Opengear ACM7000 Remote Site Gateway korisnički priručnik

Nemojte spajati ili odspajati poslužitelj konzole tijekom grmljavinske oluje. Uvijek koristite prigušivač prenapona ili UPS kako biste zaštitili opremu od prijelaznih pojava.

FCC upozorenje:

Ovaj je uređaj u skladu s dijelom 15 FCC pravila. Rad ovog uređaja podložan je sljedećim uvjetima: (1) Ovaj uređaj ne smije uzrokovati štetne smetnje i (2) ovaj uređaj mora prihvatiti sve smetnje koje mogu uzrokovati neželjeni rad.

FAQ

P: Mogu li koristiti ACM7000 Remote Site Gateway tijekom grmljavinske oluje?
- A: Ne, savjetuje se da ne spajate ili odspajate poslužitelj konzole tijekom grmljavinske oluje kako biste spriječili štetu.

P: S kojom verzijom FCC pravila je uređaj u skladu?
- A: Uređaj je u skladu s dijelom 15 FCC pravila.

View Fullscreen

korisnički priručnik
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Verzija 5.0 – 2023-12

Sigurnost
Slijedite sigurnosne mjere opreza u nastavku kada instalirate i koristite konzolni poslužitelj: · Ne uklanjajte metalne poklopce. Unutra nema komponenti koje operater može servisirati. Otvaranje ili uklanjanje poklopca može vas izložiti opasnoj voltage koji mogu izazvati požar ili strujni udar. Sve usluge prepustite kvalificiranom osoblju tvrtke Opengear. · Kako biste izbjegli strujni udar, zaštitni vodič za uzemljenje kabela za napajanje mora biti spojen na uzemljenje. · Uvijek povucite utikač, a ne kabel, kada isključujete kabel za napajanje iz utičnice.
Nemojte spajati ili odspajati poslužitelj konzole tijekom grmljavinske oluje. Također koristite prigušivač prenapona ili UPS za zaštitu opreme od prijelaznih pojava.
Izjava upozorenja FCC-a
Ovaj je uređaj u skladu s dijelom 15 FCC pravila. Rad ovog uređaja ovisi o sljedećem
uvjeti: (1) Ovaj uređaj ne smije uzrokovati štetne smetnje i (2) ovaj uređaj mora prihvatiti sve smetnje koje mogu uzrokovati neželjeni rad.
Ispravni rezervni sustavi i potrebni sigurnosni uređaji trebaju se koristiti za zaštitu od ozljeda, smrti ili oštećenja imovine uslijed kvara sustava. Takva zaštita je odgovornost korisnika. Ovaj konzolni poslužiteljski uređaj nije odobren za korištenje kao sustav za održavanje života ili medicinski sustav. Sve promjene ili preinake napravljene na ovom konzolnom poslužiteljskom uređaju bez izričitog odobrenja ili suglasnosti Opengeara poništit će Opengear bilo kakve obveze ili odgovornosti za ozljede ili gubitke uzrokovane bilo kakvim kvarom. Ova oprema je za unutarnju upotrebu i sve komunikacijske žice su ograničene na unutrašnjost zgrade.
2

korisnički priručnik
Autorska prava
©Opengear Inc. 2023. Sva prava pridržana. Informacije u ovom dokumentu podložne su promjenama bez prethodne najave i ne predstavljaju obvezu od strane Opengeara. Opengear daje ovaj dokument "kakav jest", bez jamstva bilo koje vrste, izričitog ili podrazumijevanog, uključujući, ali ne ograničavajući se na, podrazumijevana jamstva prikladnosti ili mogućnosti prodaje za određenu svrhu. Opengear može poboljšati i/ili promijeniti ovaj priručnik ili proizvod(e) i/ili program(e) opisane u ovom priručniku u bilo kojem trenutku. Ovaj proizvod može sadržavati tehničke netočnosti ili tipografske pogreške. Ovdje se informacije povremeno mijenjaju; ove promjene mogu biti uključene u nova izdanja publikacije.\

Poglavlje 1

Ovaj priručnik

OVAJ PRIRUČNIK

Ovaj korisnički priručnik objašnjava instalaciju, rad i upravljanje Opengear konzolnim poslužiteljima. Ovaj priručnik pretpostavlja da ste upoznati s Internetom i IP mrežama, HTTP-om, FTP-om, osnovnim sigurnosnim operacijama i internom mrežom vaše organizacije.
1.1 Vrste korisnika
Poslužitelj konzole podržava dvije klase korisnika:
· Administratori koji imaju neograničene konfiguracijske i upravljačke povlastice nad konzolom
poslužitelj i povezane uređaje kao i sve usluge i priključke za kontrolu svih serijski povezanih uređaja i mrežno povezanih uređaja (hostova). Administratori su postavljeni kao članovi korisničke grupe admin. Administrator može pristupiti konzolnom poslužitelju i kontrolirati ga pomoću uslužnog programa za konfiguriranje, naredbenog retka Linuxa ili upravljačke konzole temeljene na pregledniku.
· Korisnici kojima je administrator postavio ograničenja pristupa i ovlasti kontrole.
Korisnici imaju ograničeno view Upravljačke konzole i može pristupiti samo ovlaštenim konfiguriranim uređajima i review lučki dnevnici. Ovi korisnici su postavljeni kao članovi jedne ili više unaprijed konfiguriranih korisničkih grupa kao što su PPTPD, dialin, FTP, pmshell, korisnici ili korisničke grupe koje je administrator možda stvorio. Ovlašteni su samo za izvođenje određenih kontrola na određenim povezanim uređajima. Korisnici, kada su ovlašteni, mogu pristupiti i kontrolirati serijski ili mrežno spojene uređaje koristeći određene usluge (npr. Telnet, HHTPS, RDP, IPMI, Serijski preko LAN-a, Kontrola napajanja). Udaljeni korisnici su korisnici koji nisu na istom LAN segmentu kao poslužitelj konzole. Udaljeni korisnik može biti na putu povezujući se s upravljanim uređajima putem javnog interneta, administrator u drugom uredu koji se povezuje s konzolnim poslužiteljem preko poslovnog VPN-a ili u istoj sobi ili istom uredu, ali povezan na poseban VLAN s konzolom poslužitelj.
1.2 Upravljačka konzola
Konzola za upravljanje Opengear omogućuje vam konfiguriranje i praćenje značajki poslužitelja vaše konzole Opengear. Upravljačka konzola radi u pregledniku i pruža a view poslužitelja konzole i svih povezanih uređaja. Administratori mogu koristiti upravljačku konzolu za konfiguriranje i upravljanje konzolnim poslužiteljem, korisnicima, portovima, hostovima, uređajima za napajanje i povezanim zapisnicima i upozorenjima. Korisnici koji nisu administratori mogu koristiti upravljačku konzolu s ograničenim pristupom izborniku za kontrolu odabranih uređaja, nprview njihove zapise i pristupite im pomoću ugrađenog Web terminal.
Poslužitelj konzole pokreće ugrađeni Linux operativni sustav i može se konfigurirati u naredbenom retku. Možete dobiti pristup naredbenom retku mobilnom/pozivnom mrežom, izravnim povezivanjem na serijski konzolni/modemski priključak poslužitelja konzole ili korištenjem SSH ili Telneta za povezivanje s poslužiteljem konzole preko LAN-a (ili povezivanjem s PPTP, IPsec ili OpenVPN) .
6

korisnički priručnik
Za naredbe sučelja naredbenog retka (CLI) i napredne upute preuzmite Opengear CLI and Scripting Reference.pdf s https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Više informacija
Za više informacija, konzultirajte: · Opengear Products Web Web mjesto: pogledajte https://opengear.com/products. Da biste dobili najažurnije informacije o tome što je uključeno u vaš konzolni poslužitelj, posjetite odjeljak Što je uključeno za vaš određeni proizvod. · Vodič za brzi početak: Da biste dobili Vodič za brzi početak za svoj uređaj, pogledajte https://opengear.com/support/documentation/. · Baza znanja Opengear: Posjetite https://opengear.zendesk.com za pristup tehničkim člancima s uputama, tehničkim savjetima, često postavljanim pitanjima i važnim obavijestima. · Opengear CLI i Referenca za skriptiranje: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Poglavlje 2:

Konfiguracija sustava

SISTEMSKA KONFIGURACIJA

Ovo poglavlje daje upute korak po korak za početnu konfiguraciju vašeg konzolnog poslužitelja i njegovo povezivanje na Upravljački ili Operativni LAN. Koraci su:
Aktivirajte upravljačku konzolu. Promijenite administratorsku lozinku. Postavite glavni LAN port poslužitelja IP adrese konzole. Odaberite usluge koje želite omogućiti i privilegije pristupa. Ovo poglavlje također govori o komunikacijskim softverskim alatima koje administrator može koristiti za pristup poslužitelju konzole i konfiguraciji dodatnih LAN portova.
2.1 Veza upravljačke konzole
Vaš poslužitelj konzole dolazi konfiguriran sa zadanom IP adresom 192.168.0.1 i podmrežnom maskom 255.255.255.0 za NET1 (WAN). Za početnu konfiguraciju preporučujemo da računalo povežete izravno s konzolom. Ako odlučite povezati svoj LAN prije dovršetka početnih koraka postavljanja, provjerite sljedeće:
· Nema drugih uređaja na LAN-u s adresom 192.168.0.1. · Konzolni poslužitelj i računalo nalaze se na istom LAN segmentu, bez usmjerivača
uređaji.
2.1.1 Postavljanje povezanog računala Za konfiguriranje poslužitelja konzole s preglednikom, povezano računalo mora imati IP adresu u istom rasponu kao poslužitelj konzole (npr.ample, 192.168.0.100):
· Za konfiguraciju IP adrese vašeg Linux ili Unix računala, pokrenite ifconfig. · Za Windows računala:
1. Pritisnite Start > Postavke > Upravljačka ploča i dvaput pritisnite Mrežne veze. 2. Desnom tipkom miša kliknite Local Area Connection i odaberite Properties. 3. Odaberite Internet Protocol (TCP/IP) i kliknite Svojstva. 4. Odaberite Koristi sljedeću IP adresu i unesite sljedeće podatke:
o IP adresa: 192.168.0.100 o Podmrežna maska: 255.255.255.0 5. Ako želite zadržati postojeće IP postavke za ovu mrežnu vezu, kliknite Napredno i dodajte gore navedeno kao sekundarnu IP vezu.
2.1.2 Veza s preglednikom
Otvorite preglednik na spojenom računalu/radnoj stanici i unesite https://192.168.0.1.
Prijavite se s:
Korisničko ime> root lozinka> zadana
8

korisnički priručnik
Kada se prvi put prijavite, morate promijeniti root lozinku. Pritisnite Pošalji.
Za dovršetak promjene ponovno unesite novu lozinku. Pritisnite Pošalji. Pojavljuje se zaslon dobrodošlice.
Ako vaš sustav ima mobilni modem, dobit ćete korake za konfiguriranje značajki mobilnog usmjerivača: · Konfigurirajte vezu mobilnog modema (Sustav > Stranica Birajte. Pogledajte Poglavlje 4) · Dopustite prosljeđivanje na mobilnu odredišnu mrežu (Sustav > Stranica Vatrozid. Pogledajte Poglavlje 4) · Omogućite maskiranje IP-a za mobilnu vezu (Sustav > stranica Vatrozid. Vidite Poglavlje 4)
Nakon dovršetka svakog od gornjih koraka, možete se vratiti na popis konfiguracije klikom na logo Opengear u gornjem lijevom kutu zaslona. NAPOMENA Ako se ne možete spojiti na upravljačku konzolu na 192.168.0.1 ili ako je zadana
Korisničko ime/lozinka nisu prihvaćeni, resetirajte svoj konzolni poslužitelj (pogledajte Poglavlje 10).
9

Poglavlje 2: Konfiguracija sustava
2.2 Administratorske postavke
2.2.1 Promjena zadane root lozinke sustava Morate promijeniti root lozinku kada se prvi put prijavite na uređaj. Ovu lozinku možete promijeniti u bilo kojem trenutku.
1. Pritisnite Serial & Network > Users & Groups ili, na zaslonu dobrodošlice kliknite Promjena zadane administrativne lozinke.
2. Pomaknite se prema dolje i pronađite unos root korisnika pod Korisnici i kliknite Uredi. 3. Unesite novu lozinku u polja Password i Confirm.
NAPOMENA Provjera Spremi lozinku kroz brisanje firmvera sprema lozinku tako da se ne izbriše kada se firmver resetira. Ako se ova lozinka izgubi, potrebno je oporaviti firmver uređaja.
4. Pritisnite Primijeni. Prijavite se s novom lozinkom 2.2.2 Postavite novog administratora Stvorite novog korisnika s administrativnim ovlastima i prijavite se kao ovaj korisnik za administrativne funkcije, umjesto korištenja roota.
10

korisnički priručnik
1. Kliknite Serijski i mrežni > Korisnici i grupe. Pomaknite se do dna stranice i kliknite gumb Dodaj korisnika.
2. Unesite korisničko ime. 3. U odjeljku Grupe označite okvir za administratore. 4. Unesite lozinku u polja Password i Confirm.
5. Također možete dodati SSH ovlaštene ključeve i odabrati Onemogućiti provjeru autentičnosti lozinke za ovog korisnika.
6. Dodatne opcije za ovog korisnika mogu se postaviti na ovoj stranici uključujući Dial-in opcije, pristupačne hostove, pristupačne priključke i pristupačne RPC izlaze.
7. Pritisnite gumb Primijeni na dnu ekrana kako biste stvorili novog korisnika.
11

Poglavlje 2: Konfiguracija sustava
2.2.3 Dodajte naziv sustava, opis sustava i MOTD. 1. Odaberite Sustav > Administracija. 2. Unesite naziv sustava i opis sustava za poslužitelj konzole kako biste mu dali jedinstveni ID i olakšali prepoznavanje. Naziv sustava može sadržavati od 1 do 64 alfanumerička znaka i posebne znakove podvlake (_), minus (-) i točku (.). Opis sustava može sadržavati do 254 znaka.
3. MOTD banner se može koristiti za prikaz teksta poruke dana korisnicima. Pojavljuje se u gornjem lijevom kutu zaslona ispod logotipa Opengear.
4. Pritisnite Primijeni.
12

Poglavlje 2: Konfiguracija sustava
5. Odaberite Sustav > Administracija. 6. MOTD banner se može koristiti za prikaz teksta poruke dana korisnicima. Pojavljuje se na
gornji lijevi dio zaslona ispod Opengear logotipa. 7. Pritisnite Primijeni.
2.3 Konfiguracija mreže
Unesite IP adresu za glavni Ethernet (LAN/Network/Network1) priključak na poslužitelju konzole ili omogućite njegovom DHCP klijentu da automatski dobije IP adresu od DHCP poslužitelja. Prema zadanim postavkama, poslužitelj konzole ima omogućen DHCP klijent i automatski prihvaća bilo koju mrežnu IP adresu koju dodijeli DHCP poslužitelj na vašoj mreži. U ovom početnom stanju, poslužitelj konzole će odgovoriti i na svoju zadanu statičku adresu 192.168.0.1 i na svoju DHCP adresu.
1. Kliknite Sustav > IP i kliknite karticu Mrežno sučelje. 2. Odaberite ili DHCP ili Static za Configuration Method.
Ako odaberete Static, unesite pojedinosti o IP adresi, maski podmreže, pristupniku i DNS poslužitelju. Ovaj odabir onemogućuje DHCP klijenta.
12

korisnički priručnik
3. LAN priključak poslužitelja konzole automatski detektira brzinu Ethernet veze. Upotrijebite padajući popis Mediji za zaključavanje Etherneta na 10 Mb/s ili 100 Mb/s i na Full Duplex ili Half Duplex.
Ako naiđete na gubitak paketa ili lošu mrežnu izvedbu s postavkom Auto, promijenite postavke Ethernet medija na poslužitelju konzole i uređaju na koji je povezan. U većini slučajeva promijenite oba na 100baseTx-FD (100 megabita, full duplex).
4. Ako odaberete DHCP, poslužitelj konzole će tražiti detalje konfiguracije od DHCP poslužitelja. Ovaj odabir onemogućuje sve statičke adrese. MAC adresa poslužitelja konzole može se pronaći na naljepnici na osnovnoj ploči.
5. Možete unijeti sekundarnu adresu ili popis adresa odvojenih zarezima u CIDR notaciji, npr. 192.168.1.1/24 kao IP Alias.
6. Kliknite Primijeni. 7. Ponovno povežite preglednik na računalu koje je povezano s poslužiteljem konzole unosom
http://your new IP address.
Ako promijenite IP adresu poslužitelja konzole, morate ponovno konfigurirati svoje računalo da ima IP adresu u istom mrežnom rasponu kao nova adresa poslužitelja konzole. Možete postaviti MTU na Ethernet sučeljima. Ovo je napredna opcija koja se koristi ako vaš scenarij implementacije ne radi sa zadanim MTU od 1500 bajtova. Za postavljanje MTU kliknite Sustav > IP i kliknite karticu Mrežno sučelje. Pomaknite se prema dolje do polja MTU i unesite željenu vrijednost. Valjane vrijednosti su od 1280 do 1500 za 100-megabitna sučelja i 1280 do 9100 za gigabitna sučelja. Ako je premošćivanje ili povezivanje konfigurirano, MTU postavljen na stranici mrežnog sučelja bit će postavljen na sučelja koja su dio mosta ili veze . NAPOMENA U nekim slučajevima korisnički navedeni MTU možda neće stupiti na snagu. Neki NIC upravljački programi mogu zaokružiti prevelike MTU-ove na maksimalnu dopuštenu vrijednost, a drugi će vratiti kod pogreške. Također možete koristiti CLI naredbu za upravljanje MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 provjera
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode stateless konfiguracija .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Poglavlje 2: Konfiguracija sustava
2.3.1 IPv6 konfiguracija Ethernet sučelja poslužitelja konzole podržavaju IPv4 prema zadanim postavkama. Mogu se konfigurirati za IPv6 rad:
1. Kliknite Sustav > IP. Kliknite karticu Opće postavke i označite Omogući IPv6. Ako želite, kliknite potvrdni okvir Onemogući IPv6 za mobilnu mrežu.
2. Konfigurirajte IPv6 parametre na svakoj stranici sučelja. IPv6 se može konfigurirati za automatski način, koji će koristiti SLAAC ili DHCPv6 za konfiguriranje adresa, ruta i DNS-a, ili za statički način, koji omogućuje ručni unos informacija o adresi.
2.3.2 Konfiguracija dinamičkog DNS-a (DDNS) S dinamičkim DNS-om (DDNS), poslužitelj konzole čija je IP adresa dinamički dodijeljena može se locirati pomoću fiksnog naziva hosta ili domene. Napravite račun kod podržanog pružatelja DDNS usluga po vašem izboru. Kada postavite svoj DDNS račun, odabirete korisničko ime, lozinku i ime hosta koje ćete koristiti kao DNS ime. Davatelji DDNS usluga vam omogućuju da odaberete naziv glavnog računala URL i postavite početnu IP adresu koja odgovara tom nazivu glavnog računala URL.
14

korisnički priručnik
Omogućiti i konfigurirati DDNS na bilo kojoj Ethernet ili mobilnoj mrežnoj vezi na poslužitelju konzole. 1. Kliknite Sustav > IP i pomaknite se prema dolje u odjeljku Dinamički DNS. Odaberite svog davatelja DDNS usluga
s padajućeg popisa Dynamic DNS. Također možete postaviti DDNS informacije pod karticom Cellular Modem pod System > Dial.
2. U DDNS ime glavnog računala unesite potpuno kvalificirano DNS ime glavnog računala za vaš konzolni poslužitelj, npr. yourhostname.dyndns.org.
3. Unesite DDNS korisničko ime i DDNS lozinku za račun pružatelja DDNS usluga. 4. Odredite Maksimalni interval između ažuriranja u danima. DDNS ažuriranje bit će poslano čak i ako je
adresa nije promijenjena. 5. Odredite minimalni interval između provjera promijenjenih adresa u sekundama. Ažuriranja će
poslati ako se adresa promijenila. 6. Odredite Maksimalni broj pokušaja po ažuriranju što je broj pokušaja ažuriranja
prije odustajanja. Ovo je 3 prema zadanim postavkama. 7. Pritisnite Primijeni.
15

Poglavlje 2: Konfiguracija sustava
2.3.3 EAPoL način rada za WAN, LAN i OOBFO
(OOBFO je primjenjiv samo na IM7216-2-24E-DAC)
Nadview EAPoL-a IEEE 802.1X ili PNAC (Kontrola pristupa mreži temeljena na portu) koristi karakteristike fizičkog pristupa IEEE 802 LAN infrastrukture kako bi pružio način provjere autentičnosti i autorizacije uređaja priključenih na LAN priključak koji ima point-to- karakteristika povezivanja na točku i sprječavanja pristupa tom priključku u slučajevima kada provjera autentičnosti i autorizacija ne uspije. Priključak je u ovom kontekstu jedna točka spajanja na LAN infrastrukturu.
Kada novi bežični ili žičani čvor (WN) zatraži pristup LAN resursu, pristupna točka (AP) traži identitet WN-a. Nikakav drugi promet osim EAP-a nije dopušten prije nego što se WN autentificira ("priključak" je zatvoren ili "neautoriziran"). Bežični čvor koji zahtijeva autentifikaciju često se naziva Supplicant, Supplicant je odgovoran za odgovaranje na podatke Autentifikatora koji će uspostaviti njegove vjerodajnice. Isto vrijedi i za pristupnu točku; Autentifikator nije pristupna točka. Umjesto toga, pristupna točka sadrži Autentifikator. Autentifikator ne mora biti u pristupnoj točki; može biti vanjska komponenta. Implementirane su sljedeće metode autentifikacije:
· EAP-MD5 molitelj o EAP MD5-Challenge metoda koristi obično korisničko ime/lozinku
· EAP-PEAP-MD5 o EAP PEAP (Protected EAP) MD5 metoda provjere autentičnosti koristi korisničke vjerodajnice i CA certifikat
· EAP-TLS o EAP TLS (Transport Layer Security) metoda provjere autentičnosti zahtijeva CA certifikat, klijentski certifikat i privatni ključ.
EAP protokol, koji se koristi za autentifikaciju, izvorno je korišten za dial-up PPP. Identitet je bilo korisničko ime, a PAP ili CHAP provjera autentičnosti korištena je za provjeru korisničke lozinke. Budući da se identitet šalje čistim (ne šifriranim), zlonamjerno njuškalo može saznati identitet korisnika. Stoga se koristi "skrivanje identiteta"; pravi identitet se ne šalje prije nego što se otvori šifrirani TLS tunel.
16

korisnički priručnik
Nakon što je identitet poslan, počinje proces autentifikacije. Protokol koji se koristi između molitelja i autentifikatora je EAP (ili EAPoL). Autentifikator ponovno enkapsulira EAP poruke u RADIUS format i prosljeđuje ih poslužitelju za autentifikaciju. Tijekom provjere autentičnosti, Autentifikator prosljeđuje pakete između Supplikanta i Autentifikacijskog poslužitelja. Kada se proces provjere autentičnosti dovrši, Autentifikacijski poslužitelj šalje poruku o uspješnosti (ili neuspjehu, ako provjera autentičnosti nije uspjela). Autentifikator tada otvara "port" za molitelja. Postavkama provjere autentičnosti može se pristupiti sa stranice EAPoL Supplicant Settings. Status trenutnog EAPoL-a detaljno je prikazan na stranici Statistika statusa na kartici EAPoL:
Apstrakcija EAPoL-a na mrežnim ULOGAMA prikazana je u odjeljku "Upravitelj veze" na sučelju nadzorne ploče.
17

Poglavlje 2: Konfiguracija sustava
Dolje je prikazan bivšiample uspješne provjere autentičnosti:
Podrška za IEEE 802.1x (EAPOL) na priključcima preklopnika IM7216-2-24E-DAC i ACM7004-5: Kako bi izbjegli petlje, korisnici ne bi trebali priključiti više od jednog priključnica preklopnika na isti preklopnik više razine.
18

korisnički priručnik
2.4 Pristup usluzi i zaštita od grube sile
Administrator može pristupiti poslužitelju konzole i povezanim serijskim priključcima i upravljanim uređajima pomoću niza pristupnih protokola/usluga. Za svaki pristup
· Usluga mora prvo biti konfigurirana i omogućena za izvođenje na poslužitelju konzole. · Pristup kroz vatrozid mora biti omogućen za svaku mrežnu vezu. Da biste omogućili i konfigurirali uslugu: 1. Kliknite Sustav > Usluge i kliknite karticu Postavke usluge.

2. Omogućite i konfigurirajte osnovne usluge:

HTTP

Prema zadanim postavkama, HTTP usluga radi i ne može se u potpunosti onemogućiti. Prema zadanim postavkama, HTTP pristup je onemogućen na svim sučeljima. Preporučujemo da ovaj pristup ostane onemogućen ako se poslužitelju konzole pristupa daljinski putem interneta.
Alternativni HTTP vam omogućuje da konfigurirate alternativni HTTP port za slušanje. HTTP usluga nastavit će osluškivati TCP priključak 80 za komunikaciju CMS-a i konektora, ali će biti nedostupna kroz vatrozid.

HTTPS

Prema zadanim postavkama, HTTPS usluga radi i omogućena je na svim mrežnim sučeljima. Preporuča se koristiti samo HTTPS pristup ako se konzolnim poslužiteljem želi upravljati preko bilo koje javne mreže. To osigurava administratorima siguran pristup preglednika svim izbornicima na poslužitelju konzole. Također omogućuje prikladno konfiguriranim korisnicima siguran pristup preglednika odabranim izbornicima za upravljanje.
HTTPS usluga može se onemogućiti ili ponovno omogućiti označavanjem HTTPS-a Web Upravljanje i navedeni alternativni port (zadani je port 443).

Telnet

Prema zadanim postavkama Telnet usluga radi, ali je onemogućena na svim mrežnim sučeljima.
Telnet se može koristiti za davanje administratorskom pristupu ljusci naredbenog retka sustava. Ova usluga može biti korisna za lokalni administrator i korisnički pristup odabranim serijskim konzolama. Preporučamo da onemogućite ovu uslugu ako je poslužitelj konzole daljinski administriran.
Potvrdni okvir Enable Telnet command shell omogućit će ili onemogućiti Telnet uslugu. Alternativni Telnet port za slušanje može se specificirati u Alternate Telnet Port (zadani port je 23).

Poglavlje 2: Konfiguracija sustava

SSH

Ova usluga pruža siguran SSH pristup poslužitelju konzole i priključenim uređajima

i prema zadanim postavkama SSH usluga radi i omogućena je na svim sučeljima. to je

preporučujemo da odaberete SSH kao protokol na koji se povezuje administrator

poslužitelja konzole preko Interneta ili bilo koje druge javne mreže. Ovo će osigurati

autentificirane komunikacije između SSH klijentskog programa na daljinskom upravljaču

računalo i SSH poslužitelj na konzolnom poslužitelju. Za više informacija o SSH

konfiguracija Vidi Poglavlje 8 – Autentifikacija.

Potvrdni okvir Enable SSH command shell omogućit će ili onemogućiti ovu uslugu. Alternativni SSH port za slušanje može se navesti u portu SSH naredbene ljuske (zadani port je 22).

3. Omogućite i konfigurirajte druge usluge:

TFTP/FTP Ako se na poslužitelju konzole otkrije USB flash kartica ili interna flash kartica, odabir opcije Omogući TFTP (FTP) uslugu omogućuje ovu uslugu i postavlja zadani tftp i ftp poslužitelj na USB flash. Ovi se poslužitelji koriste za pohranu konfiguracije files, održavati zapisnike pristupa i transakcija itd. FilePreneseni pomoću tftp-a i ftp-a bit će pohranjeni pod /var/mnt/storage.usb/tftpboot/ (ili /var/mnt/storage.nvlog/tftpboot/ na uređajima serije ACM7000). Isključivanje Omogući TFTP (FTP) uslugu će onemogućiti TFTP (FTP) uslugu.

Provjera DNS releja Omogući DNS poslužitelj/relej omogućuje značajku DNS releja tako da klijenti mogu biti konfigurirani s IP-om konzolnog poslužitelja za svoje postavke DNS poslužitelja, a konzolni poslužitelj će proslijediti DNS upite pravom DNS poslužitelju.

Web Omogući provjeru terminala Web Terminal dopušta web pristup preglednika ljusci naredbenog retka sustava preko Upravljanje > Terminal.

4. Navedite alternativne brojeve portova za Raw TCP, izravni Telnet/SSH i Telnet/SSH usluge bez provjere autentičnosti. Poslužitelj konzole koristi specifične raspone za TCP/IP portove za različite pristupe
usluge koje korisnici mogu koristiti za pristup uređajima priključenim na serijske priključke (kako je opisano u 3. poglavlju Konfiguriranje serijskih priključaka). Administrator može postaviti alternativne raspone za ove usluge i ti će se sekundarni priključci koristiti uz zadane.

Zadana TCP/IP osnovna adresa porta za Telnet pristup je 2000, a raspon za Telnet je IP adresa: Port (2000 + serijski port #) tj. 2001 2048. Ako bi administrator postavio 8000 kao sekundarnu bazu za Telnet, serijski priključku #2 na poslužitelju konzole može se pristupiti Telnetom na IP-u
Adresa:2002 i na IP adresi:8002. Zadana baza za SSH je 3000; za neobrađeni TCP je 4000; a za RFC2217 je 5000

5. Ostale usluge mogu se omogućiti i konfigurirati iz ovog izbornika odabirom Kliknite ovdje za konfiguraciju:

Nagios Pristup Nagios NRPE nadzornim demonima

ORAH

Pristup NUT UPS nadzornom demonu

SNMP Omogućuje snmp na poslužitelju konzole. SNMP je prema zadanim postavkama onemogućen

NTP

6. Pritisnite Primijeni. Pojavljuje se potvrdna poruka: Poruka Promjene konfiguracije uspjele

Postavke pristupa uslugama mogu se postaviti tako da dopuštaju ili blokiraju pristup. Ovo određuje koje omogućene usluge administratori mogu koristiti preko svakog mrežnog sučelja za povezivanje s konzolnim poslužiteljem i preko konzolnog poslužitelja s priključenim serijskim i mrežno povezanim uređajima.

korisnički priručnik
1. Odaberite karticu Pristup usluzi na stranici Sustav > Usluge.
2. Ovo prikazuje omogućene usluge za mrežna sučelja poslužitelja konzole. Ovisno o određenom modelu poslužitelja konzole, prikazana sučelja mogu uključivati: · Mrežno sučelje (za glavnu Ethernet vezu) · Upravljački LAN / OOB Failover (druge Ethernet veze) · Dialout / Cellular (V90 i 3G modem) · Dial-in (interno) ili vanjski V90 modem) · VPN (IPsec ili Open VPN veza preko bilo kojeg mrežnog sučelja)
3. Označite/odznačite za svaku mrežu koji pristup uslugama treba omogućiti/onemogućiti Opcije pristupa usluzi Odgovor na ICMP odjeke (tj. ping) koje se mogu konfigurirati na ovomtage. To omogućuje poslužitelju konzole da odgovori na dolazne ICMP echo zahtjeve. Ping je omogućen prema zadanim postavkama. Za povećanu sigurnost, trebali biste onemogućiti ovu uslugu kada dovršite početnu konfiguraciju. Možete dopustiti pristup uređajima serijskog porta s nominiranih mrežnih sučelja koristeći Raw TCP, izravni Telnet/SSH, neautorizirane Telnet/SSH usluge itd.
4. Pritisnite Primijeni Web Postavke upravljanja Potvrdni okvir Omogući HSTS omogućuje strogu HTTP strogu sigurnost prijenosa. HSTS način rada znači da se zaglavlje StrictTransport-Security treba poslati preko HTTPS prijenosa. Popustljiv web preglednik pamti ovo zaglavlje i kada se od njega zatraži da kontaktira istog hosta preko HTTP-a (običnog), automatski će se prebaciti na
19

Poglavlje 2: Konfiguracija sustava
HTTPS prije pokušaja HTTP-a, sve dok je preglednik jednom pristupio sigurnoj stranici i vidio STS zaglavlje.
Brute Force Zaštita Brute Force zaštita (Micro Fail2ban) privremeno blokira izvorne IP adrese koje pokazuju zlonamjerne znakove, kao što je previše neuspjelih lozinki. To može pomoći kada su mrežne usluge uređaja izložene nepouzdanoj mreži kao što je javni WAN i skriptirani napadi ili softverski crvi pokušavaju pogoditi (grubom silom) korisničke vjerodajnice i dobiti neovlašteni pristup.

Zaštita grubom silom može biti omogućena za navedene usluge. Prema zadanim postavkama, nakon što je zaštita omogućena, 3 ili više neuspjelih pokušaja povezivanja unutar 60 sekundi s određenog izvornog IP-a dovode do zabrane povezivanja za vremensko razdoblje koje se može konfigurirati. Ograničenje pokušaja i vremensko ograničenje zabrane mogu se prilagoditi. Aktivne zabrane su također navedene i mogu se osvježiti ponovnim učitavanjem stranice.

BILJEŠKA

Kada radite na nepouzdanoj mreži, razmislite o korištenju raznih strategija za zaključavanje daljinskog pristupa. To uključuje SSH provjeru autentičnosti s javnim ključem, VPN i pravila vatrozida
dopušteni daljinski pristup samo s pouzdanih izvornih mreža. Pojedinosti potražite u bazi znanja Opengear.

2.5 Komunikacijski softver
Konfigurirali ste pristupne protokole za administratorskog klijenta za korištenje pri povezivanju s konzolnim poslužiteljem. Korisnički klijenti također koriste ove protokole kada pristupaju serijski priključenim uređajima konzolnog poslužitelja i mrežno priključenim hostovima. Potrebni su vam komunikacijski softverski alati postavljeni na računalu administratora i korisničkog klijenta. Za povezivanje možete koristiti alate kao što su PuTTY i SSHTerm.

korisnički priručnik
Komercijalno dostupni konektori povezuju pouzdani SSH protokol za tuneliranje s popularnim alatima za pristup kao što su Telnet, SSH, HTTP, HTTPS, VNC, RDP kako bi osigurali siguran daljinski pristup svim sustavima i uređajima kojima se upravlja "pokaži i klikni". Informacije o korištenju konektora za pristup preglednika upravljačkoj konzoli konzolnog poslužitelja, Telnet/SSH pristup naredbenom retku konzolnog poslužitelja i TCP/UDP povezivanje s hostovima koji su mrežno povezani s konzolnim poslužiteljem mogu se pronaći u poglavlju 5. Konektori se mogu instaliran na Windows računalima, Mac OS X i na većini Linux, UNIX i Solaris sustava.
2.6 Konfiguracija mreže za upravljanje
Konzolni poslužitelji imaju dodatne mrežne priključke koji se mogu konfigurirati za pružanje upravljanja LAN pristupom i/ili nadogradnjom ili pristupom izvan pojasa. 2.6.1 Omogućite LAN konzolu za upravljanje Poslužitelji se mogu konfigurirati tako da drugi Ethernet priključak pruža LAN pristupnik za upravljanje. Gateway ima značajke vatrozida, usmjerivača i DHCP poslužitelja. Morate spojiti vanjski LAN preklopnik na mrežu 2 kako biste priključili hostove na ovaj upravljački LAN:
NAPOMENA Drugi Ethernet priključak može se konfigurirati ili kao Upravljački LAN gateway port ili kao OOB/Failover port. Uvjerite se da niste dodijelili NET2 kao Failover Interface kada ste konfigurirali glavnu mrežnu vezu na izborniku System > IP.
21

Poglavlje 2: Konfiguracija sustava
Za konfiguraciju LAN pristupnika za upravljanje: 1. Odaberite karticu LAN sučelje za upravljanje na izborniku Sustav > IP i poništite opciju Onemogući. 2. Konfigurirajte IP adresu i masku podmreže za LAN za upravljanje. Ostavite DNS polja prazna. 3. Pritisnite Primijeni.
Funkcija pristupnika za upravljanje omogućena je sa konfiguriranim zadanim pravilima vatrozida i usmjerivača tako da je LAN za upravljanje dostupan samo prosljeđivanjem SSH porta. Ovo osigurava sigurne udaljene i lokalne veze s upravljanim uređajima na LAN-u za upravljanje. LAN priključci također se mogu konfigurirati u premoštenom ili povezanom načinu rada ili ručno konfigurirati iz naredbenog retka. 2.6.2 Konfigurirajte DHCP poslužitelj DHCP poslužitelj omogućuje automatsku distribuciju IP adresa uređajima na LAN-u za upravljanje koji pokreću DHCP klijente. Da biste omogućili DHCP poslužitelj:
1. Pritisnite Sustav > DHCP poslužitelj. 2. Na kartici Mrežno sučelje označite Omogući DHCP poslužitelj.
22

korisnički priručnik
3. Unesite adresu pristupnika koja će se izdati DHCP klijentima. Ako se ovo polje ostavi praznim, koristi se IP adresa poslužitelja konzole.
4. Unesite primarni DNS i sekundarni DNS adresu za izdavanje DHCP klijenata. Ako se ovo polje ostavi prazno, koristi se IP adresa poslužitelja konzole.
5. Po želji unesite sufiks naziva domene za izdavanje DHCP klijenata. 6. Unesite Zadano vrijeme najma i Maksimalno vrijeme najma u sekundama. Ovo je količina vremena
da je dinamički dodijeljena IP adresa važeća prije nego što je klijent mora ponovno zatražiti. 7. Kliknite Primijeni. DHCP poslužitelj izdaje IP adrese iz navedenih skupova adresa: 1. Kliknite Dodaj u polju Dinamički skupovi dodjele adresa. 2. Unesite početnu i krajnju adresu DHCP skupa. 3. Pritisnite Primijeni.
23

Poglavlje 2: Konfiguracija sustava
DHCP poslužitelj također podržava prethodno dodjeljivanje IP adresa koje će se dodijeliti određenim MAC adresama i rezerviranje IP adresa koje će koristiti povezani hostovi s fiksnim IP adresama. Da rezervirate IP adresu za određeni host:
1. Pritisnite Dodaj u polju Rezervirane adrese. 2. Unesite naziv glavnog računala, hardversku adresu (MAC) i statički rezerviranu IP adresu za
DHCP klijent i kliknite Primijeni.
Kada je DHCP dodijelio adrese domaćina, preporuča se kopirati ih u unaprijed dodijeljeni popis kako bi se ista IP adresa ponovno dodijelila u slučaju ponovnog pokretanja.
24

korisnički priručnik
2.6.3 Odaberite Failover ili širokopojasni OOB Console poslužitelji pružaju opciju failovera tako da se u slučaju problema s korištenjem glavne LAN veze za pristup konzolnom poslužitelju koristi alternativni pristupni put. Da biste omogućili nadilaženje u slučaju greške:
1. Odaberite stranicu Mrežno sučelje na izborniku Sustav > IP 2. Odaberite sučelje za prebacivanje u slučaju kvara koje će se koristiti u slučajutage na glavnoj mreži.
3. Pritisnite Primijeni. Nadilaženje u slučaju kvara postaje aktivno nakon što navedete vanjska mjesta koja će se ispitati kako bi se pokrenulo nadilaženje u slučaju kvara i postavite portove za nadilaženje u slučaju kvara.
2.6.4 Združivanje mrežnih portova Prema zadanim postavkama, mrežnim portovima za upravljački LAN poslužitelja konzole može se pristupiti korištenjem SSH tuneliranja/prosljeđivanja portova ili uspostavom IPsec VPN tunela na poslužitelju konzole. Svi žičani mrežni priključci na poslužiteljima konzole mogu se agregirati premošćavanjem ili povezivanjem.
25

korisnički priručnik
· Prema zadanim postavkama, Agregacija sučelja je onemogućena na izborniku System > IP > General Settings · Odaberite Bridge Interfaces ili Bond Interfaces
o Kada je premošćivanje omogućeno, mrežni promet se prosljeđuje preko svih Ethernet priključaka bez ograničenja vatrozida. Svi Ethernet priključci transparentno su povezani na sloj podatkovne veze (sloj 2) tako da zadržavaju svoje jedinstvene MAC adrese
o S povezivanjem, mrežni promet se prenosi između priključaka, ali prisutan s jednom MAC adresom
Oba načina uklanjaju sve funkcije LAN sučelja za upravljanje i sučelja izvan pojasa/nadogradnje i onemogućuju DHCP poslužitelj · U agregacijskom načinu svi Ethernet priključci zajednički su konfigurirani pomoću izbornika mrežnog sučelja
25

Poglavlje 2: Konfiguracija sustava
2.6.5 Statičke rute Statičke rute pružaju vrlo brz način za usmjeravanje podataka iz jedne podmreže u drugu podmrežu. Možete čvrsto kodirati stazu koja govori konzolnom poslužitelju/usmjerivaču da dođe do određene podmreže koristeći određenu stazu. Ovo može biti korisno za pristup različitim podmrežama na udaljenom mjestu kada se koristi mobilna OOB veza.

Za dodavanje statičkoj ruti u tablicu rute sustava:
1. Odaberite karticu Postavke rute na izborniku Sustav > Opće postavke IP-a.
2. Pritisnite Nova ruta
3. Unesite naziv rute za rutu.
4. U polje Odredišna mreža/domaćin unesite IP adresu odredišne mreže/domaćina kojem ruta omogućuje pristup.
5. Unesite vrijednost u polje Destination netmask koja identificira odredišnu mrežu ili host. Bilo koji broj između 0 i 32. Subnet maska od 32 identificira rutu glavnog računala.
6. Unesite Route Gateway s IP adresom usmjerivača koji će usmjeravati pakete na odredišnu mrežu. Ovo se može ostaviti praznim.
7. Odaberite sučelje koje ćete koristiti za dolazak do odredišta, može se ostaviti kao Ništa.
8. Unesite vrijednost u polje Metric koja predstavlja metriku ove veze. Koristite bilo koji broj jednak ili veći od 0. Ovo se mora postaviti samo ako su dvije ili više ruta u sukobu ili imaju preklapajuće ciljeve.
9. Pritisnite Primijeni.

BILJEŠKA

Stranica s detaljima o ruti pruža popis mrežnih sučelja i modema na koje se ruta može vezati. U slučaju modema, ruta će biti pridružena svakoj dialup sesiji uspostavljenoj putem tog uređaja. Ruta se može specificirati pomoću pristupnika, sučelja ili oboje. Ako navedeno sučelje nije aktivno, rute konfigurirane za to sučelje neće biti aktivne.

Korisnički priručnik 3. SERIJSKI PORT, HOST, UREĐAJ I KONFIGURACIJA KORISNIKA
Konzolni poslužitelj omogućuje pristup i kontrolu serijski spojenih uređaja i mrežno priključenih uređaja (hostova). Administrator mora konfigurirati povlastice pristupa za svaki od ovih uređaja i odrediti usluge koje se mogu koristiti za kontrolu uređaja. Administrator također može postaviti nove korisnike i odrediti pojedinačne pristupne i kontrolne privilegije svakog korisnika.
Ovo poglavlje pokriva svaki od koraka u konfiguraciji mrežno povezanih i serijski spojenih uređaja: · Serijski priključci postavljanje protokola koji se koriste serijski povezani uređaji · Korisnici i grupe postavljanje korisnika i definiranje dopuštenja pristupa za svakog od ovih korisnika · Autentikacija ovo je pokriveno u više detalji u poglavlju 8 · Mrežni hostovi konfiguriraju pristup računalima ili uređajima povezanim na lokalnu mrežu (domaćini) · Konfiguriraju pouzdane mreže – imenuju IP adrese kojima pouzdani korisnici pristupaju · Kaskadno povezivanje i preusmjeravanje portova serijske konzole · Povezivanje na napajanje (UPS, PDU i IPMI) i uređaji za praćenje okoliša (EMD) · Preusmjeravanje serijskog priključka pomoću prozora PortShare i Linux klijenata · Upravljani uređaji – predstavljaju konsolidirani view svih veza · IPSec koji omogućuje VPN vezu · OpenVPN · PPTP
3.1 Konfigurirajte serijske priključke
Prvi korak u konfiguriranju serijskog priključka je postavljanje zajedničkih postavki kao što su protokoli i RS232 parametri koji će se koristiti za podatkovnu vezu na taj priključak (npr. brzina prijenosa podataka). Odaberite u kojem će načinu rada priključak raditi. Svaki se priključak može postaviti da podržava jedan od ovih načina rada:
· Onemogućeni način je zadani, serijski priključak je neaktivan
27

Poglavlje 3:

Serijski priključak, host, uređaj i konfiguracija korisnika

· Konzolni poslužiteljski način rada omogućuje opći pristup serijskom konzolnom priključku na serijski spojenim uređajima
· Način rada uređaja postavlja serijski priključak za komunikaciju s inteligentnim serijski kontroliranim PDU-om, UPS-om ili uređajima za praćenje okoliša (EMD)
· Način rada Terminal Server postavlja serijski priključak da čeka dolaznu sesiju prijave na terminal · Način rada Serial Bridge omogućuje transparentno međusobno povezivanje dva uređaja sa serijskim priključkom preko
mreža.
1. Odaberite Serial & Network > Serial Port za prikaz detalja o serijskom portu. 2. Prema zadanim postavkama, svaki serijski port postavljen je u načinu rada konzolnog poslužitelja. Kliknite Uredi pored porta koji želite
rekonfigurirano. Ili kliknite Uredi više portova i odaberite koje portove želite konfigurirati kao grupu. 3. Kada ponovno konfigurirate uobičajene postavke i način rada za svaki priključak, postavite bilo koji udaljeni syslog (pogledajte sljedeće odjeljke za specifične informacije). Kliknite Primijeni 4. Ako je poslužitelj konzole konfiguriran s omogućenim distribuiranim Nagios nadgledanjem, upotrijebite opcije Nagios postavki da biste omogućili nadziranje imenovanih usluga na glavnom računalu 3.1.1 Uobičajene postavke Postoji niz uobičajenih postavki koje se mogu postaviti za svaki serijski luka. Ovi su neovisni o načinu u kojem se port koristi. Ovi parametri serijskog priključka moraju biti postavljeni tako da odgovaraju parametrima serijskog priključka na uređaju koji spajate na taj priključak:
28

korisnički priručnik

· Upišite oznaku za priključak · Odaberite odgovarajuću brzinu prijenosa podataka, paritet, bitove podataka, stop bitove i kontrolu protoka za svaki priključak

· Postavite Pinout priključka. Ova stavka izbornika pojavljuje se za IM7200 priključke gdje se pin-out za svaki RJ45 serijski priključak može postaviti kao X2 (Cisco Straight) ili X1 (Cisco Rolled)

· Postavite DTR mod. To vam omogućuje da odaberete hoće li se DTR uvijek potvrđivati ili samo kada postoji aktivna korisnička sesija

· Prije nego nastavite s daljnjom konfiguracijom serijskog priključka, trebali biste spojiti priključke na serijske uređaje kojima će upravljati i osigurati da imaju odgovarajuće postavke

3.1.2

Način rada poslužitelja konzole
Odaberite način rada poslužitelja konzole kako biste omogućili daljinski pristup upravljanju serijskom konzolom koja je spojena na ovaj serijski priključak:

Razina bilježenja Ovo određuje razinu informacija koje se bilježe i prate.
29

Poglavlje 3: Serijski priključak, host, uređaj i konfiguracija korisnika
Razina 0: Onemogući bilježenje (zadano)
Razina 1: Zabilježite događaje LOGIN, LOGOUT i SIGNAL
Razina 2: Zabilježite događaje LOGIN, LOGOUT, SIGNAL, TXDATA i RXDATA
Razina 3: Zabilježite događaje LOGIN, LOGOUT, SIGNAL i RXDATA
Razina 4: Zabilježite događaje LOGIN, LOGOUT, SIGNAL i TXDATA
Input/RXDATA su podaci koje Opengear uređaj prima od spojenog serijskog uređaja, a output/TXDATA su podaci koje Opengear uređaj šalje (npr. unesene od strane korisnika) povezanom serijskom uređaju.
Konzole uređaja obično vraćaju znakove dok se upisuju tako da se TXDATA koju je upisao korisnik naknadno prima kao RXDATA, prikazan na njegovom terminalu.
NAPOMENA: Nakon što zatraži lozinku, povezani uređaj šalje * znakove kako bi spriječio prikaz lozinke.

Telnet Kada je Telnet usluga omogućena na poslužitelju konzole, Telnet klijent na korisničkom računalu može se spojiti na serijski uređaj priključen na ovaj serijski priključak na poslužitelju konzole. Budući da Telnet komunikacija nije kriptirana, ovaj se protokol preporučuje samo za lokalne ili VPN tunelirane veze.
Ako se daljinska komunikacija tunelira pomoću konektora, Telnet se može koristiti za siguran pristup tim priključenim uređajima.

BILJEŠKA

U načinu konzolnog poslužitelja, korisnici mogu koristiti konektor za postavljanje sigurnih Telnet veza koje su SSH tunelirane od njihovih klijentskih računala do serijskog porta na konzolnom poslužitelju. Konektori se mogu instalirati na računala s operativnim sustavom Windows i većinu Linux platformi i omogućuju odabir sigurne Telnet veze s pokaži i klikni.

Za korištenje konektora za pristup konzolama na serijskim priključcima poslužitelja konzole, konfigurirajte konektor s poslužiteljem konzole kao pristupnikom i kao hostom i omogućite Telnet uslugu na portu (2000 + serijski port #) tj. 2001.

Također možete koristiti standardne komunikacijske pakete kao što je PuTTY za postavljanje izravne Telnet ili SSH veze na serijske priključke.

NAPOMENA U načinu rada konzolnog poslužitelja, kada se povežete na serijski port, povezujete se putem pmshell-a. Da biste generirali BREAK na serijskom portu, upišite niz znakova ~b. Ako ovo radite preko OpenSSH-a upišite ~~b.

SSH

Preporuča se da koristite SSH kao protokol kada se korisnici spajaju na poslužitelj konzole

(ili se preko poslužitelja konzole spojite na priložene serijske konzole) preko Interneta ili bilo kojeg drugog

druge javne mreže.

Za SSH pristup konzolama na uređajima spojenim na serijske priključke poslužitelja konzole, možete koristiti konektor. Konfigurirajte konektor s konzolnim poslužiteljem kao gateway i kao host te omogućite SSH uslugu na portu (3000 + serijski port #) tj. 3001-3048.

Također možete koristiti uobičajene komunikacijske pakete, kao što su PuTTY ili SSHTerm za SSH povezivanje na adresu porta IP adresa _ Port (3000 + serijski port #) tj. 3001

SSH veze mogu se konfigurirati pomoću standardnog SSH porta 22. Serijski port kojem se pristupa identificira se dodavanjem deskriptora korisničkom imenu. Ova sintaksa podržava:

korisnički priručnik
: : Da bi korisnik pod imenom chris pristupio serijskom priključku 2, prilikom postavljanja SSHTerm ili PuTTY SSH klijenta, umjesto upisivanja korisničko ime = chris i ssh port = 3002, alternativa je da upišete korisničko ime = chris:port02 (ili korisničko ime = chris: ttyS1) i ssh port = 22. Ili upisivanjem korisničko ime=chris:serial i ssh port = 22, korisniku se prikazuje opcija odabira porta:

Ova sintaksa omogućuje korisnicima postavljanje SSH tunela na sve serijske priključke s jednim IP priključkom 22 koji se mora otvoriti u njihovom vatrozidu/pristupniku
NAPOMENA U načinu konzolnog poslužitelja povezujete se na serijski port preko pmshell-a. Da biste generirali BREAK na serijskom portu, upišite niz znakova ~b. Ako ovo radite preko OpenSSH-a, upišite ~~b.

TCP

RAW TCP omogućuje veze na TCP utičnicu. Dok komunikacijski programi poput PuTTY

također podržava RAW TCP, ovaj protokol obično koristi prilagođena aplikacija

Za RAW TCP, zadana adresa porta je IP adresa _ port (4000 + serijski port #) tj. 4001 4048

RAW TCP također omogućuje tuneliranje serijskog porta na server udaljene konzole, tako da se dva uređaja sa serijskim portom mogu transparentno povezati preko mreže (pogledajte Poglavlje 3.1.6 Serijsko premošćivanje)

RFC2217 Odabir RFC2217 omogućuje preusmjeravanje serijskog priključka na tom priključku. Za RFC2217, zadana adresa porta je IP adresa _ port (5000 + serijski port #) tj. 5001 5048
Poseban klijentski softver dostupan je za Windows UNIX i Linux koji podržava RFC2217 virtualne com portove, tako da udaljeni host može nadzirati i upravljati udaljenim serijski spojenim uređajima kao da su povezani na lokalni serijski port (pogledajte Poglavlje 3.6 Preusmjeravanje serijskog porta za detalje)
RFC2217 također omogućuje tuneliranje serijskog porta na server udaljene konzole, tako da se dva uređaja sa serijskim portom mogu transparentno povezati preko mreže (pogledajte Poglavlje 3.1.6 Serijsko premošćivanje)

Unauthenticated Telnet Ovo omogućuje Telnet pristup serijskom portu bez vjerodajnica za provjeru autentičnosti. Kada korisnik pristupi poslužitelju konzole Telnetu na serijski port, dobiva upit za prijavu. S neautentificiranim Telnetom, spajaju se izravno na port bez ikakvog izazova za prijavu na poslužitelj konzole. Ako Telnet klijent traži autentifikaciju, svi uneseni podaci dopuštaju povezivanje.

Poglavlje 3: Serijski priključak, host, uređaj i konfiguracija korisnika
Ovaj način se koristi s vanjskim sustavom (kao što je konzervator) koji upravlja autentifikacijom korisnika i pristupnim povlasticama na razini serijskog uređaja.
Prijava na uređaj spojen na poslužitelj konzole može zahtijevati autentifikaciju.
Za neautentificirani Telnet zadana adresa porta je IP adresa _ port (6000 + serijski port #) tj. 6001 6048

Neautentificirani SSH Ovo omogućuje SSH pristup serijskom portu bez vjerodajnica za provjeru autentičnosti. Kada korisnik pristupi poslužitelju konzole Telnetu na serijski port, dobiva upit za prijavu. S neautentificiranim SSH-om spajaju se izravno na port bez ikakvog izazova za prijavu na poslužitelj konzole.
Ovaj način se koristi kada imate drugi sustav koji upravlja autentifikacijom korisnika i pristupnim povlasticama na razini serijskog uređaja, ali želite šifrirati sesiju preko mreže.
Prijava na uređaj spojen na poslužitelj konzole može zahtijevati autentifikaciju.
Za neautentificirani Telnet zadana adresa porta je IP adresa _ port (7000 + serijski port #) tj. 7001 7048
The : metoda pristupa portu (kao što je opisano u gornjem SSH odjeljku) uvijek zahtijeva autentifikaciju.

Web Terminal Ovo omogućuje web pristup preglednika serijskom priključku putem Upravljanje > Uređaji: Serijski pomoću ugrađenog AJAX terminala upravljačke konzole. Web Terminal se povezuje kao trenutno autentificirani korisnik upravljačke konzole i ne vrši ponovnu autentifikaciju. Pogledajte odjeljak 12.3 za više detalja.

IP alias

Omogućite pristup serijskom priključku pomoću određene IP adrese, navedene u CIDR formatu. Svakom serijskom portu može se dodijeliti jedan ili više IP aliasa, konfiguriranih na osnovi mrežnog sučelja. Serijski port može nprample, biti dostupni i na 192.168.0.148 (kao dio interne mreže) i 10.10.10.148 (kao dio LAN-a za upravljanje). Također je moguće učiniti serijski priključak dostupnim na dvije IP adrese na istoj mreži (nprample, 192.168.0.148 i 192.168.0.248).

Ove IP adrese mogu se koristiti samo za pristup određenom serijskom priključku, kojem se može pristupiti korištenjem brojeva portova standardnog protokola TCP usluga poslužitelja konzole. Na primjerample, SSH na serijskom portu 3 bio bi dostupan na portu 22 IP aliasa serijskog porta (dok je na primarnoj adresi poslužitelja konzole dostupan na portu 2003).

Ova se značajka također može konfigurirati putem stranice za uređivanje više priključaka. U ovom slučaju IP adrese se primjenjuju sekvencijalno, pri čemu se IP adresa unosi u prvi odabrani priključak, a sljedeći se povećavaju, a brojevi se preskaču za sve neodabrane priključke. Na primjerample, ako se odaberu priključci 2, 3 i 5 i unese IP alias 10.0.0.1/24 za mrežno sučelje, dodjeljuju se sljedeće adrese:

Priključak 2: 10.0.0.1/24

Priključak 3: 10.0.0.2/24

Priključak 5: 10.0.0.4/24

IP Aliasi također podržavaju IPv6 aliase adrese. Jedina je razlika u tome što su adrese heksadecimalni brojevi, tako da port 10 može odgovarati adresi koja završava na A, a 11 na adresu koja završava na B, umjesto 10 ili 11 prema IPv4.

korisnički priručnik
Šifriranje prometa / Autentifikacija Omogućite trivijalnu enkripciju i autentifikaciju RFC2217 serijske komunikacije pomoću Portsharea (za jaku enkripciju koristite VPN).
Razdoblje akumulacije Nakon što se uspostavi veza za određeni serijski port (kao što je RFC2217 preusmjeravanje ili Telnet veza s udaljenim računalom), svi dolazni znakovi na tom portu prosljeđuju se preko mreže na osnovi znak po znak. Razdoblje akumulacije određuje vremensko razdoblje u kojem se dolazni znakovi prikupljaju prije nego što se pošalju kao paket preko mreže
Escape Character Promijenite znak koji se koristi za slanje izlaznih znakova. Zadano je ~. Zamijeni Backspace Zamijeni zadanu vrijednost Backspace CTRL+? (127) s CTRL+h (8). Izbornik napajanja Naredba za otvaranje izbornika napajanja je ~p i omogućuje naredbu napajanja ljuske tako da a
korisnik može kontrolirati vezu napajanja s upravljanim uređajem iz retka za naredbe kada je povezan putem Telneta ili SSH-a na uređaj. Upravljani uređaj mora biti postavljen s konfiguriranom vezom serijskog porta i vezom napajanja.
Pojedinačna veza Ovo ograničava priključak na jednu vezu tako da ako više korisnika ima pristupne povlastice za određeni priključak, samo jedan korisnik može pristupiti tom priključku (tj. njuškanje po priključku nije dopušteno).
33

Poglavlje 3: Serijski priključak, host, uređaj i konfiguracija korisnika
3.1.3 Način rada uređaja (RPC, UPS, okolišni) Ovaj način rada konfigurira odabrani serijski priključak za komunikaciju sa serijski kontroliranim neprekinutim napajanjem (UPS), daljinskim upravljačem napajanja/jedinicama za distribuciju napajanja (RPC) ili uređajem za nadzor okoliša (okolišni)

1. Odaberite željenu vrstu uređaja (UPS, RPC ili ekološki)
2. Prijeđite na odgovarajuću stranicu za konfiguraciju uređaja (Serijski i mrežni > UPS veze, RPC veza ili Okoliš) kao što je detaljno opisano u poglavlju 7.

3.1.4 ·

Način rada terminalskog poslužitelja
Odaberite način rada terminalskog poslužitelja i vrstu terminala (vt220, vt102, vt100, Linux ili ANSI) kako biste omogućili getty na odabranom serijskom portu

Getty konfigurira port i čeka da se uspostavi veza. Aktivna veza na serijskom uređaju označena je podignutim pinom za otkrivanje nositelja podataka (DCD) na serijskom uređaju. Kada se otkrije veza, program getty izdaje upit za prijavu: i poziva program za prijavu da obradi prijavu na sustav.
NAPOMENA Odabir načina rada terminalskog poslužitelja onemogućuje upravitelja porta za taj serijski port, tako da se podaci više ne bilježe za upozorenja itd.

korisnički priručnik
3.1.5 Način serijskog premošćivanja Sa serijskim premošćivanjem, serijski podaci na nominiranom serijskom priključku na jednom konzolnom poslužitelju kapsuliraju se u mrežne pakete i prenose preko mreže do drugog konzolnog poslužitelja gdje se predstavljaju kao serijski podaci. Dva poslužitelja konzole djeluju kao virtualni serijski kabel preko IP mreže. Jedan poslužitelj konzole je konfiguriran da bude poslužitelj. Serijski port poslužitelja koji se premošćuje postavljen je u načinu rada konzolnog poslužitelja s omogućenim RFC2217 ili RAW. Za poslužitelj konzole klijenta, serijski port koji se premošćuje mora biti postavljen u načinu rada premošćivanja:
· Odaberite način serijskog premošćivanja i odredite IP adresu poslužitelja konzole poslužitelja i adresu TCP porta udaljenog serijskog porta (za RFC2217 premošćivanje to će biti 5001-5048)
· Prema zadanim postavkama, klijent za premošćivanje koristi RAW TCP. Odaberite RFC2217 ako je ovo način poslužitelja konzole koji ste naveli na poslužitelju konzole poslužitelja
· Možete osigurati komunikaciju preko lokalnog Etherneta tako da omogućite SSH. Generirajte i učitajte ključeve.
3.1.6 Syslog Uz ugrađeno bilježenje i nadzor koji se može primijeniti na serijski i mrežno priključene upravljačke pristupe, kao što je objašnjeno u poglavlju 6, konzolni poslužitelj također se može konfigurirati za podršku protokola udaljenog syslog-a na serijskom portu osnova:
· Odaberite polja Syslog Facility/Priority kako biste omogućili bilježenje prometa na odabranom serijskom portu prema syslog poslužitelju; i sortirati i djelovati na te zabilježene poruke (tj. preusmjeriti ih / poslati e-poštu s upozorenjem.)
35

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
Na primjerample, ako računalo priključeno na serijski priključak 3 nikada ne bi trebalo slati ništa na svom serijskom priključku konzole, administrator može postaviti mogućnost za taj priključak na local0 (local0 .. local7 namijenjeni su lokalnim vrijednostima stranice), a Prioritet na kritično . Pri ovom prioritetu, ako server syslog poslužitelja konzole primi poruku, on pokreće upozorenje. Pogledajte Poglavlje 6. 3.1.7 NMEA strujanje ACM7000-L može omogućiti strujanje GPS NMEA podataka s internog GPS/mobilnog modema. Ovaj tok podataka predstavlja se kao serijski tok podataka na portu 5 na ACM modelima.
Uobičajene postavke (brzina prijenosa podataka itd.) zanemaruju se prilikom konfiguriranja NMEA serijskog priključka. Možete odrediti učestalost popravljanja (tj. ova stopa popravljanja GPS-a određuje koliko se često popravljaju GPS). Također možete primijeniti sve postavke Console Server Mode, Syslog i Serial Bridging na ovaj priključak.
Možete koristiti pmshell, webshell, SSH, RFC2217 ili RawTCP za pristup streamu:
Na primjerample, pomoću Web Terminal:
36

korisnički priručnik

3.1.8 USB konzole
Konzolni poslužitelji s USB priključcima podržavaju veze USB konzole s uređajima širokog spektra dobavljača, uključujući Cisco, HP, Dell i Brocade. Ovi USB priključci također mogu funkcionirati kao obični RS-232 serijski priključci kada je priključen USB-na-serijski adapter.

Ovi USB priključci dostupni su kao uobičajeni priključci za upravljanje portovima i prikazani su brojčano u web UI nakon svih RJ45 serijskih priključaka.

ACM7008-2 ima osam RJ45 serijskih priključaka na stražnjoj strani poslužitelja konzole i četiri USB priključka na prednjoj strani. U Serial & Network > Serial Port oni su navedeni kao

Port # konektor

RJ45

USB

10 USB

11 USB

12 USB

Ako je određeni ACM7008-2 mobilni model, port #13 — za GPS — također će biti naveden.

7216-24U ima 16 RJ45 serijskih priključaka i 24 USB priključka na svojoj stražnjoj strani, kao i dva prednja USB priključka i (u mobilnom modelu) GPS.

RJ45 serijski priključci predstavljeni su u Serial & Network > Serial Port kao brojevi priključka 1. 16 stražnja USB priključka imaju brojeve priključka 24, a prednji USB priključci navedeni su pod brojevima priključka 17 i 40. I, kao i kod ACM41-42, ako je određeni 7008-2U mobilni model, GPS se prikazuje na portu broj 7216.

Uobičajene postavke (brzina prijenosa podataka, itd.) koriste se prilikom konfiguriranja priključaka, ali neke operacije možda neće raditi ovisno o implementaciji temeljnog USB serijskog čipa.

3.2 Dodavanje i uređivanje korisnika
Administrator koristi ovaj odabir izbornika za stvaranje, uređivanje i brisanje korisnika te za definiranje dopuštenja pristupa za svakog od tih korisnika.

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika

Korisnici mogu biti autorizirani za pristup određenim uslugama, serijskim priključcima, uređajima za napajanje i određenim mrežnim hostovima. Ovim korisnicima također se može dodijeliti puni administratorski status (s punom konfiguracijom i upravljanjem te ovlastima pristupa).

Korisnici se mogu dodavati u grupe. Prema zadanim postavkama postavljeno je šest grupa:

admin

Pruža neograničene privilegije konfiguracije i upravljanja.

pptpd

Omogućuje pristup PPTP VPN poslužitelju. Korisnici u ovoj grupi imaju svoju lozinku pohranjenu u čistom tekstu.

Biraj broj

Omogućuje pozivni pristup putem modema. Korisnici u ovoj grupi imaju svoju lozinku pohranjenu u čistom tekstu.

ftp

Omogućuje ftp pristup i file pristup uređajima za pohranu podataka.

pmshell

Postavlja zadanu ljusku na pmshell.

korisnika

Omogućuje korisnicima osnovne privilegije upravljanja.

Administratorska grupa članovima pruža pune administratorske ovlasti. Administrator može pristupiti poslužitelju konzole pomoću bilo koje usluge koja je omogućena u System > Services. Također može pristupiti bilo kojem od povezanih hostova ili serijskih uređaja pomoću bilo koje usluge koja je omogućena za ove veze. Administratorski pristup trebaju imati samo pouzdani korisnici
Grupa korisnika pruža članovima ograničeni pristup poslužitelju konzole i povezanim hostovima i serijskim uređajima. Ovi korisnici mogu pristupiti samo odjeljku za upravljanje izbornika upravljačke konzole i nemaju pristup naredbenom retku poslužitelju konzole. Oni mogu pristupiti samo onim hostovima i serijskim uređajima koji su za njih provjereni, koristeći usluge koje su omogućene
Korisnici u grupama pptd, dialin, ftp ili pmshell ograničili su pristup korisničkoj ljusci nominiranim upravljanim uređajima, ali neće imati izravan pristup poslužitelju konzole. Da biste to dodali, korisnici također moraju biti članovi korisničkih ili administratorskih grupa
Administrator može postaviti dodatne grupe s posebnim uređajima za napajanje, serijskim priključkom i dopuštenjima za pristup hostu. Korisnici u ovim dodatnim grupama nemaju nikakav pristup izborniku upravljačke konzole niti imaju bilo kakav pristup naredbenom retku poslužitelju konzole.

korisnički priručnik
Administrator može postaviti korisnike s posebnim dopuštenjima za pristup uređaju napajanja, serijskom priključku i hostu koji nisu članovi nijedne grupe. Ovi korisnici nemaju nikakav pristup izborniku konzole za upravljanje niti pristup poslužitelju konzole preko naredbenog retka. 3.2.1 Postavljanje nove grupe Za postavljanje novih grupa i novih korisnika te za klasificiranje korisnika kao članova određenih grupa:
1. Odaberite Serial & Network > Users & Groups za prikaz svih grupa i korisnika 2. Kliknite Dodaj grupu za dodavanje nove grupe
3. Dodajte naziv grupe i opis za svaku novu grupu i odredite pristupačne hostove, pristupačne portove i pristupačne RPC izlaze kojima će korisnici u ovoj novoj grupi moći pristupiti
4. Kliknite Primijeni 5. Administrator može uređivati ili brisati bilo koju dodanu grupu 3.2.2 Postavljanje novih korisnika Za postavljanje novih korisnika i klasificiranje korisnika kao članova određenih grupa: 1. Odaberite Serijski i mreža > Korisnici i grupe za prikaz sve grupe i korisnici 2. Pritisnite Dodaj korisnika
39

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
3. Dodajte korisničko ime za svakog novog korisnika. Također možete uključiti informacije koje se odnose na korisnika (npr. kontakt podatke) u polje Opis. Korisničko ime može sadržavati od 1 do 127 alfanumeričkih znakova te znakove “-”, “_” i “.”.
4. Odredite kojim grupama želite da korisnik bude član 5. Dodajte potvrđenu lozinku za svakog novog korisnika. Svi znakovi su dopušteni. 6. Može se koristiti provjera autentičnosti SSH lozinke. Zalijepite javne ključeve ovlaštenih javnih/privatnih
parovi ključeva za ovog korisnika u polju Ovlašteni SSH ključevi 7. Označite Onemogući provjeru autentičnosti lozinke kako biste omogućili samo provjeru autentičnosti javnog ključa za ovog korisnika
kada koristite SSH 8. Označite Enable Dial-Back u izborniku Dial-in Options da omogućite odlaznu dial-back vezu
pokrenuti prijavom na ovaj priključak. Unesite Dial-Back Phone Number s telefonskim brojem za uzvratni poziv kada se korisnik prijavi 9. Označite Accessible Hosts i/ili Accessible Ports da odredite serijske portove i mrežno povezane hostove za koje želite da korisnik ima povlastice pristupa 10. Ako postoje konfigurirani RPC-ovi, označite Accessible RPC Outlets kako biste odredili koje utičnice korisnik može kontrolirati (tj. Power On/Off) 11. Pritisnite Apply. Novi korisnik će moći pristupiti dostupnim mrežnim uređajima, priključcima i RPC utičnicama. Ako je korisnik član grupe, također može pristupiti bilo kojem drugom uređaju/priključku/utičnici dostupnoj grupi
40

korisnički priručnik
Ne postoje ograničenja broja korisnika koje možete postaviti ili broja korisnika po serijskom portu ili hostu. Više korisnika može kontrolirati/nadzirati jedan port ili host. Nema ograničenja u broju grupa i svaki korisnik može biti član više grupa. Korisnik ne mora biti član nijedne grupe, ali ako je korisnik član zadane korisničke grupe, neće moći koristiti upravljačku konzolu za upravljanje portovima. Iako nema ograničenja, vrijeme za ponovno konfiguriranje raste kako se broj i složenost povećavaju. Preporučujemo da ukupni broj korisnika i grupa bude manji od 250. Administrator također može urediti postavke pristupa za sve postojeće korisnike:
· Odaberite Serial & Network > Users & Groups i kliknite Uredi za izmjenu korisničkih povlastica pristupa · Kliknite Izbriši za uklanjanje korisnika · Kliknite Onemogući za privremeno blokiranje povlastica pristupa
3.3 Autentifikacija
Pogledajte Poglavlje 8 za detalje konfiguracije provjere autentičnosti.
3.4 Mrežni hostovi
Za nadzor i daljinski pristup lokalno umreženom računalu ili uređaju (koji se naziva Host) morate identificirati Host:
1. Odabir Serial & Network > Network Hosts prikazuje sve hostove povezane na mrežu koji su omogućeni za korištenje.
2. Kliknite Dodaj host da omogućite pristup novom hostu (ili odaberite Uredi da ažurirate postavke za postojeće host)
41

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
3. Ako je Host PDU ili UPS uređaj za napajanje ili poslužitelj s IPMI kontrolom napajanja, navedite RPC (za IPMI i PDU) ili UPS i vrstu uređaja. Administrator može konfigurirati ove uređaje i omogućiti koji korisnici imaju dopuštenje za daljinsko uključivanje napajanja, itd. Pogledajte Poglavlje 7. U suprotnom ostavite vrstu uređaja postavljenu na Ništa.
4. Ako je poslužitelj konzole konfiguriran s omogućenim distribuiranim Nagios nadzorom, također ćete vidjeti opcije Nagios postavki za omogućavanje praćenja imenovanih usluga na glavnom računalu.
5. Pritisnite Primijeni. Time se stvara novi Host i novi upravljani uređaj s istim imenom.
3.5 Mreže od povjerenja
Mogućnost pouzdanih mreža daje vam mogućnost nominiranja IP adresa na kojima se korisnici moraju nalaziti kako bi imali pristup serijskim priključcima poslužitelja konzole:
42

korisnički priručnik
1. Odaberite Serial & Network > Trusted Networks 2. Za dodavanje nove pouzdane mreže odaberite Dodaj pravilo. U nedostatku pravila, nema pristupa
ograničenja u pogledu IP adrese na kojoj se korisnici mogu nalaziti.

3. Odaberite pristupačne priključke na koje će se primijeniti novo pravilo
4. Unesite mrežnu adresu podmreže kojoj želite dopustiti pristup
5. Odredite raspon adresa koje će biti dopuštene unosom mrežne maske za taj dopušteni IP raspon, npr.
· Kako biste dopustili svim korisnicima koji se nalaze s određenom mrežnom vezom klase C na imenovani priključak, dodajte sljedeće novo pravilo pouzdane mreže:

Mrežna IP adresa

204.15.5.0

subnet maska

255.255.255.0

· Da biste dopustili samo jednom korisniku koji se nalazi na određenoj IP adresi da se poveže:

Mrežna IP adresa

204.15.5.13

subnet maska

255.255.255.255

· Kako bi svim korisnicima koji rade unutar određenog raspona IP adresa (recimo bilo koja od trideset adresa od 204.15.5.129 do 204.15.5.158) omogućila veza na nominirani port:

Adresa glavnog računala/podmreže

204.15.5.128

subnet maska

255.255.255.224

6. Pritisnite Primijeni

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
3.6 Kaskadno povezivanje serijskih priključaka
Kaskadni priključci vam omogućuju klasteriranje distribuiranih konzolnih poslužitelja tako da se veliki broj serijskih priključnica (do 1000) može konfigurirati i pristupiti im putem jedne IP adrese i upravljati putem jedne upravljačke konzole. Jedan konzolni poslužitelj, primarni, kontrolira druge konzolne poslužitelje kao čvorne jedinice i svi serijski priključci na čvornim jedinicama izgledaju kao da su dio primarnog. Opengear-ovo klasteriranje povezuje svaki čvor s primarnim putem SSH veze. To se radi pomoću provjere autentičnosti s javnim ključem, tako da Primarni može pristupiti svakom čvoru koristeći par SSH ključeva (umjesto pomoću lozinki). Ovo osigurava sigurnu autentificiranu komunikaciju između primarnih i čvorova, omogućujući da jedinice poslužitelja konzole Node budu distribuirane lokalno na LAN-u ili udaljeno po cijelom svijetu.
3.6.1 Automatsko generiranje i učitavanje SSH ključeva Da biste postavili autentifikaciju javnog ključa, prvo morate generirati par ključeva RSA ili DSA i prenijeti ih na poslužitelje primarne i čvorne konzole. To se može učiniti automatski iz Primarne:
44

korisnički priručnik
1. Odaberite Sustav > Administracija na Primarnoj upravljačkoj konzoli
2. Označite Automatski generiraj SSH ključeve. 3. Pritisnite Primijeni
Zatim morate odabrati želite li generirati ključeve koristeći RSA i/ili DSA (ako niste sigurni, odaberite samo RSA). Generiranje svakog skupa ključeva zahtijeva dvije minute, a novi ključevi uništavaju stare ključeve te vrste. Dok je nova generacija u tijeku, funkcije koje se oslanjaju na SSH ključeve (npr. kaskadno) mogu prestati funkcionirati dok se ne ažuriraju novim skupom ključeva. Za generiranje ključeva:
1. Označite okvire za ključeve koje želite generirati. 2. Pritisnite Primijeni
3. Nakon što su novi ključevi generirani, kliknite vezu Kliknite ovdje za povratak. Ključevi su učitani
na primarne i povezane čvorove.
3.6.2 Ručno generirajte i učitajte SSH ključeve Alternativno, ako imate par ključeva RSA ili DSA, možete ih učitati na poslužitelje konzole Primary i Node. Za učitavanje para ključa javnog i privatnog ključa na poslužitelj primarne konzole:
1. Odaberite Sustav > Administracija na Primarnoj upravljačkoj konzoli
2. Pregledajte mjesto na kojem ste pohranili RSA (ili DSA) javni ključ i prenesite ga na SSH RSA (DSA) javni ključ
3. Pregledajte pohranjeni RSA (ili DSA) privatni ključ i prenesite ga na SSH RSA (DSA) privatni ključ 4. Kliknite Primijeni
45

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
Zatim morate registrirati javni ključ kao ovlašteni ključ na čvoru. U slučaju jednog primarnog s više čvorova, učitavate jedan RSA ili DSA javni ključ za svaki čvor.
1. Odaberite Sustav > Administracija na upravljačkoj konzoli čvora 2. Pregledajte pohranjeni RSA (ili DSA) javni ključ i prenesite ga na SSH ovlašteni ključ čvora
3. Pritisnite Primijeni. Sljedeći korak je otisak prsta za svaku novu vezu Primarni čvor. Ovaj korak potvrđuje da uspostavljate SSH sesiju s onim za što mislite da jeste. Prilikom prve veze čvor prima otisak prsta od primarnog koji se koristi na svim budućim vezama: Za uspostavljanje otiska prsta prvo se prijavite na primarni poslužitelj kao root i uspostavite SSH vezu s udaljenim hostom čvora:
# ssh remhost Nakon što je SSH veza uspostavljena, od vas se traži da prihvatite ključ. Odgovorite da i otisak prsta se dodaje na popis poznatih hostova. Ako se od vas traži da unesete lozinku, došlo je do problema s učitavanjem ključeva. 3.6.3 Konfiguracija čvorova i njihovih serijskih priključaka Započnite postavljanje čvorova i konfiguriranje serijskih priključaka čvorova s primarnog poslužitelja konzole:
1. Odaberite Serial & Network > Cascaded Ports na Primary's Management Console: 2. Za dodavanje podrške za klasteriranje, odaberite Add Node
Ne možete dodati čvorove dok ne generirate SSH ključeve. Za definiranje i konfiguriranje čvora:
46

korisnički priručnik
1. Unesite udaljenu IP adresu ili DNS naziv za poslužitelj konzole čvora 2. Unesite kratak opis i kratku oznaku za čvor 3. Unesite puni broj serijskih priključaka na jedinici čvora u Broj priključaka 4. Kliknite Primijeni. Time se uspostavlja SSH tunel između primarnog i novog čvora
Izbornik Serial & Network > Cascaded Ports prikazuje sve čvorove i brojeve priključaka koji su dodijeljeni primarnom. Ako primarni poslužitelj konzole ima 16 vlastitih portova, portovi 1-16 unaprijed su dodijeljeni primarnom, tako da se prvom dodanom čvoru dodjeljuje broj porta 17 nadalje. Nakon što ste dodali sve poslužitelje konzole čvora, serijski priključci čvora i povezani uređaji mogu se konfigurirati i pristupati im iz izbornika upravljačke konzole primarnog računala i putem IP adrese primarnog računala.
1. Odaberite odgovarajuću Serial & Network > Serial Port i Edit za konfiguraciju serijskih priključaka na
Čvor.
2. Odaberite odgovarajući Serial & Network > Users & Groups za dodavanje novih korisnika s povlasticama pristupa
na serijske priključke čvora (ili za proširenje privilegija pristupa postojećim korisnicima).
3. Odaberite odgovarajuće Serial & Network > Trusted Networks da navedete mrežne adrese koje
može pristupiti nominiranim serijskim priključcima čvora. 4. Odaberite odgovarajuće Upozorenja i bilježenje > Upozorenja za konfiguraciju veze porta čvora, stanje
Upozorenja o podudaranju uzorka za promjenu. Promjene konfiguracije napravljene na primarnom čvoru prenose se na sve čvorove kada kliknete Primijeni.
3.6.4 Upravljanje čvorovima Primarni ima kontrolu nad serijskim priključcima čvora. Na primjerample, ako promijenite povlastice korisničkog pristupa ili uredite bilo koju postavku serijskog priključka na Primarnom, ažurirana konfiguracija filešalju se svakom čvoru paralelno. Svaki čvor mijenja svoje lokalne konfiguracije (i samo promjene koje se odnose na njegove određene serijske priključke). Možete koristiti lokalnu konzolu za upravljanje čvorom za promjenu postavki na bilo kojem serijskom portu čvora (kao što je promjena brzine prijenosa podataka). Ove promjene se prebrišu sljedeći put kada Primarni pošalje konfiguraciju file Ažuriraj. Dok Primarni ima kontrolu nad svim funkcijama koje se odnose na serijski port čvora, on nije primarni nad vezama hosta mreže čvora ili nad sustavom poslužitelja konzole čvora. Funkcijama čvora kao što su IP, SMTP & SNMP postavke, datum & vrijeme, DHCP poslužitelj mora se upravljati izravnim pristupom svakom čvoru i te se funkcije ne prepisuju kada se promjene konfiguracije propagiraju s Primarnog. Mrežni host i IPMI postavke čvora moraju se konfigurirati na svakom čvoru.
47

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
Primarna upravljačka konzola pruža konsolidirani view postavki za vlastite i serijske priključke cijelog čvora. Primarni ne daje potpuno konsolidiranu view. Na primjerample, ako želite saznati tko je prijavljen na kaskadne serijske priključke s primarnog uređaja, vidjet ćete da Status > Aktivni korisnici prikazuje samo one korisnike koji su aktivni na priključcima primarnog uređaja, tako da ćete možda morati napisati prilagođene skripte da to pružite view.
3.7 Preusmjeravanje serijskog priključka (PortShare)
Opengearov Port Share softver isporučuje tehnologiju virtualnog serijskog porta koju vaše Windows i Linux aplikacije trebaju za otvaranje udaljenih serijskih portova i čitanje podataka sa serijskih uređaja koji su spojeni na vaš konzolni poslužitelj.
PortShare se isporučuje besplatno uz svaki konzolni poslužitelj i imate licencu za instaliranje PortSharea na jedno ili više računala za pristup bilo kojem serijskom uređaju spojenom na port konzolnog poslužitelja. PortShare za Windows Portshare_setup.exe može se preuzeti s ftp stranice. Za detalje o instalaciji i radu pogledajte PortShare korisnički priručnik i Quick Start. PortShare za Linux Pokretački program PortShare za Linux preslikava serijski port poslužitelja konzole na pokušajni port hosta. Opengear je objavio portshare-serial-client kao uslužni program otvorenog koda za Linux, AIX, HPUX, SCO, Solaris i UnixWare. Ovaj se uslužni program može preuzeti s ftp stranice. Ovaj preusmjerivač serijskog porta PortShare omogućuje vam korištenje serijskog uređaja spojenog na poslužitelj udaljene konzole kao da je spojen na vaš lokalni serijski port. Portshare-serial-client stvara pseudo tty port, povezuje serijsku aplikaciju s pseudo tty portom, prima podatke s pseudo tty porta, prenosi ih konzolnom poslužitelju putem mreže i prima podatke s konzolnog poslužitelja putem mreže i prenosi ih na pseudo-tty priključak. .tar file može se preuzeti s ftp stranice. Za detalje o instalaciji i radu pogledajte PortShare korisnički priručnik i Quick Start.
48

korisnički priručnik
3.8 upravljanih uređaja
Stranica Upravljani uređaji predstavlja konsolidirani view svih veza s uređajem kojima se može pristupiti i nadzirati putem poslužitelja konzole. Do view veze s uređajima odaberite Serijski i mrežni > Upravljani uređaji
Ovaj zaslon prikazuje sve upravljane uređaje s njihovim opisom/napomenama i popisima svih konfiguriranih veza:
· Serijski priključak # (ako je serijski spojen) ili · USB (ako je USB spojen) · IP adresa (ako je spojen na mrežu) · Pojedinosti o PDU-u napajanja/utičnici (ako je primjenjivo) i svim UPS vezama Uređaji poput poslužitelja mogu imati više od jedne veze za napajanje (npr. dvostruko napajanje) i više od jedne mrežne veze (npr. za BMC/uslužni procesor). Svi korisnici mogu view ove upravljane veze uređaja odabirom Upravljanje > Uređaji. Administratori također mogu uređivati i dodavati/brisati te upravljane uređaje i njihove veze. Za uređivanje postojećeg uređaja i dodavanje nove veze: 1. Odaberite Uredi na Serial & Network > Managed Devices i kliknite Dodaj vezu 2. Odaberite vrstu veze za novu vezu (Serial, Network Host, UPS ili RPC) i odaberite
vezu s prikazanog popisa konfiguriranih nedodijeljenih hostova/portova/utičnica
49

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
Za dodavanje novog upravljanog uređaja spojenog na mrežu: 1. Administrator dodaje novi upravljani uređaj spojen na mrežu koristeći Add Host na izborniku Serial & Network > Network Host. Time se automatski stvara odgovarajući novi upravljani uređaj. 2. Kada dodajete novi mrežni RPC ili UPS uređaj za napajanje, postavljate mrežno računalo i označavate ga kao RPC ili UPS. Idite na RPC veze ili UPS veze za konfiguraciju relevantne veze. Odgovarajući novi upravljani uređaj s istim nazivom/opisom kao RPC/UPS Host nije stvoren dok se ovaj korak povezivanja ne dovrši.
NAPOMENA Nazivi utičnica na novostvorenom PDU-u su Utičnica 1 i Utičnica 2. Kada spojite određeni upravljani uređaj koji crpi struju iz utičnice, utičnica preuzima naziv upravljanog uređaja s napajanjem.
Za dodavanje novog serijski povezanog upravljanog uređaja: 1. Konfigurirajte serijski priključak pomoću izbornika Serijski i mreža > Serijski priključak (pogledajte odjeljak 3.1 Konfiguriranje serijskog priključka) 2. Odaberite Serijski i mrežni > Upravljani uređaji i kliknite Dodaj uređaj 3. Unesite uređaj Naziv i opis upravljanog uređaja

4. Pritisnite Add Connection i odaberite Serial i Port koji se spaja na upravljani uređaj

5. Za dodavanje UPS/RPC veze napajanja ili mrežne veze ili druge serijske veze kliknite Dodaj vezu

6. Pritisnite Primijeni

BILJEŠKA

Za postavljanje serijski povezanog RPC UPS ili EMD uređaja, konfigurirajte serijski priključak, odredite ga kao uređaj i unesite naziv i opis za taj uređaj u Serijske i mrežne > RPC veze (ili UPS veze ili Okoliš). Time se stvara odgovarajući novi upravljani uređaj s istim imenom/opisom kao RPC/UPS Host. Imena utičnica na ovom novostvorenom PDU-u su Utičnica 1 i Utičnica 2. Kada spojite upravljani uređaj koji crpi struju iz utičnice, utičnica preuzima naziv upravljanog uređaja s napajanjem.

3.9 IPsec VPN
ACM7000, CM7100 i IM7200 uključuju Openswan, Linux implementaciju IPsec (IP Security) protokola, koji se može koristiti za konfiguraciju virtualne privatne mreže (VPN). VPN omogućuje više stranica ili udaljenim administratorima siguran pristup poslužitelju konzole i upravljanim uređajima putem interneta.

korisnički priručnik
Administrator može uspostaviti kriptirane autentificirane VPN veze između konzolnih poslužitelja raspoređenih na udaljenim mjestima i VPN pristupnika (kao što je Cisco usmjerivač koji pokreće IOS IPsec) na svojoj mreži središnjeg ureda:
· Korisnici u središnjem uredu mogu sigurno pristupiti poslužiteljima udaljene konzole i povezanim serijskim konzolnim uređajima i strojevima na podmreži LAN za upravljanje na udaljenoj lokaciji kao da su lokalni
· Svi ovi poslužitelji udaljene konzole mogu se nadzirati pomoću CMS6000 na središnjoj mreži · Uz serijsko premošćivanje, serijski podaci s kontrolera na stroju središnjeg ureda mogu biti sigurni
povezan sa serijski kontroliranim uređajima na udaljenim mjestima Administrator cestovnog ratnika može koristiti VPN IPsec softverski klijent za udaljeni pristup konzolnom poslužitelju i svakom stroju na podmreži LAN za upravljanje na udaljenoj lokaciji
Konfiguracija IPsec-a prilično je složena pa Opengear pruža GUI sučelje za osnovno postavljanje kako je opisano u nastavku. Da biste omogućili VPN pristupnik:
1. Odaberite IPsec VPN na izborniku Serial & Networks
2. Kliknite Dodaj i dovršite ekran Dodaj IPsec tunel. 3. Unesite opisno ime koje želite identificirati IPsec tunel koji dodajete, kao što je
WestStOutlet-VPN
51

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
4. Odaberite metodu provjere autentičnosti koja će se koristiti, bilo RSA digitalne potpise ili dijeljenu tajnu (PSK) o Ako odaberete RSA, od vas se traži da kliknete ovdje za generiranje ključeva. Ovo generira RSA javni ključ za poslužitelj konzole (lijevi javni ključ). Pronađite ključ koji ćete koristiti na udaljenom pristupniku, izrežite ga i zalijepite u desni javni ključ
o Ako odaberete Zajedničku tajnu, unesite unaprijed podijeljenu tajnu (PSK). PSK mora odgovarati PSK-u konfiguriranom na drugom kraju tunela
5. U Authentication Protocol odaberite protokol provjere autentičnosti koji će se koristiti. Provjerite autentičnost kao dio ESP (Encapsulating Security Payload) enkripcije ili odvojeno koristeći AH (Authentication Header) protokol.
52

korisnički priručnik
6. Unesite lijevi ID i desni ID. Ovo je identifikator koji lokalni host/gateway i udaljeni host/gateway koriste za IPsec pregovore i provjeru autentičnosti. Svaki ID mora uključivati @ i može uključivati potpuno kvalificirani naziv domene (npr. lijevo@example.com)
7. Unesite javnu IP ili DNS adresu ovog Opengear VPN pristupnika kao lijevu adresu. Možete ostaviti ovo prazno za korištenje sučelja zadane rute
8. U Right Address unesite javnu IP ili DNS adresu udaljenog kraja tunela (samo ako udaljeni kraj ima statičku ili DynDNS adresu). Inače ostavite ovo prazno
9. Ako Opengear VPN gateway služi kao VPN gateway za lokalnu podmrežu (npr. poslužitelj konzole ima konfiguriran LAN za upravljanje) unesite detalje privatne podmreže u Lijevu podmrežu. Koristite CIDR notaciju (gdje nakon broja IP adrese slijedi kosa crta i broj bitova `jedan' u binarnom zapisu mrežne maske). Na primjerample, 192.168.0.0/24 označava IP adresu gdje se prva 24 bita koriste kao mrežna adresa. Ovo je isto što i 255.255.255.0. Ako je VPN pristup samo poslužitelju konzole i njegovim priključenim uređajima serijske konzole, ostavite polje Left Subnet prazno
10. Ako postoji VPN pristupnik na udaljenom kraju, unesite detalje privatne podmreže u Desnu podmrežu. Koristite CIDR notaciju i ostavite prazno ako postoji samo udaljeni host
11. Izaberite Pokreni tunel ako se tunelska veza treba pokrenuti s kraja lijevog poslužitelja konzole. Ovo se može pokrenuti samo s VPN pristupnika (lijevo) ako je udaljeni kraj konfiguriran sa statičkom (ili DynDNS) IP adresom
12. Pritisnite Primijeni za spremanje promjena
NAPOMENA Pojedinosti konfiguracije postavljene na poslužitelju konzole (koji se naziva lijevi ili lokalni host) moraju odgovarati postavkama unesenim prilikom konfiguracije udaljenog (desnog) hosta/pristupnika ili softverskog klijenta. Pogledajte http://www.opengear.com/faq.html za detalje o konfiguraciji ovih udaljenih krajeva
3.10 OpenVPN
ACM7000, CM7100 i IM7200 s firmverom V3.2 i novijim uključuju OpenVPN. OpenVPN koristi OpenSSL biblioteku za enkripciju, autentifikaciju i certifikaciju, što znači da koristi SSL/TSL (Secure Socket Layer/Transport Layer Security) za razmjenu ključeva i može šifrirati i podatke i kontrolne kanale. Korištenje OpenVPN-a omogućuje izgradnju višeplatformskih VPN-ova od točke do točke koristeći X.509 PKI (Infrastruktura javnih ključeva) ili prilagođenu konfiguraciju files. OpenVPN omogućuje sigurno tuneliranje podataka kroz jedan TCP/UDP port preko nezaštićene mreže, čime se osigurava siguran pristup višestrukim stranicama i sigurna udaljena administracija na konzolnom poslužitelju preko Interneta. OpenVPN također dopušta korištenje dinamičkih IP adresa od strane poslužitelja i klijenta, čime se klijentu pruža mobilnost. Na primjerample, OpenVPN tunel može se uspostaviti između roaming Windows klijenta i Opengear konzolnog poslužitelja unutar podatkovnog centra. Konfiguracija OpenVPN-a može biti složena pa Opengear pruža GUI sučelje za osnovno postavljanje kao što je opisano u nastavku. Detaljnije informacije dostupne su na http://www.openvpn.net
3.10.1 Omogućite OpenVPN 1. Odaberite OpenVPN na izborniku Serial & Networks
53

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
2. Kliknite Dodaj i dovršite ekran Dodaj OpenVPN tunel 3. Unesite bilo koji opisni naziv koji želite da identificirate OpenVPN tunel koji dodajete, npr.ample
NorthStOutlet-VPN
4. Odaberite metodu provjere autentičnosti koja će se koristiti. Za autentifikaciju pomoću certifikata odaberite PKI (X.509 certifikati) ili odaberite Prilagođena konfiguracija za prijenos prilagođene konfiguracije files. Prilagođene konfiguracije moraju biti pohranjene u /etc/config.
NAPOMENA Ako odaberete PKI, uspostavite: Odvojeni certifikat (poznat i kao javni ključ). Ova potvrda File je *.crt file upišite privatni ključ za poslužitelj i svakog klijenta. Ovaj privatni ključ File je *.ključ file tip
Certifikat i ključ primarnog tijela za izdavanje certifikata (CA) koji se koristi za potpisivanje svakog poslužitelja
i potvrde klijenata. Ovaj korijenski CA certifikat je *.crt file tip Za poslužitelj, možda ćete također trebati dh1024.pem (Diffie Hellman parametri). Pogledajte http://openvpn.net/easyrsa.html za vodič za osnovno upravljanje RSA ključem. Za alternativne metode provjere autentičnosti pogledajte http://openvpn.net/index.php/documentation/howto.html#auth.
5. Odaberite upravljački program uređaja koji će se koristiti, bilo Tun-IP ili Tap-Ethernet. Upravljački programi TUN (mrežni tunel) i TAP (mrežni priključak) su virtualni mrežni upravljački programi koji podržavaju IP tuneliranje odnosno Ethernet tuneliranje. TUN i TAP dio su Linux kernela.
6. Odaberite UDP ili TCP kao protokol. UDP je zadani i preferirani protokol za OpenVPN. 7. Označite ili poništite odabir gumba Kompresija kako biste omogućili ili onemogućili kompresiju. 8. U načinu rada tunela odredite je li ovo kraj tunela za klijenta ili poslužitelja. Prilikom trčanja kao
poslužitelj, konzolni poslužitelj podržava više klijenata koji se povezuju na VPN poslužitelj preko istog priključka.
54

korisnički priručnik
3.10.2 Konfigurirajte kao poslužitelj ili klijent
1. Ispunite pojedinosti o klijentu ili pojedinosti o poslužitelju, ovisno o odabranom načinu rada tunela. o Ako je klijent odabran, adresa primarnog poslužitelja je adresa OpenVPN poslužitelja. o Ako je poslužitelj odabran, unesite mrežnu adresu skupa IP adresa i mrežnu masku skupa IP adresa za skup IP adresa. Mreža definirana skupom IP adresa/maske mreže koristi se za pružanje adresa za povezivanje klijenata.
2. Pritisnite Primijeni za spremanje promjena
55

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
3. Za unos potvrda o autentičnosti i files, odaberite Upravljanje OpenVPN-om Files tab. Učitajte ili pregledajte relevantne certifikate za provjeru autentičnosti i files.
4. Primijenite za spremanje promjena. Spremljeno fileprikazani su crvenom bojom na desnoj strani gumba Upload.
5. Kako biste omogućili OpenVPN, uredite OpenVPN tunel
56

korisnički priručnik
6. Provjerite gumb Omogućeno. 7. Primijeni za spremanje promjena NAPOMENA Provjerite je li sistemsko vrijeme poslužitelja konzole ispravno kada radite s OpenVPN-om kako biste izbjegli
pitanja autentifikacije.
8. Odaberite Statistika na izborniku Status kako biste potvrdili da tunel radi.
57

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
3.10.3 Postavljanje Windows OpenVPN klijenta i poslužitelja Ovaj odjeljak opisuje instalaciju i konfiguraciju Windows OpenVPN klijenta ili Windows OpenVPN poslužitelja i postavljanje VPN veze s konzolnim poslužiteljem. Konzolni poslužitelji automatski generiraju konfiguraciju Windows klijenta iz GUI-ja za unaprijed dijeljenu tajnu (statički ključ File) konfiguracije.
Alternativno, OpenVPN GUI za Windows softver (koji uključuje standardni OpenVPN paket plus Windows GUI) može se preuzeti s http://openvpn.net. Jednom kada se instalira na Windows stroj, ikona OpenVPN dodaje se u područje obavijesti koje se nalazi na desnoj strani programske trake. Desni klik na ovu ikonu za pokretanje i zaustavljanje VPN veza, uređivanje konfiguracija i view cjepanice.
Kada softver OpenVPN počne raditi, program C:Program FilesOpenVPNconfig mapa je skenirana za .opvn files. Ova se mapa ponovno provjerava za novu konfiguraciju files kad god se desni klik na ikonu OpenVPN GUI. Nakon što je OpenVPN instaliran, izradite konfiguraciju file:
58

korisnički priručnik

Pomoću uređivača teksta izradite xxxx.ovpn file i spremiti u C:Program FilesOpenVPNconfig. Na primjerample, C: Program FilesOpenVPNconfigclient.ovpn
Bivšiampdatoteke konfiguracije OpenVPN Windows klijenta file je prikazan ispod:
# description: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt ključ c:\openvpnkeys\client.key nobind persist-key persist- tun komp-lzo
Bivšiampdatoteke konfiguracije OpenVPN Windows poslužitelja file je prikazan ispod:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt ključ c:\openvpnkeys\server. ključ dh c:\openvpnkeys\dh.pem comp-lzo verb 1 syslog IM4216_OpenVPN_Server
Konfiguracija Windows klijent/poslužitelj file opcije su:

Opcije #description: Klijent poslužitelj proto udp proto tcp mssfix glagol
dev tun dev slavina

Opis Ovo je komentar koji opisuje konfiguraciju. Redovi komentara počinju s '#' i OpenVPN ih zanemaruje. Odredite hoće li ovo biti konfiguracija klijenta ili poslužitelja file. U konfiguraciji poslužitelja file, definirajte skup IP adresa i mrežnu masku. Na primjerample, server 10.100.10.0 255.255.255.0 Postavite protokol na UDP ili TCP. Klijent i poslužitelj moraju koristiti iste postavke. Mssfix postavlja maksimalnu veličinu paketa. Ovo je korisno samo za UDP ako se pojave problemi.
Postavi dnevnik file razina opširnosti. Razina opširnosti dnevnika može se postaviti od 0 (minimalno) do 15 (maksimum). Na primjerample, 0 = tiho osim za fatalne pogreške 3 = srednji izlaz, dobro za opću upotrebu 5 = pomaže kod problema s vezom za otklanjanje pogrešaka 9 = opširno, izvrsno za rješavanje problema Odaberite `dev tun' za stvaranje usmjerenog IP tunela ili `dev tap' za stvaranje Ethernet tunel. Klijent i poslužitelj moraju koristiti iste postavke.

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika

daljinski Port Keepalive
http-proxy cafile ime>
certfile ime>
ključfile ime>
dhfile ime> Nobind persist-key persist-tun šifra BF-CBC Blowfish (zadana) šifra AES-128-CBC AES šifra DES-EDE3-CBC Triple-DES comp-lzo syslog

Naziv hosta/IP OpenVPN poslužitelja kada radi kao klijent. Unesite DNS naziv hosta ili statičku IP adresu poslužitelja. UDP/TCP port poslužitelja. Keepalive koristi ping za održavanje OpenVPN sesije. 'Keepalive 10 120' šalje ping svakih 10 sekundi i pretpostavlja da je udaljeni ravnopravni uređaj nedostupan ako nijedan ping nije primljen u razdoblju od 120 sekundi. Ako je za pristup poslužitelju potreban proxy, unesite DNS naziv proxy poslužitelja ili IP i broj porta. Unesite CA certifikat file ime i mjesto. Isti CA certifikat file može koristiti poslužitelj i svi klijenti. Napomena: Provjerite je li svaki `' u putanji direktorija zamijenjen sa ` \'. Na primjerample, c:openvpnkeysca.crt će postati c:\openvpnkeys\ca.crt Unesite certifikat klijenta ili poslužitelja file ime i mjesto. Svaki klijent treba imati svoj certifikat i ključ files. Napomena: Provjerite je li svaki `' u putanji direktorija zamijenjen sa ` \'. Uđi file naziv i mjesto ključa klijenta ili poslužitelja. Svaki klijent treba imati svoj certifikat i ključ files. Napomena: Provjerite je li svaki `' u putanji direktorija zamijenjen sa ` \'. Ovo koristi samo poslužitelj. Unesite put do ključa s Diffie-Hellman parametrima. `Nobind' se koristi kada se klijenti ne trebaju vezati na lokalnu adresu ili određeni lokalni broj priključka. To je slučaj u većini klijentskih konfiguracija. Ova opcija sprječava ponovno učitavanje ključeva tijekom ponovnih pokretanja. Ova opcija sprječava zatvaranje i ponovno otvaranje TUN/TAP uređaja tijekom ponovnih pokretanja. Odaberite kriptografsku šifru. Klijent i poslužitelj moraju koristiti iste postavke.
Omogućite kompresiju na OpenVPN vezi. Ovo mora biti omogućeno i na klijentu i na poslužitelju. Prema zadanim postavkama, dnevnici se nalaze u syslogu ili, ako se izvodi kao usluga na Windowu, u programu FilesOpenVPNlog imenik.

Za pokretanje OpenVPN tunela nakon stvaranja konfiguracije klijent/poslužitelj files: 1. Desnom tipkom miša kliknite ikonu OpenVPN u području obavijesti 2. Odaberite novostvorenu konfiguraciju klijenta ili poslužitelja. 3. Pritisnite Poveži se

4. Dnevnik file se prikazuje kada se veza uspostavi
60

korisnički priručnik
5. Nakon uspostavljanja, ikona OpenVPN prikazuje poruku koja označava uspješnu vezu i dodijeljenu IP adresu. Ove informacije, kao i vrijeme kada je veza uspostavljena, dostupne su pomicanjem preko ikone OpenVPN.
3.11 PPTP VPN
Konzolni poslužitelji uključuju PPTP (Point-to-Point Tunneling Protocol) poslužitelj. PPTP se koristi za komunikaciju preko fizičke ili virtualne serijske veze. PPP krajnje točke same sebi definiraju virtualnu IP adresu. Rute prema mrežama mogu se definirati s ovim IP adresama kao pristupnicima, što rezultira slanjem prometa preko tunela. PPTP uspostavlja tunel između fizičkih PPP krajnjih točaka i sigurno prenosi podatke kroz tunel.
Snaga PPTP-a je njegova jednostavnost konfiguracije i integracije u postojeću Microsoftovu infrastrukturu. Obično se koristi za povezivanje pojedinačnih udaljenih Windows klijenata. Ako ponesete svoje prijenosno računalo na poslovno putovanje, možete birati lokalni broj za povezivanje sa svojim davateljem usluga pristupa internetu (ISP) i stvoriti drugu vezu (tunel) u svoju uredsku mrežu preko interneta i imati isti pristup korporativnu mrežu kao da ste povezani izravno iz svog ureda. Radnici na daljinu također mogu postaviti VPN tunel preko svog kabelskog modema ili DSL veze sa svojim lokalnim ISP-om.
61

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
Za postavljanje PPTP veze s udaljenog Windows klijenta na vaš Opengear uređaj i lokalnu mrežu:
1. Omogućite i konfigurirajte PPTP VPN poslužitelj na vašem Opengear uređaju 2. Postavite VPN korisničke račune na Opengear uređaju i omogućite odgovarajuće
autentifikacija 3. Konfigurirajte VPN klijente na udaljenim mjestima. Klijent ne zahtijeva poseban softver kao
PPTP poslužitelj podržava standardni PPTP klijentski softver uključen u Windows NT i novije verzije 4. Povežite se na udaljeni VPN 3.11.1 Omogućite PPTP VPN poslužitelj 1. Odaberite PPTP VPN na izborniku Serial & Networks
2. Odaberite potvrdni okvir Omogući kako biste omogućili PPTP poslužitelj. 3. Odaberite Minimalna potrebna provjera autentičnosti. Pristup je odbijen udaljenim korisnicima koji pokušavaju
povežite pomoću sheme provjere autentičnosti koja je slabija od odabrane sheme. Sheme su opisane u nastavku, od najjače do najslabije. · Šifrirana autentifikacija (MS-CHAP v2): najjača vrsta autentifikacije za korištenje; ovo je
preporučena opcija · Weakly Encrypted Authentication (CHAP): Ovo je najslabija vrsta šifrirane lozinke
autentifikaciju za korištenje. Ne preporučuje se da se klijenti povezuju pomoću ovoga jer pruža vrlo slabu zaštitu lozinkom. Također imajte na umu da klijenti koji se povezuju pomoću CHAP-a ne mogu šifrirati promet
62

korisnički priručnik
· Unencrypted Authentication (PAP): Ovo je provjera autentičnosti lozinke čistim tekstom. Prilikom korištenja ove vrste provjere autentičnosti, lozinka klijenta prenosi se nekriptirana.
· Ništa 4. Odaberite potrebnu razinu šifriranja. Pristup je odbijen udaljenim korisnicima koji se pokušavaju povezati
koji ne koriste ovu razinu enkripcije. 5. U Local Address unesite IP adresu koju ćete dodijeliti poslužiteljskom kraju VPN veze 6. U Remote Addresses unesite skup IP adresa koje ćete dodijeliti VPN-u dolaznog klijenta
veze (npr. 192.168.1.10-20). Ovo mora biti slobodna IP adresa ili raspon adresa s mreže koje su udaljeni korisnici dodijeljeni dok su povezani s Opengear uređajem 7. Unesite željenu vrijednost maksimalne jedinice prijenosa (MTU) za PPTP sučelja u polje MTU (zadano je 1400) 8. U polje DNS poslužitelj unesite IP adresu DNS poslužitelja koji dodjeljuje IP adrese povezujućim PPTP klijentima 9. U polje WINS poslužitelj unesite IP adresu WINS poslužitelja koji dodjeljuje IP adrese povezujućim PPTP klijentima 10. Omogućite opširno bilježenje za pomoć u otklanjanju grešaka u problemima veze 11. Pritisnite Primijeni postavke 3.11.2 Dodavanje PPTP korisnika 1. Odaberite Korisnici i grupe na izborniku Serial & Networks i ispunite polja kao što je opisano u odjeljku 3.2. 2. Osigurajte da je pptpd grupa označena kako bi se omogućio pristup PPTP VPN poslužitelju. Napomena – korisnici u ovoj grupi imaju svoje lozinke pohranjene u čistom tekstu. 3. Zabilježite korisničko ime i lozinku kada se trebate spojiti na VPN vezu 4. Kliknite Primijeni
63

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
3.11.3 Postavljanje udaljenog PPTP klijenta Provjerite ima li udaljeno VPN klijentsko računalo internetsku vezu. Da biste stvorili VPN vezu preko Interneta, morate postaviti dvije mrežne veze. Jedna veza je za ISP-a, a druga veza je za VPN tunel do Opengear uređaja. NAPOMENA Ovaj postupak postavlja PPTP klijenta u Windows Professional operativnom sustavu. Koraci
može malo varirati ovisno o vašem pristupu mreži ili ako koristite alternativnu verziju sustava Windows. Detaljnije upute dostupne su od Microsofta web mjesto. 1. Prijavite se na svoj Windows klijent s administratorskim ovlastima 2. Iz Centra za mrežu i dijeljenje na upravljačkoj ploči odaberite Mrežne veze i stvorite novu vezu
64

korisnički priručnik
3. Odaberite Koristi moju internetsku vezu (VPN) i unesite IP adresu Opengear uređaja. Za povezivanje udaljenih VPN klijenata s lokalnom mrežom morate znati korisničko ime i lozinku za PPTP račun koji ste dodali, kao i internetsku IP adresu adresa Opengear uređaja. Ako vam ISP nije dodijelio statičku IP adresu, razmislite o korištenju dinamičke DNS usluge. U suprotnom morate mijenjati konfiguraciju PPTP klijenta svaki put kada se promijeni vaša internetska IP adresa.
65

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika

3.12 Poziv kući
Svi konzolni poslužitelji uključuju značajku Call Home koja pokreće postavljanje sigurnog SSH tunela od konzolnog poslužitelja do centraliziranog Opengear Lighthousea. Konzolni poslužitelj registrira se kao kandidat na Lighthouseu. Nakon što ga ondje prihvati, postaje poslužitelj upravljane konzole.
Lighthouse nadzire poslužitelj upravljane konzole i administratori mogu pristupiti udaljenom poslužitelju upravljane konzole putem Lighthousea. Ovaj pristup je dostupan čak i kada je poslužitelj udaljene konzole iza vatrozida treće strane ili ima privatne IP adrese koje se ne mogu usmjeravati.

BILJEŠKA

Lighthouse održava SSH veze provjerene javnim ključem sa svakim od svojih poslužitelja upravljane konzole. Ove se veze koriste za nadzor, usmjeravanje i pristup poslužiteljima upravljane konzole i upravljanim uređajima povezanim na poslužitelj upravljane konzole.

Za upravljanje poslužiteljima lokalne konzole ili poslužiteljima konzole koji su dostupni iz Lighthousea, SSH veze pokreće Lighthouse.

Za upravljanje poslužiteljima udaljene konzole ili poslužiteljima konzole koji su zaštićeni vatrozidom, koji se ne mogu usmjeravati ili na neki drugi način nedostupni Lighthouseu, SSH veze pokreće Managed ConsoleServer putem početne veze Call Home.

Ovo osigurava sigurnu, autentificiranu komunikaciju i omogućuje jedinici poslužitelja upravljane konzole da se distribuiraju lokalno na LAN-u ili udaljeno diljem svijeta.

3.12.1 Postavljanje kandidata za Call Home Za postavljanje poslužitelja konzole kao kandidata za upravljanje Call Home na Lighthouseu:
1. Odaberite Call Home na izborniku Serial & Network

2. Ako već niste generirali ili učitali par SSH ključeva za ovaj poslužitelj konzole, učinite to prije nego nastavite
3. Pritisnite Dodaj

4. Unesite IP adresu ili DNS naziv (npr. dinamičku DNS adresu) Lighthousea.
5. Unesite lozinku koju ste konfigurirali na CMS-u kao lozinku za kućni poziv.
66

korisnički priručnik
6. Pritisnite Primijeni. Ovi koraci pokreću vezu Call Home s poslužitelja konzole na Lighthouse. Ovo stvara SSHlistening port na Lighthouseu i postavlja poslužitelj konzole kao kandidata.
Nakon što je kandidat prihvaćen na Lighthouseu, SSH tunel do poslužitelja konzole preusmjerava se natrag preko veze Call Home. Poslužitelj konzole postao je poslužitelj upravljane konzole i Lighthouse se može povezati s njim i nadzirati ga kroz ovaj tunel. 3.12.2 Prihvaćanje kandidata Call Home kao poslužitelja upravljane konzole na Lighthouseu Ovaj odjeljak daje pregledview o konfiguriranju Lighthousea za praćenje konzolnih Lighthouse poslužitelja koji su povezani putem Call Home. Za više detalja pogledajte Lighthouse korisnički priručnik:
1. Unesite novu lozinku za poziv kući na Lighthouse. Ova lozinka se koristi za prihvaćanje
Nazovite Homeconnections s poslužitelja konzole kandidata
2. Lighthouse se može kontaktirati putem konzolnog poslužitelja, on mora imati statičku IP adresu
adresu ili, ako koristite DHCP, biti konfiguriran za korištenje dinamičke DNS usluge
Zaslon Konfiguracija > Poslužitelji upravljane konzole na Lighthouseu prikazuje status
lokalni i udaljeni poslužitelji upravljane konzole i kandidati.
Odjeljak Managed Console Servers prikazuje konzolne poslužitelje koje nadzire
Lighthouse. Odjeljak Detected Console Servers sadrži:
o Padajući izbornik Poslužitelji lokalne konzole koji ispisuje sve poslužitelje konzole koji se nalaze na
ista podmreža kao Lighthouse i ne nadziru se
67

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
o Padajući izbornik Poslužitelji udaljene konzole koji ispisuje sve poslužitelje konzole koji su uspostavili vezu Call Home i ne nadziru se (tj. kandidati). Možete kliknuti Osvježi za ažuriranje
Za dodavanje kandidata za poslužitelj konzole na popis poslužitelja upravljane konzole, odaberite ga s padajućeg popisa poslužitelja udaljene konzole i kliknite Dodaj. Unesite IP adresu i SSH port (ako ova polja nisu automatski popunjena) i unesite opis i jedinstveni naziv za poslužitelj upravljane konzole koji dodajete
Unesite Remote Root Password (tj. lozinku sustava koja je postavljena na ovom poslužitelju upravljane konzole). Ovu lozinku koristi Lighthouse za širenje automatski generiranih SSH ključeva i ona se ne pohranjuje. Pritisnite Primijeni. Lighthouse postavlja sigurne SSH veze na i s poslužitelja upravljane konzole i dohvaća svoje upravljane uređaje, podatke o korisničkom računu i konfigurirana upozorenja 3.12.3 Pozivanje Home na generički središnji SSH poslužitelj Ako se povezujete na generički SSH poslužitelj (ne Lighthouse) možete konfigurirati Napredne postavke: · Unesite Port SSH poslužitelja i SSH korisnika. · Unesite pojedinosti za SSH port prosljeđivanje(e) za kreiranje
Odabirom Slušajućeg poslužitelja, možete stvoriti udaljeni port za prosljeđivanje s poslužitelja na ovu jedinicu ili lokalni port za prosljeđivanje s ove jedinice na poslužitelj:
68

korisnički priručnik
· Odredite slušajući port za prosljeđivanje, ostavite ovo polje praznim da biste dodijelili neiskorišteni port · Unesite ciljni poslužitelj i ciljni port koji će biti primatelj proslijeđenih veza
3.13 IP prolaz
IP Passthrough se koristi kako bi modemska veza (npr. interni mobilni modem) izgledala kao obična Ethernet veza prema nizvodnom usmjerivaču treće strane, dopuštajući nizvodnom usmjerivaču da koristi modemsku vezu kao primarno ili rezervno WAN sučelje.
Opengear uređaj daje IP adresu modema i pojedinosti o DNS-u nizvodnom uređaju preko DHCP-a i prosljeđuje mrežni promet do i od modema i usmjerivača.
Dok IP Passthrough pretvara Opengear u modem-to-Ethernet polumost, neke usluge sloja 4 (HTTP/HTTPS/SSH) mogu biti prekinute na Opengearu (Service Intercepts). Također, usluge koje rade na Opengearu mogu pokrenuti izlazne mobilne veze neovisno o usmjerivaču nizvodno.
To omogućuje da se Opengear nastavi koristiti za izvanpojasno upravljanje i uzbunjivanje te da se njime upravlja putem Lighthousea, dok je u IP Passthrough modu.
3.13.1 Podešavanje nizvodnog usmjerivača Da biste koristili mogućnost povezivanja u slučaju kvara na nizvodnom usmjerivaču (aka Failover to Cellular ili F2C), on mora imati dva ili više WAN sučelja.
NAPOMENA Nadilaženje greške u kontekstu IP prolaza izvodi nizvodni usmjerivač, a ugrađena logika izvanpojasnog slanja greške na Opengearu nije dostupna dok je u načinu IP prolaza.
Spojite Ethernet WAN sučelje na nizvodnom usmjerivaču na Opengear mrežno sučelje ili LAN priključak za upravljanje pomoću Ethernet kabela.
Konfigurirajte ovo sučelje na nizvodnom usmjerivaču za primanje mrežnih postavki putem DHCP-a. Ako je potreban failover, konfigurirajte nizvodni usmjerivač za failover između njegovog primarnog sučelja i Ethernet priključka spojenog na Opengear.
3.13.2 Predkonfiguracija IP Passthrougha Preduvjetni koraci za omogućavanje IP Passthrougha su:
1. Konfigurirajte mrežno sučelje i, gdje je primjenjivo, LAN sučelja za upravljanje sa statičkim mrežnim postavkama. · Pritisnite Serial & Network > IP. · Za mrežno sučelje i, gdje je primjenjivo, LAN za upravljanje, odaberite Statično za Metodu konfiguracije i unesite mrežne postavke (pogledajte odjeljak pod naslovom Konfiguracija mreže za detaljne upute). · Za sučelje spojeno na nizvodni usmjerivač, možete odabrati bilo koju namjensku privatnu mrežu. Ova mreža postoji samo između Opengeara i nizvodnog usmjerivača i obično nije dostupna. · Za drugo sučelje, konfigurirajte ga kao što biste normalno radili na lokalnoj mreži. · Za oba sučelja ostavite Gateway prazno.
2. Konfigurirajte modem u načinu rada Always On Out-of-band.
69

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
· Za mobilnu vezu kliknite Sustav > Biraj: Interni mobilni modem. · Odaberite Omogući Dial-Out i unesite podatke o operateru kao što je APN (pogledajte odjeljak Mobilni modem
Veza za detaljne upute). 3.13.3 Konfiguracija IP prolaza Za konfiguriranje IP prolaza:
· Pritisnite Serial & Network > IP Passthrough i označite Enable. · Odaberite Opengear modem koji ćete koristiti za upstream povezivanje. · Opcionalno, unesite MAC adresu povezanog sučelja nizvodnog usmjerivača. Ako je MAC adresa
nije navedeno, Opengear će proći do prvog nizvodnog uređaja koji zatraži DHCP adresu. · Odaberite Opengear Ethernet sučelje koje ćete koristiti za povezivanje s nizvodnim usmjerivačem.
· Pritisnite Primijeni. 3.13.4 Presretanja usluga One omogućuju Opengearu da nastavi pružati usluge, nprample, za izvanpojasno upravljanje kada je u IP Passthrough modu. Veze s adresom modema na navedenom ulazu(ima) za presretanje upravlja Opengear, a ne prosljeđuje se nizvodnom usmjerivaču.
· Za potrebnu uslugu HTTP, HTTPS ili SSH označite Omogući · Opcionalno promijenite Intercept Port na alternativni port (npr. 8443 za HTTPS), ovo je korisno ako
želite nastaviti dopuštati nizvodnom usmjerivaču da ostane dostupan putem svog uobičajenog priključka. 3.13.5 Status IP prolaza Osvježite stranicu na view odjeljak Status. Prikazuje vanjsku IP adresu modema kroz koju se prosljeđuje, unutarnju MAC adresu nizvodnog usmjerivača (popunjava se samo kada nizvodni usmjerivač prihvati zakup DHCP-a) i ukupni radni status usluge IP prolaza. Možete dobiti upozorenje o statusu preusmjeravanja nizvodnog usmjerivača konfiguriranjem provjere korištenja preusmjerenih podataka pod Upozorenja i bilježenje > Automatski odgovor. 3.13.6 Upozorenja Neki nizvodni usmjerivači mogu biti nekompatibilni s rutom pristupnika. To se može dogoditi kada IP Passthrough premošćuje 3G mobilnu mrežu gdje je adresa pristupnika odredišna adresa od točke do točke i nema dostupnih podataka o podmreži. Opengear šalje DHCP mrežnu masku od 255.255.255.255. Uređaji to obično tumače kao rutu jednog glavnog računala na sučelju, ali neki stariji uređaji koji se nalaze nizvodno mogu imati problema.
70

korisnički priručnik
Presretanje lokalnih usluga neće raditi ako Opengear koristi zadanu rutu koja nije modem. Također, neće raditi ako usluga nije omogućena i pristup usluzi nije omogućen (pogledajte Sustav > Usluge, pod karticom Pristup usluzi pronađite Dialout/Cellular).
Podržane su izlazne veze koje potječu iz Opengeara na udaljene usluge (npr. slanje SMTP upozorenja e-poštom, SNMP zamke, dobivanje NTP vremena, IPSec tuneli). Postoji mali rizik od kvara veze ako i Opengear i nizvodni uređaj pokušaju pristupiti istom UDP ili TCP priključku na istom udaljenom glavnom računalu u isto vrijeme kada su nasumično odabrali isti izvorni broj lokalnog priključka.
3.14 Konfiguracija preko DHCP-a (ZTP)
Opengear uređaji mogu se osigurati tijekom njihovog početnog pokretanja s DHCPv4 ili DHCPv6 poslužitelja pomoću config-over-DHCP. Omogućavanje na nepouzdanim mrežama može se olakšati pružanjem ključeva na USB flash disku. Funkcionalnost ZTP također se može koristiti za izvođenje nadogradnje firmvera pri početnoj vezi s mrežom ili za upis u Lighthouse 5 instancu.
Priprema Tipični koraci za konfiguraciju preko pouzdane mreže su:
1. Konfigurirajte Opengear uređaj istog modela. 2. Spremite njegovu konfiguraciju kao Opengear sigurnosnu kopiju (.opg) file. 3. Odaberite Sustav > Sigurnosna kopija konfiguracije > Udaljena sigurnosna kopija. 4. Pritisnite Spremi sigurnosnu kopiju. Sigurnosna konfiguracija file — model-name_iso-format-date_config.opg — preuzima se s Opengear uređaja u lokalni sustav. Konfiguraciju možete spremiti kao xml file: 1. Odaberite Sustav > Sigurnosna kopija konfiguracije > XML konfiguracija. Polje za uređivanje koje sadrži
konfiguracija file pojavljuje se u XML formatu. 2. Pritisnite polje kako biste ga učinili aktivnim. 3. Ako koristite bilo koji preglednik u sustavu Windows ili Linux, desnom tipkom miša kliknite i odaberite Odaberi sve iz
kontekstualni izbornik ili pritisnite Control-A. Kliknite desnom tipkom miša i odaberite Kopiraj iz kontekstualnog izbornika ili pritisnite Control-C. 4. Ako koristite bilo koji preglednik na macOS-u, odaberite Uredi > Odaberi sve ili pritisnite Command-A. Odaberite Uredi > Kopiraj ili pritisnite Command-C. 5. U svom omiljenom uređivaču teksta stvorite novi prazan dokument, zalijepite kopirane podatke u prazan dokument i spremite file. Što god file-naziv koji odaberete, mora sadržavati .xml filesufiks imena. 6. Kopirajte spremljeni .opg ili .xml file u javni imenik na a file poslužitelj koji poslužuje barem jedan od sljedećih protokola: HTTPS, HTTP, FTP ili TFTP. (Samo se HTTPS može koristiti ako veza između file poslužitelj i Opengear uređaj koji treba konfigurirati putuje preko nepouzdane mreže.). 7. Konfigurirajte svoj DHCP poslužitelj da uključi opciju `specifičnu za dobavljača' za Opengear uređaje. (Ovo će biti učinjeno na način specifičan za DHCP poslužitelj.) Specifična opcija dobavljača trebala bi biti postavljena na niz koji sadrži URL objavljenih .opg ili .xml file u koraku iznad. Opcijski niz ne smije premašiti 250 znakova i mora završavati s .opg ili .xml.
71

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
8. Spojite novi Opengear uređaj, bilo s tvornički postavljenim ili Config-Erased, na mrežu i uključite napajanje. Može potrajati do 5 minuta dok se uređaj sam ne pokrene.
Example ISC DHCP (dhcpd) konfiguracija poslužitelja
Sljedeći je bivšiample konfiguracijski fragment DHCP poslužitelja za posluživanje .opg konfiguracijske slike putem ISC DHCP poslužitelja, dhcpd:
opcija prostor opengear šifra širina 1 duljina širina 1; opcija opengear.config-url kod 1 = tekst; klasa “opengear-config-over-dhcp-test” {
podudari se ako opcija vendor-class-identifier ~~ “^Opengear/”; vendor-option-space opengear; opcija opengear.config-url “https://example.com/opg/${class}.opg”; }
Ova postavka se može modificirati za nadogradnju konfiguracijske slike pomoću opengear.image-url opcija i pružanje URI-ja slici firmvera.
Postavljanje kada je LAN nepouzdan Ako veza između file poslužitelj i Opengear uređaj koji treba konfigurirati uključuje nepouzdanu mrežu, pristup s dvije ruke može ublažiti problem.
NAPOMENA Ovaj pristup uvodi dva fizička koraka u kojima može biti teško, ako ne i nemoguće, potpuno uspostaviti povjerenje. Prvo, lanac nadzora od stvaranja USB flash pogona za nošenje podataka do njegove implementacije. Drugo, ruke koje povezuju USB flash pogon s Opengear uređajem.
· Generirajte X.509 certifikat za Opengear uređaj.
· Spojite certifikat i njegov privatni ključ u jedan file imenovan klijent.pem.
· Kopirajte client.pem na USB flash pogon.
· Postavite HTTPS poslužitelj tako da pristup .opg ili .xml file ograničeno je na klijente koji mogu pružiti X.509 klijentski certifikat generiran gore.
· Stavite kopiju CA certifikata koji je potpisao certifikat HTTP poslužitelja — ca-bundle.crt — na USB flash pogon koji nosi client.pem.
· Umetnite USB flash pogon u Opengear uređaj prije priključivanja napajanja ili mreže.
· Nastavite postupak od `Kopiraj spremljeni .opg ili .xml file u javni imenik na a file poslužitelj' iznad koristeći HTTPS protokol između klijenta i poslužitelja.
Pripremite USB pogon i izradite X.509 certifikat i privatni ključ
· Generirajte CA certifikat kako bi se zahtjevi za potpisivanje certifikata (CSR) klijenta i poslužitelja mogli potpisati.
# cp /etc/ssl/openssl.cnf. # mkdir -p prampleCA/newcerts # echo 00 > prampleCA/serial # echo 00 > prampleCA/crlbroj # dodir prampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Ovaj postupak generira certifikat nazvan ExampleCA, ali se može koristiti bilo koji dopušteni naziv certifikata. Također, ova procedura koristi openssl ca. Ako vaša organizacija ima siguran proces generiranja CA za cijelo poduzeće, trebao bi se koristiti umjesto njega.
72

korisnički priručnik
· Generirajte certifikat poslužitelja.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-ključfile ca.ključ -politika politika_bilo što -serija -bez teksta
NAPOMENA Ime glavnog računala ili IP adresa mora biti isti niz koji se koristi u posluživanju URL. U bivšojampgore, naziv hosta je demo.example.com.
· Generirajte certifikat klijenta.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-ključfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatirajte USB flash pogon kao jedan FAT32 volumen.
· Premjestite client.pem i ca-bundle.crt files u korijenski direktorij flash pogona.
Otklanjanje pogrešaka ZTP problema Koristite značajku ZTP dnevnika za uklanjanje pogrešaka ZTP problema. Dok uređaj pokušava izvršiti ZTP operacije, podaci dnevnika se zapisuju u /tmp/ztp.log na uređaju.
Sljedeći je bivšiample od trupca file od uspješnog ZTP trčanja.
# cat /tmp/ztp.log srijeda, 13. prosinca, 22:22:17 UTC 2017. [obavijest 5127] odhcp6c.eth0: vraćanje konfiguracije putem DHCP-a srijeda, 13. prosinca, 22:22:17 UTC 2017. [obavijest 5127] odhcp6c.eth0: čekanje 10 s za poravnanje mreže srijeda, 13. prosinca 22:22:27 UTC 2017. [5127 obavijest] odhcp6c.eth0: NTP preskočen: nema poslužitelja srijeda, 13. prosinca 22:22:27 UTC 2017. [5127 info] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Srijeda, 13. prosinca 22:22:27 UTC 2017. [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) Srijeda 13. prosinca 22:22:27 UTC 2017. [5127 informacija] odhcp6c.eth0: vendorspec.3 (n/a) srijeda 13. prosinca 22:22:27 UTC 2017. [5127 informacija] odhcp6c.eth0: vendorspec.4 (n/a) ) Srijeda, 13. prosinca 22:22:27 UTC 2017. [5127 informacija] odhcp6c.eth0: vendorspec.5 (n/a) Srijeda, 13. prosinca 22:22:28 UTC 2017. [5127 informacija] odhcp6c.eth0: vendorspec.6 (n /a) Srijeda, 13. prosinca 22:22:28 UTC 2017. [5127 info] odhcp6c.eth0: nema firmvera za preuzimanje (vendorspec.2) backup-url: pokušava http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: prisiljavanje načina wan konfiguracije na DHCP sigurnosnu kopiju-url: postavljanje naziva glavnog računala na acm7004-0013c601ce97 backup-url: učitavanje uspješno srijeda, 13. prosinca 22:22:36 UTC 2017. [obavijest 5127] odhcp6c.eth0: uspješno učitavanje konfiguracije srijeda, 13. prosinca 22:22:36 UTC 2017. [5127 info] odhcp6c.eth0: nema konfiguracije svjetionika (vendorspec.3/ 4/5/6) Srijeda, 13. prosinca 22:22:36 UTC 2017. [obavijest 5127] odhcp6c.eth0: dodjela dovršena, bez ponovnog pokretanja
Pogreške se bilježe u ovom dnevniku.
3.15 Upis u Lighthouse
Upotrijebite Enrollment into Lighthouse za upis Opengear uređaja u Lighthouse instancu, pružajući centralizirani pristup priključcima konzole i dopuštajući središnju konfiguraciju Opengear uređaja.
Pogledajte Lighthouse korisnički priručnik za upute za prijavu Opengear uređaja u Lighthouse.
73

Poglavlje 3: Serijski priključak, konfiguracija uređaja i korisnika
3.16 Omogući DHCPv4 relej
Usluga DHCP releja prosljeđuje DHCP pakete između klijenata i udaljenih DHCP poslužitelja. Usluga DHCP releja može se omogućiti na poslužitelju Opengear konzole, tako da osluškuje DHCP klijente na određenim nižim sučeljima, preoblikuje i prosljeđuje njihove poruke do DHCP poslužitelja koristeći ili normalno usmjeravanje ili emitiranje izravno na određena gornja sučelja. DHCP relejni agent tako prima DHCP poruke i generira novu DHCP poruku za slanje na drugo sučelje. U koracima ispod, poslužitelji konzole mogu se povezati s ID-ovima krugova, Ethernetom ili ćelijskim modemima koristeći uslugu DHCPv4 Relay.
DHCPv4 relej + DHCP opcija 82 (circuit-id) Infrastruktura – lokalni DHCP poslužitelj, ACM7004-5 za relej, bilo koji drugi uređaji za klijente. Bilo koji uređaj s LAN ulogom može se koristiti kao relej. U ovom prample, 192.168.79.242 je adresa za klijentovo relejno sučelje (kao što je definirano u konfiguraciji DHCP poslužitelja file gore), a 192.168.79.244 je gornja adresa sučelja relejne kutije, a enp112s0 je nizvodno sučelje DHCP poslužitelja.
1 Infrastruktura – DHCPv4 relej + DHCP opcija 82 (circuit-id)
Koraci na DHCP poslužitelju 1. Postavite lokalni DHCP v4 poslužitelj, posebno bi trebao sadržavati unos "host" kao ispod za DHCP klijent: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; host-identifier option agent.circuit-id “relay1”; fiksna adresa 192.168.79.242; } Napomena: redak “hardware ethernet” je komentiran, tako da će DHCP poslužitelj koristiti postavku “circuit-id” za dodjelu adrese za relevantnog klijenta. 2. Ponovno pokrenite DHCP poslužitelj za ponovno učitavanje njegove promijenjene konfiguracije file. pkill -HUP dhcpd
74

korisnički priručnik
3. Ručno dodajte rutu glavnog računala klijentskom "relejnom" sučelju (sučelje iza DHCP releja, a ne druga sučelja koja klijent također može imati:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Ovo će pomoći u izbjegavanju problema asimetričnog usmjeravanja kada klijent i DHCP poslužitelj žele pristupiti jedan drugome preko klijentovog relejnog sučelja, kada klijent ima druga sučelja u istom podmreža DHCP skupa adresa.
Napomena: Ovaj korak je neophodan kako bi dhcp poslužitelj i klijent mogli međusobno pristupiti.
Koraci na relejnoj kutiji – ACM7004-5
1. Postavite WAN/eth0 u statički ili dhcp način (ne nekonfigurirani način). Ako je u statičkom načinu rada, mora imati IP adresu unutar skupa adresa DHCP poslužitelja.
2. Primijenite ovu konfiguraciju kroz CLI (gdje je 192.168.79.1 adresa DHCP poslužitelja)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Niže sučelje DHCP releja mora imati statičku IP adresu unutar skupa adresa DHCP poslužitelja. U ovom prample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Pričekajte kratko da klijent dobije DHCP najam putem releja.
Koraci na klijentu (CM7116-2-dac u ovom prample ili bilo koji drugi OG CS)
1. Priključite klijentov LAN/eth1 na relejni LAN/eth1 2. Konfigurirajte klijentov LAN da dobije IP adresu putem DHCP-a kao što je uobičajeno 3. Nakon što klije

Dokumenti / Resursi

opengear ACM7000 Remote Site Gateway [pdf] Korisnički priručnik
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Reference

korisnički priručnik

opengear ACM7000 Remote Site Gateway

Informacije o proizvodu

Upute za uporabu proizvoda

FAQ

Ovaj priručnik

Konfiguracija sustava

Serijski priključak, host, uređaj i konfiguracija korisnika

Dokumenti / Resursi

Reference

Ostavite komentar

Odustani od odgovora