opengear ACM7000 Remote Site Gateway felhasználói kézikönyv

Ne csatlakoztassa vagy válassza le a konzolkiszolgálót vihar idején. Mindig használjon túlfeszültség-csillapítót vagy UPS-t, hogy megvédje a berendezést a tranziensekkel szemben.

FCC figyelmeztetés:

Ez az eszköz megfelel az FCC-szabályok 15. részének. Az eszköz működéséhez a következő feltételek vonatkoznak: (1) Ez az eszköz nem okozhat káros interferenciát, és (2) ennek az eszköznek el kell viselnie minden olyan interferenciát, amely nem kívánt működést okozhat.

GYIK

K: Használhatom az ACM7000 Remote Site Gateway-t vihar idején?
- A: Nem, nem tanácsos a konzolszervert elektromos vihar idején csatlakoztatni vagy leválasztani a károk elkerülése érdekében.

K: Az FCC szabályok melyik verziójának felel meg az eszköz?
- A: A készülék megfelel az FCC-szabályok 15. részének.

View Fullscreen

Felhasználói kézikönyv
ACM7000 Remote Site Gateway ACM7000-L rugalmassági átjáró IM7200 Infrastructure Manager CM7100 konzolkiszolgálók
5.0 verzió – 2023-12

Biztonság
A konzolszerver telepítésekor és működtetésekor kövesse az alábbi biztonsági óvintézkedéseket: · Ne távolítsa el a fémburkolatokat. A belsejében nincsenek kezelő által javítható alkatrészek. A burkolat felnyitása vagy eltávolítása veszélyes feszültségnek teheti kitage ami tüzet vagy áramütést okozhat. Az összes szervizelést bízza az Opengear szakképzett személyzetére. · Az áramütés elkerülése érdekében a tápkábel védőföldelő vezetékét a földeléssel kell összekötni. · Mindig a dugót húzza, ne a kábelt, amikor kihúzza a tápkábelt az aljzatból.
Ne csatlakoztassa vagy válassza le a konzolkiszolgálót vihar idején. Használjon túlfeszültség-csillapítót vagy UPS-t is, hogy megvédje a berendezést a tranziensekkel szemben.
FCC figyelmeztető nyilatkozat
Ez az eszköz megfelel az FCC-szabályok 15. részének. Ennek a készüléknek a működése a következőktől függ
feltételek: (1) Ez az eszköz nem okozhat káros interferenciát, és (2) ennek az eszköznek el kell fogadnia minden olyan interferenciát, amely nemkívánatos működést okozhat.
Megfelelő biztonsági rendszereket és szükséges biztonsági eszközöket kell használni a rendszerhiba miatti sérülések, halálesetek vagy anyagi károk elleni védelem érdekében. Az ilyen védelem a felhasználó felelőssége. Ez a konzolkiszolgáló eszköz nem engedélyezett életfenntartó vagy egészségügyi rendszerként való használatra. A konzolszerver eszközön az Opengear kifejezett jóváhagyása vagy beleegyezése nélkül végrehajtott bármilyen változtatás vagy módosítás érvényteleníti az Opengear-t a meghibásodásból eredő sérülésekért vagy veszteségekért. Ez a berendezés beltéri használatra készült, és az összes kommunikációs vezeték az épületen belülre korlátozódik.
2

Felhasználói kézikönyv
Szerzői jog
©Opengear Inc. 2023. Minden jog fenntartva. A dokumentumban szereplő információk előzetes értesítés nélkül változhatnak, és nem jelentenek kötelezettségvállalást az Opengear részéről. Az Opengear ezt a dokumentumot „ahogy van”, bármilyen kifejezett vagy hallgatólagos garancia nélkül biztosítja, beleértve, de nem kizárólagosan, egy adott célra való alkalmasságra vagy eladhatóságra vonatkozó vélelmezett garanciákat. Az Opengear bármikor javíthat és/vagy módosíthat ebben a kézikönyvben vagy a termék(ek)en és/vagy a kézikönyvben leírt program(ok)on. Ez a termék műszaki pontatlanságokat vagy tipográfiai hibákat tartalmazhat. Az itt található információk időszakonként módosulnak; ezek a változtatások beépülhetnek a kiadvány új kiadásaiba.\

1. fejezet

Ez a kézikönyv

EZ A KÉZIKÖNYV

Ez a felhasználói kézikönyv elmagyarázza az Opengear konzolkiszolgálók telepítését, üzemeltetését és kezelését. Ez a kézikönyv feltételezi, hogy ismeri az internetet és az IP-hálózatokat, a HTTP-t, az FTP-t, az alapvető biztonsági műveleteket és szervezete belső hálózatát.
1.1 A felhasználók típusai
A konzolszerver két felhasználói osztályt támogat:
· Rendszergazdák, akik korlátlan konfigurációs és felügyeleti jogosultságokkal rendelkeznek a konzolon
szerver és a csatlakoztatott eszközök, valamint az összes szolgáltatás és port az összes sorosan csatlakoztatott eszköz és hálózathoz csatlakoztatott eszköz (host) vezérléséhez. A rendszergazdák az adminisztrátori felhasználói csoport tagjaiként vannak beállítva. Az adminisztrátor a konfigurációs segédprogram, a Linux parancssor vagy a böngésző alapú felügyeleti konzol segítségével érheti el és vezérelheti a konzolkiszolgálót.
· Felhasználók, akiket egy rendszergazda állított be, hozzáférési és felügyeleti jogkörük korlátozásával.
A felhasználók korlátozott view a Kezelőkonzolban, és csak az engedélyezett konfigurált eszközökhöz és újra férhet hozzáview port naplók. Ezek a felhasználók egy vagy több előre konfigurált felhasználói csoport tagjaiként vannak beállítva, például PPTPD, dialin, FTP, pmshell, felhasználók vagy a rendszergazda által létrehozott felhasználói csoportok. Csak meghatározott vezérlések végrehajtására jogosultak meghatározott csatlakoztatott eszközökön. A felhasználók, ha jogosultak rá, meghatározott szolgáltatások (pl. Telnet, HHTPS, RDP, IPMI, soros LAN-on keresztül, teljesítményvezérlés) segítségével hozzáférhetnek és vezérelhetnek soros vagy hálózatra csatlakoztatott eszközöket. A távoli felhasználók azok a felhasználók, akik nem ugyanazon a LAN-szegmensen vannak, mint a konzolkiszolgáló. Egy távoli felhasználó útközben csatlakozhat a felügyelt eszközökhöz a nyilvános interneten keresztül, egy rendszergazda egy másik irodában csatlakozhat a konzolkiszolgálóhoz a vállalati VPN-en keresztül, vagy ugyanabban a szobában vagy ugyanabban az irodában, de külön VLAN-on csatlakozik a konzolhoz. szerver.
1.2 Kezelőkonzol
Az Opengear Management Console lehetővé teszi az Opengear konzolkiszolgáló szolgáltatásainak konfigurálását és figyelését. A Kezelőkonzol böngészőben fut, és a view a konzolszerver és az összes csatlakoztatott eszköz A rendszergazdák a Kezelőkonzol segítségével konfigurálhatják és kezelhetik a konzolkiszolgálót, a felhasználókat, a portokat, a gazdagépeket, a tápegységeket, valamint a kapcsolódó naplókat és riasztásokat. A nem adminisztrátor felhasználók korlátozott menühozzáféréssel használhatják a Kezelőkonzolt bizonyos eszközök vezérléséreview naplóit, és elérheti őket a beépített segítségével Web terminál.
A konzolszerver beágyazott Linux operációs rendszert futtat, és a parancssorból konfigurálható. Parancssori hozzáférést kaphat mobil/tárcsázós kapcsolaton keresztül, közvetlenül a konzolszerver soros konzol-/modemportjához csatlakozva, vagy SSH vagy Telnet használatával a konzolkiszolgálóhoz LAN-on keresztül (vagy PPTP, IPsec vagy OpenVPN segítségével) .
6

Felhasználói kézikönyv
A parancssori felület (CLI) parancsaihoz és a speciális utasításokhoz töltse le az Opengear CLI és Scripting Reference.pdf fájlt a https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/ címről.
1.3 További információ
További információért keresse fel: · Opengear Products Web Webhely: Lásd: https://opengear.com/products. Ha a legfrissebb információkat szeretné megtudni a konzolszerver tartalmáról, keresse fel az adott termékhez tartozó Mit tartalmaz szakaszt. · Gyors üzembe helyezési útmutató: Az eszközhöz tartozó Gyors üzembe helyezési útmutatót a https://opengear.com/support/documentation/ címen találja. · Opengear Tudásbázis: Látogassa meg a https://opengear.zendesk.com webhelyet, ahol hozzáférhet a technikai útmutatókhoz, technikai tippekhez, GYIK-hez és fontos értesítésekhez. · Opengear CLI és Scripting Reference: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

2. fejezet:

Rendszerkonfiguráció

RENDSZERBEÁLLÍTÁSOK

Ez a fejezet lépésről lépésre tartalmazza a konzolkiszolgáló kezdeti konfigurálását és a kezelési vagy működési LAN-hoz való csatlakoztatását. A lépések a következők:
Aktiválja a Kezelőkonzolt. Módosítsa a rendszergazdai jelszót. Állítsa be az IP-címkonzolszerver fő LAN-portját. Válassza ki az engedélyezni kívánt szolgáltatásokat és hozzáférési jogosultságokat. Ez a fejezet tárgyalja azokat a kommunikációs szoftvereszközöket is, amelyeket az adminisztrátor használhat a konzolkiszolgáló eléréséhez, valamint a további LAN-portok konfigurációját.
2.1 Kezelőkonzol kapcsolat
A konzolkiszolgáló alapértelmezett IP-címe 192.168.0.1 és 255.255.255.0 alhálózati maszk a NET1 (WAN) számára. A kezdeti konfigurációhoz azt javasoljuk, hogy közvetlenül csatlakoztasson számítógépet a konzolhoz. Ha úgy dönt, hogy a kezdeti beállítási lépések befejezése előtt csatlakoztatja a LAN-t, győződjön meg a következőkről:
· A LAN-on nincs más 192.168.0.1 címû eszköz. · A konzolszerver és a számítógép ugyanazon a LAN-szegmensen vannak, nincs közbeiktatott útválasztó
készülékek.
2.1.1 A csatlakoztatott számítógép beállítása A konzolszerver böngészővel történő konfigurálásához a csatlakoztatott számítógép IP-címének ugyanabban a tartományban kell lennie, mint a konzolkiszolgálóé (pl.ample, 192.168.0.100):
· A Linux vagy Unix számítógép IP-címének konfigurálásához futtassa az ifconfig programot. · Windows PC-k esetén:
1. Kattintson a Start > Beállítások > Vezérlőpult elemre, majd kattintson duplán a Hálózati kapcsolatok elemre. 2. Kattintson jobb gombbal a Helyi kapcsolat elemre, és válassza a Tulajdonságok menüpontot. 3. Válassza az Internet Protocol (TCP/IP) lehetőséget, majd kattintson a Tulajdonságok gombra. 4. Válassza a következő IP-cím használata lehetőséget, és adja meg a következő adatokat:
o IP-cím: 192.168.0.100 o Alhálózati maszk: 255.255.255.0 5. Ha meg szeretné tartani a meglévő IP-beállításait ehhez a hálózati kapcsolathoz, kattintson a Speciális gombra, és a fentiek hozzáadása másodlagos IP-kapcsolatként lehetőségre.
2.1.2 Böngésző csatlakozás
Nyisson meg egy böngészőt a csatlakoztatott számítógépen/munkaállomáson, és írja be a https://192.168.0.1 címet.
Bejelentkezés vele:
Felhasználónév> root jelszó> alapértelmezett
8

Felhasználói kézikönyv
Az első bejelentkezéskor meg kell változtatnia a root jelszót. Kattintson a Küldés gombra.
A módosítás befejezéséhez adja meg újra az új jelszót. Kattintson a Küldés gombra. Megjelenik az üdvözlő képernyő.
Ha a rendszere mobil modemmel rendelkezik, akkor a következő lépéseket kell végrehajtania a mobil router funkcióinak konfigurálásához: · Konfigurálja a mobil modem kapcsolatot (Rendszer > Tárcsázás oldal. Lásd a 4. fejezetet) · Engedélyezze a továbbítást a mobil célhálózatra (Rendszer > Tűzfal oldal). Lásd: 4. fejezet) · IP-maszkolás engedélyezése a mobilkapcsolathoz (Rendszer > Tűzfal oldal. Lásd a 4. fejezetet)
A fenti lépések mindegyikének elvégzése után a képernyő bal felső sarkában lévő Opengear logóra kattintva visszatérhet a konfigurációs listához. MEGJEGYZÉS Ha nem tud csatlakozni a Kezelőkonzolhoz a 192.168.0.1 címen, vagy ha az alapértelmezett
A felhasználónév/jelszó nem fogadható el, állítsa vissza a konzolkiszolgálót (lásd a 10. fejezetet).
9

2. fejezet: Rendszerkonfiguráció
2.2 Rendszergazdai beállítások
2.2.1 Az alapértelmezett root rendszerjelszó módosítása Az eszközre való első bejelentkezéskor meg kell változtatnia a root jelszót. Ezt a jelszót bármikor megváltoztathatja.
1. Kattintson a Soros és hálózat > Felhasználók és csoportok elemre, vagy az üdvözlőképernyőn kattintson az Alapértelmezett adminisztrációs jelszó módosítása elemre.
2. Görgessen le, és keresse meg a root felhasználó bejegyzést a Felhasználók alatt, majd kattintson a Szerkesztés gombra. 3. Írja be az új jelszót a Jelszó és a Megerősítés mezőkbe.
MEGJEGYZÉS A Jelszó mentése ellenőrzése a firmware törlések között elmenti a jelszót, így nem törlődik a firmware alaphelyzetbe állításakor. Ha ez a jelszó elveszett, az eszköz firmware-ét vissza kell állítani.
4. Kattintson az Alkalmaz gombra. Jelentkezzen be az új jelszóval 2.2.2 Új adminisztrátor beállítása Hozzon létre egy új felhasználót rendszergazdai jogosultságokkal, és jelentkezzen be ezzel a felhasználóval az adminisztrációs funkciókhoz a root használata helyett.
10

Felhasználói kézikönyv
1. Kattintson a Soros és hálózat > Felhasználók és csoportok elemre. Görgessen az oldal aljára, és kattintson a Felhasználó hozzáadása gombra.
2. Adjon meg egy felhasználónevet. 3. A Csoportok részben jelölje be az adminisztrációs négyzetet. 4. Írjon be egy jelszót a Jelszó és a Megerősítés mezőbe.
5. Hozzáadhat SSH hitelesített kulcsokat is, és kiválaszthatja a Jelszóhitelesítés letiltása lehetőséget ennél a felhasználónál.
6. Ezen az oldalon további beállításokat is beállíthat a felhasználó számára, beleértve a Dial-in Options, Accessible Hosts, Accessible Ports és Accessible RPC Outlets.
7. Kattintson az Alkalmaz gombra a képernyő alján az új felhasználó létrehozásához.
11

2. fejezet: Rendszerkonfiguráció
2.2.3 Rendszernév, rendszerleírás és MOTD hozzáadása. 1. Válassza a Rendszer > Adminisztráció menüpontot. 2. Adja meg a rendszernevet és a rendszerleírást a konzolkiszolgálóhoz, hogy egyedi azonosítót adjon neki, és megkönnyítse azonosítását. A rendszernév 1–64 alfanumerikus karaktert, valamint speciális aláhúzást (_), mínusz (-) és pontot (.) tartalmazhat. A rendszerleírás legfeljebb 254 karaktert tartalmazhat.
3. A MOTD Banner használható a napi szöveges üzenet megjelenítésére a felhasználók számára. A képernyő bal felső sarkában, az Opengear logó alatt jelenik meg.
4. Kattintson az Alkalmaz gombra.
12

2. fejezet: Rendszerkonfiguráció
5. Válassza a Rendszer > Adminisztráció menüpontot. 6. A MOTD Banner használható a napi szöveges üzenet megjelenítésére a felhasználók számára. Megjelenik a
a képernyő bal felső sarkában az Opengear logó alatt. 7. Kattintson az Alkalmaz gombra.
2.3 Hálózati konfiguráció
Adjon meg egy IP-címet a fő Ethernet (LAN/Network/Network1) porthoz a konzolkiszolgálón, vagy engedélyezze a DHCP-kliensének, hogy automatikusan kapjon IP-címet a DHCP-kiszolgálótól. A konzolszerver alapértelmezés szerint engedélyezve van a DHCP-kliensén, és automatikusan elfogad minden hálózati IP-címet, amelyet egy DHCP-kiszolgáló rendelt ki a hálózaton. Ebben a kezdeti állapotban a konzolszerver mind az alapértelmezett 192.168.0.1 statikus címre, mind a DHCP-címére válaszol.
1. Kattintson a Rendszer > IP elemre, majd a Hálózati interfész fülre. 2. Válassza a DHCP vagy a Static lehetőséget a Konfigurációs módszerhez.
Ha a Statikus lehetőséget választja, adja meg az IP-címet, az alhálózati maszkot, az átjárót és a DNS-kiszolgáló adatait. Ez a beállítás letiltja a DHCP klienst.
12

Felhasználói kézikönyv
3. A konzolszerver LAN portja automatikusan észleli az Ethernet kapcsolat sebességét. Használja a Média legördülő listát az Ethernet 10 Mb/s vagy 100 Mb/s és Full Duplex vagy Half Duplex beállításához.
Ha csomagvesztést vagy gyenge hálózati teljesítményt tapasztal az Auto beállításnál, módosítsa az Ethernet Media beállításait a konzolszerveren és azon az eszközön, amelyhez csatlakozik. A legtöbb esetben állítsa mindkettőt 100baseTx-FD-re (100 megabit, full duplex).
4. Ha a DHCP-t választja, a konzolszerver egy DHCP-kiszolgálón keresi a konfigurációs részleteket. Ez a beállítás letilt minden statikus címet. A konzolszerver MAC-címe az alaplemezen található címkén található.
5. Megadhat másodlagos címet vagy vesszővel elválasztott címlistát a CIDR-jelölésben, pl. 192.168.1.1/24 IP-aliasként.
6. Kattintson az Alkalmaz gombra. 7. Csatlakoztassa újra a böngészőt azon a számítógépen, amely a konzolkiszolgálóhoz csatlakozik a
http://your new IP address.
Ha módosítja a konzolkiszolgáló IP-címét, újra be kell állítania a számítógépet, hogy az IP-cím ugyanabban a hálózati tartományban legyen, mint az új konzolkiszolgáló címe. Az MTU-t Ethernet interfészeken állíthatja be. Ez egy speciális beállítás, amelyet akkor használhat, ha a központi telepítési forgatókönyv nem működik az alapértelmezett 1500 bájtos MTU-val. Az MTU beállításához kattintson a Rendszer > IP elemre, majd kattintson a Hálózati interfész fülre. Görgessen le az MTU mezőig, és adja meg a kívánt értéket. Az érvényes értékek 1280 megabites interfészek esetén 1500 és 100 között, gigabites interfészek esetén 1280 és 9100 között. Ha áthidalás vagy kötés van konfigurálva, a Hálózati interfész oldalon beállított MTU a híd vagy a kötés részét képező interfészeken lesz beállítva. . MEGJEGYZÉS Bizonyos esetekben előfordulhat, hogy a felhasználó által megadott MTU nem lép életbe. Egyes hálózati kártyák illesztőprogramjai a túlméretezett MTU-kat a megengedett maximális értékre kerekíthetik, mások pedig hibakódot adnak vissza. Használhat CLI parancsot is az MTU Size: configure kezeléséhez
# config -s config.interfaces.wan.mtu=1380 ellenőrzés
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider nincs config.interfaces.wan.gateway 192.168.2.1 config.interfaces.configmo.ipv6figmo. .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

2. fejezet: Rendszerkonfiguráció
2.3.1 IPv6 konfiguráció A konzolszerver Ethernet csatolói alapértelmezés szerint támogatják az IPv4-et. IPv6-os működésre konfigurálhatók:
1. Kattintson a Rendszer > IP elemre. Kattintson az Általános beállítások fülre, és jelölje be az IPv6 engedélyezése lehetőséget. Ha szükséges, jelölje be az IPv6 letiltása mobilhálózathoz jelölőnégyzetet.
2. Konfigurálja az IPv6 paramétereket az egyes interfészoldalakon. Az IPv6 konfigurálható automatikus módra, amely SLAAC vagy DHCPv6 segítségével konfigurálja a címeket, útvonalakat és DNS-t, vagy statikus módra, amely lehetővé teszi a címadatok kézi bevitelét.
2.3.2 Dinamikus DNS (DDNS) konfiguráció A dinamikus DNS-sel (DDNS) egy konzolszerver, amelynek IP-címe dinamikusan van hozzárendelve, egy rögzített gazdagép- vagy tartománynév használatával megtalálható. Hozzon létre egy fiókot az Ön által választott támogatott DDNS szolgáltatónál. A DDNS-fiók beállításakor kiválaszt egy felhasználónevet, jelszót és gazdagépnevet, amelyet DNS-névként fog használni. A DDNS-szolgáltatók lehetővé teszik a gazdagépnév kiválasztását URL és állítson be egy kezdeti IP-címet, hogy megfeleljen az adott gazdagépnévnek URL.
14

Felhasználói kézikönyv
A DDNS engedélyezése és konfigurálása a konzolszerver bármely Ethernet- vagy mobilhálózati kapcsolatán. 1. Kattintson a Rendszer > IP elemre, és görgessen lefelé a Dinamikus DNS szakaszban. Válassza ki a DDNS szolgáltatóját
a Dinamikus DNS legördülő listából. A DDNS-információkat a Cellular Modem lapon is beállíthatja a Rendszer > Tárcsázás alatt.
2. A DDNS gazdagépnév mezőben adja meg a konzolszerver teljes képzésű DNS-állomásnevét, pl. yourhostname.dyndns.org.
3. Adja meg a DDNS felhasználónevet és a DDNS jelszót a DDNS szolgáltató fiókjához. 4. Adja meg a frissítések közötti maximális időközt napokban. A DDNS frissítés akkor is elküldésre kerül, ha a
a cím nem változott. 5. Adja meg a módosított címek ellenőrzése közötti minimális időközt másodpercben. Frissítések lesznek
el kell küldeni, ha a cím megváltozott. 6. Adja meg a Maximális frissítési kísérletek számát, amely a frissítési kísérletek száma
mielőtt feladná. Ez alapértelmezés szerint 3. 7. Kattintson az Alkalmaz gombra.
15

2. fejezet: Rendszerkonfiguráció
2.3.3 EAPoL mód a WAN, LAN és OOBFO számára
(Az OBFO csak az IM7216-2-24E-DAC-re vonatkozik)
Felettview Az EAPoL IEEE 802.1X, vagy a PNAC (Port-alapú hálózati hozzáférés-vezérlés) az IEEE 802 LAN-infrastruktúrák fizikai hozzáférési jellemzőit használja fel annak érdekében, hogy hitelesítési és engedélyezési eszközt biztosítson egy pont-pont-kapcsolattal rendelkező LAN-porthoz csatlakoztatott eszközökhöz. pontkapcsolati jellemzők, valamint a porthoz való hozzáférés megakadályozása olyan esetekben, amikor a hitelesítés és engedélyezés sikertelen. A port ebben az összefüggésben egyetlen csatlakozási pontot jelent a LAN infrastruktúrához.
Amikor egy új vezeték nélküli vagy vezetékes csomópont (WN) hozzáférést kér egy LAN-erőforráshoz, a hozzáférési pont (AP) kéri a WN azonosítóját. A WN hitelesítése előtt (a „port” zárva vagy „nem hitelesítve”) nem engedélyezett az EAP-n kívül más forgalom. A hitelesítést kérő vezeték nélküli csomópontot gyakran könyörgőnek nevezik, a kérő felelős azért, hogy válaszoljon a hitelesítő adatait megállapító hitelesítő adatokra. Ugyanez vonatkozik a hozzáférési pontra is; a Hitelesítő nem a hozzáférési pont. Ehelyett a hozzáférési pont tartalmaz egy hitelesítőt. A Hitelesítőnek nem kell a hozzáférési pontban lennie; lehet külső alkatrész. A következő hitelesítési módszereket alkalmazzák:
· EAP-MD5 kérő o Az EAP MD5-Challenge metódus egyszerű felhasználónevet/jelszót használ
· EAP-PEAP-MD5 o EAP PEAP (Protected EAP) Az MD5 hitelesítési módszer felhasználói hitelesítési adatokat és CA-tanúsítványt használ
· EAP-TLS o Az EAP TLS (Transport Layer Security) hitelesítési módszerhez CA-tanúsítvány, ügyféltanúsítvány és privát kulcs szükséges.
A hitelesítésre használt EAP protokollt eredetileg a betárcsázós PPP-hez használták. Az identitás a felhasználónév volt, és a felhasználó jelszavának ellenőrzéséhez PAP vagy CHAP hitelesítést használtak. Mivel az identitás tisztán (nem titkosítva) kerül elküldésre, egy rosszindulatú szippantó megtudhatja a felhasználó személyazonosságát. Ezért a „személyazonosság elrejtése” használatos; a valódi identitás nem kerül elküldésre, mielőtt a titkosított TLS-alagút fel nem lép.
16

Felhasználói kézikönyv
Az identitás elküldése után megkezdődik a hitelesítési folyamat. A kérelmező és a hitelesítő között használt protokoll az EAP (vagy EAPoL). A Hitelesítő újra becsomagolja az EAP-üzeneteket RADIUS formátumba, és továbbítja azokat a hitelesítési kiszolgálónak. A hitelesítés során a hitelesítő csomagokat továbbít a kérelmező és a hitelesítési kiszolgáló között. Amikor a hitelesítési folyamat befejeződik, a hitelesítési kiszolgáló sikeres üzenetet küld (vagy hibaüzenetet küld, ha a hitelesítés nem sikerült). A Hitelesítő ezután megnyitja a „portot” a kérő számára. A hitelesítési beállítások az EAPoL Supplicant Settings oldaláról érhetők el. Az aktuális EAPoL állapota részletesen megjelenik az EAPoL lap Állapotstatisztika oldalán:
Az EAPoL a hálózati szerepkörökön absztrakciója megjelenik az irányítópult felület „Kapcsolatkezelő” szakaszában.
17

2. fejezet: Rendszerkonfiguráció
Lent látható egy exampa sikeres hitelesítés:
Az IEEE 802.1x (EAPOL) támogatása az IM7216-2-24E-DAC és az ACM7004-5 kapcsolóportjain: A hurkok elkerülése érdekében a felhasználóknak nem szabad egynél több kapcsolóportot csatlakoztatniuk ugyanahhoz a felső szintű kapcsolóhoz.
18

Felhasználói kézikönyv
2.4 A szolgáltatáshoz való hozzáférés és a brutális erők elleni védelem
Az adminisztrátor hozzáférési protokollok/szolgáltatások széles skálájával érheti el a konzolszervert, a csatlakoztatott soros portokat és a felügyelt eszközöket. Minden hozzáféréshez
· A szolgáltatást először konfigurálni kell, és engedélyezni kell, hogy futhasson a konzolkiszolgálón. · A tűzfalon keresztüli hozzáférést engedélyezni kell minden hálózati kapcsolathoz. Szolgáltatás engedélyezése és konfigurálása: 1. Kattintson a Rendszer > Szolgáltatások elemre, majd a Szolgáltatásbeállítások fülre.

2. Engedélyezze és konfigurálja az alapvető szolgáltatásokat:

HTTP

Alapértelmezés szerint a HTTP szolgáltatás fut, és nem lehet teljesen letiltani. Alapértelmezés szerint a HTTP hozzáférés minden interfészen le van tiltva. Javasoljuk, hogy ez a hozzáférés tiltva maradjon, ha a konzolkiszolgálót távolról, az interneten keresztül érik el.
Az alternatív HTTP lehetővé teszi, hogy konfiguráljon egy alternatív HTTP-portot a figyeléshez. A HTTP-szolgáltatás továbbra is a 80-as TCP-porton figyeli a CMS- és a csatlakozókommunikációt, de nem lesz elérhető a tűzfalon keresztül.

HTTPS

Alapértelmezés szerint a HTTPS szolgáltatás fut és engedélyezve van az összes hálózati interfészen. Javasoljuk, hogy csak a HTTPS hozzáférést használja, ha a konzolkiszolgálót bármely nyilvános hálózaton keresztül kívánja kezelni. Ez biztosítja, hogy a rendszergazdák biztonságos böngésző-hozzáféréssel rendelkezzenek a konzolszerver összes menüjéhez. Ezenkívül lehetővé teszi a megfelelően konfigurált felhasználók számára a biztonságos böngésző hozzáférést a kiválasztott Kezelés menükhöz.
A HTTPS szolgáltatás letiltható vagy újra engedélyezhető a HTTPS ellenőrzésével Web Felügyelet és egy alternatív port van megadva (alapértelmezett port a 443).

Telnet

Alapértelmezés szerint a Telnet szolgáltatás fut, de le van tiltva az összes hálózati interfészen.
A Telnet segítségével egy rendszergazda hozzáférést biztosíthat a rendszer parancssori shelljéhez. Ez a szolgáltatás hasznos lehet a helyi rendszergazdák és a kiválasztott soros konzolok felhasználói számára. Javasoljuk, hogy tiltsa le ezt a szolgáltatást, ha a konzolkiszolgáló távolról felügyelt.
A Telnet parancshéj engedélyezése jelölőnégyzet engedélyezi vagy letiltja a Telnet szolgáltatást. Egy másik Telnet port a figyeléshez megadható az Alternatív Telnet portban (alapértelmezett port a 23).

2. fejezet: Rendszerkonfiguráció

SSH

Ez a szolgáltatás biztonságos SSH-hozzáférést biztosít a konzolkiszolgálóhoz és a csatlakoztatott eszközökhöz

és alapértelmezés szerint az SSH szolgáltatás minden interfészen fut és engedélyezve van. Ez

Javasoljuk, hogy az SSH-t válassza protokollként, amelyhez a rendszergazda csatlakozik

a konzolkiszolgálót az interneten vagy bármely más nyilvános hálózaton keresztül. Ez biztosítja

hitelesített kommunikáció a távoli SSH-kliensprogram között

számítógép és az SSH-szerver a konzolkiszolgálón. További információ az SSH-ról

konfiguráció Lásd a 8. fejezetet – Hitelesítés.

Az SSH parancshéj engedélyezése jelölőnégyzet engedélyezi vagy letiltja ezt a szolgáltatást. Egy másik SSH-port a figyeléshez megadható az SSH parancshéjportjában (az alapértelmezett port a 22).

3. Más szolgáltatások engedélyezése és konfigurálása:

TFTP/FTP Ha USB flash kártyát vagy belső flasht észlel egy konzolkiszolgálón, a TFTP (FTP) szolgáltatás engedélyezése jelölőnégyzet bejelölése engedélyezi ezt a szolgáltatást, és beállítja az alapértelmezett tftp- és ftp-kiszolgálót az USB flash-en. Ezek a szerverek a konfiguráció tárolására szolgálnak files, hozzáférési és tranzakciós naplókat vezet stb. FileA tftp-vel és ftp-vel átvitt fájlokat a /var/mnt/storage.usb/tftpboot/ (vagy ACM7000-es sorozatú eszközökön /var/mnt/storage.nvlog/tftpboot/) alatt tárolja. A TFTP (FTP) szolgáltatás engedélyezése bejelölésének törlése letiltja a TFTP (FTP) szolgáltatást.

DNS Relay Checking Enable DNS Server/Relay engedélyezi a DNS továbbítás funkciót, így az ügyfelek konfigurálhatók a konzolkiszolgáló IP-címével a DNS-kiszolgáló beállításához, és a konzolszerver továbbítja a DNS-lekérdezéseket a valódi DNS-kiszolgálóhoz.

Web Terminál ellenőrzés engedélyezése Web A terminál lehetővé teszi web böngésző hozzáférés a rendszer parancssori shelljéhez a Kezelés > Terminál segítségével.

4. Adjon meg alternatív portszámokat a Raw TCP, a közvetlen Telnet/SSH és a nem hitelesített Telnet/SSH szolgáltatásokhoz. A konzolszerver meghatározott tartományokat használ a TCP/IP portokhoz a különböző hozzáférésekhez
szolgáltatások, amelyek segítségével a felhasználók hozzáférhetnek a soros portokhoz csatlakoztatott eszközökhöz (a 3. fejezet Soros portok konfigurálása szerint). Az adminisztrátor alternatív tartományokat állíthat be ezekhez a szolgáltatásokhoz, és ezek a másodlagos portok az alapértelmezéseken kívül kerülnek felhasználásra.

A Telnet hozzáférés alapértelmezett TCP/IP alapportcíme 2000, a Telnet tartománya pedig az IP-cím: Port (2000 + soros port #), azaz 2001 2048. Ha a rendszergazda 8000-et állítana be másodlagos alapként a Telnethez, soros port A konzolszerver 2-es portja elérhető a Telnet IP címen
Cím: 2002 és IP-cím: 8002. Az SSH alapértelmezett alapja 3000; a nyers TCP esetében 4000; az RFC2217 esetében pedig 5000

5. Más szolgáltatások engedélyezhetők és konfigurálhatók ebből a menüből a Kattintson ide a konfiguráláshoz:

Nagios Hozzáférés a Nagios NRPE megfigyelő démonokhoz

DIÓ

Hozzáférés a NUT UPS figyelődémonhoz

SNMP Engedélyezi az snmp-t a konzolkiszolgálón. Az SNMP alapértelmezés szerint le van tiltva

NTP

6. Kattintson az Alkalmaz gombra. Megjelenik egy megerősítő üzenet: Üzenet A konfiguráció módosítása sikerült

A Services Access beállításai beállíthatók a hozzáférés engedélyezésére vagy blokkolására. Ez meghatározza, hogy az adminisztrátorok mely engedélyezett szolgáltatásokat használhatják az egyes hálózati interfészeken keresztül a konzolkiszolgálóhoz, illetve a konzolkiszolgálón keresztül a csatlakoztatott soros és hálózathoz csatlakoztatott eszközökhöz való csatlakozáshoz.

Felhasználói kézikönyv
1. Válassza a Service Access lapot a Rendszer > Szolgáltatások oldalon.
2. Ez megjeleníti a konzolkiszolgáló hálózati interfészei számára engedélyezett szolgáltatásokat. Az adott konzolszerver típusától függően a megjelenített interfészek a következők lehetnek: · Hálózati interfész (a fő Ethernet kapcsolathoz) · Kezelő LAN / OOB feladatátvétel (második Ethernet kapcsolat) · Tárcsázó / Mobil (V90 és 3G modem) · Betárcsázás (belső vagy külső V90 modem) · VPN (IPsec vagy Open VPN kapcsolat bármilyen hálózati interfészen keresztül)
3. Minden hálózatnál jelölje be/törölje a bejelölést, hogy melyik szolgáltatás-hozzáférést kell engedélyezni/letiltani. A Respond to ICMP visszhangozza (azaz ping) szolgáltatás-hozzáférési opciókat, amelyek ezen a helyen konfigurálhatók.tage. Ez lehetővé teszi a konzolkiszolgáló számára, hogy válaszoljon a bejövő ICMP visszhangkérésekre. A ping alapértelmezés szerint engedélyezve van. A nagyobb biztonság érdekében a kezdeti konfiguráció befejezésekor le kell tiltania ezt a szolgáltatást. Engedélyezheti a soros portos eszközök elérését kijelölt hálózati interfészekről Raw TCP, közvetlen Telnet/SSH, nem hitelesített Telnet/SSH szolgáltatások stb. használatával.
4. Kattintson az Alkalmaz gombra Web Felügyeleti beállítások A HSTS engedélyezése jelölőnégyzet lehetővé teszi a szigorú HTTP szigorú szállítási biztonságot. A HSTS mód azt jelenti, hogy a StrictTransport-Security fejlécet HTTPS-átvitelen keresztül kell elküldeni. Egy megfelelő web A böngésző megjegyzi ezt a fejlécet, és amikor arra kérik, hogy lépjen kapcsolatba ugyanazzal a gazdagéppel HTTP-n keresztül (sima), automatikusan átvált erre
19

2. fejezet: Rendszerkonfiguráció
HTTPS a HTTP próbálkozása előtt, mindaddig, amíg a böngésző egyszer elérte a biztonságos webhelyet, és látta az STS fejlécet.
Brute Force Protection A brute force védelem (Micro Fail2ban) ideiglenesen blokkolja azokat a forrás IP-címeket, amelyek rosszindulatú jeleket, például túl sok jelszóhibat mutatnak. Ez segíthet, ha az eszköz hálózati szolgáltatásai nem megbízható hálózatnak vannak kitéve, például a nyilvános WAN-nak, és parancsfájl-támadások, vagy a szoftverférgek megpróbálják kitalálni (durva erőszak) a felhasználói hitelesítő adatokat, és jogosulatlan hozzáférést kapnak.

A Brute Force Protection engedélyezhető a felsorolt szolgáltatásokhoz. Alapértelmezés szerint a védelem engedélyezése után 3 másodpercen belül 60 vagy több sikertelen kapcsolódási kísérlet egy adott forrás IP-címétől konfigurálható időtartamra letiltja a csatlakozást. A kísérleti korlát és a kitiltási időkorlát személyre szabható. Az aktív kitiltások is megjelennek, és az oldal újratöltésével frissíthetők.

JEGYZET

Ha nem megbízható hálózaton fut, fontolja meg a távoli hozzáférés zárolására szolgáló különféle stratégiák alkalmazását. Ez magában foglalja az SSH nyilvános kulcsú hitelesítést, a VPN-t és a tűzfalszabályokat
engedélyezőlistás távoli hozzáférés csak megbízható forrású hálózatokról. A részletekért lásd az Opengear Tudásbázist.

2.5 Kommunikációs szoftver
Beállította a hozzáférési protokollokat az adminisztrátori ügyfél számára, amelyet a konzolkiszolgálóhoz való csatlakozáskor használ. A felhasználói kliensek akkor is használják ezeket a protokollokat, amikor hozzáférnek a konzolszerverhez sorosan csatolt eszközökhöz és hálózathoz csatlakoztatott gazdagépekhez. Kommunikációs szoftvereszközöket kell beállítani a rendszergazda és a felhasználói kliens számítógépén. A csatlakozáshoz olyan eszközöket használhat, mint a PuTTY és az SSHTerm.

Felhasználói kézikönyv
A kereskedelemben kapható csatlakozók a megbízható SSH alagútkezelési protokollt olyan népszerű hozzáférési eszközökkel párosítják, mint a Telnet, SSH, HTTP, HTTPS, VNC, RDP, így biztonságos távoli felügyeleti hozzáférést biztosítanak az összes kezelt rendszerhez és eszközhöz. Az 5. fejezetben talál információkat a konzolkiszolgáló felügyeleti konzoljához való böngésző hozzáféréshez csatlakozók használatáról, a konzolkiszolgáló parancssorához való Telnet/SSH hozzáférésről, valamint a konzolszerverhez hálózaton keresztül csatlakozó gazdagépekhez való TCP/UDP csatlakozásról. telepítve Windows PC-kre, Mac OS X-re és a legtöbb Linux, UNIX és Solaris rendszerre.
2.6 Felügyeleti hálózat konfigurációja
A konzolkiszolgálók további hálózati portokkal rendelkeznek, amelyek konfigurálhatók felügyeleti LAN-hozzáférés és/vagy feladatátvételi vagy sávon kívüli hozzáférés biztosítására. 2.6.1 A felügyeleti LAN-konzol engedélyezése A kiszolgálók konfigurálhatók úgy, hogy a második Ethernet-port felügyeleti LAN-átjárót biztosítson. Az átjáró tűzfal, útválasztó és DHCP-kiszolgáló funkciókkal rendelkezik. Ahhoz, hogy gazdagépeket csatlakoztasson ehhez a felügyeleti LAN-hoz, külső LAN-kapcsolót kell csatlakoztatnia a 2-es hálózathoz:
MEGJEGYZÉS A második Ethernet port konfigurálható Management LAN gateway portként vagy OOB/Failover portként. Győződjön meg arról, hogy nem a NET2-t jelölte ki feladatátvételi interfészként, amikor konfigurálta a fő hálózati kapcsolatot a Rendszer > IP menüben.
21

2. fejezet: Rendszerkonfiguráció
A Management LAN gateway konfigurálása: 1. Válassza a Management LAN Interface lapot a Rendszer > IP menüben, és törölje a Disable (Letiltás) jelölőnégyzetet. 2. Állítsa be a felügyeleti LAN IP-címét és alhálózati maszkját. Hagyja üresen a DNS mezőket. 3. Kattintson az Alkalmaz gombra.
A felügyeleti átjáró funkció engedélyezve van, ha az alapértelmezett tűzfal és útválasztó szabályok be vannak állítva, így a felügyeleti LAN csak SSH-port továbbítással érhető el. Ez biztosítja, hogy a felügyeleti LAN-on lévő felügyelt eszközök távoli és helyi kapcsolatai biztonságosak. A LAN-portok áthidalt vagy kötött módban, vagy manuálisan is konfigurálhatók a parancssorból. 2.6.2 A DHCP-kiszolgáló konfigurálása A DHCP-kiszolgáló lehetővé teszi az IP-címek automatikus elosztását a felügyeleti LAN-on lévő olyan eszközök számára, amelyeken DHCP-kliensek futnak. A DHCP szerver engedélyezése:
1. Kattintson a Rendszer > DHCP-kiszolgáló elemre. 2. A Hálózati interfész lapon jelölje be a DHCP-kiszolgáló engedélyezése jelölőnégyzetet.
22

Felhasználói kézikönyv
3. Adja meg a DHCP klienseknek kiadandó átjáró címet. Ha ez a mező üresen marad, akkor a konzolkiszolgáló IP-címe kerül felhasználásra.
4. Adja meg az elsődleges DNS és a másodlagos DNS címet a DHCP kliensek kiadásához. Ha ez a mező üresen marad, a rendszer a konzolszerver IP-címét használja.
5. Opcionálisan adjon meg egy Tartománynév utótagot a DHCP-kliensek kiadásához. 6. Adja meg az alapértelmezett bérlési időt és a maximális bérleti időt másodpercben. Ennyi idő
hogy a dinamikusan hozzárendelt IP-cím érvényes, mielőtt a kliensnek újra kérnie kellene. 7. Kattintson az Alkalmaz gombra. A DHCP-kiszolgáló IP-címeket ad ki a megadott címkészletekből: 1. Kattintson a Hozzáadás gombra a Dinamikus címkiosztási készletek mezőben. 2. Adja meg a DHCP-készlet kezdőcímét és végcímét. 3. Kattintson az Alkalmaz gombra.
23

2. fejezet: Rendszerkonfiguráció
A DHCP-szerver támogatja az IP-címek előzetes hozzárendelését is bizonyos MAC-címekhez, valamint az IP-címek lefoglalását a csatlakoztatott, rögzített IP-című gazdagépek számára. IP-cím lefoglalása egy adott gazdagép számára:
1. Kattintson a Hozzáadás gombra a Fenntartott címek mezőben. 2. Adja meg a gazdagép nevét, a hardvercímet (MAC) és a statikusan lefoglalt IP-címet
a DHCP klienst, és kattintson az Alkalmaz gombra.
Ha a DHCP kiosztotta a gazdagép címeket, ajánlatos átmásolni ezeket az előre hozzárendelt listába, hogy újraindításkor ugyanaz az IP-cím kerüljön kiosztásra.
24

Felhasználói kézikönyv
2.6.3 Válassza a Feladatátvételt vagy a szélessávú OOB-konzolkiszolgálók feladatátvételi lehetőséget biztosítanak, így a fő LAN-kapcsolat használatával a konzolkiszolgáló eléréséhez használt probléma esetén a rendszer egy alternatív hozzáférési utat használ. A feladatátvétel engedélyezése:
1. Válassza ki a Hálózati interfész oldalt a Rendszer > IP menüben. 2. Válassza ki a hiba esetén használandó feladatátvételi interfészt.tage a fő hálózaton.
3. Kattintson az Alkalmaz gombra. A feladatátvétel azután válik aktívvá, hogy megadja a vizsgálandó külső helyeket a feladatátvétel indításához, és beállítja a feladatátvételi portokat.
2.6.4 Hálózati portok összesítése Alapértelmezés szerint a konzolszerver Management LAN hálózati portjai SSH-alagút /port-továbbítás vagy IPsec VPN-alagút létrehozásával érhetők el a konzolkiszolgáló felé. A konzolszerverek összes vezetékes hálózati portja összevonható híddal vagy összekapcsolással.
25

Felhasználói kézikönyv
· Alapértelmezés szerint az Interfész aggregáció le van tiltva a Rendszer > IP > Általános beállítások menüben. · Válassza a Bridge Interfaces vagy Bond Interfaces lehetőséget.
o Ha az áthidalás engedélyezve van, a hálózati forgalom az összes Ethernet porton keresztül, tűzfal korlátozások nélkül továbbítva van. Az összes Ethernet port átlátszóan kapcsolódik az adatkapcsolati réteghez (2. réteg), így megtartják egyedi MAC-címüket
o Bonding esetén a hálózati forgalmat a portok között továbbítják, de egy MAC-címmel jelennek meg
Mindkét mód eltávolítja az összes felügyeleti LAN interfész és sávon kívüli/feladatátvételi interfész funkciót, és letiltja a DHCP szervert · Összesítési módban az összes Ethernet port együttesen konfigurálható a Hálózati interfész menü segítségével.
25

2. fejezet: Rendszerkonfiguráció
2.6.5 Statikus útvonalak A statikus útvonalak nagyon gyors módot biztosítanak az adatok egyik alhálózatról egy másik alhálózatra történő átirányítására. Kódolhat egy olyan elérési utat, amely megmondja a konzolszervernek/routernek, hogy egy bizonyos alhálózathoz jusson el egy bizonyos útvonalon. Ez hasznos lehet különböző alhálózatok eléréséhez egy távoli helyen, amikor mobil OOB-kapcsolatot használ.

A statikus útvonal hozzáadása a rendszer útvonaltáblázatához:
1. Válassza az Útvonalbeállítások fület a Rendszer > IP Általános beállítások menüben.
2. Kattintson az Új útvonal elemre
3. Adja meg az útvonal nevét.
4. A Destination Network/Host mezőben adja meg annak a célhálózatnak/gazdagépnek az IP-címét, amelyhez az útvonal hozzáférést biztosít.
5. Adjon meg egy értéket a Cél hálózati maszk mezőben, amely azonosítja a célhálózatot vagy gazdagépet. Bármilyen szám 0 és 32 között. A 32-es alhálózati maszk azonosítja a gazdagép útvonalát.
6. Írja be a Route Gateway mezőt annak az útválasztónak az IP-címével, amely a csomagokat a célhálózatra irányítja. Ez üresen hagyható.
7. Válassza ki a cél eléréséhez használandó interfészt, amelyet a Nincs értékre hagyhat.
8. Adjon meg egy értéket a Metrika mezőben, amely a kapcsolat mérőszámát képviseli. Bármilyen 0-val egyenlő vagy nagyobb számot használjon. Ezt csak akkor kell beállítani, ha két vagy több útvonal ütközik egymással, vagy átfedő célok vannak.
9. Kattintson az Alkalmaz gombra.

JEGYZET

Az útvonal részletei oldal azoknak a hálózati interfészeknek és modemeknek a listáját tartalmazza, amelyekhez egy útvonal köthető. Modem esetén az útvonal az eszközön keresztül létrehozott bármely betárcsázós munkamenethez kapcsolódik. Egy útvonal megadható átjáróval, interfésszel vagy mindkettővel. Ha a megadott interfész nem aktív, az adott interfészhez konfigurált útvonalak nem lesznek aktívak.

Felhasználói kézikönyv 3. SOROS PORT, HOST, ESZKÖZ ÉS FELHASZNÁLÓ KONFIGURÁCIÓJA
A konzolszerver lehetővé teszi a sorosan csatlakoztatott eszközök és a hálózatra csatlakoztatott eszközök (host) elérését és vezérlését. Az adminisztrátornak konfigurálnia kell a hozzáférési jogosultságokat ezen eszközök mindegyikéhez, és meg kell adnia az eszközök vezérléséhez használható szolgáltatásokat. Az adminisztrátor új felhasználókat is beállíthat, és megadhatja az egyes felhasználók egyéni hozzáférési és felügyeleti jogosultságait.
Ez a fejezet a hálózatra csatlakoztatott és sorosan csatlakoztatott eszközök konfigurálásának egyes lépéseit ismerteti: · Soros portok a sorosan csatlakoztatott eszközök protokolljainak beállítása · Felhasználók és csoportok a felhasználók beállítása és a hozzáférési jogosultságok meghatározása ezekhez a felhasználókhoz · Hitelesítés, erről bővebben szól. részlete a 8. fejezetben · Hálózati gazdagépek a helyi hálózathoz csatlakoztatott számítógépekhez vagy készülékekhez (gazdagépekhez) való hozzáférés konfigurálása · Megbízható hálózatok konfigurálása – olyan IP-címek kijelölése, amelyekhez a megbízható felhasználók hozzáférhetnek · Soros konzolportok lépcsőzetes átirányítása és átirányítása · Tápellátás (UPS, PDU és IPMI) és környezetfigyelő (EMD) eszközök · Soros port átirányítás a PortShare Windows és Linux kliensek használatával · Felügyelt eszközök – konszolidált view az összes kapcsolat közül · IPSec VPN-kapcsolat engedélyezése · OpenVPN · PPTP
3.1 Soros portok konfigurálása
A soros port konfigurálásának első lépése a közös beállítások megadása, például a protokollok és az RS232 paraméterek, amelyeket az adott porthoz való adatkapcsolathoz kell használni (pl. adatátviteli sebesség). Válassza ki, hogy a port milyen üzemmódban működjön. Mindegyik port beállítható úgy, hogy támogassa az alábbi üzemmódok egyikét:
· A letiltott mód az alapértelmezett, a soros port inaktív
27

3. fejezet:

Soros port, gazdagép, eszköz és felhasználói konfiguráció

· A konzolkiszolgáló mód általános hozzáférést tesz lehetővé a soros konzolporthoz a sorosan csatlakoztatott eszközökön
· Az eszköz mód a soros portot úgy állítja be, hogy intelligens soros vezérlésű PDU-val, UPS-sel vagy Environmental Monitor Devices (EMD) kommunikáljon.
· A terminálkiszolgáló mód a soros portot úgy állítja be, hogy a bejövő terminál bejelentkezési munkamenetre várjon. · A Serial Bridge mód lehetővé teszi két soros port eszköz transzparens összekapcsolását egy
hálózat.
1. Válassza a Soros és hálózat > Soros port lehetőséget a soros port részleteinek megjelenítéséhez. 2. Alapértelmezés szerint minden soros port konzolkiszolgáló módban van beállítva. Kattintson a Szerkesztés gombra a kívánt port mellett
újrakonfigurálva. Vagy kattintson a Több port szerkesztése lehetőségre, és válassza ki, mely portokat szeretné csoportként konfigurálni. 3. Miután újrakonfigurálta az általános beállításokat és az egyes portok módját, állítson be bármilyen távoli rendszernaplót (a konkrét információkért lásd a következő szakaszokat). Kattintson az Alkalmaz gombra 4. Ha a konzolkiszolgálót úgy konfigurálták, hogy engedélyezve van az elosztott Nagios felügyelet, használja a Nagios beállításokat, hogy engedélyezze a gazdagépen a kijelölt szolgáltatások figyelését. 3.1.1 Általános beállítások Számos általános beállítás állítható be minden sorozathoz kikötő. Ezek függetlenek a port használatának módjától. Ezeket a soros port paramétereket úgy kell beállítani, hogy megegyezzenek a porthoz csatlakoztatott eszköz soros port paramétereivel:
28

Felhasználói kézikönyv

· Írjon be egy címkét a porthoz · Válassza ki a megfelelő adatátviteli sebességet, paritást, adatbiteket, stopbiteket és áramlásvezérlést minden porthoz

· Állítsa be a Port Pinout-ot. Ez a menüpont az IM7200 portoknál jelenik meg, ahol az egyes RJ45 soros portok pin-outjait be lehet állítani X2 (Cisco Straight) vagy X1 (Cisco Rolled) értékre.

· Állítsa be a DTR módot. Ez lehetővé teszi annak kiválasztását, hogy a DTR mindig érvényesüljön, vagy csak aktív felhasználói munkamenet esetén

· Mielőtt további soros port konfigurálást folytatna, csatlakoztassa a portokat az általuk vezérelni kívánt soros eszközökhöz, és győződjön meg arról, hogy a beállítások megegyeznek.

3.1.2

Konzolkiszolgáló mód
Válassza a Konzolkiszolgáló mód lehetőséget, hogy engedélyezze a távoli felügyeleti hozzáférést a soros porthoz csatlakoztatott soros konzolhoz:

Naplózási szint Meghatározza a naplózandó és figyelendő információk szintjét.
29

3. fejezet: Soros port, gazdagép, eszköz és felhasználói konfiguráció
0. szint: Naplózás letiltása (alapértelmezett)
1. szint: LOGIN, LOGOUT és SIGNAL események naplózása
2. szint: LOGIN, LOGOUT, SIGNAL, TXDATA és RXDATA események naplózása
3. szint: LOGIN, LOGOUT, SIGNAL és RXDATA események naplózása
4. szint: LOGIN, LOGOUT, SIGNAL és TXDATA események naplózása
Az Input/RXDATA az Opengear eszköz által a csatlakoztatott soros eszköztől kapott adat, a kimenet/TXDATA pedig az Opengear eszköz által küldött (pl. a felhasználó által beírt) adat a csatlakoztatott soros eszköznek.
Az eszközkonzolok tipikusan visszhangozzák a karaktereket a beírásuk közben, így a felhasználó által beírt TXDATA ezt követően RXDATA-ként fogadja, és megjelenik a terminálján.
MEGJEGYZÉS: A jelszó bekérése után a csatlakoztatott eszköz * karaktereket küld, hogy megakadályozza a jelszó megjelenítését.

Telnet Ha a Telnet szolgáltatás engedélyezve van a konzolkiszolgálón, a felhasználó számítógépén lévő Telnet kliens csatlakozhat a konzolkiszolgáló soros portjához csatlakoztatott soros eszközhöz. Mivel a Telnet-kommunikáció titkosítatlan, ez a protokoll csak helyi vagy VPN alagútú kapcsolatokhoz ajánlott.
Ha a távoli kommunikációt egy csatlakozóval alagútba vezetik, a Telnet segítségével biztonságosan elérheti ezeket a csatlakoztatott eszközöket.

JEGYZET

Konzolkiszolgáló módban a felhasználók egy összekötő segítségével biztonságos Telnet-kapcsolatokat állíthatnak be, amelyek SSH-csatornával vannak átvezetve az ügyfélszámítógépeikről a konzolkiszolgáló soros portjára. A csatlakozók telepíthetők Windows PC-re és a legtöbb Linux platformra, és lehetővé teszi a biztonságos Telnet kapcsolatok kiválasztását mutasson és kattintással.

A konzolszerver soros portjain lévő konzolok eléréséhez csatlakozó használatával konfigurálja az összekötőt a konzolkiszolgálóval átjáróként és gazdagépként, és engedélyezze a Telnet szolgáltatást a porton (2000 + soros port #), azaz 2001.

Használhat szabványos kommunikációs csomagokat is, például a PuTTY-t, hogy közvetlen Telnet- vagy SSH-kapcsolatot állítson be a soros portokhoz.

MEGJEGYZÉS Konzolkiszolgáló módban, ha soros porthoz csatlakozik, pmshell-en keresztül csatlakozik. A soros porton BREAK generálásához írja be a ~b karaktersorozatot. Ha ezt OpenSSH-n keresztül csinálja, írja be a ~~b parancsot.

SSH

Javasoljuk, hogy SSH-t használjon protokollként, amikor a felhasználók csatlakoznak a konzolkiszolgálóhoz

(vagy csatlakozzon a konzolkiszolgálón keresztül a csatolt soros konzolokhoz) az interneten vagy bármely más módon

más nyilvános hálózat.

A konzolszerver soros portjaihoz csatlakoztatott eszközök konzoljaihoz való SSH-hozzáféréshez csatlakozót használhat. Konfigurálja az összekötőt a konzolkiszolgálóval átjáróként és gazdagépként, és engedélyezze az SSH szolgáltatást a porton (3000 + soros port #), azaz 3001-3048.

Használhat olyan általános kommunikációs csomagokat is, mint a PuTTY vagy az SSHTerm to SSH portcímhez való csatlakozáshoz IP-cím _ Port (3000 + soros port #), azaz 3001

Az SSH-kapcsolatok a szabványos 22-es SSH-port használatával konfigurálhatók. Az elért soros portot a felhasználónévhez egy leíró hozzáfűzése azonosítja. Ez a szintaxis támogatja:

Felhasználói kézikönyv
: : Ahhoz, hogy egy chris nevű felhasználó hozzáférjen a 2-es soros porthoz, az SSHTerm vagy a PuTTY SSH kliens beállításakor a felhasználónév = chris és az ssh port = 3002 beírása helyett a felhasználónév = chris:port02 (vagy felhasználónév = chris: ttyS1) és ssh port = 22. Vagy a username=chris:serial és az ssh port = 22 beírásával a felhasználó egy portválasztási lehetőséget kínál:

Ez a szintaxis lehetővé teszi a felhasználók számára, hogy SSH alagutakat állítsanak be az összes soros porthoz egyetlen 22-es IP-porttal, amelyet a tűzfalukban/átjárójukban kell megnyitni.
MEGJEGYZÉS Konzolszerver módban pmshell-en keresztül csatlakozik egy soros porthoz. A soros porton BREAK generálásához írja be a ~b karaktersorozatot. Ha ezt OpenSSH-n keresztül csinálja, írja be: ~~b.

TCP

A RAW TCP lehetővé teszi a TCP-foglalathoz való csatlakozást. Míg a kommunikációs programok, mint a PuTTY

támogatja a RAW TCP-t is, ezt a protokollt általában egyéni alkalmazások használják

RAW TCP esetén az alapértelmezett portcím: IP Address _ Port (4000 + soros port #), azaz 4001 4048

A RAW TCP azt is lehetővé teszi, hogy a soros portot egy távoli konzolszerverhez alagútba helyezzük, így két soros portos eszköz transzparensen kapcsolódhat egymáshoz a hálózaton keresztül (lásd a 3.1.6 Soros áthidalás fejezetet).

RFC2217 Az RFC2217 kiválasztása lehetővé teszi a soros port átirányítását az adott porton. Az RFC2217 esetében az alapértelmezett portcím: IP Address _ Port (5000 + soros port száma), azaz 5001 5048
Speciális kliensszoftver áll rendelkezésre a Windows UNIX és a Linux rendszerhez, amely támogatja az RFC2217 virtuális kommunikációs portokat, így a távoli gazdagép úgy figyelheti és kezelheti a távoli, sorosan csatlakoztatott eszközöket, mintha azok a helyi soros porthoz kapcsolódnának (a részletekért lásd: 3.6. fejezet Soros port átirányítás).
Az RFC2217 lehetővé teszi a soros portnak a távoli konzolszerverhez való alagútvezetését is, így két soros portos eszköz transzparensen kapcsolódhat egymáshoz a hálózaton keresztül (lásd a 3.1.6 Soros áthidalás fejezetet).

Nem hitelesített Telnet Ez lehetővé teszi a Telnet számára a soros porthoz való hozzáférést hitelesítési hitelesítő adatok nélkül. Amikor a felhasználó a Telnet konzolkiszolgálóját egy soros porton keresztül éri el, bejelentkezési üzenet jelenik meg. A nem hitelesített Telnet segítségével közvetlenül csatlakoznak a porthoz, minden konzolkiszolgáló bejelentkezési kihívás nélkül. Ha egy Telnet kliens hitelesítést kér, minden megadott adat lehetővé teszi a csatlakozást.

3. fejezet: Soros port, gazdagép, eszköz és felhasználói konfiguráció
Ezt a módot egy külső rendszerrel (például konzervátorral) használják, amely soros eszköz szinten kezeli a felhasználói hitelesítést és a hozzáférési jogosultságokat.
A konzolkiszolgálóhoz csatlakoztatott eszközre való bejelentkezés hitelesítést igényelhet.
Hitelesítés nélküli Telnet esetén az alapértelmezett portcím: IP Address _ Port (6000 + soros port #), azaz 6001 6048

Hitelesítés nélküli SSH Ez lehetővé teszi az SSH hozzáférést a soros porthoz hitelesítési hitelesítő adatok nélkül. Amikor a felhasználó a Telnet konzolkiszolgálóját egy soros porton keresztül éri el, bejelentkezési üzenet jelenik meg. Hitelesítetlen SSH-val közvetlenül csatlakoznak a porthoz, minden konzolkiszolgáló bejelentkezési kihívás nélkül.
Ez a mód akkor használatos, ha másik rendszere kezeli a felhasználói hitelesítést és a hozzáférési jogosultságokat soros eszköz szinten, de titkosítani szeretné a munkamenetet a hálózaton keresztül.
A konzolkiszolgálóhoz csatlakoztatott eszközre való bejelentkezés hitelesítést igényelhet.
Hitelesítés nélküli Telnet esetén az alapértelmezett portcím: IP Address _ Port (7000 + soros port #), azaz 7001 7048
A : a portelérés módja (a fenti SSH szakaszban leírtak szerint) mindig hitelesítést igényel.

Web Terminál Ez lehetővé teszi web böngésző hozzáférés a soros porthoz a Kezelés > Eszközök: Soros a Kezelőkonzol beépített AJAX termináljával. Web A terminál jelenleg hitelesített Kezelőkonzol-felhasználóként csatlakozik, és nem hitelesít újra. További részletekért lásd a 12.3 szakaszt.

IP Alias

Engedélyezze a hozzáférést a soros porthoz egy adott IP-cím használatával, amelyet CIDR formátumban határoznak meg. Minden soros porthoz egy vagy több IP-álnevet lehet hozzárendelni, hálózatonkénti interfészenként konfigurálva. A soros port plample, elérhetővé kell tenni mind a 192.168.0.148 (a belső hálózat részeként), mind a 10.10.10.148 (a felügyeleti LAN részeként). Lehetőség van arra is, hogy egy soros portot elérhetővé tegyen két IP-címen ugyanazon a hálózaton (plample, 192.168.0.148 és 192.168.0.248).

Ezek az IP-címek csak az adott soros port elérésére használhatók, amely a konzolkiszolgáló szolgáltatások szabványos TCP-portszámaival érhető el. Plample, az SSH a 3-as soros porton elérhető lenne a soros port IP-alias 22-es portján (míg a konzolkiszolgáló elsődleges címén a 2003-as porton érhető el).

Ez a funkció a többportos szerkesztő oldalon keresztül is konfigurálható. Ebben az esetben az IP-címek szekvenciálisan kerülnek alkalmazásra, az első kiválasztott porthoz beírva az IP-címet, a következő portokon pedig növekszik, a számok kihagyva a nem kiválasztott portoknál. Plample, ha a 2-es, 3-as és 5-ös portot választja, és a 10.0.0.1/24 IP-aliast adjuk meg a hálózati interfészhez, akkor a következő címek kerülnek hozzárendelésre:

2. port: 10.0.0.1/24

3. port: 10.0.0.2/24

5. port: 10.0.0.4/24

Az IP-aliasok az IPv6-alias címeket is támogatják. Az egyetlen különbség az, hogy a címek hexadecimális számok, így a 10-es port egy A-ra végződő címnek, a 11-es pedig egy B-re végződőnek felelhet meg, nem pedig az IPv10 szerint 11 vagy 4.

Felhasználói kézikönyv
Forgalom titkosítása / Hitelesítés Engedélyezze az RFC2217 soros kommunikáció triviális titkosítását és hitelesítését a Portshare segítségével (az erős titkosításhoz használjon VPN-t).
Felhalmozási periódus Miután létrejött a kapcsolat egy adott soros porthoz (például RFC2217 átirányítás vagy Telnet kapcsolat egy távoli számítógéphez), az adott porton lévő bejövő karakterek karakterenként továbbítják a hálózatot. A felhalmozási időszak azt az időtartamot határozza meg, ameddig a bejövő karaktereket összegyűjti, mielőtt csomagként elküldi őket a hálózaton keresztül.
Escape karakter Módosítsa az escape karakterek küldéséhez használt karaktert. Az alapértelmezett a ~. A Backspace cseréje Behelyettesíti a CTRL+ alapértelmezett backspace értékét? (127) CTRL+h (8) kombinációval. Power Menu A bekapcsoló menü megjelenítésére szolgáló parancs a ~p, és engedélyezi a shell power parancsot, így a
A felhasználó parancssorból vezérelheti a felügyelt eszköz tápellátását, amikor Telnet vagy SSH csatlakozik az eszközhöz. A felügyelt eszközt úgy kell beállítani, hogy a soros port kapcsolat és a tápcsatlakozás is konfigurálva legyen.
Single Connection Ez a portot egyetlen kapcsolatra korlátozza, így ha egy adott porthoz több felhasználó is rendelkezik hozzáférési jogosultságokkal, egyszerre csak egy felhasználó férhet hozzá ahhoz a porthoz (azaz a port lesnivalója nem megengedett).
33

3. fejezet: Soros port, gazdagép, eszköz és felhasználói konfiguráció
3.1.3 Eszköz (RPC, UPS, Környezetvédelmi) mód Ez az üzemmód úgy konfigurálja a kiválasztott soros portot, hogy kommunikáljon egy soros vezérlésű szünetmentes tápegységgel (UPS), távoli tápvezérlővel / áramelosztó egységgel (RPC) vagy környezetfigyelő eszközzel (környezet).

1. Válassza ki a kívánt eszköztípust (UPS, RPC vagy Environmental)
2. Lépjen a megfelelő eszközkonfigurációs oldalra (Soros és hálózat > UPS-kapcsolatok, RPC-kapcsolat vagy Környezetvédelmi) a 7. fejezetben részletezettek szerint.

3.1.4 ·

Terminálkiszolgáló mód
Válassza ki a terminálkiszolgáló módot és a termináltípust (vt220, vt102, vt100, Linux vagy ANSI), hogy engedélyezze a getty használatát a kiválasztott soros porton.

A getty beállítja a portot, és megvárja, amíg létrejön a kapcsolat. A soros eszköz aktív kapcsolatát a soros eszközön lévő felemelt Data Carrier Detect (DCD) érintkező jelzi. Amikor a rendszer kapcsolatot észlel, a getty program kiad egy login: promptot, és meghívja a bejelentkező programot a rendszerbejelentkezés kezelésére.
MEGJEGYZÉS A terminálkiszolgáló mód kiválasztása letiltja a portkezelőt az adott soros porton, így a rendszer többé nem naplózza az adatokat a riasztásokhoz stb.

Felhasználói kézikönyv
3.1.5 Soros áthidaló mód Soros áthidalás esetén az egyik konzolszerver kijelölt soros portján lévő soros adatok hálózati csomagokba vannak beágyazva, és a hálózaton keresztül egy második konzolszerverre kerülnek, ahol soros adatként jelennek meg. A két konzolszerver virtuális soros kábelként működik IP hálózaton keresztül. Egy konzolszerver van beállítva szerverként. Az áthidalandó szerver soros portja konzolkiszolgáló módban van beállítva, és az RFC2217 vagy a RAW engedélyezve van. A klienskonzolszerver esetében a hidalandó soros portot áthidaló módban kell beállítani:
· Válassza a Soros áthidaló módot, és adja meg a szerverkonzolszerver IP-címét és a távoli soros port TCP-portjának címét (RFC2217 áthidalás esetén ez 5001-5048)
· Alapértelmezés szerint az áthidaló kliens RAW TCP-t használ. Válassza az RFC2217 lehetőséget, ha ez a kiszolgálókonzolkiszolgálón megadott konzolkiszolgáló mód
· Az SSH engedélyezésével biztosíthatja a kommunikációt a helyi Etherneten keresztül. Kulcsok létrehozása és feltöltése.
3.1.6 Syslog A beépített naplózáson és felügyeleten kívül, amely alkalmazható a soros és hálózathoz csatolt felügyeleti hozzáférésekre, a 6. fejezetben leírtak szerint, a konzolszerver beállítható úgy is, hogy támogassa a távoli syslog protokollt soros portonként alapon:
· Válassza ki a Syslog Facility/Priority mezőket, hogy engedélyezze a forgalom naplózását a kiválasztott soros porton a syslog szerver felé; valamint a naplózott üzenetek rendezése és kezelése (azaz átirányításuk / figyelmeztető e-mail küldése).
35

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
PlampHa a 3-as soros porthoz csatlakoztatott számítógép soha nem küld ki semmit a soros konzolportján, a rendszergazda beállíthatja az adott porthoz a létesítményt local0-ra (a local0 .. local7 a hely helyi értékeit jelenti), a Prioritást pedig a kritikusra. . Ennél a prioritásnál, ha a konzolkiszolgáló syslog-kiszolgálója üzenetet kap, akkor riasztást küld. Lásd a 6. fejezetet. 3.1.7 NMEA adatfolyam Az ACM7000-L GPS NMEA adatfolyamot tud biztosítani a belső GPS/celluláris modemről. Ez az adatfolyam soros adatfolyamként jelenik meg az 5-ös porton az ACM modelleken.
Az NMEA soros port konfigurálásakor figyelmen kívül hagyja a közös beállításokat (adatátviteli sebesség stb.). Megadhatja a fix frekvenciát (azaz ez a GPS-rögzítési arány határozza meg, hogy milyen gyakran történik a GPS-rögzítés). Ezen a porton alkalmazhatja a konzolkiszolgáló mód, a rendszernapló és a soros áthidalás összes beállítását is.
Használhatja a pmshell-t, webshell, SSH, RFC2217 vagy RawTCP az adatfolyam eléréséhez:
Plample segítségével a Web Terminál:
36

Felhasználói kézikönyv

3.1.8 USB-konzolok
Az USB-portokkal rendelkező konzolszerverek támogatják az USB-konzolcsatlakozásokat számos gyártótól, köztük a Cisco-tól, a HP-tól, a Dell-től és a Brocade-tól. Ezek az USB-portok sima RS-232 soros portként is működhetnek, ha USB-soros adapter van csatlakoztatva.

Ezek az USB-portok normál portkezelő portként állnak rendelkezésre, és számszerűen jelennek meg a web UI minden RJ45 soros port után.

Az ACM7008-2 nyolc RJ45 soros porttal rendelkezik a konzolszerver hátulján és négy USB porttal az előlapon. A Soros és hálózat > Soros port menüpontban ezek a következőképpen vannak felsorolva

Port # Csatlakozó

RJ45

USB

10 USB

11 USB

12 USB

Ha az adott ACM7008-2 mobil modell, akkor a 13-as port – a GPS számára – szintén megjelenik a listában.

A 7216-24U 16 RJ45 soros porttal és 24 USB-porttal rendelkezik a hátlapján, valamint két elülső USB-porttal és (a cellás modellben) egy GPS-szel.

Az RJ45 soros portok a Soros és hálózat > Soros port menüpontban 1-os portszámként jelennek meg. A 16 hátsó USB-port az 24-es portszámot veszi fel, az elülső USB-portok pedig a 17-es és 40-es portszámon vannak felsorolva. És az ACM41-42-höz hasonlóan, ha az adott 7008-2U egy cellás modell, a GPS a 7216-as porton jelenik meg.

A közös beállítások (adatátviteli sebesség stb.) a portok konfigurálásakor használatosak, de előfordulhat, hogy egyes műveletek nem működnek az alapul szolgáló USB soros chip megvalósításától függően.

3.2 Felhasználók hozzáadása és szerkesztése
Az adminisztrátor ezt a menüválasztást használja felhasználók létrehozására, szerkesztésére és törlésére, valamint az egyes felhasználók hozzáférési engedélyeinek meghatározására.

3. fejezet: Soros port, eszköz és felhasználói konfiguráció

A felhasználók feljogosíthatók meghatározott szolgáltatásokhoz, soros portokhoz, tápegységekhez és meghatározott hálózathoz csatlakoztatott gazdagépekhez való hozzáférésre. Ezek a felhasználók teljes rendszergazdai státuszt is kaphatnak (teljes konfigurációs, kezelési és hozzáférési jogosultságokkal).

A felhasználók csoportokhoz adhatók. Alapértelmezés szerint hat csoport van beállítva:

admin

Korlátlan konfigurációs és felügyeleti jogosultságokat biztosít.

pptpd

Lehetővé teszi a hozzáférést a PPTP VPN szerverhez. Az ebbe a csoportba tartozó felhasználók jelszavai szöveges formában vannak tárolva.

betárcsázás

Lehetővé teszi a modemen keresztüli tárcsázást. Az ebbe a csoportba tartozó felhasználók jelszavai szöveges formában vannak tárolva.

ftp

Lehetővé teszi az ftp hozzáférést és file hozzáférés a tárolóeszközökhöz.

pmshell

Az alapértelmezett parancsértelmezőt pmshell-re állítja.

felhasználókat

Alapvető felügyeleti jogosultságokat biztosít a felhasználóknak.

Az adminisztrátori csoport teljes rendszergazdai jogosultságot biztosít a tagoknak. Az adminisztrátor felhasználó hozzáférhet a konzolkiszolgálóhoz a Rendszer > Szolgáltatások menüpontban engedélyezett szolgáltatások bármelyikével. Ezenkívül bármely csatlakoztatott gazdagéphez vagy soros port eszközhöz hozzáférhet bármely olyan szolgáltatás használatával, amely engedélyezve van ezekhez a kapcsolatokhoz. Csak a megbízható felhasználók rendelkezhetnek rendszergazdai hozzáféréssel
A felhasználói csoport korlátozott hozzáférést biztosít a tagok számára a konzolkiszolgálóhoz, valamint a csatlakoztatott gazdagépekhez és soros eszközökhöz. Ezek a felhasználók csak a Kezelőkonzol menü Kezelés szakaszát érhetik el, és nincs parancssori hozzáférésük a konzolkiszolgálóhoz. Csak azokhoz a gazdagépekhez és soros eszközökhöz férhetnek hozzá, amelyeket ellenőriztek számukra, az engedélyezett szolgáltatások használatával
A pptd, dialin, ftp vagy pmshell csoportok felhasználói korlátozták a felhasználói shell hozzáférést a kijelölt felügyelt eszközökhöz, de nem férhetnek hozzá közvetlenül a konzolkiszolgálóhoz. Ennek hozzáadásához a felhasználóknak a felhasználói vagy adminisztrátori csoportok tagjainak is kell lenniük
Az adminisztrátor további csoportokat hozhat létre meghatározott tápegység-, sorosport- és gazdagép-hozzáférési engedélyekkel. Az ezekben a további csoportokban lévő felhasználók nem férhetnek hozzá a Kezelőkonzol menühöz, és nem rendelkeznek parancssori hozzáféréssel a konzolkiszolgálóhoz.

