opengear ACM7000 Remote Site Gateway
Enfòmasyon sou pwodwi
Espesifikasyon:
- Pwodwi: ACM7000 Remote Site Gateway
- Modèl: ACM7000-L Rezilyans Gateway
- Jesyon Sistèm: Manadjè enfrastrikti IM7200
- Sèvè konsole: CM7100
- Vèsyon: 5.0 – 2023-12
Enstriksyon Itilizasyon Pwodwi
Prekosyon sekirite:
Pa konekte oswa dekonekte sèvè konsole a pandan yon tanpèt elektrik. Toujou sèvi ak yon sipresyon vag oswa UPS pou pwoteje ekipman an kont pasajè.
Avètisman FCC:
Aparèy sa a konfòm ak Pati 15 règleman FCC yo. Fonksyone aparèy sa a sijè a kondisyon sa yo: (1) Aparèy sa a pa ka lakòz entèferans danjere, epi (2) aparèy sa a dwe aksepte nenpòt entèferans ki ka lakòz operasyon endezirab.
FAQ
- K: Èske mwen ka itilize ACM7000 Remote Site Gateway pandan yon tanpèt elektrik?
- A: Non, li konseye pa konekte oswa dekonekte sèvè konsole a pandan yon tanpèt elektrik pou anpeche domaj.
- K: Ki vèsyon règleman FCC aparèy la respekte?
- A: Aparèy la konfòm ak Pati 15 nan règleman FCC yo.
Manyèl itilizatè
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Manadjè enfrastrikti CM7100 Sèvè konsole
Vèsyon 5.0 - 2023-12
Sekirite
Swiv prekosyon sekirite ki anba yo lè w ap enstale ak opere sèvè konsole a: · Pa retire kouvèti metal yo. Pa gen okenn konpozan ki itil pou operatè andedan. Louvri oswa retire kouvèti a ka ekspoze ou a danjere voltage ki ka lakòz dife oswa chòk elektrik. Refere tout sèvis yo bay pèsonèl ki kalifye Opengear. · Pou evite chòk elektrik kòd elektrik pwoteksyon kondiktè tè a dwe konekte nan tè a. · Toujou rale sou ploge a, pa kab la, lè dekonekte fil elektrik la soti nan priz la.
Pa konekte oswa dekonekte sèvè konsole a pandan yon tanpèt elektrik. Epitou sèvi ak yon sipresyon vag oswa UPS pou pwoteje ekipman an kont pasajè.
Deklarasyon Avètisman FCC
Aparèy sa a konfòm ak Pati 15 règleman FCC yo. Operasyon aparèy sa a sijè a sa ki annapre yo
kondisyon: (1) Aparèy sa a pa ka lakòz entèferans danjere, epi (2) aparèy sa a dwe aksepte nenpòt entèferans ki ka lakòz operasyon endezirab.
Yo ta dwe itilize bon sistèm back-up ak aparèy sekirite ki nesesè pou pwoteje kont blesi, lanmò oswa domaj pwopriyete akòz echèk sistèm. Pwoteksyon sa a se responsablite itilizatè a. Aparèy sèvè konsole sa a pa apwouve pou itilize kòm yon sipò lavi oswa sistèm medikal. Nenpòt chanjman oswa modifikasyon ki fèt nan aparèy sèvè konsole sa a san apwobasyon eksplisit oswa konsantman Opengear pral anile Opengear nan nenpòt responsablite oswa responsablite nan aksidan oswa pèt ki te koze pa nenpòt ki fonksyone byen. Ekipman sa a se pou itilize andedan kay la epi tout fil elektrik kominikasyon yo limite a andedan bilding lan.
2
Manyèl itilizatè
Copyright
©Opengear Inc. 2023. Tout dwa rezève. Enfòmasyon ki nan dokiman sa a kapab chanje san avètisman epi yo pa reprezante yon angajman Opengear. Opengear bay dokiman sa a "jan li ye a," san okenn kalite garanti, eksprime oswa implicite, ki gen ladan, men pa limite a, garanti implicite nan kondisyon fizik oswa komèsan pou yon objektif patikilye. Opengear ka fè amelyorasyon ak/oswa chanjman nan manyèl sa a oswa nan pwodwi (yo) ak/oswa pwogram (yo) ki dekri nan manyèl sa a nenpòt ki lè. Pwodwi sa a ka gen ladan erè teknik oswa erè tipografik. Yo fè chanjman detanzantan nan enfòmasyon ki nan la a; chanjman sa yo ka enkòpore nan nouvo edisyon piblikasyon an.\
Chapit 1
Manyèl sa a
MANYÈL SA A
Manyèl Itilizatè sa a eksplike enstale, opere ak jere sèvè konsole Opengear yo. Manyèl sa a sipoze ou abitye ak rezo Entènèt ak IP, HTTP, FTP, operasyon sekirite debaz yo, ak rezo entèn òganizasyon w lan.
1.1 Kalite itilizatè yo
Sèvè konsole a sipòte de klas itilizatè:
· Administratè ki gen privilèj konfigirasyon ak jesyon san limit sou konsole a
sèvè ak aparèy ki konekte ansanm ak tout sèvis ak pò pou kontwole tout aparèy ki konekte seri ak aparèy ki konekte nan rezo (lame). Administratè yo tabli kòm manm gwoup itilizatè admin. Yon administratè ka jwenn aksè ak kontwole sèvè konsole a lè l sèvi avèk sèvis piblik konfigirasyon an, liy kòmand Linux la oswa konsole jesyon ki baze sou navigatè a.
· Itilizatè ki te etabli pa yon administratè ak limit aksè ak otorite kontwòl yo.
Itilizatè yo gen yon limite view nan Konsole Jesyon an epi yo ka sèlman jwenn aksè otorize aparèy konfigirasyon ak review mòso bwa pò. Itilizatè sa yo tabli kòm manm youn oswa plizyè gwoup itilizatè prekonfigirasyon tankou PPTPD, dialin, FTP, pmshell, itilizatè, oswa gwoup itilizatè administratè a te ka kreye. Yo sèlman otorize pou fè kontwòl espesifik sou aparèy espesifik konekte. Itilizatè yo, lè yo gen otorizasyon, ka jwenn aksè ak kontwole aparèy seri oswa rezo konekte lè l sèvi avèk sèvis espesifye (egzanp Telnet, HHTPS, RDP, IPMI, Serial sou LAN, Kontwòl pouvwa). Itilizatè Remote yo se itilizatè ki pa sou menm segman LAN ak sèvè konsole a. Yon itilizatè aleka ka sou wout la ki konekte ak aparèy jere sou Entènèt piblik la, yon administratè nan yon lòt biwo ki konekte ak sèvè konsole a sou vpn antrepriz la, oswa nan menm chanm nan oswa menm biwo a men ki konekte sou yon VLAN separe ak konsole a. sèvè.
1.2 Konsole Jesyon
Opengear Management Console pèmèt ou konfigirasyon epi kontwole karakteristik sèvè konsole Opengear ou a. Konsole Jesyon an kouri nan yon navigatè epi li bay yon view nan sèvè konsole a ak tout aparèy ki konekte. Administratè yo ka itilize Konsole Jesyon an pou konfigirasyon ak jere sèvè konsole a, itilizatè yo, pò yo, lame yo, aparèy pouvwa yo, ak mòso bwa ki asosye ak alèt yo. Itilizatè ki pa admin yo ka itilize Konsole Jesyon an ak aksè limite nan meni pou kontwole aparèy chwazi yo, review mòso bwa yo, epi jwenn aksè yo lè l sèvi avèk bati-an Web tèminal.
Sèvè konsole a kouri yon sistèm operasyon Linux entegre, epi li ka konfigirasyon nan liy lòd la. Ou ka jwenn aksè nan liy lòd pa selilè / dial-in, dirèkteman konekte nan seri konsole / pò modèm sèvè konsole a, oswa lè w itilize SSH oswa Telnet pou konekte avèk sèvè konsole a sou LAN (oswa konekte ak PPTP, IPsec oswa OpenVPN) .
6
Manyèl itilizatè
Pou kòmandman koòdone liy kòmand (CLI) ak enstriksyon avanse, telechaje Opengear CLI ak Scripting Reference.pdf soti nan https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Plis enfòmasyon
Pou plis enfòmasyon, konsilte: · Opengear Products Web Sit: Gade https://opengear.com/products. Pou jwenn enfòmasyon ki pi ajou sou sa ki enkli ak sèvè konsole ou a, vizite seksyon Ki sa ki enkli pou pwodwi patikilye ou a. · Gid Quick Start: Pou jwenn Gid Quick Start pou aparèy ou an gade https://opengear.com/support/documentation/. · Opengear Knowledge Base: Vizite https://opengear.zendesk.com pou jwenn aksè nan atik teknik teknik, konsèy teknoloji, FAQ, ak notifikasyon enpòtan. · Opengear CLI ak referans script: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7
Chapit 2:
Konfigirasyon sistèm
KONFIGURASYON SISTÈM
Chapit sa a bay enstriksyon etap pa etap pou konfigirasyon inisyal sèvè konsole w la epi konekte li ak LAN Jesyon oswa Operasyonèl. Etap yo se:
Aktive Konsole Jesyon an. Chanje modpas administratè a. Mete pò LAN prensipal konsole sèvè adrès IP la. Chwazi sèvis yo dwe aktive ak privilèj aksè. Chapit sa a tou diskite sou zouti lojisyèl kominikasyon ke yon administratè ka itilize pou jwenn aksè nan sèvè konsole a, ak konfigirasyon pò LAN adisyonèl yo.
2.1 Koneksyon Konsole Jesyon
Sèvè konsole ou a vini configuré ak yon adrès IP default 192.168.0.1 ak mask subnet 255.255.255.0 pou NET1 (WAN). Pou premye konfigirasyon, nou rekòmande pou w konekte yon òdinatè dirèkteman nan konsole a. Si w chwazi konekte LAN w la anvan w konplete premye etap konfigirasyon yo, asire w ke:
· Pa gen lòt aparèy sou LAN ak adrès 192.168.0.1. · Sèvè konsole a ak òdinatè a sou menm segman LAN, san routeur entèpoze
aparèy yo.
2.1.1 Konfigirasyon òdinatè konekte Pou konfigirasyon sèvè konsole a ak yon navigatè, òdinatè ki konekte a ta dwe gen yon adrès IP nan menm ranje ak sèvè konsole a (pa egzanp.ample, 192.168.0.100):
· Pou konfigirasyon adrès IP nan òdinatè Linux oswa Unix ou a, kouri ifconfig. · Pou Windows PC:
1. Klike sou Kòmanse > Anviwònman > Kontwòl Panel ak doub klike sou Koneksyon Rezo. 2. Dwa klike sou Koneksyon Zòn Lokal epi chwazi Pwopriyete. 3. Chwazi Pwotokòl Entènèt (TCP/IP) epi klike sou Pwopriyete. 4. Chwazi Sèvi ak adrès IP sa a epi antre detay sa yo:
o Adrès IP: 192.168.0.100 o Mask Subnet: 255.255.255.0 5. Si ou vle kenbe paramèt IP ki egziste deja ou pou koneksyon rezo sa a, klike sou Avanse epi ajoute sa ki anwo a kòm yon koneksyon IP segondè.
2.1.2 Koneksyon navigatè
Louvri yon navigatè sou PC / estasyon travay ki konekte a epi antre https://192.168.0.1.
Konekte avèk:
Non itilizatè> Rasin Modpas> default
8
Manyèl itilizatè
Premye fwa ou konekte, ou oblije chanje modpas rasin lan. Klike sou Soumèt.
Pou konplete chanjman an, antre nouvo modpas la ankò. Klike sou Soumèt. Ekran Byenveni an parèt.
Si sistèm ou a gen yon modèm selilè yo pral ba w etap sa yo pou konfigirasyon karakteristik routeur selilè yo: · Konfigure koneksyon modèm selilè a (Sistèm > Paj Rele. Gade Chapit 4) · Pèmèt transfè nan rezo destinasyon selilè a (Sistèm > Paj Firewall. Gade Chapit 4) · Pèmèt IP masquerading pou koneksyon selilè (Sistèm > Paj Firewall. Gade Chapit 4)
Apre w fin ranpli chak etap ki anwo yo, ou ka retounen nan lis konfigirasyon an lè w klike sou logo Opengear ki nan kwen anlè gòch ekran an. REMAK Si ou pa kapab konekte nan Konsole Jesyon an nan 192.168.0.1 oswa si default la
Yo pa aksepte non itilizatè / modpas, reset sèvè konsole ou a (Gade Chapit 10).
9
Chapit 2: Konfigirasyon Sistèm
2.2 Administratè mete kanpe
2.2.1 Chanje modpas sistèm rasin default Ou oblije chanje modpas rasin lan lè ou premye konekte nan aparèy la. Ou ka chanje modpas sa a nenpòt ki lè.
1. Klike sou Serial & Rezo > Itilizatè & Gwoup oswa, sou ekran Byenveni nan, klike sou Chanje modpas administrasyon default.
2. Scroll down epi lokalize antre itilizatè rasin anba Itilizatè yo epi klike sou Edit. 3. Antre nouvo modpas la nan Modpas la ak Konfime jaden.
REMAK Lè w tcheke Sove modpas la atravè efase firmwèr la, sa sove modpas la pou li pa efase lè firmwèr la reset. Si modpas sa a pèdi, aparèy la ap bezwen refè firmwèr.
4. Klike sou Aplike. Konekte avèk nouvo modpas la 2.2.2 Mete yon nouvo administratè Kreye yon nouvo itilizatè ki gen privilèj administratif epi konekte kòm itilizatè sa a pou fonksyon administrasyon, olye ke itilize rasin.
10
Manyèl itilizatè
1. Klike sou Serial & Rezo > Itilizatè & Gwoup. Scroll nan pati anba a nan paj la epi klike sou bouton an Add User.
2. Antre yon non itilizatè. 3. Nan seksyon Gwoup yo, tcheke bwat admin la. 4. Antre yon modpas nan Modpas la ak Konfime jaden.
5. Ou ka ajoute tou SSH Kle Otorize epi chwazi Enfim Otantifikasyon Modpas pou itilizatè sa a.
6. Opsyon adisyonèl pou itilizatè sa a ka mete sou paj sa a ki gen ladan Opsyon Rele-an, Hôts aksesib, pò aksesib, ak plòg RPC aksesib.
7. Klike sou bouton Aplike nan pati anba ekran an pou kreye nouvo itilizatè sa a.
11
Chapit 2: Konfigirasyon Sistèm
2.2.3 Ajoute Non Sistèm, Deskripsyon Sistèm, ak MOTD. 1. Chwazi Sistèm > Administrasyon. 2. Antre yon non sistèm ak yon deskripsyon sistèm pou sèvè konsole a pou ba li yon idantite inik ak rann li pi fasil pou idantifye. Non sistèm ka genyen ant 1 a 64 karaktè alfanumerik ak karaktè espesyal yo souliye (_), mwens (-), ak peryòd (.). Deskripsyon Sistèm ka genyen jiska 254 karaktè.
3. Banner MOTD a ka itilize pou montre yon mesaj tèks jounen an bay itilizatè yo. Li parèt sou bò gòch anwo nan ekran an anba logo Opengear la.
4. Klike sou Aplike.
12
Chapit 2: Konfigirasyon Sistèm
5. Chwazi Sistèm > Administrasyon. 6. Banner MOTD a ka itilize pou montre yon mesaj tèks jounen an bay itilizatè yo. Li parèt sou la
anwo gòch nan ekran ki anba logo Opengear la. 7. Klike sou Aplike.
2.3 Konfigirasyon Rezo
Antre yon adrès IP pou pò Ethernet prensipal (LAN/Rezo/Rezo1) sou sèvè konsole a oswa pèmèt kliyan DHCP li a otomatikman jwenn yon adrès IP nan yon sèvè DHCP. Pa default, sèvè konsole a gen kliyan DHCP li yo aktive epi otomatikman aksepte nenpòt adrès IP rezo a yon sèvè DHCP plase sou rezo w la. Nan eta inisyal sa a, sèvè konsole a pral reponn tou de adrès Estatik default li yo 192.168.0.1 ak adrès DHCP li yo.
1. Klike sou Sistèm > IP epi klike sou tab Entèfas rezo a. 2. Chwazi swa DHCP oswa Statik pou Metòd Konfigirasyon an.
Si w chwazi Statik, antre adrès IP, Mask Subnet, Gateway ak detay sèvè DNS. Seleksyon sa a enfim kliyan DHCP la.
12
Manyèl itilizatè
3. Konsole sèvè pò LAN otomatikman detekte vitès koneksyon Ethernet la. Sèvi ak lis déroulant Media pou bloke Ethernet a 10 Mb/s oswa 100Mb/s ak Full Duplex oswa Half Duplex.
Si w rankontre pèt pake oswa move pèfòmans rezo ak anviwònman Auto a, chanje anviwònman Ethernet Media sou sèvè konsole a ak aparèy li konekte a. Nan pifò ka yo, chanje tou de nan 100baseTx-FD (100 megabit, plen duplex).
4. Si w chwazi DHCP, sèvè konsole a ap chèche detay konfigirasyon nan yon sèvè DHCP. Seleksyon sa a enfim nenpòt adrès estatik. Ou ka jwenn adrès MAC sèvè konsole a sou yon etikèt sou plak debaz la.
5. Ou ka antre yon adrès segondè oswa yon lis adrès ki separe ak vigil nan notasyon CIDR, pa egzanp 192.168.1.1/24 kòm yon IP Alias.
6. Klike sou Aplike 7. Rekonekte navigatè a sou òdinatè a ki konekte ak sèvè konsole a lè w antre
http://your new IP address.
Si ou chanje adrès IP sèvè konsole a, ou bezwen rekonfigire òdinatè w lan pou gen yon adrès IP nan menm seri rezo a ak nouvo adrès sèvè konsole a. Ou ka mete MTU a sou Ethernet interfaces. Sa a se yon opsyon avanse pou itilize si senaryo deplwaman ou a pa travay ak MTU default 1500 bytes. Pou mete MTU a, klike sou Sistèm > IP epi klike sou tab Entèfas rezo a. Scroll desann nan jaden an MTU epi antre valè a vle. Valè valab yo soti nan 1280 a 1500 pou koòdone 100-megabit, ak 1280 a 9100 pou koòdone gigabit. . REMAK Nan kèk ka, itilizatè a espesifye MTU ka pa pran efè. Gen kèk chofè NIC ki ka awondi MTU ki twò gwo yo nan valè maksimòm yo pèmèt epi lòt moun ap retounen yon kòd erè. Ou kapab tou itilize yon lòd CLI pou jere MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 tcheke
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider okenn config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode apatrid konfigirasyon .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13
Chapit 2: Konfigirasyon Sistèm
2.3.1 IPv6 konfigirasyon entèfas Ethernet sèvè konsole yo sipòte IPv4 pa defo. Yo ka konfigirasyon pou operasyon IPv6:
1. Klike sou Sistèm > IP. Klike sou tab Anviwònman Jeneral la epi tcheke Pèmèt IPv6. Si ou vle, klike sou kare Enfim IPv6 pou selilè.
2. Konfigure paramèt IPv6 yo sou chak paj koòdone. IPv6 ka konfigirasyon swa pou mòd Otomatik, ki pral itilize SLAAC oswa DHCPv6 pou konfigirasyon adrès, wout, ak DNS, oswa mòd estatik, ki pèmèt enfòmasyon adrès la manyèlman antre.
2.3.2 Konfigirasyon Dynamic DNS (DDNS) Avèk Dynamic DNS (DDNS), yo ka lokalize yon sèvè konsole ki gen adrès IP dinamikman lè l sèvi avèk yon lame fiks oswa non domèn. Kreye yon kont ak founisè sèvis DDNS ki sipòte ou chwazi a. Lè ou mete kont DDNS ou a, ou chwazi yon non itilizatè, modpas, ak non host ke w ap itilize kòm non DNS. Founisè sèvis DDNS pèmèt ou chwazi yon non host URL epi mete yon adrès IP inisyal pou koresponn ak non host sa a URL.
14
Manyèl itilizatè
Pou pèmèt ak konfigirasyon DDNS sou nenpòt nan koneksyon Ethernet oswa rezo selilè sou sèvè konsole a. 1. Klike sou Sistèm > IP epi desann seksyon DNS dinamik. Chwazi founisè sèvis DDNS ou a
soti nan lis drop-down Dynamic DNS. Ou kapab tou mete enfòmasyon DDNS anba tab la Modèm Selilè anba Sistèm > Rele.
2. Nan non host DDNS, antre non host DNS ki kalifye pou sèvè konsole ou a, pa egzanp yourhostname.dyndns.org.
3. Antre non itilizatè DDNS ak modpas DDNS pou kont founisè sèvis DDNS la. 4. Espesifye entèval maksimòm ant mizajou an jou. Y ap voye yon aktyalizasyon DDNS menm si la
adrès pa chanje. 5. Espesifye entèval minimòm ant chèk pou adrès ki chanje an segonn. Mizajou pral
dwe voye si adrès la chanje. 6. Espesifye maksimòm tantativ pou chak aktyalizasyon ki se kantite fwa pou eseye yon aktyalizasyon
anvan abandone. Sa a se 3 pa default. 7. Klike sou Aplike.
15
Chapit 2: Konfigirasyon Sistèm
2.3.3 EAPoL mòd pou WAN, LAN ak OOBFO
(OOBFO aplikab pou IM7216-2-24E-DAC sèlman)
Plis paseview nan EAPoL IEEE 802.1X, oswa PNAC (Kontwòl Aksè Rezo ki baze sou Port) sèvi ak karakteristik aksè fizik IEEE 802 LAN enfrastrikti yo nan lòd yo bay yon mwayen pou otantifye ak otorize aparèy ki tache ak yon pò LAN ki gen pwen-a-. karakteristik koneksyon pwen, ak anpeche aksè nan pò sa a nan ka otantifikasyon an ak otorizasyon echwe. Yon pò nan kontèks sa a se yon sèl pwen atachman ak enfrastrikti LAN.
Lè yon nouvo nod (WN) san fil oswa fil elektrik mande aksè nan yon resous LAN, pwen aksè (AP) mande idantite WN a. Pa gen okenn lòt trafik pase EAP ki pèmèt anvan WN a otantifye ("pò a" fèmen, oswa "pa otantifye"). Nœud san fil ki mande otantifikasyon yo rele souvan Sipliyan, Sipliyan an responsab pou reponn done Otantifikasyon ki pral etabli kalifikasyon li yo. Menm bagay la tou ale pou pwen aksè a; Otantifikasyon an se pa pwen aksè a. Olye de sa, pwen aksè a gen yon Otantifikasyon. Otantifikasyon an pa bezwen nan pwen aksè a; li kapab yon eleman ekstèn. Metòd Otantifikasyon sa yo aplike:
· Sipliyan EAP-MD5 o Metòd EAP MD5-Challenge itilize non itilizatè/modpas klè.
· EAP-PEAP-MD5 o EAP PEAP (EAP Pwoteje) Metòd otantifikasyon MD5 itilize kalifikasyon itilizatè yo ak sètifika CA
· EAP-TLS o EAP TLS (Transport Layer Security) metòd otantifikasyon mande pou sètifika CA, sètifika kliyan ak yon kle prive.
Pwotokòl EAP, ki itilize pou otantifikasyon, te okòmansman itilize pou PPP dial-up. Idantite a te non itilizatè a, epi yo te itilize swa otantifikasyon PAP oswa CHAP pou tcheke modpas itilizatè a. Kòm yo voye idantite a an klè (pa kode), yon move sniffer ka aprann idantite itilizatè a. Se poutèt sa yo itilize "kache idantite"; reyèl idantite a pa voye anvan tinèl TLS chiffres la leve.
16
Manyèl itilizatè
Apre yo fin voye idantite a, pwosesis otantifikasyon an kòmanse. Pwotokòl yo itilize ant Sipliyan an ak Otantifikatè a se EAP, (oswa EAPoL). Otantifikasyon an re-kapsule mesaj EAP yo nan fòma RADIUS, epi li pase yo nan Sèvè Otantifikasyon an. Pandan otantifikasyon, Otantifikasyon an transmèt pake ant Sipliyan an ak Sèvè Otantifikasyon an. Lè pwosesis otantifikasyon an fini, Sèvè Otantifikasyon an voye yon mesaj siksè (oswa echèk, si otantifikasyon an echwe). Lè sa a, Otantifikatè a louvri "pò" pou Sipliyan an. Ou ka jwenn aksè nan paramèt otantifikasyon yo nan paj EAPoL Supplicant Settings. Estati EAPoL aktyèl yo parèt an detay nan paj Estatistik Estati a sou tab EAPoL la:
Yon abstraksyon EAPoL sou wòl rezo yo parèt nan seksyon "Manadjè Koneksyon" sou koòdone Dashboard la.
17
Chapit 2: Konfigirasyon Sistèm
Yo montre anba a se yon ansyenampOtantifikasyon siksè:
Sipò IEEE 802.1x (EAPOL) sou pò switch IM7216-2-24E-DAC ak ACM7004-5: Pou evite bouk, itilizatè yo pa ta dwe konekte plis pase yon pò switch nan menm switch nivo siperyè-a.
18
Manyèl itilizatè
2.4 Aksè Sèvis ak Pwoteksyon Brute Force
Administratè a ka jwenn aksè nan sèvè konsole a ak pò seri konekte ak aparèy jere lè l sèvi avèk yon seri pwotokòl/sèvis aksè. Pou chak aksè
· Sèvis la dwe premye configuré ak pèmèt yo kouri sou sèvè konsole a. · Aksè atravè firewall la dwe pèmèt pou chak koneksyon rezo. Pou pèmèt ak konfigirasyon yon sèvis: 1. Klike sou Sistèm > Sèvis epi klike sou tab Anviwònman Sèvis.
2. Pèmèt ak konfigirasyon sèvis debaz yo:
HTTP
Pa default, sèvis HTTP ap kouri epi yo pa ka konplètman enfim. Pa default, aksè HTTP enfim sou tout entèfas. Nou rekòmande aksè sa a rete enfim si sèvè konsole a jwenn aksè adistans sou entènèt la.
Altène HTTP pèmèt ou konfigirasyon yon lòt pò HTTP pou koute. Sèvis HTTP a ap kontinye koute sou pò TCP 80 pou CMS ak kominikasyon konektè men yo pral inaksesib nan firewall la.
HTTPS
Pa default, sèvis HTTPS ap kouri epi li pèmèt sou tout koòdone rezo yo. Li rekòmande pou itilize sèlman aksè HTTPS si yo dwe jere sèvè konsole a sou nenpòt rezo piblik. Sa asire ke administratè yo gen aksè an sekirite nan navigatè a tout meni yo sou sèvè konsole a. Li pèmèt tou itilizatè ki byen konfigirasyon an sekirite aksè navigatè nan meni Jere chwazi yo.
Sèvis HTTPS la ka enfim oswa re-aktive lè w tcheke HTTPS Web Jesyon ak yon lòt pò espesifye (pò default se 443).
Telnet
Pa defo sèvis Telnet la ap kouri men andikape sou tout rezo interfaces.
Telnet ka itilize pou bay yon administratè aksè nan koki liy lòd sistèm lan. Sèvis sa a ka itil pou administratè lokal yo ak aksè itilizatè a nan seleksyon konsola seri. Nou rekòmande pou ou enfim sèvis sa a si sèvè konsole a se adistans administre.
Bwat la Pèmèt Telnet kokiy lòd pral pèmèt oswa enfim sèvis Telnet la. Yon pò Telnet altènatif pou koute yo ka espesifye nan Port Telnet Altène (pò default se 23).
17
Chapit 2: Konfigirasyon Sistèm
SSH
Sèvis sa a bay aksè SSH an sekirite nan sèvè konsole a ak aparèy ki tache
ak pa default sèvis SSH la ap kouri ak pèmèt sou tout interfaces. Li se
rekòmande ou chwazi SSH kòm pwotokòl kote yon administratè konekte
sèvè konsole a sou entènèt la oswa nenpòt lòt rezo piblik. Sa a pral bay
kominikasyon otantifye ant pwogram kliyan SSH la sou remote la
òdinatè ak sèvè SSH la nan sèvè konsole a. Pou plis enfòmasyon sou SSH
konfigirasyon Gade Chapit 8 – Otantifikasyon.
Bwat la Pèmèt shell lòd SSH pral pèmèt oswa enfim sèvis sa a. Yon pò SSH altènatif pou koute sou yo ka espesifye nan pò shell lòd SSH (pò default se 22).
3. Pèmèt ak konfigirasyon lòt sèvis:
TFTP/FTP Si yo detekte yon kat flash USB oswa yon flash entèn sou yon sèvè konsole, tcheke Pèmèt sèvis TFTP (FTP) pèmèt sèvis sa a epi mete kanpe tftp ak sèvè ftp default sou flash USB la. Sèvè sa yo yo itilize pou estoke konfigirasyon files, kenbe aksè ak tranzaksyon mòso bwa elatriye. Fileyo transfere lè l sèvi avèk tftp ak ftp yo pral estoke anba /var/mnt/storage.usb/tftpboot/ (oswa /var/mnt/storage.nvlog/tftpboot/ sou aparèy ACM7000series). Dezaktive Pèmèt sèvis TFTP (FTP) pral enfim sèvis TFTP (FTP).
Tcheke dns relè Pèmèt sèvè/relè DNS pèmèt karakteristik relè dns la pou kliyan yo ka configuré ak IP sèvè konsole a pou anviwònman sèvè DNS yo, epi sèvè konsole a ap voye demann DNS yo bay vrè sèvè DNS la.
Web Tcheke Tèminal Pèmèt Web Tèminal pèmèt web aksè navigatè nan koki liy lòd sistèm atravè Jere> Tèminal.
4. Espesifye nimewo pò altènatif pou Raw TCP, Telnet/SSH dirèk ak sèvis Telnet/SSH ki pa otantifye. Sèvè konsole a sèvi ak seri espesifik pou pò TCP/IP yo pou plizyè aksè
sèvis ke itilizatè yo ka itilize pou jwenn aksè nan aparèy ki tache ak pò seri yo (jan yo kouvri nan Chapit 3 Konfigure pò seri). Administratè a ka mete lòt seri pou sèvis sa yo epi yo pral itilize pò segondè sa yo anplis defo yo.
Adrès pò baz TCP/IP defo pou aksè Telnet se 2000, ak seri a pou Telnet se Adrès IP: Port (2000 + pò seri #) sa vle di 2001 2048. Si yon administratè ta dwe mete 8000 kòm yon baz segondè pou Telnet, seri. pò #2 sou sèvè konsole a ka jwenn aksè nan Telnet nan IP
Adrès: 2002 ak nan adrès IP: 8002. Defo baz pou SSH se 3000; pou Raw TCP se 4000; ak pou RFC2217 li se 5000
5. Lòt sèvis yo ka aktive ak konfigirasyon nan meni sa a lè w chwazi Klike la a pou konfigirasyon:
Nagios Aksè nan demon yo siveyans Nagios NRPE
NUT
Aksè nan demon siveyans NUT UPS la
SNMP Pèmèt snmp nan sèvè konsole a. SNMP se enfim pa default
NTP
6. Klike sou Aplike. Yon mesaj konfimasyon parèt: Mesaj Chanjman nan konfigirasyon reyisi
Anviwònman Aksè Sèvis yo ka mete pou pèmèt oswa bloke aksè. Sa a espesifye ki sèvis pèmèt administratè yo ka itilize sou chak koòdone rezo pou konekte ak sèvè konsole a ak atravè sèvè konsole a ak aparèy seri ak rezo konekte.
18
Manyèl itilizatè
1. Chwazi onglet Aksè Sèvis nan paj Sistèm > Sèvis.
2. Sa a montre sèvis yo aktive pou entèfas rezo sèvè konsole a. Tou depan de modèl sèvè konsole an patikilye, koòdone ki parèt yo ka genyen: · Entèfas rezo (pou koneksyon Ethernet prensipal la) · Jesyon LAN / OOB Failover (dezyèm koneksyon Ethernet) · Dialout/Selilè (V90 ak modèm 3G) · Dial-in (entèn) oswa modèm ekstèn V90) · VPN (IPsec oswa Open VPN koneksyon sou nenpòt koòdone rezo)
3. Tcheke/dezache pou chak rezo ki aksè sèvis yo dwe aktive/enfim Opsyon aksè sèvis yo ka konfigirasyon nan repons ICMP a eko (sa vle di ping).tage. Sa a pèmèt sèvè konsole a reponn a demann eko ICMP k ap vini yo. Ping aktive pa default. Pou ogmante sekirite, ou ta dwe enfim sèvis sa a lè w fin ranpli konfigirasyon inisyal Ou ka pèmèt aparèy pò seri yo jwenn aksè nan koòdone rezo nominasyon lè l sèvi avèk Raw TCP, Telnet/SSH dirèk, sèvis Telnet/SSH san otantifikasyon, elatriye.
4. Klike sou Aplike Web Anviwònman Jesyon Bwat tchèk Pèmèt HSTS la pèmèt HTTP sekirite strik transpò. Mòd HSTS vle di ke yo ta dwe voye yon header StrictTransport-Security sou transpò HTTPS. Yon konfòme web navigatè sonje tèt sa a, epi lè yo mande yo kontakte menm lame a sou HTTP (plenn) li pral otomatikman chanje a
19
Chapit 2: Konfigirasyon Sistèm
HTTPS anvan ou eseye HTTP, osi lontan ke navigatè a te jwenn aksè nan sit la an sekirite yon fwa epi li wè header STS la.
Pwoteksyon fòs brital Pwoteksyon fòs brital (Micro Fail2ban) bloke tanporèman IP sous ki montre siy move, tankou twòp echèk modpas. Sa ka ede lè sèvis rezo aparèy la yo ekspoze a yon rezo ki pa fè konfyans tankou WAN piblik la ak atak script oswa vè lojisyèl ap eseye devine (fòs brut) kalifikasyon itilizatè yo ak jwenn aksè san otorizasyon.
Pwoteksyon Brute Force ka aktive pou sèvis ki nan lis yo. Pa default, yon fwa pwoteksyon aktive 3 oswa plis tantativ koneksyon echwe nan 60 segonn soti nan yon sous espesifik IP deklanche li yo dwe entèdi nan konekte pou yon peryòd tan configurable. Limit tantativ ak delè entèdiksyon ka Customized. Entèdiksyon aktif yo tou nan lis epi yo ka rafrechi lè w rechaje paj la.
REMAK
Lè w ap kouri sou yon rezo ki pa fè konfyans, konsidere lè l sèvi avèk yon varyete estrateji yo itilize pou fèmen aksè aleka. Sa a gen ladan otantifikasyon kle piblik SSH, VPN, ak Règ firewall yo
lis pèmèt aksè aleka nan rezo sous ou fè konfyans sèlman. Gade baz Konesans Opengear pou plis detay.
