Panduan Pengguna Gerbang Situs Jarak Jauh opengear ACM7000

Jangan sambungkan atau putuskan sambungan server konsol saat terjadi badai listrik. Selalu gunakan penekan lonjakan arus atau UPS untuk melindungi peralatan dari gangguan sementara.

Peringatan FCC:

Perangkat ini mematuhi Bagian 15 peraturan FCC. Pengoperasian perangkat ini tunduk pada ketentuan berikut: (1) Perangkat ini tidak boleh menimbulkan interferensi berbahaya, dan (2) perangkat ini harus menerima interferensi apa pun yang dapat menyebabkan pengoperasian yang tidak diinginkan.

Tanya Jawab Umum

T: Dapatkah saya menggunakan Remote Site Gateway ACM7000 saat terjadi badai petir?
- A: Tidak, disarankan untuk tidak menyambungkan atau memutuskan sambungan server konsol selama terjadi badai listrik untuk mencegah kerusakan.

T: Versi aturan FCC apa yang dipatuhi perangkat?
- A: Perangkat mematuhi Bagian 15 dari aturan FCC.

View Fullscreen

Panduan Pengguna
Gerbang Situs Jarak Jauh ACM7000 Gerbang Ketahanan ACM7000-L Manajer Infrastruktur IM7200 Server Konsol CM7100
Versi 5.0 – 2023-12

Keamanan
Ikuti tindakan pencegahan keselamatan di bawah ini saat memasang dan mengoperasikan server konsol: · Jangan melepas penutup logam. Tidak ada komponen yang dapat diservis operator di dalamnya. Membuka atau melepas penutup dapat membuat Anda terkena vol berbahayatage yang dapat menyebabkan kebakaran atau sengatan listrik. Rujuk semua servis ke personel Opengear yang berkualifikasi. · Untuk menghindari sengatan listrik, konduktor ground pelindung kabel listrik harus dihubungkan melalui ground. · Selalu tarik stekernya, bukan kabelnya, saat melepaskan kabel daya dari stopkontak.
Jangan sambungkan atau putuskan sambungan server konsol saat terjadi badai listrik. Gunakan juga penekan lonjakan arus atau UPS untuk melindungi peralatan dari gangguan sementara.
Pernyataan Peringatan FCC
Perangkat ini mematuhi Bagian 15 peraturan FCC. Pengoperasian perangkat ini tunduk pada hal berikut
ketentuan: (1) Perangkat ini tidak boleh menimbulkan interferensi berbahaya, dan (2) perangkat ini harus menerima interferensi apa pun yang dapat menyebabkan pengoperasian yang tidak diinginkan.
Sistem cadangan yang tepat dan perangkat keselamatan yang diperlukan harus digunakan untuk melindungi dari cedera, kematian, atau kerusakan properti akibat kegagalan sistem. Perlindungan tersebut merupakan tanggung jawab pengguna. Perangkat server konsol ini tidak disetujui untuk digunakan sebagai sistem pendukung kehidupan atau medis. Setiap perubahan atau modifikasi yang dilakukan pada perangkat server konsol ini tanpa persetujuan eksplisit atau izin dari Opengear akan membatalkan tanggung jawab atau tanggung jawab Opengear atas cedera atau kehilangan yang disebabkan oleh kegagalan fungsi apa pun. Peralatan ini untuk penggunaan di dalam ruangan dan semua kabel komunikasi dibatasi hanya di dalam gedung.
2

Panduan Pengguna
Hak cipta
©Opengear Inc. 2023. Semua Hak Dilindungi Undang-Undang. Informasi dalam dokumen ini dapat berubah tanpa pemberitahuan dan tidak mewakili komitmen Opengear. Opengear menyediakan dokumen ini “sebagaimana adanya,” tanpa jaminan apa pun, tersurat maupun tersirat, termasuk, namun tidak terbatas pada, jaminan tersirat mengenai kesesuaian atau kelayakan untuk diperdagangkan untuk tujuan tertentu. Opengear dapat melakukan perbaikan dan/atau perubahan pada manual ini atau pada produk dan/atau program yang dijelaskan dalam manual ini kapan saja. Produk ini mungkin mengandung ketidakakuratan teknis atau kesalahan ketik. Perubahan dilakukan secara berkala terhadap informasi di sini; perubahan ini dapat dimasukkan dalam edisi baru publikasi ini.\

Bab 1

Manual ini

PANDUAN INI

Panduan Pengguna ini menjelaskan cara menginstal, mengoperasikan, dan mengelola server konsol Opengear. Panduan ini mengasumsikan Anda sudah familiar dengan Internet dan jaringan IP, HTTP, FTP, operasi keamanan dasar, dan jaringan internal organisasi Anda.
1.1 Jenis pengguna
Server konsol mendukung dua kelas pengguna:
· Administrator yang memiliki hak konfigurasi dan manajemen tak terbatas melalui konsol
server dan perangkat yang terhubung serta semua layanan dan port untuk mengontrol semua perangkat yang terhubung secara serial dan perangkat yang terhubung ke jaringan (host). Administrator diatur sebagai anggota grup pengguna admin. Administrator dapat mengakses dan mengontrol server konsol menggunakan utilitas konfigurasi, baris perintah Linux, atau Konsol Manajemen berbasis browser.
· Pengguna yang telah diatur oleh administrator dengan batasan otoritas akses dan kontrolnya.
Pengguna memiliki keterbatasan view dari Konsol Manajemen dan hanya dapat mengakses perangkat terkonfigurasi yang diotorisasi dan sebagainyaview log pelabuhan. Pengguna ini diatur sebagai anggota dari satu atau lebih grup pengguna yang telah dikonfigurasi sebelumnya seperti PPTPD, dialin, FTP, pmshell, pengguna, atau grup pengguna yang mungkin telah dibuat oleh administrator. Mereka hanya berwenang untuk melakukan kontrol tertentu pada perangkat tertentu yang terhubung. Pengguna, bila diotorisasi, dapat mengakses dan mengontrol perangkat yang terhubung serial atau jaringan menggunakan layanan tertentu (misalnya Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Pengguna jarak jauh adalah pengguna yang tidak berada pada segmen LAN yang sama dengan server konsol. Pengguna jarak jauh mungkin sedang dalam perjalanan menghubungkan ke perangkat yang dikelola melalui Internet publik, administrator di kantor lain yang terhubung ke server konsol melalui VPN perusahaan, atau di ruangan yang sama atau kantor yang sama tetapi terhubung pada VLAN terpisah ke konsol server.
1.2 Konsol Manajemen
Konsol Manajemen Opengear memungkinkan Anda mengonfigurasi dan memantau fitur server konsol Opengear Anda. Konsol Manajemen berjalan di browser dan menyediakan a view server konsol dan semua perangkat yang terhubung. Administrator dapat menggunakan Konsol Manajemen untuk mengonfigurasi dan mengelola server konsol, pengguna, port, host, perangkat listrik, serta log dan peringatan terkait. Pengguna non-admin dapat menggunakan Konsol Manajemen dengan akses menu terbatas untuk mengontrol perangkat tertentu, misalnyaview log mereka, dan mengaksesnya menggunakan bawaan Web terminal.
Server konsol menjalankan sistem operasi Linux tertanam, dan dapat dikonfigurasi pada baris perintah. Anda bisa mendapatkan akses baris perintah melalui seluler / dial-in, menghubungkan langsung ke port serial konsol/modem server konsol, atau dengan menggunakan SSH atau Telnet untuk terhubung ke server konsol melalui LAN (atau menghubungkan dengan PPTP, IPsec atau OpenVPN) .
6

Panduan Pengguna
Untuk perintah antarmuka baris perintah (CLI) dan instruksi lanjutan, unduh Opengear CLI dan Referensi Skrip.pdf dari https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Informasi lebih lanjut
Untuk informasi lebih lanjut, konsultasikan: · Produk Opengear Web Situs: Lihat https://opengear.com/products. Untuk mendapatkan informasi terkini tentang apa yang disertakan dengan server konsol Anda, kunjungi bagian Apa yang disertakan untuk produk khusus Anda. · Panduan Memulai Cepat: Untuk mendapatkan Panduan Memulai Cepat untuk perangkat Anda, lihat https://opengear.com/support/documentation/. · Basis Pengetahuan Opengear: Kunjungi https://opengear.zendesk.com untuk mengakses artikel petunjuk teknis, kiat teknologi, FAQ, dan pemberitahuan penting. · Opengear CLI dan Referensi Skrip: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Bab 2:

Konfigurasi Sistem

SISTEM KONFIGURASI

Bab ini memberikan petunjuk langkah demi langkah untuk konfigurasi awal server konsol Anda dan menghubungkannya ke LAN Manajemen atau Operasional. Langkah-langkahnya adalah:
Aktifkan Konsol Manajemen. Ubah kata sandi administrator. Tetapkan port LAN utama server konsol alamat IP. Pilih layanan yang akan diaktifkan dan hak akses. Bab ini juga membahas perangkat lunak komunikasi yang dapat digunakan administrator untuk mengakses server konsol, dan konfigurasi port LAN tambahan.
2.1 Koneksi Konsol Manajemen
Server konsol Anda dikonfigurasi dengan Alamat IP default 192.168.0.1 dan subnet mask 255.255.255.0 untuk NET1 (WAN). Untuk konfigurasi awal, kami menyarankan Anda menghubungkan komputer langsung ke konsol. Jika Anda memilih untuk menyambungkan LAN sebelum menyelesaikan langkah pengaturan awal, pastikan bahwa:
· Tidak ada perangkat lain di LAN dengan alamat 192.168.0.1. · Server konsol dan komputer berada pada segmen LAN yang sama, tanpa router yang disisipkan
peralatan.
2.1.1 Pengaturan komputer yang terhubung Untuk mengkonfigurasi server konsol dengan browser, komputer yang terhubung harus memiliki alamat IP dalam kisaran yang sama dengan server konsol (misalnyaample, 192.168.0.100):
· Untuk mengkonfigurasi Alamat IP komputer Linux atau Unix Anda, jalankan ifconfig. · Untuk PC Windows:
1. Klik Mulai > Pengaturan > Panel Kontrol dan klik dua kali Koneksi Jaringan. 2. Klik kanan pada Local Area Connection dan pilih Properties. 3. Pilih Protokol Internet (TCP/IP) dan klik Properti. 4. Pilih Gunakan alamat IP berikut dan masukkan rincian berikut:
o Alamat IP: 192.168.0.100 o Subnet mask: 255.255.255.0 5. Jika Anda ingin mempertahankan pengaturan IP yang ada untuk koneksi jaringan ini, klik Lanjutan dan Tambahkan yang di atas sebagai koneksi IP sekunder.
2.1.2 Koneksi peramban
Buka browser di PC/workstation yang terhubung dan masuk ke https://192.168.0.1.
Masuk dengan:
Nama pengguna> kata sandi root> default
8

Panduan Pengguna
Saat pertama kali login, Anda diharuskan mengganti password root. Klik Kirim.
Untuk menyelesaikan perubahan, masukkan kembali kata sandi baru. Klik Kirim. Layar Selamat Datang muncul.
Jika sistem Anda memiliki modem seluler, Anda akan diberikan langkah-langkah untuk mengkonfigurasi fitur router seluler: · Konfigurasikan koneksi modem seluler (Sistem > halaman Dial. Lihat Bab 4) · Izinkan penerusan ke jaringan tujuan seluler (sistem > halaman Firewall. Lihat Bab 4) · Aktifkan penyamaran IP untuk koneksi seluler (Halaman Sistem > Firewall. Lihat Bab 4)
Setelah menyelesaikan setiap langkah di atas, Anda dapat kembali ke daftar konfigurasi dengan mengklik logo Opengear di pojok kiri atas layar. CATATAN Jika Anda tidak dapat menyambung ke Konsol Manajemen di 192.168.0.1 atau jika default
Nama Pengguna / Kata Sandi tidak diterima, setel ulang server konsol Anda (Lihat Bab 10).
9

Bab 2: Konfigurasi Sistem
2.2 Pengaturan Administrator
2.2.1 Mengubah Kata Sandi Sistem root default Anda diharuskan mengubah kata sandi root saat pertama kali masuk ke perangkat. Anda dapat mengubah kata sandi ini kapan saja.
1. Klik Serial & Jaringan > Pengguna & Grup atau, pada layar Selamat Datang, klik Ubah kata sandi administrasi default.
2. Gulir ke bawah dan temukan entri pengguna root di bawah Pengguna dan klik Edit. 3. Masukkan kata sandi baru di kolom Kata Sandi dan Konfirmasi.
CATATAN Memeriksa Simpan Kata Sandi pada penghapusan firmware akan menyimpan kata sandi sehingga tidak terhapus saat firmware direset. Jika kata sandi ini hilang, firmware perangkat perlu dipulihkan.
4. Klik Terapkan. Masuk dengan kata sandi baru 2.2.2 Siapkan administrator baru Buat pengguna baru dengan hak administratif dan masuk sebagai pengguna ini untuk fungsi administrasi, daripada menggunakan root.
10

Panduan Pengguna
1. Klik Serial & Jaringan > Pengguna & Grup. Gulir ke bagian bawah halaman dan klik tombol Tambah Pengguna.
2. Masukkan Nama Pengguna. 3. Di bagian Grup, centang kotak admin. 4. Masukkan kata sandi di kolom Kata Sandi dan Konfirmasi.
5. Anda juga dapat menambahkan Kunci Resmi SSH dan memilih Nonaktifkan Otentikasi Kata Sandi untuk pengguna ini.
6. Opsi tambahan untuk pengguna ini dapat diatur di halaman ini termasuk Opsi Dial-in, Host yang Dapat Diakses, Port yang Dapat Diakses, dan Outlet RPC yang Dapat Diakses.
7. Klik tombol Terapkan di bagian bawah layar untuk membuat pengguna baru ini.
11

Bab 2: Konfigurasi Sistem
2.2.3 Tambahkan Nama Sistem, Deskripsi Sistem, dan MOTD. 1. Pilih Sistem > Administrasi. 2. Masukkan Nama Sistem dan Deskripsi Sistem untuk server konsol guna memberikan ID unik dan membuatnya lebih mudah diidentifikasi. Nama Sistem dapat berisi 1 hingga 64 karakter alfanumerik dan karakter khusus garis bawah (_), minus (-), dan titik (.). Deskripsi Sistem dapat berisi hingga 254 karakter.
3. Spanduk MOTD dapat digunakan untuk menampilkan pesan teks hari ini kepada pengguna. Itu muncul di kiri atas layar di bawah logo Opengear.
4. Klik Terapkan.
12

Bab 2: Konfigurasi Sistem
5. Pilih Sistem > Administrasi. 6. Spanduk MOTD dapat digunakan untuk menampilkan pesan teks hari ini kepada pengguna. Tampaknya di
kiri atas layar di bawah logo Opengear. 7. Klik Terapkan.
2.3 Konfigurasi Jaringan
Masukkan alamat IP untuk port Ethernet utama (LAN/Jaringan/Jaringan1) di server konsol atau aktifkan klien DHCP-nya untuk secara otomatis mendapatkan alamat IP dari server DHCP. Secara default, server konsol mengaktifkan klien DHCP dan secara otomatis menerima alamat IP jaringan apa pun yang ditetapkan oleh server DHCP di jaringan Anda. Dalam keadaan awal ini, server konsol akan merespons alamat Statis default 192.168.0.1 dan alamat DHCP-nya.
1. Klik Sistem > IP dan klik tab Antarmuka Jaringan. 2. Pilih DHCP atau Statis untuk Metode Konfigurasi.
Jika Anda memilih Statis, masukkan Alamat IP, Subnet Mask, Gateway, dan detail server DNS. Pilihan ini menonaktifkan klien DHCP.
12

Panduan Pengguna
3. Port LAN server konsol secara otomatis mendeteksi kecepatan koneksi Ethernet. Gunakan daftar drop-down Media untuk mengunci Ethernet ke 10 Mb/s atau 100Mb/s dan ke Full Duplex atau Half Duplex.
Jika Anda mengalami kehilangan paket atau kinerja jaringan yang buruk dengan pengaturan Otomatis, ubah pengaturan Media Ethernet di server konsol dan perangkat yang terhubung dengannya. Dalam kebanyakan kasus, ubah keduanya menjadi 100baseTx-FD (100 megabit, full duplex).
4. Jika Anda memilih DHCP, server konsol akan mencari rincian konfigurasi dari server DHCP. Pilihan ini menonaktifkan alamat statis apa pun. Alamat MAC server konsol dapat ditemukan pada label di pelat dasar.
5. Anda dapat memasukkan alamat sekunder atau daftar alamat yang dipisahkan koma dalam notasi CIDR, misalnya 192.168.1.1/24 sebagai IP Alias.
6. Klik Apply 7. Hubungkan kembali browser di komputer yang terhubung ke server konsol dengan cara enter
http://your new IP address.
Jika Anda mengubah alamat IP server konsol, Anda perlu mengkonfigurasi ulang komputer Anda agar memiliki alamat IP dalam rentang jaringan yang sama dengan alamat server konsol yang baru. Anda dapat mengatur MTU pada antarmuka Ethernet. Ini adalah opsi tingkat lanjut untuk digunakan jika skenario penerapan Anda tidak berfungsi dengan MTU default sebesar 1500 byte. Untuk mengatur MTU, klik Sistem > IP dan klik tab Antarmuka Jaringan. Gulir ke bawah ke bidang MTU dan masukkan nilai yang diinginkan. Nilai yang valid adalah dari 1280 hingga 1500 untuk antarmuka 100 megabit, dan 1280 hingga 9100 untuk antarmuka gigabit. Jika bridging atau bonding dikonfigurasi, MTU yang disetel pada halaman Antarmuka Jaringan akan disetel pada antarmuka yang merupakan bagian dari bridge atau bond . CATATAN Dalam beberapa kasus, MTU yang ditentukan pengguna mungkin tidak berlaku. Beberapa driver NIC mungkin membulatkan MTU berukuran besar ke nilai maksimum yang diizinkan dan driver lainnya akan mengembalikan kode kesalahan. Anda juga dapat menggunakan perintah CLI untuk mengelola Ukuran MTU: konfigurasikan
# config -s config.interfaces.wan.mtu=1380 periksa
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider tidak ada config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode konfigurasi tanpa status .interfaces.wan.media Auto config.interfaces.wan.mode statis config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Bab 2: Konfigurasi Sistem
2.3.1 Konfigurasi IPv6 Antarmuka Ethernet server konsol mendukung IPv4 secara default. Mereka dapat dikonfigurasi untuk operasi IPv6:
1. Klik Sistem > IP. Klik tab Pengaturan Umum dan centang Aktifkan IPv6. Jika diinginkan, klik kotak centang Nonaktifkan IPv6 untuk Seluler.
2. Konfigurasikan parameter IPv6 pada setiap halaman antarmuka. IPv6 dapat dikonfigurasi untuk mode Otomatis, yang akan menggunakan SLAAC atau DHCPv6 untuk mengonfigurasi alamat, rute, dan DNS, atau mode Statis, yang memungkinkan informasi alamat dimasukkan secara manual.
2.3.2 Konfigurasi DNS Dinamis (DDNS) Dengan DNS Dinamis (DDNS), server konsol yang alamat IP-nya ditetapkan secara dinamis dapat ditemukan menggunakan host tetap atau nama domain. Buat akun dengan penyedia layanan DDNS yang didukung pilihan Anda. Saat Anda menyiapkan akun DDNS, Anda memilih nama pengguna, kata sandi, dan nama host yang akan Anda gunakan sebagai nama DNS. Penyedia layanan DDNS memungkinkan Anda memilih nama host URL dan tetapkan alamat IP awal agar sesuai dengan nama host tersebut URL.
14

Panduan Pengguna
Untuk mengaktifkan dan mengkonfigurasi DDNS pada koneksi jaringan Ethernet atau seluler mana pun di server konsol. 1. Klik Sistem > IP dan gulir ke bawah bagian DNS Dinamis. Pilih penyedia layanan DDNS Anda
dari daftar tarik-turun DNS Dinamis. Anda juga dapat mengatur informasi DDNS pada tab Modem Seluler di Sistem > Dial.
2. Di Nama Host DDNS, masukkan nama host DNS yang sepenuhnya memenuhi syarat untuk server konsol Anda, misalnya namahostanda.dyndns.org.
3. Masukkan Username DDNS dan Password DDNS akun penyedia layanan DDNS. 4. Tentukan interval maksimum antar pembaruan dalam hari. Pembaruan DDNS akan dikirim meskipun
alamatnya tidak berubah. 5. Tentukan interval minimum antara pemeriksaan perubahan alamat dalam hitungan detik. Pembaruan akan terjadi
dikirim jika alamatnya telah berubah. 6. Tentukan Upaya maksimum per pembaruan yang merupakan berapa kali upaya pembaruan
sebelum menyerah. Ini adalah 3 secara default. 7. Klik Terapkan.
15

Bab 2: Konfigurasi Sistem
2.3.3 Mode EAPoL untuk WAN, LAN dan OOBFO
(OOBFO hanya berlaku untuk IM7216-2-24E-DAC)
Lebihview EAPoL IEEE 802.1X, atau PNAC (Kontrol Akses Jaringan Berbasis Port) memanfaatkan karakteristik akses fisik infrastruktur LAN IEEE 802 untuk menyediakan sarana otentikasi dan otorisasi perangkat yang terpasang pada port LAN yang memiliki koneksi point-to- karakteristik koneksi titik, dan mencegah akses ke port tersebut jika otentikasi dan otorisasi gagal. Port dalam konteks ini adalah satu titik keterikatan pada infrastruktur LAN.
Ketika node nirkabel atau kabel (WN) baru meminta akses ke sumber daya LAN, titik akses (AP) meminta identitas WN. Tidak ada lalu lintas selain EAP yang diperbolehkan sebelum WN diautentikasi (“port” ditutup, atau “tidak diautentikasi”). Node nirkabel yang meminta otentikasi sering disebut Supplicant, Pemohon bertanggung jawab untuk merespons data Authenticator yang akan menetapkan kredensialnya. Hal yang sama berlaku untuk titik akses; Authenticator bukanlah titik akses. Sebaliknya, titik akses berisi Authenticator. Authenticator tidak perlu berada di titik akses; itu bisa menjadi komponen eksternal. Metode Otentikasi berikut diterapkan:
· Pemohon EAP-MD5 o Metode EAP MD5-Challenge menggunakan nama pengguna/kata sandi biasa
· EAP-PEAP-MD5 o EAP PEAP (EAP Terlindungi) Metode otentikasi MD5 menggunakan kredensial pengguna dan sertifikat CA
· EAP-TLS o Metode otentikasi EAP TLS (Transport Layer Security) memerlukan sertifikat CA, sertifikat klien, dan kunci pribadi.
Protokol EAP, yang digunakan untuk otentikasi, awalnya digunakan untuk PPP dial-up. Identitasnya adalah nama pengguna, dan otentikasi PAP atau CHAP digunakan untuk memeriksa kata sandi pengguna. Karena identitas dikirim dengan jelas (tidak dienkripsi), sniffer jahat dapat mempelajari identitas pengguna. Oleh karena itu, “penyembunyian identitas” digunakan; identitas asli tidak dikirim sebelum terowongan TLS terenkripsi aktif.
16

Panduan Pengguna
Setelah identitas dikirim, proses otentikasi dimulai. Protokol yang digunakan antara Pemohon dan Authenticator adalah EAP, (atau EAPoL). Authenticator merangkum kembali pesan EAP ke format RADIUS, dan meneruskannya ke Server Otentikasi. Selama otentikasi, Authenticator menyampaikan paket antara Pemohon dan Server Otentikasi. Ketika proses otentikasi selesai, Server Otentikasi mengirimkan pesan sukses (atau gagal, jika otentikasi gagal). Authenticator kemudian membuka “port” untuk Pemohon. Pengaturan otentikasi dapat diakses dari halaman Pengaturan Pemohon EAPoL. Status EAPoL saat ini ditampilkan secara rinci di halaman Statistik Status pada tab EAPoL:
Abstraksi EAPoL pada ROLE jaringan ditampilkan di bagian “Connection Manager” pada antarmuka Dashboard.
17

Bab 2: Konfigurasi Sistem
Di bawah ini adalah mantanampfile otentikasi yang berhasil:
Dukungan IEEE 802.1x (EAPOL) pada port switch IM7216-2-24E-DAC dan ACM7004-5: Untuk menghindari loop, pengguna tidak boleh menyambungkan lebih dari satu port switch ke switch tingkat atas yang sama.
18

Panduan Pengguna
2.4 Akses Layanan dan Perlindungan Brute Force
Administrator dapat mengakses server konsol dan port serial yang terhubung serta perangkat yang dikelola menggunakan berbagai protokol/layanan akses. Untuk setiap akses
· Layanan harus dikonfigurasi dan diaktifkan terlebih dahulu untuk berjalan di server konsol. · Akses melalui firewall harus diaktifkan untuk setiap koneksi jaringan. Untuk mengaktifkan dan mengkonfigurasi layanan: 1. Klik Sistem > Layanan dan klik tab Pengaturan Layanan.

2. Mengaktifkan dan mengkonfigurasi layanan dasar:

Bahasa Indonesia: HTTP

Secara default, layanan HTTP sedang berjalan dan tidak dapat dinonaktifkan sepenuhnya. Secara default, akses HTTP dinonaktifkan di semua antarmuka. Kami menyarankan akses ini tetap dinonaktifkan jika server konsol diakses dari jarak jauh melalui Internet.
HTTP Alternatif memungkinkan Anda mengonfigurasi port HTTP alternatif untuk mendengarkan. Layanan HTTP akan terus mendengarkan pada port TCP 80 untuk komunikasi CMS dan konektor tetapi tidak dapat diakses melalui firewall.

Bahasa Indonesia: HTTPS

Secara default, layanan HTTPS berjalan dan diaktifkan di semua antarmuka jaringan. Disarankan agar hanya akses HTTPS yang digunakan jika server konsol ingin dikelola melalui jaringan publik mana pun. Hal ini memastikan administrator memiliki akses browser yang aman ke semua menu di server konsol. Hal ini juga memungkinkan pengguna yang dikonfigurasi dengan tepat untuk mengamankan akses browser ke menu Kelola yang dipilih.
Layanan HTTPS dapat dinonaktifkan atau diaktifkan kembali dengan mencentang HTTPS Web Manajemen dan port alternatif ditentukan (port default adalah 443).

Bahasa Indonesia: Telnet

Secara default layanan Telnet berjalan tetapi dinonaktifkan pada semua antarmuka jaringan.
Telnet dapat digunakan untuk memberikan akses administrator ke shell baris perintah sistem. Layanan ini mungkin berguna untuk administrator lokal dan akses pengguna ke konsol serial yang dipilih. Kami menyarankan Anda menonaktifkan layanan ini jika server konsol dikelola dari jarak jauh.
Kotak centang Aktifkan shell perintah Telnet akan mengaktifkan atau menonaktifkan layanan Telnet. Port Telnet alternatif untuk mendengarkan dapat ditentukan di Port Telnet Alternatif (port default adalah 23).

Bab 2: Konfigurasi Sistem

SSH

Layanan ini menyediakan akses SSH yang aman ke server konsol dan perangkat yang terpasang

dan secara default layanan SSH berjalan dan diaktifkan di semua antarmuka. Dia

disarankan Anda memilih SSH sebagai protokol tempat administrator terhubung

server konsol melalui Internet atau jaringan publik lainnya. Ini akan memberikan

komunikasi terotentikasi antara program klien SSH di remote

komputer dan server SSH di server konsol. Untuk informasi lebih lanjut tentang SSH

konfigurasi Lihat Bab 8 – Otentikasi.

Kotak centang Aktifkan shell perintah SSH akan mengaktifkan atau menonaktifkan layanan ini. Port SSH alternatif untuk mendengarkan dapat ditentukan di port shell perintah SSH (port default adalah 22).

3. Mengaktifkan dan mengkonfigurasi layanan lain:

TFTP/FTP Jika kartu flash USB atau flash internal terdeteksi pada server konsol, centang Aktifkan layanan TFTP (FTP) akan mengaktifkan layanan ini dan mengatur server tftp dan ftp default pada flash USB. Server ini digunakan untuk menyimpan konfigurasi files, memelihara akses dan log transaksi, dll. Files ditransfer menggunakan tftp dan ftp akan disimpan di /var/mnt/storage.usb/tftpboot/ (atau /var/mnt/storage.nvlog/tftpboot/ pada perangkat ACM7000series). Menghapus centang Aktifkan layanan TFTP (FTP) akan menonaktifkan layanan TFTP (FTP).

Pemeriksaan Relai DNS Aktifkan Server/Relai DNS mengaktifkan fitur relai DNS sehingga klien dapat dikonfigurasi dengan IP server konsol untuk pengaturan server DNS mereka, dan server konsol akan meneruskan permintaan DNS ke server DNS sebenarnya.

Web Pemeriksaan Terminal Diaktifkan Web Terminal memungkinkan web akses browser ke shell baris perintah sistem melalui Kelola > Terminal.

4. Tentukan nomor port alternatif untuk layanan Raw TCP, Telnet/SSH langsung, dan Telnet/SSH yang tidak diautentikasi. Server konsol menggunakan rentang spesifik untuk port TCP/IP untuk berbagai akses
layanan yang dapat digunakan pengguna untuk mengakses perangkat yang terhubung ke port serial (seperti yang dibahas dalam Bab 3 Mengonfigurasi Port Serial). Administrator dapat mengatur rentang alternatif untuk layanan ini dan port sekunder ini akan digunakan selain port default.

Alamat port dasar TCP/IP default untuk akses Telnet adalah 2000, dan kisaran untuk Telnet adalah Alamat IP: Port (2000 + port serial #) yaitu 2001 2048. Jika administrator menetapkan 8000 sebagai basis sekunder untuk Telnet, serial port #2 di server konsol dapat diakses Telnet di IP
Alamat:2002 dan di Alamat IP:8002. Basis default untuk SSH adalah 3000; untuk TCP Mentah adalah 4000; dan untuk RFC2217 adalah 5000

5. Layanan lain dapat diaktifkan dan dikonfigurasi dari menu ini dengan memilih Klik di sini untuk mengonfigurasi:

Nagios Akses ke daemon pemantauan Nagios NRPE

KACANG

Akses ke daemon pemantauan NUT UPS

SNMP Mengaktifkan snmp di server konsol. SNMP dinonaktifkan secara default

NTP

6. Klik Terapkan. Muncul pesan konfirmasi: Pesan Perubahan konfigurasi berhasil

Pengaturan Akses Layanan dapat diatur untuk mengizinkan atau memblokir akses. Ini menentukan layanan mana yang dapat digunakan administrator melalui setiap antarmuka jaringan untuk menyambung ke server konsol dan melalui server konsol ke perangkat serial dan tersambung ke jaringan yang terpasang.

Panduan Pengguna
1. Pilih tab Akses Layanan pada halaman Sistem > Layanan.
2. Ini menampilkan layanan yang diaktifkan untuk antarmuka jaringan server konsol. Tergantung pada model server konsol tertentu, antarmuka yang ditampilkan dapat mencakup: · Antarmuka jaringan (untuk koneksi Ethernet utama) · Manajemen LAN / OOB Failover (koneksi Ethernet kedua) · Dialout / Seluler (modem V90 dan 3G) · Dial-in (internal atau modem V90 eksternal) · VPN (koneksi IPsec atau Open VPN melalui antarmuka jaringan apa pun)
3. Centang/hapus centang untuk setiap jaringan akses layanan mana yang akan diaktifkan/dinonaktifkan Opsi akses layanan Respond to ICMP echo (yaitu ping) yang dapat dikonfigurasi pada saat initage. Hal ini memungkinkan server konsol untuk merespons permintaan gema ICMP yang masuk. Ping diaktifkan secara default. Untuk meningkatkan keamanan, Anda harus menonaktifkan layanan ini ketika Anda menyelesaikan konfigurasi awal. Anda dapat mengizinkan perangkat port serial untuk diakses dari antarmuka jaringan yang ditunjuk menggunakan Raw TCP, Telnet/SSH langsung, layanan Telnet/SSH yang tidak diautentikasi, dll.
4. Klik Terapkan Web Pengaturan Manajemen Kotak centang Aktifkan HSTS mengaktifkan keamanan pengangkutan HTTP yang ketat. Mode HSTS berarti header StrictTransport-Security harus dikirim melalui transport HTTPS. Sesuai web browser mengingat header ini, dan ketika diminta untuk menghubungi host yang sama melalui HTTP (biasa), browser akan secara otomatis beralih ke
19

Bab 2: Konfigurasi Sistem
HTTPS sebelum mencoba HTTP, selama browser telah mengakses situs aman satu kali dan melihat header STS.
Perlindungan Brute Force Perlindungan brute force (Micro Fail2ban) memblokir sementara IP sumber yang menunjukkan tanda-tanda berbahaya, seperti terlalu banyak kegagalan kata sandi. Hal ini dapat membantu ketika layanan jaringan perangkat terekspos ke jaringan yang tidak dipercaya seperti WAN publik dan serangan skrip atau worm perangkat lunak mencoba menebak (brute force) kredensial pengguna dan mendapatkan akses tidak sah.

Perlindungan Brute Force mungkin diaktifkan untuk layanan yang terdaftar. Secara default, setelah perlindungan diaktifkan, 3 atau lebih upaya koneksi gagal dalam waktu 60 detik dari IP sumber tertentu akan memicu larangan koneksi selama jangka waktu yang dapat dikonfigurasi. Batas percobaan dan batas waktu Larangan dapat disesuaikan. Larangan Aktif juga terdaftar dan dapat disegarkan dengan memuat ulang halaman.

CATATAN

Saat berjalan di jaringan yang tidak tepercaya, pertimbangkan untuk menggunakan berbagai strategi yang digunakan untuk mengunci akses jarak jauh. Ini termasuk otentikasi kunci publik SSH, VPN, dan Aturan Firewall
izinkan akses jarak jauh hanya dari jaringan sumber tepercaya. Lihat Basis Pengetahuan Opengear untuk detailnya.

2.5 Perangkat Lunak Komunikasi
Anda telah mengonfigurasi protokol akses untuk digunakan klien administrator saat menyambung ke server konsol. Klien pengguna juga menggunakan protokol ini ketika mengakses perangkat yang terhubung ke server konsol dan host yang terhubung ke jaringan. Anda memerlukan perangkat lunak komunikasi yang dikonfigurasi pada komputer administrator dan klien pengguna. Untuk menghubungkan Anda dapat menggunakan alat seperti PuTTY dan SSHTerm.

Panduan Pengguna
Konektor yang tersedia secara komersial memasangkan protokol terowongan SSH tepercaya dengan alat akses populer seperti Telnet, SSH, HTTP, HTTPS, VNC, RDP untuk menyediakan akses manajemen jarak jauh yang aman dengan titik-dan-klik ke semua sistem dan perangkat yang dikelola. Informasi tentang penggunaan konektor untuk akses browser ke Konsol Manajemen server konsol, akses Telnet/SSH ke baris perintah server konsol, dan koneksi TCP/UDP ke host yang tersambung jaringan ke server konsol dapat ditemukan di Bab 5. Konektor dapat berupa diinstal pada PC Windows, Mac OS X dan pada sebagian besar sistem Linux, UNIX dan Solaris.
2.6 Konfigurasi Jaringan Manajemen
Server konsol memiliki port jaringan tambahan yang dapat dikonfigurasi untuk menyediakan akses manajemen LAN dan/atau akses failover atau out-of-band. 2.6.1 Mengaktifkan Manajemen Konsol LAN Server dapat dikonfigurasi sehingga port Ethernet kedua menyediakan gateway LAN manajemen. Gateway ini memiliki fitur firewall, router, dan server DHCP. Anda perlu menyambungkan sakelar LAN eksternal ke Jaringan 2 untuk menyambungkan host ke LAN manajemen ini:
CATATAN Port Ethernet kedua dapat dikonfigurasi sebagai port gateway LAN Manajemen atau sebagai port OOB/Failover. Pastikan Anda tidak mengalokasikan NET2 sebagai Antarmuka Failover saat Anda mengonfigurasi koneksi Jaringan utama pada menu Sistem > IP.
21

Bab 2: Konfigurasi Sistem
Untuk mengkonfigurasi gateway LAN Manajemen: 1. Pilih tab Antarmuka LAN Manajemen pada menu Sistem > IP dan hapus centang Nonaktifkan. 2. Konfigurasikan Alamat IP dan Subnet Mask untuk LAN Manajemen. Biarkan kolom DNS kosong. 3. Klik Terapkan.
Fungsi gateway manajemen diaktifkan dengan aturan firewall dan router default yang dikonfigurasi sehingga LAN Manajemen hanya dapat diakses melalui penerusan port SSH. Hal ini memastikan koneksi jarak jauh dan lokal ke perangkat yang Dikelola di LAN Manajemen aman. Port LAN juga dapat dikonfigurasi dalam mode bridged atau bonded atau dikonfigurasi secara manual dari baris perintah. 2.6.2 Konfigurasikan server DHCP Server DHCP memungkinkan distribusi alamat IP secara otomatis ke perangkat di LAN Manajemen yang menjalankan klien DHCP. Untuk mengaktifkan server DHCP:
1. Klik Sistem > Server DHCP. 2. Pada tab Antarmuka Jaringan, Centang Aktifkan DHCP Server.
22

Panduan Pengguna
3. Masukkan alamat Gateway yang akan diberikan kepada klien DHCP. Jika bidang ini dibiarkan kosong, alamat IP server konsol akan digunakan.
4. Masukkan alamat DNS Primer dan DNS Sekunder untuk mengeluarkan klien DHCP. Jika bidang ini dibiarkan kosong, alamat IP server konsol akan digunakan.
5. Secara opsional masukkan akhiran Nama Domain untuk mengeluarkan klien DHCP. 6. Masukkan Waktu Sewa Default dan Waktu Sewa Maksimum dalam hitungan detik. Ini adalah jumlah waktunya
bahwa alamat IP yang ditetapkan secara dinamis adalah valid sebelum klien harus memintanya lagi. 7. Klik Terapkan Server DHCP mengeluarkan alamat IP dari kumpulan alamat yang ditentukan: 1. Klik Tambah di bidang Kumpulan Alokasi Alamat Dinamis. 2. Masukkan Alamat Awal dan Alamat Akhir Kumpulan DHCP. 3. Klik Terapkan.
23

Bab 2: Konfigurasi Sistem
Server DHCP juga mendukung pra-penetapan alamat IP untuk dialokasikan ke alamat MAC tertentu dan memesan alamat IP untuk digunakan oleh host yang terhubung dengan alamat IP tetap. Untuk memesan alamat IP untuk host tertentu:
1. Klik Tambah di bidang Alamat yang Dipesan. 2. Masukkan Nama Host, Alamat Perangkat Keras (MAC) dan alamat IP yang Dicadangkan Secara Statis
klien DHCP dan klik Terapkan.
Ketika DHCP telah mengalokasikan alamat host, disarankan untuk menyalinnya ke dalam daftar yang telah ditetapkan sebelumnya sehingga alamat IP yang sama dialokasikan kembali jika terjadi reboot.
24

Panduan Pengguna
2.6.3 Pilih Failover atau broadband OOB Server konsol menyediakan opsi failover sehingga jika terjadi masalah dalam menggunakan koneksi LAN utama untuk mengakses server konsol, jalur akses alternatif digunakan. Untuk mengaktifkan failover:
1. Pilih halaman Network Interface pada menu System > IP 2. Pilih Failover Interface yang akan digunakan jika terjadi outage di jaringan utama.
3. Klik Terapkan. Failover menjadi aktif setelah Anda menentukan situs eksternal yang akan diperiksa guna memicu failover dan menyiapkan port failover.
2.6.4 Mengumpulkan port jaringan Secara default, port jaringan LAN Manajemen server konsol dapat diakses menggunakan terowongan SSH/penerusan port atau dengan membuat terowongan VPN IPsec ke server konsol. Semua port jaringan kabel di server konsol dapat digabungkan dengan cara dijembatani atau diikat.
25

Panduan Pengguna
· Secara default, Agregasi Antarmuka dinonaktifkan pada menu Sistem > IP > Pengaturan Umum · Pilih Antarmuka Jembatan atau Antarmuka Ikatan
o Saat bridging diaktifkan, lalu lintas jaringan diteruskan ke semua port Ethernet tanpa batasan firewall. Semua port Ethernet terhubung secara transparan pada lapisan data link (lapisan 2) sehingga mempertahankan alamat MAC uniknya
o Dengan bonding, lalu lintas jaringan dibawa antar port tetapi hadir dengan satu alamat MAC
Kedua mode menghapus semua fungsi Antarmuka LAN Manajemen dan Antarmuka Out-of-Band/Failover dan menonaktifkan Server DHCP · Dalam mode agregasi semua port Ethernet dikonfigurasikan secara kolektif menggunakan menu Antarmuka Jaringan
25

Bab 2: Konfigurasi Sistem
2.6.5 Rute statis Rute statis menyediakan cara yang sangat cepat untuk merutekan data dari satu subnet ke subnet berbeda. Anda dapat membuat kode keras pada jalur yang memberi tahu server/router konsol untuk mencapai subnet tertentu menggunakan jalur tertentu. Ini mungkin berguna untuk mengakses berbagai subnet di situs jarak jauh saat menggunakan koneksi OOB seluler.

Untuk menambahkan rute statis ke tabel rute Sistem:
1. Pilih tab Pengaturan Rute pada menu Sistem > Pengaturan Umum IP.
2. Klik Rute Baru
3. Masukkan Nama Rute untuk rute tersebut.
4. Pada kolom Jaringan/Host Tujuan, masukkan alamat IP jaringan/host tujuan yang dapat diakses oleh rute tersebut.
5. Masukkan nilai di kolom Netmask Tujuan yang mengidentifikasi jaringan atau host tujuan. Nomor apa pun antara 0 dan 32. Subnet mask 32 mengidentifikasi rute host.
6. Masukkan Route Gateway dengan alamat IP router yang akan merutekan paket ke jaringan tujuan. Ini mungkin dikosongkan.
7. Pilih Antarmuka yang akan digunakan untuk mencapai tujuan, boleh dibiarkan Tidak Ada.
8. Masukkan nilai di bidang Metrik yang mewakili metrik koneksi ini. Gunakan angka apa pun yang sama dengan atau lebih besar dari 0. Angka ini hanya harus ditetapkan jika dua rute atau lebih bertentangan atau memiliki target yang tumpang tindih.
9. Klik Terapkan.

CATATAN

Halaman detail rute menyediakan daftar antarmuka jaringan dan modem yang dapat diikatkan ke suatu rute. Dalam kasus modem, rute akan dilampirkan ke setiap sesi dialup yang dibuat melalui perangkat tersebut. Rute dapat ditentukan dengan gateway, antarmuka, atau keduanya. Jika antarmuka yang ditentukan tidak aktif, rute yang dikonfigurasi untuk antarmuka tersebut tidak akan aktif.

Panduan Pengguna 3. PORT SERI, HOST, PERANGKAT & KONFIGURASI PENGGUNA
Server konsol memungkinkan akses dan kontrol perangkat yang terhubung secara serial dan perangkat yang terhubung ke jaringan (host). Administrator harus mengonfigurasi hak akses untuk masing-masing perangkat ini dan menentukan layanan yang dapat digunakan untuk mengontrol perangkat. Administrator juga dapat mengatur pengguna baru dan menentukan hak akses dan kontrol individual setiap pengguna.
Bab ini mencakup setiap langkah dalam mengonfigurasi perangkat yang terhubung ke jaringan dan terhubung secara serial: · Port Serial menyiapkan protokol yang digunakan perangkat yang terhubung secara serial · Pengguna & Grup menyiapkan pengguna dan menentukan izin akses untuk masing-masing pengguna ini · Otentikasi ini dibahas lebih lanjut detail di Bab 8 · Host Jaringan mengonfigurasi akses ke komputer atau peralatan yang terhubung ke jaringan lokal (host) · Mengonfigurasi Jaringan Tepercaya – menentukan alamat IP yang dapat diakses oleh pengguna tepercaya · Cascading dan Redirection Port Konsol Serial · Menyambungkan ke daya (UPS, PDU, dan IPMI) dan perangkat pemantauan lingkungan (EMD) · Pengalihan Port Serial menggunakan jendela PortShare dan klien Linux · Perangkat Terkelola – menyajikan konsolidasi view dari semua koneksi · IPSec mengaktifkan koneksi VPN · OpenVPN · PPTP
3.1 Konfigurasikan Port Serial
Langkah pertama dalam mengkonfigurasi port serial adalah mengatur Pengaturan Umum seperti protokol dan parameter RS232 yang akan digunakan untuk koneksi data ke port tersebut (misalnya baud rate). Pilih mode pengoperasian port tersebut. Setiap port dapat diatur untuk mendukung salah satu mode pengoperasian berikut:
· Mode nonaktif adalah default, port serial tidak aktif
27

Bab 3:

Port Serial, Host, Perangkat & Konfigurasi Pengguna

· Mode server konsol memungkinkan akses umum ke port konsol serial pada perangkat yang terpasang secara serial
· Mode perangkat mengatur port serial untuk berkomunikasi dengan PDU, UPS, atau Perangkat Monitor Lingkungan (EMD) yang dikontrol serial secara cerdas
· Mode Terminal Server mengatur port serial untuk menunggu sesi login terminal masuk · Mode Serial Bridge memungkinkan interkoneksi transparan dari dua perangkat port serial melalui a
jaringan.
1. Pilih Serial & Jaringan > Serial Port untuk menampilkan rincian port serial. 2. Secara default, setiap port serial diatur dalam mode server Konsol. Klik Edit di sebelah port yang akan dijadikan
dikonfigurasi ulang. Atau klik Edit Beberapa Port dan pilih port mana yang ingin Anda konfigurasikan sebagai grup. 3. Ketika Anda telah mengkonfigurasi ulang pengaturan umum dan mode untuk setiap port, atur syslog jarak jauh (lihat bagian berikut untuk informasi spesifik). Klik Apply 4. Jika server konsol telah dikonfigurasi dengan pemantauan Nagios terdistribusi diaktifkan, gunakan opsi Pengaturan Nagios untuk mengaktifkan layanan yang dinominasikan pada Host untuk dipantau 3.1.1 Pengaturan Umum Ada beberapa pengaturan umum yang dapat diatur untuk setiap serial pelabuhan. Ini tidak bergantung pada mode di mana port tersebut digunakan. Parameter port serial ini harus diatur agar sesuai dengan parameter port serial pada perangkat yang Anda sambungkan ke port tersebut:
28

Panduan Pengguna

· Ketik label untuk port · Pilih Baud Rate, Parity, Data Bits, Stop Bits dan Flow Control yang sesuai untuk setiap port

· Atur Pinout Port. Item menu ini muncul untuk port IM7200 dimana pin-out untuk setiap port serial RJ45 dapat diatur sebagai X2 (Cisco Straight) atau X1 (Cisco Rolled)

· Atur mode DTR. Hal ini memungkinkan Anda untuk memilih apakah DTR selalu ditegaskan atau hanya ditegaskan ketika ada sesi pengguna aktif

· Sebelum melanjutkan dengan konfigurasi port serial lebih lanjut, Anda harus menghubungkan port ke perangkat serial yang akan dikontrol dan memastikan port tersebut memiliki pengaturan yang cocok

3.1.2

Mode Server Konsol
Pilih Mode server konsol untuk mengaktifkan akses manajemen jarak jauh ke konsol serial yang terpasang pada port serial ini:

Tingkat Pencatatan Ini menentukan tingkat informasi yang akan dicatat dan dipantau.
29

Bab 3: Port Serial, Host, Perangkat & Konfigurasi Pengguna
Level 0: Nonaktifkan logging (default)
Level 1: Catat peristiwa LOGIN, LOGOUT, dan SINYAL
Level 2: Catat peristiwa LOGIN, LOGOUT, SIGNAL, TXDATA dan RXDATA
Level 3: Catat peristiwa LOGIN, LOGOUT, SIGNAL, dan RXDATA
Level 4: Catat peristiwa LOGIN, LOGOUT, SIGNAL, dan TXDATA
Input/RXDATA adalah data yang diterima oleh perangkat Opengear dari perangkat serial yang terhubung, dan output/TXDATA adalah data yang dikirim oleh perangkat Opengear (misalnya diketik oleh pengguna) ke perangkat serial yang terhubung.
Konsol perangkat biasanya menampilkan kembali karakter saat diketik sehingga TXDATA yang diketik oleh pengguna kemudian diterima sebagai RXDATA, ditampilkan di terminal mereka.
CATATAN: Setelah meminta kata sandi, perangkat yang terhubung mengirimkan karakter * untuk mencegah kata sandi ditampilkan.

Telnet Ketika layanan Telnet diaktifkan di server konsol, klien Telnet di komputer pengguna dapat menyambung ke perangkat serial yang terpasang ke port serial ini di server konsol. Karena komunikasi Telnet tidak terenkripsi, protokol ini hanya direkomendasikan untuk koneksi lokal atau koneksi terowongan VPN.
Jika komunikasi jarak jauh disalurkan dengan konektor, Telnet dapat digunakan untuk mengakses perangkat yang terpasang dengan aman.

CATATAN

Dalam mode server konsol, pengguna dapat menggunakan konektor untuk mengatur koneksi Telnet aman yang disalurkan SSH dari komputer klien mereka ke port serial di server konsol. Konektor dapat diinstal pada PC Windows dan sebagian besar platform Linux dan memungkinkan koneksi Telnet aman untuk dipilih dengan arahkan-dan-klik.

Untuk menggunakan konektor untuk mengakses konsol pada port serial server konsol, konfigurasikan konektor dengan server konsol sebagai gateway, dan sebagai host, dan aktifkan layanan Telnet pada Port (2000 + port serial #) yaitu 2001.

Anda juga dapat menggunakan paket komunikasi standar seperti PuTTY untuk mengatur koneksi Telnet atau SSH langsung ke port serial.

CATATAN Dalam mode server Konsol, ketika Anda terhubung ke port serial, Anda terhubung melalui pmshell. Untuk menghasilkan BREAK pada port serial, ketikkan urutan karakter ~b. Jika Anda melakukan ini melalui OpenSSH ketik ~~b.

SSH

Disarankan agar Anda menggunakan SSH sebagai protokol saat pengguna terhubung ke server konsol

(atau terhubung melalui server konsol ke konsol serial yang terpasang) melalui Internet atau apa pun

jaringan publik lainnya.

Untuk akses SSH ke konsol pada perangkat yang terhubung ke port serial server konsol, Anda dapat menggunakan konektor. Konfigurasikan konektor dengan server konsol sebagai gateway, dan sebagai host, dan aktifkan layanan SSH pada Port (3000 + port serial #) yaitu 3001-3048.

Anda juga dapat menggunakan paket komunikasi umum, seperti PuTTY atau SSHTerm untuk menghubungkan SSH ke alamat port Alamat IP _ Port (3000 + port serial #) yaitu 3001

Koneksi SSH dapat dikonfigurasi menggunakan port SSH standar 22. Port serial yang diakses diidentifikasi dengan menambahkan deskriptor ke nama pengguna. Sintaks ini mendukung:

Panduan Pengguna
: : Agar pengguna bernama chris dapat mengakses port serial 2, saat mengatur SSHTerm atau klien PuTTY SSH, alih-alih mengetikkan nama pengguna = chris dan ssh port = 3002, alternatifnya adalah mengetikkan nama pengguna = chris:port02 (atau nama pengguna = chris: ttyS1) dan ssh port = 22. Atau dengan mengetikkan nama pengguna=chris:serial dan ssh port = 22, pengguna disajikan opsi pemilihan port:

Sintaks ini memungkinkan pengguna untuk mengatur terowongan SSH ke semua port serial dengan satu port IP 22 yang harus dibuka di firewall/gateway mereka
CATATAN Dalam mode server konsol, Anda terhubung ke port serial melalui pmshell. Untuk menghasilkan BREAK pada port serial, ketikkan urutan karakter ~b. Jika Anda melakukan ini melalui OpenSSH, ketik ~~b.

TCP

RAW TCP memungkinkan koneksi ke soket TCP. Sedangkan program komunikasi seperti PuTTY

juga mendukung RAW TCP, protokol ini biasanya digunakan oleh aplikasi khusus

Untuk RAW TCP, alamat port defaultnya adalah IP Address _ Port (4000 + serial port #) yaitu 4001 4048

RAW TCP juga memungkinkan port serial untuk disalurkan ke server konsol jarak jauh, sehingga dua perangkat port serial dapat saling terhubung secara transparan melalui jaringan (lihat Bab 3.1.6 Serial Bridging)

RFC2217 Memilih RFC2217 memungkinkan pengalihan port serial pada port tersebut. Untuk RFC2217, alamat port defaultnya adalah IP Address _ Port (5000 + serial port #) yaitu 5001 5048
Perangkat lunak klien khusus tersedia untuk Windows UNIX dan Linux yang mendukung port com virtual RFC2217, sehingga host jarak jauh dapat memantau dan mengelola perangkat jarak jauh yang terpasang secara serial seolah-olah perangkat tersebut terhubung ke port serial lokal (lihat Bab 3.6 Pengalihan Port Serial untuk detailnya)
RFC2217 juga memungkinkan port serial untuk disalurkan ke server konsol jarak jauh, sehingga dua perangkat port serial dapat saling terhubung secara transparan melalui jaringan (lihat Bab 3.1.6 Serial Bridging)

Telnet Tidak Diautentikasi Ini memungkinkan akses Telnet ke port serial tanpa kredensial otentikasi. Ketika pengguna mengakses server konsol ke Telnet ke port serial, mereka diberikan prompt login. Dengan Telnet yang tidak diautentikasi, mereka terhubung langsung ke port tanpa tantangan login server konsol. Jika klien Telnet meminta otentikasi, data apa pun yang dimasukkan memungkinkan koneksi.

Bab 3: Port Serial, Host, Perangkat & Konfigurasi Pengguna
Mode ini digunakan dengan sistem eksternal (seperti konservasi) yang mengelola otentikasi pengguna dan hak akses pada tingkat perangkat serial.
Masuk ke perangkat yang terhubung ke server konsol mungkin memerlukan otentikasi.
Untuk Telnet yang Tidak Diautentikasi alamat port defaultnya adalah IP Address _ Port (6000 + serial port #) yaitu 6001 6048

SSH yang tidak diautentikasi Ini memungkinkan akses SSH ke port serial tanpa kredensial otentikasi. Ketika pengguna mengakses server konsol ke Telnet ke port serial, mereka diberikan prompt login. Dengan SSH yang tidak diautentikasi, mereka terhubung langsung ke port tanpa tantangan login server konsol.
Mode ini digunakan ketika Anda memiliki sistem lain yang mengelola otentikasi pengguna dan hak akses di tingkat perangkat serial tetapi ingin mengenkripsi sesi di seluruh jaringan.
Masuk ke perangkat yang terhubung ke server konsol mungkin memerlukan otentikasi.
Untuk Telnet yang Tidak Diautentikasi alamat port defaultnya adalah IP Address _ Port (7000 + serial port #) yaitu 7001 7048
Itu : metode akses port (seperti yang dijelaskan pada bagian SSH di atas) selalu memerlukan otentikasi.

Web Terminal Ini memungkinkan web akses browser ke port serial melalui Kelola > Perangkat: Serial menggunakan terminal AJAX bawaan Konsol Manajemen. Web Terminal tersambung sebagai pengguna Konsol Manajemen yang saat ini diautentikasi dan tidak mengautentikasi ulang. Lihat bagian 12.3 untuk lebih jelasnya.

IP Alias

Aktifkan akses ke port serial menggunakan alamat IP tertentu, yang ditentukan dalam format CIDR. Setiap port serial dapat diberi satu atau lebih alias IP, yang dikonfigurasi berdasarkan antarmuka per jaringan. Port serial bisa, misalnyaample, dapat diakses di 192.168.0.148 (sebagai bagian dari jaringan internal) dan 10.10.10.148 (sebagai bagian dari LAN Manajemen). Dimungkinkan juga untuk membuat port serial tersedia pada dua alamat IP di jaringan yang sama (misalnyaample, 192.168.0.148 dan 192.168.0.248).

Alamat IP ini hanya dapat digunakan untuk mengakses port serial tertentu, dapat diakses menggunakan nomor port protokol TCP standar dari layanan server konsol. Misalnyaample, SSH pada port serial 3 akan dapat diakses pada port 22 dari alias IP port serial (sedangkan pada alamat utama server konsol tersedia pada port 2003).

Fitur ini juga dapat dikonfigurasi melalui halaman edit beberapa port. Dalam hal ini alamat IP diterapkan secara berurutan, dengan port yang dipilih pertama memasukkan IP dan port berikutnya bertambah, dengan nomor dilewati untuk port yang tidak dipilih. Misalnyaample, jika port 2, 3 dan 5 dipilih dan alias IP 10.0.0.1/24 dimasukkan untuk Antarmuka Jaringan, alamat berikut akan ditetapkan:

Pelabuhan 2: 10.0.0.1/24

Pelabuhan 3: 10.0.0.2/24

Pelabuhan 5: 10.0.0.4/24

Alias IP juga mendukung alamat alias IPv6. Satu-satunya perbedaan adalah bahwa alamat adalah angka heksadesimal, jadi port 10 mungkin sesuai dengan alamat yang diakhiri dengan A, dan 11 dengan alamat yang diakhiri dengan B, bukan 10 atau 11 sesuai IPv4.

Panduan Pengguna
Enkripsi Lalu Lintas / Otentikasi Aktifkan enkripsi sepele dan otentikasi komunikasi serial RFC2217 menggunakan Portshare (untuk enkripsi yang kuat gunakan VPN).
Periode Akumulasi Setelah koneksi dibuat untuk port serial tertentu (seperti pengalihan RFC2217 atau koneksi Telnet ke komputer jarak jauh), setiap karakter yang masuk pada port tersebut diteruskan melalui jaringan berdasarkan karakter demi karakter. Periode akumulasi menentukan periode waktu pengumpulan karakter yang masuk sebelum dikirim sebagai paket melalui jaringan
Karakter Escape Mengubah karakter yang digunakan untuk mengirimkan karakter escape. Standarnya adalah ~. Ganti Backspace Gantikan nilai backspace default CTRL+? (127) dengan CTRL+jam (8). Menu Daya Perintah untuk membuka menu daya adalah ~p dan mengaktifkan perintah daya shell jadi a
pengguna dapat mengontrol koneksi daya ke perangkat yang dikelola dari baris perintah ketika mereka terhubung dengan Telnet atau SSH ke perangkat. Perangkat yang dikelola harus disiapkan dengan koneksi port Serial dan koneksi Daya yang dikonfigurasi.
Koneksi Tunggal Ini membatasi port ke satu koneksi sehingga jika beberapa pengguna mempunyai hak akses untuk port tertentu, hanya satu pengguna pada satu waktu yang dapat mengakses port tersebut (yaitu pengintaian port tidak diperbolehkan).
33

Bab 3: Port Serial, Host, Perangkat & Konfigurasi Pengguna
3.1.3 Mode Perangkat (RPC, UPS, Lingkungan) Mode ini mengonfigurasi port serial yang dipilih untuk berkomunikasi dengan Uninterruptable Power Supply (UPS), Pengendali Daya Jarak Jauh/Unit Distribusi Daya (RPC) yang dikontrol secara serial, atau Perangkat Pemantau Lingkungan (Lingkungan)

1. Pilih Jenis Perangkat yang diinginkan (UPS, RPC, atau Lingkungan)
2. Lanjutkan ke halaman konfigurasi perangkat yang sesuai (Serial & Jaringan > Koneksi UPS, Koneksi RPC, atau Lingkungan) seperti yang dijelaskan secara rinci di Bab 7.

3.1.4 ·

Modus Server Terminal
Pilih Terminal Server Mode dan Terminal Type (vt220, vt102, vt100, Linux atau ANSI) untuk mengaktifkan getty pada port serial yang dipilih

Getty mengkonfigurasi port dan menunggu koneksi dibuat. Koneksi aktif pada perangkat serial ditunjukkan dengan munculnya pin Data Carrier Detect (DCD) pada perangkat serial. Ketika koneksi terdeteksi, program getty mengeluarkan login: prompt, dan memanggil program login untuk menangani login sistem.
CATATAN Memilih mode Terminal Server akan menonaktifkan Port Manager untuk port serial tersebut, sehingga data tidak lagi dicatat untuk peringatan, dll.

Panduan Pengguna
3.1.5 Mode Bridging Serial Dengan bridging serial, data serial pada port serial yang ditunjuk pada satu server konsol dienkapsulasi menjadi paket jaringan dan diangkut melalui jaringan ke server konsol kedua di mana data tersebut direpresentasikan sebagai data serial. Kedua server konsol bertindak sebagai kabel serial virtual melalui jaringan IP. Satu server konsol dikonfigurasikan menjadi Server. Port serial Server yang akan dijembatani diatur dalam mode server Konsol dengan RFC2217 atau RAW diaktifkan. Untuk server konsol Klien, port serial yang akan dijembatani harus diatur dalam Mode Bridging:
· Pilih Serial Bridging Mode dan tentukan alamat IP server konsol Server dan alamat port TCP dari port serial jarak jauh (untuk bridging RFC2217 ini adalah 5001-5048)
· Secara default, klien penghubung menggunakan RAW TCP. Pilih RFC2217 jika ini adalah mode server konsol yang Anda tentukan di server konsol server
· Anda dapat mengamankan komunikasi melalui Ethernet lokal dengan mengaktifkan SSH. Hasilkan dan unggah kunci.
3.1.6 Syslog Selain logging dan pemantauan bawaan yang dapat diterapkan pada akses manajemen yang terhubung secara serial dan terhubung ke jaringan, seperti yang dibahas dalam Bab 6, server konsol juga dapat dikonfigurasi untuk mendukung protokol syslog jarak jauh pada port per serial dasar:
· Pilih bidang Fasilitas/Prioritas Syslog untuk mengaktifkan pencatatan lalu lintas pada port serial yang dipilih ke server syslog; dan untuk mengurutkan dan menindaklanjuti pesan-pesan yang dicatat tersebut (yaitu mengalihkannya/mengirim email peringatan.)
35

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
Misalnyaample, jika komputer yang terhubung ke port serial 3 tidak boleh mengirimkan apa pun ke port konsol serialnya, administrator dapat mengatur Fasilitas untuk port tersebut ke local0 (local0 .. local7 dimaksudkan untuk nilai lokal situs), dan Prioritas ke kritis . Pada prioritas ini, jika server syslog server konsol menerima pesan, peringatan akan muncul. Lihat Bab 6. 3.1.7 Streaming NMEA ACM7000-L dapat menyediakan streaming data GPS NMEA dari modem GPS/seluler internal. Aliran data ini ditampilkan sebagai aliran data serial pada port 5 pada model ACM.
Pengaturan Umum (baud rate dll.) diabaikan saat mengkonfigurasi port serial NMEA. Anda dapat menentukan Frekuensi Perbaikan (yakni tingkat perbaikan GPS ini menentukan seberapa sering perbaikan GPS diperoleh). Anda juga dapat menerapkan semua pengaturan Mode Server Konsol, Syslog, dan Serial Bridging ke port ini.
Anda dapat menggunakan pmshell, webshell, SSH, RFC2217 atau RawTCP untuk mengakses streaming:
Misalnyaample, menggunakan Web Terminal:
36

Panduan Pengguna

3.1.8 Konsol USB
Server konsol dengan port USB mendukung koneksi konsol USB ke perangkat dari berbagai vendor, termasuk Cisco, HP, Dell, dan Brocade. Port USB ini juga dapat berfungsi sebagai port serial RS-232 biasa ketika adaptor USB-ke-serial dihubungkan.

Port USB ini tersedia sebagai port portmanager biasa dan disajikan secara numerik di web UI setelah semua port serial RJ45.

ACM7008-2 memiliki delapan port serial RJ45 di bagian belakang server konsol dan empat port USB di bagian depan. Di Serial & Jaringan> Port Serial, ini terdaftar sebagai

Pelabuhan #Konektor

RJ45

USB

10 USB

11 USB

12 USB

Jika ACM7008-2 tertentu adalah model seluler, port #13 — untuk GPS — juga akan dicantumkan.

7216-24U memiliki 16 port serial RJ45 dan 24 port USB di bagian belakang serta dua port USB menghadap ke depan dan (dalam model seluler) GPS.

Port serial RJ45 disajikan di Serial & Jaringan > Port Serial sebagai nomor port 1. 16 port USB yang menghadap ke belakang menggunakan nomor port 24, dan port USB yang menghadap ke depan masing-masing tercantum pada nomor port 17 dan 40. Dan, seperti halnya ACM41-42, jika 7008-2U tertentu adalah model seluler, GPS disajikan pada port nomor 7216.

Pengaturan umum (baud rate, dll.) digunakan saat mengonfigurasi port, namun beberapa operasi mungkin tidak berfungsi tergantung pada implementasi chip serial USB yang mendasarinya.

3.2 Menambah dan Mengedit Pengguna
Administrator menggunakan pilihan menu ini untuk membuat, mengedit dan menghapus pengguna dan untuk menentukan izin akses untuk masing-masing pengguna tersebut.

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna

Pengguna dapat diberi wewenang untuk mengakses layanan tertentu, port serial, perangkat listrik, dan host yang terhubung ke jaringan tertentu. Pengguna ini juga dapat diberikan status administrator penuh (dengan konfigurasi dan manajemen penuh serta hak akses).

Pengguna dapat ditambahkan ke grup. Enam grup diatur secara default:

admin

Memberikan hak konfigurasi dan manajemen tanpa batas.

pptpd

Mengizinkan akses ke server PPTP VPN. Pengguna di grup ini menyimpan kata sandinya dalam teks yang jelas.

panggilan

Memungkinkan akses dialin melalui modem. Pengguna di grup ini menyimpan kata sandinya dalam teks yang jelas.

ftp

Memungkinkan akses ftp dan file akses ke perangkat penyimpanan.

cangkang pm

Menyetel shell default ke pmshell.

Pengguna

Memberi pengguna hak istimewa manajemen dasar.

Grup admin memberikan hak administrator penuh kepada anggotanya. Pengguna admin dapat mengakses server konsol menggunakan salah satu layanan yang telah diaktifkan di Sistem > Layanan. Mereka juga dapat mengakses perangkat Host atau port serial mana pun yang terhubung menggunakan layanan apa pun yang telah diaktifkan untuk koneksi ini. Hanya pengguna tepercaya yang boleh memiliki akses administrator
Grup pengguna memberi anggota akses terbatas ke server konsol dan host serta perangkat serial yang terhubung. Pengguna ini hanya dapat mengakses bagian Manajemen pada menu Konsol Manajemen dan mereka tidak memiliki akses baris perintah ke server konsol. Mereka hanya dapat mengakses Host dan perangkat serial yang telah diperiksa, menggunakan layanan yang telah diaktifkan
Pengguna di grup pptd, dialin, ftp, atau pmshell telah membatasi akses shell pengguna ke perangkat terkelola yang ditunjuk namun mereka tidak akan memiliki akses langsung ke server konsol. Untuk menambahkan ini, pengguna juga harus menjadi anggota grup pengguna atau admin
Administrator dapat mengatur grup tambahan dengan perangkat daya tertentu, port serial, dan izin akses host. Pengguna di grup tambahan ini tidak memiliki akses apa pun ke menu Konsol Manajemen dan juga tidak memiliki akses baris perintah ke server konsol.

Panduan Pengguna
Administrator dapat mengatur pengguna dengan perangkat daya tertentu, port serial, dan izin akses host yang bukan anggota grup mana pun. Pengguna ini tidak memiliki akses ke menu Konsol Manajemen atau akses baris perintah ke server konsol. 3.2.1 Menyiapkan grup baru Untuk menyiapkan grup baru dan pengguna baru, dan untuk mengklasifikasikan pengguna sebagai anggota grup tertentu:
1. Pilih Serial & Jaringan > Pengguna & Grup untuk menampilkan semua grup dan pengguna 2. Klik Tambah Grup untuk menambahkan grup baru
3. Tambahkan Nama Grup dan Deskripsi untuk setiap grup baru, dan nominasikan Host yang Dapat Diakses, Port yang Dapat Diakses, dan Outlet RPC yang Dapat Diakses yang dapat diakses oleh pengguna di grup baru ini
4. Klik Terapkan 5. Administrator dapat Mengedit atau Menghapus grup yang ditambahkan. 3.2.2 Menyiapkan pengguna baru Untuk menyiapkan pengguna baru, dan mengklasifikasikan pengguna sebagai anggota grup tertentu: 1. Pilih Serial & Jaringan > Pengguna & Grup untuk ditampilkan semua grup dan pengguna 2. Klik Tambah Pengguna
39

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
3. Tambahkan Nama Pengguna untuk setiap pengguna baru. Anda juga dapat memasukkan informasi terkait pengguna (misalnya rincian kontak) di bidang Deskripsi. Nama Pengguna dapat berisi 1 hingga 127 karakter alfanumerik dan karakter “-” “_” dan “.”.
4. Tentukan Grup mana yang Anda inginkan agar pengguna menjadi anggotanya. 5. Tambahkan Kata Sandi yang dikonfirmasi untuk setiap pengguna baru. Semua karakter diperbolehkan. 6. Otentikasi kunci sandi SSH dapat digunakan. Tempelkan kunci publik dari publik/pribadi yang berwenang
pasangan kunci untuk pengguna ini di bidang Kunci SSH Resmi 7. Centang Nonaktifkan Otentikasi Kata Sandi untuk hanya mengizinkan otentikasi kunci publik untuk pengguna ini
saat menggunakan SSH 8. Centang Enable Dial-Back pada menu Dial-in Options untuk mengizinkan koneksi dial-back keluar
dipicu dengan masuk ke port ini. Masukkan Nomor Telepon Dial-Back dengan nomor telepon yang akan dipanggil kembali ketika pengguna log in 9. Centang Host yang Dapat Diakses dan/atau Port yang Dapat Diakses untuk menentukan port serial dan host yang terhubung ke jaringan yang Anda inginkan agar pengguna mempunyai hak akses ke 10. Jika terdapat RPC yang dikonfigurasi, centang Outlet RPC yang Dapat Diakses untuk menentukan outlet mana yang dapat dikontrol oleh pengguna (yaitu Power On/Off) 11. Klik Apply. Pengguna baru akan dapat mengakses Perangkat Jaringan, Port, dan Outlet RPC yang dapat diakses. Jika pengguna adalah anggota grup, mereka juga dapat mengakses perangkat/port/outlet lain yang dapat diakses oleh grup
40

Panduan Pengguna
Tidak ada batasan jumlah pengguna yang dapat Anda atur atau jumlah pengguna per port serial atau host. Beberapa pengguna dapat mengontrol/memantau satu port atau host. Tidak ada batasan jumlah grup dan setiap pengguna dapat menjadi anggota sejumlah grup. Pengguna tidak harus menjadi anggota grup mana pun, namun jika pengguna adalah anggota grup pengguna default, mereka tidak akan dapat menggunakan Konsol Manajemen untuk mengelola port. Meskipun tidak ada batasan, waktu untuk mengkonfigurasi ulang meningkat seiring dengan meningkatnya jumlah dan kompleksitas. Kami merekomendasikan jumlah keseluruhan pengguna dan grup tetap di bawah 250. Administrator juga dapat mengedit pengaturan akses untuk pengguna yang ada:
· Pilih Serial & Jaringan > Pengguna & Grup dan klik Edit untuk mengubah hak akses pengguna · Klik Hapus untuk menghapus pengguna · Klik Nonaktifkan untuk memblokir sementara hak akses
3.3 Autentikasi
Lihat Bab 8 untuk rincian konfigurasi otentikasi.
3.4 Host Jaringan
Untuk memantau dan mengakses komputer atau perangkat jaringan lokal dari jarak jauh (disebut sebagai Host), Anda harus mengidentifikasi Host:
1. Memilih Serial & Jaringan > Host Jaringan menampilkan semua Host yang terhubung ke jaringan dan telah diaktifkan untuk digunakan.
2. Klik Tambah Host untuk mengaktifkan akses ke Host baru (atau pilih Edit untuk memperbarui pengaturan Host yang ada)
41

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
3. Jika Host adalah perangkat daya PDU atau UPS atau server dengan kontrol daya IPMI, tentukan RPC (untuk IPMI dan PDU) atau UPS dan Jenis Perangkat. Administrator dapat mengonfigurasi perangkat ini dan mengaktifkan pengguna mana yang memiliki izin untuk melakukan siklus daya dari jarak jauh, dll. Lihat Bab 7. Jika tidak, biarkan Jenis Perangkat diatur ke Tidak Ada.
4. Jika server konsol telah dikonfigurasi dengan pemantauan Nagios terdistribusi diaktifkan, Anda juga akan melihat opsi Pengaturan Nagios untuk mengaktifkan layanan yang dinominasikan pada Host untuk dipantau.
5. Klik Terapkan. Tindakan ini akan membuat Host baru dan juga membuat perangkat terkelola baru dengan nama yang sama.
3.5 Jaringan Tepercaya
Fasilitas Jaringan Tepercaya memberi Anda opsi untuk menentukan alamat IP tempat pengguna harus berada, agar memiliki akses ke port serial server konsol:
42

Panduan Pengguna
1. Pilih Serial & Jaringan > Jaringan Tepercaya 2. Untuk menambahkan jaringan tepercaya baru, pilih Tambahkan Aturan. Jika tidak ada Aturan, tidak ada akses
batasan mengenai alamat IP di mana pengguna dapat berada.

3. Pilih Port yang Dapat Diakses dimana aturan baru akan diterapkan
4. Masukkan Alamat Jaringan subnet yang akan diizinkan aksesnya
5. Tentukan rentang alamat yang diizinkan dengan memasukkan Network Mask untuk rentang IP yang diizinkan, misalnya
· Untuk mengizinkan semua pengguna yang berada dengan koneksi jaringan Kelas C tertentu ke port yang ditunjuk, tambahkan Aturan Baru Jaringan Tepercaya berikut:

Alamat IP Jaringan

204.15.5.0

subnet Masker

255.255.255.0

· Untuk mengizinkan hanya satu pengguna yang berada di alamat IP tertentu untuk terhubung:

Alamat IP Jaringan

204.15.5.13

subnet Masker

255.255.255.255

· Untuk mengizinkan semua pengguna yang beroperasi dalam rentang alamat IP tertentu (misalnya salah satu dari tiga puluh alamat dari 204.15.5.129 hingga 204.15.5.158) diizinkan terhubung ke port yang ditunjuk:

Alamat Host/Subnet

204.15.5.128

subnet Masker

255.255.255.224

6. Klik Terapkan

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
3.6 Port Serial Bertingkat
Port Bertingkat memungkinkan Anda mengelompokkan server konsol terdistribusi sehingga sejumlah besar port serial (hingga 1000) dapat dikonfigurasi dan diakses melalui satu alamat IP dan dikelola melalui satu Konsol Manajemen. Satu server konsol, Primer, mengontrol server konsol lain sebagai unit Node dan semua port serial pada unit Node tampak seolah-olah merupakan bagian dari Primer. Pengelompokan Opengear menghubungkan setiap Node ke Primer dengan koneksi SSH. Hal ini dilakukan dengan menggunakan otentikasi kunci publik, sehingga Primer dapat mengakses setiap Node menggunakan pasangan kunci SSH (daripada menggunakan kata sandi). Hal ini memastikan komunikasi terotentikasi yang aman antara Primer dan Node memungkinkan unit server konsol Node didistribusikan secara lokal di LAN atau secara jarak jauh di seluruh dunia.
3.6.1 Secara otomatis membuat dan mengunggah kunci SSH Untuk menyiapkan otentikasi kunci publik, Anda harus terlebih dahulu membuat pasangan kunci RSA atau DSA dan mengunggahnya ke server konsol Primer dan Node. Ini dapat dilakukan secara otomatis dari Pratama:
44

Panduan Pengguna
1. Pilih Sistem > Administrasi di Konsol Manajemen Utama
2. Centang Hasilkan kunci SSH secara otomatis. 3. Klik Terapkan
Selanjutnya Anda harus memilih apakah akan membuat kunci menggunakan RSA dan/atau DSA (jika tidak yakin, pilih RSA saja). Menghasilkan setiap rangkaian kunci memerlukan waktu dua menit dan kunci baru menghancurkan kunci lama jenis tersebut. Saat generasi baru sedang berjalan, fungsi yang mengandalkan kunci SSH (misalnya cascading) mungkin berhenti berfungsi sampai fungsi tersebut diperbarui dengan rangkaian kunci baru. Untuk menghasilkan kunci:
1. Centang kotak untuk kunci yang ingin Anda buat. 2. Klik Terapkan
3. Setelah kunci baru dibuat, klik tautan Klik di sini untuk kembali. Kuncinya diunggah
ke Node Utama dan Node yang terhubung.
3.6.2 Buat dan unggah kunci SSH secara manual. Sebagai alternatif, jika Anda memiliki pasangan kunci RSA atau DSA, Anda dapat mengunggahnya ke server konsol Primer dan Node. Untuk mengunggah pasangan kunci publik dan kunci pribadi ke server konsol utama:
1. Pilih Sistem > Administrasi pada Konsol Manajemen Utama
2. Telusuri ke lokasi Anda menyimpan Kunci Publik RSA (atau DSA) dan unggah ke Kunci Publik SSH RSA (DSA)
3. Telusuri Kunci Pribadi RSA (atau DSA) yang tersimpan dan unggah ke Kunci Pribadi SSH RSA (DSA) 4. Klik Terapkan
45

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
Selanjutnya, Anda harus mendaftarkan Public Key sebagai Authorized Key pada Node.js. Dalam kasus satu Primer dengan beberapa Node, Anda mengunggah satu kunci publik RSA atau DSA untuk setiap Node.
1. Pilih Sistem > Administrasi pada Konsol Manajemen Node 2. Telusuri Kunci Publik RSA (atau DSA) yang disimpan dan unggah ke Kunci Resmi SSH Node
3. Klik Apply Langkah selanjutnya adalah melakukan Fingerprint setiap koneksi Node-Primary yang baru. Langkah ini memvalidasi bahwa Anda membuat sesi SSH sesuai dengan apa yang Anda pikirkan. Pada koneksi pertama, Node menerima sidik jari dari Primer yang digunakan pada semua koneksi di masa mendatang: Untuk membuat sidik jari, pertama-tama log in ke server Primer sebagai root dan buat koneksi SSH ke host jarak jauh Node:
# ssh remhost Setelah koneksi SSH dibuat, Anda diminta untuk menerima kuncinya. Jawab ya dan sidik jari ditambahkan ke daftar host yang dikenal. Jika Anda diminta memberikan kata sandi, ada masalah saat mengunggah kunci. 3.6.3 Mengonfigurasi Node dan port serialnya Mulai menyiapkan Node dan mengonfigurasi port serial Node dari server konsol utama:
1. Pilih Serial & Jaringan > Port Bertingkat di Konsol Manajemen Utama: 2. Untuk menambahkan dukungan pengelompokan, pilih Tambahkan Node
Anda tidak dapat menambahkan Node sampai Anda membuat kunci SSH. Untuk mendefinisikan dan mengkonfigurasi Node:
46

Panduan Pengguna
1. Masukkan Alamat IP jarak jauh atau Nama DNS untuk server konsol Node 2. Masukkan Deskripsi singkat dan Label singkat untuk Node 3. Masukkan nomor lengkap port serial pada unit Node di Jumlah Port 4. Klik Terapkan. Ini menetapkan terowongan SSH antara Primer dan Node baru
Menu Serial & Network > Cascaded Ports menampilkan semua node dan nomor port yang telah dialokasikan pada Primary. Jika server konsol Utama memiliki 16 portnya sendiri, port 1-16 telah dialokasikan sebelumnya ke Primer, sehingga node pertama yang ditambahkan diberi nomor port 17 dan seterusnya. Setelah Anda menambahkan semua server konsol Node, port serial Node dan perangkat yang terhubung dapat dikonfigurasi dan diakses dari menu Konsol Manajemen Utama dan dapat diakses melalui alamat IP Utama.
1. Pilih Serial & Jaringan > Serial Port dan Edit yang sesuai untuk mengkonfigurasi port serial pada
Simpul.
2. Pilih Serial & Jaringan > Pengguna & Grup yang sesuai untuk menambahkan pengguna baru dengan hak akses
ke port serial Node (atau untuk memperluas hak akses pengguna yang ada).
3. Pilih Serial & Jaringan > Jaringan Tepercaya yang sesuai untuk menentukan alamat jaringan itu
dapat mengakses port serial node yang ditunjuk. 4. Pilih Alerts & Logging > Alerts yang sesuai untuk mengkonfigurasi Koneksi port Node, Status
Peringatan Pencocokan Pola Pengubah. Perubahan konfigurasi yang dibuat pada Primer disebarkan ke semua node saat Anda mengklik Terapkan.
3.6.4 Mengelola Node Primer mengendalikan port serial Node. Misalnyaample, jika mengubah hak akses pengguna atau mengedit pengaturan port serial apa pun pada Primer, konfigurasi diperbarui files dikirim ke setiap Node secara paralel. Setiap Node membuat perubahan pada konfigurasi lokalnya (dan hanya membuat perubahan yang berhubungan dengan port serial tertentu). Anda dapat menggunakan Konsol Manajemen Node lokal untuk mengubah pengaturan pada port serial node mana pun (seperti mengubah baud rate). Perubahan ini akan ditimpa saat berikutnya Primer mengirimkan konfigurasi file memperbarui. Meskipun Primer mengendalikan semua fungsi yang terkait dengan port serial node, ia bukan yang utama melalui koneksi host jaringan node atau melalui sistem Server Konsol Node. Fungsi node seperti Pengaturan IP, SMTP & SNMP, Tanggal & Waktu, server DHCP harus dikelola dengan mengakses setiap node secara langsung dan fungsi-fungsi ini tidak ditulis secara berlebihan ketika perubahan konfigurasi disebarkan dari Primer. Pengaturan Host Jaringan dan IPMI Node harus dikonfigurasi di setiap node.
47

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
Konsol Manajemen Utama menyediakan konsolidasi view pengaturan untuk port serialnya sendiri dan seluruh Node. Pratama tidak menyediakan konsolidasi penuh viewMisalnyaample, jika Anda ingin mengetahui siapa yang masuk ke port serial bertingkat dari port utama, Anda akan melihat bahwa Status > Pengguna Aktif hanya menampilkan pengguna yang aktif di port Utama, jadi Anda mungkin perlu menulis skrip khusus untuk menyediakan ini view.
3.7 Pengalihan Port Serial (PortShare)
Perangkat lunak Port Share Opengear menghadirkan teknologi port serial virtual yang dibutuhkan aplikasi Windows dan Linux Anda untuk membuka port serial jarak jauh dan membaca data dari perangkat serial yang terhubung ke server konsol Anda.
PortShare disediakan gratis dengan setiap server konsol dan Anda memiliki lisensi untuk menginstal PortShare pada satu atau lebih komputer untuk mengakses perangkat serial apa pun yang terhubung ke port server konsol. PortShare untuk Windows Portshare_setup.exe dapat diunduh dari situs ftp. Lihat Panduan Pengguna PortShare dan Mulai Cepat untuk detail tentang instalasi dan pengoperasian. PortShare untuk Linux Driver PortShare untuk Linux memetakan port serial server konsol ke port percobaan host. Opengear telah merilis portshare-serial-client sebagai utilitas sumber terbuka untuk Linux, AIX, HPUX, SCO, Solaris dan UnixWare. Utilitas ini dapat diunduh dari situs ftp. Pengalih port serial PortShare ini memungkinkan Anda menggunakan perangkat serial yang terhubung ke server konsol jarak jauh seolah-olah perangkat tersebut terhubung ke port serial lokal Anda. Portshare-serial-client membuat port pseudo tty, menghubungkan aplikasi serial ke port pseudo tty, menerima data dari port pseudo tty, mengirimkannya ke server konsol melalui jaringan dan menerima data dari server konsol melalui jaringan dan mengirimkannya ke port pseudo-tty. .tar file dapat diunduh dari situs ftp. Lihat Panduan Pengguna PortShare dan Mulai Cepat untuk detail tentang instalasi dan pengoperasian.
48

Panduan Pengguna
3.8 Perangkat Terkelola
Halaman Perangkat yang Dikelola menyajikan ringkasan view dari semua koneksi ke perangkat yang dapat diakses dan dipantau melalui server konsol. Ke view koneksi ke perangkat, pilih Serial & Jaringan > Perangkat Terkelola
Layar ini menampilkan semua perangkat yang dikelola dengan Deskripsi/Catatan dan daftar semua Koneksi yang dikonfigurasi:
· Port Serial # (jika terhubung secara serial) atau · USB (jika USB terhubung) · Alamat IP (jika jaringan terhubung) · Detail PDU/outlet daya (jika ada) dan koneksi UPS apa pun. Perangkat seperti server mungkin memiliki lebih dari satu koneksi daya (misalnya daya ganda disuplai) dan lebih dari satu koneksi jaringan (misalnya untuk BMC/prosesor layanan). Semua pengguna bisa view koneksi perangkat terkelola ini dengan memilih Kelola > Perangkat. Administrator juga dapat mengedit dan menambah/menghapus perangkat terkelola ini beserta koneksinya. Untuk mengedit perangkat yang ada dan menambahkan koneksi baru: 1. Pilih Edit pada Serial & Jaringan > Perangkat Terkelola dan klik Tambah Koneksi 2. Pilih jenis koneksi untuk koneksi baru (Serial, Host Jaringan, UPS atau RPC) dan pilih
koneksi dari daftar host/port/outlet terkonfigurasi yang disajikan
49

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
Untuk menambahkan perangkat terkelola yang terhubung ke jaringan baru: 1. Administrator menambahkan perangkat terkelola yang terhubung ke jaringan baru menggunakan Tambahkan Host pada menu Serial & Jaringan > Host Jaringan. Tindakan ini secara otomatis membuat perangkat terkelola baru yang sesuai. 2. Saat menambahkan perangkat daya RPC atau UPS yang terhubung ke jaringan baru, Anda menyiapkan Host Jaringan, menetapkannya sebagai RPC atau UPS. Buka Koneksi RPC atau Koneksi UPS untuk mengonfigurasi koneksi yang relevan. Perangkat terkelola baru yang sesuai dengan Nama/Deskripsi yang sama dengan Host RPC/UPS tidak akan dibuat hingga langkah koneksi ini selesai.
CATATAN Nama stopkontak pada PDU yang baru dibuat adalah Stopkontak 1 dan Stopkontak 2. Saat Anda menyambungkan perangkat terkelola tertentu yang mengambil daya dari stopkontak, stopkontak tersebut mengambil nama perangkat terkelola yang diberi daya.
Untuk menambahkan perangkat terkelola baru yang terhubung secara serial: 1. Konfigurasikan port serial menggunakan menu Serial & Jaringan > Serial Port (Lihat Bagian 3.1 Konfigurasikan Port Serial) 2. Pilih Serial & Jaringan > Perangkat yang Dikelola dan klik Tambah Perangkat 3. Masukkan Perangkat Nama dan Deskripsi untuk perangkat yang dikelola

4. Klik Tambah Koneksi dan pilih Serial dan Port yang terhubung ke perangkat yang dikelola

5. Untuk menambahkan sambungan listrik UPS/RPC atau sambungan jaringan atau sambungan serial lainnya klik Tambah Sambungan

6. Klik Terapkan

CATATAN

Untuk mengatur UPS RPC atau perangkat EMD yang terhubung secara serial, konfigurasikan port serial, tetapkan sebagai Perangkat, dan masukkan Nama dan Deskripsi untuk perangkat tersebut di Serial & Jaringan > Koneksi RPC (atau Koneksi UPS atau Lingkungan). Ini akan membuat perangkat terkelola baru yang sesuai dengan Nama/Deskripsi yang sama dengan Host RPC/UPS. Nama stopkontak pada PDU yang baru dibuat ini adalah Outlet 1 dan Outlet 2. Saat Anda menghubungkan perangkat terkelola yang mengambil daya dari stopkontak, stopkontak tersebut mengambil nama Perangkat terkelola yang diberi daya.

3.9 VPN IPsec
ACM7000, CM7100, dan IM7200 menyertakan Openswan, implementasi Linux dari protokol IPsec (Keamanan IP), yang dapat digunakan untuk mengkonfigurasi Virtual Private Network (VPN). VPN memungkinkan beberapa situs atau administrator jarak jauh mengakses server konsol dan perangkat yang dikelola dengan aman melalui Internet.

Panduan Pengguna
Administrator dapat membuat koneksi VPN terenkripsi yang diautentikasi antara server konsol yang didistribusikan di situs jarak jauh dan gateway VPN (seperti router Cisco yang menjalankan IOS IPsec) di jaringan kantor pusat mereka:
· Pengguna di kantor pusat dapat dengan aman mengakses server konsol jarak jauh dan menghubungkan perangkat dan mesin konsol serial pada subnet LAN Manajemen di lokasi jarak jauh seolah-olah mereka lokal
· Semua server konsol jarak jauh ini dapat dipantau dengan CMS6000 di jaringan pusat · Dengan bridging serial, data serial dari pengontrol di mesin kantor pusat dapat disimpan dengan aman
terhubung ke perangkat yang dikontrol secara serial di lokasi jarak jauh Administrator pejuang jalanan dapat menggunakan klien perangkat lunak VPN IPsec untuk mengakses server konsol dan setiap mesin di subnet LAN Manajemen dari jarak jauh di lokasi jarak jauh
Konfigurasi IPsec cukup rumit sehingga Opengear menyediakan antarmuka GUI untuk pengaturan dasar seperti dijelaskan di bawah. Untuk mengaktifkan gerbang VPN:
1. Pilih IPsec VPN pada menu Serial & Jaringan
2. Klik Tambah dan selesaikan layar Tambah Terowongan IPsec 3. Masukkan nama deskriptif yang Anda inginkan untuk mengidentifikasi Terowongan IPsec yang Anda tambahkan seperti
WestStOutlet-VPN
51

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
4. Pilih Metode Otentikasi yang akan digunakan, baik tanda tangan digital RSA atau Rahasia Bersama (PSK) o Jika Anda memilih RSA Anda akan diminta mengklik di sini untuk membuat kunci. Ini menghasilkan kunci publik RSA untuk server konsol (Kunci Publik Kiri). Temukan kunci yang akan digunakan pada gateway jarak jauh, potong dan tempel ke Kunci Publik Kanan
o Jika Anda memilih Rahasia bersama, masukkan Rahasia yang dibagikan sebelumnya (PSK). PSK harus sesuai dengan PSK yang dikonfigurasi di ujung terowongan yang lain
5. Pada Authentication Protocol pilih protokol otentikasi yang akan digunakan. Baik mengautentikasi sebagai bagian dari enkripsi ESP (Encapsulate Security Payload) atau secara terpisah menggunakan protokol AH (Authentication Header).
52

Panduan Pengguna
6. Masukkan ID Kiri dan ID Kanan. Ini adalah pengidentifikasi yang digunakan oleh host/gateway lokal dan host/gateway jarak jauh untuk negosiasi dan otentikasi IPsec. Setiap ID harus menyertakan @ dan dapat menyertakan nama domain yang sepenuhnya memenuhi syarat (misalnya left@example.com)
7. Masukkan alamat IP publik atau DNS gateway VPN Opengear ini sebagai Alamat Kiri. Anda dapat membiarkannya kosong untuk menggunakan antarmuka rute default
8. Di Alamat Kanan, masukkan alamat IP publik atau DNS dari ujung terowongan yang jauh (hanya jika ujung jarak jauh tersebut memiliki alamat statis atau DynDNS). Jika tidak, biarkan ini kosong
9. Jika gateway VPN Opengear berfungsi sebagai gateway VPN ke subnet lokal (misalnya server konsol memiliki LAN Manajemen yang dikonfigurasi) masukkan detail subnet privat di Subnet Kiri. Gunakan notasi CIDR (di mana nomor alamat IP diikuti dengan garis miring dan jumlah bit `satu' dalam notasi biner netmask). Misalnyaample, 192.168.0.0/24 menunjukkan alamat IP dimana 24 bit pertama digunakan sebagai alamat jaringan. Ini sama dengan 255.255.255.0. Jika akses VPN hanya ke server konsol dan perangkat konsol serial yang terpasang, biarkan Subnet Kiri kosong
10. Jika terdapat gateway VPN di ujung jarak jauh, masukkan rincian subnet privat di Subnet Kanan. Gunakan notasi CIDR dan biarkan kosong jika hanya ada host jarak jauh
11. Pilih Initiate Tunnel jika koneksi terowongan akan dimulai dari ujung server konsol kiri. Ini hanya dapat dimulai dari gateway VPN (Kiri) jika ujung jarak jauh dikonfigurasi dengan alamat IP statis (atau DynDNS)
12. Klik Terapkan untuk menyimpan perubahan
CATATAN Detail konfigurasi yang diatur pada server konsol (disebut sebagai host Kiri atau Lokal) harus sesuai dengan pengaturan yang dimasukkan saat mengonfigurasi host/gerbang Jarak Jauh (Kanan) atau klien perangkat lunak. Lihat http://www.opengear.com/faq.html untuk rincian tentang konfigurasi ujung jarak jauh ini
3.10 OpenVPN
ACM7000, CM7100, dan IM7200 dengan firmware V3.2 dan versi lebih baru menyertakan OpenVPN. OpenVPN menggunakan perpustakaan OpenSSL untuk enkripsi, otentikasi, dan sertifikasi, yang berarti menggunakan SSL/TSL (Secure Socket Layer/Transport Layer Security) untuk pertukaran kunci dan dapat mengenkripsi saluran data dan kontrol. Penggunaan OpenVPN memungkinkan pembuatan VPN lintas platform dan titik-ke-titik menggunakan X.509 PKI (Infrastruktur Kunci Publik) atau konfigurasi khusus fileS. OpenVPN memungkinkan penerowongan data yang aman melalui satu port TCP/UDP melalui jaringan yang tidak aman, sehingga menyediakan akses aman ke banyak situs dan mengamankan administrasi jarak jauh ke server konsol melalui Internet. OpenVPN juga memungkinkan penggunaan alamat IP Dinamis oleh server dan klien sehingga memberikan mobilitas klien. Misalnyaample, terowongan OpenVPN dapat dibuat antara klien windows roaming dan server konsol Opengear dalam pusat data. Konfigurasi OpenVPN bisa jadi rumit sehingga Opengear menyediakan antarmuka GUI untuk pengaturan dasar seperti dijelaskan di bawah. Informasi lebih rinci tersedia di http://www.openvpn.net
3.10.1 Mengaktifkan OpenVPN 1. Pilih OpenVPN pada menu Serial & Jaringan
53

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
2. Klik Tambah dan selesaikan layar Tambah Terowongan OpenVPN 3. Masukkan nama deskriptif apa pun yang Anda inginkan untuk mengidentifikasi Terowongan OpenVPN yang Anda tambahkan, misalnyaample
VPN UtaraStOutlet
4. Pilih metode otentikasi yang akan digunakan. Untuk mengautentikasi menggunakan sertifikat pilih PKI (Sertifikat X.509) atau pilih Konfigurasi Kustom untuk mengunggah konfigurasi khusus fileS. Konfigurasi khusus harus disimpan di /etc/config.
CATATAN Jika Anda memilih PKI, buatlah: Sertifikat terpisah (juga dikenal sebagai kunci publik). Sertifikat ini File adalah *.crt file ketik Private Key untuk server dan setiap klien. Kunci Pribadi ini File adalah *.kunci file jenis
Sertifikat dan kunci Otoritas Sertifikat Utama (CA) yang digunakan untuk menandatangani masing-masing server
dan sertifikat klien. Sertifikat Root CA ini adalah *.crt file ketik Untuk server, Anda mungkin juga memerlukan dh1024.pem (parameter Diffie Hellman). Lihat http://openvpn.net/easyrsa.html untuk panduan manajemen kunci RSA dasar. Untuk metode autentikasi alternatif, lihat http://openvpn.net/index.php/documentation/howto.html#auth.
5. Pilih Device Driver yang akan digunakan, baik Tun-IP atau Tap-Ethernet. Driver TUN (terowongan jaringan) dan TAP (network tap) adalah driver jaringan virtual yang masing-masing mendukung penerowongan IP dan penerowongan Ethernet. TUN dan TAP adalah bagian dari kernel Linux.
6. Pilih UDP atau TCP sebagai Protokol. UDP adalah protokol default dan pilihan untuk OpenVPN. 7. Centang atau hapus centang tombol Kompresi untuk mengaktifkan atau menonaktifkan kompresi. 8. Dalam Mode Terowongan, tentukan apakah ini ujung terowongan Klien atau Server. Saat berjalan sebagai
sebuah server, server konsol mendukung banyak klien yang terhubung ke server VPN melalui port yang sama.
54

Panduan Pengguna
3.10.2 Konfigurasi sebagai Server atau Klien
1. Lengkapi Detail Klien atau Detail Server tergantung pada Mode Tunnel yang dipilih. o Jika Client sudah dipilih, maka Alamat Server Utama adalah alamat Server OpenVPN. o Jika Server telah dipilih, masukkan alamat IP Pool Network dan mask IP Pool Network untuk IP Pool tersebut. Jaringan yang ditentukan oleh alamat/mask Jaringan Kumpulan IP digunakan untuk memberikan alamat untuk menghubungkan klien.
2. Klik Terapkan untuk menyimpan perubahan
55

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
3. Untuk memasukkan sertifikat otentikasi dan files, pilih Kelola OpenVPN Filetab. Unggah atau telusuri sertifikat autentikasi yang relevan dan files.
4. Terapkan untuk menyimpan perubahan. Diselamatkan files ditampilkan dengan warna merah di sisi kanan tombol Unggah.
5. Untuk mengaktifkan OpenVPN, Edit terowongan OpenVPN
56

Panduan Pengguna
6. Centang tombol Diaktifkan. 7. Terapkan untuk menyimpan perubahan CATATAN Pastikan waktu sistem server konsol sudah benar saat bekerja dengan OpenVPN untuk menghindari hal ini
masalah otentikasi.
8. Pilih Statistik pada menu Status untuk memverifikasi bahwa terowongan beroperasi.
57

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
3.10.3 Pengaturan Klien dan Server Windows OpenVPN Bagian ini menguraikan instalasi dan konfigurasi klien Windows OpenVPN atau server Windows OpenVPN dan mengatur koneksi VPN ke server konsol. Server konsol menghasilkan konfigurasi klien Windows secara otomatis dari GUI untuk Rahasia yang Dibagikan Sebelumnya (Kunci Statis File) konfigurasi.
Sebagai alternatif, perangkat lunak OpenVPN GUI untuk Windows (yang mencakup paket OpenVPN standar ditambah GUI Windows) dapat diunduh dari http://openvpn.net. Setelah diinstal pada mesin Windows, ikon OpenVPN ditambahkan ke Area Pemberitahuan yang terletak di sisi kanan bilah tugas. Klik kanan pada ikon ini untuk memulai dan menghentikan koneksi VPN, mengedit konfigurasi, dan view log.
Ketika perangkat lunak OpenVPN mulai berjalan, C:Program FileFolder sOpenVPNconfig dipindai untuk mencari .opvn fileS. Folder ini diperiksa ulang untuk konfigurasi baru files setiap kali ikon OpenVPN GUI diklik kanan. Setelah OpenVPN diinstal, buat konfigurasi file:
58

Panduan Pengguna

Menggunakan editor teks, buat xxxx.ovpn file dan simpan di C:Program FilesOpenVPNconfig. Misalnyaample, C:Program FilesOpenVPNconfigclient.ovpn
mantanampfile konfigurasi klien OpenVPN Windows file ditunjukkan di bawah ini:
# deskripsi: IM4216_client klien proto udp kata kerja 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind persist-key persist- tun comp-lzo
mantanampfile konfigurasi OpenVPN Windows Server file ditunjukkan di bawah ini:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt key c:\openvpnkeys\server. kunci dh c:\openvpnkeys\dh.pem comp-lzo kata kerja 1 syslog IM4216_OpenVPN_Server
Konfigurasi klien/server Windows file opsinya adalah:

Opsi #deskripsi: Proto server klien udp proto tcp mssfix kata kerja
dev tun dev ketuk

Deskripsi Ini adalah komentar yang menjelaskan konfigurasi. Baris komentar dimulai dengan `#' dan diabaikan oleh OpenVPN. Tentukan apakah ini akan menjadi konfigurasi klien atau server file. Dalam konfigurasi server file, tentukan kumpulan alamat IP dan netmask. Misalnyaample, server 10.100.10.0 255.255.255.0 Atur protokol ke UDP atau TCP. Klien dan server harus menggunakan pengaturan yang sama. Mssfix menetapkan ukuran maksimum paket. Ini hanya berguna untuk UDP jika terjadi masalah.
Tetapkan log file tingkat verbositas. Tingkat verbositas log dapat diatur dari 0 (minimum) hingga 15 (maksimum). Misalnyaample, 0 = senyap kecuali untuk kesalahan fatal 3 = output sedang, bagus untuk penggunaan umum 5 = membantu dalam men-debug masalah koneksi 9 = panjang lebar, sangat baik untuk pemecahan masalah Pilih `dev tun' untuk membuat terowongan IP yang dirutekan atau `dev tap' untuk membuat terowongan Ethernet. Klien dan server harus menggunakan pengaturan yang sama.

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna

terpencil Pelabuhan Keepalive
http-proxy cafile nama>
sertifikatfile nama>
kuncifile nama>
dhfile nama> Nobind persist-key persist-tun cipher BF-CBC Blowfish (default) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

Nama host/IP server OpenVPN saat beroperasi sebagai klien. Masukkan nama host DNS atau alamat IP statis server. Port UDP/TCP server. Keepalive menggunakan ping untuk menjaga sesi OpenVPN tetap hidup. 'Keepalive 10 120′ melakukan ping setiap 10 detik dan mengasumsikan rekan jarak jauh sedang tidak aktif jika tidak ada ping yang diterima selama jangka waktu 120 detik. Jika proxy diperlukan untuk mengakses server, masukkan nama DNS atau IP server proxy dan nomor port. Masukkan sertifikat CA file nama dan lokasi. Sertifikat CA yang sama file dapat digunakan oleh server dan semua klien. Catatan: Pastikan setiap `' di jalur direktori diganti dengan ` \'. Misalnyaample, c:openvpnkeysca.crt akan menjadi c:\openvpnkeys\ca.crt Masukkan sertifikat klien atau server file nama dan lokasi. Setiap klien harus memiliki sertifikat dan kuncinya sendiri fileS. Catatan: Pastikan setiap `' di jalur direktori diganti dengan ` \'. Masukkan file nama dan lokasi kunci klien atau server. Setiap klien harus memiliki sertifikat dan kuncinya sendiri fileS. Catatan: Pastikan setiap `' di jalur direktori diganti dengan ` \'. Ini hanya digunakan oleh server. Masukkan jalur ke kunci dengan parameter Diffie-Hellman. `Nobind' digunakan ketika klien tidak perlu mengikat ke alamat lokal atau nomor port lokal tertentu. Hal ini terjadi di sebagian besar konfigurasi klien. Opsi ini mencegah pemuatan ulang kunci saat restart. Opsi ini mencegah penutupan dan pembukaan kembali perangkat TUN/TAP saat restart. Pilih sandi kriptografi. Klien dan server harus menggunakan pengaturan yang sama.
Aktifkan kompresi pada tautan OpenVPN. Ini harus diaktifkan pada klien dan server. Secara default, log terletak di syslog atau, jika dijalankan sebagai layanan di Window, di Program Filedirektori sOpenVPNlog.

Untuk memulai terowongan OpenVPN setelah pembuatan konfigurasi klien/server files: 1. Klik kanan pada ikon OpenVPN di Area Notifikasi 2. Pilih konfigurasi klien atau server yang baru dibuat. 3. Klik Hubungkan

4. Catatan file ditampilkan saat koneksi dibuat
60

Panduan Pengguna
5. Setelah dibuat, ikon OpenVPN menampilkan pesan yang menunjukkan koneksi berhasil dan IP yang ditetapkan. Informasi ini, serta waktu pembuatan koneksi, tersedia dengan menggulir ikon OpenVPN.
3.11 VPN PPTP
Server konsol menyertakan server PPTP (Point-to-Point Tunneling Protocol). PPTP digunakan untuk komunikasi melalui tautan serial fisik atau virtual. Titik akhir PPP menentukan sendiri alamat IP virtualnya. Rute ke jaringan dapat ditentukan dengan alamat IP ini sebagai gateway, yang menghasilkan lalu lintas dikirim melalui terowongan. PPTP membuat terowongan antara titik akhir PPP fisik dan mengangkut data dengan aman melintasi terowongan.
Kekuatan PPTP adalah kemudahan konfigurasi dan integrasi ke dalam infrastruktur Microsoft yang ada. Biasanya digunakan untuk menghubungkan klien Windows jarak jauh tunggal. Jika Anda membawa komputer portabel dalam perjalanan bisnis, Anda dapat menghubungi nomor lokal untuk menyambung ke penyedia layanan akses Internet (ISP) Anda dan membuat sambungan kedua (terowongan) ke jaringan kantor Anda melalui Internet dan memiliki akses yang sama ke komputer Anda. jaringan perusahaan seolah-olah Anda terhubung langsung dari kantor Anda. Telecommuter juga dapat mengatur terowongan VPN melalui modem kabel atau tautan DSL ke ISP lokal mereka.
61

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
Untuk mengatur koneksi PPTP dari klien Windows jarak jauh ke peralatan Opengear dan jaringan lokal Anda:
1. Aktifkan dan konfigurasikan server PPTP VPN pada alat Opengear Anda 2. Atur akun pengguna VPN pada alat Opengear dan aktifkan yang sesuai
otentikasi 3. Konfigurasikan klien VPN di situs jarak jauh. Klien tidak memerlukan perangkat lunak khusus seperti
Server PPTP mendukung perangkat lunak klien PPTP standar yang disertakan dengan Windows NT dan yang lebih baru 4. Hubungkan ke VPN jarak jauh 3.11.1 Aktifkan server PPTP VPN 1. Pilih PPTP VPN pada menu Serial & Jaringan
2. Pilih kotak centang Aktifkan untuk mengaktifkan Server PPTP 3. Pilih Diperlukan Otentikasi Minimum. Akses ditolak untuk pengguna jarak jauh yang mencoba melakukannya
terhubung menggunakan skema otentikasi yang lebih lemah dari skema yang dipilih. Skema tersebut dijelaskan di bawah ini, dari yang terkuat hingga yang terlemah. · Otentikasi Terenkripsi (MS-CHAP v2): Jenis otentikasi terkuat untuk digunakan; ini
opsi yang disarankan · Otentikasi Terenkripsi Lemah (CHAP): Ini adalah jenis kata sandi terenkripsi yang paling lemah
otentikasi untuk digunakan. Klien tidak disarankan untuk terhubung menggunakan ini karena hanya memberikan sedikit perlindungan kata sandi. Perhatikan juga bahwa klien yang terhubung menggunakan CHAP tidak dapat mengenkripsi lalu lintas
62

Panduan Pengguna
· Otentikasi Tidak Terenkripsi (PAP): Ini adalah otentikasi kata sandi teks biasa. Saat menggunakan jenis otentikasi ini, kata sandi klien dikirimkan tidak terenkripsi.
· Tidak ada 4. Pilih Tingkat Enkripsi yang Diperlukan. Akses ditolak untuk pengguna jarak jauh yang mencoba menyambung
yang tidak menggunakan tingkat enkripsi ini. 5. Dalam Alamat Lokal masukkan alamat IP untuk ditetapkan ke ujung server koneksi VPN 6. Dalam Alamat Jarak Jauh masukkan kumpulan alamat IP untuk ditetapkan ke VPN klien masuk
koneksi (misalnya 192.168.1.10-20). Ini harus berupa alamat IP gratis atau rentang alamat dari jaringan yang ditetapkan kepada pengguna jarak jauh saat terhubung ke peralatan Opengear 7. Masukkan nilai Unit Transmisi Maksimum (MTU) yang diinginkan untuk antarmuka PPTP ke dalam bidang MTU (default pada 1400) 8. Pada kolom DNS Server, masukkan alamat IP server DNS yang memberikan alamat IP untuk menghubungkan klien PPTP 9. Pada kolom WINS Server, masukkan alamat IP dari server WINS yang memberikan alamat IP untuk menghubungkan klien PPTP 10. Aktifkan Verbose Logging untuk membantu dalam debugging masalah koneksi 11. Klik Terapkan Pengaturan 3.11.2 Tambahkan pengguna PPTP 1. Pilih Pengguna & Grup pada menu Serial & Jaringan dan lengkapi kolom seperti yang dibahas di bagian 3.2. 2. Pastikan grup pptpd telah dicentang, untuk mengizinkan akses ke server PPTP VPN. Catatan – kata sandi pengguna di grup ini disimpan dalam bentuk teks biasa. 3. Catat nama pengguna dan kata sandi ketika Anda perlu terhubung ke koneksi VPN 4. Klik Terapkan
63

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
3.11.3 Menyiapkan klien PPTP jarak jauh Pastikan PC klien VPN jarak jauh memiliki konektivitas Internet. Untuk membuat koneksi VPN di Internet, Anda harus menyiapkan dua koneksi jaringan. Satu koneksi untuk ISP, dan koneksi lainnya untuk terowongan VPN ke peralatan Opengear. CATATAN Prosedur ini menyiapkan klien PPTP di sistem operasi Windows Professional. Langkah langkah
mungkin sedikit berbeda tergantung pada akses jaringan Anda atau jika Anda menggunakan versi Windows alternatif. Instruksi lebih rinci tersedia dari Microsoft web lokasi. 1. Login ke klien Windows Anda dengan hak administrator 2. Dari Network & Sharing Center di Control Panel pilih Network Connections dan buat koneksi baru
64

Panduan Pengguna
3. Pilih Gunakan Koneksi Internet Saya (VPN) dan masukkan Alamat IP alat Opengear Untuk menghubungkan klien VPN jarak jauh ke jaringan lokal, Anda perlu mengetahui nama pengguna dan kata sandi untuk akun PPTP yang Anda tambahkan, serta IP Internet alamat peralatan Opengear. Jika ISP Anda belum memberi Anda alamat IP statis, pertimbangkan untuk menggunakan layanan DNS dinamis. Jika tidak, Anda harus mengubah konfigurasi klien PPTP setiap kali alamat IP Internet Anda berubah.
65

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna

3.12 Menelepon ke Rumah
Semua server konsol menyertakan fitur Panggilan ke Rumah yang memulai pengaturan terowongan SSH aman dari server konsol ke Opengear Lighthouse terpusat. Server konsol mendaftar sebagai kandidat di Lighthouse. Setelah diterima di sana, itu menjadi Server Konsol Terkelola.
Lighthouse memantau Server Konsol Terkelola dan administrator dapat mengakses Server Konsol Terkelola jarak jauh melalui Lighthouse. Akses ini tersedia bahkan ketika server konsol jarak jauh berada di belakang firewall pihak ketiga atau memiliki alamat IP pribadi yang tidak dapat dirutekan.

CATATAN

Lighthouse memelihara koneksi SSH yang diautentikasi dengan kunci publik ke setiap Server Konsol Terkelolanya. Koneksi ini digunakan untuk memantau, mengarahkan, dan mengakses Server Konsol Terkelola dan perangkat terkelola yang tersambung ke Server Konsol Terkelola.

Untuk mengelola Server Konsol Lokal, atau server konsol yang dapat dijangkau dari Lighthouse, koneksi SSH diprakarsai oleh Lighthouse.

Untuk mengelola Server Konsol Jarak Jauh, atau server konsol yang diberi firewall, tidak dapat dirutekan, atau tidak dapat dijangkau dari Lighthouse, koneksi SSH dimulai oleh Server Konsol Terkelola melalui koneksi Panggilan Rumah awal.

Hal ini memastikan komunikasi yang aman dan terautentikasi serta memungkinkan unit Server Konsol Terkelola didistribusikan secara lokal di LAN, atau secara jarak jauh di seluruh dunia.

3.12.1 Mengatur kandidat Panggilan Rumah Untuk mengatur server konsol sebagai kandidat manajemen Panggilan Rumah di Lighthouse:
1. Pilih Panggil Rumah pada menu Serial & Jaringan

2. Jika Anda belum membuat atau mengunggah pasangan kunci SSH untuk server konsol ini, lakukan sebelum melanjutkan
3. Klik Tambah

4. Masukkan alamat IP atau nama DNS (misalnya alamat DNS dinamis) Lighthouse.
5. Masukkan Password yang Anda konfigurasikan pada CMS sebagai Call Home Password.
66

Panduan Pengguna
6. Klik Terapkan Langkah-langkah ini memulai koneksi Panggilan Rumah dari server konsol ke Lighthouse. Ini menciptakan port SSHlistening di Lighthouse dan menetapkan server konsol sebagai kandidat.
Setelah kandidat diterima di Lighthouse, terowongan SSH ke server konsol dialihkan kembali melalui koneksi Call Home. Server konsol telah menjadi Server Konsol Terkelola dan Lighthouse dapat terhubung dan memantaunya melalui terowongan ini. 3.12.2 Menerima kandidat Panggilan Rumah sebagai Server Konsol Terkelola di Lighthouse Bagian ini memberikan penjelasan lebihview tentang mengonfigurasi Lighthouse untuk memantau server konsol Lighthouse yang terhubung melalui Call Home. Untuk lebih jelasnya lihat Panduan Pengguna Lighthouse:
1. Masukkan Kata Sandi Panggilan Rumah baru di Mercusuar. Kata sandi ini digunakan untuk menerima
Hubungi Homeconnections dari server konsol kandidat
2. Lighthouse dapat dihubungi melalui server konsol, ia harus memiliki IP statis
alamat atau, jika menggunakan DHCP, dikonfigurasikan untuk menggunakan layanan DNS dinamis
Layar Konfigurasi > Server Konsol Terkelola di Lighthouse menunjukkan status
Server dan kandidat Konsol Terkelola lokal dan jarak jauh.
Bagian Server Konsol Terkelola menunjukkan server konsol yang dipantau oleh
Lighthouse.Bagian Server Konsol Terdeteksi berisi:
o Drop-down Server Konsol Lokal yang mencantumkan semua server konsol yang ada di
subnet yang sama dengan Lighthouse, dan tidak dipantau
67

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
o Drop-down Server Konsol Jarak Jauh yang mencantumkan semua server konsol yang telah membuat koneksi Panggilan Rumah dan tidak dipantau (yaitu kandidat). Anda dapat mengklik Segarkan untuk memperbarui
Untuk menambahkan kandidat server konsol ke daftar Server Konsol Terkelola, pilih kandidat tersebut dari daftar drop-down Server Konsol Jarak Jauh dan klik Tambahkan. Masukkan Alamat IP dan Port SSH (jika bidang ini belum diisi secara otomatis) dan masukkan Deskripsi dan Nama unik untuk server Konsol Terkelola yang Anda tambahkan
Masukkan Kata Sandi Root Jarak Jauh (yaitu Kata Sandi Sistem yang telah ditetapkan pada server Konsol Terkelola ini). Kata sandi ini digunakan oleh Lighthouse untuk menyebarkan kunci SSH yang dibuat secara otomatis dan tidak disimpan. Klik Terapkan. Lighthouse menyiapkan koneksi SSH yang aman ke dan dari Server Konsol Terkelola dan mengambil Perangkat Terkelola, detail akun pengguna, dan peringatan yang dikonfigurasi 3.12.3 Memanggil Rumah ke server SSH pusat generik Jika Anda terhubung ke server SSH generik (bukan Lighthouse) Anda dapat mengkonfigurasi pengaturan Lanjutan: · Masukkan Port Server SSH dan Pengguna SSH. · Masukkan detail penerus port SSH yang akan dibuat
Dengan memilih Server Mendengarkan, Anda dapat membuat penerusan port jarak jauh dari Server ke unit ini, atau penerusan port Lokal dari unit ini ke Server:
68

Panduan Pengguna
· Tentukan Listening Port untuk meneruskan, biarkan kolom ini kosong untuk mengalokasikan port yang tidak digunakan · Masukkan Server Target dan Port Target yang akan menjadi penerima koneksi yang diteruskan
3.13 Jalur IP
IP Passthrough digunakan untuk membuat koneksi modem (misalnya modem seluler internal) tampak seperti koneksi Ethernet biasa ke router hilir pihak ketiga, sehingga router hilir dapat menggunakan koneksi modem sebagai antarmuka WAN utama atau cadangan.
Perangkat Opengear memberikan alamat IP modem dan detail DNS ke perangkat hilir melalui DHCP dan meneruskan lalu lintas jaringan ke dan dari modem dan router.
Meskipun IP Passthrough mengubah Opengear menjadi setengah jembatan modem-ke-Ethernet, beberapa layanan lapisan 4 (HTTP/HTTPS/SSH) dapat dihentikan di Opengear (Service Intercepts). Selain itu, layanan yang berjalan di Opengear dapat memulai koneksi seluler keluar secara independen dari router hilir.
Hal ini memungkinkan Opengear untuk terus digunakan untuk manajemen dan peringatan out-of-band dan juga dikelola melalui Lighthouse, saat dalam mode IP Passthrough.
3.13.1 Pengaturan Router Hilir Untuk menggunakan konektivitas failover pada router hilir (alias Failover to Cellular atau F2C), harus memiliki dua atau lebih antarmuka WAN.
CATATAN Failover dalam konteks IP Passthrough dilakukan oleh router hilir, dan logika failover out-ofband bawaan pada Opengear tidak tersedia saat dalam mode IP Passthrough.
Hubungkan antarmuka WAN Ethernet pada router hilir ke Antarmuka Jaringan Opengear atau port LAN Manajemen dengan kabel Ethernet.
Konfigurasikan antarmuka ini pada router hilir untuk menerima pengaturan jaringannya melalui DHCP. Jika failover diperlukan, konfigurasikan router hilir untuk failover antara antarmuka utamanya dan port Ethernet yang terhubung ke Opengear.
3.13.2 Pra-Konfigurasi IP Passthrough Langkah-langkah prasyarat untuk mengaktifkan IP Passthrough adalah:
1. Konfigurasikan Antarmuka Jaringan dan jika ada Antarmuka LAN Manajemen dengan pengaturan jaringan statis. · Klik Serial & Jaringan > IP. · Untuk Antarmuka Jaringan dan LAN Manajemen jika berlaku, pilih Statis untuk Metode Konfigurasi dan masukkan pengaturan jaringan (lihat bagian berjudul Konfigurasi Jaringan untuk instruksi rinci). · Untuk antarmuka yang terhubung ke router hilir, Anda dapat memilih jaringan pribadi khusus mana pun. Jaringan ini hanya ada antara Opengear dan router hilir dan biasanya tidak dapat diakses. · Untuk antarmuka lainnya, konfigurasikan seperti biasa di jaringan lokal. · Untuk kedua antarmuka, biarkan Gateway kosong.
2. Konfigurasikan modem dalam mode Always On Out-of-band.
69

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
· Untuk koneksi seluler, klik Sistem > Dial: Modem Seluler Internal. · Pilih Aktifkan Dial-Out dan masukkan detail operator seperti APN (lihat bagian Modem Seluler
Koneksi untuk instruksi rinci). 3.13.3 Konfigurasi IP Passthrough Untuk mengkonfigurasi IP Passthrough:
· Klik Serial & Jaringan > IP Passthrough dan centang Aktifkan. · Pilih Modem Opengear yang akan digunakan untuk konektivitas upstream. · Secara opsional, masukkan Alamat MAC antarmuka terhubung router hilir. Jika alamat MAC adalah
tidak ditentukan, Opengear akan meneruskan ke perangkat hilir pertama yang meminta alamat DHCP. · Pilih Antarmuka Ethernet Opengear yang akan digunakan untuk konektivitas ke router hilir.
· Klik Terapkan. 3.13.4 Intersepsi Layanan Ini memungkinkan Opengear untuk terus menyediakan layanan, misalnyaample, untuk manajemen out-of-band ketika dalam mode IP Passthrough. Koneksi ke alamat modem pada port intersep yang ditentukan ditangani oleh Opengear daripada diteruskan ke router hilir.
· Untuk layanan HTTP, HTTPS atau SSH yang diperlukan, centang Aktifkan · Secara opsional ubah Port Intercept ke port alternatif (misalnya 8443 untuk HTTPS), ini berguna jika Anda
ingin terus mengizinkan router hilir tetap dapat diakses melalui port regulernya. 3.13.5 Status Passthrough IP Segarkan halaman ke view bagian Status. Ini menampilkan Alamat IP Eksternal modem yang sedang dilewati, Alamat MAC Internal dari router hilir (hanya diisi ketika router hilir menerima sewa DHCP), dan status keseluruhan layanan IP Passthrough yang berjalan. Anda mungkin diperingatkan tentang status failover router hilir dengan mengonfigurasi Pemeriksaan Penggunaan Data yang Dirutekan di bawah Peringatan & Pencatatan > Respons Otomatis. 3.13.6 Peringatan Beberapa router hilir mungkin tidak kompatibel dengan rute gateway. Hal ini dapat terjadi ketika IP Passthrough menjembatani jaringan seluler 3G dimana alamat gateway adalah alamat tujuan titik-ke-titik dan tidak ada informasi subnet yang tersedia. Opengear mengirimkan netmask DHCP 255.255.255.255. Perangkat biasanya menafsirkan ini sebagai rute host tunggal pada antarmuka, namun beberapa perangkat hilir yang lebih lama mungkin mengalami masalah.
70

Panduan Pengguna
Intersepsi untuk layanan lokal tidak akan berfungsi jika Opengear menggunakan rute default selain modem. Selain itu, layanan tersebut tidak akan berfungsi kecuali layanan diaktifkan dan akses ke layanan diaktifkan (lihat Sistem > Layanan, di tab Akses Layanan, temukan Dialout/Seluler).
Koneksi keluar yang berasal dari Opengear ke layanan jarak jauh didukung (misalnya mengirim peringatan email SMTP, jebakan SNMP, mendapatkan waktu NTP, terowongan IPSec). Ada risiko kecil kegagalan koneksi jika Opengear dan perangkat hilir mencoba mengakses port UDP atau TCP yang sama pada host jarak jauh yang sama pada saat yang sama ketika mereka secara acak memilih nomor port lokal asal yang sama.
3.14 Konfigurasi melalui DHCP (ZTP)
Perangkat Opengear dapat diprovisikan selama booting awal dari server DHCPv4 atau DHCPv6 menggunakan config-over-DHCP. Penyediaan pada jaringan yang tidak tepercaya dapat difasilitasi dengan menyediakan kunci pada USB flash drive. Fungsionalitas ZTP juga dapat digunakan untuk melakukan peningkatan firmware pada koneksi awal ke jaringan, atau untuk mendaftar ke instans Lighthouse 5.
Persiapan Langkah-langkah umum untuk konfigurasi melalui jaringan tepercaya adalah:
1. Konfigurasikan perangkat Opengear dengan model yang sama. 2. Simpan konfigurasinya sebagai cadangan Opengear (.opg) file. 3. Pilih Sistem > Cadangan Konfigurasi > Cadangan Jarak Jauh. 4. Klik Simpan Cadangan. Konfigurasi cadangan file — model-name_iso-format-date_config.opg — diunduh dari perangkat Opengear ke sistem lokal. Anda dapat menyimpan konfigurasi sebagai xml file: 1. Pilih Sistem > Cadangan Konfigurasi > Konfigurasi XML. Bidang yang dapat diedit berisi
konfigurasi file dalam format XML muncul. 2. Klik pada kolom untuk mengaktifkannya. 3. Jika Anda menjalankan browser apa pun di Windows atau Linux, klik kanan dan pilih Pilih Semua dari
menu kontekstual atau tekan Control-A. Klik kanan dan pilih Salin dari menu kontekstual atau tekan Control-C. 4. Jika Anda menggunakan browser apa pun di macOS, pilih Edit > Pilih Semua atau tekan Command-A. Pilih Edit > Salin atau tekan Command-C. 5. Di editor teks pilihan Anda, buat dokumen kosong baru, tempelkan data yang disalin ke dalam dokumen kosong dan simpan file. Apa pun file-nama yang Anda pilih, harus menyertakan .xml fileakhiran nama. 6. Salin .opg atau .xml yang disimpan file ke direktori publik di a file server yang melayani setidaknya salah satu protokol berikut: HTTPS, HTTP, FTP atau TFTP. (Hanya HTTPS yang dapat digunakan jika koneksi antar file server dan perangkat Opengear yang akan dikonfigurasi berjalan melalui jaringan yang tidak tepercaya.). 7. Konfigurasikan server DHCP Anda untuk menyertakan opsi `khusus vendor' untuk perangkat Opengear. (Ini akan dilakukan dengan cara khusus server DHCP.) Opsi khusus vendor harus disetel ke string yang berisi URL dari .opg atau .xml yang dipublikasikan file pada langkah di atas. String opsi tidak boleh melebihi 250 karakter dan harus diakhiri dengan .opg atau .xml.
71

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
8. Hubungkan perangkat Opengear baru, baik yang disetel ulang pabrik atau Dihapus Konfigurasi, ke jaringan dan gunakan daya. Mungkin diperlukan waktu hingga 5 menit agar perangkat melakukan boot ulang sendiri.
Example konfigurasi server ISC DHCP (dhcpd).
Berikut ini adalah contohample fragmen konfigurasi server DHCP untuk menyajikan gambar konfigurasi .opg melalui server DHCP ISC, dhcpd:
ruang opsi kode opengear lebar 1 panjang lebar 1; opsi opengear.config-url kode 1 = teks; kelas “opengear-config-over-dhcp-test” {
cocok jika opsi pengenal kelas vendor ~~ “^Opengear/”; opengear ruang opsi vendor; opsi opengear.config-url “https://misample.com/opg/${class}.opg”; }
Pengaturan ini dapat dimodifikasi untuk meningkatkan gambar konfigurasi menggunakan opengear.image-url pilihan, dan memberikan URI ke gambar firmware.
Setup ketika LAN tidak dipercaya Jika koneksi antara file server dan perangkat Opengear yang akan dikonfigurasi mencakup jaringan yang tidak tepercaya, pendekatan dua tangan dapat mengurangi masalah ini.
CATATAN Pendekatan ini memperkenalkan dua langkah fisik di mana kepercayaan mungkin sulit, bahkan tidak mungkin, untuk dibangun sepenuhnya. Pertama, rantai penyimpanan mulai dari pembuatan flash drive USB pembawa data hingga penerapannya. Kedua, tangan menghubungkan USB flash drive ke perangkat Opengear.
· Hasilkan sertifikat X.509 untuk perangkat Opengear.
· Gabungkan sertifikat dan kunci privatnya menjadi satu file bernama klien.pem.
· Salin client.pem ke USB flash drive.
· Siapkan server HTTPS sehingga akses ke .opg atau .xml file dibatasi untuk klien yang dapat memberikan sertifikat klien X.509 yang dibuat di atas.
· Masukkan salinan sertifikat CA yang menandatangani sertifikat server HTTP — ca-bundle.crt — ke dalam flash drive USB yang memuat client.pem.
· Masukkan flash drive USB ke perangkat Opengear sebelum menyambungkan daya atau jaringan.
· Lanjutkan prosedur dari `Salin .opg atau .xml yang disimpan file ke direktori publik di a file server' di atas menggunakan protokol HTTPS antara klien dan server.
Siapkan drive USB dan buat sertifikat X.509 dan kunci pribadi
· Menghasilkan sertifikat CA sehingga Permintaan Penandatanganan Sertifikat (CSR) klien dan server dapat ditandatangani.
# cp /etc/ssl/openssl.cnf . # mkdir -p mantanampleCA/certs baru # echo 00 > misampleCA/serial # echo 00 > misampleCA/crlnumber # sentuh exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=MantanampleCA # cp demoCA/cacert.pem ca-bundle.crt
Prosedur ini menghasilkan sertifikat yang disebut ExampleCA tetapi nama sertifikat apa pun yang diizinkan dapat digunakan. Juga, prosedur ini menggunakan openssl ca. Jika organisasi Anda memiliki proses pembuatan CA yang aman dan mencakup seluruh perusahaan, sebaiknya gunakan proses tersebut.
72

Panduan Pengguna
· Hasilkan sertifikat server.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -hari 365 -masuk server.csr -keluar server.crt
-kuncifile ca.key -kebijakan policy_anything -batch -notext
CATATAN Nama host atau alamat IP harus sama dengan string yang digunakan dalam penyajian URL. Di mantanample di atas, nama hostnya adalah demo.example.com.
· Hasilkan sertifikat klien.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-kuncifile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Format flash drive USB sebagai volume FAT32 tunggal.
· Pindahkan client.pem dan ca-bundle.crt files ke direktori root flash drive.
Men-debug masalah ZTP Gunakan fitur log ZTP untuk men-debug masalah ZTP. Saat perangkat mencoba melakukan operasi ZTP, informasi log ditulis ke /tmp/ztp.log pada perangkat.
Berikut ini adalah contohample dari log file dari menjalankan ZTP yang sukses.
# cat /tmp/ztp.log Rabu 13 Des 22:22:17 UTC 2017 [pemberitahuan 5127] odhcp6c.eth0: memulihkan konfigurasi melalui DHCP Rabu 13 Des 22:22:17 UTC 2017 [pemberitahuan 5127] odhcp6c.eth0: menunggu 10 detik agar jaringan diselesaikan Rabu 13 Des 22:22:27 UTC 2017 [pemberitahuan 5127] odhcp6c.eth0: NTP dilewati: tidak ada server Rabu 13 Des 22:22:27 UTC 2017 [info 5127] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Rabu 13 Des 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) Rabu 13 Des 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.3 (n/a) Rabu 13 Des 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.4 (n/a ) Rabu 13 Des 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.5 (n/a) Rabu 13 Des 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.6 (n /a) Rabu 13 Des 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: tidak ada firmware untuk diunduh (vendorspec.2) cadangan-url: mencoba http://[fd07:2218:1350:44::1]/tftpboot/config.sh … cadangan-url: memaksa mode konfigurasi wan ke cadangan DHCP-url: mengatur nama host ke cadangan acm7004-0013c601ce97-url: pemuatan berhasil Rabu 13 Des 22:22:36 UTC 2017 [pemberitahuan 5127] odhcp6c.eth0: konfigurasi berhasil memuat Rabu 13 Des 22:22:36 UTC 2017 [info 5127] odhcp6c.eth0: tidak ada konfigurasi mercusuar (vendorspec.3/ 4/5/6) Rabu 13 Des 22:22:36 UTC 2017 [pemberitahuan 5127] odhcp6c.eth0: penyediaan selesai, bukan reboot
Kesalahan dicatat dalam log ini.
3.15 Pendaftaran ke Lighthouse
Gunakan Pendaftaran ke Lighthouse untuk mendaftarkan perangkat Opengear ke dalam instans Lighthouse, menyediakan akses terpusat ke port konsol, dan memungkinkan konfigurasi terpusat pada perangkat Opengear.
Lihat Panduan Pengguna Lighthouse untuk instruksi mendaftarkan perangkat Opengear ke Lighthouse.
73

Bab 3: Port Serial, Perangkat dan Konfigurasi Pengguna
3.16 Aktifkan Relai DHCPv4
Layanan relai DHCP meneruskan paket DHCP antara klien dan server DHCP jarak jauh. Layanan relai DHCP dapat diaktifkan di server konsol Opengear, sehingga layanan tersebut mendengarkan klien DHCP pada antarmuka bawah yang ditentukan, membungkus dan meneruskan pesan mereka ke server DHCP menggunakan perutean normal, atau disiarkan langsung ke antarmuka atas yang ditentukan. Agen relay DHCP kemudian menerima pesan DHCP dan menghasilkan pesan DHCP baru untuk dikirim pada antarmuka lain. Pada langkah-langkah di bawah ini, server konsol dapat terhubung ke id sirkuit, Ethernet, atau modem seluler menggunakan layanan Relay DHCPv4.
Relai DHCPv4 + Opsi DHCP 82 (id sirkuit) Infrastruktur – Server DHCP lokal, ACM7004-5 untuk relai, perangkat lain untuk klien. Perangkat apa pun dengan peran LAN dapat digunakan sebagai relay. Dalam mantan iniample, 192.168.79.242 adalah alamat untuk antarmuka relai klien (sebagaimana didefinisikan dalam konfigurasi server DHCP file di atas) dan 192.168.79.244 adalah alamat antarmuka atas kotak relai, dan enp112s0 adalah antarmuka hilir server DHCP.
1 Infrastruktur – Relai DHCPv4 + Opsi DHCP 82 (id sirkuit)
Langkah-langkah pada DHCP Server 1. Setup server DHCP v4 lokal, khususnya, harus berisi entri “host” seperti di bawah ini untuk klien DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; opsi pengidentifikasi host agent.sirkuit-id “relay1”; alamat tetap 192.168.79.242; } Catatan: baris “hardware ethernet” dikomentari, sehingga server DHCP akan menggunakan pengaturan “sirkuit-id” untuk menetapkan alamat untuk klien yang relevan. 2. Mulai ulang DHCP Server untuk memuat ulang konfigurasi yang diubah file. pkill -HUP dhcpd
74

Panduan Pengguna
3. Tambahkan rute host secara manual ke antarmuka "relai" klien (antarmuka di belakang relai DHCP, bukan antarmuka lain yang mungkin juga dimiliki klien:
sudo ip rute tambahkan 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Ini akan membantu menghindari masalah perutean asimetris ketika klien dan server DHCP ingin saling mengakses melalui antarmuka relai klien, ketika klien memiliki antarmuka lain yang sama subnet dari kumpulan alamat DHCP.
Catatan: Langkah ini wajib dilakukan untuk mendukung server dhcp dan klien dapat saling mengakses.
Langkah pada kotak Relay – ACM7004-5
1. Atur WAN/eth0 dalam mode statis atau dhcp (bukan mode tidak dikonfigurasi). Jika dalam mode statis, ia harus memiliki alamat IP dalam kumpulan alamat server DHCP.
2. Terapkan konfigurasi ini melalui CLI (192.168.79.1 adalah alamat server DHCP)
config -s config.services.dhcprelay.enabled=pada config -s config.services.dhcprelay.lowers.lower1.circir_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Antarmuka relai DHCP yang lebih rendah harus memiliki alamat IP statis dalam kumpulan alamat server DHCP. Dalam mantan iniample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Tunggu beberapa saat hingga klien memperoleh sewa DHCP melalui relay.
Langkah-langkah pada Klien (CM7116-2-dac di example atau OG CS lainnya)
1. Hubungkan LAN/eth1 klien ke LAN/eth1 relay 2. Konfigurasikan LAN klien untuk mendapatkan alamat IP melalui DHCP seperti biasa 3. Setelah klien

Dokumen / Sumber Daya

opengear ACM7000 Gerbang Situs Jarak Jauh [Bahasa Indonesia:] Panduan Pengguna
Gerbang Situs Jarak Jauh ACM7000, ACM7000, Gerbang Situs Jarak Jauh, Gerbang Situs, Gerbang

Referensi

Panduan Pengguna

opengear ACM7000 Gerbang Situs Jarak Jauh

Informasi Produk

Petunjuk Penggunaan Produk

Tanya Jawab Umum

Manual ini

Konfigurasi Sistem

Port Serial, Host, Perangkat & Konfigurasi Pengguna

Dokumen / Sumber Daya

Referensi

Tinggalkan komentar

Batalkan balasan