Felhasználói kézikönyv
Az adminisztrátor beállíthat olyan felhasználókat meghatározott tápegység-, soros port- és gazdagép-hozzáférési jogosultságokkal, akik nem tagjai egyetlen csoportnak sem. Ezek a felhasználók nem férnek hozzá a Kezelőkonzol menühöz, és nem férnek hozzá a parancssori hozzáféréshez a konzolkiszolgálóhoz. 3.2.1 Új csoport létrehozása Új csoportok és új felhasználók létrehozása, valamint a felhasználók bizonyos csoportok tagjainak besorolása:
1. Válassza a Soros és hálózat > Felhasználók és csoportok lehetőséget az összes csoport és felhasználó megjelenítéséhez. 2. Kattintson a Csoport hozzáadása gombra új csoport hozzáadásához.
3. Adjon hozzá egy csoportnevet és leírást minden új csoporthoz, és jelölje ki az elérhető gazdagépeket, elérhető portokat és elérhető RPC-kimeneteket, amelyekhez az új csoport felhasználói hozzáférhetnek.
4. Kattintson az Alkalmaz gombra. 5. Az adminisztrátor szerkesztheti vagy törölheti a hozzáadott csoportokat. 3.2.2 Új felhasználók beállítása Új felhasználók beállításához és a felhasználók bizonyos csoportokba való besorolásához: 1. Válassza a Soros és hálózat > Felhasználók és csoportok lehetőséget a megjelenítéshez. minden csoport és felhasználó 2. Kattintson a Felhasználó hozzáadása gombra
39

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
3. Adjon hozzá egy felhasználónevet minden új felhasználóhoz. A Leírás mezőben a felhasználóval kapcsolatos információkat (pl. elérhetőségeket) is megadhat. A felhasználónév 1-127 alfanumerikus karaktert, valamint „-” „_” és „.” karaktereket tartalmazhat.
4. Adja meg, hogy mely csoportoknak szeretné, hogy a felhasználó tagja legyen. 5. Adjon hozzá egy megerősített jelszót minden új felhasználóhoz. Minden karakter megengedett. 6. SSH-kulcsos hitelesítés használható. Illessze be az engedélyezett nyilvános/privát kulcsokat
kulcspárok ehhez a felhasználóhoz az Authorized SSH Keys mezőben 7. Jelölje be a Jelszóhitelesítés letiltása jelölőnégyzetet, hogy csak ennek a felhasználónak engedélyezze a nyilvános kulcsú hitelesítést.
SSH használatakor 8. Jelölje be a Visszatárcsázás engedélyezése lehetőséget a Dial-in Options menüben a kimenő visszatárcsázási kapcsolat engedélyezéséhez
az erre a portra való bejelentkezéssel aktiválódik. Adja meg a visszahívási telefonszámot és a telefonszámot, amelyet visszahívhat, amikor a felhasználó bejelentkezik. 9. Jelölje be az Hozzáférhető gazdagépek és/vagy az Elérhető portok lehetőséget, hogy kijelölje azokat a soros portokat és hálózatra csatlakoztatott gazdagépeket, amelyekhez hozzáférési jogosultságot kíván biztosítani a felhasználónak 10-hez. vannak konfigurált RPC-k, jelölje be az Hozzáférhető RPC kimenetek lehetőséget, hogy megadja, mely aljzatokat tudja a felhasználó vezérelni (pl. be-/kikapcsolás). 11. Kattintson az Alkalmaz gombra. Az új felhasználó hozzáférhet az elérhető hálózati eszközökhöz, portokhoz és RPC kimenetekhez. Ha a felhasználó csoporttag, hozzáférhet a csoport számára elérhető bármely más eszközhöz/porthoz/kimenethez
40

Felhasználói kézikönyv
Nincs korlátozva a beállítható felhasználók száma, illetve a soros portonkénti vagy gazdagépenkénti felhasználók száma. Egy portot vagy gazdagépet több felhasználó is vezérelheti/figyelheti. A csoportok száma nincs korlátozva, és minden felhasználó több csoport tagja lehet. A felhasználónak nem kell tagja semmilyen csoportnak, de ha a felhasználó az alapértelmezett felhasználói csoport tagja, akkor nem tudja használni a Kezelőkonzolt a portok kezelésére. Bár nincsenek korlátok, az újrakonfiguráláshoz szükséges idő a szám és a bonyolultság növekedésével nő. Javasoljuk, hogy a felhasználók és csoportok összesített számát 250 alatt tartsák. A rendszergazda szerkesztheti a meglévő felhasználók hozzáférési beállításait is:
· Válassza a Soros és hálózat > Felhasználók és csoportok lehetőséget, majd kattintson a Szerkesztés gombra a felhasználói hozzáférési jogosultságok módosításához · Kattintson a Törlés gombra a felhasználó eltávolításához · Kattintson a Letiltás gombra a hozzáférési jogosultságok ideiglenes blokkolásához.
3.3 Hitelesítés
A hitelesítési konfiguráció részleteit lásd a 8. fejezetben.
3.4 Hálózati gazdagépek
A helyi hálózatba kapcsolt számítógép vagy eszköz (úgynevezett gazdagép) megfigyeléséhez és távoli eléréséhez azonosítania kell a gazdagépet:
1. Ha a Soros és hálózat > Hálózati gazdagépek lehetőséget választja, akkor megjelenik az összes, a használatra engedélyezett, hálózathoz csatlakoztatott gazdagép.
2. Kattintson a Gazda hozzáadása lehetőségre, hogy engedélyezze a hozzáférést egy új gazdagéphez (vagy válassza a Szerkesztés lehetőséget a meglévő gazdagép beállításainak frissítéséhez).
41

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
3. Ha a gazdagép PDU vagy UPS tápegység vagy IPMI teljesítményvezérléssel rendelkező szerver, adja meg az RPC-t (IPMI és PDU esetén) vagy az UPS-t és az Eszköztípust. Az adminisztrátor konfigurálhatja ezeket az eszközöket, és engedélyezheti, hogy mely felhasználók jogosultak a távoli áramellátásra stb. Lásd a 7. fejezetet. Ellenkező esetben hagyja az Eszköztípus beállítást Nincs értékre.
4. Ha a konzolkiszolgálót úgy konfigurálták, hogy az elosztott Nagios felügyelet engedélyezett, akkor a Nagios beállítások opciók is megjelennek, amelyek lehetővé teszik a gazdagépen található kijelölt szolgáltatások figyelését.
5. Kattintson az Alkalmaz gombra. Ezzel létrehozza az új gazdagépet, és létrehoz egy új felügyelt eszközt is ugyanazzal a névvel.
3.5 Megbízható hálózatok
A Megbízható hálózatok szolgáltatás lehetőséget biztosít olyan IP-címek kijelölésére, amelyeken a felhasználóknak elhelyezkedniük kell, hogy hozzáférhessenek a konzolszerver soros portjaihoz:
42

Felhasználói kézikönyv
1. Válassza a Soros és hálózat > Megbízható hálózatok lehetőséget. 2. Új megbízható hálózat hozzáadásához válassza a Szabály hozzáadása lehetőséget. Szabályok hiányában nincs hozzáférés
korlátozások az IP-címre vonatkozóan, amelyen a felhasználók elhelyezhetők.

3. Válassza ki azokat az elérhető portokat, amelyekre az új szabályt alkalmazni kívánja
4. Adja meg az engedélyezni kívánt alhálózat hálózati címét
5. Adja meg az engedélyezett címek tartományát egy hálózati maszk megadásával az engedélyezett IP-tartományhoz, pl.
· Ahhoz, hogy egy adott C osztályú hálózati kapcsolattal rendelkező összes felhasználó hozzáférhessen a kijelölt porthoz, adja hozzá a következő Megbízható hálózati új szabályt:

Hálózati IP-cím

204.15.5.0

Alhálózati maszk

255.255.255.0

· Ha csak egy adott IP-címen tartózkodó felhasználó csatlakozhat:

Hálózati IP-cím

204.15.5.13

Alhálózati maszk

255.255.255.255

· Annak lehetővé tétele, hogy az IP-címek meghatározott tartományán belül működő összes felhasználó (mondjuk a harminc cím bármelyike 204.15.5.129 és 204.15.5.158 között) csatlakozhasson a kijelölt porthoz:

Gazda/alhálózati cím

204.15.5.128

Alhálózati maszk

255.255.255.224

6. Kattintson az Alkalmaz gombra

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
3.6 Soros port lépcsőzetes
A Cascaded Ports lehetővé teszi az elosztott konzolszerverek fürtözését, így nagyszámú (akár 1000) soros port konfigurálható és elérhető egyetlen IP-címen keresztül, és kezelhető egy felügyeleti konzolon keresztül. Az egyik konzolkiszolgáló, az elsődleges, a többi konzolkiszolgálót csomóponti egységként vezérli, és a csomóponti egységek összes soros portja úgy jelenik meg, mintha az elsődleges része lenne. Az Opengear fürtözése minden csomópontot SSH-kapcsolattal köt össze az elsődlegeshez. Ez nyilvános kulcsú hitelesítéssel történik, így az elsődleges minden csomóponthoz az SSH-kulcspár használatával (jelszavak helyett) férhet hozzá. Ez biztosítja a biztonságos hitelesített kommunikációt az elsődleges és a csomópontok között, lehetővé téve a Node konzolkiszolgáló egységeinek helyi LAN-on vagy távoli elosztását az egész világon.
3.6.1 SSH-kulcsok automatikus előállítása és feltöltése A nyilvános kulcsú hitelesítés beállításához először létre kell hoznia egy RSA vagy DSA kulcspárt, és fel kell töltenie azokat az elsődleges és csomóponti konzolkiszolgálókra. Ez automatikusan megtehető az elsődlegesből:
44

Felhasználói kézikönyv
1. Válassza a Rendszer > Adminisztráció elemet az Elsődleges felügyeleti konzolon
2. Jelölje be az SSH-kulcsok automatikus generálása jelölőnégyzetet. 3. Kattintson az Alkalmaz gombra
Ezután ki kell választania, hogy RSA és/vagy DSA használatával kíván-e előállítani kulcsokat (ha nem biztos benne, csak az RSA-t válassza ki). Az egyes kulcskészletek generálása két percet vesz igénybe, és az új kulcsok megsemmisítik az ilyen típusú régi kulcsokat. Amíg az új generáció folyamatban van, előfordulhat, hogy az SSH-kulcsokra támaszkodó funkciók (pl. kaszkádolás) leállnak, amíg nem frissítik őket az új kulcskészlettel. Kulcsok generálása:
1. Jelölje be a létrehozni kívánt kulcsok jelölőnégyzeteit. 2. Kattintson az Alkalmaz gombra
3. Az új kulcsok létrehozása után kattintson a Kattintson ide a hivatkozásra a visszatéréshez. A kulcsok feltöltve
az Elsődleges és a csatlakoztatott csomópontokhoz.
3.6.2 SSH-kulcsok manuális generálása és feltöltése Ha rendelkezik RSA- vagy DSA-kulcspárral, feltöltheti azokat az elsődleges és csomóponti konzolszerverre. A nyilvános és privát kulcspár feltöltése az elsődleges konzolkiszolgálóra:
1. Válassza a Rendszer > Adminisztráció elemet az Elsődleges kezelőkonzolon
2. Keresse meg azt a helyet, ahol RSA (vagy DSA) nyilvános kulcsot tárolt, és töltse fel az SSH RSA (DSA) nyilvános kulcsába
3. Tallózással keresse meg a tárolt RSA (vagy DSA) privát kulcsot, és töltse fel az SSH RSA (DSA) privát kulcsba 4. Kattintson az Alkalmaz gombra.
45

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
Ezután regisztrálnia kell a nyilvános kulcsot engedélyezett kulcsként a csomóponton. Ha egy elsődleges több csomóponttal rendelkezik, minden csomóponthoz egy RSA vagy DSA nyilvános kulcsot kell feltöltenie.
1. Válassza a Rendszer > Adminisztráció menüpontot a csomópont felügyeleti konzolján. 2. Tallózással keresse meg a tárolt RSA (vagy DSA) nyilvános kulcsot, és töltse fel a csomópont SSH engedélyezett kulcsába.
3. Kattintson az Alkalmaz gombra. A következő lépés minden új csomópont-elsődleges kapcsolat ujjlenyomata. Ez a lépés ellenőrzi, hogy Ön SSH-munkamenetet hoz létre annak, akinek gondolja magát. Az első csatlakozáskor a csomópont ujjlenyomatot kap az elsődlegestől, amelyet minden jövőbeni kapcsolatnál használnak: Az ujjlenyomat létrehozásához először jelentkezzen be az elsődleges kiszolgálón rootként, és hozzon létre SSH-kapcsolatot a Node távoli gazdagépével:
# ssh remhost Miután az SSH-kapcsolat létrejött, a rendszer felkéri a kulcs elfogadására. Válasz igen, és az ujjlenyomat hozzáadódik az ismert gazdagépek listájához. Ha jelszó megadására kérik, probléma lépett fel a kulcsok feltöltésekor. 3.6.3 A csomópontok és soros portjaik konfigurálása Kezdje el a csomópontok beállítását és a csomópontok soros portjainak konfigurálását az elsődleges konzolkiszolgálóról:
1. Válassza a Soros és hálózat > Lépcsőzetes portok lehetőséget az elsődleges kezelőkonzolon: 2. A fürtözési támogatás hozzáadásához válassza a Csomópont hozzáadása lehetőséget.
Addig nem adhat hozzá csomópontokat, amíg nem generált SSH-kulcsokat. Csomópont meghatározása és konfigurálása:
46

Felhasználói kézikönyv
1. Adja meg a csomópontkonzolkiszolgáló távoli IP-címét vagy DNS-nevét. 2. Írja be a csomópont rövid leírását és rövid címkéjét. 3. Adja meg a csomópont egység soros portjainak teljes számát a Portok száma mezőben. 4. Kattintson az Alkalmaz gombra. Ez létrehozza az SSH alagutat az elsődleges és az új csomópont között
A Soros és hálózat > Lépcsőzetes portok menü megjeleníti az összes csomópontot és portszámot, amely az Elsődleges oldalon van lefoglalva. Ha az elsődleges konzolkiszolgálónak 16 saját portja van, az 1-16-os portok előre ki vannak osztva az elsődleges számára, így az első hozzáadott csomópont a 17-es portszámot kapja. Miután hozzáadta az összes csomóponti konzolkiszolgálót, a csomóponti soros portok és a csatlakoztatott eszközök konfigurálhatók és elérhetők az Elsődleges kezelőkonzol menüjéből, valamint az elsődleges IP-címén keresztül.
1. Válassza ki a megfelelő Soros és hálózat > Soros port és Szerkesztés elemet a soros portok konfigurálásához
Csomópont.
2. Új hozzáférési jogosultsággal rendelkező felhasználók hozzáadásához válassza ki a megfelelő Soros és hálózat > Felhasználók és csoportok lehetőséget
a Node soros portjaira (vagy a meglévő felhasználók hozzáférési jogosultságának kiterjesztésére).
3. Válassza ki a megfelelő Soros és hálózat > Megbízható hálózatok lehetőséget a hálózati címek megadásához
elérheti a kijelölt csomóponti soros portokat. 4. Válassza ki a megfelelő Riasztások és naplózás > Figyelmeztetések lehetőséget a csomóponti port kapcsolatának állapotának konfigurálásához
Changeor Pattern Match figyelmeztetések. Az Alkalmaz gombra kattintva az Elsődlegesen végrehajtott konfigurációs módosítások az összes csomópontra kiterjednek.
3.6.4 Csomópontok kezelése Az elsődleges vezérli a csomópont soros portjait. Plampha módosítja a felhasználói hozzáférési jogosultságokat vagy módosítja a soros port beállításait az Elsődlegesen, a frissített konfiguráció files párhuzamosan kerülnek kiküldésre minden csomópontnak. Minden csomópont módosítja a helyi konfigurációját (és csak az adott soros portjaira vonatkozó változtatásokat). A helyi Node Management Console segítségével módosíthatja bármely csomópont soros portjának beállításait (például az adatátviteli sebességet). Ezeket a változtatásokat a rendszer felülírja, amikor legközelebb az elsődleges konfigurációt küld file frissítés. Bár az Elsődleges irányítja az összes csomópont soros porttal kapcsolatos funkcióját, nem elsődleges a csomóponti hálózati gazdagépkapcsolatok vagy a Node Console Server rendszer felett. A csomóponti funkciókat, például az IP-, SMTP- és SNMP-beállításokat, Dátum és idő, DHCP-kiszolgálót az egyes csomópontok közvetlen elérésével kell kezelni, és ezeket a funkciókat nem írják felül, amikor a konfigurációs változtatásokat az elsődlegestől továbbítják. A csomópont hálózati gazdagépét és IPMI-beállításait minden csomóponton konfigurálni kell.
47

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
Az elsődleges felügyeleti konzolja konszolidált view a saját és a teljesNode soros portjainak beállításait. Az Elsődleges nem nyújt teljes körűen konszolidált view. PlampHa meg szeretné tudni, hogy ki van bejelentkezve a lépcsőzetes soros portokra az elsődlegesről, akkor látni fogja, hogy az Állapot > Aktív felhasználók csak azokat a felhasználókat jeleníti meg, amelyek aktívak az elsődleges portokon, ezért előfordulhat, hogy egyéni szkripteket kell írnia ennek biztosításához. view.
3.7 Soros port átirányítás (PortShare)
Az Opengear Port Share szoftvere biztosítja azt a virtuális soros port technológiát, amelyre a Windows és Linux alkalmazásoknak szüksége van a távoli soros portok megnyitásához és a konzolszerverhez csatlakoztatott soros eszközökről származó adatok olvasásához.
A PortShare minden konzolkiszolgálóhoz ingyenesen tartozik, és Ön jogosult a PortShare telepítésére egy vagy több számítógépre a konzolkiszolgáló portjához csatlakoztatott soros eszközök eléréséhez. PortShare for Windows A portshare_setup.exe letölthető az ftp webhelyről. A telepítéssel és a működéssel kapcsolatos részletekért lásd a PortShare felhasználói kézikönyvet és a Gyorsindítást. PortShare for Linux A PortShare Linux-illesztőprogram leképezi a konzolszerver soros portját egy host try portra. Az Opengear kiadta a portshare-serial-klienst nyílt forráskódú segédprogramként Linux, AIX, HPUX, SCO, Solaris és UnixWare számára. Ez a segédprogram letölthető az ftp webhelyről. Ez a PortShare soros port átirányító lehetővé teszi a távoli konzolkiszolgálóhoz csatlakoztatott soros eszköz használatát úgy, mintha az a helyi soros porthoz csatlakozna. A portshare-serial-kliens létrehoz egy pszeudo tty portot, összeköti a soros alkalmazást a pszeudo tty porttal, adatokat fogad a pszeudo tty portról, hálózaton keresztül továbbítja a konzolszervernek és hálózaton keresztül adatokat fogad a konzolszervertől és továbbítja. a pszeudo-tty portra. A .tar file letölthető az ftp oldaláról. A telepítéssel és a működéssel kapcsolatos részletekért lásd a PortShare felhasználói kézikönyvet és a Gyorsindítást.
48

Felhasználói kézikönyv
3.8 felügyelt eszközök
A Felügyelt eszközök oldal konszolidált view a konzolkiszolgálón keresztül elérhető és felügyelhető eszközökhöz fűződő összes kapcsolatról. Nak nek view az eszközökhöz fűződő kapcsolatokat, válassza a Soros és hálózat > Felügyelt eszközök lehetőséget
Ez a képernyő megjeleníti az összes felügyelt eszközt a leírásukkal/megjegyzésekkel, valamint az összes konfigurált kapcsolat listáját:
· Soros port száma (soros csatlakoztatás esetén) vagy · USB (ha USB csatlakoztatva van) · IP-cím (ha hálózatra csatlakozik) · Power PDU/kimenet adatai (ha van) és bármilyen UPS csatlakozás Az eszközök, például a szerverek egynél több tápcsatlakozással is rendelkezhetnek (pl. kettős tápellátás) és egynél több hálózati kapcsolat (pl. BMC/kiszolgáló processzor). Minden felhasználó megteheti view ezeket a felügyelt eszközkapcsolatokat a Kezelés > Eszközök kiválasztásával. A rendszergazdák szerkeszthetik és hozzáadhatják/törölhetik ezeket a felügyelt eszközöket és azok kapcsolatait. Meglévő eszköz szerkesztése és új kapcsolat hozzáadása: 1. Válassza a Szerkesztés lehetőséget a Soros és hálózat > Felügyelt eszközök részben, majd kattintson a Kapcsolat hozzáadása lehetőségre. 2. Válassza ki az új kapcsolat kapcsolattípusát (soros, hálózati gazdagép, UPS vagy RPC), majd
a kapcsolat a konfigurált, nem lefoglalt gazdagépek/portok/kimenetek bemutatott listájából
49

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
Új, hálózathoz csatlakoztatott felügyelt eszköz hozzáadása: 1. Az adminisztrátor hozzáad egy új hálózathoz csatlakoztatott felügyelt eszközt a Soros és hálózat > Hálózati gazdagép menü Gazda hozzáadása elemével. Ez automatikusan létrehoz egy megfelelő új felügyelt eszközt. 2. Új, hálózatra csatlakoztatott RPC vagy UPS tápegység hozzáadásakor be kell állítania egy hálózati gazdagépet, és jelölje ki RPC-nek vagy UPS-nek. A megfelelő kapcsolat konfigurálásához lépjen az RPC-kapcsolatok vagy a UPS-kapcsolatok oldalra. A megfelelő új felügyelt eszköz, amelynek neve/leírása megegyezik az RPC/UPS gazdagépével, addig nem jön létre, amíg ez a csatlakozási lépés be nem fejeződik.
MEGJEGYZÉS Az újonnan létrehozott PDU aljzatnevei: Outlet 1 és Outlet 2. Ha olyan felügyelt eszközt csatlakoztat, amely a konnektorból vesz áramot, az aljzat az áramellátással rendelkező felügyelt eszköz nevét veszi fel.
Új, sorosan csatlakoztatott felügyelt eszköz hozzáadása: 1. Konfigurálja a soros portot a Soros és hálózat > Soros port menü segítségével (lásd: 3.1. szakasz Soros port konfigurálása) 2. Válassza a Soros és hálózat > Felügyelt eszközök lehetőséget, majd kattintson az Eszköz hozzáadása elemre. 3. Adjon meg egy eszközt. A felügyelt eszköz neve és leírása

4. Kattintson az Add Connection (Kapcsolat hozzáadása) lehetőségre, és válassza a Soros lehetőséget, és válassza ki a felügyelt eszközhöz csatlakozó portot

5. UPS/RPC tápcsatlakozás vagy hálózati kapcsolat vagy más soros kapcsolat hozzáadásához kattintson a Kapcsolat hozzáadása gombra

6. Kattintson az Alkalmaz gombra

JEGYZET

Sorosan csatlakoztatott RPC UPS vagy EMD eszköz beállításához konfigurálja a soros portot, jelölje ki Eszközként, és adja meg az eszköz nevét és leírását a Soros és hálózat > RPC kapcsolatok (vagy UPS kapcsolatok vagy Környezeti) részben. Ezzel létrejön egy megfelelő új felügyelt eszköz, amelynek neve/leírása megegyezik az RPC/UPS gazdagépével. Az újonnan létrehozott PDU aljzatok neve: Outlet 1 és Outlet 2. Ha olyan felügyelt eszközt csatlakoztat, amely a konnektorból vesz áramot, az aljzat a tápellátással rendelkező felügyelt eszköz nevét veszi fel.

3.9 IPsec VPN
Az ACM7000, CM7100 és IM7200 tartalmazza az Openswant, az IPsec (IP Security) protokollok Linux-megvalósítását, amely virtuális magánhálózat (VPN) konfigurálására használható. A VPN lehetővé teszi, hogy több webhely vagy távoli rendszergazda biztonságosan hozzáférjen a konzolkiszolgálóhoz és a felügyelt eszközökhöz az interneten keresztül.

Felhasználói kézikönyv
Az adminisztrátor titkosított hitelesített VPN-kapcsolatokat hozhat létre a távoli helyeken elosztott konzolszerverek és a központi irodai hálózaton lévő VPN-átjáró (például IOS IPsec-et futtató Cisco útválasztó) között:
· A központi iroda felhasználói biztonságosan hozzáférhetnek a távoli konzolszerverekhez és a csatlakoztatott soros konzolos eszközökhöz és gépekhez a Management LAN alhálózaton a távoli helyen, mintha helyi lennének.
· Mindezek a távoli konzolszerverek egy CMS6000 segítségével felügyelhetők a központi hálózaton · A soros áthidalással a központi irodai gép vezérlőjétől származó soros adatok biztonságosan kezelhetők
csatlakozik a távoli helyszíneken lévő sorosan vezérelt eszközökhöz A Road Warrior adminisztrátor VPN IPsec szoftverkliens segítségével távolról elérheti a konzolkiszolgálót és a Management LAN alhálózat minden gépét a távoli helyen.
Az IPsec konfigurálása meglehetősen bonyolult, így az Opengear grafikus felületet biztosít az alapbeállításokhoz, az alábbiak szerint. A VPN-átjáró engedélyezése:
1. Válassza az IPsec VPN lehetőséget a Soros és hálózatok menüben
2. Kattintson a Hozzáadás gombra, és fejezze be az IPsec-alagút hozzáadása képernyőt. 3. Adjon meg bármilyen leíró nevet, amellyel azonosítani kívánja a hozzáadni kívánt IPsec-alagutat, például
WestStOutlet-VPN
51

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
4. Válassza ki a használni kívánt hitelesítési módszert, vagy RSA digitális aláírást, vagy megosztott titkos titkosságot (PSK). o Ha az RSA lehetőséget választja, a rendszer kéri, hogy kattintson ide a kulcsok létrehozásához. Ez létrehoz egy nyilvános RSA kulcsot a konzolkiszolgáló számára (a bal oldali nyilvános kulcs). Keresse meg a távoli átjárón használni kívánt kulcsot, vágja ki és illessze be a jobb nyilvános kulcsba
o Ha a Megosztott titok lehetőséget választja, adjon meg egy előre megosztott titkos adatot (PSK). A PSK-nak meg kell egyeznie az alagút másik végén konfigurált PSK-val
5. Az Authentication Protocol mezőben válassza ki a használni kívánt hitelesítési protokollt. Vagy hitelesítsen az ESP (Encapsulating Security Payload) titkosítás részeként, vagy külön az AH (Authentication Header) protokoll használatával.
52

Felhasználói kézikönyv
6. Adja meg a bal oldali azonosítót és a jobb oldali azonosítót. Ez az az azonosító, amelyet a helyi gazdagép/átjáró és a távoli gazdagép/átjáró az IPsec egyeztetéshez és hitelesítéshez használ. Minden azonosítónak tartalmaznia kell egy @ jelet, és tartalmazhat egy teljesen minősített domain nevet (pl. bal@plample.com)
7. Adja meg ennek az Opengear VPN-átjárónak a nyilvános IP- vagy DNS-címét a bal címként. Ezt üresen hagyhatja az alapértelmezett útvonal felületének használatához
8. A Jobb cím mezőbe írja be az alagút távoli végének nyilvános IP- vagy DNS-címét (csak akkor, ha a távoli végnek statikus vagy DynDNS-címe van). Ellenkező esetben hagyja üresen
9. Ha az Opengear VPN-átjáró VPN-átjáróként szolgál egy helyi alhálózathoz (pl. a konzolszerver felügyeleti LAN-val rendelkezik), adja meg a privát alhálózat adatait a Bal alhálózatban. Használja a CIDR jelölést (ahol az IP-cím számát egy perjel követi, és az „egy” bitek száma a hálózati maszk bináris jelölésében). Plample, 192.168.0.0/24 olyan IP-címet jelöl, ahol az első 24 bitet használják hálózati címként. Ez ugyanaz, mint a 255.255.255.0. Ha a VPN-hozzáférés csak a konzolszerverhez és a csatlakoztatott soros konzoleszközökhöz szól, hagyja üresen a Bal alhálózat mezőt
10. Ha van VPN-átjáró a távoli oldalon, adja meg a privát alhálózat adatait a Jobb alhálózatban. Használja a CIDR jelölést, és hagyja üresen, ha csak távoli gazdagép van
11. Válassza az Initiate Tunnel (Alagút kezdeményezése) lehetőséget, ha az alagútkapcsolatot a bal oldali konzolkiszolgálóról kívánja kezdeményezni. Ez csak akkor kezdeményezhető a VPN-átjáróról (balra), ha a távoli vég statikus (vagy DynDNS) IP-címmel van konfigurálva.
12. Kattintson az Alkalmaz gombra a módosítások mentéséhez
MEGJEGYZÉS A konzolkiszolgálón (bal oldali vagy helyi gazdagépként) beállított konfigurációs adatoknak meg kell egyeznie a távoli (jobboldali) gazdagép/átjáró vagy szoftverkliens konfigurálásakor megadott beállításokkal. A távoli végek konfigurálásával kapcsolatos részletekért lásd a http://www.opengear.com/faq.html webhelyet
3.10 OpenVPN
Az ACM7000, CM7100 és IM7200 V3.2 firmware-rel és később OpenVPN-t tartalmaz. Az OpenVPN az OpenSSL könyvtárat használja a titkosításhoz, hitelesítéshez és tanúsításhoz, ami azt jelenti, hogy SSL/TSL-t (Secure Socket Layer/Transport Layer Security) használ a kulcscseréhez, és képes mind az adatok, mind a vezérlőcsatornák titkosítására. Az OpenVPN használata lehetővé teszi többplatformos, pont-pont VPN-ek létrehozását X.509 PKI (nyilvános kulcsú infrastruktúra) vagy egyéni konfiguráció használatával files. Az OpenVPN lehetővé teszi az adatok biztonságos alagútvezetését egyetlen TCP/UDP-porton keresztül egy nem biztonságos hálózaton keresztül, így biztonságos hozzáférést biztosít több webhelyhez és biztonságos távoli adminisztrációt egy konzolkiszolgálóhoz az interneten keresztül. Az OpenVPN emellett lehetővé teszi a dinamikus IP-címek használatát mind a szerver, mind a kliens számára, ezáltal biztosítva az ügyfél mobilitást. PlampEgy OpenVPN alagút létesíthető egy barangoló Windows kliens és egy adatközponton belüli Opengear konzolkiszolgáló között. Az OpenVPN konfigurálása összetett lehet, ezért az Opengear grafikus felületet biztosít az alapbeállításokhoz, az alábbiak szerint. További részletek a http://www.openvpn.net oldalon érhetők el
3.10.1 Az OpenVPN engedélyezése 1. Válassza az OpenVPN lehetőséget a Soros és hálózatok menüben
53

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
2. Kattintson a Hozzáadás gombra, és fejezze be az OpenVPN Tunnel hozzáadása képernyőt. 3. Adjon meg bármilyen leíró nevet, amellyel azonosítani szeretné a hozzáadni kívánt OpenVPN alagutat, pl.ample
NorthStOutlet-VPN
4. Válassza ki a használni kívánt hitelesítési módot. Tanúsítványokkal történő hitelesítéshez válassza a PKI (X.509 tanúsítványok) lehetőséget, vagy az egyéni konfiguráció feltöltéséhez válassza az Egyéni konfiguráció lehetőséget files. Az egyéni konfigurációkat az /etc/config fájlban kell tárolni.
MEGJEGYZÉS Ha a PKI-t választja, állítsa be: Külön tanúsítványt (más néven nyilvános kulcsot). Ez a Tanúsítvány File egy *.crt file írja be a privát kulcsot a kiszolgálóhoz és az egyes kliensekhez. Ez a privát kulcs File egy *.kulcs file típus
Az elsődleges tanúsító hatóság (CA) tanúsítványa és kulcsa, amely az egyes kiszolgálók aláírására szolgál
és ügyféltanúsítványok. Ez a root CA-tanúsítvány egy *.crt file típus Szerver esetén a dh1024.pem (Diffie Hellman paraméterek) is szüksége lehet. Az alapvető RSA-kulcskezeléshez lásd a http://openvpn.net/easyrsa.html webhelyet. Az alternatív hitelesítési módszerekért lásd: http://openvpn.net/index.php/documentation/howto.html#auth.
5. Válassza ki a használni kívánt eszköz-illesztőprogramot: Tun-IP vagy Tap-Ethernet. A TUN (hálózati alagút) és a TAP (hálózati érintés) illesztőprogramok virtuális hálózati illesztőprogramok, amelyek támogatják az IP-alagút, illetve az Ethernet alagútkezelést. A TUN és a TAP a Linux kernel részei.
6. Válassza ki az UDP vagy a TCP protokollt. Az UDP az OpenVPN alapértelmezett és preferált protokollja. 7. Jelölje be vagy törölje a Tömörítés gombot a tömörítés engedélyezéséhez vagy letiltásához. 8. Alagút módban adja meg, hogy ez az alagút kliens vagy kiszolgáló vége legyen. Amikor as
egy kiszolgáló, a konzolkiszolgáló több klienst is támogat, amelyek ugyanazon a porton keresztül csatlakoznak a VPN-kiszolgálóhoz.
54

Felhasználói kézikönyv
3.10.2 Konfigurálás kiszolgálóként vagy kliensként
1. Adja meg az Ügyféladatok vagy a Kiszolgáló részleteit a kiválasztott alagútmódtól függően. o Ha a Client lehetőséget választotta, az elsődleges kiszolgáló címe az OpenVPN szerver címe. o Ha a Szerver van kiválasztva, adja meg az IP Pool hálózati címét és az IP Pool hálózati maszkját. Az IP Pool Hálózati cím/maszk által meghatározott hálózat a csatlakozó ügyfelek címeinek megadására szolgál.
2. Kattintson az Alkalmaz gombra a módosítások mentéséhez
55

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
3. A hitelesítési tanúsítványok megadásához és files, válassza az OpenVPN kezelése lehetőséget Files lapon. Töltsön fel vagy böngésszen a megfelelő hitelesítési tanúsítványok között és files.
4. Alkalmazza a módosítások mentéséhez. Mentett files piros színnel jelennek meg a Feltöltés gomb jobb oldalán.
5. Az OpenVPN engedélyezéséhez szerkessze az OpenVPN alagutat
56

Felhasználói kézikönyv
6. Ellenőrizze az Engedélyezve gombot. 7. Alkalmazás a módosítások mentéséhez MEGJEGYZÉS Győződjön meg arról, hogy a konzolszerver rendszerideje helyes, amikor OpenVPN-nel dolgozik, hogy elkerülje
hitelesítési problémák.
8. Válassza a Statisztika lehetőséget az Állapot menüben az alagút működőképességének ellenőrzéséhez.
57

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
3.10.3 A Windows OpenVPN kliens és kiszolgáló beállítása Ez a rész egy Windows OpenVPN kliens vagy egy Windows OpenVPN kiszolgáló telepítését és konfigurálását, valamint a VPN-kapcsolat beállítását ismerteti a konzolkiszolgálóval. A konzolkiszolgálók automatikusan generálják a Windows kliens konfigurációját a grafikus felhasználói felületről az előre megosztott titkos kulcshoz (statikus kulcs File) konfigurációk.
Alternatív megoldásként az OpenVPN GUI for Windows szoftver (amely tartalmazza a szabványos OpenVPN csomagot és egy Windows grafikus felhasználói felületet) letölthető a http://openvpn.net webhelyről. Miután telepítette a Windows gépre, egy OpenVPN ikon jelenik meg a tálca jobb oldalán található értesítési területen. Kattintson a jobb gombbal erre az ikonra a VPN-kapcsolatok indításához és leállításához, a konfigurációk szerkesztéséhez és view rönkök.
Amikor az OpenVPN szoftver futni kezd, a C: Program FileAz sOpenVPNconfig mappát az .opvn fájl keresi files. Ezt a mappát újra ellenőriztük az új konfigurációért files amikor az OpenVPN GUI ikonjára jobb gombbal kattintanak. Az OpenVPN telepítése után hozzon létre egy konfigurációt file:
58

Felhasználói kézikönyv

Szövegszerkesztővel hozzon létre egy xxxx.ovpn fájlt file és mentse el a C:Programba FilesOpenVPNconfig. Plample, C: Program FilesOpenVPNconfigclient.ovpn
Egy voltampegy OpenVPN Windows-kliens konfigurációját file lent látható:
# leírás: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\clien tun comp-lzo
Egy voltampegy OpenVPN Windows Server konfigurációban file lent látható:
szerver 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpncrtkeys\nserver.keys\n:server. kulcs dh c:\openvpnkeys\dh.pem comp-lzo ige 1 syslog IM4216_OpenVPN_Server
A Windows kliens/szerver konfigurációja file lehetőségek:

Opciók #description: Kliensszerver proto udp proto tcp mssfix ige
dev tun dev tap

Leírás Ez egy megjegyzés, amely leírja a konfigurációt. A megjegyzéssorok „#” karakterrel kezdődnek, és az OpenVPN figyelmen kívül hagyja őket. Adja meg, hogy ez kliens vagy szerver konfiguráció legyen file. A szerver konfigurációjában file, adja meg az IP-címkészletet és a hálózati maszkot. Plample, szerver 10.100.10.0 255.255.255.0 Állítsa a protokollt UDP-re vagy TCP-re. A kliensnek és a szervernek ugyanazokat a beállításokat kell használnia. Az Mssfix beállítja a csomag maximális méretét. Ez csak UDP esetén hasznos, ha problémák merülnek fel.
Napló beállítása file bőbeszédűségi szint. A napló bőbeszédűségi szintje 0 (minimum) és 15 (maximum) között állítható be. Plample, 0 = néma, kivéve a végzetes hibákat 3 = közepes teljesítmény, jó általános használatra 5 = segít a kapcsolati problémák hibakeresésében 9 = bőbeszédű, kiváló hibaelhárításhoz Válassza a 'dev tun' lehetőséget egy irányított IP-alagút létrehozásához, vagy a 'dev tap' lehetőséget. egy Ethernet alagút. A kliensnek és a szervernek ugyanazokat a beállításokat kell használnia.

3. fejezet: Soros port, eszköz és felhasználói konfiguráció

távoli Port Keepalive
http-proxy kbfile név>
certfile név>
kulcsfile név>
dhfile név> Nobind persist-key persist-tun titkosítás BF-CBC Blowfish (alapértelmezett) titkosítás AES-128-CBC AES titkosítás DES-EDE3-CBC Triple-DES comp-lzo syslog

Az OpenVPN-kiszolgáló gazdagépneve/IP-je, ha kliensként működik. Adja meg a DNS-gazdanevet vagy a kiszolgáló statikus IP-címét. A szerver UDP/TCP portja. A Keepalive ping segítségével tartja életben az OpenVPN munkamenetet. A 'Keepalive 10 120' ping 10 másodpercenként, és feltételezi, hogy a távoli peer leállt, ha 120 másodpercen keresztül nem érkezik ping. Ha a kiszolgáló eléréséhez proxy szükséges, adja meg a proxykiszolgáló DNS-nevét vagy IP-címét és portszámát. Írja be a CA-tanúsítványt file név és hely. Ugyanaz a CA-tanúsítvány file a szerver és az összes kliens használhatja. Megjegyzés: Győződjön meg arról, hogy a könyvtár elérési útjában minden `' helyére `\' kerül. Plample, c:openvpnkeysca.crt lesz c:\openvpnkeys\ca.crt Írja be az ügyfél vagy a szerver tanúsítványát file név és hely. Minden ügyfélnek saját tanúsítvánnyal és kulccsal kell rendelkeznie files. Megjegyzés: Győződjön meg arról, hogy a könyvtár elérési útjában minden `' helyére `\' kerül. Írd be a file a kliens vagy a szerver kulcsának neve és helye. Minden ügyfélnek saját tanúsítvánnyal és kulccsal kell rendelkeznie files. Megjegyzés: Győződjön meg arról, hogy a könyvtár elérési útjában minden `' helyére `\' kerül. Ezt csak a szerver használja. Adja meg a kulcs elérési útját a Diffie-Hellman paraméterekkel. A 'Nobind' akkor használatos, ha az ügyfeleknek nem kell helyi címhez vagy meghatározott helyi portszámhoz kötniük. Ez a helyzet a legtöbb kliens konfigurációban. Ez a beállítás megakadályozza a kulcsok újratöltését az újraindításkor. Ez az opció megakadályozza a TUN/TAP eszközök bezárását és újranyitását az újraindításkor. Válasszon ki egy kriptográfiai titkosítást. A kliensnek és a szervernek ugyanazokat a beállításokat kell használnia.
Engedélyezze a tömörítést az OpenVPN hivatkozáson. Ezt a kliensen és a szerveren is engedélyezni kell. Alapértelmezés szerint a naplók a syslogban, vagy ha szolgáltatásként futnak a Windowban, a Programban találhatók FilesOpenVPNlog könyvtár.

Az OpenVPN alagút elindítása a kliens/szerver konfiguráció létrehozása után files: 1. Kattintson jobb gombbal az OpenVPN ikonra az értesítési területen. 2. Válassza ki az újonnan létrehozott kliens vagy szerver konfigurációt. 3. Kattintson a Csatlakozás gombra

4. A napló file üzenet jelenik meg a kapcsolat létrejöttekor
60

Felhasználói kézikönyv
5. Miután létrejött, az OpenVPN ikon egy üzenetet jelenít meg, amely jelzi a sikeres csatlakozást és a hozzárendelt IP-címet. Ez az információ, valamint a kapcsolat létrejöttének ideje az OpenVPN ikon fölé görgetve érhető el.
3.11 PPTP VPN
A konzolszerverek tartalmaznak egy PPTP (Point-to-Point Tunneling Protocol) szervert. A PPTP-t fizikai vagy virtuális soros kapcsolaton keresztüli kommunikációra használják. A PPP-végpontok virtuális IP-címet határoznak meg maguknak. A hálózatokhoz vezető útvonalakat ezekkel az IP-címekkel lehet megadni átjáróként, ami azt eredményezi, hogy a forgalom az alagúton keresztül továbbítódik. A PPTP alagutat hoz létre a fizikai PPP-végpontok között, és biztonságosan továbbítja az adatokat az alagúton keresztül.
A PPTP erőssége a könnyű konfigurálás és a meglévő Microsoft infrastruktúrába való integrálhatósága. Általában egyetlen távoli Windows kliens csatlakoztatására használják. Ha üzleti útra viszi hordozható számítógépét, tárcsázhat egy helyi számot, hogy csatlakozzon internet-hozzáférési szolgáltatójához (ISP), és létrehozzon egy második kapcsolatot (alagutat) az irodai hálózathoz az interneten keresztül, és ugyanazt a hozzáférést kapja vállalati hálózat, mintha közvetlenül az irodájából csatlakozna. A távmunkások VPN-alagutat is létrehozhatnak kábelmodemükön vagy DSL-kapcsolataikon keresztül a helyi internetszolgáltatójukkal.
61

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
Egy távoli Windows kliens és az Opengear készülék és a helyi hálózat közötti PPTP-kapcsolat beállítása:
1. Engedélyezze és konfigurálja a PPTP VPN szervert az Opengear készüléken 2. Állítsa be a VPN felhasználói fiókokat az Opengear készüléken, és engedélyezze a megfelelő
hitelesítés 3. Konfigurálja a VPN-klienseket a távoli helyeken. Az ügyfél nem igényel speciális szoftvert, mint
a PPTP szerver támogatja a Windows NT és újabb rendszerekhez mellékelt szabványos PPTP kliens szoftvert 4. Csatlakozás a távoli VPN-hez 3.11.1 A PPTP VPN szerver engedélyezése 1. Válassza a PPTP VPN lehetőséget a Soros és hálózatok menüben
2. Jelölje be az Engedélyezés jelölőnégyzetet a PPTP-kiszolgáló engedélyezéséhez. 3. Válassza a Minimum Authentication Required (Minimális hitelesítés szükséges). A hozzáférés megtagadva a távoli felhasználók számára
csatlakozzon a kiválasztott sémánál gyengébb hitelesítési sémával. A sémákat az alábbiakban ismertetjük, a legerősebbtől a leggyengébbig. · Titkosított hitelesítés (MS-CHAP v2): A legerősebb használható hitelesítési típus; ez
az ajánlott opció · Gyengén titkosított hitelesítés (CHAP): Ez a titkosított jelszó leggyengébb típusa
használható hitelesítés. Nem ajánlott, hogy az ügyfelek ezzel a kapcsolattal csatlakozzanak, mivel ez nagyon csekély jelszavas védelmet biztosít. Vegye figyelembe azt is, hogy a CHAP használatával csatlakozó ügyfelek nem tudják titkosítani a forgalmat
62

Felhasználói kézikönyv
· Unencrypted Authentication (PAP): Ez egy egyszerű szöveges jelszó-hitelesítés. Az ilyen típusú hitelesítés használatakor az ügyféljelszó titkosítás nélkül kerül továbbításra.
· Nincs 4. Válassza ki a szükséges titkosítási szintet. A csatlakozni próbáló távoli felhasználók hozzáférése megtagadva
amelyek nem használják ezt a titkosítási szintet. 5. A Helyi cím mezőben adja meg a VPN-kapcsolat szerver végéhez rendelendő IP-címet. 6. A Távoli címek mezőben adja meg az IP-címek készletét, amelyet a bejövő kliens VPN-jéhez rendel.
kapcsolatok (pl. 192.168.1.10-20). Ennek egy szabad IP-címnek vagy a hálózatból származó címtartománynak kell lennie, amelyet a távoli felhasználók hozzárendelnek, miközben csatlakoznak az Opengear készülékhez. 7. Írja be a PPTP interfészek maximális átviteli egységének (MTU) kívánt értékét az MTU mezőbe (alapértelmezett: 1400) 8. A DNS-kiszolgáló mezőbe írja be annak a DNS-kiszolgálónak az IP-címét, amelyik IP-címeket rendel hozzá a csatlakozó PPTP-kliensekhez. 9. A WINS-kiszolgáló mezőbe írja be annak a WINS-kiszolgálónak az IP-címét, amelyik IP-címeket rendel a csatlakozó PPTP-kliensekhez. 10. Engedélyezze a részletes naplózást a kapcsolati problémák hibakeresésének elősegítése érdekében. 11. Kattintson a Beállítások alkalmazása gombra. 3.11.2 PPTP-felhasználó hozzáadása 1. Válassza a Felhasználók és csoportok lehetőséget a Soros és hálózatok menüben, és töltse ki a mezőket a 3.2. szakaszban leírtak szerint. 2. Győződjön meg arról, hogy a pptpd csoport be van jelölve, hogy engedélyezze a hozzáférést a PPTP VPN szerverhez. Megjegyzés – a csoport felhasználói jelszavaikat szöveges formában tárolják. 3. Jegyezze fel felhasználónevét és jelszavát, amikor csatlakoznia kell a VPN-kapcsolathoz. 4. Kattintson az Alkalmaz gombra
63

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
3.11.3 Távoli PPTP kliens beállítása Győződjön meg arról, hogy a távoli VPN kliens számítógép rendelkezik internetkapcsolattal. VPN-kapcsolat létrehozásához az interneten keresztül két hálózati kapcsolatot kell beállítania. Az egyik kapcsolat az internetszolgáltatóhoz, a másik pedig az Opengear készülékhez vezető VPN alagúthoz való. MEGJEGYZÉS Ez az eljárás egy PPTP-ügyfelet állít be a Windows Professional operációs rendszerben. A lépések
kissé eltérhet a hálózati hozzáféréstől, vagy attól függően, hogy a Windows egy másik verzióját használja. Részletesebb utasítások a Microsofttól érhetők el web webhely. 1. Jelentkezzen be a Windows kliensbe rendszergazdai jogosultságokkal. 2. A Vezérlőpult Hálózati és megosztási központjában válassza a Hálózati kapcsolatok elemet, és hozzon létre új kapcsolatot.
64

Felhasználói kézikönyv
3. Válassza a Saját internetkapcsolat (VPN) használata lehetőséget, és adja meg az Opengear készülék IP-címét A távoli VPN-kliensek helyi hálózathoz való csatlakoztatásához ismernie kell a hozzáadott PPTP-fiók felhasználónevét és jelszavát, valamint az Internet IP-címét. az Opengear készülék címe. Ha az internetszolgáltató nem osztott ki Önnek statikus IP-címet, fontolja meg egy dinamikus DNS-szolgáltatás használatát. Ellenkező esetben minden alkalommal módosítania kell a PPTP-kliens konfigurációját, amikor az Internet IP-címe megváltozik.
65

3. fejezet: Soros port, eszköz és felhasználói konfiguráció

3.12 Hívja haza
Minden konzolszerver tartalmazza a Call Home funkciót, amely elindítja a biztonságos SSH-alagút beállítását a konzolkiszolgálótól a központi Opengear Lighthouse-ig. A konzolszerver jelöltként regisztrál a Lighthouse-on. Az ottani elfogadást követően felügyelt konzolkiszolgálóvá válik.
A Lighthouse figyeli a felügyelt konzolkiszolgálót, a rendszergazdák pedig a Lighthouse-on keresztül érhetik el a távoli felügyelt konzolkiszolgálót. Ez a hozzáférés akkor is elérhető, ha a távoli konzolkiszolgáló harmadik fél tűzfala mögött van, vagy privát, nem irányítható IP-címekkel rendelkezik.

JEGYZET

A Lighthouse nyilvános kulccsal hitelesített SSH-kapcsolatokat tart fenn minden egyes felügyelt konzolkiszolgálójához. Ezeket a kapcsolatokat a felügyelt konzolkiszolgálók és a felügyelt konzolkiszolgálóhoz csatlakoztatott felügyelt eszközök figyelésére, irányítására és elérésére használják.

A helyi konzolkiszolgálók vagy a Lighthouse-ból elérhető konzolkiszolgálók kezeléséhez az SSH-kapcsolatokat a Lighthouse kezdeményezi.

A távoli konzolkiszolgálók, illetve a tűzfallal védett, nem irányítható vagy a Lighthouse-ból más módon elérhetetlen konzolkiszolgálók kezeléséhez az SSH-kapcsolatokat a Managed ConsoleServer kezdeményezi egy kezdeti Call Home kapcsolaton keresztül.

Ez biztosítja a biztonságos, hitelesített kommunikációt, és lehetővé teszi a Managed Console Servers egységek helyi LAN-on vagy távoli elosztását az egész világon.

3.12.1 A Call Home-jelölt beállítása A konzolszerver beállítása Call Home menedzsment jelöltként a Lighthouse-on:
1. A Soros és hálózat menüben válassza a Call Home lehetőséget

2. Ha még nem hozott létre vagy töltött fel SSH-kulcspárt ehhez a konzolszerverhez, tegye meg a folytatás előtt
3. Kattintson a Hozzáadás gombra

4. Adja meg a Lighthouse IP-címét vagy DNS-nevét (pl. dinamikus DNS-cím).
5. Adja meg a CMS-ben beállított jelszót a Call Home Password néven.
66

Felhasználói kézikönyv
6. Kattintson az Alkalmaz gombra. Ezek a lépések elindítják a Call Home kapcsolatot a konzolkiszolgálóról a Lighthouse-ra. Ez létrehoz egy SSHlistening portot a Lighthouse-on, és beállítja a konzolkiszolgálót jelöltként.
Miután a jelöltet elfogadták a Lighthouse-on, egy SSH-alagút a konzolkiszolgálóhoz visszairányít a Call Home kapcsolaton keresztül. A konzolkiszolgáló felügyelt konzolkiszolgálóvá vált, és a Lighthouse ezen az alagúton keresztül csatlakozhat hozzá, és figyelheti azt. 3.12.2 A Call Home jelölt elfogadása felügyelt konzolkiszolgálóként a Lighthouse-on Ez a szakasz áttekintést nyújtview a Lighthouse konfigurálásáról, hogy figyelje azokat a Lighthouse konzolszervereket, amelyek a Home Call segítségével csatlakoznak. További részletekért lásd a Lighthouse használati útmutatót:
1. Írjon be egy új otthoni hívási jelszót a Lighthouse-ba. Ez a jelszó az elfogadásra szolgál
Hívja a Homeconnections szolgáltatást a jelölt konzolszerverekről
2. A Lighthouse-hoz a konzolszerver tud kapcsolatba lépni, vagy statikus IP-címmel kell rendelkeznie
címet, vagy ha DHCP-t használ, akkor dinamikus DNS-szolgáltatás használatára kell beállítani
A Lighthouse Configure > Managed Console Servers képernyőjén látható a következő állapota:
helyi andremote Managed Console szerverek és jelöltek.
A Felügyelt konzolkiszolgálók részben láthatók a által felügyelt konzolkiszolgálók
Lighthouse.A Detected Console Servers szakasz a következőket tartalmazza:
o A Helyi konzolkiszolgálók legördülő menü, amely felsorolja az összes konzolkiszolgálót, amelyek a webhelyen találhatók
ugyanaz az alhálózat, mint a Lighthouse, és nem figyelik őket
67

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
o A Remote Console Servers (Távoli konzolkiszolgálók) legördülő menü, amely felsorolja az összes olyan konzolkiszolgálót, amelyik létrehozta a Call Home kapcsolatot, és amelyeket nem figyelnek meg (azaz jelöltek). A frissítéshez kattintson a Frissítés gombra
Ha egy konzolkiszolgáló jelöltet szeretne hozzáadni a Felügyelt konzolkiszolgáló listához, válassza ki azt a Távoli konzolkiszolgálók legördülő listából, majd kattintson a Hozzáadás gombra. Írja be az IP-címet és az SSH-portot (ha ezek a mezők nem lettek automatikusan kitöltve), és adjon meg egy Leírást és egyedi nevet a hozzáadni kívánt felügyelt konzolkiszolgálóhoz.
Adja meg a távoli gyökérjelszót (azaz ezen a felügyelt konzolkiszolgálón beállított rendszerjelszót). Ezt a jelszót használja a Lighthouse az automatikusan generált SSH-kulcsok terjesztésére, és nem tárolja. Kattintson az Alkalmaz gombra. A Lighthouse biztonságos SSH-kapcsolatokat hoz létre a felügyelt konzolkiszolgálóhoz és onnan, és lekéri a felügyelt eszközöket, a felhasználói fiók adatait és a konfigurált riasztásokat. 3.12.3 Otthon hívása egy általános központi SSH-kiszolgálóhoz Ha általános SSH-kiszolgálóhoz csatlakozik (nem a Lighthouse-hoz) Speciális beállításokat adhat meg: · Adja meg az SSH-kiszolgáló portját és az SSH-felhasználót. · Adja meg a létrehozandó SSH-portok adatait
A Listening Server kiválasztásával létrehozhat egy távoli portot a kiszolgálóról erre az egységre, vagy helyi portot továbbít erről az egységről a szerverre:
68

Felhasználói kézikönyv
· Adjon meg egy figyelési portot, ahonnan továbbítani szeretne, hagyja üresen ezt a mezőt egy nem használt port kiosztásához · Adja meg a célkiszolgálót és a célportot, amely a továbbított kapcsolatok címzettje lesz
3.13 IP Passthrough
Az IP Passthrough segítségével a modemkapcsolat (pl. a belső cellás modem) úgy jelenjen meg, mint egy normál Ethernet-kapcsolat egy harmadik féltől származó downstream routerhez, lehetővé téve a downstream router számára, hogy a modemkapcsolatot elsődleges vagy tartalék WAN interfészként használja.
Az Opengear eszköz DHCP-n keresztül biztosítja a modem IP-címét és DNS-adatait a downstream eszköznek, és továbbítja a hálózati forgalmat a modemnek és az útválasztónak, illetve onnan.
Míg az IP Passthrough az Opengear-t modem-Ethernet félhíddá alakítja, egyes 4. rétegbeli szolgáltatások (HTTP/HTTPS/SSH) leállhatnak az Opengear-en (Service Intercepts). Az Opengear-en futó szolgáltatások a továbbmenő útválasztótól függetlenül is kezdeményezhetnek kimenő cellás kapcsolatokat.
Ez lehetővé teszi, hogy az Opengear továbbra is használható legyen sávon kívüli kezelésre és riasztásra, valamint a Lighthouse-on keresztül is felügyelhető, miközben IP Passthrough módban van.
3.13.1 A downstream útválasztó beállítása A feladatátvételi kapcsolat használatához a downstream útválasztón (más néven Failover to Cellular vagy F2C) két vagy több WAN interfésszel kell rendelkeznie.
MEGJEGYZÉS A feladatátvételt az IP Passthrough kontextusban a downstream útválasztó hajtja végre, és az Opengear beépített sávon kívüli feladatátvételi logikája nem érhető el IP Passthrough módban.
Csatlakoztasson egy Ethernet WAN interfészt a downstream útválasztón az Opengear hálózati interfészéhez vagy felügyeleti LAN-portjához egy Ethernet-kábellel.
Állítsa be ezt az interfészt a downstream útválasztón, hogy a hálózati beállításokat DHCP-n keresztül kapja meg. Ha feladatátvételre van szükség, konfigurálja a downstream útválasztót az elsődleges interfész és az Opengearhez csatlakoztatott Ethernet-port közötti feladatátvételhez.
3.13.2 IP Passthrough előzetes konfigurálása Az IP Passthrough engedélyezésének előfeltételei a következők:
1. Állítsa be a hálózati interfészt és adott esetben a Management LAN interfészt statikus hálózati beállításokkal. · Kattintson a Soros és hálózat > IP elemre. · A Hálózati interfészhez és adott esetben a Management LAN-hoz válassza a Static lehetőséget a Konfigurációs módszernél, és adja meg a hálózati beállításokat (a részletes utasításokért lásd a Hálózati konfiguráció című részt). · A lefelé irányuló útválasztóhoz csatlakoztatott interfészhez bármilyen dedikált magánhálózatot választhat, ez a hálózat csak az Opengear és a downstream útválasztó között létezik, és általában nem érhető el. · A másik interfészhez úgy állítsa be, ahogy a helyi hálózaton tenné. · Mindkét interfész esetében hagyja üresen az átjárót.
2. Állítsa be a modemet Always On Out-of-band módban.
69

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
· Mobilkapcsolathoz kattintson a Rendszer > Tárcsázás: Belső cellás modem elemre. · Válassza az Enable Dial-Out lehetőséget, és adja meg a szolgáltató adatait, például az APN-t (lásd a Cellular Modem részt
Csatlakozás a részletes utasításokhoz). 3.13.3 IP Passthrough konfiguráció Az IP Passthrough konfigurálásához:
· Kattintson a Soros és hálózat > IP Passthrough elemre, és jelölje be az Engedélyezést. · Válassza ki az Opengear modemet az upstream csatlakozáshoz. · Opcionálisan adja meg a downstream router csatlakoztatott interfészének MAC-címét. Ha a MAC cím
nincs megadva, az Opengear áthalad az első DHCP-címet kérő downstream eszközhöz. · Válassza ki az Opengear Ethernet interfészt a downstream routerhez való csatlakozáshoz.
· Kattintson az Alkalmaz gombra. 3.13.4 Szolgáltatás elfogások Ezek lehetővé teszik az Opengear számára, hogy továbbra is szolgáltatásokat nyújtson, plample, a sávon kívüli kezeléshez, amikor IP-áteresztő módban van. A megadott elfogóport(ok)on a modemcímhez fűződő kapcsolatokat az Opengear kezeli, ahelyett, hogy átmenne a downstream útválasztóhoz.
· A szükséges HTTP, HTTPS vagy SSH szolgáltatáshoz jelölje be az Engedélyezést
továbbra is lehetővé kívánja tenni, hogy a downstream router elérhető maradjon a szokásos portján keresztül. 3.13.5 IP Passthrough állapot Frissítse az oldalt erre view az Állapot részt. Megjeleníti a modem áthaladó külső IP-címét, a downstream útválasztó belső MAC-címét (csak akkor tölti ki, ha a downstream útválasztó elfogadja a DHCP-bérletet), valamint az IP Passthrough szolgáltatás általános működési állapotát. Figyelmeztetést kaphat a downstream útválasztó feladatátvételi állapotára, ha konfigurál egy irányított adathasználati ellenőrzést az Alerts & Logging > Auto-Response alatt. 3.13.6 Figyelmeztetések Előfordulhat, hogy egyes downstream útválasztók nem kompatibilisek az átjáró útvonalával. Ez akkor fordulhat elő, ha az IP Passthrough egy 3G mobilhálózatot hidat, ahol az átjáró címe pont-pont célcím, és nem állnak rendelkezésre alhálózati információk. Az Opengear 255.255.255.255 DHCP hálózati maszkot küld. Az eszközök ezt általában egyetlen gazdagép útvonalként értelmezik az interfészen, de néhány régebbi, későbbi eszközön problémák adódhatnak.
70

Felhasználói kézikönyv
A helyi szolgáltatások elfogásai nem működnek, ha az Opengear a modemtől eltérő alapértelmezett útvonalat használ. Ezenkívül csak akkor fognak működni, ha a szolgáltatás engedélyezve van, és a szolgáltatáshoz való hozzáférés engedélyezve van (lásd: Rendszer > Szolgáltatások, a Szolgáltatás hozzáférés lapján keresse meg a Dialout/Cellular lehetőséget).
Az Opengeartől a távoli szolgáltatások felé kimenő kapcsolatok támogatottak (pl. SMTP e-mail riasztások küldése, SNMP csapdák, NTP idő lekérése, IPSec alagutak). Fennáll a kapcsolat meghibásodásának csekély kockázata, ha mind az Opengear, mind a lefelé irányuló eszköz ugyanazon a távoli gazdagépen ugyanazon az UDP- vagy TCP-porthoz próbál egyszerre hozzáférni, amikor véletlenszerűen ugyanazt a helyi portszámot választották.
3.14 Konfiguráció DHCP-n keresztül (ZTP)
Az Opengear eszközök a DHCPv4- vagy DHCPv6-szerverről történő kezdeti rendszerindításkor a config-over-DHCP használatával biztosíthatók. A nem megbízható hálózatokon való kiépítés megkönnyíthető, ha USB flash meghajtón biztosít kulcsokat. A ZTP funkció használható firmware-frissítés végrehajtására is a hálózathoz való kezdeti csatlakozáskor, vagy a Lighthouse 5 példányba való regisztrációhoz.
Előkészületek A megbízható hálózaton keresztüli konfiguráció tipikus lépései a következők:
1. Konfiguráljon egy azonos típusú Opengear eszközt. 2. Mentse el a konfigurációját Opengear biztonsági másolatként (.opg) file. 3. Válassza a Rendszer > Konfiguráció biztonsági mentése > Távoli biztonsági mentés lehetőséget. 4. Kattintson a Biztonsági másolat mentése gombra. Egy tartalék konfiguráció file — model-name_iso-format-date_config.opg — letöltődik az Opengear eszközről a helyi rendszerre. A konfigurációt elmentheti xml-ként file: 1. Válassza a System > Configuration Backup > XML Configuration menüpontot. Szerkeszthető mező, amely tartalmazza a
konfigurációt file XML formátumban jelenik meg. 2. Kattintson a mezőre az aktiváláshoz. 3. Ha bármilyen böngészőt futtat Windows vagy Linux rendszeren, kattintson a jobb gombbal, és válassza az Összes kijelölése lehetőséget
helyi menüben, vagy nyomja meg a Control-A billentyűt. Kattintson a jobb gombbal, és válassza a Másolás parancsot a helyi menüből, vagy nyomja meg a Ctrl-C billentyűkombinációt. 4. Ha bármilyen böngészőt használ macOS rendszeren, válassza a Szerkesztés > Összes kijelölése parancsot, vagy nyomja le a Command-A billentyűkombinációt. Válassza a Szerkesztés > Másolás parancsot, vagy nyomja le a Command-C billentyűkombinációt. 5. A kívánt szövegszerkesztőben hozzon létre egy új üres dokumentumot, illessze be a másolt adatokat az üres dokumentumba, és mentse el a file. Bármi file-név, amelyet választott, tartalmaznia kell az .xml fájlt filenév utótag. 6. Másolja ki a mentett .opg vagy .xml fájlt file egy nyilvános címtárba a file szerver, amely a következő protokollok legalább egyikét szolgálja ki: HTTPS, HTTP, FTP vagy TFTP. (Csak a HTTPS használható, ha a kapcsolat a file szerver és egy konfigurálandó Opengear eszköz egy nem megbízható hálózaton utazik.). 7. Állítsa be a DHCP-kiszolgálót úgy, hogy az Opengear eszközökhöz tartalmazzon egy „szállító specifikus” opciót. (Ez DHCP-szerver-specifikus módon történik.) A szállítóspecifikus beállítást olyan karakterláncra kell beállítani, amely tartalmazza a URL a közzétett .opg vagy .xml fájlból file a fenti lépésben. A beállítási karakterlánc nem haladhatja meg a 250 karaktert, és .opg-re vagy .xml-re kell végződnie.
71

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
8. Csatlakoztasson egy új Opengear eszközt, akár gyárilag visszaállított, akár törölt konfigurációt, a hálózathoz, és kapcsolja be a tápfeszültséget. Akár 5 percig is eltarthat, amíg az eszköz újraindul.
Example ISC DHCP (dhcpd) szerver konfiguráció
A következő egy example DHCP szerver konfigurációs töredék egy .opg konfigurációs kép kiszolgálásához az ISC DHCP szerveren keresztül, dhcpd:
opció tér nyitható hajtómű kód szélesség 1 hossz szélesség 1; opció opengear.config-url kód 1 = szöveg; class "opengear-config-over-dhcp-test" {
match if opció vendor-class-identifier ~~ “^Opengear/”; eladó-opció-tér nyitószerkezet; opció opengear.config-url „https://example.com/opg/${class}.opg”; }
Ez a beállítás módosítható a konfigurációs kép frissítéséhez az opengear.image-url opciót, és megad egy URI-t a firmware lemezképhez.
Beállítás, ha a LAN nem megbízható Ha a kapcsolat a file szerver és egy konfigurálandó Opengear eszköz nem megbízható hálózatot tartalmaz, a kétkezes megközelítés enyhítheti a problémát.
MEGJEGYZÉS Ez a megközelítés két olyan fizikai lépést vezet be, ahol a bizalom teljes megalapítása nehéz, ha nem lehetetlen. Először is, a felügyeleti lánc az adathordozó USB flash meghajtó létrehozásától a telepítésig. Másodszor, az USB flash meghajtót az Opengear eszközhöz csatlakoztató kezek.
· X.509 tanúsítvány létrehozása az Opengear eszközhöz.
· Összefűzi a tanúsítványt és a hozzá tartozó privát kulcsot egyetlen egybe file nevű kliens.pem.
· Másolja a client.pem fájlt egy USB flash meghajtóra.
· Állítson be egy HTTPS-kiszolgálót úgy, hogy hozzáférjen az .opg vagy az .xml fájlokhoz file Azokra az ügyfelekre korlátozódik, amelyek képesek biztosítani a fent generált X.509 ügyféltanúsítványt.
· Helyezze el a HTTP-kiszolgáló tanúsítványát aláíró CA-tanúsítvány egy példányát – ca-bundle.crt – a client.pem fájlt hordozó USB flash meghajtóra.
· A tápfeszültség vagy a hálózat csatlakoztatása előtt helyezze be az USB flash meghajtót az Opengear eszközbe.
· Folytassa az eljárást a `Másolja a mentett .opg vagy .xml fájlt file egy nyilvános címtárba a file szerver” fentebb, a kliens és a szerver közötti HTTPS protokoll használatával.
Készítsen elő egy USB-meghajtót, és hozza létre az X.509 tanúsítványt és a privát kulcsot
· A CA-tanúsítvány létrehozása az ügyfél és a szerver tanúsítvány-aláíró kérelmei (CSR) aláírásához.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > plampleCA/serial # echo 00 > plampleCA/crlnumber # érintse meg plampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=PlampleCA # cp demoCA/cacert.pem ca-bundle.crt
Ez az eljárás egy Ex nevű tanúsítványt generálampleCA, de bármilyen engedélyezett tanúsítványnév használható. Ezenkívül ez az eljárás az openssl kb. Ha szervezete rendelkezik az egész vállalatra kiterjedő, biztonságos hitelesítésszolgáltató-generálási folyamattal, ezt használja helyette.
72

Felhasználói kézikönyv
· Szervertanúsítvány létrehozása.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-kulcsfontosságúfile ca.key -policy policy_anything -batch -notext
MEGJEGYZÉS A gazdagépnévnek vagy IP-címnek meg kell egyeznie a kiszolgálásban használt karakterlánccal URL. Az exampfentebb, a gazdagép neve demo.example.com.
· Az ügyféltanúsítvány létrehozása.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-kulcsfontosságúfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formázza meg az USB flash meghajtót egyetlen FAT32 kötetként.
· Helyezze át a client.pem és a ca-bundle.crt fájlokat files a flash meghajtó gyökérkönyvtárába.
ZTP-problémák hibakeresése Használja a ZTP-napló szolgáltatást a ZTP-problémák elhárításához. Amíg az eszköz ZTP-műveleteket próbál végrehajtani, a naplóinformációk a /tmp/ztp.log fájlba íródnak az eszközön.
A következő egy example a rönk file sikeres ZTP-futásból.
# cat /tmp/ztp.log, szerda, december 13, 22:22:17 UTC 2017 [5127-es értesítés] odhcp6c.eth0: konfiguráció visszaállítása DHCP-n keresztül, szerda, december 13., 22:22:17 UTC 2017 [5127-es értesítés] odhcp6c.eth0 a hálózat rendezésére: 10. december 13. szerda 22:22:27 UTC [2017-es értesítés] odhcp5127c.eth6: NTP kihagyva: nincs szerver Wed Dec 0 13:22:22 UTC 27 [2017 info] odhcp5127c.eth6:0 =dorspeth1:07 http://[fd2218:1350:44:1::13]/tftpboot/config.sh' Sze, december 22. 22:27:2017 UTC 5127 [6 info] odhcp0c.eth2: vendorspec.13 (n/a) Sze 22. december 22. 27:2017:5127 UTC [6 info] odhcp0c.eth3: vendorspec.13 (n/a) Wed Dec 22, 22:27:2017 UTC 5127 [6 info] odhcp0c.eth4: vendors/ac.13 ) Wed Dec 22, 22:27:2017 UTC 5127 [6 info] odhcp0c.eth5: vendorspec.13 (n/a) Wed Dec 22, 22:28:2017 UTC 5127 [6 info] odhcp0c.ethc: vendornspec6: /a) December 13., szerda, 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: nincs letölthető firmware (vendorspec.2) biztonsági mentés-url: próbálkozás http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: wan config mód DHCP biztonsági mentésre kényszerítése-url: a gazdagépnév beállítása acm7004-0013c601ce97 biztonsági másolat-url: sikeres volt a betöltés Wed Dec 13 22:22:36 UTC 2017 [5127 notice] odhcp6c.eth0: sikeres konfiguráció betöltés Wed Dec 13 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: nincs világítótorony konfiguráció (3/dorspe.c konfiguráció 4/5/6) Szerda, december 13. 22:22:36 UTC 2017 [5127-es értesítés] odhcp6c.eth0: a kiépítés befejeződött, nincs újraindítás
A hibákat a napló rögzíti.
3.15 Jelentkezés a Lighthouse-ba
Használja az Enrollment to Lighthouse funkciót az Opengear eszközök Lighthouse-példányba való regisztrálásához, amely központi hozzáférést biztosít a konzolportokhoz, és lehetővé teszi az Opengear eszközök központi konfigurálását.
Tekintse meg a Lighthouse felhasználói kézikönyvet az Opengear eszközök Lighthouse programba való regisztrálásához.
73

3. fejezet: Soros port, eszköz és felhasználói konfiguráció
3.16 DHCPv4 Relay engedélyezése
A DHCP-közvetítő szolgáltatás továbbítja a DHCP-csomagokat az ügyfelek és a távoli DHCP-kiszolgálók között. A DHCP továbbítási szolgáltatás engedélyezhető egy Opengear konzolszerveren, így az meghallgatja a DHCP klienseket a kijelölt alsó interfészeken, becsomagolja és továbbítja üzeneteiket a DHCP-kiszolgálókra normál útválasztással, vagy közvetlenül a kijelölt felső interfészekre sugároz. A DHCP közvetítő ügynök így fogadja a DHCP üzeneteket, és létrehoz egy új DHCP üzenetet, amelyet egy másik interfészen küld el. Az alábbi lépésekben a konzolszerverek kapcsolódhatnak áramkörazonosítókhoz, Ethernet- vagy cellás modemekhez a DHCPv4 Relay szolgáltatás használatával.
DHCPv4 Relay + DHCP 82-es opció (áramkörazonosító) Infrastruktúra – Helyi DHCP-szerver, ACM7004-5 a közvetítéshez, minden egyéb eszköz a kliensek számára. Reléként bármely LAN szerepkörrel rendelkező eszköz használható. Ebben az example, a 192.168.79.242 a kliens közvetített interfészének címe (a DHCP szerver konfigurációjában meghatározottak szerint file fent), a 192.168.79.244 pedig a közvetítődoboz felső interfészcíme, az enp112s0 pedig a DHCP-kiszolgáló downstream interfésze.
1 Infrastruktúra – DHCPv4 relé + DHCP 82. opció (áramkörazonosító)
Lépések a DHCP-kiszolgálón 1. Állítsa be a helyi DHCP v4-kiszolgálót, különösen, hogy a DHCP-kliens számára tartalmazzon egy „host” bejegyzést az alábbiak szerint: host cm7116-2-dac { # hardver ethernet 00:13:C6:02:7E :41; host-identifier opció agent.circuit-id “relay1”; állandó cím 192.168.79.242; } Megjegyzés: a „hardware ethernet” sor ki van jelölve, így a DHCP-szerver a „circuit-id” beállítást használja a megfelelő kliens címének hozzárendeléséhez. 2. Indítsa újra a DHCP-kiszolgálót a megváltozott konfiguráció újratöltéséhez file. pkill -HUP dhcpd
74

Felhasználói kézikönyv
3. Manuálisan adjon hozzá egy gazdagép útvonalat a kliens „közvetített” interfészéhez (a DHCP relé mögötti interfész, nem pedig más interfészek, amelyekkel a kliens is rendelkezhet:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Ez segít elkerülni az aszimmetrikus útválasztási problémát, amikor a kliens és a DHCP-szerver a kliens közvetített interfészén keresztül szeretné elérni egymást, ha a kliensnek más interfészek is vannak ugyanabban a DHCP címkészlet alhálózata.
Megjegyzés: Ez a lépés elengedhetetlen ahhoz, hogy a dhcp szerver és a kliens hozzáférhessen egymáshoz.
A relédoboz lépései – ACM7004-5
1. Állítsa be a WAN/eth0-t statikus vagy dhcp módban (nem konfigurálatlan módban). Ha statikus módban van, akkor IP-címmel kell rendelkeznie a DHCP-kiszolgáló címkészletében.
2. Alkalmazza ezt a konfigurációt a CLI-n keresztül (ahol a 192.168.79.1 a DHCP-kiszolgáló címe)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config. .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelayupper.1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. A DHCP relé alsó interfészének statikus IP-címmel kell rendelkeznie a DHCP szerver címkészletében. Ebben az example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.disableds. -r ipconfig
4. Várjon egy kicsit, amíg az ügyfél megszerzi a DHCP-bérletet a közvetítőn keresztül.
Lépések a kliensre (CM7116-2-dac ebben a plample vagy bármely más OG CS)
1. Csatlakoztassa a kliens LAN/eth1-jét a relé LAN/eth1-jéhez 2. Állítsa be a kliens LAN-ját úgy, hogy a szokásos módon kapja meg az IP-címet DHCP-n keresztül. 3. Miután a clie

Dokumentumok / Források

opengear ACM7000 Remote Site Gateway [pdf] Felhasználói kézikönyv
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Hivatkozások

Felhasználói kézikönyv

opengear ACM7000 Remote Site Gateway

Termékinformáció

A termék használati útmutatója

GYIK

Ez a kézikönyv

Rendszerkonfiguráció

Soros port, gazdagép, eszköz és felhasználói konfiguráció

Dokumentumok / Források

Hivatkozások

Hagyj megjegyzést

Válasz visszavonása