2.5 Lojisyèl kominikasyon
Ou te configuré pwotokòl aksè pou kliyan administratè a itilize lè w ap konekte ak sèvè konsole a. Kliyan itilizatè yo sèvi ak pwotokòl sa yo tou lè yo jwenn aksè nan aparèy konsole sèvè seri ak aparèy ki konekte ak rezo a. Ou bezwen zouti lojisyèl kominikasyon mete sou òdinatè administratè ak itilizatè kliyan an. Pou konekte ou ka itilize zouti tankou PuTTY ak SSHTerm.
20
Manyèl itilizatè
Konektè ki disponib nan komèsyal marye pwotokòl tinèl SSH ou fè konfyans ak zouti aksè popilè tankou Telnet, SSH, HTTP, HTTPS, VNC, RDP pou bay aksè sekirite adistans ak pwen-ak-klike nan tout sistèm ak aparèy yo jere. Enfòmasyon sou lè l sèvi avèk konektè pou aksè navigatè nan Konsole Jesyon sèvè konsole a, aksè Telnet/SSH nan liy kòmand sèvè konsole a, ak TCP/UDP ki konekte ak hôtes ki konekte rezo ak sèvè konsole a nan Chapit 5. Konektè yo ka jwenn. enstale sou Windows PC, Mac OS X ak sou pifò sistèm Linux, UNIX ak Solaris.
2.6 Konfigirasyon Rezo Jesyon
Sèvè konsole yo gen pò rezo adisyonèl ki ka konfigirasyon pou bay aksè LAN jesyon ak/oswa failover oswa aksè andeyò gwoup. 2.6.1 Pèmèt Jesyon LAN Console sèvè yo ka configuré pou dezyèm pò Ethernet la bay yon pòtay LAN jesyon. Pòtay la gen karakteristik firewall, routeur ak sèvè DHCP. Ou bezwen konekte yon switch LAN ekstèn nan Rezo 2 pou tache lame nan LAN jesyon sa a:
REMAK Dezyèm pò Ethernet la ka configuré swa kòm yon pò pòtay Jesyon LAN oswa kòm yon pò OOB/Failover. Asire w ke ou pa t asiyen NET2 kòm Entèfas Failover lè ou te konfigirasyon koneksyon prensipal Rezo a nan meni Sistèm > IP.
21
Chapit 2: Konfigirasyon Sistèm
Pou konfigirasyon pòtay LAN Jesyon an: 1. Chwazi onglet Entèfas LAN Jesyon nan meni Sistèm > IP epi dezaktive Enfim. 2. Konfigure Adrès IP ak Mask Subnet pou LAN Jesyon an. Kite jaden DNS yo vid. 3. Klike sou Aplike.
Fonksyon pòtay jesyon an pèmèt ak firewall default ak règ routeur configuré pou LAN Jesyon an aksesib sèlman pa SSH pò transfè. Sa a asire koneksyon yo aleka ak lokal ak aparèy Jere sou LAN Jesyon an sekirite. Pò yo LAN yo kapab tou configuré nan mòd pon oswa estokaj oswa manyèlman configuré nan liy lan lòd. 2.6.2 Konfigirasyon sèvè DHCP Sèvè DHCP a pèmèt distribisyon otomatik adrès IP nan aparèy sou LAN Jesyon ki ap kouri kliyan DHCP. Pou pèmèt sèvè DHCP a:
1. Klike sou Sistèm > Sèvè DHCP. 2. Sou onglet Entèfas Rezo a, Tcheke Pèmèt sèvè DHCP.
22
Manyèl itilizatè
3. Antre adrès Gateway yo dwe bay kliyan DHCP yo. Si yo kite jaden sa a vid, yo itilize adrès IP sèvè konsole a.
4. Antre DNS prensipal ak adrès DNS segondè pou bay kliyan DHCP yo. Si yo kite jaden sa a vid, yo itilize adrès IP sèvè konsole a.
5. Opsyonèlman antre yon sifiks non domèn pou bay kliyan DHCP. 6. Antre tan an Default Kontra lwaye ak Tan maksimòm Kontra lwaye a an segonn. Sa a se kantite tan an
ke yon adrès IP plase dinamik valab anvan kliyan an dwe mande li ankò. 7. Klike sou Aplike Sèvè DHCP a bay adrès IP ki soti nan pisin adrès espesifye: 1. Klike sou Ajoute nan jaden Dynamic Address Alocation Pools. 2. Antre Adrès Kòmanse ak Adrès Fin DHCP Pool la. 3. Klike sou Aplike.
23
Chapit 2: Konfigirasyon Sistèm
Sèvè DHCP a sipòte tou pre-asiyen adrès IP yo dwe resevwa lajan nan adrès MAC espesifik ak rezève adrès IP yo dwe itilize pa gen tout pouvwa a konekte ak adrès IP fiks. Pou rezève yon adrès IP pou yon lame patikilye:
1. Klike sou Ajoute nan jaden Adrès rezève yo. 2. Antre non host la, adrès pyès ki nan konpitè (MAC) ak adrès IP ki rezève estatik pou
kliyan DHCP a epi klike sou Aplike.
Lè DHCP te atribye adrès lame yo, li rekòmande pou kopye sa yo nan lis la pre-asiyen pou menm adrès IP la relocate nan ka yon rdemare.
24
Manyèl itilizatè
2.6.3 Chwazi Failover oswa Broadband OOB Console sèvè yo bay yon opsyon failover, kidonk si ta gen yon pwoblèm lè l sèvi avèk koneksyon prensipal LAN pou jwenn aksè nan sèvè konsole a, yo itilize yon lòt chemen aksè. Pou pèmèt failover:
1. Chwazi paj Entèfas Rezo a sou meni Sistèm > IP 2. Chwazi Entèfas Failover pou itilize si ta gen yon ou.tage sou rezo prensipal la.
3. Klike sou Aplike. Failover vin aktif apre ou presize sit ekstèn yo dwe sonde pou deklanche failover ak mete kanpe pò yo failover.
2.6.4 Agrégation pò rezo yo Pa default, yo ka jwenn aksè nan pò rezo LAN Jesyon sèvè konsole a lè l sèvi avèk tinèl SSH/transmèt pò oswa lè w tabli yon tinèl VPN IPsec nan sèvè konsole a. Tout pò rezo filaire sou serveurs konsole yo kapab agrégées pa bridge ou lyezon.
25
Manyèl itilizatè
· Pa default, Agrégation Entèfas enfim nan meni Sistèm > IP > Anviwònman Jeneral · Chwazi Bridge Interfaces oswa Bond Interfaces
o Lè pont yo aktive, trafik rezo a ap voye atravè tout pò Ethernet san okenn restriksyon firewall. Tout pò Ethernet yo tout transparan konekte nan kouch lyen done (kouch 2) pou yo kenbe adrès MAC inik yo.
o Avèk lyezon, trafik rezo a pote ant pò yo men prezan ak yon adrès MAC
Tou de mòd yo retire tout fonksyon Entèfas LAN Jesyon ak Entèfas Out-of-Band/Failover epi enfim sèvè DHCP la · Nan mòd agrégation tout pò Ethernet yo ansanm konfigirasyon lè l sèvi avèk meni Entèfas Rezo a.
25
Chapit 2: Konfigirasyon Sistèm
2.6.5 Wout estatik Wout estatik bay yon fason trè rapid pou wout done ki sòti nan yon sous-rezo nan yon lòt sous-rezo. Ou ka kode yon chemen ki di konsole sèvè/routeur pou ale nan yon sèten sous-rezo lè l sèvi avèk yon sèten chemen. Sa a ka itil pou jwenn aksè nan divès subnet nan yon sit aleka lè w ap itilize koneksyon OOB selilè a.
Pou ajoute nan wout estatik nan tab wout sistèm nan:
1. Chwazi onglet Anviwònman Route nan meni Sistèm > IP Anviwònman Jeneral.
2. Klike sou Nouvo Route
3. Antre yon non wout pou wout la.
4. Nan jaden Destination Network/Host, antre adrès IP rezo destinasyon/lame wout la bay aksè a.
5. Antre yon valè nan jaden Netmask Destinasyon ki idantifye rezo destinasyon an oswa lame a. Nenpòt nimewo ant 0 ak 32. Yon mask subnet 32 idantifye yon wout lame.
6. Antre Route Gateway ak adrès IP yon routeur ki pral achemine pake yo nan rezo destinasyon an. Sa a ka rete vid.
7. Chwazi Entèfas la pou itilize pou rive nan destinasyon an, yo ka kite kòm Okenn.
8. Antre yon valè nan jaden Metrik ki reprezante metrik koneksyon sa a. Sèvi ak nenpòt nimewo ki egal a oswa ki pi gran pase 0. Sa a sèlman dwe mete si de oswa plis wout konfli oswa gen sib sipèpoze.
9. Klike sou Aplike.
REMAK
Paj detay sou wout la bay yon lis koòdone rezo ak modèm ak yon wout ka mare. Nan ka yon modèm, wout la pral tache ak nenpòt sesyon dialup etabli atravè aparèy sa a. Yon wout ka espesifye ak yon pòtay, yon koòdone oswa toude. Si koòdone espesifye a pa aktif, wout ki konfigirasyon pou koòdone sa a pa pral aktif.
26
Manyèl Itilizatè 3. PORT SERI, LAME, APARÈY & KONFIGURASYON ITIlizatè
Sèvè konsole a pèmèt aksè ak kontwòl sou aparèy seri ki tache ak aparèy rezo-tache (gen tout pouvwa a). Administratè a dwe configured privilèj aksè pou chak aparèy sa yo epi presize sèvis yo ka itilize pou kontwole aparèy yo. Administratè a kapab tou mete nouvo itilizatè yo epi presize aksè endividyèl ak privilèj kontwòl chak itilizatè.
Chapit sa a kouvri chak etap nan konfigirasyon aparèy ki konekte nan rezo a ak aparèy ki tache an seri: · Pò seri mete kanpe pwotokòl yo itilize aparèy ki konekte seri yo · Itilizatè yo ak gwoup yo mete kanpe itilizatè yo ak defini otorizasyon aksè pou chak itilizatè sa yo · Otantifikasyon sa a kouvri nan plis detay nan Chapit 8 · Rezo hôtes konfigirasyon aksè nan rezo lokal òdinatè ki konekte oswa aparèy (lame) • Konfigirasyon Rezo fè konfyans – nonmen adrès IP ki fè konfyans itilizatè yo gen aksè nan • Cascading ak Redireksyon nan pò konsole seri yo · Konekte ak kouran (UPS, PDU, ak IPMI) ak aparèy siveyans anviwònman (EMD) · Redireksyon pò seri lè l sèvi avèk fenèt PortShare ak kliyan Linux · Aparèy jere - prezante yon konsolide view nan tout koneksyon yo · IPSec pèmèt koneksyon VPN · OpenVPN · PPTP
3.1 Konfigirasyon pò seri
Premye etap la nan konfigirasyon yon pò seri se mete Anviwònman Komen yo tankou pwotokòl yo ak paramèt RS232 yo ke yo dwe itilize pou koneksyon an done nan pò sa a (egzanp to baud). Chwazi nan ki mòd pò a pou opere. Yo ka mete chak pò pou sipòte youn nan mòd operasyon sa yo:
· Mòd andikape se default, pò seri a inaktif
27
Chapit 3:
Serial Port, Host, Aparèy & Konfigirasyon itilizatè
· Mòd sèvè konsole pèmèt aksè jeneral nan pò konsole seri sou aparèy ki tache seri yo
· Mòd aparèy mete pò seri a pou kominike avèk yon seri entèlijan PDU, UPS oswa aparèy ki kontwole anviwònman (EMD)
· Mòd Sèvè Tèminal mete pò seri a pou tann yon sesyon koneksyon tèminal ki fèk ap rantre · Mòd Serial Bridge pèmèt entèkoneksyon transparan de aparèy pò seri sou yon
rezo.
1. Chwazi Serial & Network > Serial Port pou montre detay pò seri 2. Pa default, chak pò seri mete nan mòd sèvè Konsole. Klike sou Edit akote pò a yo dwe
rekonfigire. Oswa klike sou Edit plizyè pò epi chwazi ki pò ou vle konfigirasyon kòm yon gwoup. 3. Lè ou te rkonfigire anviwònman komen yo ak mòd pou chak pò, mete nenpòt syslog aleka (gade seksyon sa yo pou enfòmasyon espesifik). Klike sou Aplike 4. Si yo te konfigirasyon sèvè konsole a ak siveyans Nagios distribiye pèmèt, sèvi ak opsyon Nagios Settings pou pèmèt sèvis nominasyon yo sou Host la dwe kontwole 3.1.1 Anviwònman komen Gen yon kantite paramèt komen ki ka mete pou chak seri. pò. Sa yo se endepandan de mòd nan ki pò a yo te itilize. Paramèt pò seri sa yo dwe mete pou yo koresponn ak paramèt pò seri yo sou aparèy ou tache ak pò sa a:
28
Manyèl itilizatè
· Tape yon etikèt pou pò a · Chwazi to baud ki apwopriye yo, parite, Bits done, Bits sispann ak kontwòl koule pou chak pò.
· Mete Pinout Port la. Atik meni sa a parèt pou pò IM7200 kote yo ka mete pin-out pou chak pò seri RJ45 kòm swa X2 (Cisco Dwat) oswa X1 (Cisco woule)
· Mete mòd DTR la. Sa a pèmèt ou chwazi si DTR toujou afime oswa sèlman afime lè gen yon sesyon itilizatè aktif
· Anvan ou kontinye ak plis konfigirasyon pò seri, ou ta dwe konekte pò yo ak aparèy seri yo pral kontwole epi asire yo gen paramèt matche.
3.1.2
Mòd sèvè konsole
Chwazi mòd sèvè konsole pou pèmèt aksè jesyon aleka nan konsole seri ki tache ak pò seri sa a:
Nivo Logging Sa a presize nivo enfòmasyon yo dwe konekte ak kontwole.
29
Chapit 3: Serial Port, Host, Aparèy & Konfigirasyon itilizatè
Nivo 0: Enfim anrejistreman (default)
Nivo 1: konekte evènman LOGIN, LOGOUT ak SIYAL
Nivo 2: konekte evènman LOGIN, LOGOUT, SIYAL, TXDATA ak RXDATA.
Nivo 3: Log LOGIN, LOGOUT, SIYAL ak RXDATA evènman yo
Nivo 4: Log LOGIN, LOGOUT, SIYAL ak TXDATA evènman yo
Antre/RXDATA se done ki resevwa pa aparèy Opengear a soti nan aparèy seri ki konekte a, ak pwodiksyon/TXDATA se done ki voye pa aparèy Opengear a (egzanp itilizatè a tape) nan aparèy seri ki konekte a.
Konsole aparèy anjeneral fè eko karaktè yo pandan y ap tape pou TXDATA tape pa yon itilizatè imedyatman resevwa kòm RXDATA, parèt sou tèminal yo.
REMAK: Apre yo fin mande yon modpas, aparèy ki konekte a voye * karaktè pou anpeche modpas la parèt.
Telnet Lè sèvis Telnet la aktive sou sèvè konsole a, yon kliyan Telnet sou òdinatè yon itilizatè ka konekte ak yon aparèy seri ki tache ak pò seri sa a sou sèvè konsole a. Paske kominikasyon Telnet yo dekode, pwotokòl sa a rekòmande sèlman pou koneksyon lokal oswa VPN tunneled.
Si kominikasyon yo aleka yo te fè tinèl ak yon konektè, Telnet ka itilize pou aksè an sekirite aparèy sa yo tache.
REMAK
Nan mòd sèvè konsole, itilizatè yo ka sèvi ak yon konektè pou etabli koneksyon Telnet ki an sekirite ki gen yon tinèl SSH soti nan òdinatè kliyan yo nan pò seri sou sèvè konsole a. Konektè yo ka enstale sou Windows PC yo ak pi fò platfòm Linux epi li pèmèt koneksyon an sekirite Telnet yo dwe chwazi ak pwen-ak-klike.
Pou itilize yon konektè pou jwenn aksè nan konsole sou pò seri sèvè konsole yo, konfigirasyon konektè a ak sèvè konsole a kòm yon pòtay, epi kòm yon lame, epi pèmèt sèvis Telnet sou Port (2000 + pò seri #) sa vle di 2001.
Ou kapab tou itilize pakè kominikasyon estanda tankou PuTTY pou mete yon koneksyon dirèk Telnet oswa SSH nan pò seri yo.
REMAK Nan mòd sèvè konsole, lè ou konekte ak yon pò seri ou konekte atravè pmshell. Pou jenere yon BREAK sou pò seri a, tape sekans karaktè ~b. Si w ap fè sa sou OpenSSH tape ~~b.
SSH
Li rekòmande pou w itilize SSH kòm pwotokòl la lè itilizatè yo konekte ak sèvè konsole a
(oswa konekte nan sèvè konsole a ak konsola seri yo tache) sou entènèt la oswa nenpòt ki
lòt rezo piblik.
Pou aksè SSH nan konsola yo sou aparèy ki tache ak pò seri sèvè konsole yo, ou ka itilize yon konektè. Konfigure konektè a ak sèvè konsole a kòm yon pòtay, ak kòm yon lame, epi pèmèt sèvis SSH sou Port (3000 + pò seri #) sa vle di 3001-3048.
Ou ka itilize tou pakè kominikasyon komen, tankou PuTTY oswa SSHTerm pou SSH konekte nan adrès pò Adrès IP _ Pò (3000 + pò seri #) sa vle di 3001
Koneksyon SSH yo ka konfigirasyon lè l sèvi avèk pò SSH estanda 22 la. Yo idantifye pò seri yo aksede a lè w ajoute yon deskriptè nan non itilizatè a. Sentaks sa a sipòte:
:
:
30
Manyèl itilizatè
: : Pou yon itilizatè ki rele chris jwenn aksè nan pò seri 2 a, lè li mete SSHTerm oswa PuTTY SSH kliyan an, olye pou yo tape username = chris ak ssh port = 3002, altène a se tape username = chris:port02 (oswa non itilizatè = chris: ttyS1) ak ssh port = 22. Oswa lè w tape username=chris:serial ak ssh port = 22, itilizatè a prezante yon opsyon seleksyon pò:
Sentaks sa a pèmèt itilizatè yo mete kanpe tinèl SSH nan tout pò seri ak yon sèl pò IP 22 ki dwe louvri nan firewall/gateway yo.
REMAK Nan mòd sèvè konsole, ou konekte nan yon pò seri atravè pmshell. Pou jenere yon BREAK sou pò seri a, tape sekans karaktè ~b. Si w ap fè sa sou OpenSSH, tape ~~b.
TCP
RAW TCP pèmèt koneksyon ak yon priz TCP. Pandan ke pwogram kominikasyon tankou PuTTY
sipòte tou RAW TCP, pwotokòl sa a anjeneral itilize pa yon aplikasyon koutim
Pou RAW TCP, adrès pò default la se Adrès IP _ Port (4000 + # pò seri) sa vle di 4001 4048
RAW TCP tou pèmèt pò seri yo dwe tinèl nan yon sèvè konsole aleka, kidonk de aparèy pò seri ka transparanman konekte sou yon rezo (gade Chapit 3.1.6 Serial Bridging)
RFC2217 Chwazi RFC2217 pèmèt redireksyon pò seri sou pò sa a. Pou RFC2217, adrès pò a default se Adrès IP _ Port (5000 + pò seri #) sa vle di 5001 5048
Lojisyèl espesyal kliyan ki disponib pou Windows UNIX ak Linux ki sipòte RFC2217 pò vityèl COM yo, kidonk yon lame aleka ka kontwole ak jere aparèy aleka ki tache seri kòm si yo konekte ak pò seri lokal la (gade Chapit 3.6 Redireksyon pò seri pou plis detay)
RFC2217 tou pèmèt pò seri yo dwe tinèl nan yon sèvè konsole aleka, kidonk de aparèy pò seri ka transparanman konekte sou yon rezo (gade Chapit 3.1.6 Pont seri)
Telnet san otantifikasyon Sa a pèmèt Telnet aksè nan pò seri a san kalifikasyon otantifikasyon. Lè yon itilizatè aksè nan sèvè konsole Telnet nan yon pò seri, yo ba yo yon èd memwa pou konekte. Avèk Telnet ki pa otantifye, yo konekte dirèkteman nan pò a san okenn defi pou konekte ak sèvè konsole. Si yon kliyan Telnet mande pou otantifikasyon, nenpòt done antre pèmèt koneksyon.
31
Chapit 3: Serial Port, Host, Aparèy & Konfigirasyon itilizatè
Mòd sa a itilize ak yon sistèm ekstèn (tankou conserver) jere otantifikasyon itilizatè ak privilèj aksè nan nivo aparèy seri.
Konekte nan yon aparèy ki konekte ak sèvè konsole a ka mande otantifikasyon.
Pou Telnet ki pa otantifye adrès pò a se adrès IP _ Port (6000 + pò seri #) sa vle di 6001 6048
SSH san otantifikasyon Sa a pèmèt SSH aksè nan pò seri a san kalifikasyon otantifikasyon. Lè yon itilizatè aksè nan sèvè konsole Telnet nan yon pò seri, yo ba yo yon èd memwa pou konekte. Avèk SSH ki pa otantifye yo konekte dirèkteman nan pò a san okenn defi pou konekte nan sèvè konsole.
Mòd sa a itilize lè ou gen yon lòt sistèm ki jere otantifikasyon itilizatè ak privilèj aksè nan nivo aparèy seri men ou vle ankripte sesyon an atravè rezo a.
Konekte nan yon aparèy ki konekte ak sèvè konsole a ka mande otantifikasyon.
Pou Telnet ki pa otantifye adrès pò a se adrès IP _ Port (7000 + pò seri #) sa vle di 7001 7048
La : metòd aksè pò (jan sa dekri nan seksyon SSH ki anwo a) toujou mande otantifikasyon.
Web Tèminal Sa a pèmèt web aksè navigatè a nan pò seri a atravè Jere> Aparèy: Serial lè l sèvi avèk Konsole Jesyon an bati nan tèminal AJAX. Web Tèminal konekte kòm itilizatè Management Console ki otantifye kounye a epi li pa re-otantifye. Gade seksyon 12.3 pou plis detay.
IP alyas
Pèmèt aksè nan pò seri a lè l sèvi avèk yon adrès IP espesifik, espesifye nan fòma CIDR. Yo ka bay chak pò seri youn oswa plis alyas IP, configuré sou yon baz pou chak rezo-koòdone. Yon pò seri kapab, pou egzanpample, dwe fè aksesib nan tou de 192.168.0.148 (kòm yon pati nan rezo entèn la) ak 10.10.10.148 (kòm yon pati nan LAN Jesyon an). Li posib tou pou fè yon pò seri disponib sou de adrès IP sou menm rezo a (pa egzanpample, 192.168.0.148 ak 192.168.0.248).
Adrès IP sa yo ka itilize sèlman pou jwenn aksè nan pò seri espesifik, aksesib lè l sèvi avèk nimewo pò TCP pwotokòl estanda sèvis sèvè konsole yo. Pou egzanpample, SSH sou pò seri 3 ta dwe aksesib sou pò 22 nan yon pò seri IP alyas (tandiske sou adrès prensipal sèvè konsole a li disponib sou pò 2003).
Karakteristik sa a kapab tou konfigirasyon atravè paj la modifye pò miltip. Nan ka sa a, adrès IP yo aplike sekans, ak premye pò chwazi a ap antre IP a epi lòt yo ap vin ogmante, ak nimewo yo te sote pou nenpòt pò ki pa seleksyone. Pou egzanpample, si pò 2, 3 ak 5 yo chwazi epi yo antre IP alyas 10.0.0.1/24 pou Entèfas Rezo a, yo bay adrès sa yo:
Pò 2: 10.0.0.1/24
Pò 3: 10.0.0.2/24
Pò 5: 10.0.0.4/24
IP Alias sipòte tou IPv6 alyas adrès. Sèl diferans lan se ke adrès yo se nimewo egzadesimal, kidonk pò 10 ka koresponn ak yon adrès ki fini nan A, ak 11 ak yon sèl ki fini nan B, olye ke 10 oswa 11 dapre IPv4.
32
Manyèl itilizatè
Ankripte trafik / Otantifye Pèmèt chifreman trivial ak otantifikasyon nan kominikasyon seri RFC2217 lè l sèvi avèk Portshare (pou chifreman fò itilize VPN).
Peryòd akimilasyon Yon fwa yo te etabli yon koneksyon pou yon pò seri patikilye (tankou yon redireksyon RFC2217 oswa koneksyon Telnet ak yon òdinatè aleka), nenpòt karaktè k ap rantre sou pò sa a ap voye sou rezo a sou yon baz karaktè. Peryòd akimilasyon an presize yon peryòd tan ke karaktè fèk ap rantre yo kolekte anvan yo voye kòm yon pake sou rezo a.
Karaktè chape Chanje karaktè yo itilize pou voye karaktè chape. Defo a se ~. Ranplase Backspace Ranplase valè backspace default CTRL+? (127) ak CTRL+h (8). Power Menu Kòmandman pou pote meni pouvwa a se ~p epi li pèmèt kòmandman pouvwa koki a konsa a
itilizatè ka kontwole koneksyon pouvwa a nan yon aparèy jere soti nan liy lòd lè yo se Telnet oswa SSH ki konekte nan aparèy la. Aparèy jere a dwe mete kanpe ak tou de koneksyon pò seri li yo ak koneksyon pouvwa configuré.
Koneksyon sèl Sa limite pò a nan yon sèl koneksyon kidonk si plizyè itilizatè yo gen privilèj aksè pou yon pò an patikilye, se sèlman yon itilizatè alafwa kapab jwenn aksè nan pò sa a (sa vle di espyon pò yo pa pèmèt).
33
Chapit 3: Serial Port, Host, Aparèy & Konfigirasyon itilizatè
3.1.3 Mòd Aparèy (RPC, UPS, Anviwònman) Mòd sa a konfigirasyon pò seri chwazi a pou kominike avèk yon seri kontwòl ki pa entèwonp (UPS), Kontwolè pouvwa Remote / Inite Distribisyon Pouvwa (RPC) oswa Aparèy Siveyans Anviwònman (Anviwònman)
1. Chwazi Kalite Aparèy ou vle a (UPS, RPC, oswa Anviwònman)
2. Ale nan paj konfigirasyon aparèy ki apwopriye a (Série & Rezo > Koneksyon UPS, Koneksyon RPC oswa Anviwònman) jan sa detaye nan Chapit 7.
3.1.4 ·
Mòd sèvè tèminal
Chwazi mòd sèvè tèminal ak kalite tèminal la (vt220, vt102, vt100, Linux oswa ANSI) pou pèmèt yon getty sou pò seri a chwazi
Getty a konfigirasyon pò a epi tann pou yon koneksyon yo dwe fè. Yon koneksyon aktif sou yon aparèy seri endike pa pikèt Data Carrier Detect (DCD) ki parèt sou aparèy seri a. Lè yo detekte yon koneksyon, pwogram getty bay yon login: rapid, epi envoke pwogram login pou okipe login nan sistèm.
REMAK Lè w chwazi mòd Sèvè Tèminal la dezaktive Port Manager pou pò seri sa a, kidonk done yo pa konekte ankò pou alèt elatriye.
34
Manyèl itilizatè
3.1.5 Mòd Serial Bridging Avèk seri pon, done seri sou yon pò seri nominasyon sou yon sèl sèvè konsole ankapsile nan pake rezo epi transpòte sou yon rezo nan yon dezyèm sèvè konsole kote li reprezante kòm done seri. De serveurs konsole yo aji kòm yon kab seri vityèl sou yon rezo IP. Yon sèvè konsole configuré pou sèvè a. Sèvè pò seri yo dwe pon an mete nan mòd sèvè konsole ak swa RFC2217 oswa RAW pèmèt. Pou sèvè konsole Kliyan an, yo dwe mete pò seri a pon an nan Bridging Mode:
· Chwazi Serial Bridging Mode epi presize adrès IP sèvè konsole sèvè a ak adrès pò TCP pò seri aleka (pou RFC2217 pon sa a pral 5001-5048)
· Pa default, kliyan bridging la itilize RAW TCP. Chwazi RFC2217 si sa a se mòd sèvè konsole ou te espesifye sou sèvè konsole sèvè a
· Ou ka sekirize kominikasyon yo sou Ethernet lokal la lè w pèmèt SSH. Jenere ak telechaje kle.
3.1.6 Syslog Anplis de anrejistreman ak siveyans entegre ki ka aplike nan aksè jesyon seri ak rezo-atache, jan sa kouvri nan Chapit 6, sèvè konsole a kapab tou konfigirasyon pou sipòte pwotokòl syslog aleka sou yon pò seri. baz:
· Chwazi jaden Syslog Etablisman/Priyorite pou pèmèt anrejistreman trafik sou pò seri chwazi a nan yon sèvè syslog; epi yo klase ak aji sou mesaj sa yo ki konekte (sa vle di redireksyon yo / voye imèl alèt.)
35
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
Pou egzanpample, si òdinatè a tache nan pò seri 3 pa ta dwe janm voye anyen soti sou pò seri konsole li yo, administratè a ka mete Etablisman an pou pò sa a nan local0 (local0 .. local7 yo vle di pou sit lokal valè), ak Priyorite a nan kritik. . Nan priyorite sa a, si sèvè syslog sèvè konsole a resevwa yon mesaj, li leve yon alèt. Gade Chapit 6. 3.1.7 Difizyon NMEA ACM7000-L kapab bay GPS NMEA difizyon done ki sòti nan GPS entèn/modèm selilè. Kouran done sa a prezante kòm yon kouran done seri sou pò 5 sou modèl ACM yo.
Anviwònman komen yo (pousantaj baud elatriye) yo inyore lè konfigirasyon pò seri NMEA a. Ou ka presize frekans ranje GPS la (sa vle di pousantaj ranje GPS sa a detèmine konbyen fwa yo jwenn ranje GPS). Ou ka aplike tou tout mòd sèvè konsole, Syslog ak seri seri Bridging nan pò sa a.
Ou ka itilize pmshell, webshell, SSH, RFC2217 oswa RawTCP pou jwenn nan kouran an:
Pou egzanpample, lè l sèvi avèk la Web Tèminal:
36
Manyèl itilizatè
3.1.8 USB konsole
Sèvè konsole ak pò USB sipòte koneksyon USB konsole ak aparèy ki soti nan yon pakèt machann, tankou Cisco, HP, Dell ak Brocade. Pò USB sa yo ka fonksyone tou kòm pò seri RS-232 plenn lè yon adaptè USB-a-seri konekte.
Pò USB sa yo disponib kòm pò portmanager regilye epi yo prezante nimerik nan la web UI apre tout pò seri RJ45.
ACM7008-2 a gen uit pò seri RJ45 sou dèyè sèvè konsole a ak kat pò USB sou devan an. Nan Serial & Rezo> Serial Port sa yo ki nan lis kòm
Port # Connector
1
RJ45
2
RJ45
3
RJ45
4
RJ45
5
RJ45
6
RJ45
7
RJ45
8
RJ45
9
USB
10 USB
11 USB
12 USB
Si ACM7008-2 patikilye a se yon modèl selilè, pò #13 - pou GPS la - yo pral tou nan lis.
7216-24U a gen 16 pò seri RJ45 ak 24 pò USB sou dèyè-fas li yo ak de pò USB devan-fè fas ak (nan modèl selilè a) yon GPS.
Pò seri RJ45 yo prezante nan Serial & Network > Serial Port kòm nimewo pò 1. 16 pò USB dèyè yo pran nimewo pò 24, ak pò USB devan yo ki nan lis nan nimewo pò 17 ak 40 respektivman. Epi, menm jan ak ACM41-42 a, si 7008-2U an patikilye se yon modèl selilè, GPS la prezante nan pò nimewo 7216.
Anviwònman komen yo (pousantaj baud, elatriye) yo itilize lè konfigirasyon pò yo, men kèk operasyon ka pa travay depann sou aplikasyon an nan chip seri USB ki kache.
3.2 Ajoute ak Edit Itilizatè yo
Administratè a sèvi ak seleksyon meni sa a pou kreye, edite ak efase itilizatè yo epi defini otorizasyon aksè pou chak itilizatè sa yo.
37
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
Itilizatè yo ka gen otorizasyon pou jwenn aksè nan sèvis espesifye, pò seri, aparèy pouvwa ak lame espesifik ki konekte nan rezo a. Itilizatè sa yo kapab tou bay estati administratè konplè (ak konfigirasyon konplè ak jesyon ak privilèj aksè).
Itilizatè yo ka ajoute nan gwoup yo. Sis gwoup yo mete kanpe pa default:
admin
Bay privilèj konfigirasyon ak jesyon san limit.
pptpd
Pèmèt aksè nan sèvè PPTP VPN la. Itilizatè yo nan gwoup sa a gen modpas yo estoke nan tèks klè.
dialin
Pèmèt aksè dialin atravè modèm. Itilizatè yo nan gwoup sa a gen modpas yo estoke nan tèks klè.
ftp
Pèmèt aksè ftp ak file aksè nan aparèy depo.
pmshell
Mete shell default nan pmshell.
itilizatè yo
Bay itilizatè yo privilèj jesyon debaz yo.
Gwoup administratè a bay manm yo tout privilèj administratè yo. Itilizatè administratè a ka jwenn aksè nan sèvè konsole a lè l sèvi avèk nenpòt nan sèvis yo te pèmèt nan Sistèm > Sèvis. Se sèlman itilizatè ou fè konfyans yo ta dwe gen aksè administratè
Gwoup itilizatè a bay manm yo aksè limite nan sèvè konsole a ak hôtes konekte ak aparèy seri. Itilizatè sa yo ka sèlman jwenn aksè nan seksyon Jesyon an nan meni Konsole Jesyon an epi yo pa gen okenn aksè liy lòd nan sèvè a konsole. Yo ka sèlman jwenn aksè nan Hôts ak aparèy seri ki te tcheke pou yo, lè l sèvi avèk sèvis ki te pèmèt.
Itilizatè ki nan gwoup pptd, dialin, ftp oswa pmshell yo gen aksè limite itilizatè yo nan aparèy jere yo nominasyon yo men yo p ap gen okenn aksè dirèk nan sèvè konsole a. Pou ajoute sa itilizatè yo dwe tou yon manm nan itilizatè yo oswa gwoup admin
Administratè a ka mete kanpe lòt gwoup ak aparèy pouvwa espesifik, pò seri ak otorizasyon aksè lame. Itilizatè yo nan gwoup adisyonèl sa yo pa gen okenn aksè nan meni Konsole Jesyon an ni yo pa gen okenn aksè liy lòd nan sèvè konsole a.
38
Manyèl itilizatè
Administratè a ka mete itilizatè yo ak aparèy pouvwa espesifik, pò seri ak otorizasyon aksè lame ki pa yon manm nan okenn gwoup. Itilizatè sa yo pa gen okenn aksè nan meni Konsole Jesyon an ni aksè nan liy lòd nan sèvè konsole a. 3.2.1 Mete nouvo gwoup Pou mete nouvo gwoup ak nouvo itilizatè yo, epi klase itilizatè yo kòm manm gwoup patikilye:
1. Chwazi Serial & Rezo > Itilizatè & Gwoup pou montre tout gwoup ak itilizatè 2. Klike sou Ajoute Gwoup pou ajoute yon nouvo gwoup
3. Ajoute yon non gwoup ak yon deskripsyon pou chak nouvo gwoup, epi nonmen Hôts aksesib yo, pò aksesib yo ak plòg RPC aksesib yo ke itilizatè yo nan nouvo gwoup sa a pral kapab jwenn aksè.
4. Klike sou Aplike 5. Administratè a kapab Edite oswa Efase nenpòt gwoup ajoute 3.2.2 Mete nouvo itilizatè Pou mete nouvo itilizatè yo, epi pou klasifye itilizatè yo kòm manm gwoup patikilye: 1. Chwazi Serial & Rezo > Itilizatè & Gwoup pou montre tout gwoup ak itilizatè 2. Klike sou Ajoute itilizatè
39
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3. Ajoute yon non itilizatè pou chak nouvo itilizatè. Ou ka mete tou enfòmasyon ki gen rapò ak itilizatè a (egzanp detay kontak) nan jaden an Deskripsyon. Non itilizatè a ka genyen ant 1 a 127 karaktè alfanumerik ak karaktè "-" "_" ak ".".
4. Espesifye nan ki Gwoup ou vle itilizatè a vin manm 5. Ajoute yon Modpas konfime pou chak nouvo itilizatè. Tout karaktè yo gen dwa. 6. SSH pas-kle otantifikasyon ka itilize. Kole kle piblik yo otorize piblik/prive
keypairs pou itilizatè sa a nan jaden Kle SSH otorize a 7. Tcheke Disable Password Authentication pou pèmèt sèlman otantifikasyon kle piblik pou itilizatè sa a.
lè w ap itilize SSH 8. Tcheke Pèmèt Dial-Back nan meni an Opsyon Rele-an pou pèmèt yon koneksyon dial-back soti.
yo dwe deklanche pa konekte nan pò sa a. Antre Nimewo Telefòn pou Rele-Back la ak nimewo telefòn la pou w rele lè itilizatè a konekte 9. Tcheke Hôts aksesib ak/oswa Pò aksesib yo pou nonmen pò seri yo ak lame ki konekte rezo a ou vle itilizatè a gen privilèj aksè a 10. Si gen RPCs configuré, tcheke Plòg RPC aksesib pou presize ki plòg itilizatè a kapab kontwole (sa vle di Power On/Off) 11. Klike sou Aplike. Nouvo itilizatè a pral kapab jwenn aksè nan Aparèy Rezo, Pò ak Plòg RPC aksesib yo. Si itilizatè a se yon manm gwoup, yo kapab tou jwenn aksè nan nenpòt lòt aparèy/pò/priz aksesib pou gwoup la
40
Manyèl itilizatè
Pa gen limit sou kantite itilizatè ou ka mete kanpe oswa kantite itilizatè pou chak pò seri oswa lame. Itilizatè miltip ka kontwole / siveye yon sèl pò oswa lame a. Pa gen limit sou kantite gwoup yo ak chak itilizatè kapab yon manm nan yon kantite gwoup. Yon itilizatè pa dwe yon manm nan okenn gwoup, men si itilizatè a se yon manm nan gwoup itilizatè default la, yo pa pral kapab sèvi ak Konsole Jesyon an pou jere pò yo. Pandan ke pa gen limit, tan nan re-konfigirasyon ogmante kòm kantite a ak konpleksite ogmante. Nou rekòmande pou kenbe kantite total itilizatè yo ak gwoup yo anba 250. Administratè a kapab tou edite anviwònman aksè yo pou nenpòt itilizatè ki egziste deja:
· Chwazi Serial & Rezo > Itilizatè & Gwoup epi klike sou Edit pou modifye privilèj aksè itilizatè yo · Klike sou Efase pou retire itilizatè a · Klike sou Enfim pou bloke privilèj aksè tanporèman.
3.3 Otantifikasyon
Gade Chapit 8 pou detay konfigirasyon otantifikasyon.
3.4 Lame Rezo
Pou kontwole ak aksè adistans yon òdinatè oswa aparèy rezo lokal (ki refere yo kòm yon Lame) ou dwe idantifye Lame a:
1. Chwazi Serial & Network > Network Hosts prezante tout rezo konekte Hosts yo ki te pèmèt pou itilize.
2. Klike sou Add Host pou pèmèt aksè nan yon nouvo Hôte (oswa chwazi Edit pou mete ajou paramèt pou Hôte ki egziste deja)
41
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3. Si lame a se yon aparèy pouvwa PDU oswa UPS oswa yon sèvè ki gen kontwòl pouvwa IPMI, presize RPC (pou IPMI ak PDU) oswa UPS ak Kalite Aparèy la. Administratè a ka configured aparèy sa yo epi pèmèt itilizatè ki gen pèmisyon pou fè sikile adistans, elatriye. Gade Chapit 7. Sinon, kite Kalite Aparèy la mete sou Okenn.
4. Si yo te konfigirasyon sèvè konsole a ak siveyans Nagios distribiye pèmèt, ou pral wè tou opsyon Nagios Settings pou pèmèt sèvis nominasyon sou Host la dwe kontwole.
5. Klike sou Aplike. Sa a kreye nouvo Lame a epi tou li kreye yon nouvo aparèy jere ak menm non an.
3.5 Rezo ou fè konfyans
Etablisman Trusted Networks la ba ou yon opsyon pou nonmen adrès IP itilizatè yo dwe lokalize yo, pou gen aksè a pò seri sèvè konsole yo:
42
Manyèl itilizatè
1. Chwazi Serial & Network > Trusted Networks 2. Pou ajoute yon nouvo rezo ou fè konfyans, chwazi Add Rule. Nan absans Règ, pa gen aksè
limitasyon sou adrès IP kote itilizatè yo ka lokalize.
3. Chwazi pò aksesib yo pou yo aplike nouvo règ la
4. Antre Adrès Rezo a nan sous-rezo a yo gen dwa aksè
5. Espesifye seri adrès yo dwe pèmèt lè w antre nan yon Mask Rezo pou seri IP ki otorize sa a, eg.
· Pou pèmèt tout itilizatè yo ki gen yon koneksyon rezo klas C patikilye nan pò yo nominasyon an, ajoute Nouvo Règ Rezo Konfians sa a:
Adrès IP rezo
204.15.5.0
Mask sou-rezo a
255.255.255.0
· Pou pèmèt sèlman yon itilizatè ki sitiye nan yon adrès IP espesifik konekte:
Adrès IP rezo
204.15.5.13
Mask sou-rezo a
255.255.255.255
· Pou pèmèt tout itilizatè yo opere nan yon seri espesifik adrès IP (di nenpòt nan trant adrès yo soti nan 204.15.5.129 a 204.15.5.158) yo gen pèmisyon koneksyon nan pò a nominasyon:
Adrès lame/sous-rezo
204.15.5.128
Mask sou-rezo a
255.255.255.224
6. Klike sou Aplike
43
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3.6 Serial Port Cascading
Cascaded Ports pèmèt ou gwoupe sèvè konsole distribye pou yon gwo kantite pò seri (jiska 1000) ka konfigirasyon ak aksè atravè yon adrès IP epi jere atravè yon sèl Konsole Jesyon an. Yon sèvè konsole, Prensipal la, kontwole lòt sèvè konsole kòm inite Node ak tout pò seri sou inite Node yo parèt tankou si yo fè pati Prensipal la. Gwoupman Opengear a konekte chak Node ak Prensipal la ak yon koneksyon SSH. Sa a se fè lè l sèvi avèk otantifikasyon kle piblik, kidonk Prensipal la ka jwenn aksè nan chak Node lè l sèvi avèk pè kle SSH la (olye ke yo sèvi ak modpas). Sa a asire kominikasyon sekirite otantifye ant Prensipal ak Nœuds ki pèmèt inite sèvè konsole Node yo distribye lokalman sou yon LAN oswa adistans atravè mond lan.
3.6.1 Otomatikman jenere ak telechaje kle SSH Pou mete kanpe otantifikasyon kle piblik ou dwe premye jenere yon pè kle RSA oswa DSA epi telechaje yo sou sèvè konsole Prensipal ak Node yo. Sa a ka fè otomatikman nan Prensipal la:
44
Manyèl itilizatè
1. Chwazi Sistèm > Administrasyon sou Konsole Jesyon Prensipal la
2. Tcheke Jenere SSH kle otomatikman. 3. Klike sou Aplike
Apre sa, ou dwe chwazi si w ap jenere kle lè l sèvi avèk RSA ak/oswa DSA (si w pa sèten, chwazi sèlman RSA). Jenere chak seri kle mande pou de minit ak nouvo kle yo detwi ansyen kle nan kalite sa a. Pandan nouvo jenerasyon an ap mache, fonksyon ki konte sou kle SSH (egzanp kaskad) ka sispann fonksyone jiskaske yo mete ajou ak nouvo seri kle yo. Pou jenere kle:
1. Tcheke kaz pou kle ou vle jenere yo. 2. Klike sou Aplike
3. Yon fwa ke nouvo kle yo te pwodwi, klike sou lyen Klike la a pou retounen. Kle yo telechaje
nan Nœuds prensipal yo ak konekte.
3.6.2 Manyèlman jenere ak telechaje kle SSH Altènativman si ou gen yon pè kle RSA oswa DSA ou ka telechaje yo sou sèvè konsole Primè ak Node yo. Pou telechaje pè kle piblik ak prive kle sou sèvè konsole prensipal la:
1. Chwazi Sistèm > Administrasyon sou Konsole Jesyon Prensipal la
2. Navige nan kote ou te estoke kle piblik RSA (oswa DSA) epi telechaje li nan kle piblik SSH RSA (DSA)
3. Navige nan kle prive RSA (oswa DSA) ki estoke a epi telechaje li nan kle prive SSH RSA (DSA) 4. Klike sou Aplike.
45
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
Apre sa, ou dwe anrejistre Kle Piblik la kòm yon Kle Otorize sou Node la. Nan ka yon sèl Prensipal ak plizyè Nœuds, ou telechaje yon kle piblik RSA oswa DSA pou chak Nœud.
1. Chwazi Sistèm > Administrasyon sou Konsole Jesyon Node a 2. Navige nan Kle Piblik RSA (oswa DSA) ki estoke epi telechaje li nan Kle Otorize SSH Node la.
3. Klike sou Aplike Pwochen etap la se nan Anprent chak nouvo koneksyon Node-Primè. Etap sa a valide ke w ap etabli yon sesyon SSH pou ki moun ou panse ou ye. Nan premye koneksyon Node a resevwa yon anprent nan men Prensipal la itilize sou tout koneksyon fiti: Pou etabli anprent la premye louvri sesyon an nan sèvè Prensipal la kòm rasin epi etabli yon koneksyon SSH ak lame aleka Node la:
# ssh remhost Yon fwa koneksyon SSH la te etabli, yo mande w aksepte kle a. Reponn wi epi anprent la ajoute nan lis lame li te ye. Si yo mande w bay yon modpas, te gen pwoblèm pou telechaje kle yo. 3.6.3 Konfigirasyon Nœuds yo ak pò seri yo Kòmanse mete nœuds yo ak konfigirasyon pò seri Nœuds yo nan sèvè konsole prensipal la:
1. Chwazi Serial & Network > Cascaded Ports sou Konsole Jesyon Prensipal la: 2. Pou ajoute sipò clustering, chwazi Add Node.
Ou pa ka ajoute Nœuds jiskaske ou te pwodwi kle SSH. Pou defini ak konfigirasyon yon Node:
46
Manyèl itilizatè
1. Antre Adrès IP aleka oswa Non DNS pou sèvè konsole Node la 2. Antre yon deskripsyon kout ak yon Etikèt kout pou Node la 3. Antre kantite pò seri konplè sou inite Node la nan Nimewo Pò 4. Klike sou Aplike. Sa a etabli tinèl SSH ant Prensipal la ak nouvo Node la
Meni Serial & Network > Cascaded Ports la montre tout nœuds yo ak nimewo pò yo ki te resevwa lajan sou Prensipal la. Si sèvè konsole Prensipal la gen 16 pò pwòp li yo, pò 1-16 yo pre-alloke nan Prensipal la, kidonk premye nod ki te ajoute a resevwa pò nimewo 17 apati. Yon fwa ou te ajoute tout sèvè konsole Node yo, pò seri Node yo ak aparèy ki konekte yo configurable epi aksesib nan meni Konsole Jesyon Prensipal la epi aksesib atravè adrès IP Prensipal la.
1. Chwazi apwopriye Serial & Network > Serial Port ak Edit pou konfigirasyon pò seri yo sou la
Ne.
2. Chwazi Serial & Rezo ki apwopriye a > Itilizatè & Gwoup pou ajoute nouvo itilizatè ki gen privilèj aksè
nan pò seri Node yo (oswa pou yon ekstansyon pou privilèj aksè itilizatè ki deja egziste yo).
3. Chwazi apwopriye Serial & Network > Trusted Networks pou presize adrès rezo sa
ka jwenn aksè nan pò seri nominasyon yo. 4. Chwazi Avètisman & Logging ki apwopriye a > Alèt pou konfigirasyon Koneksyon pò Node, Eta
Changeor Pattern Match alèt. Chanjman konfigirasyon yo te fè sou Prensipal la pwopaje nan tout nœuds yo lè ou klike sou Aplike.
3.6.4 Jere Nœuds Prensipal la kontwole pò seri Nœuds yo. Pou egzanpample, si chanje yon privilèj aksè itilizatè oswa modifye nenpòt anviwònman pò seri sou Prensipal la, konfigirasyon an mete ajou fileYo voye yo nan chak Node an paralèl. Chak Node fè chanjman nan konfigirasyon lokal yo (epi sèlman fè chanjman ki gen rapò ak pò seri patikilye li yo). Ou ka itilize Konsole Jesyon Node lokal la pou chanje paramèt yo sou nenpòt pò seri ne (tankou chanje vitès baud yo). Chanjman sa yo ranplase pwochen fwa Primè a voye yon konfigirasyon file aktyalizasyon. Pandan ke Prensipal la se nan kontwòl sou tout fonksyon pò seri nœuds ki gen rapò, li pa prensipal sou koneksyon yo lame rezo nœuds oswa sou sistèm nan sèvè konsole nœuds. Fonksyon nœuds tankou IP, SMTP & SNMP Anviwònman, Dat & Lè, sèvè DHCP dwe jere pa aksè nan chak nœuds dirèkteman epi fonksyon sa yo pa sou ekri lè chanjman konfigirasyon yo pwopaje soti nan Prensipal la. Nœuds rezo Host ak paramèt IPMI dwe configuré nan chak nœuds.
47
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
Konsole Jesyon Prensipal la bay yon konsolide view nan anviwònman yo pou pwòp li yo ak pò seri wholeNode la. Prensipal la pa bay yon totalman konsolide view. Pou egzanpample, si ou vle konnen ki moun ki konekte nan pò seri kaskad soti nan prensipal la, ou pral wè ke Estati> Itilizatè aktif sèlman montre itilizatè sa yo ki aktif sou pò Prensipal la, kidonk ou ka bezwen ekri scripts koutim pou bay sa a. view.
3.7 Redireksyon pò seri (PortShare)
Lojisyèl Port Share Opengear a ofri teknoloji pò seri vityèl aplikasyon Windows ak Linux ou bezwen pou louvri pò seri aleka epi li done ki soti nan aparèy seri ki konekte ak sèvè konsole ou.
PortShare yo apwovizyone gratis ak chak sèvè konsole epi ou gen lisans pou enstale PortShare sou youn oswa plis òdinatè pou jwenn aksè nan nenpòt aparèy seri ki konekte nan yon pò sèvè konsole. PortShare pou Windows Portshare_setup.exe ka telechaje sou sit ftp la. Gade Manyèl Itilizatè PortShare ak Quick Start pou plis detay sou enstalasyon ak operasyon. PortShare pou Linux Pilotè PortShare pou Linux mete kat pò seri sèvè konsole a nan yon pò eseye lame. Opengear te pibliye portshare-serial-client kòm yon sèvis piblik sous louvri pou Linux, AIX, HPUX, SCO, Solaris ak UnixWare. Ou ka telechaje sèvis piblik sa a sou sit ftp la. PortShare pò seri redireksyon sa a pèmèt ou sèvi ak yon aparèy seri ki konekte ak sèvè konsole aleka kòm si li te konekte ak pò seri lokal ou a. Portshare-seri-kliyan an kreye yon pò pseudo tty, konekte aplikasyon seri a nan pò pseudo tty, resevwa done ki soti nan pò pseudo tty, transmèt li nan sèvè a konsole atravè rezo a epi li resevwa done ki soti nan sèvè a konsole atravè rezo a epi li transmèt li. nan pò pseudo-tty la. Tar file ka telechaje sou sit ftp la. Gade Manyèl Itilizatè PortShare ak Quick Start pou plis detay sou enstalasyon ak operasyon.
48
Manyèl itilizatè
3.8 Aparèy jere
Paj Managed Devices la prezante yon konsolide view nan tout koneksyon yo nan yon aparèy ki ka jwenn aksè ak kontwole atravè sèvè a konsole. Pou view koneksyon yo ak aparèy yo, chwazi Serial & Network > Managed Devices
Ekran sa a montre tout aparèy jere yo ak Deskripsyon/Nòt yo ak lis tout Koneksyon konfigirasyon yo:
· Serial Port # (si seri konekte) oswa · USB (si USB konekte) · Adrès IP (si rezo konekte) · Detay PDU/priz kouran (si sa aplikab) ak nenpòt koneksyon UPS Aparèy tankou sèvè ka gen plis pase yon koneksyon kouran. (egzanp pouvwa doub apwovizyone) ak plis pase yon koneksyon rezo (egzanp pou BMC/prosesè sèvis). Tout itilizatè yo kapab view koneksyon aparèy jere sa yo lè w chwazi Jere > Aparèy. Administratè yo kapab tou edite epi ajoute/efase aparèy jere sa yo ak koneksyon yo. Pou modifye yon aparèy ki egziste epi ajoute yon nouvo koneksyon: 1. Chwazi Edit sou Serial & Network > Managed Devices epi klike sou Ajoute Koneksyon 2. Chwazi kalite koneksyon pou nouvo koneksyon an (Serial, Network Host, UPS oswa RPC) epi chwazi
koneksyon an soti nan lis la prezante nan konfigirasyon gen tout pouvwa a / pò / plòg
49
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
Pou ajoute yon nouvo aparèy jere ki konekte nan rezo a: 1. Administratè a ajoute yon nouvo aparèy jere ki konekte nan rezo lè l sèvi avèk Add Host nan meni Serial & Network > Network Host. Sa a otomatikman kreye yon nouvo aparèy jere korespondan. 2. Lè w ajoute yon nouvo aparèy elektrik RPC oswa UPS ki konekte nan rezo a, ou mete yon rezo Host, deziyen li kòm RPC oswa UPS. Ale nan Koneksyon RPC oswa Koneksyon UPS pou konfigirasyon koneksyon ki enpòtan an. Nouvo aparèy jere ki koresponn ak menm Non/Deskripsyon ak RPC/UPS Host la pa kreye jiskaske etap koneksyon sa a fini.
REMAK Non priz sou PDU ki fèk kreye a se priz 1 ak priz 2. Lè w konekte yon aparèy jere patikilye ki tire kouran nan priz la, priz la pran non aparèy jere ki gen kouran.
Pou ajoute yon nouvo aparèy jere ki konekte seri: 1. Konfigure pò seri a lè l sèvi avèk meni Serial & Network > Serial Port (Gade Seksyon 3.1 Konfigure Serial Port) 2. Chwazi Serial & Network > Managed Devices epi klike sou Ajoute Aparèy 3. Antre yon Aparèy Non ak Deskripsyon pou aparèy jere a
4. Klike sou Ajoute Koneksyon epi chwazi Serial ak Port ki konekte ak aparèy jere a
5. Pou ajoute yon koneksyon kouran UPS/RPC oswa koneksyon rezo oswa yon lòt koneksyon seri klike sou Ajoute Koneksyon
6. Klike sou Aplike
REMAK
Pou mete yon seri aparèy RPC UPS oswa EMD konekte, konfigirasyon pò seri a, deziyen li kòm yon Aparèy, epi antre yon Non ak Deskripsyon pou aparèy sa a nan Serial & Rezo > Koneksyon RPC (oswa Koneksyon UPS oswa Anviwònman). Sa a kreye yon nouvo aparèy jere ki koresponn ak menm Non/Deskripsyon ak RPC/UPS Host la. Non priz sou PDU ki fèk kreye sa a se priz 1 ak priz 2. Lè w konekte yon aparèy jere ki tire kouran nan priz la, priz la pran non Aparèy jere ki mache ak pisans la.
3.9 IPsec VPN
ACM7000, CM7100, ak IM7200 gen ladan Openswan, yon aplikasyon Linux nan pwotokòl IPsec (Sekirite IP), ki ka itilize pou konfigirasyon yon Rezo Prive Virtuel (VPN). VPN a pèmèt plizyè sit oswa administratè aleka jwenn aksè nan sèvè konsole a ak aparèy jere an sekirite sou entènèt la.
50
Manyèl itilizatè
Administratè a kapab etabli koneksyon vpn ki otantifye ankripte ant sèvè konsole ki distribye nan sit aleka ak yon pòtay VPN (tankou routeur Cisco ki kouri IOS IPsec) sou rezo biwo santral yo:
· Itilizatè ki nan biwo santral la ka jwenn aksè an sekirite nan sèvè konsole aleka yo ak aparèy konsole seri ak machin ki konekte sou sous-rezo LAN Jesyon an nan kote aleka a tankou si yo te lokal.
· Tout sèvè konsole aleka sa yo ka kontwole ak yon CMS6000 sou rezo santral la.
konekte ak aparèy yo kontwole seri nan sit yo aleka Administratè gèrye wout la ka itilize yon kliyan lojisyèl VPN IPsec pou jwenn aksè adistans sèvè konsole a ak chak machin sou sous-rezo LAN Jesyon an nan kote ki lwen.
Konfigirasyon IPsec se byen konplèks, kidonk Opengear bay yon koòdone entèfas pou konfigirasyon debaz jan sa dekri anba a. Pou pèmèt pòtay VPN a:
1. Chwazi IPsec VPN nan meni Serial & Networks
2. Klike sou Add epi ranpli ekran Add IPsec Tunnel la 3. Antre nenpòt non deskriptif ou vle idantifye Tinèl IPsec w ap ajoute a tankou
WestStOutlet-VPN
51
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
4. Chwazi Metòd Otantifikasyon pou itilize a, swa siyati dijital RSA oswa yon sekrè pataje (PSK) o Si w chwazi RSA, yo mande w klike la a pou jenere kle. Sa a jenere yon kle piblik RSA pou sèvè konsole a (Kle Piblik Left la). Chèche kle yo dwe itilize sou pòtay aleka a, koupe epi kole li nan Kle Piblik Dwa a
o Si w chwazi Sekrè pataje, antre yon sekrè Pre-pataje (PSK). PSK la dwe matche ak PSK konfigirasyon nan lòt bout tinèl la
5. Nan Pwotokòl Otantifikasyon chwazi pwotokòl otantifikasyon yo dwe itilize. Swa otantifye kòm yon pati nan chifreman ESP (Encapsulating Security Payload) oswa separeman lè l sèvi avèk pwotokòl AH (Authentication Header).
52
Manyèl itilizatè
6. Antre yon ID Goch ak ID Dwa. Sa a se idantifyan ke lame lokal la / pòtay la ak lame / pòtay aleka itilize pou negosyasyon ak otantifikasyon IPsec. Chak ID dwe gen ladan yon @ epi yo ka genyen yon non domèn konplètman kalifye (egzanp left@example.com)
7. Antre adrès piblik IP oswa DNS pòtay Opengear VPN sa a kòm Adrès Goch la. Ou ka kite sa a vid pou itilize koòdone wout default la
8. Nan Adrès Dwa antre nan adrès IP oswa DNS piblik la nan fen aleka tinèl la (sèlman si fen a aleka gen yon adrès estatik oswa DynDNS). Sinon kite sa a vid
9. Si pòtay VPN Opengear la ap sèvi kòm yon pòtay VPN nan yon sous-rezo lokal (egzanp sèvè konsole a gen yon LAN Jesyon configuré) antre detay sou sous-rezo prive a nan Left Subnet. Sèvi ak notasyon CIDR la (kote nimewo adrès IP la swiv pa yon koupe ak kantite `yon' bit nan notasyon binè mask la). Pou egzanpample, 192.168.0.0/24 endike yon adrès IP kote premye 24 bit yo itilize kòm adrès rezo a. Sa a se menm jan ak 255.255.255.0. Si aksè VPN a se sèlman nan sèvè konsole a ak aparèy seri konsole li yo, kite Left Subnet vid.
10. Si gen yon pòtay VPN nan fen aleka, antre detay sou sous-rezo prive a nan Subnet Dwa. Sèvi ak notasyon CIDR a epi kite vid si gen sèlman yon lame aleka
11. Chwazi Initiate Tinèl si koneksyon tinèl la dwe inisye nan fen sèvè konsole Left la. Sa a ka sèlman inisye nan pòtay VPN la (Agòch) si fen a aleka configuré ak yon adrès IP estatik (oswa DynDNS).
12. Klike sou Aplike pou sove chanjman yo
REMAK Detay konfigirasyon yo mete sou sèvè konsole a (ki refere yo kòm lame a Goch oswa Lokal) dwe matche ak konfigirasyon yo te antre nan lè konfigirasyon lame/gateway Remote (Adwat) oswa kliyan lojisyèl. Gade http://www.opengear.com/faq.html pou plis detay sou konfigirasyon pwent aleka sa yo
3.10 OpenVPN
ACM7000, CM7100, ak IM7200 ak firmwèr V3.2 ak pita gen ladan OpenVPN. OpenVPN sèvi ak bibliyotèk OpenSSL pou chifreman, otantifikasyon, ak sètifikasyon, ki vle di li itilize SSL/TSL (Secure Socket Layer/Transport Layer Security) pou echanj kle epi li ka ankripte tou de done ak kanal kontwòl. Sèvi ak OpenVPN pèmèt pou konstwi vpn kwa-platfòm, pwen-a-pwen lè l sèvi avèk swa X.509 PKI (enfrastrikti kle piblik) oswa konfigirasyon koutim. files. OpenVPN pèmèt tinèl done an sekirite atravè yon sèl pò TCP/UDP sou yon rezo ki pa an sekirite, konsa bay aksè an sekirite nan plizyè sit ak sekirite adistans administrasyon nan yon sèvè konsole sou entènèt la. OpenVPN pèmèt tou itilize adrès IP dinamik tou de sèvè a ak kliyan an konsa bay kliyan mobilite. Pou egzanpampLè sa a, yon tinèl OpenVPN ka etabli ant yon kliyan itinérant fenèt ak yon sèvè konsole Opengear nan yon sant done. Konfigirasyon OpenVPN ka konplèks pou Opengear bay yon koòdone entèfas pou konfigirasyon debaz jan sa dekri anba a. Gen plis enfòmasyon detaye ki disponib nan http://www.openvpn.net
3.10.1 Pèmèt OpenVPN 1. Chwazi OpenVPN nan meni Serial & Networks.
53
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
2. Klike sou Add epi ranpli ekran Add OpenVPN Tunnel la 3. Antre nenpòt non deskriptif ou vle idantifye OpenVPN Tinèl w ap ajoute a, pa egzanp.ample
NorthStOutlet-VPN
4. Chwazi metòd otantifikasyon yo dwe itilize. Pou otantifye lè l sèvi avèk sètifika chwazi PKI (Sètifika X.509) oswa chwazi Custom Configuration pou telechaje konfigirasyon koutim. files. Konfigirasyon koutim yo dwe estoke nan /etc/config.
REMAK Si w chwazi PKI, etabli: Sètifika separe (ki rele tou kle piblik). Sètifika sa a File se yon *.crt file tape Kle Prive pou sèvè a ak chak kliyan. Kle Prive sa a File se yon *.kle file kalite
Sètifika Prensipal Otorite Sètifika (CA) ak kle ki itilize pou siyen chak sèvè a
ak sètifika kliyan. Sètifika CA Rasin sa a se yon *.crt file tape Pou yon sèvè, ou ka bezwen tou dh1024.pem (paramèt Diffie Hellman). Gade http://openvpn.net/easyrsa.html pou yon gid sou jesyon kle RSA debaz yo. Pou metòd otantifikasyon altènatif gade http://openvpn.net/index.php/documentation/howto.html#auth.
5. Chwazi Pilote Aparèy pou itilize a, swa Tun-IP oswa Tap-Ethernet. Chofè TUN (rezo tinèl) ak TAP (rezo tiyo) se chofè rezo vityèl ki sipòte IP tunneling ak Ethernet tunneling, respektivman. TUN ak TAP fè pati nwayo Linux la.
6. Chwazi swa UDP oswa TCP kòm Pwotokòl la. UDP se pwotokòl default ak pi pito pou OpenVPN. 7. Tcheke oswa dezaktive bouton konpresyon an pou pèmèt oswa enfim konpresyon. 8. Nan Tunnel Mode, nonmen si sa a se fen Kliyan oswa sèvè tinèl la. Lè kouri kòm
yon sèvè, sèvè konsole a sipòte plizyè kliyan konekte ak sèvè VPN sou menm pò a.
54
Manyèl itilizatè
3.10.2 Konfigirasyon kòm sèvè oswa kliyan
1. Ranpli Detay Kliyan an oswa Detay Sèvè a depann sou Mòd Tinèl la chwazi. o Si yo te chwazi Kliyan, Adrès Sèvè Prensipal la se adrès Sèvè OpenVPN la. o Si yo te chwazi Sèvè, antre adrès IP Pool Network ak mask IP Pool Network pou IP Pool la. Rezo ki defini nan IP Pool Rezo adrès/mask yo itilize pou bay adrès pou konekte kliyan yo.
2. Klike sou Aplike pou sove chanjman yo
55
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3. Pou antre nan sètifika otantifikasyon ak files, chwazi Jere OpenVPN la Filetab s. Telechaje oswa browse nan sètifika otantifikasyon ki enpòtan ak files.
4. Aplike pou sove chanjman yo. Sove fileyo parèt an wouj sou bò dwat bouton Upload la.
5. Pou pèmèt OpenVPN, Edit tinèl OpenVPN la
56
Manyèl itilizatè
6. Tcheke bouton Enabled la. 7. Aplike pou sove chanjman yo REMAK Asire w ke tan sistèm sèvè konsole a kòrèk lè w ap travay ak OpenVPN pou evite
pwoblèm otantifikasyon.
8. Chwazi Estatistik nan meni Status la pou verifye ke tinèl la fonksyone.
57
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3.10.3 Konfigirasyon Kliyan ak Sèvè Windows OpenVPN Seksyon sa a esplike enstalasyon ak konfigirasyon yon kliyan Windows OpenVPN oswa yon sèvè Windows OpenVPN ak etabli yon koneksyon VPN nan yon sèvè konsole. Serveurs konsole yo jenere konfigirasyon kliyan Windows otomatikman nan entèfas pou Pre-pataje sekrè (Kle estatik File) konfigirasyon.
Altènativman OpenVPN GUI pou Windows lojisyèl (ki gen ladan pakè OpenVPN estanda a plis yon entèfas Windows) ka telechaje soti nan http://openvpn.net. Yon fwa enstale sou machin Windows la, yo ajoute yon icon OpenVPN nan Zòn Notifikasyon ki sitiye sou bò dwat ba travay la. Dwa klike sou ikòn sa a pou kòmanse epi sispann koneksyon VPN, modifye konfigirasyon, ak view mòso bwa.
Lè lojisyèl OpenVPN la kòmanse kouri, C:Program la FilesOpenVPNconfig katab tcheke pou .opvn files. Yo tcheke dosye sa a pou nouvo konfigirasyon files chak fwa yo klike sou ikòn GUI OpenVPN a dwat. Yon fwa OpenVPN enstale, kreye yon konfigirasyon file:
58
Manyèl itilizatè
Sèvi ak yon editè tèks, kreye yon xxxx.ovpn file epi sove nan C: Pwogram FilesOpenVPNconfig. Pou egzanpample, C:Pwogram FilesOpenVPNconfigclient.ovpn
Yon ansyenample nan yon konfigirasyon kliyan OpenVPN Windows file yo montre anba a:
# deskripsyon: IM4216_client kliyan proto udp vèb 3 dev tun remote 192.168.250.152 pò 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt kle c:\openvpnkeys\client.key persist-bin persist-bin tun konp-lzo
Yon ansyenample nan yon konfigirasyon OpenVPN Windows Server file yo montre anba a:
sèvè 10.100.10.0 255.255.255.0 pò 1194 keepalive 10 120 proto udp mssfix 1400 pèsiste-kle pèsiste-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeysrvp\nkey\nserver. kle dh c:\openvpnkeys\dh.pem comp-lzo vèb 1 syslog IM4216_OpenVPN_Server
Konfigirasyon kliyan/sèvè Windows la file opsyon yo se:
Opsyon #deskripsyon: Kliyan sèvè proto udp pwoto tcp mssfix vèb
dev tun dev tap
Deskripsyon Sa a se yon kòmantè ki dekri konfigirasyon an. Liy kòmantè yo kòmanse ak '#' epi yo inyore pa OpenVPN. Espesifye si sa a pral yon konfigirasyon kliyan oswa sèvè file. Nan konfigirasyon sèvè a file, defini pisin nan adrès IP ak netmask. Pou egzanpample, sèvè 10.100.10.0 255.255.255.0 Mete pwotokòl la sou UDP oswa TCP. Kliyan an ak sèvè dwe itilize menm paramèt yo. Mssfix fikse gwosè maksimòm pake a. Sa a se sèlman itil pou UDP si pwoblèm rive.
Mete boutèy demi lit file nivo verbozite. Ou ka mete nivo pwovozite nan boutèy demi lit soti nan 0 (minimòm) a 15 (maksimòm). Pou egzanpample, 0 = an silans eksepte erè fatal 3 = pwodiksyon mwayen, bon pou itilizasyon jeneral 5 = ede ak pwoblèm koneksyon debogaj 9 = pwolib, ekselan pou depanaj Chwazi `dev tun' pou kreye yon tinèl IP route oswa `dev tap' pou kreye yon tinèl Ethernet. Kliyan an ak sèvè dwe itilize menm paramèt yo.
59
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
aleka Port Keepalive
http-proxy cafile non>
sètadifile non>
klefile non>
dhfile non> Nobind pèsiste-kle pèsiste-tun chifre BF-CBC Blowfish (default) chifre AES-128-CBC AES chifre DES-EDE3-CBC Triple-DES comp-lzo syslog
Non host / IP sèvè OpenVPN lè w ap opere kòm yon kliyan. Antre swa non host DNS oswa adrès IP estatik sèvè a. Pò UDP/TCP sèvè a. Keepalive sèvi ak ping pou kenbe sesyon OpenVPN an vivan. 'Keepalive 10 120′ ping chak 10 segonn epi li sipoze kanmarad la aleka desann si pa gen okenn ping te resevwa sou yon peryòd tan 120 dezyèm fwa. Si yo mande yon proxy pou jwenn aksè nan sèvè a, antre non DNS sèvè proxy a oswa IP ak nimewo pò a. Antre sètifika CA a file non ak kote. Sètifika CA a menm file ka itilize pa sèvè a ak tout kliyan. Nòt: Asire w ke chak `' nan chemen anyè a ranplase ak ` \'. Pou egzanpample, c:openvpnkeysca.crt ap vin c:\openvpnkeys\ca.crt Antre sètifika kliyan an oswa sèvè a. file non ak kote. Chak kliyan ta dwe gen pwòp sètifika ak kle li yo files. Nòt: Asire w ke chak `' nan chemen anyè a ranplase ak ` \'. Antre nan file non ak kote kle kliyan an oswa sèvè a. Chak kliyan ta dwe gen pwòp sètifika ak kle li yo files. Nòt: Asire w ke chak `' nan chemen anyè a ranplase ak ` \'. Sa a se itilize pa sèvè a sèlman. Antre nan chemen kle a ak paramèt Diffie-Hellman yo. Yo itilize `Nobind' lè kliyan pa bezwen konekte ak yon adrès lokal oswa yon nimewo pò lokal espesifik. Sa a se ka a nan pifò konfigirasyon kliyan yo. Opsyon sa a anpeche rechaje kle yo atravè rekòmanse. Opsyon sa a anpeche fèmen ak relouvri aparèy TUN/TAP atravè rekòmanse. Chwazi yon chifreman kriptografik. Kliyan an ak sèvè dwe itilize menm paramèt yo.
Pèmèt konpresyon sou lyen OpenVPN la. Sa a dwe aktive sou tou de kliyan an ak sèvè a. Pa default, mòso bwa yo sitiye nan syslog oswa, si yo ap fonksyone kòm yon sèvis sou Window, nan Pwogram FilesOpenVPNlog anyè.
Pou kòmanse tinèl OpenVPN apre kreyasyon konfigirasyon kliyan/sèvè a files: 1. Dwa klike sou ikòn OpenVPN nan Zòn Notifikasyon 2. Chwazi konfigirasyon kliyan oswa sèvè ki fèk kreye a. 3. Klike sou Konekte
4. Log la file ap parèt pandan koneksyon an etabli
60
Manyèl itilizatè
5. Yon fwa etabli, icon nan OpenVPN montre yon mesaj ki endike yon koneksyon siksè ak IP asiyen. Enfòmasyon sa a, ansanm ak tan koneksyon an te etabli, disponib lè w ap defile sou ikòn OpenVPN la.
3.11 PPTP VPN
Serveurs konsole yo gen ladan yon sèvè PPTP (Point-to-Point Tunneling Protocol). PPTP yo itilize pou kominikasyon sou yon lyen seri fizik oswa vityèl. PPP pwen final yo defini yon adrès IP vityèl pou tèt yo. Wout rezo yo ka defini ak adrès IP sa yo kòm pòtay la, ki lakòz trafik yo te voye atravè tinèl la. PPTP etabli yon tinèl ant pwen final PPP fizik yo epi li transpòte done an sekirite atravè tinèl la.
Fòs nan PPTP se fasilite li nan konfigirasyon ak entegrasyon nan enfrastrikti Microsoft ki deja egziste. Li se jeneralman yo itilize pou konekte yon sèl kliyan Windows aleka. Si w pran òdinatè pòtab ou nan yon vwayaj biznis, ou ka konpoze yon nimewo lokal pou w konekte ak founisè sèvis aksè Entènèt ou (ISP) epi kreye yon dezyèm koneksyon (tinèl) nan rezo biwo w atravè Entènèt la epi ou ka gen menm aksè a ou. rezo antrepriz tankou si ou te konekte dirèkteman nan biwo ou. Teletravay yo kapab tou mete kanpe yon tinèl VPN sou modèm kab yo oswa lyen DSL pou ISP lokal yo.
61
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
Pou mete yon koneksyon PPTP soti nan yon kliyan Windows aleka nan aparèy Opengear ou ak rezo lokal:
1. Pèmèt ak konfigirasyon sèvè PPTP VPN sou aparèy Opengear ou a 2. Mete kanpe kont itilizatè VPN sou aparèy Opengear la epi pèmèt apwopriye
otantifikasyon 3. Konfigure kliyan yo VPN nan sit yo aleka. Kliyan an pa mande pou lojisyèl espesyal kòm
Sèvè PPTP a sipòte lojisyèl estanda kliyan PPTP ki enkli ak Windows NT epi pita 4. Konekte ak VPN aleka 3.11.1 Pèmèt sèvè PPTP VPN 1. Chwazi PPTP VPN nan meni Serial & Networks.
2. Chwazi kaz la Pèmèt pou pèmèt sèvè PPTP 3. Chwazi Otantifikasyon Minimòm obligatwa a. Aksè yo refize bay itilizatè aleka ki eseye fè
konekte lè l sèvi avèk yon konplo otantifikasyon ki pi fèb pase konplo a chwazi. Plan yo dekri anba a, soti nan pi fò rive nan pi fèb. · Otantifikasyon ankripte (MS-CHAP v2): Kalite otantifikasyon ki pi fò pou itilize; sa a se
opsyon ki rekòmande a · Otantifikasyon ki fèb chifre (CHAP): Sa a se kalite ki pi fèb nan modpas chiffres.
otantifikasyon pou itilize. Li pa rekòmande pou kliyan konekte lè l sèvi avèk sa a paske li bay anpil pwoteksyon modpas. Epitou sonje ke kliyan ki konekte lè l sèvi avèk CHAP yo pa kapab ankripte trafik
62
Manyèl itilizatè
· Otantifikasyon Unencrypted (PAP): Sa a se otantifikasyon modpas tèks klè. Lè w ap itilize kalite otantifikasyon sa a, modpas kliyan an transmèt san kode.
· Okenn 4. Chwazi Nivo chifreman obligatwa a. Aksè yo refize bay itilizatè aleka ki eseye konekte
ki pa sèvi ak nivo chifreman sa a. 5. Nan Adrès lokal antre adrès IP pou asiyen nan fen sèvè a nan koneksyon VPN la 6. Nan Adrès Remote antre nan pisin nan adrès IP yo asiyen nan VPN kliyan fèk ap rantre a.
koneksyon (egzanp 192.168.1.10-20). Sa a dwe yon adrès IP gratis oswa yon seri adrès ki soti nan rezo itilizatè aleka yo asiyen pandan y ap konekte ak aparèy Opengear la. 7) 1400. Nan jaden DNS Server, antre adrès IP sèvè DNS ki bay adrès IP pou kliyan PPTP ki konekte yo 8. Nan jaden WINS Server, antre adrès IP sèvè WINS ki bay adrès IP pou kliyan PPTP ki konekte yo. 9. Pèmèt Verbose Logging pou ede nan debogaj pwoblèm koneksyon 10. Klike sou Aplike Settings 11 Ajoute yon itilizatè PPTP 3.11.2. Chwazi Itilizatè & Gwoup nan meni Serial & Networks epi ranpli jaden yo jan yo kouvri nan seksyon 1. 3.2. Asire w ke gwoup pptpd la te tcheke, pou pèmèt aksè a sèvè PPTP VPN. Remak - itilizatè yo nan gwoup sa a gen modpas yo estoke nan tèks klè. 2. Kenbe nòt itilizatè a ak modpas pou lè ou bezwen konekte ak koneksyon VPN la 3. Klike sou Aplike
63
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3.11.3 Fikse yon kliyan PPTP aleka Asire PC kliyan VPN aleka a gen koneksyon Entènèt. Pou kreye yon koneksyon VPN atravè entènèt la, ou dwe mete kanpe de koneksyon rezo. Yon koneksyon se pou ISP a, ak lòt koneksyon an se pou tinèl VPN nan aparèy Opengear la. REMAK Pwosedi sa a mete kanpe yon kliyan PPTP nan sistèm operasyon Windows Professional la. Etap yo
ka varye yon ti kras selon aksè rezo ou oswa si w ap itilize yon lòt vèsyon Windows. Enstriksyon plis detay yo disponib nan Microsoft la web sit. 1. Konekte nan kliyan Windows ou a ak privilèj administratè 2. Soti nan Sant Rezo & Pataje sou Panel Kontwòl la, chwazi Koneksyon Rezo epi kreye yon nouvo koneksyon.
64
Manyèl itilizatè
3. Chwazi Sèvi ak Koneksyon Entènèt mwen an (VPN) epi antre adrès IP aparèy Opengear la Pou konekte kliyan VPN aleka nan rezo lokal la, ou bezwen konnen non itilizatè a ak modpas pou kont PPTP ou ajoute a, ansanm ak IP Entènèt la. adrès aparèy Opengear la. Si ISP ou a pa te resevwa yon adrès IP estatik, konsidere itilize yon sèvis DNS dinamik. Sinon ou dwe modifye konfigirasyon kliyan PPTP la chak fwa adrès IP Entènèt ou a chanje.
65
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3.12 Rele Lakay
Tout sèvè konsole yo enkli karakteristik Call Home ki kòmanse konfigirasyon yon tinèl SSH ki an sekirite soti nan sèvè konsole a nan yon Opengear Lighthouse santralize. Sèvè konsole a anrejistre kòm yon kandida sou Lighthouse la. Yon fwa yo aksepte la li vin tounen yon sèvè konsole jere.
Lighthouse kontwole Managed Console Server la epi administratè yo ka jwenn aksè nan Managed Console Server aleka atravè Lighthouse la. Aksè sa a disponib menm lè sèvè konsole elwaye a dèyè yon firewall twazyèm pati oswa li gen yon adrès IP prive ki pa rantab.
REMAK
Lighthouse kenbe koneksyon SSH otantifye kle piblik nan chak nan sèvè Konsole Jere li yo. Koneksyon sa yo itilize pou kontwole, dirije ak aksè nan Managed Console Servers ak aparèy jere ki konekte ak Managed Console Server.
Pou jere sèvè konsole lokal yo, oswa sèvè konsole ki ka jwenn nan Lighthouse la, se Lighthouse ki inisye SSHconnections yo.
Pou jere Remote Console Servers, oswa konsole sèvè ki firewall, ki pa routabl, oswa otreman inaccessible nan Lighthouse la, koneksyon SSH yo inisye pa Managed ConsoleServer la atravè yon premye koneksyon Call Home.
Sa a asire kominikasyon an sekirite, otantifye epi pèmèt inite Managed Console Servers yo dwe distribye lokalman sou yon LAN, oswa adistans atravè mond lan.
3.12.1 Mete kandida pou Call Home Pou mete sèvè konsole a kòm yon kandida jesyon Call Home sou Lighthouse:
1. Chwazi Rele Kay nan meni Serial & Network
2. Si ou pa deja pwodwi oswa telechaje yon pè kle SSH pou sèvè konsole sa a, fè sa anvan ou kontinye.
3. Klike sou Ajoute
4. Antre adrès IP oswa non DNS (pa egzanp adrès DNS dinamik) Lighthouse la.
5. Antre Modpas ou konfigirasyon sou CMS la kòm Modpas Rele Kay la.
66
Manyèl itilizatè
6. Klike sou Aplike Etap sa yo kòmanse koneksyon Call Home soti nan sèvè konsole a ak Lighthouse la. Sa a kreye yon pò SSHlistening sou Lighthouse la epi li mete sèvè konsole a kòm yon kandida.
Yon fwa yo te aksepte kandida a sou Lighthouse, yon tinèl SSH nan sèvè konsole a redireksyon tounen atravè koneksyon Rele Kay la. Sèvè konsole a vin tounen yon sèvè konsole jere epi Lighthouse ka konekte ak kontwole li atravè tinèl sa a. 3.12.2 Aksepte kandida Rele Lakay kòm sèvè Konsole Jere sou Lighthouse Seksyon sa a bay yonview sou konfigirasyon Lighthouse pou kontwole konsole sèvè Lighthouse ki konekte atravè Call Home. Pou plis detay gade Gid Itilizatè Lighthouse la:
1. Antre yon nouvo Modpas Rele Kay sou Lighthouse la. Modpas sa a se itilize pou aksepte
Rele Homeconnections nan sèvè konsole kandida yo
2. Lighthouse a ka kontakte sèvè konsole a li dwe swa gen yon IP estatik
adrès oswa, si DHCP, dwe configuré pou itilize yon sèvis DNS dinamik
Ekran Configure > Managed Console Servers sou Lighthouse a montre estati a
lokal andremote Managed Console Servers ak kandida yo.
Seksyon Managed Console Servers montre serveurs konsole ke yo te kontwole
Lighthouse.Seksyon Serveurs konsole detekte yo genyen:
o Lokal Console Servers dewoulman ki bay lis tout sèvè konsole ki sou la
menm sous-rezo ak Lighthouse a, epi yo pa kontwole
67
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
o Remote Console Servers ki dewoule ki bay lis tout sèvè konsole ki te etabli yon koneksyon Call Home epi yo pa kontwole (sa vle di kandida). Ou ka klike sou rafrechi pou mete ajou
Pou ajoute yon kandida sèvè konsole nan lis Managed Console Server, chwazi li nan lis deroule Remote Console Servers epi klike sou Ajoute. Antre Adrès IP ak Pò SSH (si jaden sa yo pa te ranpli oto) epi antre yon Deskripsyon ak Non inik pou sèvè Managed Console w ap ajoute a.
Antre Modpas Rasin Remote (sa vle di Modpas Sistèm ki te mete sou sèvè Konsole Jere sa a). Lighthouse a sèvi ak modpas sa a pou difize kle SSH ki te pwodwi oto epi li pa estoke. Klike sou Aplike. Lighthouse a etabli koneksyon SSH an sekirite pou ale ak pou soti nan Sèvè Konsole Jere a epi li rekipere Aparèy Jere li yo, detay kont itilizatè yo ak alèt konfigirasyon 3.12.3 Rele Kay nan yon sèvè SSH santral jenerik Si w ap konekte ak yon sèvè SSH jenerik (pa Lighthouse) ou ka configured paramèt avanse: · Antre nan pò sèvè SSH ak itilizatè SSH. · Antre detay yo pou SSH pò pi devan (yo) yo kreye
Lè w chwazi Sèvè Koute, ou ka kreye yon pò Remote annavan soti nan Sèvè a nan inite sa a, oswa yon pò Lokal annavan soti nan inite sa a nan Sèvè a:
68
Manyèl itilizatè
· Espesifye yon Pò Koute pou voye soti, kite jaden sa a vid pou asiyen yon pò ki pa itilize · Antre Sèvè Sib la ak Pò Sib ki pral resevwa koneksyon an voye.
3.13 IP Passthrough
IP Passthrough yo itilize pou fè yon koneksyon modèm (egzanp modèm selilè entèn la) parèt tankou yon koneksyon Ethernet regilye ak yon twazyèm pati en routeur, ki pèmèt routeur en a sèvi ak koneksyon an modèm kòm yon koòdone WAN prensipal oswa backup.
Aparèy Opengear la bay adrès IP modèm la ak detay DNS nan aparèy la en sou DHCP epi li pase trafik rezo ale ak soti nan modèm ak routeur la.
Pandan ke IP Passthrough vire yon Opengear nan yon modèm-a-Ethernet mwatye pon, kèk sèvis kouch 4 (HTTP/HTTPS/SSH) ka sispann nan Opengear a (Intercept sèvis). Epitou, sèvis ki kouri sou Opengear a ka kòmanse koneksyon selilè sortant endepandan de routeur en a.
Sa a pèmèt Opengear a kontinye itilize pou jesyon andeyò gwoup ak alèt epi tou yo dwe jere atravè Lighthouse, pandan y ap nan mòd IP Passthrough.
3.13.1 Enstalasyon Routeur En Pou itilize koneksyon rechak sou routeur en (aka Failover to Cellular oswa F2C), li dwe genyen de oswa plis koòdone WAN.
REMAK Se routeur en a ki fè failover nan kontèks IP Passthrough, epi lojik fayout ki entegre and-ofband sou Opengear a pa disponib pandan y ap nan mòd IP Passthrough.
Konekte yon koòdone Ethernet WAN sou routeur en a nan Entèfas Rezo Opengear a oswa pò LAN Jesyon ak yon kab Ethernet.
Konfigure koòdone sa a sou routeur en pou resevwa paramèt rezo li yo atravè DHCP. Si failover nesesè, configured routeur en pou failover ant koòdone prensipal li ak pò Ethernet ki konekte ak Opengear la.
3.13.2 IP Passthrough Pre-Konfigirasyon Etap Prekondisyon pou pèmèt IP Passthrough se:
1. Konfigure koòdone rezo a ak kote sa aplikab Jesyon LAN interfaces ak paramèt rezo estatik. · Klike sou Serial & Rezo > IP. · Pou Entèfas Rezo ak kote LAN Jesyon sa aplikab, chwazi Estatik pou Metòd Konfigirasyon an epi antre nan paramèt rezo yo (gade seksyon ki rele Konfigirasyon Rezo a pou enstriksyon detaye). · Pou koòdone ki konekte nan routeur en a, ou ka chwazi nenpòt rezo prive dedye rezo sa a sèlman egziste ant Opengear ak routeur en a epi li pa nòmalman aksesib. · Pou lòt koòdone a, konfigirasyon li jan ou ta nòmal sou rezo lokal la. · Pou tou de entèfas, kite Gateway vid.
2. Konfigure modèm la nan mòd Always On andeyò band.
69
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
· Pou yon koneksyon selilè, klike sou System > Dial: Internal Cellular Modem. · Chwazi Pèmèt Dial-Out epi antre detay konpayi asirans tankou APN (gade seksyon Modèm selilè
Koneksyon pou enstriksyon detaye). 3.13.3 Konfigirasyon IP Passthrough Pou konfigirasyon IP Passthrough:
· Klike sou Serial & Network > IP Passthrough epi tcheke Pèmèt. · Chwazi Opengear Modem pou itilize pou koneksyon en. · Si ou vle, antre nan adrès MAC nan koòdone konekte routeur en. Si adrès MAC se
pa espesifye, Opengear a pral pase nan premye aparèy en ki mande yon adrès DHCP. · Chwazi entèfas Ethernet Opengear pou itilize pou koneksyon ak routeur en a.
· Klike sou Aplike. 3.13.4 Sèvis entèsepte Sa yo pèmèt Opengear a kontinye bay sèvis, pa egzanpample, pou jesyon andeyò gwoup lè yo nan mòd IP Passthrough. Koneksyon nan adrès modèm sou pò a entèsepte espesifye (yo) yo okipe pa Opengear a olye ke yo pase nan routeur la en.
· Pou sèvis ki nesesè nan HTTP, HTTPS oswa SSH, tcheke Pèmèt · Si ou vle modifye Pò Intercept la nan yon pò altènatif (egzanp 8443 pou HTTPS), sa a itil si ou
vle kontinye pèmèt routeur en a rete aksesib atravè pò regilye li yo. 3.13.5 IP Passthrough Status Rafrechi paj la view seksyon Estati a. Li montre Adrès IP ekstèn modèm la ke yo te pase, Adrès MAC Entèn nan routeur en an (sèlman peple lè routeur en a aksepte kontra-lwaye DHCP), ak sitiyasyon an jeneral nan sèvis IP Passthrough. Ou ka avèti estati failover nan routeur en a lè w konfigirasyon yon Tcheke Itilizasyon Done Wout anba Alèt & Logging > Oto-Repons. 3.13.6 Avètisman Gen kèk routeurs en ki ka enkonpatib ak wout pòtay la. Sa ka rive lè IP Passthrough ap fè pon yon rezo selilè 3G kote adrès pòtay la se yon adrès destinasyon pwen-a-pwen epi pa gen okenn enfòmasyon sou sous-rezo ki disponib. Opengear a voye yon netmask DHCP nan 255.255.255.255. Aparèy nòmalman entèprete sa a kòm yon wout lame sèl sou koòdone a, men kèk aparèy ki pi gran en ka gen pwoblèm.
70
Manyèl itilizatè
Segman aks dèz pou sèvis lokal yo p ap travay si Opengear a ap itilize yon wout default ki pa modèm la. Epitou, yo p ap travay sòf si sèvis la aktive epi aksè a sèvis la pèmèt (gade Sistèm > Sèvis, anba tab Aksè Sèvis la jwenn Dialout/Selilè).
Koneksyon sortan ki soti nan Opengear ak sèvis aleka yo sipòte (egzanp voye alèt imel SMTP, pyèj SNMP, jwenn tan NTP, tinèl IPSec). Gen yon ti risk pou echèk koneksyon yo ta dwe tou de Opengear a ak aparèy la en eseye jwenn aksè nan menm pò UDP oswa TCP sou menm lame a aleka an menm tan an lè yo te chwazi owaza menm nimewo pò lokal orijin.
3.14 Konfigirasyon sou DHCP (ZTP)
Aparèy Opengear yo ka pwovizyon pandan demaraj inisyal yo nan yon sèvè DHCPv4 oswa DHCPv6 lè l sèvi avèk config-over-DHCP. Pwovizyon sou rezo ki pa fè konfyans yo ka fasilite lè w bay kle sou yon kondwi flash USB. Fonksyonalite ZTP a ka itilize tou pou fè yon ajou firmwèr sou premye koneksyon ak rezo a, oswa pou enskri nan yon egzanp Lighthouse 5.
Preparasyon Etap tipik pou konfigirasyon sou yon rezo ou fè konfyans yo se:
1. Konfigure yon aparèy Opengear menm-modèl. 2. Sove konfigirasyon li kòm yon backup Opengear (.opg) file. 3. Chwazi Sistèm > Sovgad Konfigirasyon > Sovgad Remote. 4. Klike sou Save Backup. Yon konfigirasyon backup file — model-name_iso-format-date_config.opg — telechaje soti nan aparèy Opengear a nan sistèm lokal la. Ou ka sove konfigirasyon an kòm yon xml file: 1. Chwazi Sistèm > Konfigirasyon Sovgad > XML Konfigirasyon. Yon jaden editable ki gen
konfigirasyon file nan fòma XML parèt. 2. Klike sou jaden an pou fè li aktif. 3. Si w ap kouri nenpòt navigatè sou Windows oswa Linux, klike sou dwa epi chwazi Chwazi tout nan
meni kontèks oswa peze Kontwòl-A. Klike sou dwa epi chwazi Kopi nan meni kontèks la oswa peze Kontwòl-C. 4. Si w ap itilize nenpòt navigatè sou macOS, chwazi Edit > Chwazi tout oswa peze Kòmandman-A. Chwazi Edit > Kopi oswa peze Kòmandman-C. 5. Nan editè tèks ou pi pito, kreye yon nouvo dokiman vid, kole done yo kopye nan dokiman vid la epi sove an. file. Kèlkeswa sa file-non ou chwazi, li dwe genyen ladan li .xml filesifiks non. 6. Kopi .opg oswa .xml ki sove file nan yon anyè piblik sou yon file sèvè k ap sèvi omwen youn nan pwotokòl sa yo: HTTPS, HTTP, FTP oswa TFTP. (Sèlman HTTPS ka itilize si koneksyon ki genyen ant file sèvè ak yon aparèy Opengear pou konfigirasyon vwayaje sou yon rezo ki pa fè konfyans.). 7. Konfigure sèvè DHCP ou a pou genyen yon opsyon "machann espesifik" pou aparèy Opengear. (Sa a pral fèt nan yon fason espesifik sèvè DHCP.) Opsyon espesifik vandè a ta dwe mete nan yon kòd ki gen URL nan .opg oswa .xml pibliye file nan etap ki anwo a. Chèn opsyon an pa dwe depase 250 karaktè epi li dwe fini nan swa .opg oswa .xml.
71
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
8. Konekte yon nouvo aparèy Opengear, swa faktori-reset oswa Config-Erase, nan rezo a epi aplike pouvwa. Li ka pran jiska 5 minit pou aparèy la rdemare tèt li.
Exampkonfigirasyon sèvè ISC DHCP (dhcpd).
Sa ki anba la a se yon ansyenample fragman konfigirasyon sèvè DHCP pou sèvi yon imaj konfigirasyon .opg atravè sèvè ISC DHCP, dhcpd:
opsyon espas opengear kòd lajè 1 longè lajè 1; opsyon opengear.config-url kòd 1 = tèks; klas "opengear-config-over-dhcp-test" {
matche si opsyon vendor-class-identifier ~~ "^Opengear/"; vandè-opsyon-espas opengear; opsyon opengear.config-url "https://egzample.com/opg/${class}.opg”; }
Konfigirasyon sa a ka modifye pou amelyore imaj konfigirasyon an lè l sèvi avèk opengear.image-url opsyon, epi bay yon URI imaj firmwèr la.
Enstalasyon lè LAN a pa fè konfyans Si koneksyon ki genyen ant la file sèvè ak yon aparèy Opengear pou konfigirasyon gen ladann yon rezo ki pa fè konfyans, yon apwòch de men ka bese pwoblèm nan.
REMAK Apwòch sa a prezante de etap fizik kote konfyans ka difisil, si se pa enposib, pou etabli nèt. Premyèman, chèn nan gad soti nan kreyasyon an nan done-pote USB flash kondwi a deplwaman li yo. Dezyèmman, men yo konekte USB flash kondwi a ak aparèy Opengear la.
· Jenere yon sètifika X.509 pou aparèy Opengear la.
· Konkate sètifika a ak kle prive li yo nan yon sèl file yo te rele client.pem.
· Kopi client.pem sou yon kondwi flash USB.
· Mete yon sèvè HTTPS pou jwenn aksè nan .opg oswa .xml file se restriksyon nan kliyan ki ka bay sètifika kliyan X.509 ki te pwodwi pi wo a.
· Mete yon kopi sètifika CA ki te siyen sètifika sèvè HTTP a — ca-bundle.crt — sou USB flash drive ki gen client.pem.
· Mete USB flash kondwi a nan aparèy Opengear la anvan ou tache kouran oswa rezo.
· Kontinye pwosedi a soti nan `Kopi .opg oswa .xml ki te sove a file nan yon anyè piblik sou yon file sèvè' anlè a lè l sèvi avèk pwotokòl HTTPS ant kliyan an ak sèvè a.
Prepare yon kondwi USB epi kreye sètifika X.509 la ak kle prive
· Jenere sètifika CA a pou kliyan ak sèvè Sètifika Siyen Demann (CSRs) yo ka siyen.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > ekzampleCA/serial # echo 00 > ekzampleCA/crlnumber # touche exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=EgzampleCA # cp demoCA/cacert.pem ca-bundle.crt
Pwosedi sa a jenere yon sètifika ki rele ExampleCA men nenpòt non sètifika ki pèmèt yo ka itilize. Epitou, pwosedi sa a itilize openssl ca. Si òganizasyon w lan gen yon pwosesis jenerasyon CA an sekirite nan tout antrepriz, li ta dwe itilize pito.
72
Manyèl itilizatè
· Jenere sètifika sèvè a.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-klefile ca.key -policy policy_anything -batch -notext
REMAK Non host la oswa adrès IP yo dwe menm kòd yo itilize nan pòsyon an URL. Nan ansyen anample pi wo a, non host la se demo.example.com.
· Jenere sètifika kliyan an.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-klefile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Fòma yon kondwi flash USB kòm yon sèl volim FAT32.
· Deplase client.pem ak ca-bundle.crt files sou anyè rasin flash kondwi a.
Debogaj pwoblèm ZTP Sèvi ak karakteristik ZTP journal pou debogaj pwoblèm ZTP. Pandan ke aparèy la ap eseye fè operasyon ZTP, enfòmasyon yo ekri nan /tmp/ztp.log sou aparèy la.
Sa ki anba la a se yon ansyenample nan boutèy la file soti nan yon siksè ZTP kouri.
# cat /tmp/ztp.log Mercredi 13 desanm 22:22:17 UTC 2017 [5127 avi] odhcp6c.eth0: restore konfigirasyon via DHCP Mercredi 13 desanm 22:22:17 UTC 2017 [5127 avi] odhcp6c.eth0s: pou rezo rezoud mèrdi 10 desanm 13:22:22 UTC 27 [2017 avi] odhcp5127c.eth6: NTP sote: pa gen sèvè mèrdi 0 desanm 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: 'venrspec.0 http://[fd1:07:2218:1350::44]/tftpboot/config.sh' Wed Dec 1 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) Wed Dec 2 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) Mercredi 3 desanm 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) ) Wed Dec 4 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6: vendorspec.0 (n/a) Wed Dec 5 13:22:22 UTC 28 [2017 info] odhcp5127c.eth6: vendorspec.0 (venrspec.6) /a) Wed Dec 13 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: pa gen firmwèr pou telechaje (vendorspec.2) backup-url: ap eseye http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: fòse mòd wan konfigirasyon nan backup DHCP-url: mete non host acm7004-0013c601ce97 backup-url: chaj te reyisi Wed Dec 13 22:22:36 UTC 2017 [5127 avi] odhcp6c.eth0: siksè konfigirasyon chaj Wed Dec 13 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: pa gen konfigirasyon lighthouse/vendorspec. 3/4/5) Wed Dec 6 13:22:22 UTC 36 [2017 avi] odhcp5127c.eth6: pwovizyon fini, pa redémarrer
Erè yo anrejistre nan jounal sa a.
3.15 Enskripsyon nan Lighthouse
Sèvi ak Enskripsyon nan Lighthouse pou enskri aparèy Opengear nan yon egzanp Lighthouse, bay aksè santralize nan pò konsole yo, epi pèmèt konfigirasyon santral aparèy Opengear yo.
Gade Gid Itilizatè Lighthouse la pou jwenn enstriksyon pou enskri aparèy Opengear nan Lighthouse.
73
Chapit 3: Serial Port, Aparèy ak Konfigirasyon itilizatè
3.16 Pèmèt relè DHCPv4
Yon sèvis relè DHCP voye pake DHCP yo ant kliyan ak sèvè DHCP aleka yo. Sèvis relè DHCP ka aktive sou yon sèvè konsole Opengear, pou li koute kliyan DHCP sou koòdone ki pi ba yo deziyen, vlope ak voye mesaj yo jiska sèvè DHCP lè l sèvi avèk swa wout nòmal, oswa emisyon dirèkteman sou koòdone anwo yo deziyen. Ajan relè DHCP la resevwa mesaj DHCP epi jenere yon nouvo mesaj DHCP pou l voye sou yon lòt koòdone. Nan etap ki anba yo, sèvè konsole yo ka konekte ak sikwi-id, Ethernet oswa modèm selilè lè l sèvi avèk sèvis DHCPv4 Relay.
DHCPv4 Relay + DHCP Opsyon 82 (sikwi-id) Enfrastrikti - Sèvè DHCP lokal, ACM7004-5 pou relè, nenpòt lòt aparèy pou kliyan. Nenpòt aparèy ki gen wòl LAN ka itilize kòm yon relè. Nan ansyen sa aample, 192.168.79.242 se adrès la pou koòdone relè kliyan an (jan sa defini nan konfigirasyon sèvè DHCP la. file pi wo a) ak 192.168.79.244 la se adrès koòdone anwo bwat relè a, ak enp112s0 se koòdone en nan sèvè DHCP la.
1 Enfrastrikti - DHCPv4 Relay + DHCP Opsyon 82 (sikwi-id)
Etap sou sèvè DHCP a 1. Mete sèvè DHCP v4 lokal la, an patikilye, li ta dwe genyen yon antre "host" jan pi ba a pou kliyan DHCP la: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; host-identifier opsyon agent.circuit-id "relè1"; adrès fiks 192.168.79.242; } Remak: liy "hardware Ethernet" kòmante koupe, pou sèvè DHCP a pral sèvi ak anviwònman "circuit-id" pou bay yon adrès pou kliyan ki enpòtan. 2. Re-kòmanse sèvè DHCP pou rechaje konfigirasyon li chanje file. pkill -HUP dhcpd
74
Manyèl itilizatè
3. Manyèlman ajoute yon wout lame nan koòdone "relè" kliyan an (koòdone ki dèyè relè DHCP a, pa lòt koòdone kliyan an ka genyen tou:
sudo ip route ajoute 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Sa a pral ede evite pwoblèm nan routage asimetri lè kliyan an ak sèvè DHCP ta renmen jwenn aksè youn ak lòt atravè koòdone relè kliyan an, lè kliyan an gen lòt interfaces nan menm bagay la. sous-rezo nan pisin adrès DHCP la.
Remak: Etap sa a se yon bagay ki nesesè pou sipòte sèvè dhcp ak kliyan an kapab jwenn aksè youn ak lòt.
Etap sou bwat relè a - ACM7004-5
1. Mete WAN/eth0 nan swa mòd estatik oswa mòd dhcp (pa mòd ki pa konfigirasyon). Si nan mòd estatik, li dwe gen yon adrès IP nan rezèvwa adrès sèvè DHCP la.
2. Aplike konfigirasyon sa a atravè CLI (kote 192.168.79.1 se adrès sèvè DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 konfig -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Koòdone ki pi ba nan relè DHCP a dwe gen yon adrès IP estatik nan pisin adrès sèvè DHCP la. Nan ansyen sa aample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=estatik config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Tann yon ti tan pou kliyan an jwenn yon kontra lwaye DHCP atravè relè a.
Etap sou Kliyan an (CM7116-2-dac nan egzanp sa aample oswa nenpòt lòt OG CS)
1. Konekte LAN/eth1 kliyan an nan LAN/eth1 relè a 2. Konfigure LAN kliyan an pou jwenn adrès IP atravè DHCP jan sa nòmal 3. Yon fwa ke li a
Dokiman / Resous
 |
opengear ACM7000 Remote Site Gateway [pdfManyèl Itilizatè ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway |