.
Os usuarios teñen un límite view da Consola de xestión e só pode acceder aos dispositivos configurados autorizados e review rexistros de portos. Estes usuarios están configurados como membros dun ou máis dos grupos de usuarios preconfigurados, como PPPTD, dialin, FTP, pmshell, usuarios ou grupos de usuarios que o administrador puido crear. Só están autorizados para realizar controis específicos en dispositivos conectados específicos. Os usuarios, cando estean autorizados, poden acceder e controlar dispositivos conectados en serie ou en rede mediante servizos especificados (por exemplo, Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Os usuarios remotos son usuarios que non están no mesmo segmento de LAN que o servidor da consola. Un usuario remoto pode estar na estrada conectándose a dispositivos xestionados a través da Internet pública, un administrador noutra oficina conectándose ao servidor da consola a través da VPN empresarial ou na mesma habitación ou na mesma oficina pero conectado nunha VLAN separada á consola. servidor.
1.2 Consola de xestión
A consola de xestión de Opengear permítelle configurar e supervisar as funcións do servidor de consola Opengear. A Consola de xestión execútase nun navegador e ofrece un view do servidor da consola e todos os dispositivos conectados. Os administradores poden usar a Consola de xestión para configurar e xestionar o servidor da consola, os usuarios, os portos, os hosts, os dispositivos de alimentación e os rexistros e alertas asociados. Os usuarios que non sexan administradores poden usar a Consola de xestión con acceso limitado ao menú para controlar determinados dispositivos, review os seus rexistros e acceda a eles mediante o sistema integrado Web terminal.
O servidor de consola executa un sistema operativo Linux incorporado e pódese configurar na liña de comandos. Podes obter acceso á liña de comandos mediante teléfono móbil/dial-in, conectándose directamente ao porto serie da consola/módem do servidor de consola ou usando SSH ou Telnet para conectarte ao servidor da consola a través da LAN (ou conectándose con PPTP, IPsec ou OpenVPN) .
6
Manual de usuario
Para comandos da interface de liña de comandos (CLI) e instrucións avanzadas, descargue a Opengear CLI and Scripting Reference.pdf de https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Máis información
Para máis información, consulta: · Produtos Opengear Web Sitio: Consulte https://opengear.com/products. Para obter a información máis actualizada sobre o que se inclúe co servidor da consola, visita a sección Que se inclúe para o teu produto en particular. · Guía de inicio rápido: para obter a Guía de inicio rápido do seu dispositivo, consulte https://opengear.com/support/documentation/. · Opengear Knowledge Base: visita https://opengear.zendesk.com para acceder a artigos de instrucións técnicas, consellos técnicos, preguntas frecuentes e notificacións importantes. · Opengear CLI e referencia de scripts: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7
Capítulo 2:
Configuración do sistema
CONFIGURACIÓN DO SISTEMA
Este capítulo ofrece instrucións paso a paso para a configuración inicial do servidor de consola e a súa conexión á LAN de xestión ou operativa. Os pasos son:
Active a Consola de xestión. Cambia o contrasinal do administrador. Establece o porto LAN principal do servidor de consola de enderezos IP. Seleccione os servizos a activar e os privilexios de acceso. Neste capítulo tamén se analizan as ferramentas de software de comunicacións que un administrador pode utilizar para acceder ao servidor da consola e a configuración dos portos LAN adicionais.
2.1 Conexión da consola de xestión
O teu servidor de consola vén configurado cun enderezo IP predeterminado 192.168.0.1 e unha máscara de subrede 255.255.255.0 para NET1 (WAN). Para a configuración inicial, recomendámosche que conectes un ordenador directamente á consola. Se decides conectar a túa LAN antes de completar os pasos de configuración iniciais, asegúrate de que:
· Non hai outros dispositivos na LAN cun enderezo 192.168.0.1. · O servidor da consola e o ordenador están no mesmo segmento LAN, sen enrutador interposto
electrodomésticos.
2.1.1 Configuración do ordenador conectado Para configurar o servidor da consola cun navegador, o ordenador conectado debe ter un enderezo IP no mesmo rango que o servidor da consola (por exemploample, 192.168.0.100):
· Para configurar o enderezo IP do seu ordenador Linux ou Unix, execute ifconfig. · Para ordenadores Windows:
1. Faga clic en Inicio > Configuración > Panel de control e prema dúas veces en Conexións de rede. 2. Fai clic co botón dereito en Conexión de área local e selecciona Propiedades. 3. Seleccione Protocolo de Internet (TCP/IP) e prema en Propiedades. 4. Seleccione Usar o seguinte enderezo IP e introduza os seguintes detalles:
o Enderezo IP: 192.168.0.100 o Máscara de subrede: 255.255.255.0 5. Se queres manter a túa configuración IP existente para esta conexión de rede, fai clic en Avanzado e Engade o anterior como conexión IP secundaria.
2.1.2 Conexión ao navegador
Abra un navegador na PC/estación de traballo conectada e introduza https://192.168.0.1.
Iniciar sesión con:
Nome de usuario> Contrasinal root> predeterminado
8
Manual de usuario
A primeira vez que inicie sesión, debe cambiar o contrasinal de root. Fai clic en Enviar.
Para completar o cambio, introduza de novo o novo contrasinal. Fai clic en Enviar. Aparece a pantalla de benvida.
Se o seu sistema dispón dun módem móbil, daránselle os pasos para configurar as funcións do enrutador móbil: · Configurar a conexión do módem móbil (Sistema > páxina Marcar. Consulte o capítulo 4) · Permitir o reenvío á rede móbil de destino (Sistema > páxina Firewall. Consulte o capítulo 4) · Activar o enmascaramento de IP para a conexión móbil (Sistema > páxina Firewall. Consulte o capítulo 4)
Despois de completar cada un dos pasos anteriores, pode volver á lista de configuración facendo clic no logotipo de Opengear na esquina superior esquerda da pantalla. NOTA Se non pode conectarse á Consola de xestión en 192.168.0.1 ou se
Non se acepta o nome de usuario/contrasinal, restablece o servidor da consola (consulta o capítulo 10).
9
Capítulo 2: Configuración do sistema
2.2 Configuración do administrador
2.2.1 Cambiar o contrasinal de root predeterminado do sistema Debes cambiar o contrasinal de root cando inicies sesión por primeira vez no dispositivo. Podes cambiar este contrasinal en calquera momento.
1. Faga clic en Serie e rede > Usuarios e grupos ou, na pantalla de benvida, faga clic en Cambiar contrasinal de administración predeterminado.
2. Desprácese cara abaixo e localice a entrada do usuario root en Usuarios e faga clic en Editar. 3. Introduza o novo contrasinal nos campos Contrasinal e Confirmar.
NOTA Ao marcar Gardar contrasinal entre os borrados do firmware gárdase o contrasinal para que non se borre cando se restableza o firmware. Se se perde este contrasinal, terá que recuperar o firmware do dispositivo.
4. Faga clic en Aplicar. Inicie sesión co novo contrasinal 2.2.2 Configurar un novo administrador Cree un novo usuario con privilexios administrativos e inicie sesión como este usuario para as funcións de administración, en lugar de usar root.
10
Manual de usuario
1. Faga clic en Serie e rede > Usuarios e grupos. Desprázate ata a parte inferior da páxina e fai clic no botón Engadir usuario.
2. Introduza un nome de usuario. 3. Na sección Grupos, marque a caixa de administración. 4. Introduza un contrasinal nos campos Contrasinal e Confirmar.
5. Tamén pode engadir chaves autorizadas SSH e escoller Desactivar a autenticación de contrasinal para este usuario.
6. Nesta páxina pódense configurar opcións adicionais para este usuario, incluíndo opcións de acceso telefónico, hosts accesibles, portos accesibles e tomas RPC accesibles.
7. Fai clic no botón Aplicar na parte inferior da pantalla para crear este novo usuario.
11
Capítulo 2: Configuración do sistema
2.2.3 Engadir o nome do sistema, a descrición do sistema e o MOTD. 1. Seleccione Sistema > Administración. 2. Introduza un nome do sistema e unha descrición do sistema para o servidor da consola para darlle un ID único e facilitar a súa identificación. O nome do sistema pode conter de 1 a 64 caracteres alfanuméricos e os caracteres especiais de subliñado (_), menos (-) e punto (.). A descrición do sistema pode conter ata 254 caracteres.
3. O banner MOTD pódese usar para mostrar unha mensaxe de texto do día aos usuarios. Aparece na parte superior esquerda da pantalla debaixo do logotipo de Opengear.
4. Faga clic en Aplicar.
12
Capítulo 2: Configuración do sistema
5. Seleccione Sistema > Administración. 6. O banner MOTD pódese usar para mostrar unha mensaxe de texto do día aos usuarios. Aparece no
parte superior esquerda da pantalla debaixo do logotipo de Opengear. 7. Faga clic en Aplicar.
2.3 Configuración de rede
Introduza un enderezo IP para o porto Ethernet principal (LAN/Rede/Rede1) no servidor da consola ou active o seu cliente DHCP para obter automaticamente un enderezo IP dun servidor DHCP. De forma predeterminada, o servidor da consola ten o seu cliente DHCP activado e acepta automaticamente calquera enderezo IP de rede asignado por un servidor DHCP na súa rede. Neste estado inicial, o servidor da consola responderá tanto ao seu enderezo estático predeterminado 192.168.0.1 como ao seu enderezo DHCP.
1. Faga clic en Sistema > IP e na pestana Interface de rede. 2. Escolla DHCP ou Estático para o Método de configuración.
Se escolle Estático, introduce o enderezo IP, a máscara de subrede, a pasarela e os detalles do servidor DNS. Esta selección desactiva o cliente DHCP.
12
Manual de usuario
3. O porto LAN do servidor da consola detecta automaticamente a velocidade de conexión Ethernet. Use a lista despregable Multimedia para bloquear Ethernet a 10 Mb/s ou 100 Mb/s e a Full Duplex ou Half Duplex.
Se atopas unha perda de paquetes ou un rendemento de rede deficiente coa configuración automática, cambia a configuración de medios Ethernet no servidor da consola e no dispositivo ao que está conectado. Na maioría dos casos, cambia ambos a 100baseTx-FD (100 megabits, dúplex completo).
4. Se selecciona DHCP, o servidor da consola buscará detalles de configuración dun servidor DHCP. Esta selección desactiva calquera enderezo estático. O enderezo MAC do servidor da consola pódese atopar nunha etiqueta da placa base.
5. Pode introducir un enderezo secundario ou unha lista de enderezos separados por comas en notación CIDR, por exemplo, 192.168.1.1/24 como alias IP.
6. Fai clic en Aplicar 7. Volve conectar o navegador no ordenador que está conectado ao servidor da consola ingresando
http://your new IP address.
Se cambias o enderezo IP do servidor da consola, terás que reconfigurar o teu ordenador para que teña un enderezo IP no mesmo intervalo de rede que o novo enderezo do servidor da consola. Pode configurar o MTU en interfaces Ethernet. Esta é unha opción avanzada que se pode usar se o seu escenario de implantación non funciona coa MTU predeterminada de 1500 bytes. Para configurar a MTU, faga clic en Sistema > IP e na pestana Interface de rede. Desprácese ata o campo MTU e introduza o valor desexado. Os valores válidos son de 1280 a 1500 para interfaces de 100 megabits e de 1280 a 9100 para interfaces de gigabit Se se configura a ponte ou a conexión, o MTU definido na páxina Interface de rede establecerase nas interfaces que forman parte da ponte ou da conexión. . NOTA Nalgúns casos, é posible que o MTU especificado polo usuario non teña efecto. Algúns controladores de NIC poden redondear MTU de gran tamaño ao valor máximo permitido e outros devolverán un código de erro. Tamén pode usar un comando da CLI para xestionar MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 comprobación
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode configuración sen estado .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13
Capítulo 2: Configuración do sistema
2.3.1 Configuración de IPv6 As interfaces Ethernet do servidor de consola admiten IPv4 por defecto. Pódense configurar para o funcionamento IPv6:
1. Faga clic en Sistema > IP. Faga clic na pestana Configuración xeral e marque Activar IPv6. Se o desexa, faga clic na caixa de verificación Desactivar IPv6 para móbil.
2. Configure os parámetros IPv6 en cada páxina da interface. IPv6 pódese configurar para o modo automático, que utilizará SLAAC ou DHCPv6 para configurar enderezos, rutas e DNS, ou para o modo estático, que permite introducir manualmente a información do enderezo.
2.3.2 Configuración de DNS dinámico (DDNS) Con DNS dinámico (DDNS), pódese localizar un servidor de consola cuxo enderezo IP estea asignado dinámicamente mediante un nome de dominio ou host fixo. Cree unha conta co fornecedor de servizos DDNS compatible que elixa. Cando configura a súa conta DDNS, escolle un nome de usuario, contrasinal e nome de host que utilizará como nome DNS. Os provedores de servizos DDNS permítenche escoller un nome de host URL e configure un enderezo IP inicial para que corresponda a ese nome de host URL.
14
Manual de usuario
Para activar e configurar DDNS en calquera das conexións de rede Ethernet ou móbil do servidor da consola. 1. Faga clic en Sistema > IP e desprácese ata a sección DNS dinámico. Seleccione o seu fornecedor de servizos DDNS
da lista despregable Dynamic DNS. Tamén pode configurar a información DDNS na pestana Módem móbil en Sistema > Marcar.
2. En Nome de host DDNS, introduza o nome de host DNS totalmente cualificado para o seu servidor de consola, por exemplo, o seu nome de host.dyndns.org.
3. Introduza o nome de usuario DDNS e o contrasinal DDNS para a conta do fornecedor de servizos DDNS. 4. Especifique o Intervalo máximo entre actualizacións en días. Enviarase unha actualización DDNS aínda que o
o enderezo non cambiou. 5. Especifique o Intervalo mínimo entre comprobacións de enderezos modificados en segundos. As actualizacións serán
enviarase se o enderezo cambiou. 6. Especifique o número máximo de intentos por actualización, que é o número de veces que se intenta unha actualización
antes de renunciar. Este é 3 por defecto. 7. Faga clic en Aplicar.
15
Capítulo 2: Configuración do sistema
2.3.3 Modo EAPoL para WAN, LAN e OOBFO
(OOBFO só é aplicable ao IM7216-2-24E-DAC)
Acabadoview de EAPoL IEEE 802.1X, ou PNAC (Port-based Network Access Control) fai uso das características de acceso físico das infraestruturas LAN IEEE 802 para proporcionar un medio de autenticación e autorización de dispositivos conectados a un porto LAN que teña punto a punto. características de conexión do punto, e de impedir o acceso a ese porto nos casos en que falla a autenticación e autorización. Un porto neste contexto é un único punto de conexión á infraestrutura LAN.
Cando un novo nodo sen fíos ou cableado (WN) solicita acceso a un recurso LAN, o punto de acceso (AP) solicita a identidade do WN. Non se permite outro tráfico que non sexa EAP antes de autenticar o WN (o "porto" está pechado ou "non autenticado"). O nodo sen fíos que solicita a autenticación adoita chamarse suplicante, o suplicante é responsable de responder aos datos do autenticador que establecerán as súas credenciais. O mesmo ocorre co punto de acceso; o Authenticator non é o punto de acceso. Pola contra, o punto de acceso contén un autenticador. O Authenticator non precisa estar no punto de acceso; pode ser un compoñente externo. Impléntanse os seguintes métodos de autenticación:
· Solicitante EAP-MD5 o O método EAP MD5-Challenge usa un nome de usuario/contrasinal simples
· EAP-PEAP-MD5 o EAP PEAP (EAP protexido) O método de autenticación MD5 utiliza credenciais de usuario e certificado CA
· O método de autenticación EAP-TLS o EAP TLS (Transport Layer Security) require un certificado CA, un certificado de cliente e unha clave privada.
O protocolo EAP, que se usa para a autenticación, utilizouse orixinalmente para o PPP de acceso telefónico. A identidade era o nome de usuario e utilizouse a autenticación PAP ou CHAP para comprobar o contrasinal do usuario. Como a identidade se envía de forma clara (non cifrada), un rastreador malicioso pode coñecer a identidade do usuario. Por iso úsase "ocultamento de identidade"; a identidade real non se envía antes de que estea activado o túnel TLS cifrado.
16
Manual de usuario
Despois de enviar a identidade, comeza o proceso de autenticación. O protocolo usado entre o suplicante e o autenticador é EAP (ou EAPoL). O Authenticator reencapsula as mensaxes EAP ao formato RADIUS e pásaas ao servidor de autenticación. Durante a autenticación, o autenticador transmite paquetes entre o suplicante e o servidor de autenticación. Cando se completa o proceso de autenticación, o servidor de autenticación envía unha mensaxe de éxito (ou fallo, se fallou a autenticación). O Authenticator abre entón o "porto" para o suplicante. Pódese acceder ás configuracións de autenticación desde a páxina Configuración do suplicante de EAPoL. O estado da EAPoL actual móstrase detalladamente na páxina de estatísticas de estado da pestana EAPoL:
Na sección "Xestor de conexións" da interface do panel móstrase unha abstracción de EAPoL nos roles de rede.
17
Capítulo 2: Configuración do sistema
A continuación móstrase un example de autenticación exitosa:
Compatibilidade con IEEE 802.1x (EAPOL) nos portos de conmutador de IM7216-2-24E-DAC e ACM7004-5: para evitar bucles, os usuarios non deben conectar máis dun porto de conmutador ao mesmo conmutador de nivel superior.
18
Manual de usuario
2.4 Acceso ao servizo e protección da forza bruta
O administrador pode acceder ao servidor da consola e aos portos serie conectados e aos dispositivos xestionados mediante unha serie de protocolos/servizos de acceso. Para cada acceso
· Primeiro debe configurarse e habilitar o servizo para executarse no servidor da consola. · O acceso a través do firewall debe estar habilitado para cada conexión de rede. Para activar e configurar un servizo: 1. Faga clic en Sistema > Servizos e na pestana Configuración do servizo.
2. Activa e configura os servizos básicos:
HTTP
De forma predeterminada, o servizo HTTP está en execución e non se pode desactivar por completo. Por defecto, o acceso HTTP está desactivado en todas as interfaces. Recomendamos que este acceso permaneza desactivado se se accede ao servidor da consola de forma remota a través de Internet.
O HTTP alternativo permíteche configurar un porto HTTP alternativo para escoitar. O servizo HTTP seguirá escoitando no porto TCP 80 para as comunicacións do CMS e do conector, pero será inaccesible a través do firewall.
HTTPS
De forma predeterminada, o servizo HTTPS está en execución e está activado en todas as interfaces de rede. Recoméndase que só se use o acceso HTTPS se o servidor da consola se vai xestionar a través de calquera rede pública. Isto garante que os administradores teñan acceso seguro do navegador a todos os menús do servidor da consola. Tamén permite aos usuarios configurados axeitadamente o acceso seguro do navegador aos menús Xestionar seleccionados.
O servizo HTTPS pódese desactivar ou volver activar marcando HTTPS Web Especificouse a xestión e un porto alternativo (o porto predeterminado é 443).
Telnet
De xeito predeterminado, o servizo Telnet está en execución pero está desactivado en todas as interfaces de rede.
Telnet pódese usar para darlle acceso de administrador ao shell da liña de comandos do sistema. Este servizo pode ser útil para o acceso do administrador local e do usuario ás consolas serie seleccionadas. Recomendamos que desactive este servizo se o servidor da consola está administrado de forma remota.
A caixa de verificación Activar o shell de comandos Telnet activará ou desactivará o servizo Telnet. Pódese especificar un porto Telnet alternativo para escoitar en Porto Telnet alternativo (o porto predeterminado é 23).
17
Capítulo 2: Configuración do sistema
SSH
Este servizo ofrece acceso SSH seguro ao servidor da consola e aos dispositivos conectados
e por defecto o servizo SSH está funcionando e habilitado en todas as interfaces. É
recomendámosche que escolla SSH como protocolo ao que se conecta un administrador
o servidor da consola a través de Internet ou calquera outra rede pública. Isto proporcionará
comunicacións autenticadas entre o programa cliente SSH no control remoto
ordenador e o servidor SSH no servidor da consola. Para máis información sobre SSH
configuración Consulte o Capítulo 8 – Autenticación.
A caixa de verificación Activar o shell de comandos SSH activará ou desactivará este servizo. No porto de shell de comandos SSH pódese especificar un porto SSH alternativo para escoitar (o porto predeterminado é 22).
3. Activa e configura outros servizos:
TFTP/FTP Se se detecta unha tarxeta flash USB ou un flash interno nun servidor de consola, marcando Activar o servizo TFTP (FTP) habilita este servizo e configura o servidor tftp e ftp predeterminado no flash USB. Estes servidores úsanse para almacenar a configuración files, manter rexistros de acceso e transaccións, etc. FileOs transferidos mediante tftp e ftp almacenaranse en /var/mnt/storage.usb/tftpboot/ (ou /var/mnt/storage.nvlog/tftpboot/ nos dispositivos da serie ACM7000). Desmarcar Activar servizo TFTP (FTP) desactivarase o servizo TFTP (FTP).
A comprobación de retransmisión DNS Habilitar o servidor/retransmisión DNS activa a función de retransmisión DNS para que os clientes poidan configurarse coa IP do servidor de consola para a súa configuración de servidor DNS e o servidor de consola reenviará as consultas DNS ao servidor DNS real.
Web Activar verificación de terminal Web O terminal permite web acceso do navegador ao shell da liña de comandos do sistema a través de Xestionar > Terminal.
4. Especifique números de porto alternativos para Raw TCP, Telnet/SSH directo e Telnet/SSH sen autenticar. O servidor da consola usa intervalos específicos para os portos TCP/IP para os distintos accesos
servizos que os usuarios poden utilizar para acceder a dispositivos conectados a portos serie (como se describe no Capítulo 3 Configurar portos serie). O administrador pode establecer intervalos alternativos para estes servizos e estes portos secundarios utilizaranse ademais dos predeterminados.
O enderezo do porto base TCP/IP predeterminado para o acceso a Telnet é 2000, e o intervalo para Telnet é Enderezo IP: Porto (2000 + número de porto serie), é dicir, 2001 2048. Se un administrador establecese 8000 como base secundaria para Telnet, a serie O porto n.º 2 do servidor da consola pódese acceder a Telnet en IP
Enderezo: 2002 e en enderezo IP: 8002. A base predeterminada para SSH é 3000; para Raw TCP é 4000; e para RFC2217 é 5000
5. Outros servizos pódense activar e configurar desde este menú seleccionando Fai clic aquí para configurar:
Nagios Acceso aos daemons de seguimento NRPE de Nagios
PORCA
Acceso ao daemon de monitorización NUT UPS
SNMP Activa snmp no servidor da consola. SNMP está desactivado por defecto
NTP
6. Faga clic en Aplicar. Aparece unha mensaxe de confirmación: Mensaxe Os cambios na configuración realizaron correctamente
A configuración de acceso aos servizos pódese configurar para permitir ou bloquear o acceso. Isto especifica cales son os servizos habilitados que os administradores poden utilizar a través de cada interface de rede para conectarse ao servidor da consola e a través do servidor da consola aos dispositivos conectados en serie e á rede.
18
Manual de usuario
1. Seleccione a pestana Acceso ao servizo na páxina Sistema > Servizos.
2. Isto mostra os servizos activados para as interfaces de rede do servidor de consola. Dependendo do modelo de servidor de consola particular, as interfaces que se mostran poden incluír: · Interface de rede (para a conexión Ethernet principal) · Xestión LAN/OOB Failover (segundas conexións Ethernet) · Marcación/módem móbil (módem V90 e 3G) · Marcación interna ou módem V90 externo) · VPN (conexión IPsec ou Open VPN a través de calquera interface de rede)
3. Marque/desmarque para cada rede o acceso ao servizo que se quere activar/desactivar As opcións de acceso ao servizo Respond to ICMP echo (é dicir, ping) que se poden configurar neste stage. Isto permite que o servidor da consola responda ás solicitudes de eco ICMP entrantes. Ping está activado por defecto. Para aumentar a seguridade, debería desactivar este servizo cando complete a configuración inicial. Pode permitir que se acceda aos dispositivos de porto serie desde interfaces de rede designadas mediante Raw TCP, Telnet/SSH directo, servizos Telnet/SSH non autenticados, etc.
4. Faga clic en Aplicar Web Configuración de xestión A caixa de verificación Activar HSTS activa unha estrita seguridade de transporte HTTP. O modo HSTS significa que se debe enviar unha cabeceira StrictTransport-Security a través do transporte HTTPS. Un cumpridor web o navegador lembra esta cabeceira e cando se lle pide que se poña en contacto co mesmo host a través de HTTP (normal) cambiará automaticamente a
19
Capítulo 2: Configuración do sistema
HTTPS antes de tentar HTTP, sempre que o navegador acceda unha vez ao sitio seguro e viu a cabeceira STS.
Protección de forza bruta A protección de forza bruta (Micro Fail2ban) bloquea temporalmente as IP de orixe que mostran sinais maliciosos, como demasiadas fallas de contrasinais. Isto pode axudar cando os servizos de rede do dispositivo están expostos a unha rede non fiable, como a WAN pública, e os ataques con script ou os gusanos de software intentan adiviñar (forza bruta) as credenciais dos usuarios e obter acceso non autorizado.
Pódese activar a Protección de forza bruta para os servizos indicados. De forma predeterminada, unha vez que a protección está activada, 3 ou máis intentos de conexión fallidos nun prazo de 60 segundos desde unha IP de orixe específica provocan a prohibición da conexión durante un período de tempo configurable. O límite de intentos e o tempo de espera da prohibición pódense personalizar. Tamén se listan as prohibicións activas e pódense actualizar cargando de novo a páxina.
NOTA
Cando se execute nunha rede non fiable, considere usar varias estratexias que se utilizan para bloquear o acceso remoto. Isto inclúe a autenticación de clave pública SSH, VPN e regras de firewall para
acceso remoto á lista de permitidos só desde redes de orixe de confianza. Consulte a base de coñecemento de Opengear para obter máis información.
2.5 Software de comunicacións
Configureu os protocolos de acceso para que o cliente administrador os utilice cando se conecte ao servidor da consola. Os clientes de usuarios tamén usan estes protocolos cando acceden a dispositivos conectados en serie ao servidor de consola e hosts conectados á rede. Necesitas ferramentas de software de comunicacións configuradas no ordenador do administrador e do cliente do usuario. Para conectarse pode utilizar ferramentas como PuTTY e SSHTerm.
20
Manual de usuario
Os conectores dispoñibles comercialmente unen o protocolo de túnel SSH de confianza con ferramentas de acceso populares como Telnet, SSH, HTTP, HTTPS, VNC, RDP para proporcionar acceso seguro de xestión remota de apuntar e facer clic a todos os sistemas e dispositivos que se xestionan. No capítulo 5 pódese atopar información sobre o uso de conectores para o acceso do navegador á Consola de xestión do servidor da consola, o acceso Telnet/SSH á liña de comandos do servidor da consola e a conexión TCP/UDP a hosts conectados en rede ao servidor da consola. instalado en ordenadores Windows, Mac OS X e na maioría dos sistemas Linux, UNIX e Solaris.
2.6 Xestión da configuración da rede
Os servidores de consola teñen portos de rede adicionais que se poden configurar para proporcionar acceso á LAN de xestión e/ou conmutación por fallo ou acceso fóra de banda. 2.6.1 Activar a LAN de xestión Os servidores da consola pódense configurar para que o segundo porto Ethernet proporcione unha pasarela LAN de xestión. A pasarela ten características de firewall, router e servidor DHCP. Necesitas conectar un conmutador LAN externo á Rede 2 para conectar hosts a esta LAN de xestión:
NOTA O segundo porto Ethernet pódese configurar como un porto de pasarela LAN de xestión ou como un porto OOB/Failover. Asegúrate de non asignar NET2 como interface de conmutación por fallo cando configuraches a conexión de rede principal no menú Sistema > IP.
21
Capítulo 2: Configuración do sistema
Para configurar a pasarela LAN de xestión: 1. Seleccione a pestana Interface LAN de xestión no menú Sistema > IP e desmarque Desactivar. 2. Configure o enderezo IP e a máscara de subrede para a LAN de xestión. Deixe os campos DNS en branco. 3. Faga clic en Aplicar.
A función de pasarela de xestión está habilitada co firewall predeterminado e as regras do enrutador configuradas para que a LAN de xestión só sexa accesible mediante o reenvío de portos SSH. Isto garante que as conexións remotas e locais aos dispositivos xestionados na LAN de xestión sexan seguras. Os portos LAN tamén se poden configurar en modo ponte ou vinculado ou manualmente desde a liña de comandos. 2.6.2 Configurar o servidor DHCP O servidor DHCP permite a distribución automática de enderezos IP aos dispositivos da LAN de xestión que executan clientes DHCP. Para activar o servidor DHCP:
1. Faga clic en Sistema > Servidor DHCP. 2. Na pestana Interface de rede, marque Activar servidor DHCP.
22
Manual de usuario
3. Introduza o enderezo da pasarela que se enviará aos clientes DHCP. Se este campo se deixa en branco, utilízase o enderezo IP do servidor da consola.
4. Introduza o DNS primario e o enderezo DNS secundario para emitir os clientes DHCP. Se este campo se deixa en branco, utilízase o enderezo IP do servidor da consola.
5. Opcionalmente, introduza un sufixo de nome de dominio para emitir clientes DHCP. 6. Introduza o tempo de arrendamento predeterminado e o tempo de arrendamento máximo en segundos. Esta é a cantidade de tempo
que un enderezo IP asignado dinámicamente é válido antes de que o cliente deba solicitalo de novo. 7. Faga clic en Aplicar. O servidor DHCP emite enderezos IP dos conxuntos de enderezos especificados: 1. Faga clic en Engadir no campo Grupos de asignación de enderezos dinámicos. 2. Introduza o enderezo de inicio e o enderezo final do grupo DHCP. 3. Faga clic en Aplicar.
23
Capítulo 2: Configuración do sistema
O servidor DHCP tamén admite a asignación previa de enderezos IP para asignalos a enderezos MAC específicos e a reserva de enderezos IP para ser usados por hosts conectados con enderezos IP fixos. Para reservar un enderezo IP para un host en particular:
1. Fai clic en Engadir no campo Enderezos reservados. 2. Introduza o nome de host, o enderezo de hardware (MAC) e o enderezo IP reservado estáticamente
o cliente DHCP e prema en Aplicar.
Cando DHCP asignou enderezos de host, recoméndase copialos na lista preasignada para que o mesmo enderezo IP sexa reasignado en caso de reiniciar.
24
Manual de usuario
2.6.3 Seleccione Failover ou OOB de banda ancha Os servidores da consola ofrecen unha opción de failover, polo que, en caso de producirse un problema ao usar a conexión LAN principal para acceder ao servidor da consola, utilízase unha ruta de acceso alternativa. Para activar a conmutación por fallo:
1. Seleccione a páxina Interface de rede no menú Sistema > IP. 2. Seleccione a Interfaz de conmutación por fallo que se utilizará en caso detage na rede principal.
3. Faga clic en Aplicar. A conmutación por fallo faise activa despois de especificar os sitios externos que se van probar para activar a conmutación por fallo e configurar os portos de conmutación por fallo.
2.6.4 Agregación dos portos de rede Por defecto, pódese acceder aos portos de rede LAN de xestión do servidor de consola mediante o túnel SSH/reenvío de portos ou establecendo un túnel VPN IPsec para o servidor da consola. Todos os portos de rede con fíos dos servidores da consola pódense agregar mediante pontes ou enlaces.
25
Manual de usuario
· De forma predeterminada, a agregación de interfaces está desactivada no menú Sistema > IP > Configuración xeral · Seleccione Interfaces ponte ou Interfaces enlace
o Cando a ponte está activada, o tráfico de rede envíase a todos os portos Ethernet sen restricións de firewall. Todos os portos Ethernet están conectados de forma transparente na capa de enlace de datos (capa 2) polo que conservan os seus enderezos MAC únicos.
o Coa conexión, o tráfico de rede lévase entre os portos pero presente cun enderezo MAC
Ambos modos eliminan todas as funcións da Interface LAN de xestión e da Interface fóra de banda/Failover e desactivan o servidor DHCP · No modo de agregación, todos os portos Ethernet configúranse colectivamente mediante o menú Interface de rede.
25
Capítulo 2: Configuración do sistema
2.6.5 Rutas estáticas As rutas estáticas ofrecen un xeito moi rápido de enrutar datos dunha subrede a outra subrede. Podes codificar un camiño que lle di ao servidor/enrutador da consola que chegue a unha determinada subrede mediante un determinado camiño. Isto pode ser útil para acceder a varias subredes nun sitio remoto cando se utiliza a conexión OOB móbil.
Para engadir á ruta estática á táboa de rutas do sistema:
1. Seleccione a pestana Configuración da ruta no menú Sistema > Configuración xeral IP.
2. Fai clic en Nova ruta
3. Introduza un nome de ruta para a ruta.
4. No campo Rede/anfitrión de destino, introduza o enderezo IP da rede/anfitrión de destino ao que a ruta proporciona acceso.
5. Introduza un valor no campo Máscara de rede de destino que identifique a rede de destino ou host. Calquera número entre 0 e 32. Unha máscara de subrede de 32 identifica unha ruta do servidor.
6. Introduza Route Gateway co enderezo IP dun enrutador que encamiñará os paquetes á rede de destino. Isto pódese deixar en branco.
7. Seleccione a Interface que quere utilizar para chegar ao destino, pódese deixar como Ningún.
8. Introduza un valor no campo Métrica que represente a métrica desta conexión. Use calquera número igual ou superior a 0. Só se debe establecer se dúas ou máis rutas entran en conflito ou teñen obxectivos superpostos.
9. Faga clic en Aplicar.
NOTA
A páxina de detalles da ruta ofrece unha lista de interfaces de rede e módems aos que se pode vincular unha ruta. No caso dun módem, a ruta asociarase a calquera sesión de acceso telefónico establecida a través dese dispositivo. Unha ruta pódese especificar cunha pasarela, unha interface ou ambas. Se a interface especificada non está activa, as rutas configuradas para esa interface non estarán activas.
26
Manual de usuario 3. CONFIGURACIÓN DE PORTO SERIE, HOST, DISPOSITIVO E USUARIO
O servidor de consola permite o acceso e control de dispositivos conectados en serie e dispositivos conectados á rede (hosts). O administrador debe configurar os privilexios de acceso para cada un destes dispositivos e especificar os servizos que se poden utilizar para controlar os dispositivos. O administrador tamén pode configurar novos usuarios e especificar os privilexios de acceso e control individuais de cada usuario.
Este capítulo abarca cada un dos pasos para configurar os dispositivos conectados á rede e conectados en serie: · Portos serie que configuran protocolos utilizados dispositivos conectados en serie · Usuarios e grupos configuran usuarios e definen os permisos de acceso para cada un destes usuarios · Autenticación. detalles no Capítulo 8 · Anfitrións de rede que configuran o acceso a equipos ou dispositivos conectados á rede local (anfitrións) · Configuración de redes de confianza: designe enderezos IP desde os que accedan os usuarios de confianza. IPMI) e dispositivos de vixilancia ambiental (EMD) · Redirección de portos serie mediante Windows PortShare e clientes Linux · Dispositivos xestionados: presenta unha view de todas as conexións · IPSec habilitando conexión VPN · OpenVPN · PPTP
3.1 Configurar portos serie
O primeiro paso para configurar un porto serie é establecer a configuración común, como os protocolos e os parámetros RS232 que se van utilizar para a conexión de datos a ese porto (por exemplo, a taxa de transmisión). Seleccione o modo no que se quere operar o porto. Pódese configurar cada porto para que admita un destes modos de funcionamento:
· O modo desactivado é o predeterminado, o porto serie está inactivo
27
Capítulo 3:
Configuración do porto serie, host, dispositivo e usuario
· O modo de servidor de consola permite o acceso xeral ao porto de consola serie nos dispositivos conectados en serie
· O modo de dispositivo configura o porto serie para comunicarse cunha PDU, SAI ou dispositivos de monitorización ambiental (EMD) controlados en serie intelixente.
· O modo Terminal Server configura o porto serie para que agarde unha sesión de inicio de sesión do terminal entrante · O modo Serial Bridge permite a interconexión transparente de dous dispositivos de porto serie a través dun
rede.
1. Seleccione Serial & Network > Serial Port para mostrar os detalles do porto serie. 2. De forma predeterminada, cada porto serie está configurado no modo de servidor de consola. Fai clic en Editar xunto ao porto que queres
reconfigurado. Ou prema en Editar varios portos e seleccione os portos que desexa configurar como grupo. 3. Cando reconfigure a configuración común e o modo de cada porto, configure calquera syslog remoto (consulte as seguintes seccións para obter información específica). Faga clic en Aplicar 4. Se o servidor da consola se configurou coa supervisión distribuída de Nagios activada, use as opcións de configuración de Nagios para habilitar os servizos designados no host que se van supervisar 3.1.1 Configuración común Hai unha serie de configuracións comúns que se poden establecer para cada serie Porto. Estes son independentes do modo no que se está a utilizar o porto. Estes parámetros do porto serie deben configurarse para que coincidan cos parámetros do porto serie do dispositivo que conectes a ese porto:
28
Manual de usuario
· Escriba unha etiqueta para o porto. · Seleccione a taxa de baudios, a paridade, os bits de datos, os bits de parada e o control de fluxo adecuados para cada porto.
· Establecer o pinout do porto. Este elemento de menú aparece para os portos IM7200 onde o pin-out para cada porto serie RJ45 se pode establecer como X2 (Cisco Straight) ou X1 (Cisco Rolled)
· Establecer o modo DTR. Isto permítelle escoller se DTR sempre se afirma ou só se afirma cando hai unha sesión de usuario activa
· Antes de continuar coa configuración do porto serie, debes conectar os portos aos dispositivos serie que controlarán e asegurarte de que teñan a configuración correspondente.
3.1.2
Modo servidor de consola
Seleccione Modo servidor de consola para activar o acceso de xestión remota á consola serie que está conectada a este porto serie:
Nivel de rexistro Especifica o nivel de información que se rexistrará e supervisará.
29
Capítulo 3: Configuración do porto serie, host, dispositivo e usuario
Nivel 0: desactivar o rexistro (predeterminado)
Nivel 1: rexistro de eventos LOGIN, LOGOUT e SIGNAL
Nivel 2: rexistro de eventos LOGIN, LOGOUT, SIGNAL, TXDATA e RXDATA
Nivel 3: rexistro de eventos LOGIN, LOGOUT, SIGNAL e RXDATA
Nivel 4: rexistro de eventos LOGIN, LOGOUT, SIGNAL e TXDATA
A entrada/RXDATA son os datos recibidos polo dispositivo Opengear desde o dispositivo serie conectado, e a saída/TXDATA son os datos enviados polo dispositivo Opengear (por exemplo, escritos polo usuario) ao dispositivo en serie conectado.
As consolas do dispositivo adoitan facer eco de caracteres a medida que se escriben, polo que os datos TXDATA escritos por un usuario recíbense posteriormente como RXDATA, que se mostran no seu terminal.
NOTA: Despois de solicitar un contrasinal, o dispositivo conectado envía caracteres * para evitar que se mostre o contrasinal.
Telnet Cando o servizo Telnet está activado no servidor da consola, un cliente Telnet no ordenador dun usuario pode conectarse a un dispositivo serie conectado a este porto serie no servidor da consola. Debido a que as comunicacións Telnet están sen cifrar, este protocolo só se recomenda para conexións locais ou con túnel VPN.
Se as comunicacións remotas están sendo tunelizadas cun conector, pódese usar Telnet para acceder de forma segura a estes dispositivos conectados.
NOTA
No modo de servidor de consola, os usuarios poden usar un conector para configurar conexións Telnet seguras que se túnel SSH desde os seus ordenadores cliente ata o porto serie do servidor da consola. Os conectores pódense instalar en ordenadores con Windows e na maioría das plataformas Linux e permite seleccionar conexións Telnet seguras con apuntar e facer clic.
Para utilizar un conector para acceder ás consolas nos portos serie do servidor da consola, configure o conector co servidor da consola como pasarela e como host, e habilite o servizo Telnet no porto (2000 + número de porto serie), é dicir, 2001.
Tamén pode usar paquetes de comunicacións estándar como PuTTY para establecer unha conexión directa Telnet ou SSH aos portos serie.
NOTA No modo de servidor de consola, cando se conecta a un porto serie conéctase a través de pmshell. Para xerar un BREAK no porto serie, escriba a secuencia de caracteres ~b. Se está a facer isto a través de OpenSSH, escriba ~~b.
SSH
Recoméndase que use SSH como protocolo cando os usuarios se conecten ao servidor da consola
(ou conéctese a través do servidor da consola ás consolas serie anexas) a través de Internet ou calquera
outra rede pública.
Para o acceso SSH ás consolas en dispositivos conectados aos portos serie do servidor da consola, podes usar un conector. Configure o conector co servidor da consola como pasarela e como host, e active o servizo SSH no porto (3000 + número de porto serie), é dicir, 3001-3048.
Tamén pode usar paquetes de comunicacións comúns, como PuTTY ou SSHTerm para conectar SSH ao enderezo do porto Enderezo IP _ Porto (3000 + número de porto serie), é dicir, 3001
As conexións SSH pódense configurar mediante o porto SSH estándar 22. O porto serie ao que se accede identifícase engadindo un descritor ao nome de usuario. Esta sintaxe admite:
:
:
30
Manual de usuario
: : Para que un usuario chamado chris acceda ao porto serie 2, ao configurar o cliente SSHTerm ou PuTTY SSH, en lugar de escribir username = chris e ssh port = 3002, a alternativa é escribir username = chris:port02 (ou username = chris: ttyS1) e ssh port = 22. Ou escribindo username=chris:serial e ssh port = 22, preséntase ao usuario unha opción de selección de porto:
Esta sintaxe permite aos usuarios configurar túneles SSH para todos os portos serie cun único porto IP 22 que debe abrirse no seu firewall/gateway.
NOTA No modo de servidor de consola, conéctase a un porto serie mediante pmshell. Para xerar un BREAK no porto serie, escriba a secuencia de caracteres ~b. Se estás facendo isto a través de OpenSSH, escribe ~~b.
TCP
RAW TCP permite conexións a un socket TCP. Mentres programas de comunicación como PuTTY
tamén admite RAW TCP, este protocolo adoita ser usado por unha aplicación personalizada
Para TCP RAW, o enderezo de porto predeterminado é Enderezo IP _ Porto (4000 + número de porto serie), é dicir, 4001 4048
RAW TCP tamén permite que o porto serie se túnel a un servidor de consola remoto, polo que dous dispositivos de porto serie poden interconectarse de forma transparente a través dunha rede (consulte o capítulo 3.1.6 Pontes en serie)
RFC2217 A selección de RFC2217 habilita a redirección do porto serie nese porto. Para RFC2217, o enderezo de porto predeterminado é Enderezo IP _ Porto (5000 + número de porto serie), é dicir, 5001 5048
Está dispoñible un software cliente especial para Windows UNIX e Linux que admite portos de comunicación virtuais RFC2217, polo que un host remoto pode supervisar e xestionar dispositivos remotos conectados en serie coma se estivesen conectados ao porto serie local (consulte o Capítulo 3.6 Redirección de portos serie para obter máis detalles)
RFC2217 tamén permite que o porto serie se túnel a un servidor de consola remoto, polo que dous dispositivos de porto serie poden interconectarse de forma transparente a través dunha rede (consulte o capítulo 3.1.6 Pontes en serie)
Telnet non autenticado Isto permite o acceso Telnet ao porto serie sen credenciais de autenticación. Cando un usuario accede ao servidor da consola a Telnet a un porto serie, recibe unha solicitude de inicio de sesión. Con Telnet non autenticado, conéctanse directamente ao porto sen ningún desafío de inicio de sesión no servidor da consola. Se un cliente Telnet solicita a autenticación, calquera dato introducido permite a conexión.
31
Capítulo 3: Configuración do porto serie, host, dispositivo e usuario
Este modo utilízase cun sistema externo (como un conservador) que xestione a autenticación do usuario e os privilexios de acceso a nivel de dispositivo serie.
Para iniciar sesión nun dispositivo conectado ao servidor da consola, é posible que necesite unha autenticación.
Para Telnet non autenticado, o enderezo de porto predeterminado é Enderezo IP _ Porto (6000 + número de porto serie), é dicir, 6001 6048
SSH non autenticado Isto permite o acceso SSH ao porto serie sen credenciais de autenticación. Cando un usuario accede ao servidor da consola a Telnet a un porto serie, recibe unha solicitude de inicio de sesión. Con SSH non autenticado conéctanse directamente ao porto sen ningún desafío de inicio de sesión no servidor da consola.
Este modo úsase cando tes outro sistema que xestione a autenticación do usuario e os privilexios de acceso a nivel de dispositivo en serie pero queres cifrar a sesión na rede.
Para iniciar sesión nun dispositivo conectado ao servidor da consola, é posible que necesite unha autenticación.
Para Telnet non autenticado, o enderezo de porto predeterminado é Enderezo IP _ Porto (7000 + número de porto serie), é dicir, 7001 7048
O : o método de acceso ao porto (como se describe na sección SSH anterior) sempre require autenticación.
Web Terminal Isto habilita web acceso do navegador ao porto serie a través de Xestionar > Dispositivos: en serie mediante o terminal AJAX integrado da Consola de xestión. Web O terminal conéctase como o usuario da Consola de xestión actualmente autenticado e non se volve autenticar. Consulte a sección 12.3 para obter máis detalles.
Alias IP
Activa o acceso ao porto serie mediante un enderezo IP específico, especificado en formato CIDR. A cada porto serie pódeselle asignar un ou máis alias IP, configurados por interface de rede. Un porto serie pode, por exemploample, sexa accesible tanto en 192.168.0.148 (como parte da rede interna) como en 10.10.10.148 (como parte da LAN de xestión). Tamén é posible facer que un porto serie estea dispoñible en dous enderezos IP na mesma rede (por exemploample, 192.168.0.148 e 192.168.0.248).
Estes enderezos IP só se poden usar para acceder ao porto serie específico, accesible mediante os números de porto TCP do protocolo estándar dos servizos do servidor da consola. Por example, SSH no porto serie 3 sería accesible no porto 22 dun alias IP do porto serie (mentres que no enderezo principal do servidor de consola está dispoñible no porto 2003).
Esta función tamén se pode configurar a través da páxina de edición de portos múltiples. Neste caso, os enderezos IP aplícanse secuencialmente, co primeiro porto seleccionado que se introduce a IP e os seguintes increméntanse, omitíndose os números para os portos non seleccionados. Por exampse se seleccionan os portos 2, 3 e 5 e se introduce o alias IP 10.0.0.1/24 para a interface de rede, asígnaranse os seguintes enderezos:
Porto 2: 10.0.0.1/24
Porto 3: 10.0.0.2/24
Porto 5: 10.0.0.4/24
Os alias IP tamén admiten enderezos de alias IPv6. A única diferenza é que os enderezos son números hexadecimais, polo que o porto 10 pode corresponder a un enderezo rematado en A e o 11 a un que remata en B, en lugar de 10 ou 11 segundo IPv4.
32
Manual de usuario
Cifrar o tráfico / Autenticar Activar o cifrado trivial e a autenticación das comunicacións en serie RFC2217 mediante Portshare (para un cifrado forte use VPN).
Período de acumulación Unha vez que se estableceu unha conexión para un porto serie determinado (como unha redirección RFC2217 ou unha conexión Telnet a un ordenador remoto), calquera carácter entrante nese porto envíase pola rede carácter por carácter. O período de acumulación especifica un período de tempo no que se recollen os caracteres entrantes antes de enviarse como un paquete a través da rede.
Carácter de escape Cambia o carácter utilizado para enviar caracteres de escape. O valor predeterminado é ~. Substituír retroceso Substitúe o valor de retroceso predeterminado de CTRL+? (127) con CTRL+h (8). Menú de encendido O comando para abrir o menú de encendido é ~p e habilita o comando de encendido do shell para a
o usuario pode controlar a conexión de enerxía a un dispositivo xestionado desde a liña de comandos cando estea conectado ao dispositivo mediante Telnet ou SSH. O dispositivo xestionado debe configurarse coa súa conexión de porto serie e de alimentación configurada.
Conexión única Isto limita o porto a unha única conexión, polo que, se varios usuarios teñen privilexios de acceso a un porto en particular, só un usuario á vez pode acceder a ese porto (é dicir, non se permite a indagación de portos).
33
Capítulo 3: Configuración do porto serie, host, dispositivo e usuario
3.1.3 Modo Dispositivo (RPC, UPS, Ambiental) Este modo configura o porto serie seleccionado para comunicarse cunha fonte de alimentación ininterrompida (UPS) controlada en serie, un controlador de enerxía remota/unidades de distribución de enerxía (RPC) ou un dispositivo de vixilancia ambiental (ambiental)
1. Seleccione o tipo de dispositivo desexado (UPS, RPC ou Ambiental)
2. Vaia á páxina de configuración do dispositivo apropiada (Serial & Network > UPS Connections, RPC Connection or Environment) tal e como se detalla no Capítulo 7.
3.1.4 ·
Modo de servidor de terminal
Seleccione o modo de servidor de terminal e o tipo de terminal (vt220, vt102, vt100, Linux ou ANSI) para activar un getty no porto serie seleccionado.
Getty configura o porto e agarda a que se faga unha conexión. Unha conexión activa nun dispositivo en serie indícase polo pin elevado de detección de portador de datos (DCD) no dispositivo en serie. Cando se detecta unha conexión, o programa getty emite un aviso de inicio de sesión: e invoca o programa de inicio de sesión para xestionar o inicio de sesión do sistema.
NOTA Ao seleccionar o modo Terminal Server desactiva o Xestor de portos para ese porto serie, polo que os datos xa non se rexistran para alertas, etc.
34
Manual de usuario
3.1.5 Modo de ponte en serie Coa ponte en serie, os datos en serie nun porto serie designado nun servidor de consola encapsúlanse en paquetes de rede e transpórtanse a través dunha rede a un segundo servidor de consola onde se representan como datos en serie. Os dous servidores de consola actúan como un cable serie virtual a través dunha rede IP. Un servidor de consola está configurado para ser o servidor. O porto serie do servidor que se vai conectar está configurado no modo de servidor de consola con RFC2217 ou RAW activado. Para o servidor da consola Cliente, o porto serie que se debe conectar debe estar configurado no modo Bridging:
· Seleccione Serial Bridging Mode e especifique o enderezo IP do servidor da consola do servidor e o enderezo do porto TCP do porto serie remoto (para a conexión RFC2217 esta será 5001-5048)
· De forma predeterminada, o cliente de conexión usa TCP RAW. Seleccione RFC2217 se este é o modo de servidor da consola que especificou no servidor da consola do servidor
· Pode protexer as comunicacións a través da Ethernet local activando SSH. Xerar e cargar claves.
3.1.6 Syslog Ademais do rexistro e supervisión integrados que se poden aplicar aos accesos de xestión conectados en serie e conectados á rede, como se explica no capítulo 6, o servidor da consola tamén se pode configurar para admitir o protocolo Syslog remoto nun porto serie por cada porto. base:
· Seleccione os campos Syslog Facility/Priority para activar o rexistro de tráfico no porto serie seleccionado nun servidor syslog; e para ordenar e actuar sobre esas mensaxes rexistradas (é dicir, redirixilas/enviar correo electrónico de alerta).
35
Capítulo 3: Configuración do porto serie, dispositivo e usuario
Por exampse o ordenador conectado ao porto serie 3 nunca debe enviar nada no seu porto de consola serie, o administrador pode configurar a Facilidade para ese porto en local0 (local0 ... local7 están destinados aos valores locais do sitio) e a Prioridade a crítico. . Con esta prioridade, se o servidor syslog do servidor da consola recibe unha mensaxe, xera unha alerta. Consulte o Capítulo 6. 3.1.7 Transmisión en directo NMEA O ACM7000-L pode proporcionar transmisión de datos GPS NMEA desde o módem GPS/celular interno. Este fluxo de datos preséntase como un fluxo de datos en serie no porto 5 dos modelos ACM.
A configuración común (velocidade en baudios, etc.) ignórase ao configurar o porto serie NMEA. Podes especificar a frecuencia de fixación (é dicir, esta taxa de fixación GPS determina a frecuencia con que se obteñen as fixacións GPS). Tamén pode aplicar a este porto todos os axustes do Modo de servidor de consola, Syslog e Serial Bridging.
Podes usar pmshell, webshell, SSH, RFC2217 ou RawTCP para acceder ao fluxo:
Por example, usando o Web Terminal:
36
Manual de usuario
3.1.8 Consolas USB
Os servidores de consola con portos USB admiten conexións de consola USB a dispositivos dunha ampla gama de provedores, incluídos Cisco, HP, Dell e Brocade. Estes portos USB tamén poden funcionar como portos serie RS-232 simples cando se conecta un adaptador USB a serie.
Estes portos USB están dispoñibles como portos de xestor de portos habituais e preséntanse numericamente no web UI despois de todos os portos serie RJ45.
O ACM7008-2 ten oito portos serie RJ45 na parte traseira do servidor da consola e catro portos USB na parte frontal. En Serial & Network > Serial Port estes están listados como
Conector # de porto
1
RJ45
2
RJ45
3
RJ45
4
RJ45
5
RJ45
6
RJ45
7
RJ45
8
RJ45
9
USB
10 USB
11 USB
12 USB
Se o ACM7008-2 en particular é un modelo móbil, tamén aparecerá o porto #13, para o GPS.
O 7216-24U ten 16 portos serie RJ45 e 24 portos USB na súa cara traseira, así como dous portos USB na parte frontal e (no modelo móbil) un GPS.
Os portos serie RJ45 preséntanse en Serial & Network > Serial Port como os números de porto 1. Os 16 portos USB posteriores levan os números de porto 24, e os portos USB dianteiros están listados nos portos 17 e 40 respectivamente. E, do mesmo xeito que co ACM41-42, se o 7008-2U particular é un modelo móbil, o GPS preséntase no porto número 7216.
Os axustes comúns (velocidade en baudios, etc.) úsanse ao configurar os portos, pero algunhas operacións poden non funcionar dependendo da implementación do chip serie USB subxacente.
3.2 Engadir e editar usuarios
O administrador utiliza esta selección de menú para crear, editar e eliminar usuarios e para definir os permisos de acceso para cada un destes usuarios.
37
Capítulo 3: Configuración do porto serie, dispositivo e usuario
Os usuarios poden estar autorizados para acceder a servizos específicos, portos serie, dispositivos de alimentación e servidores conectados á rede especificados. Estes usuarios tamén poden recibir o estado de administrador completo (con configuración completa e privilexios de xestión e acceso).
Pódense engadir usuarios aos grupos. Seis grupos están configurados por defecto:
administrador
Ofrece privilexios de configuración e xestión ilimitados.
pptpd
Permite o acceso ao servidor VPN PPTP. Os usuarios deste grupo teñen o seu contrasinal almacenado en texto claro.
dialin
Permite o acceso de marcación mediante módems. Os usuarios deste grupo teñen o seu contrasinal almacenado en texto claro.
ftp
Permite o acceso ftp e file acceso a dispositivos de almacenamento.
pmshell
Establece o shell predeterminado en pmshell.
usuarios
Ofrece aos usuarios privilexios de xestión básicos.
O grupo de administradores proporciona aos membros privilexios de administrador completos. O usuario administrador pode acceder ao servidor da consola mediante calquera dos servizos que estean habilitados en Sistema > Servizos. Tamén poden acceder a calquera dos anfitrións ou dispositivos de porto serie conectados mediante calquera dos servizos que se habilitaron para estas conexións. Só os usuarios de confianza deben ter acceso de administrador
O grupo de usuarios proporciona aos membros un acceso limitado ao servidor da consola e aos anfitrións e dispositivos serie conectados. Estes usuarios só poden acceder á sección Xestión do menú da Consola de xestión e non teñen acceso á liña de comandos ao servidor da consola. Só poden acceder a aqueles anfitrións e dispositivos en serie que foron comprobados para eles, utilizando servizos que foron habilitados
Os usuarios dos grupos pptd, dialin, ftp ou pmshell teñen restrinxido o acceso ao shell de usuario aos dispositivos xestionados designados, pero non terán acceso directo ao servidor da consola. Para engadir isto, os usuarios tamén deben ser membros dos usuarios ou dos grupos de administración
O administrador pode configurar grupos adicionais con permisos de acceso específicos para dispositivos de alimentación, portos serie e host. Os usuarios destes grupos adicionais non teñen acceso ao menú da Consola de xestión nin teñen acceso á liña de comandos ao servidor da consola.
38
Manual de usuario
O administrador pode configurar usuarios con permisos de acceso específicos para dispositivos de alimentación, portos serie e host que non sexan membros de ningún grupo. Estes usuarios non teñen acceso ao menú da Consola de Xestión nin acceso á liña de comandos ao servidor da consola. 3.2.1 Configurar un novo grupo Para configurar novos grupos e novos usuarios, e clasificar os usuarios como membros de determinados grupos:
1. Seleccione Serial & Network > Users & Groups para mostrar todos os grupos e usuarios 2. Fai clic en Add Group para engadir un novo grupo
3. Engade un nome de grupo e unha descrición para cada grupo novo e nomea os anfitrións accesibles, os portos accesibles e os puntos de venda RPC accesibles aos que os usuarios deste novo grupo poderán acceder
4. Faga clic en Aplicar 5. O administrador pode editar ou eliminar calquera grupo engadido 3.2.2 Configurar novos usuarios Para configurar novos usuarios e clasificar usuarios como membros de grupos particulares: 1. Seleccione Serial & Network > Users & Groups para mostrar todos os grupos e usuarios 2. Faga clic en Engadir usuario
39
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3. Engade un nome de usuario para cada novo usuario. Tamén pode incluír información relacionada co usuario (por exemplo, detalles de contacto) no campo Descrición. O nome de usuario pode conter de 1 a 127 caracteres alfanuméricos e os caracteres “-” “_” e “.”.
4. Especifique os grupos dos que desexa que o usuario sexa membro. 5. Engade un contrasinal confirmado para cada novo usuario. Todos os personaxes están permitidos. 6. Pódese utilizar a autenticación de clave de paso SSH. Pega as claves públicas de público/privado autorizado
pares de claves para este usuario no campo Chaves SSH autorizadas 7. Marque Desactivar autenticación de contrasinal para permitir só a autenticación de clave pública para este usuario
ao usar SSH 8. Marque Activar devolución de marcación no menú Opcións de marcación entrante para permitir unha conexión de retromarcación de saída
que se activará iniciando sesión neste porto. Introduza o número de teléfono de devolución de marcación co número de teléfono para devolver a chamada cando o usuario inicie sesión 9. Marque Hosts accesibles e/ou Portos accesibles para indicar os portos serie e os hosts conectados á rede aos que desexa que o usuario teña privilexios de acceso 10. Se hai RPC configurados, marque Accesibles RPC Outlets para especificar cales son as tomas que pode controlar o usuario (é dicir, Encender/Apagar) 11. Faga clic en Aplicar. O novo usuario poderá acceder aos Dispositivos de Rede, Portos e Puntos RPC accesibles. Se o usuario é membro do grupo, tamén pode acceder a calquera outro dispositivo/porto/toma accesible ao grupo
40
Manual de usuario
Non hai límites no número de usuarios que pode configurar nin no número de usuarios por porto serie ou host. Varios usuarios poden controlar/supervisar o único porto ou host. Non hai límites no número de grupos e cada usuario pode ser membro dun número de grupos. Un usuario non ten que ser membro de ningún grupo, pero se o usuario é membro do grupo de usuarios predeterminado, non poderá utilizar a Consola de xestión para xestionar os portos. Aínda que non hai límites, o tempo para volver configurar aumenta a medida que aumenta o número e a complexidade. Recomendamos que o número total de usuarios e grupos sexa inferior a 250. O administrador tamén pode editar a configuración de acceso para calquera usuario existente:
· Seleccione Serial & Network > Usuarios e grupos e faga clic en Editar para modificar os privilexios de acceso do usuario · Fai clic en Eliminar para eliminar o usuario · Fai clic en Desactivar para bloquear temporalmente os privilexios de acceso
3.3 Autenticación
Consulte o Capítulo 8 para obter detalles de configuración de autenticación.
3.4 Hosts de rede
Para supervisar e acceder de forma remota a un ordenador ou dispositivo conectado en rede local (denominado Host) debes identificar o Host:
1. Seleccionando Serial & Network > Network Hosts presenta todos os Hosts conectados á rede que foron habilitados para o seu uso.
2. Fai clic en Engadir anfitrión para habilitar o acceso a un novo anfitrión (ou selecciona Editar para actualizar a configuración do anfitrión existente)
41
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3. Se o host é un dispositivo de alimentación PDU ou UPS ou un servidor con control de enerxía IPMI, especifique RPC (para IPMI e PDU) ou UPS e o tipo de dispositivo. O administrador pode configurar estes dispositivos e habilitar os usuarios que teñen permiso para apagar de forma remota, etc. Consulte o Capítulo 7. En caso contrario, deixe o Tipo de dispositivo configurado en Ningún.
4. Se o servidor da consola se configurou coa supervisión distribuída de Nagios activada, tamén verá as opcións de configuración de Nagios para habilitar os servizos designados no Host para supervisar.
5. Faga clic en Aplicar. Isto crea o novo host e tamén se crea un novo dispositivo xestionado co mesmo nome.
3.5 Redes de confianza
A función Trusted Networks ofrécelle a opción de indicar enderezos IP nos que os usuarios deben estar localizados para ter acceso aos portos serie do servidor da consola:
42
Manual de usuario
1. Seleccione Serial & Network > Trusted Networks 2. Para engadir unha nova rede de confianza, seleccione Engadir regra. A falta de Normas, non hai acceso
limitacións en canto ao enderezo IP no que se poden localizar os usuarios.
3. Seleccione os portos accesibles aos que se vai aplicar a nova regra
4. Introduza o enderezo de rede da subrede á que se lle permitirá o acceso
5. Especifique o intervalo de enderezos que se deben permitir introducindo unha máscara de rede para ese intervalo de IP permitido, por exemplo
· Para permitir que todos os usuarios situados cunha conexión de rede de Clase C particular no porto designado, engada a seguinte Regra de Rede de confianza Nova:
Enderezo IP da rede
204.15.5.0
Máscara de subrede
255.255.255.0
· Para permitir que só se conecte un usuario situado nun enderezo IP específico:
Enderezo IP da rede
204.15.5.13
Máscara de subrede
255.255.255.255
· Para permitir que todos os usuarios que operan desde un rango específico de enderezos IP (por exemplo, calquera dos trinta enderezos de 204.15.5.129 a 204.15.5.158) teñan permitida a conexión ao porto designado:
Enderezo de host/subrede
204.15.5.128
Máscara de subrede
255.255.255.224
6. Faga clic en Aplicar
43
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3.6 Cascada de porto serie
Cascaded Ports permítelle agrupar servidores de consola distribuídos en clúster para que se poida configurar e acceder a un gran número de portos serie (ata 1000) a través dun enderezo IP e xestionalos a través dunha única Consola de xestión. Un servidor de consola, o Primario, controla outros servidores de consola como unidades Node e todos os portos serie das unidades Node aparecen como se formasen parte do Primario. A agrupación de Opengear conecta cada Nodo ao Primario cunha conexión SSH. Isto faise mediante a autenticación de clave pública, polo que o principal pode acceder a cada nodo mediante o par de claves SSH (en lugar de usar contrasinais). Isto garante que as comunicacións autenticadas seguras entre Primary e Nodes permitan que as unidades do servidor da consola de Node se distribúan localmente nunha LAN ou remotamente en todo o mundo.
3.6.1 Xerar e cargar automaticamente chaves SSH Para configurar a autenticación de chave pública primeiro debes xerar un par de claves RSA ou DSA e cargalos nos servidores da consola principal e do nodo. Isto pódese facer automaticamente desde Primaria:
44
Manual de usuario
1. Seleccione Sistema > Administración na Consola de xestión principal
2. Marque Xerar claves SSH automaticamente. 3. Faga clic en Aplicar
A continuación, debes seleccionar se queres xerar claves mediante RSA e/ou DSA (se non está seguro, seleccione só RSA). A xeración de cada conxunto de claves require dous minutos e as novas claves destrúen as antigas dese tipo. Mentres a nova xeración está en marcha, as funcións que dependen de chaves SSH (por exemplo, en cascada) poden deixar de funcionar ata que se actualicen co novo conxunto de claves. Para xerar claves:
1. Marque as caixas das claves que desexa xerar. 2. Fai clic en Aplicar
3. Unha vez xeradas as novas claves, fai clic na ligazón Fai clic aquí para volver. As chaves están cargadas
aos Nodos Primarios e conectados.
3.6.2 Xerar e cargar manualmente claves SSH Alternativamente, se tes un par de claves RSA ou DSA, podes cargalas nos servidores de consola principal e nodo. Para cargar a parella de chaves pública e privada no servidor da consola principal:
1. Seleccione Sistema > Administración na Consola de xestión principal
2. Navega ata a localización na que gardou a chave pública RSA (ou DSA) e cárguea na chave pública SSH RSA (DSA)
3. Navega ata a clave privada RSA (ou DSA) almacenada e cárguea na chave privada SSH RSA (DSA) 4. Fai clic en Aplicar
45
Capítulo 3: Configuración do porto serie, dispositivo e usuario
A continuación, debe rexistrar a chave pública como chave autorizada no nodo. No caso dun Primario con varios Nodos, carga unha clave pública RSA ou DSA para cada Nodo.
1. Seleccione Sistema > Administración na Consola de xestión do nodo. 2. Navegue ata a clave pública RSA (ou DSA) almacenada e cárguea na clave autorizada SSH do nodo.
3. Faga clic en Aplicar. O seguinte paso é a pegada dixital de cada nova conexión Node-Primary. Este paso valida que está a establecer unha sesión SSH para quen pensa que es. Na primeira conexión, o Node recibe unha pegada dixital do Primario que se usa en todas as conexións futuras: Para establecer a impresión dixital primeiro rexistrarse no servidor Primario como root e establecer unha conexión SSH co host remoto do Nodo:
# ssh remhost Unha vez establecida a conexión SSH, pídese que acepte a chave. Responde si e a pegada dixital engádese á lista de hosts coñecidos. Se se lle pide que proporcione un contrasinal, houbo un problema ao cargar as claves. 3.6.3 Configurar os Nodos e os seus portos en serie Comezar a configurar os Nodos e configurar os portos en serie de Nodos desde o servidor da consola principal:
1. Seleccione Serial & Network > Cascaded Ports na Consola de xestión principal: 2. Para engadir compatibilidade con clustering, seleccione Engadir nodo
Non podes engadir Nodos ata que teñas xerado chaves SSH. Para definir e configurar un nodo:
46
Manual de usuario
1. Introduza o enderezo IP remoto ou o nome DNS para o servidor da consola Node. 2. Introduza unha breve Descrición e unha etiqueta breve para o Nodo. 3. Introduza o número total de portos serie na unidade Node en Número de portos. 4. Faga clic en Aplicar. Establécese o túnel SSH entre o principal e o novo nodo
O menú Serial & Network > Cascaded Ports mostra todos os nodos e os números de porto que foron asignados no Primario. Se o servidor de consola principal ten 16 portos propios, os portos 1-16 están asignados previamente ao principal, polo que ao primeiro nodo engadido asígnaselle o número de porto 17 en diante. Unha vez engadidos todos os servidores da consola de Node, os portos serie de Node e os dispositivos conectados poden configurarse e poden acceder a eles desde o menú da Consola de xestión do principal e accesibles a través do enderezo IP do principal.
1. Seleccione Serial & Network > Serial Port e Editar apropiado para configurar os portos serie no
Nodo.
2. Seleccione Serial & Network > Usuarios e grupos axeitados para engadir novos usuarios con privilexios de acceso
aos portos serie Node (ou para ampliar os privilexios de acceso dos usuarios existentes).
3. Seleccione Serial & Network > Redes de confianza adecuada para especificar os enderezos de rede
pode acceder aos portos serie de nodos designados. 4. Seleccione o apropiado Alertas e rexistro > Alertas para configurar a Conexión do porto de nodo, Estado
Alertas de coincidencia de patróns de cambio. Os cambios de configuración feitos no Primario propáganse a todos os nodos cando fai clic en Aplicar.
3.6.4 Xestión de nodos O principal controla os portos serie de nodos. Por example, se cambia os privilexios de acceso dun usuario ou edita calquera configuración do porto serie no principal, a configuración actualizada files envíanse a cada Nodo en paralelo. Cada Nodo fai cambios nas súas configuracións locais (e só fai cambios relacionados cos seus portos serie particulares). Podes usar a Consola de xestión de nodos local para cambiar a configuración de calquera porto serie de nodos (como modificar as velocidades de transmisión). Estes cambios sobrescríbense a próxima vez que o Primario envíe unha configuración file actualizar. Aínda que o principal controla todas as funcións relacionadas co porto serie do nodo, non é o principal sobre as conexións do servidor de rede de nodos nin sobre o sistema do servidor da consola de nodos. As funcións do nodo, como a configuración de IP, SMTP e SNMP, a data e hora, o servidor DHCP deben xestionarse accedendo a cada nodo directamente e estas funcións non se sobrescriben cando se propagan os cambios de configuración desde o principal. A configuración do host de rede e IPMI do nodo debe configurarse en cada nodo.
47
Capítulo 3: Configuración do porto serie, dispositivo e usuario
A Consola de Xestión do Primario ofrece un sistema consolidado view da configuración dos portos serie propios e de todo o Node. A Primaria non ofrece un totalmente consolidado view. Por exampse queres saber quen está conectado a portos serie en cascada desde o principal, verás que Estado > Usuarios activos só mostra os usuarios activos nos portos do principal, polo que é posible que teñas que escribir scripts personalizados para proporcionar isto. view.
3.7 Redirección de porto serie (PortShare)
O software Port Share de Opengear ofrece a tecnoloxía de porto serie virtual que as súas aplicacións Windows e Linux precisan para abrir portos serie remotos e ler os datos dos dispositivos serie que están conectados ao servidor da súa consola.
PortShare ofrécese gratuitamente con cada servidor de consola e ten licenza para instalar PortShare nun ou máis ordenadores para acceder a calquera dispositivo en serie conectado a un porto de servidor de consola. PortShare para Windows O portshare_setup.exe pódese descargar desde o sitio ftp. Consulte o Manual de usuario de PortShare e o Inicio rápido para obter detalles sobre a instalación e o funcionamento. PortShare para Linux O controlador PortShare para Linux asigna o porto serie do servidor da consola a un porto de proba do host. Opengear lanzou o portshare-serial-client como unha utilidade de código aberto para Linux, AIX, HPUX, SCO, Solaris e UnixWare. Esta utilidade pódese descargar desde o sitio ftp. Este redirector de porto serie PortShare permítelle utilizar un dispositivo en serie conectado ao servidor da consola remota coma se estivese conectado ao seu porto serie local. O portshare-serial-client crea un porto pseudo tty, conecta a aplicación en serie ao porto pseudo tty, recibe datos do porto pseudo tty, transmíteos ao servidor da consola a través da rede e recibe datos do servidor da consola a través da rede e transmíteos. ao porto pseudo-tty. O .tar file pódese descargar desde o sitio ftp. Consulte o Manual de usuario de PortShare e o Inicio rápido para obter detalles sobre a instalación e o funcionamento.
48
Manual de usuario
3.8 Dispositivos xestionados
A páxina Dispositivos xestionados presenta unha páxina consolidada view de todas as conexións a un dispositivo ao que se pode acceder e supervisar a través do servidor da consola. Para view as conexións aos dispositivos, seleccione Serial & Network > Managed Devices
Esta pantalla mostra todos os dispositivos xestionados coa súa Descrición/Notas e listas de todas as conexións configuradas:
· Número de porto serie (se está conectado en serie) ou · USB (se está conectado a USB) · Enderezo IP (se está conectado a rede) · Detalles da PDU/toma de alimentación (se é o caso) e calquera conexión do SAI. Os dispositivos, como os servidores, poden ter máis dunha conexión de alimentación. (por exemplo, subministración de enerxía dual) e máis dunha conexión de rede (por exemplo, para BMC/procesador de servizo). Todos os usuarios poden view estas conexións de dispositivos xestionados seleccionando Xestionar > Dispositivos. Os administradores tamén poden editar e engadir/eliminar estes dispositivos xestionados e as súas conexións. Para editar un dispositivo existente e engadir unha nova conexión: 1. Seleccione Editar en Serial & Network > Managed Devices e prema Engadir conexión 2. Seleccione o tipo de conexión para a nova conexión (Serial, Network Host, UPS or RPC) e seleccione
a conexión da lista presentada de hosts/portos/salas non asignados configurados
49
Capítulo 3: Configuración do porto serie, dispositivo e usuario
Para engadir un novo dispositivo xestionado conectado á rede: 1. O administrador engade un novo dispositivo xestionado conectado á rede mediante Engadir host no menú Serial & Network > Network Host. Isto crea automaticamente un novo dispositivo xestionado correspondente. 2. Ao engadir un novo dispositivo de alimentación RPC ou UPS conectado á rede, configura un host de rede, desígnao como RPC ou UPS. Vaia a Conexións RPC ou Conexións UPS para configurar a conexión relevante. O dispositivo xestionado novo correspondente co mesmo nome/descrición que o host RPC/UPS non se crea ata que se completa este paso de conexión.
NOTA Os nomes das tomas na PDU recentemente creada son a toma 1 e a toma 2. Cando conectas un dispositivo xestionado concreto que recibe enerxía da toma, a toma toma o nome do dispositivo xestionado alimentado.
Para engadir un novo dispositivo xestionado conectado en serie: 1. Configure o porto serie mediante o menú Serial & Network > Serial Port (Consulte a sección 3.1 Configurar o porto serie) 2. Seleccione Serial & Network > Managed Devices e faga clic en Add Device 3. Introduza un dispositivo Nome e descrición do dispositivo xestionado
4. Faga clic en Engadir conexión e seleccione Serial e o porto que se conecta ao dispositivo xestionado
5. Para engadir unha conexión de alimentación de UPS/RPC ou de rede ou outra conexión en serie, faga clic en Engadir conexión
6. Faga clic en Aplicar
NOTA
Para configurar un dispositivo RPC UPS ou EMD conectado en serie, configure o porto serie, desígneo como Dispositivo e introduza un Nome e unha Descrición para ese dispositivo en Serial & Network > RPC Connections (ou UPS Connections or Environment). Isto crea un dispositivo xestionado novo correspondente co mesmo nome/descrición que o host RPC/UPS. Os nomes das tomas desta PDU de nova creación son a toma 1 e a toma 2. Cando conectas un dispositivo xestionado que recibe enerxía da toma, a toma toma o nome do Dispositivo xestionado alimentado.
3.9 VPN IPsec
Os ACM7000, CM7100 e IM7200 inclúen Openswan, unha implementación Linux dos protocolos IPsec (Seguridade IP), que se pode usar para configurar unha rede privada virtual (VPN). A VPN permite que varios sitios ou administradores remotos accedan ao servidor da consola e aos dispositivos xestionados de forma segura a través de Internet.
50
Manual de usuario
O administrador pode establecer conexións VPN autenticadas cifradas entre servidores de consola distribuídos en sitios remotos e unha pasarela VPN (como un enrutador Cisco que executa IOS IPsec) na súa rede de oficina central:
· Os usuarios da oficina central poden acceder de forma segura aos servidores da consola remota e aos dispositivos e máquinas de consola serie conectados na subrede da LAN de xestión na localización remota coma se fosen locais.
· Todos estes servidores de consola remota pódense supervisar cun CMS6000 na rede central · Coa conexión en serie, os datos en serie do controlador da máquina da oficina central poden ser de forma segura
conectado aos dispositivos controlados en serie nos sitios remotos O administrador de road warrior pode usar un cliente de software VPN IPsec para acceder de forma remota ao servidor da consola e a todas as máquinas da subrede LAN de xestión na localización remota.
A configuración de IPsec é bastante complexa, polo que Opengear ofrece unha interface GUI para a configuración básica como se describe a continuación. Para activar a pasarela VPN:
1. Seleccione VPN IPsec no menú Serial & Networks
2. Faga clic en Engadir e complete a pantalla Engadir túnel IPsec 3. Introduza calquera nome descritivo que desexe para identificar o túnel IPsec que está a engadir, como
WestStOutlet-VPN
51
Capítulo 3: Configuración do porto serie, dispositivo e usuario
4. Seleccione o Método de autenticación que se utilizará, xa sexa sinaturas dixitais RSA ou un segredo compartido (PSK) o Se selecciona RSA, solicitarase que faga clic aquí para xerar claves. Isto xera unha clave pública RSA para o servidor da consola (a chave pública esquerda). Localice a chave que se utilizará na pasarela remota, córtaa e péguea na clave pública dereita
o Se selecciona Segredo compartido, introduza un segredo previamente compartido (PSK). O PSK debe coincidir co PSK configurado no outro extremo do túnel
5. En Protocolo de autenticación, seleccione o protocolo de autenticación que se vai utilizar. Autentique como parte do cifrado ESP (Encapsulating Security Payload) ou por separado mediante o protocolo AH (Authentication Header).
52
Manual de usuario
6. Introduza un ID esquerdo e un ID dereito. Este é o identificador que utilizan o host/gateway local e o host/gateway remoto para a negociación e autenticación IPsec. Cada ID debe incluír unha @ e pode incluír un nome de dominio totalmente cualificado (por exemplo, left@example.com)
7. Introduza o enderezo IP ou DNS público desta pasarela VPN Opengear como Enderezo esquerdo. Podes deixar isto en branco para usar a interface da ruta predeterminada
8. En Right Address introduza o enderezo IP ou DNS público do extremo remoto do túnel (só se o extremo remoto ten un enderezo estático ou DynDNS). En caso contrario, deixa isto en branco
9. Se a pasarela VPN de Opengear está a servir como unha pasarela VPN a unha subrede local (por exemplo, o servidor da consola ten unha LAN de xestión configurada) introduza os detalles da subrede privada na subrede esquerda. Use a notación CIDR (onde o número do enderezo IP vai seguido dunha barra e o número de bits "un" na notación binaria da máscara de rede). Por example, 192.168.0.0/24 indica un enderezo IP onde se usan os primeiros 24 bits como enderezo de rede. Isto é o mesmo que 255.255.255.0. Se o acceso VPN é só ao servidor de consola e aos seus dispositivos de consola serie conectados, deixe a subrede esquerda en branco
10. Se hai unha pasarela VPN no extremo remoto, introduza os detalles da subrede privada na Subrede dereita. Use a notación CIDR e deixe en branco se só hai un host remoto
11. Seleccione Iniciar túnel se a conexión do túnel se debe iniciar desde o extremo do servidor da consola esquerda. Isto só se pode iniciar desde a pasarela VPN (esquerda) se o extremo remoto está configurado cun enderezo IP estático (ou DynDNS).
12. Faga clic en Aplicar para gardar os cambios
NOTA Os detalles da configuración configurados no servidor da consola (coñecido como o host esquerdo ou local) deben coincidir coa configuración introducida ao configurar o host/gateway remoto (dereito) ou o cliente de software. Consulte http://www.opengear.com/faq.html para obter detalles sobre a configuración destes extremos remotos
3.10 OpenVPN
Os ACM7000, CM7100 e IM7200 con firmware V3.2 e posteriores inclúen OpenVPN. OpenVPN usa a biblioteca OpenSSL para o cifrado, autenticación e certificación, o que significa que usa SSL/TSL (Secure Socket Layer/Transport Layer Security) para o intercambio de claves e pode cifrar tanto os datos como as canles de control. O uso de OpenVPN permite a creación de VPN punto a punto multiplataforma mediante X.509 PKI (Infraestrutura de clave pública) ou configuración personalizada files. OpenVPN permite o túnel seguro de datos a través dun único porto TCP/UDP nunha rede non segura, proporcionando así acceso seguro a varios sitios e administración remota segura a un servidor de consola a través de Internet. OpenVPN tamén permite o uso de enderezos IP dinámicos tanto polo servidor como polo cliente, proporcionando así mobilidade ao cliente. Por exampÉ posible que se estableza un túnel OpenVPN entre un cliente de Windows itinerante e un servidor de consola Opengear dentro dun centro de datos. A configuración de OpenVPN pode ser complexa, polo que Opengear ofrece unha interface GUI para a configuración básica como se describe a continuación. Información máis detallada está dispoñible en http://www.openvpn.net
3.10.1 Activar o OpenVPN 1. Seleccione OpenVPN no menú Serial & Networks
53
Capítulo 3: Configuración do porto serie, dispositivo e usuario
2. Fai clic en Engadir e completa a pantalla Engadir túnel OpenVPN 3. Introduza calquera nome descritivo que desexe para identificar o túnel OpenVPN que está a engadir, por exemploample
NorthStOutlet-VPN
4. Seleccione o método de autenticación que se utilizará. Para autenticarse mediante certificados, seleccione PKI (certificados X.509) ou seleccione Configuración personalizada para cargar a configuración personalizada files. As configuracións personalizadas deben almacenarse en /etc/config.
NOTA Se selecciona PKI, estableza: Certificado separado (tamén coñecido como clave pública). Este Certificado File é un *.crt file escriba a chave privada para o servidor e cada cliente. Esta chave privada File é unha chave * file tipo
Certificado e clave da autoridade de certificación primaria (CA) que se usa para asinar cada un dos servidores
e certificados de cliente. Este certificado de CA raíz é un *.crt file escriba Para un servidor, tamén pode necesitar dh1024.pem (parámetros de Diffie Hellman). Consulte http://openvpn.net/easyrsa.html para obter unha guía sobre a xestión básica de claves RSA. Para obter métodos de autenticación alternativos, consulte http://openvpn.net/index.php/documentation/howto.html#auth.
5. Seleccione o controlador de dispositivo que se vai utilizar, Tun-IP ou Tap-Ethernet. Os controladores TUN (túnel de rede) e TAP (toque de rede) son controladores de rede virtuais que admiten túnel IP e túnel Ethernet, respectivamente. TUN e TAP forman parte do núcleo de Linux.
6. Seleccione UDP ou TCP como Protocolo. UDP é o protocolo predeterminado e preferido para OpenVPN. 7. Marque ou desmarque o botón Compresión para activar ou desactivar a compresión. 8. No modo túnel, indique se este é o final do túnel do cliente ou do servidor. Ao correr como
un servidor, o servidor da consola admite varios clientes que se conectan ao servidor VPN a través do mesmo porto.
54
Manual de usuario
3.10.2 Configurar como servidor ou cliente
1. Complete os Detalles do cliente ou do servidor dependendo do modo de túnel seleccionado. o Se seleccionou Cliente, o enderezo do servidor principal é o enderezo do servidor OpenVPN. o Se seleccionou Servidor, introduza o enderezo de rede de IP Pool e a máscara de IP Pool Network para o IP Pool. A rede definida polo IP Pool Enderezo/máscara de rede utilízase para proporcionar os enderezos para conectar clientes.
2. Faga clic en Aplicar para gardar os cambios
55
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3. Para introducir certificados de autenticación e files, seleccione Xestionar OpenVPN Fileficha s. Cargue ou busque certificados de autenticación relevantes e files.
4. Aplicar para gardar os cambios. Gardado files móstranse en vermello no lado dereito do botón Cargar.
5. Para activar OpenVPN, edite o túnel OpenVPN
56
Manual de usuario
6. Marque o botón Activado. 7. Aplicar para gardar os cambios NOTA Asegúrese de que a hora do sistema do servidor da consola sexa correcta cando traballe con OpenVPN para evitar
problemas de autenticación.
8. Seleccione Estatísticas no menú Estado para verificar que o túnel estea operativo.
57
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3.10.3 Configuración do cliente e servidor Windows OpenVPN Esta sección describe a instalación e configuración dun cliente Windows OpenVPN ou un servidor Windows OpenVPN e a configuración dunha conexión VPN cun servidor de consola. Os servidores de consola xeran a configuración do cliente de Windows automaticamente desde a GUI para o segredo precompartido (clave estática File) configuracións.
Alternativamente, o software OpenVPN GUI para Windows (que inclúe o paquete estándar OpenVPN máis unha GUI de Windows) pódese descargar desde http://openvpn.net. Unha vez instalado na máquina Windows, engádese unha icona OpenVPN á Área de notificacións situada no lado dereito da barra de tarefas. Fai clic co botón dereito nesta icona para iniciar e deter as conexións VPN, editar configuracións e view rexistros.
Cando o software OpenVPN comeza a executarse, o C:Program FilesO cartafol OpenVPNconfig está escaneado para buscar .opvn files. Comprobouse de novo este cartafol para a nova configuración files sempre que se fai clic co botón dereito na icona da GUI de OpenVPN. Unha vez instalado OpenVPN, cree unha configuración file:
58
Manual de usuario
Usando un editor de texto, crea un xxxx.ovpn file e gardar en C:Program FilesOpenVPNconfig. Por example, C: Programa FilesOpenVPNconfigclient.ovpn
Un examparchivo dunha configuración de cliente de Windows OpenVPN file móstrase a continuación:
# descrición: IM4216_client cliente proto udp verbo 3 dev tun remoto 192.168.250.152 porto 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt chave c:\openvpnkeys\client-key persist-bind persist-key tun comp-lzo
Un examparchivo dunha configuración de OpenVPN Windows Server file móstrase a continuación:
servidor 10.100.10.0 255.255.255.0 porto 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeysrtvp\nkeys\nserver. clave dh c:\openvpnkeys\dh.pem comp-lzo verbo 1 syslog IM4216_OpenVPN_Server
Configuración cliente/servidor de Windows file as opcións son:
Opcións #descrición: servidor cliente proto udp proto tcp mssfix verbo
dev tun dev toque
Descrición Este é un comentario que describe a configuración. As liñas de comentarios comezan por "#" e son ignoradas por OpenVPN. Especifique se esta será unha configuración de cliente ou servidor file. Na configuración do servidor file, define o grupo de enderezos IP e a máscara de rede. Por example, servidor 10.100.10.0 255.255.255.0 Establece o protocolo en UDP ou TCP. O cliente e o servidor deben utilizar a mesma configuración. Mssfix establece o tamaño máximo do paquete. Isto só é útil para UDP se ocorren problemas.
Establecer rexistro file nivel de verbosidade. O nivel de verbosidade do rexistro pódese establecer de 0 (mínimo) a 15 (máximo). Por example, 0 = silencioso excepto erros mortais 3 = saída media, bo para uso xeral 5 = axuda coa depuración de problemas de conexión 9 = detallado, excelente para solucionar problemas Seleccione `dev tun' para crear un túnel IP enrutado ou `dev tap' para crear un túnel Ethernet. O cliente e o servidor deben utilizar a mesma configuración.
59
Capítulo 3: Configuración do porto serie, dispositivo e usuario
remoto Port Keepalive
http-proxy cafile nome>
certificadofile nome>
chavefile nome>
dhfile nome> Nobind persist-key persist-tun cipher Cifrado BF-CBC Blowfish (predeterminado) AES-128-CBC Cifrado AES DES-EDE3-CBC Triple-DES comp-lzo syslog
O nome de host/IP do servidor OpenVPN cando se opera como cliente. Introduza o nome de host DNS ou o enderezo IP estático do servidor. O porto UDP/TCP do servidor. Keepalive usa ping para manter viva a sesión de OpenVPN. 'Keepalive 10 120' emite ping cada 10 segundos e asume que o peer remoto está inactivo se non se recibiu ningún ping durante un período de 120 segundos. Se é necesario un proxy para acceder ao servidor, introduza o nome DNS do servidor proxy ou a IP e o número de porto. Introduza o certificado CA file nome e localización. O mesmo certificado CA file pode ser usado polo servidor e todos os clientes. Nota: Asegúrese de que cada `' na ruta do directorio se substitúa por ` \'. Por example, c:openvpnkeysca.crt converterase en c:\openvpnkeys\ca.crt Introduza o certificado do cliente ou servidor file nome e localización. Cada cliente debe ter o seu propio certificado e clave files. Nota: Asegúrese de que cada `' na ruta do directorio se substitúa por ` \'. Introduza o file nome e localización da chave do cliente ou servidor. Cada cliente debe ter o seu propio certificado e clave files. Nota: Asegúrese de que cada `' na ruta do directorio se substitúa por ` \'. Isto é usado só polo servidor. Introduza o camiño ata a clave cos parámetros Diffie-Hellman. `Nobind' úsase cando os clientes non precisan vincularse a un enderezo local ou un número de porto local específico. Este é o caso da maioría das configuracións do cliente. Esta opción impide a recarga de chaves durante os reinicios. Esta opción impide o peche e a reapertura dos dispositivos TUN/TAP durante os reinicios. Seleccione un cifrado criptográfico. O cliente e o servidor deben utilizar a mesma configuración.
Activa a compresión na ligazón OpenVPN. Isto debe estar activado tanto no cliente como no servidor. De xeito predeterminado, os rexistros sitúanse en syslog ou, se se executan como un servizo en Window, no Programa Files Directorio OpenVPNlog.
Para iniciar o túnel OpenVPN despois da creación da configuración cliente/servidor files: 1. Fai clic co botón dereito na icona de OpenVPN na Área de notificacións 2. Selecciona a configuración do cliente ou servidor recén creada. 3. Faga clic en Conectar
4. O rexistro file aparece a medida que se establece a conexión
60
Manual de usuario
5. Unha vez establecido, a icona de OpenVPN mostra unha mensaxe que indica unha conexión exitosa e a IP asignada. Esta información, así como o momento en que se estableceu a conexión, está dispoñible desprazándose sobre a icona de OpenVPN.
3.11 PPTP VPN
Os servidores de consola inclúen un servidor PPTP (Point-to-Point Tunneling Protocol). PPTP úsase para comunicacións a través dunha ligazón en serie física ou virtual. Os extremos PPP definen un enderezo IP virtual para si mesmos. As rutas ás redes pódense definir con estes enderezos IP como pasarela, o que fai que o tráfico se envíe polo túnel. PPTP establece un túnel entre os puntos finais físicos de PPP e transporta datos de forma segura a través do túnel.
O punto forte de PPTP é a súa facilidade de configuración e integración na infraestrutura existente de Microsoft. Xeralmente úsase para conectar clientes remotos únicos de Windows. Se leva o seu ordenador portátil de viaxe de negocios, pode marcar un número local para conectarse co seu fornecedor de servizos de acceso a Internet (ISP) e crear unha segunda conexión (túnel) na súa rede de oficina a través de Internet e ter o mesmo acceso á súa rede corporativa coma se estiveses conectado directamente desde a túa oficina. Os teletraballadores tamén poden configurar un túnel VPN a través do seu módem por cable ou ligazóns DSL ao seu ISP local.
61
Capítulo 3: Configuración do porto serie, dispositivo e usuario
Para configurar unha conexión PPTP desde un cliente remoto de Windows ao teu dispositivo Opengear e á rede local:
1. Active e configure o servidor VPN PPTP no seu dispositivo Opengear 2. Configure contas de usuario VPN no dispositivo Opengear e active o
autenticación 3. Configure os clientes VPN nos sitios remotos. O cliente non precisa de software especial xa que
o servidor PPTP admite o software cliente PPTP estándar incluído con Windows NT e posterior 4. Conéctese á VPN remota 3.11.1 Activar o servidor VPN PPTP 1. Seleccione PPTP VPN no menú Serial & Networks
2. Seleccione a caixa de verificación Activar para activar o servidor PPTP. 3. Seleccione a autenticación mínima necesaria. Négase o acceso aos usuarios remotos que o intenten
conectarse usando un esquema de autenticación máis débil que o esquema seleccionado. Os esquemas descríbense a continuación, do máis forte ao máis débil. · Autenticación cifrada (MS-CHAP v2): o tipo de autenticación máis forte para usar; isto é
a opción recomendada · Autenticación con cifrado débil (CHAP): este é o tipo máis débil de contrasinal cifrado
autenticación para usar. Non se recomenda que os clientes se conecten usando isto xa que ofrece moi pouca protección por contrasinal. Teña en conta tamén que os clientes que se conectan mediante CHAP non poden cifrar o tráfico
62
Manual de usuario
· Autenticación sen cifrar (PAP): esta é a autenticación de contrasinal de texto simple. Cando se utiliza este tipo de autenticación, o contrasinal do cliente transmítese sen cifrar.
· Ningún 4. Seleccione o Nivel de cifrado necesario. Négase acceso aos usuarios remotos que intentan conectarse
que non están usando este nivel de cifrado. 5. En Enderezo local, introduza o enderezo IP para asignar ao final da conexión VPN do servidor. 6. En Enderezos remotos, introduza o grupo de enderezos IP para asignar á VPN do cliente entrante.
conexións (por exemplo, 192.168.1.10-20). Este debe ser un enderezo IP gratuíto ou un intervalo de enderezos da rede que os usuarios remotos teñen asignados mentres están conectados ao dispositivo Opengear 7. Introduza o valor desexado da Unidade de transmisión máxima (MTU) para as interfaces PPTP no campo MTU (por defecto é 1400) 8. No campo Servidor DNS, introduza o enderezo IP do servidor DNS que asigna enderezos IP aos clientes PPTP conectados 9. No campo Servidor WINS, introduza o enderezo IP do servidor WINS que asigna enderezos IP ao cliente PPTP conectado. 10. Active o Rexistro detallado para axudar na depuración de problemas de conexión 11. Faga clic en Aplicar configuración 3.11.2 Engadir un usuario PPTP 1. Seleccione Usuarios e grupos no menú Serie e redes e complete os campos tal e como se indica na sección 3.2. 2. Asegúrese de marcar o grupo pptpd para permitir o acceso ao servidor VPN PPTP. Nota: os usuarios deste grupo teñen os seus contrasinais almacenados en texto claro. 3. Tome nota do nome de usuario e do contrasinal para cando necesite conectarse á conexión VPN. 4. Faga clic en Aplicar
63
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3.11.3 Configurar un cliente PPTP remoto Asegúrese de que o PC cliente VPN remoto teña conectividade a Internet. Para crear unha conexión VPN a través de Internet, debes configurar dúas conexións de rede. Unha conexión é para o ISP e a outra para o túnel VPN ata o dispositivo Opengear. NOTA Este procedemento configura un cliente PPTP no sistema operativo Windows Professional. Os pasos
pode variar lixeiramente dependendo do seu acceso á rede ou se está a usar unha versión alternativa de Windows. Hai instrucións máis detalladas dispoñibles en Microsoft web sitio. 1. Inicie sesión no seu cliente de Windows con privilexios de administrador 2. Desde o Centro de redes e recursos compartidos no Panel de control, seleccione Conexións de rede e cree unha nova conexión
64
Manual de usuario
3. Seleccione Usar a miña conexión a Internet (VPN) e introduza o enderezo IP do dispositivo Opengear Para conectar clientes VPN remotos á rede local, cómpre coñecer o nome de usuario e o contrasinal da conta PPTP que engadiu, así como a IP de Internet. enderezo do aparello Opengear. Se o teu ISP non che asignou un enderezo IP estático, considera usar un servizo DNS dinámico. En caso contrario, deberá modificar a configuración do cliente PPTP cada vez que cambie o seu enderezo IP de Internet.
65
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3.12 Chamar a casa
Todos os servidores de consola inclúen a función Call Home que inicia a configuración dun túnel SSH seguro desde o servidor da consola ata un Opengear Lighthouse centralizado. O servidor da consola rexístrase como candidato no Lighthouse. Unha vez aceptado alí, pasa a ser un Servidor de Consola Xestionada.
Lighthouse supervisa o servidor de consola xestionada e os administradores poden acceder ao servidor remoto de consola xestionada a través de Lighthouse. Este acceso está dispoñible mesmo cando o servidor de consola remota está detrás dun firewall de terceiros ou ten un enderezo IP privado non enrutable.
NOTA
Lighthouse mantén conexións SSH autenticadas de clave pública a cada un dos seus servidores de consola xestionada. Estas conexións utilízanse para supervisar, dirixir e acceder aos servidores da consola xestionada e aos dispositivos xestionados conectados ao servidor da consola xestionada.
Para xestionar servidores de consola local ou servidores de consola aos que se pode acceder desde Lighthouse, as conexións SSH son iniciadas por Lighthouse.
Para xestionar servidores de consola remota ou servidores de consola que teñan firewall, que non sexan enrutables ou que non sexan accesibles desde Lighthouse, as conexións SSH son iniciadas polo Managed ConsoleServer mediante unha conexión inicial de Call Home.
Isto garante comunicacións seguras e autenticadas e permite que as unidades dos servidores de consola xestionada se distribúan localmente nunha LAN ou remotamente en todo o mundo.
3.12.1 Configurar o candidato de Call Home Para configurar o servidor da consola como candidato de xestión de Call Home no Lighthouse:
1. Seleccione Chamar a casa no menú Serie e rede
2. Se aínda non xerou ou cargou un par de claves SSH para este servidor de consola, faino antes de continuar
3. Faga clic en Engadir
4. Introduza o enderezo IP ou o nome DNS (por exemplo, o enderezo DNS dinámico) do Lighthouse.
5. Introduza o contrasinal que configurou no CMS como contrasinal de chamada a casa.
66
Manual de usuario
6. Faga clic en Aplicar. Estes pasos inician a conexión Call Home desde o servidor da consola ata o Lighthouse. Isto crea un porto SSHlistening no Lighthouse e configura o servidor da consola como candidato.
Unha vez que o candidato foi aceptado no Lighthouse, un túnel SSH ao servidor da consola é redirixido a través da conexión Call Home. O servidor de consola converteuse nun servidor de consola xestionada e o Lighthouse pode conectarse e supervisalo a través deste túnel. 3.12.2 Aceptar o candidato de Call Home como servidor de consola xestionada en Lighthouse Esta sección ofreceview sobre a configuración do Lighthouse para supervisar os servidores Lighthouse da consola que están conectados mediante Call Home. Para máis detalles, consulte a Guía do usuario de Lighthouse:
1. Introduza un novo contrasinal de chamada a casa no Lighthouse. Este contrasinal úsase para aceptar
Chama a Homeconnections desde servidores de consola candidatos
2. O servidor da consola pódese contactar co Lighthouse, debe ter unha IP estática
dirección ou, se DHCP, estar configurado para usar un servizo DNS dinámico
A pantalla Configurar > Servidores de consola xestionada no Lighthouse mostra o estado de
Servidores e candidatos de consolas xestionadas locais e remotas.
A sección Servidores de consola xestionada mostra os servidores de consola que está a supervisar
Lighthouse.A sección Servidores de consola detectados contén:
o O menú despregable Servidores de consola local que enumera todos os servidores de consola que están no
mesma subrede que o Lighthouse e non se están monitorizando
67
Capítulo 3: Configuración do porto serie, dispositivo e usuario
o O menú despregable Servidores de consola remota que enumera todos os servidores de consola que estableceron unha conexión Call Home e que non están sendo monitorizados (é dicir, candidatos). Podes facer clic en Actualizar para actualizar
Para engadir un candidato de servidor de consola á lista Servidor de consola xestionada, selecciónao na lista despregable Servidores de consola remota e fai clic en Engadir. Introduza o enderezo IP e o porto SSH (se estes campos non se completaron automaticamente) e introduza unha descrición e un nome único para o servidor de Consola xestionada que está a engadir
Introduza o contrasinal de raíz remota (é dicir, o contrasinal do sistema que se estableceu neste servidor de Consola xestionada). Este contrasinal é usado polo Lighthouse para propagar as claves SSH xeradas automaticamente e non se almacena. Fai clic en Aplicar. O Lighthouse configura conexións SSH seguras desde e desde o servidor da consola xestionada e recupera os seus dispositivos xestionados, os detalles da conta de usuario e as alertas configuradas. pode configurar a configuración avanzada: · Introduza o porto do servidor SSH e o usuario SSH. · Introduza os detalles para o reenvío de portos SSH para crear
Ao seleccionar Listening Server, pode crear un reenvío de porto remoto desde o servidor a esta unidade ou un reenvío de porto local desde esta unidade ao servidor:
68
Manual de usuario
· Especifique un porto de escoita desde o que reenviar, deixe este campo en branco para asignar un porto non utilizado · Introduza o servidor de destino e o porto de destino que serán o destinatario das conexións reenviadas
3.13 Paso IP
IP Passthrough utilízase para facer que unha conexión de módem (por exemplo, o módem móbil interno) apareza como unha conexión Ethernet normal a un enrutador descendente de terceiros, permitindo que o enrutador descendente use a conexión de módem como unha interface WAN primaria ou secundaria.
O dispositivo Opengear fornece o enderezo IP do módem e os detalles DNS ao dispositivo posterior a través de DHCP e pasa o tráfico de rede para e dende o módem e o enrutador.
Mentres IP Passthrough converte un Opengear nunha media ponte de módem a Ethernet, algúns servizos de capa 4 (HTTP/HTTPS/SSH) poden finalizar no Opengear (Service Intercepts). Ademais, os servizos que se executan no Opengear poden iniciar conexións móbiles de saída independentemente do enrutador posterior.
Isto permite que o Opengear siga utilizándose para a xestión e alertas fóra de banda e tamén se xestione a través de Lighthouse, mentres está en modo IP Passthrough.
3.13.1 Configuración do enrutador descendente Para utilizar a conectividade de conmutación por fallo no enrutador de baixada (tamén coñecido como Failover to Cellular ou F2C), debe ter dúas ou máis interfaces WAN.
NOTA A conmutación por fallo no contexto IP Passthrough realízaa o enrutador posterior e a lóxica de conmutación por fallo fóra de banda integrada no Opengear non está dispoñible mentres está en modo IP Passthrough.
Conecte unha interface WAN Ethernet do enrutador posterior á interface de rede de Opengear ou ao porto LAN de xestión cun cable Ethernet.
Configure esta interface no enrutador posterior para recibir a súa configuración de rede a través de DHCP. Se é necesaria a conmutación por fallo, configure o enrutador posterior para a conmutación por fallo entre a súa interface principal e o porto Ethernet conectado ao Opengear.
3.13.2 Configuración previa de IP Passthrough Os pasos previos para habilitar IP Passthrough son:
1. Configure a interface de rede e, se é o caso, as interfaces da LAN de xestión con axustes de rede estáticas. · Faga clic en Serial & Network > IP. · Para Interface de rede e, se é o caso, LAN de xestión, seleccione Estático para o Método de configuración e introduza a configuración da rede (consulte a sección Configuración da rede para obter instrucións detalladas). · Para a interface conectada ao enrutador descendente, pode escoller calquera rede privada dedicada, esta rede só existe entre o enrutador Opengear e ascendente e normalmente non é accesible. · Para a outra interface, configúraa como faría normalmente na rede local. · Para ambas as interfaces, deixe Gateway en branco.
2. Configure o módem no modo Always On Fóra de banda.
69
Capítulo 3: Configuración do porto serie, dispositivo e usuario
· Para unha conexión móbil, faga clic en Sistema > Marcar: Módem móbil interno. · Seleccione Activar a marcación externa e introduza os detalles do operador como APN (consulte a sección Módem móbil
Conexión para instrucións detalladas). 3.13.3 Configuración IP Passthrough Para configurar IP Passthrough:
· Faga clic en Serial & Network > IP Passthrough e marque Activar. · Seleccione o módem Opengear para usar para a conectividade ascendente. · Opcionalmente, introduza o enderezo MAC da interface conectada do enrutador posterior. Se o enderezo MAC é
non especificado, o Opengear pasará ao primeiro dispositivo posterior que solicite un enderezo DHCP. · Seleccione a interface Ethernet de Opengear para usar para a conectividade ao enrutador posterior.
· Fai clic en Aplicar. 3.13.4 Interceptos de servizos Estes permiten que Opengear siga prestando servizos, por exemploample, para a xestión fóra de banda cando está en modo IP Passthrough. As conexións ao enderezo do módem nos portos de interceptación especificados son xestionadas polo Opengear en lugar de pasar ao enrutador posterior.
· Para o servizo necesario de HTTP, HTTPS ou SSH, marque Habilitar · Modifique opcionalmente o porto de interceptación a un porto alternativo (por exemplo, 8443 para HTTPS), isto é útil se
quere seguir permitindo que o enrutador posterior siga sendo accesible a través do seu porto normal. 3.13.5 Estado de paso de IP Actualizar a páxina a view a sección Estado. Mostra o enderezo IP externo do módem que se está a pasar, o enderezo MAC interno do enrutador posterior (só se encher cando o enrutador posterior acepta o contrato de arrendamento DHCP) e o estado xeral de execución do servizo IP Passthrough. É posible que se lle avise do estado de conmutación por fallo do enrutador posterior configurando unha comprobación de uso de datos encamiñados en Alertas e rexistro > Resposta automática. 3.13.6 Advertencias Algúns enrutadores posteriores poden ser incompatibles coa ruta da pasarela. Isto pode ocorrer cando IP Passthrough está a conectar unha rede móbil 3G onde o enderezo da pasarela é un enderezo de destino punto a punto e non hai información de subrede dispoñible. O Opengear envía unha máscara de rede DHCP de 255.255.255.255. Normalmente, os dispositivos constrúen isto como unha única ruta de host na interface, pero algúns dispositivos máis antigos poden ter problemas.
70
Manual de usuario
As intercepcións dos servizos locais non funcionarán se o Opengear está a usar unha ruta predeterminada que non sexa o módem. Ademais, non funcionarán a non ser que o servizo estea habilitado e o acceso ao servizo estea habilitado (consulte Sistema > Servizos, na pestana Acceso ao servizo, busque Dialout/Cellular).
Admítense conexións de saída desde Opengear a servizos remotos (por exemplo, envío de alertas por correo electrónico SMTP, trampas SNMP, obtención de tempo NTP, túneles IPSec). Hai un pequeno risco de falla de conexión se tanto o Opengear como o dispositivo posterior tentan acceder ao mesmo porto UDP ou TCP no mesmo host remoto ao mesmo tempo cando escolleron aleatoriamente o mesmo número de porto local de orixe.
3.14 Configuración a través de DHCP (ZTP)
Os dispositivos Opengear pódense aprovisionar durante o seu arranque inicial desde un servidor DHCPv4 ou DHCPv6 mediante config-over-DHCP. O aprovisionamento en redes non fiables pódese facilitar proporcionando claves nunha unidade flash USB. A funcionalidade ZTP tamén se pode usar para realizar unha actualización de firmware na conexión inicial á rede ou para rexistrarse nunha instancia de Lighthouse 5.
Preparación Os pasos típicos para a configuración nunha rede de confianza son:
1. Configure un dispositivo Opengear do mesmo modelo. 2. Garda a súa configuración como unha copia de seguranza de Opengear (.opg) file. 3. Seleccione Sistema > Copia de seguranza da configuración > Copia de seguranza remota. 4. Faga clic en Gardar copia de seguranza. Unha configuración de copia de seguridade file — model-name_iso-format-date_config.opg — descárgase do dispositivo Opengear ao sistema local. Pode gardar a configuración como xml file: 1. Seleccione Sistema > Copia de seguranza da configuración > Configuración XML. Un campo editable que contén o
configuración file aparece en formato XML. 2. Fai clic no campo para activalo. 3. Se está a executar calquera navegador en Windows ou Linux, prema co botón dereito do rato e escolla Seleccionar todo desde a
menú contextual ou prema Control-A. Fai clic co botón dereito e selecciona Copiar no menú contextual ou preme Control-C. 4. Se está a usar calquera navegador en macOS, escolla Editar > Seleccionar todo ou prema Comando-A. Escolla Editar > Copiar ou prema Comando-C. 5. No seu editor de texto preferido, cree un novo documento baleiro, pegue os datos copiados no documento baleiro e garde o file. O que sexa file-nome que escolla, debe incluír o .xml filesufixo do nome. 6. Copie o .opg ou .xml gardado file a un directorio público en a file servidor que serve polo menos un dos seguintes protocolos: HTTPS, HTTP, FTP ou TFTP. (Só se pode usar HTTPS se a conexión entre o file servidor e un dispositivo Opengear por configurar viaxa por unha rede non fiable). 7. Configure o seu servidor DHCP para incluír unha opción "específica do provedor" para os dispositivos Opengear. (Isto farase dun xeito específico do servidor DHCP.) A opción específica do vendedor debe establecerse nunha cadea que conteña o URL dos .opg ou .xml publicados file no paso anterior. A cadea de opcións non debe superar os 250 caracteres e debe rematar en .opg ou .xml.
71
Capítulo 3: Configuración do porto serie, dispositivo e usuario
8. Conecte un novo dispositivo Opengear, xa sexa con restablecemento de fábrica ou con configuración borrada, á rede e aplique enerxía. O dispositivo pode tardar ata 5 minutos en reiniciarse.
Example Configuración do servidor ISC DHCP (dhcpd).
O seguinte é un exampfragmento de configuración do servidor DHCP de ficheiro para servir unha imaxe de configuración .opg a través do servidor DHCP ISC, dhcpd:
opción espazo opengear código ancho 1 lonxitude ancho 1; opción opengear.config-url código 1 = texto; clase "opengear-config-over-dhcp-test" {
coincide se a opción identificador-clase do vendedor ~~ "^Opengear/"; fornecedor-opción-espazo opengear; opción opengear.config-url "https://example.com/opg/${class}.opg”; }
Esta configuración pódese modificar para actualizar a imaxe de configuración usando o opengear.image-url opción e proporcionando un URI á imaxe do firmware.
Configurar cando a LAN non é fiable Se a conexión entre o file servidor e un dispositivo Opengear por configurar inclúe unha rede non fiable, un enfoque a dúas mans pode mitigar o problema.
NOTA Este enfoque introduce dous pasos físicos nos que a confianza pode ser difícil, se non imposible, de establecer completamente. En primeiro lugar, a cadea de custodia desde a creación da unidade flash USB que transporta datos ata a súa implantación. En segundo lugar, as mans que conectan a unidade flash USB ao dispositivo Opengear.
· Xerar un certificado X.509 para o dispositivo Opengear.
· Concatena o certificado e a súa clave privada nun único file chamado cliente.pem.
· Copia client.pem nunha unidade flash USB.
· Configure un servidor HTTPS para que acceda a .opg ou .xml file está restrinxido aos clientes que poden proporcionar o certificado de cliente X.509 xerado anteriormente.
· Coloque unha copia do certificado CA que asinou o certificado do servidor HTTP — ca-bundle.crt — na unidade flash USB que leva client.pem.
· Insira a unidade flash USB no dispositivo Opengear antes de conectar a enerxía ou a rede.
· Continúe co procedemento desde `Copiar o .opg ou .xml gardado file a un directorio público en a file servidor' anterior usando o protocolo HTTPS entre o cliente e o servidor.
Prepare unha unidade USB e cree o certificado X.509 e a clave privada
· Xera o certificado CA para que se poidan asinar as solicitudes de sinatura de certificados (CSR) do cliente e do servidor.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Este procedemento xera un certificado chamado ExampleCA pero pódese usar calquera nome de certificado permitido. Ademais, este procedemento usa openssl ca. Se a súa organización dispón dun proceso de xeración de CA seguro para toda a empresa, debería utilizarse no seu lugar.
72
Manual de usuario
· Xerar o certificado do servidor.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
- chavefile ca.key -policy policy_anything -batch -notext
NOTA O nome de host ou o enderezo IP debe ser a mesma cadea que se utiliza na publicación URL. No example anterior, o nome do servidor é demo.example.com.
· Xerar o certificado de cliente.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
- chavefile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatear unha unidade flash USB como un único volume FAT32.
· Move o cliente.pem e ca-bundle.crt files no directorio raíz da unidade flash.
Depuración de problemas de ZTP Use a función de rexistro de ZTP para depurar problemas de ZTP. Mentres o dispositivo tenta realizar operacións ZTP, a información do rexistro escríbese en /tmp/ztp.log no dispositivo.
O seguinte é un example do rexistro file dunha execución exitosa de ZTP.
# cat /tmp/ztp.log Mér 13 de decembro 22:22:17 UTC 2017 [aviso 5127] odhcp6c.eth0: restaurando a configuración mediante DHCP Mér 13 de decembro 22:22:17 UTC 2017 [Aviso 5127] odhcp6c.eth0: esperando para que a rede se resolva Mér. 10 de decembro 13:22:22 UTC 27 [2017 aviso] odhcp5127c.eth6: NTP omitido: ningún servidor Mér. 0 de decembro 13:22:22 UTC 27 [2017 información] odhcp5127c.eth6: 'vendorspec.0 = ' http://[fd1:07:2218:1350::44]/tftpboot/config.sh' Mér 1 de decembro 13:22:22 UTC 27 [2017 información] odhcp5127c.eth6: vendorspec.0 (n/a) Mér 2 de decembro 13:22:22 UTC 27 [2017 información] odhcp5127c.eth6: vendorspec.0 (n/a) Mér 3 de decembro 13:22:22 UTC 27 [2017 información] odhcp5127c.eth6: vendorspec.0 (n/a) ) Mér 4 de decembro 13:22:22 UTC 27 [2017 información] odhcp5127c.eth6: vendorspec.0 (n/a) Mér 5 de decembro 13:22:22 UTC 28 [2017 información] odhcp5127c.eth6: vendorspec.0 (n/a) /a) Mér. 6 de decembro 13:22:22 UTC 28 [2017 información] odhcp5127c.eth6: non hai firmware para descargar (vendorspec.0) backup-url: probando http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: forzando o modo de configuración wan a copia de seguridade DHCP-url: configurando o nome de host en acm7004-0013c601ce97 backup-url: carga con éxito Mér 13 de decembro 22:22:36 UTC 2017 [aviso 5127] odhcp6c.eth0: carga de configuración exitosa Mér 13 de decembro 22:22:36 UTC 2017 [5127 información] odhcp6c.eth0: sen configuración do faro/ (vendorspec.3) 4/5/6) Mér. 13 de decembro 22:22:36 UTC 2017 [aviso 5127] odhcp6c.eth0: o aprovisionamento completou, non se reinicia
Os erros están rexistrados neste rexistro.
3.15 Inscrición en Faro
Use Enrollment into Lighthouse para rexistrar dispositivos Opengear nunha instancia de Lighthouse, proporcionando acceso centralizado aos portos de consola e permitindo a configuración central dos dispositivos Opengear.
Consulte a Guía de usuario de Lighthouse para obter instrucións para rexistrar dispositivos Opengear en Lighthouse.
73
Capítulo 3: Configuración do porto serie, dispositivo e usuario
3.16 Activar a retransmisión DHCPv4
Un servizo de retransmisión DHCP reenvía os paquetes DHCP entre clientes e servidores DHCP remotos. O servizo de retransmisión DHCP pódese activar nun servidor de consola Opengear, de xeito que escoite os clientes DHCP nas interfaces inferiores designadas, envolve e reenvíe as súas mensaxes aos servidores DHCP mediante o enrutamento normal ou ben se transmita directamente nas interfaces superiores designadas. O axente de retransmisión DHCP recibe así mensaxes DHCP e xera unha nova mensaxe DHCP para enviar a outra interface. Nos pasos que se indican a continuación, os servidores da consola poden conectarse a ID de circuíto, Ethernet ou módems celulares mediante o servizo de retransmisión DHCPv4.
DHCPv4 Relay + DHCP Opción 82 (circuit-id) Infraestrutura: servidor DHCP local, ACM7004-5 para retransmisión, calquera outro dispositivo para clientes. Calquera dispositivo con función LAN pódese usar como relé. Neste example, o 192.168.79.242 é o enderezo para a interface de retransmisión do cliente (tal e como se define na configuración do servidor DHCP file arriba) e 192.168.79.244 é o enderezo da interface superior da caixa de relés, e enp112s0 é a interface posterior do servidor DHCP.
1 Infraestrutura: relé DHCPv4 + opción DHCP 82 (ID de circuíto)
Pasos no servidor DHCP 1. Configure o servidor DHCP v4 local, en particular, debería conter unha entrada "host" como se indica a continuación para o cliente DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; opción de identificador de host agent.circuit-id “relé1”; enderezo fixo 192.168.79.242; } Nota: a liña "hardware Ethernet" está desactivada, polo que o servidor DHCP fará uso da configuración "circuit-id" para asignar un enderezo ao cliente relevante. 2. Reinicie o servidor DHCP para volver cargar a súa configuración modificada file. pkill -HUP dhcpd
74
Manual de usuario
3. Engade manualmente unha ruta de host á interface "retransmitida" do cliente (a interface detrás do relé DHCP, non outras interfaces que o cliente tamén pode ter:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Isto axudará a evitar o problema de enrutamento asimétrico cando o cliente e o servidor DHCP queiran acceder entre eles a través da interface de retransmisión do cliente, cando o cliente teña outras interfaces na mesma. subrede do grupo de enderezos DHCP.
Nota: Este paso é imprescindible para que o servidor dhcp e o cliente poidan acceder entre eles.
Pasos da caixa de relés - ACM7004-5
1. Configure WAN/eth0 en modo estático ou dhcp (non en modo desconfigurado). Se está en modo estático, debe ter un enderezo IP dentro do grupo de enderezos do servidor DHCP.
2. Aplique esta configuración a través da CLI (onde 192.168.79.1 é o enderezo do servidor DHCP)
config -s config.services.dhcprelay.enabled=en config -s config.services.dhcprelay.lowers.lower1.circuit_id=relé1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. A interface inferior do relé DHCP debe ter un enderezo IP estático dentro do grupo de enderezos do servidor DHCP. Neste example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=config estática -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Agarde un pouco a que o cliente adquira un contrato de arrendamento DHCP a través do relé.
Pasos sobre o cliente (CM7116-2-dac neste example ou calquera outro OG CS)
1. Conecte a LAN/eth1 do cliente á LAN/eth1 do relé 2. Configure a LAN do cliente para obter o enderezo IP a través de DHCP como é habitual 3. Unha vez que
Documentos/Recursos
 |
Opengear ACM7000 Remote Site Gateway [pdfManual do usuario ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway |