Manuale utente opengear ACM7000 Gateway sito remoto

Non connettere o disconnettere il server della console durante un temporale. Utilizzare sempre un soppressore di sovratensioni o un UPS per proteggere l'apparecchiatura dai transitori.

Avviso FCC:

Questo dispositivo è conforme alla Parte 15 delle norme FCC. Il funzionamento di questo dispositivo è soggetto alle seguenti condizioni: (1) questo dispositivo non può causare interferenze dannose e (2) questo dispositivo deve accettare qualsiasi interferenza che possa causare un funzionamento indesiderato.

Domande frequenti

D: Posso utilizzare il Gateway del sito remoto ACM7000 durante un temporale?
- A: No, si consiglia di non connettere o disconnettere il server della console durante un temporale per evitare danni.

D: A quale versione delle norme FCC è conforme il dispositivo?
- A: Il dispositivo è conforme alla Parte 15 delle norme FCC.

View Fullscreen

Manuale d'uso
Gateway del sito remoto ACM7000 Gateway di resilienza ACM7000-L IM7200 Gestore infrastruttura CM7100 Server console
Versione 5.0 – 2023-12

Sicurezza
Seguire le precauzioni di sicurezza riportate di seguito durante l'installazione e l'utilizzo del server console: · Non rimuovere le coperture metalliche. All'interno non sono presenti componenti riparabili dall'operatore. L'apertura o la rimozione del coperchio può esporre a rischi pericolositage che potrebbero causare incendi o scosse elettriche. Affidare tutti gli interventi di assistenza a personale qualificato Opengear. · Per evitare scosse elettriche, il conduttore di terra protettivo del cavo di alimentazione deve essere collegato a terra. · Quando si scollega il cavo di alimentazione dalla presa, tirare sempre la spina e non il cavo.
Non connettere o disconnettere il server della console durante un temporale. Utilizzare anche un soppressore di sovratensioni o un UPS per proteggere l'apparecchiatura dai transitori.
Dichiarazione di avvertenza FCC
Questo dispositivo è conforme alla Parte 15 delle norme FCC. Il funzionamento di questo dispositivo è soggetto a quanto segue
condizioni: (1) questo dispositivo non può causare interferenze dannose e (2) questo dispositivo deve accettare qualsiasi interferenza che possa causare un funzionamento indesiderato.
È necessario utilizzare sistemi di backup adeguati e dispositivi di sicurezza necessari per proteggere da lesioni, morte o danni materiali dovuti a guasti del sistema. Tale protezione è responsabilità dell'utente. Questo dispositivo server console non è approvato per l'uso come sistema medico o di supporto vitale. Qualsiasi cambiamento o modifica apportata a questo dispositivo server console senza l'approvazione o il consenso espliciti di Opengear annullerà Opengear da qualsiasi responsabilità per lesioni o perdite causate da qualsiasi malfunzionamento. Questa apparecchiatura è per uso interno e tutti i cablaggi di comunicazione sono limitati all'interno dell'edificio.
2

Manuale d'uso
Copyright
©Opengear Inc. 2023. Tutti i diritti riservati. Le informazioni contenute in questo documento sono soggette a modifiche senza preavviso e non rappresentano un impegno da parte di Opengear. Opengear fornisce questo documento "così com'è", senza garanzie di alcun tipo, espresse o implicite, incluse, ma non limitate a, le garanzie implicite di idoneità o commerciabilità per uno scopo particolare. Opengear può apportare miglioramenti e/o modifiche a questo manuale o ai prodotti e/o ai programmi descritti in questo manuale in qualsiasi momento. Questo prodotto potrebbe contenere imprecisioni tecniche o errori tipografici. Periodicamente vengono apportate modifiche alle informazioni qui contenute; tali modifiche potranno essere incorporate in nuove edizioni della pubblicazione.\

Capitolo 1

Questo manuale

QUESTO MANUALE

Questo manuale utente spiega l'installazione, il funzionamento e la gestione dei server della console Opengear. Questo manuale presuppone che tu abbia familiarità con le reti Internet e IP, HTTP, FTP, le operazioni di sicurezza di base e la rete interna della tua organizzazione.
1.1 Tipologie di utenti
Il server della console supporta due classi di utenti:
· Amministratori che dispongono di privilegi illimitati di configurazione e gestione sulla console
server e dispositivi connessi, nonché tutti i servizi e le porte per controllare tutti i dispositivi connessi in serie e i dispositivi connessi in rete (host). Gli amministratori sono configurati come membri del gruppo utenti amministratori. Un amministratore può accedere e controllare il server della console utilizzando l'utilità di configurazione, la riga di comando di Linux o la console di gestione basata su browser.
· Utenti che sono stati configurati da un amministratore con limiti di accesso e autorità di controllo.
Gli utenti hanno un limite view della Management Console e può accedere solo ai dispositivi configurati autorizzati e review registri del porto. Questi utenti sono impostati come membri di uno o più gruppi di utenti preconfigurati come PPTPD, dialin, FTP, pmshell, utenti o gruppi di utenti che l'amministratore potrebbe aver creato. Sono autorizzati solo a eseguire controlli specifici su specifici dispositivi collegati. Gli utenti, quando autorizzati, possono accedere e controllare i dispositivi seriali o connessi alla rete utilizzando servizi specifici (ad esempio Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Gli utenti remoti sono utenti che non si trovano sullo stesso segmento LAN del server della console. Un utente remoto potrebbe essere in viaggio e connettersi ai dispositivi gestiti tramite la rete Internet pubblica, un amministratore in un altro ufficio connettersi al server della console tramite la VPN aziendale oppure nella stessa stanza o nello stesso ufficio ma connesso alla console su una VLAN separata server.
1.2 Consolle di gestione
La console di gestione Opengear consente di configurare e monitorare le funzionalità del server della console Opengear. La console di gestione viene eseguita in un browser e fornisce a view del server della console e di tutti i dispositivi collegati. Gli amministratori possono utilizzare la console di gestione per configurare e gestire il server della console, gli utenti, le porte, gli host, i dispositivi di alimentazione e i registri e gli avvisi associati. Gli utenti non amministratori possono utilizzare la console di gestione con accesso limitato al menu per controllare dispositivi selezionati, ad esview i loro registri e accedervi utilizzando il built-in Web terminale.
Il server della console esegue un sistema operativo Linux incorporato e può essere configurato dalla riga di comando. È possibile ottenere l'accesso alla riga di comando tramite cellulare/accesso remoto, collegandosi direttamente alla porta seriale/modem del server della console o utilizzando SSH o Telnet per connettersi al server della console tramite LAN (o connettendosi con PPTP, IPsec o OpenVPN) .
6

Manuale d'uso
Per i comandi dell'interfaccia a riga di comando (CLI) e le istruzioni avanzate, scaricare Opengear CLI e Scripting Reference.pdf da https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Maggiori informazioni
Per ulteriori informazioni consultare: · Prodotti Opengear Web Sito: vedere https://opengear.com/products. Per ottenere le informazioni più aggiornate su cosa è incluso nel server della console, visitare la sezione Cosa è incluso per il tuo prodotto specifico. · Guida rapida: per ottenere la guida rapida per il tuo dispositivo, consulta https://opengear.com/support/documentation/. · Base di conoscenza Opengear: visita https://opengear.zendesk.com per accedere ad articoli tecnici, suggerimenti tecnici, domande frequenti e notifiche importanti. · CLI Opengear e riferimento agli script: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Capitolo 2:

Configurazione del sistema

CONFIGURAZIONE DI SISTEMA

Questo capitolo fornisce istruzioni dettagliate per la configurazione iniziale del server della console e per la connessione alla LAN di gestione o operativa. I passaggi sono:
Attiva la Console di Gestione. Cambia la password dell'amministratore. Impostare la porta LAN principale del server della console dell'indirizzo IP. Selezionare i servizi da abilitare e i privilegi di accesso. In questo capitolo vengono inoltre descritti gli strumenti software di comunicazione che un amministratore può utilizzare per accedere al server della console e la configurazione delle porte LAN aggiuntive.
2.1 Connessione alla Console di Gestione
Il server della console viene fornito configurato con un indirizzo IP predefinito 192.168.0.1 e una maschera di sottorete 255.255.255.0 per NET1 (WAN). Per la configurazione iniziale, ti consigliamo di collegare un computer direttamente alla console. Se scegli di connettere la tua LAN prima di completare i passaggi di configurazione iniziali, assicurati che:
· Non ci sono altri dispositivi sulla LAN con l'indirizzo 192.168.0.1. · Il server della console e il computer si trovano sullo stesso segmento LAN, senza router interposto
elettrodomestici.
2.1.1 Configurazione del computer connesso Per configurare il server della console con un browser, il computer connesso deve avere un indirizzo IP compreso nello stesso intervallo del server della console (ad es.ample, 192.168.0.100):
· Per configurare l'indirizzo IP del tuo computer Linux o Unix, esegui ifconfig. · Per PC Windows:
1. Fare clic su Start > Impostazioni > Pannello di controllo e fare doppio clic su Connessioni di rete. 2. Fare clic con il tasto destro su Connessione alla rete locale e selezionare Proprietà. 3. Selezionare Protocollo Internet (TCP/IP) e fare clic su Proprietà. 4. Selezionare Utilizza il seguente indirizzo IP e inserire i seguenti dettagli:
o Indirizzo IP: 192.168.0.100 o Maschera di sottorete: 255.255.255.0 5. Se si desidera mantenere le impostazioni IP esistenti per questa connessione di rete, fare clic su Avanzate e Aggiungi quanto sopra come connessione IP secondaria.
2.1.2 Connessione al browser
Aprire un browser sul PC/workstation collegato e inserire https://192.168.0.1.
Entra con:
Nome utente> Password root> predefinito
8

Manuale d'uso
La prima volta che accedi ti viene richiesto di cambiare la password di root. Fare clic su Invia.
Per completare la modifica inserire nuovamente la nuova password. Fare clic su Invia. Viene visualizzata la schermata di benvenuto.
Se il sistema dispone di un modem cellulare, verranno forniti i passaggi per configurare le funzionalità del router cellulare: · Configurare la connessione del modem cellulare (pagina Sistema > Chiama. Vedere il capitolo 4) · Consentire l'inoltro alla rete cellulare di destinazione (pagina Sistema > Firewall. Vedere il capitolo 4) · Abilita il mascheramento IP per la connessione cellulare (pagina Sistema > Firewall. Vedere il capitolo 4)
Dopo aver completato ciascuno dei passaggi precedenti, puoi tornare all'elenco di configurazione facendo clic sul logo Opengear nell'angolo in alto a sinistra dello schermo. NOTA Se non si riesce a connettersi alla console di gestione al numero 192.168.0.1 o se il numero predefinito
Nome utente/password non sono accettati, reimpostare il server della console (vedere il capitolo 10).
9

Capitolo 2: Configurazione del sistema
2.2 Configurazione dell'amministratore
2.2.1 Modifica della password di sistema root predefinita È necessario modificare la password root al primo accesso al dispositivo. Puoi modificare questa password in qualsiasi momento.
1. Fare clic su Seriale e rete > Utenti e gruppi oppure, nella schermata di benvenuto, fare clic su Modifica password di amministrazione predefinita.
2. Scorrere verso il basso e individuare la voce dell'utente root in Utenti e fare clic su Modifica. 3. Immettere la nuova password nei campi Password e Conferma.
NOTA Selezionando Salva password durante le cancellazioni del firmware si salva la password in modo che non venga cancellata quando il firmware viene ripristinato. Se questa password viene persa, sarà necessario ripristinare il firmware del dispositivo.
4. Fare clic su Applica. Accedi con la nuova password 2.2.2 Configura un nuovo amministratore Crea un nuovo utente con privilegi amministrativi e accedi come questo utente per le funzioni di amministrazione, anziché utilizzare root.
10

Manuale d'uso
1. Fare clic su Seriale e rete > Utenti e gruppi. Scorri fino alla fine della pagina e fai clic sul pulsante Aggiungi utente.
2. Immettere un nome utente. 3. Nella sezione Gruppi, seleziona la casella di amministrazione. 4. Immettere una password nei campi Password e Conferma.
5. Puoi anche aggiungere chiavi autorizzate SSH e scegliere di disabilitare l'autenticazione con password per questo utente.
6. In questa pagina è possibile impostare opzioni aggiuntive per questo utente, tra cui Opzioni di accesso esterno, Host accessibili, Porte accessibili e Prese RPC accessibili.
7. Fare clic sul pulsante Applica nella parte inferiore dello schermo per creare questo nuovo utente.
11

Capitolo 2: Configurazione del sistema
2.2.3 Aggiungere nome sistema, descrizione sistema e MOTD. 1. Selezionare Sistema > Amministrazione. 2. Immettere un Nome sistema e una Descrizione sistema per il server della console per fornirgli un ID univoco e facilitarne l'identificazione. Il nome del sistema può contenere da 1 a 64 caratteri alfanumerici e caratteri speciali carattere di sottolineatura (_), meno (-) e punto (.). La descrizione del sistema può contenere fino a 254 caratteri.
3. Il banner MOTD può essere utilizzato per visualizzare agli utenti il testo del messaggio del giorno. Appare nella parte superiore sinistra dello schermo sotto il logo Opengear.
4. Fare clic su Applica.
12

Capitolo 2: Configurazione del sistema
5. Selezionare Sistema > Amministrazione. 6. Il banner MOTD può essere utilizzato per visualizzare agli utenti il testo del messaggio del giorno. Appare su
in alto a sinistra dello schermo sotto il logo Opengear. 7. Fare clic su Applica.
2.3 Configurazione di rete
Immettere un indirizzo IP per la porta Ethernet principale (LAN/Rete/Rete1) sul server della console o abilitare il relativo client DHCP per ottenere automaticamente un indirizzo IP da un server DHCP. Per impostazione predefinita, il server della console ha il client DHCP abilitato e accetta automaticamente qualsiasi indirizzo IP di rete assegnato da un server DHCP sulla rete. In questo stato iniziale, il server della console risponderà sia al suo indirizzo statico predefinito 192.168.0.1 che al suo indirizzo DHCP.
1. Fare clic su Sistema > IP e fare clic sulla scheda Interfaccia di rete. 2. Scegliere DHCP o Statico come Metodo di configurazione.
Se scegli Statico, inserisci i dettagli dell'indirizzo IP, della maschera di sottorete, del gateway e del server DNS. Questa selezione disabilita il client DHCP.
12

Manuale d'uso
3. La porta LAN del server della console rileva automaticamente la velocità della connessione Ethernet. Utilizzare l'elenco a discesa Supporti per bloccare Ethernet su 10 Mb/s o 100 Mb/s e su Full Duplex o Half Duplex.
Se si riscontra una perdita di pacchetti o prestazioni di rete scarse con l'impostazione Auto, modificare le impostazioni del supporto Ethernet sul server della console e sul dispositivo a cui è connesso. Nella maggior parte dei casi, cambiarli entrambi in 100baseTx-FD (100 megabit, full duplex).
4. Se si seleziona DHCP, il server della console cercherà i dettagli di configurazione da un server DHCP. Questa selezione disabilita qualsiasi indirizzo statico. L'indirizzo MAC del server della console è reperibile su un'etichetta sulla piastra di base.
5. È possibile inserire un indirizzo secondario o un elenco di indirizzi separati da virgole nella notazione CIDR, ad esempio 192.168.1.1/24 come alias IP.
6. Fare clic su Applica 7. Ricollegare il browser sul computer connesso al server della console immettendo
http://your new IP address.
Se si modifica l'indirizzo IP del server della console, è necessario riconfigurare il computer in modo che abbia un indirizzo IP nello stesso intervallo di rete del nuovo indirizzo del server della console. È possibile impostare la MTU sulle interfacce Ethernet. Si tratta di un'opzione avanzata da utilizzare se lo scenario di distribuzione non funziona con la MTU predefinita di 1500 byte. Per impostare la MTU, fare clic su Sistema > IP e fare clic sulla scheda Interfaccia di rete. Scorri verso il basso fino al campo MTU e inserisci il valore desiderato. I valori validi sono compresi tra 1280 e 1500 per interfacce da 100 megabit e tra 1280 e 9100 per interfacce gigabit Se è configurato il bridging o il bonding, la MTU impostata nella pagina Interfaccia di rete verrà impostata sulle interfacce che fanno parte del bridge o del bond . NOTA In alcuni casi, la MTU specificata dall'utente potrebbe non avere effetto. Alcuni driver NIC potrebbero arrotondare MTU sovradimensionate al valore massimo consentito e altri restituiranno un codice di errore. È inoltre possibile utilizzare un comando CLI per gestire la dimensione MTU: configure
# config -s config.interfaces.wan.mtu=1380 controlla
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider nessuno config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode configurazione stateless .interfaces.wan.media Auto config.interfaces.wan.mode statico config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Capitolo 2: Configurazione del sistema
2.3.1 Configurazione IPv6 Le interfacce Ethernet del server della console supportano IPv4 per impostazione predefinita. Possono essere configurati per il funzionamento IPv6:
1. Fare clic su Sistema > IP. Fare clic sulla scheda Impostazioni generali e selezionare Abilita IPv6. Se lo desideri, fai clic sulla casella di controllo Disabilita IPv6 per cellulare.
2. Configurare i parametri IPv6 su ciascuna pagina dell'interfaccia. IPv6 può essere configurato per la modalità automatica, che utilizzerà SLAAC o DHCPv6 per configurare indirizzi, percorsi e DNS, o per la modalità statica, che consente l'immissione manuale delle informazioni sull'indirizzo.
2.3.2 Configurazione DNS dinamico (DDNS) Con DNS dinamico (DDNS), un server console il cui indirizzo IP è assegnato dinamicamente può essere localizzato utilizzando un host fisso o un nome di dominio. Crea un account con il fornitore di servizi DDNS supportato di tua scelta. Quando configuri il tuo account DDNS, scegli un nome utente, una password e un nome host che utilizzerai come nome DNS. I fornitori di servizi DDNS ti consentono di scegliere un nome host URL e impostare un indirizzo IP iniziale in modo che corrisponda a quel nome host URL.
14

Manuale d'uso
Per abilitare e configurare DDNS su qualsiasi connessione di rete Ethernet o cellulare sul server della console. 1. Fare clic su Sistema > IP e scorrere verso il basso la sezione DNS dinamico. Seleziona il tuo fornitore di servizi DDNS
dall'elenco a discesa DNS dinamici. È inoltre possibile impostare le informazioni DDNS nella scheda Modem cellulare in Sistema > Chiama.
2. In Nome host DDNS, inserire il nome host DNS completo per il server della console, ad esempio nomehost.dyndns.org.
3. Immettere il nome utente DDNS e la password DDNS per l'account del fornitore di servizi DDNS. 4. Specificare l'Intervallo massimo tra gli aggiornamenti in giorni. Verrà inviato un aggiornamento DDNS anche se il
l'indirizzo non è cambiato 5. Specificare l'Intervallo minimo tra i controlli per gli indirizzi modificati in secondi. Gli aggiornamenti verranno
essere inviato se l'indirizzo è cambiato. 6. Specificare il Numero massimo di tentativi per aggiornamento, ovvero il numero di volte in cui tentare un aggiornamento
prima di arrendersi. Questo è 3 per impostazione predefinita. 7. Fare clic su Applica.
15

Capitolo 2: Configurazione del sistema
2.3.3 Modalità EAPoL per WAN, LAN e OOBFO
(OOBFO è applicabile solo a IM7216-2-24E-DAC)
Sopraview di EAPoL IEEE 802.1X, o PNAC (Port-based Network Access Control) sfrutta le caratteristiche di accesso fisico delle infrastrutture LAN IEEE 802 per fornire un mezzo di autenticazione e autorizzazione dei dispositivi collegati a una porta LAN con punto a caratteristiche della connessione del punto e di impedire l'accesso a tale porta nei casi in cui l'autenticazione e l'autorizzazione falliscono. Una porta in questo contesto è un singolo punto di collegamento all'infrastruttura LAN.
Quando un nuovo nodo wireless o cablato (WN) richiede l'accesso a una risorsa LAN, il punto di accesso (AP) richiede l'identità del WN. Non è consentito altro traffico oltre a EAP prima che il WN venga autenticato (la "porta" è chiusa o "non autenticata"). Il nodo wireless che richiede l'autenticazione è spesso chiamato Supplicant, il Supplicant è responsabile di rispondere ai dati dell'Autenticatore che stabiliranno le sue credenziali. Lo stesso vale per il punto di accesso; l'Authenticator non è il punto di accesso. Piuttosto, il punto di accesso contiene un autenticatore. Non è necessario che l'Autenticatore si trovi nel punto di accesso; può essere un componente esterno. Sono implementati i seguenti metodi di autenticazione:
· Richiedente EAP-MD5 o Il metodo EAP MD5-Challenge utilizza nome utente/password semplici
· EAP-PEAP-MD5 o Il metodo di autenticazione EAP PEAP (Protected EAP) MD5 utilizza le credenziali dell'utente e il certificato CA
· Il metodo di autenticazione EAP-TLS o EAP TLS (Transport Layer Security) richiede il certificato CA, il certificato client e una chiave privata.
Il protocollo EAP, utilizzato per l'autenticazione, era originariamente utilizzato per la connessione remota PPP. L'identità era il nome utente e per verificare la password dell'utente veniva utilizzata l'autenticazione PAP o CHAP. Poiché l'identità viene inviata in chiaro (non crittografata), uno sniffer dannoso potrebbe scoprire l'identità dell'utente. Viene quindi utilizzato il “nascondere l’identità”; la vera identità non viene inviata prima che il tunnel TLS crittografato sia attivo.
16

Manuale d'uso
Dopo che l'identità è stata inviata, inizia il processo di autenticazione. Il protocollo utilizzato tra il richiedente e l'autenticatore è EAP (o EAPoL). L'autenticatore incapsula nuovamente i messaggi EAP nel formato RADIUS e li passa al server di autenticazione. Durante l'autenticazione, l'autenticatore inoltra i pacchetti tra il richiedente e il server di autenticazione. Una volta completato il processo di autenticazione, il server di autenticazione invia un messaggio di successo (o di fallimento, se l'autenticazione non è riuscita). L'Autenticatore apre quindi la “porta” per il Supplicante. È possibile accedere alle impostazioni di autenticazione dalla pagina Impostazioni richiedente EAPoL. Lo stato dell'EAPoL corrente viene visualizzato in dettaglio nella pagina Statistiche di stato nella scheda EAPoL:
Un'astrazione di EAPoL sui ROLE di rete viene visualizzata nella sezione "Gestione connessione" dell'interfaccia Dashboard.
17

Capitolo 2: Configurazione del sistema
Di seguito è mostrato un example di autenticazione riuscita:
Supporto IEEE 802.1x (EAPOL) sulle porte dello switch di IM7216-2-24E-DAC e ACM7004-5: per evitare loop, gli utenti non devono collegare più di una porta dello switch allo stesso switch di livello superiore.
18

Manuale d'uso
2.4 Accesso al servizio e protezione dalla forza bruta
L'amministratore può accedere al server della console, alle porte seriali connesse e ai dispositivi gestiti utilizzando una gamma di protocolli/servizi di accesso. Per ogni accesso
· Il servizio deve prima essere configurato e abilitato per l'esecuzione sul server della console. · L'accesso tramite firewall deve essere abilitato per ogni connessione di rete. Per abilitare e configurare un servizio: 1. Fare clic su Sistema > Servizi e fare clic sulla scheda Impostazioni servizio.

2. Abilita e configura i servizi di base:

HTTP

Per impostazione predefinita, il servizio HTTP è in esecuzione e non può essere completamente disabilitato. Per impostazione predefinita, l'accesso HTTP è disabilitato su tutte le interfacce. Si consiglia di mantenere questo accesso disabilitato se si accede al server della console in remoto tramite Internet.
HTTP alternativo consente di configurare una porta HTTP alternativa su cui ascoltare. Il servizio HTTP continuerà ad ascoltare sulla porta TCP 80 per le comunicazioni CMS e connettore, ma sarà inaccessibile attraverso il firewall.

HTTPS

Per impostazione predefinita, il servizio HTTPS è in esecuzione e abilitato su tutte le interfacce di rete. Si consiglia di utilizzare solo l'accesso HTTPS se il server della console deve essere gestito su una rete pubblica. Ciò garantisce che gli amministratori abbiano un accesso sicuro tramite browser a tutti i menu sul server della console. Consente inoltre agli utenti opportunamente configurati di proteggere l'accesso tramite browser ai menu Gestisci selezionati.
Il servizio HTTPS può essere disabilitato o riabilitato selezionando HTTPS Web Gestione e una porta alternativa specificata (la porta predefinita è 443).

Telnet

Per impostazione predefinita, il servizio Telnet è in esecuzione ma disabilitato su tutte le interfacce di rete.
Telnet può essere utilizzato per fornire a un amministratore l'accesso alla shell della riga di comando del sistema. Questo servizio può essere utile per l'amministratore locale e per l'accesso utente alle console seriali selezionate. Si consiglia di disattivare questo servizio se il server della console viene amministrato in remoto.
La casella di controllo Abilita shell dei comandi Telnet abiliterà o disabiliterà il servizio Telnet. È possibile specificare una porta Telnet alternativa su cui ascoltare in Porta Telnet alternativa (la porta predefinita è 23).

Capitolo 2: Configurazione del sistema

SSH

Questo servizio fornisce un accesso SSH sicuro al server della console e ai dispositivi collegati

e per impostazione predefinita il servizio SSH è in esecuzione e abilitato su tutte le interfacce. È

ti consigliamo di scegliere SSH come protocollo a cui si connette un amministratore

il server della console su Internet o su qualsiasi altra rete pubblica. Questo fornirà

comunicazioni autenticate tra il programma client SSH sul remoto

computer e il server SSH nel server della console. Per ulteriori informazioni su SSH

configurazione Vedere il Capitolo 8 – Autenticazione.

La casella di controllo Abilita shell di comando SSH abiliterà o disabiliterà questo servizio. È possibile specificare una porta SSH alternativa su cui ascoltare nella porta della shell dei comandi SSH (la porta predefinita è 22).

3. Abilita e configura altri servizi:

TFTP/FTP Se viene rilevata una scheda flash USB o una memoria flash interna su un server della console, selezionando Abilita servizio TFTP (FTP) si abilita questo servizio e si configurano i server tftp e ftp predefiniti sulla memoria flash USB. Questi server vengono utilizzati per archiviare la configurazione files, conservare i registri degli accessi e delle transazioni, ecc. FileI messaggi trasferiti utilizzando tftp e ftp verranno archiviati in /var/mnt/storage.usb/tftpboot/ (o /var/mnt/storage.nvlog/tftpboot/ sui dispositivi ACM7000series). Deselezionando Abilita servizio TFTP (FTP) si disabiliterà il servizio TFTP (FTP).

Il controllo dell'inoltro DNS Abilita server/inoltro DNS abilita la funzione di inoltro DNS in modo che i client possano essere configurati con l'IP del server della console per l'impostazione del server DNS e il server della console inoltrerà le query DNS al server DNS reale.

Web Abilita controllo terminale Web Il terminale lo consente web accesso del browser alla shell della riga di comando del sistema tramite Gestisci > Terminale.

4. Specificare numeri di porta alternativi per i servizi Raw TCP, Telnet/SSH diretto e Telnet/SSH non autenticati. Il server della console utilizza intervalli specifici per le porte TCP/IP per i vari accessi
servizi che gli utenti possono utilizzare per accedere ai dispositivi collegati alle porte seriali (come spiegato nel Capitolo 3 Configurazione delle porte seriali). L'amministratore può impostare intervalli alternativi per questi servizi e queste porte secondarie verranno utilizzate in aggiunta a quelle predefinite.

L'indirizzo della porta base TCP/IP predefinita per l'accesso Telnet è 2000 e l'intervallo per Telnet è Indirizzo IP: Porta (2000 + porta seriale n.) ovvero 2001 2048. Se un amministratore dovesse impostare 8000 come base secondaria per Telnet, seriale è possibile accedere tramite Telnet alla porta n. 2 sul server della console tramite IP
Indirizzo:2002 e indirizzo IP:8002. La base predefinita per SSH è 3000; per Raw TCP è 4000; e per RFC2217 è 5000

5. Altri servizi possono essere abilitati e configurati da questo menu selezionando Fare clic qui per configurare:

Nagios Accesso ai demoni di monitoraggio NRPE Nagios

NOCE

Accesso al demone di monitoraggio NUT UPS

SNMP Abilita SNMP nel server della console. SNMP è disabilitato per impostazione predefinita

NTP

6. Fare clic su Applica. Viene visualizzato un messaggio di conferma: Messaggio Modifiche alla configurazione riuscite

Le impostazioni di accesso ai servizi possono essere configurate per consentire o bloccare l'accesso. Specifica quali servizi abilitati gli amministratori possono utilizzare su ciascuna interfaccia di rete per connettersi al server della console e tramite il server della console ai dispositivi seriali e connessi alla rete.

Manuale d'uso
1. Selezionare la scheda Accesso al servizio nella pagina Sistema > Servizi.
2. Visualizza i servizi abilitati per le interfacce di rete del server della console. A seconda del particolare modello di server della console, le interfacce visualizzate possono includere: · Interfaccia di rete (per la connessione Ethernet principale) · LAN di gestione / Failover OOB (seconde connessioni Ethernet) · Dialout/Cellulare (modem V90 e 3G) · Dial-in (interna o modem V90 esterno) · VPN (connessione IPsec o Open VPN su qualsiasi interfaccia di rete)
3. Selezionare/deselezionare per ciascuna rete quale accesso al servizio deve essere abilitato/disabilitato. Le opzioni di accesso al servizio Rispondi agli echi ICMP (ad esempio ping) che possono essere configurate in questo modotage. Ciò consente al server della console di rispondere alle richieste echo ICMP in entrata. Il ping è abilitato per impostazione predefinita. Per una maggiore sicurezza, è necessario disattivare questo servizio una volta completata la configurazione iniziale. È possibile consentire l'accesso ai dispositivi della porta seriale dalle interfacce di rete indicate utilizzando Raw TCP, Telnet/SSH diretto, servizi Telnet/SSH non autenticati, ecc.
4. Fare clic su Applica Web Impostazioni di gestione La casella di controllo Abilita HSTS abilita la rigorosa sicurezza del trasporto HTTP. La modalità HSTS significa che un'intestazione StrictTransport-Security deve essere inviata tramite il trasporto HTTPS. Un conforme web il browser ricorda questa intestazione e quando gli viene chiesto di contattare lo stesso host tramite HTTP (semplice) passerà automaticamente a
19

Capitolo 2: Configurazione del sistema
HTTPS prima di tentare HTTP, a condizione che il browser abbia effettuato l'accesso al sito protetto una volta e abbia visualizzato l'intestazione STS.
Protezione dalla forza bruta La protezione dalla forza bruta (Micro Fail2ban) blocca temporaneamente gli IP di origine che mostrano segni dannosi, come troppi errori di password. Ciò può essere utile quando i servizi di rete del dispositivo sono esposti a una rete non attendibile come la WAN pubblica e attacchi tramite script o worm software tentano di indovinare (forza bruta) le credenziali dell'utente e ottenere l'accesso non autorizzato.

La protezione dalla forza bruta può essere abilitata per i servizi elencati. Per impostazione predefinita, una volta abilitata la protezione, 3 o più tentativi di connessione non riusciti entro 60 secondi da uno specifico IP di origine ne determinano l'esclusione dalla connessione per un periodo di tempo configurabile. Il limite dei tentativi e il timeout del ban possono essere personalizzati. Vengono elencati anche i divieti attivi che possono essere aggiornati ricaricando la pagina.

NOTA

Quando si esegue su una rete non attendibile, prendere in considerazione l'utilizzo di una varietà di strategie per bloccare l'accesso remoto. Ciò include l'autenticazione con chiave pubblica SSH, VPN e regole firewall
consentire l'accesso remoto solo da reti di origine attendibili. Consulta la Knowledge Base di Opengear per i dettagli.

2.5 Software di comunicazione
Sono stati configurati i protocolli di accesso che il client amministratore dovrà utilizzare durante la connessione al server della console. I client utente utilizzano questi protocolli anche quando accedono ai dispositivi collegati in serie al server della console e agli host collegati alla rete. È necessario che gli strumenti software di comunicazione siano configurati sul computer dell'amministratore e del client dell'utente. Per connetterti puoi utilizzare strumenti come PuTTY e SSHTerm.

Manuale d'uso
I connettori disponibili in commercio abbinano il protocollo di tunneling SSH affidabile con strumenti di accesso popolari come Telnet, SSH, HTTP, HTTPS, VNC, RDP per fornire un accesso di gestione remota sicuro "point-and-click" a tutti i sistemi e dispositivi gestiti. Le informazioni sull'utilizzo dei connettori per l'accesso tramite browser alla console di gestione del server della console, l'accesso Telnet/SSH alla riga di comando del server della console e la connessione TCP/UDP agli host connessi in rete al server della console sono reperibili nel Capitolo 5. I connettori possono essere installato su PC Windows, Mac OS X e sulla maggior parte dei sistemi Linux, UNIX e Solaris.
2.6 Configurazione della rete di gestione
I server console dispongono di porte di rete aggiuntive che possono essere configurate per fornire accesso LAN di gestione e/o failover o accesso fuori banda. 2.6.1 Abilitare la console LAN di gestione I server possono essere configurati in modo che la seconda porta Ethernet fornisca un gateway LAN di gestione. Il gateway dispone di funzionalità firewall, router e server DHCP. È necessario connettere uno switch LAN esterno alla Rete 2 per collegare gli host a questa LAN di gestione:
NOTA La seconda porta Ethernet può essere configurata come porta gateway LAN di gestione o come porta OOB/Failover. Assicurati di non allocare NET2 come interfaccia di failover quando hai configurato la connessione di rete principale nel menu Sistema > IP.
21

Capitolo 2: Configurazione del sistema
Per configurare il gateway LAN di gestione: 1. Selezionare la scheda Interfaccia LAN di gestione nel menu Sistema > IP e deselezionare Disabilita. 2. Configurare l'indirizzo IP e la maschera di sottorete per la LAN di gestione. Lascia vuoti i campi DNS. 3. Fare clic su Applica.
La funzione del gateway di gestione è abilitata con le regole predefinite del firewall e del router configurate in modo che la LAN di gestione sia accessibile solo tramite il port forwarding SSH. Ciò garantisce che le connessioni remote e locali ai dispositivi gestiti sulla LAN di gestione siano sicure. Le porte LAN possono anche essere configurate in modalità bridge o bonded oppure configurate manualmente dalla riga di comando. 2.6.2 Configurazione del server DHCP Il server DHCP consente la distribuzione automatica degli indirizzi IP ai dispositivi sulla LAN di gestione che eseguono client DHCP. Per abilitare il server DHCP:
1. Fare clic su Sistema > Server DHCP. 2. Nella scheda Interfaccia di rete, selezionare Abilita server DHCP.
22

Manuale d'uso
3. Immettere l'indirizzo gateway da rilasciare ai client DHCP. Se questo campo viene lasciato vuoto, viene utilizzato l'indirizzo IP del server della console.
4. Immettere l'indirizzo DNS primario e DNS secondario per inviare i client DHCP. Se questo campo viene lasciato vuoto, viene utilizzato l'indirizzo IP del server della console.
5. Facoltativamente, inserire un suffisso del nome di dominio per emettere client DHCP. 6. Immettere il tempo di lease predefinito e il tempo di lease massimo in secondi. Questa è la quantità di tempo
che un indirizzo IP assegnato dinamicamente sia valido prima che il client debba richiederlo nuovamente. 7. Fare clic su Applica Il server DHCP emette indirizzi IP dai pool di indirizzi specificati: 1. Fare clic su Aggiungi nel campo Pool di allocazione indirizzi dinamici. 2. Immettere l'indirizzo iniziale e l'indirizzo finale del pool DHCP. 3. Fare clic su Applica.
23

Capitolo 2: Configurazione del sistema
Il server DHCP supporta inoltre la preassegnazione di indirizzi IP da allocare a indirizzi MAC specifici e la prenotazione di indirizzi IP da utilizzare da host connessi con indirizzi IP fissi. Per riservare un indirizzo IP per un host particolare:
1. Fare clic su Aggiungi nel campo Indirizzi riservati. 2. Immettere il nome host, l'indirizzo hardware (MAC) e l'indirizzo IP riservato staticamente per
il client DHCP e fare clic su Applica.
Quando DHCP ha assegnato gli indirizzi degli host, si consiglia di copiarli nell'elenco preassegnato in modo che lo stesso indirizzo IP venga riallocato in caso di riavvio.
24

Manuale d'uso
2.6.3 Selezionare Failover o OOB a banda larga I server console forniscono un'opzione di failover, quindi in caso di problemi nell'utilizzo della connessione LAN principale per accedere al server console viene utilizzato un percorso di accesso alternativo. Per abilitare il failover:
1. Selezionare la pagina Interfaccia di rete nel menu Sistema > IP 2. Selezionare l'interfaccia di failover da utilizzare in caso di guastotage sulla rete principale.
3. Fare clic su Applica. Il failover diventa attivo dopo aver specificato i siti esterni da analizzare per attivare il failover e configurare le porte di failover.
2.6.4 Aggregazione delle porte di rete Per impostazione predefinita, è possibile accedere alle porte di rete LAN di gestione del server della console utilizzando il tunneling SSH/l'inoltro delle porte o stabilendo un tunnel VPN IPsec al server della console. Tutte le porte di rete cablata sui server della console possono essere aggregate mediante collegamento a ponte o collegamento.
25

Manuale d'uso
· Per impostazione predefinita, l'aggregazione delle interfacce è disabilitata nel menu Sistema > IP > Impostazioni generali · Selezionare Interfacce bridge o Interfacce bond
o Quando il bridging è abilitato, il traffico di rete viene inoltrato su tutte le porte Ethernet senza limitazioni del firewall. Tutte le porte Ethernet sono tutte connesse in modo trasparente al livello di collegamento dati (livello 2) in modo che mantengano i loro indirizzi MAC univoci
o Con il bonding, il traffico di rete viene trasportato tra le porte ma presente con un indirizzo MAC
Entrambe le modalità rimuovono tutte le funzioni dell'interfaccia LAN di gestione e dell'interfaccia fuori banda/failover e disabilitano il server DHCP · Nella modalità di aggregazione tutte le porte Ethernet vengono configurate collettivamente utilizzando il menu Interfaccia di rete
25

Capitolo 2: Configurazione del sistema
2.6.5 Route statiche Le route statiche forniscono un modo molto rapido per instradare i dati da una sottorete a una sottorete diversa. È possibile codificare un percorso che indichi al server/router della console di raggiungere una determinata sottorete utilizzando un determinato percorso. Ciò può essere utile per accedere a varie sottoreti in un sito remoto quando si utilizza la connessione OOB cellulare.

Per aggiungere la route statica alla tabella di routing del sistema:
1. Selezionare la scheda Impostazioni percorso nel menu Sistema > Impostazioni generali IP.
2. Fare clic su Nuovo percorso
3. Immettere un nome per il percorso.
4. Nel campo Rete/Host di destinazione, inserire l'indirizzo IP della rete/host di destinazione a cui il percorso fornisce l'accesso.
5. Immettere un valore nel campo Netmask di destinazione che identifichi la rete o l'host di destinazione. Qualsiasi numero compreso tra 0 e 32. Una maschera di sottorete pari a 32 identifica un percorso host.
6. Immettere Route Gateway con l'indirizzo IP di un router che instraderà i pacchetti alla rete di destinazione. Questo può essere lasciato vuoto.
7. Selezionare l'interfaccia da utilizzare per raggiungere la destinazione, può essere lasciata su Nessuna.
8. Immettere un valore nel campo Metrica che rappresenta la metrica di questa connessione. Utilizza qualsiasi numero uguale o maggiore di 0. Questo deve essere impostato solo se due o più percorsi sono in conflitto o hanno obiettivi sovrapposti.
9. Fare clic su Applica.

NOTA

La pagina dei dettagli del percorso fornisce un elenco di interfacce di rete e modem a cui è possibile collegare un percorso. Nel caso di un modem, il percorso verrà collegato a qualsiasi sessione dialup stabilita tramite quel dispositivo. È possibile specificare un percorso con un gateway, un'interfaccia o entrambi. Se l'interfaccia specificata non è attiva, gli instradamenti configurati per quell'interfaccia non saranno attivi.

Manuale dell'utente 3. CONFIGURAZIONE PORTA SERIALE, HOST, DISPOSITIVO E UTENTE
Il server della console consente l'accesso e il controllo dei dispositivi collegati in serie e dei dispositivi collegati alla rete (host). L'amministratore deve configurare i privilegi di accesso per ciascuno di questi dispositivi e specificare i servizi che possono essere utilizzati per controllare i dispositivi. L'amministratore può anche impostare nuovi utenti e specificare i privilegi di accesso e controllo individuali di ciascun utente.
Questo capitolo copre tutti i passaggi della configurazione dei dispositivi connessi in rete e collegati in serie: · Porte seriali, impostazione dei protocolli utilizzati per i dispositivi connessi in serie · Utenti e gruppi, impostazione degli utenti e definizione dei permessi di accesso per ciascuno di questi utenti · Autenticazione, questo è trattato in più dettagli nel Capitolo 8 · Host di rete che configurano l'accesso ai computer o ai dispositivi (host) connessi alla rete locale · Configurazione di reti affidabili – nominare gli indirizzi IP da cui accedono gli utenti affidabili · Collegamento a cascata e reindirizzamento delle porte della console seriale · Collegamento all'alimentazione (UPS, PDU e IPMI) e dispositivi di monitoraggio ambientale (EMD) · Reindirizzamento della porta seriale utilizzando Windows PortShare e client Linux · Dispositivi gestiti: presenta un'interfaccia consolidata view di tutte le connessioni · IPSec che consente la connessione VPN · OpenVPN · PPTP
3.1 Configurare le porte seriali
Il primo passo nella configurazione di una porta seriale è impostare le Impostazioni comuni come i protocolli ei parametri RS232 che devono essere utilizzati per la connessione dati a quella porta (ad esempio velocità di trasmissione). Selezionare la modalità in cui deve operare la porta. Ciascuna porta può essere impostata per supportare una di queste modalità operative:
· La modalità disabilitata è l'impostazione predefinita, la porta seriale è inattiva
27

Capitolo 3:

Configurazione di porta seriale, host, dispositivo e utente

· La modalità server console consente l'accesso generale alla porta della console seriale sui dispositivi collegati in serie
· La modalità Dispositivo imposta la porta seriale per comunicare con una PDU, un UPS o un dispositivo di monitoraggio ambientale (EMD) intelligente controllato in serie
· La modalità Terminal Server imposta la porta seriale in attesa di una sessione di accesso al terminale in entrata · La modalità Serial Bridge consente l'interconnessione trasparente di due dispositivi con porta seriale su un
rete.
1. Selezionare Seriale e rete > Porta seriale per visualizzare i dettagli della porta seriale. 2. Per impostazione predefinita, ciascuna porta seriale è impostata in modalità server Console. Fare clic su Modifica accanto alla porta da utilizzare
riconfigurato. Oppure fai clic su Modifica porte multiple e seleziona le porte che desideri configurare come gruppo. 3. Dopo aver riconfigurato le impostazioni comuni e la modalità per ciascuna porta, configurare qualsiasi registro di sistema remoto (vedere le sezioni seguenti per informazioni specifiche). Fare clic su Applica 4. Se il server della console è stato configurato con il monitoraggio Nagios distribuito abilitato, utilizzare le opzioni Impostazioni Nagios per abilitare i servizi nominati sull'Host da monitorare 3.1.1 Impostazioni comuni Esistono numerose impostazioni comuni che possono essere configurate per ciascun seriale porta. Questi sono indipendenti dalla modalità in cui viene utilizzata la porta. Questi parametri della porta seriale devono essere impostati in modo che corrispondano ai parametri della porta seriale sul dispositivo collegato a quella porta:
28

Manuale d'uso

· Digitare un'etichetta per la porta · Selezionare la velocità di trasmissione, la parità, i bit di dati, i bit di stop e il controllo di flusso appropriati per ciascuna porta

· Impostare la piedinatura della porta. Questa voce di menu viene visualizzata per le porte IM7200 in cui la piedinatura per ciascuna porta seriale RJ45 può essere impostata come X2 (Cisco Straight) o X1 (Cisco Rolled)

· Impostare la modalità DTR. Ciò consente di scegliere se il DTR viene sempre affermato o solo quando è presente una sessione utente attiva

· Prima di procedere con un'ulteriore configurazione della porta seriale, è necessario connettere le porte ai dispositivi seriali che controlleranno e assicurarsi che abbiano impostazioni corrispondenti

3.1.2

Modalità server console
Selezionare Modalità server console per abilitare l'accesso di gestione remota alla console seriale collegata a questa porta seriale:

Livello di registrazione Specifica il livello di informazioni da registrare e monitorare.
29

Capitolo 3: Configurazione di porta seriale, host, dispositivo e utente
Livello 0: disabilita la registrazione (impostazione predefinita)
Livello 1: Registra eventi LOGIN, LOGOUT e SIGNAL
Livello 2: registra gli eventi LOGIN, LOGOUT, SIGNAL, TXDATA e RXDATA
Livello 3: Registra eventi LOGIN, LOGOUT, SIGNAL e RXDATA
Livello 4: registra gli eventi LOGIN, LOGOUT, SIGNAL e TXDATA
Input/RXDATA sono i dati ricevuti dal dispositivo Opengear dal dispositivo seriale collegato, mentre output/TXDATA sono i dati inviati dal dispositivo Opengear (ad esempio digitati dall'utente) al dispositivo seriale collegato.
Le console dei dispositivi in genere restituiscono i caratteri mentre vengono digitati, in modo che TXDATA digitato da un utente venga successivamente ricevuto come RXDATA, visualizzato sul suo terminale.
NOTA: dopo aver richiesto una password, il dispositivo connesso invia caratteri * per impedire la visualizzazione della password.

Telnet Quando il servizio Telnet è abilitato sul server della console, un client Telnet sul computer di un utente può connettersi a un dispositivo seriale collegato a questa porta seriale sul server della console. Poiché le comunicazioni Telnet non sono crittografate, questo protocollo è consigliato solo per connessioni locali o con tunnel VPN.
Se le comunicazioni remote vengono incanalate con un connettore, Telnet può essere utilizzato per accedere in modo sicuro a questi dispositivi collegati.

NOTA

Nella modalità server console, gli utenti possono utilizzare un connettore per impostare connessioni Telnet sicure tramite tunneling SSH dai computer client alla porta seriale sul server console. I connettori possono essere installati su PC Windows e sulla maggior parte delle piattaforme Linux e consentono di selezionare connessioni Telnet sicure con un semplice clic.

Per utilizzare un connettore per accedere alle console sulle porte seriali del server della console, configurare il connettore con il server della console come gateway e come host e abilitare il servizio Telnet sulla porta (2000 + porta seriale n.), ovvero 2001.

Puoi anche utilizzare pacchetti di comunicazione standard come PuTTY per impostare una connessione Telnet o SSH diretta alle porte seriali.

NOTA Nella modalità server console, quando ci si connette a una porta seriale ci si connette tramite pmshell. Per generare un BREAK sulla porta seriale, digitare la sequenza di caratteri ~b. Se lo stai facendo su OpenSSH, digita ~~b.

SSH

Si consiglia di utilizzare SSH come protocollo quando gli utenti si connettono al server della console

(o connettersi tramite il server della console alle console seriali collegate) tramite Internet o qualsiasi altro

altra rete pubblica.

Per l'accesso SSH alle console sui dispositivi collegati alle porte seriali del server della console, è possibile utilizzare un connettore. Configurare il connettore con il server della console come gateway e come host e abilitare il servizio SSH sulla porta (3000 + porta seriale n.), ovvero 3001-3048.

Puoi anche utilizzare pacchetti di comunicazione comuni, come PuTTY o SSHTerm per connetterti SSH all'indirizzo della porta Indirizzo IP _ Porta (3000 + porta seriale n.) ad esempio 3001

Le connessioni SSH possono essere configurate utilizzando la porta SSH standard 22. La porta seriale a cui si accede viene identificata aggiungendo un descrittore al nome utente. Questa sintassi supporta:

Manuale d'uso
: : Affinché un utente chiamato chris possa accedere alla porta seriale 2, quando si configura SSHTerm o il client SSH PuTTY, invece di digitare nomeutente = chris e porta ssh = 3002, l'alternativa è digitare nome utente = chris:port02 (o nome utente = chris: ttyS1) e porta ssh = 22. Oppure digitando nomeutente=chris:serial e porta ssh = 22, all'utente viene presentata un'opzione di selezione della porta:

Questa sintassi consente agli utenti di configurare tunnel SSH su tutte le porte seriali con una singola porta IP 22 che deve essere aperta nel proprio firewall/gateway
NOTA Nella modalità server console, ci si connette a una porta seriale tramite pmshell. Per generare un BREAK sulla porta seriale, digitare la sequenza di caratteri ~b. Se lo stai facendo su OpenSSH, digita ~~b.

TCP

RAW TCP consente le connessioni a un socket TCP. Mentre i programmi di comunicazione come PuTTY

supporta anche RAW TCP, questo protocollo viene solitamente utilizzato da un'applicazione personalizzata

Per RAW TCP, l'indirizzo della porta predefinito è Indirizzo IP _ Porta (4000 + porta seriale n.), ovvero 4001 4048

RAW TCP consente inoltre il tunneling della porta seriale verso un server console remoto, in modo che due dispositivi con porta seriale possano interconnettersi in modo trasparente su una rete (vedere Capitolo 3.1.6 Serial Bridging)

RFC2217 Selezionando RFC2217 si abilita il reindirizzamento della porta seriale su quella porta. Per RFC2217, l'indirizzo della porta predefinito è Indirizzo IP _ Porta (5000 + porta seriale n.), ovvero 5001 5048
È disponibile uno speciale software client per Windows UNIX e Linux che supporta le porte com virtuali RFC2217, in modo che un host remoto possa monitorare e gestire i dispositivi remoti collegati in serie come se fossero collegati alla porta seriale locale (vedere Capitolo 3.6 Reindirizzamento della porta seriale per i dettagli)
RFC2217 consente inoltre il tunneling della porta seriale verso un server console remoto, in modo che due dispositivi con porta seriale possano interconnettersi in modo trasparente su una rete (vedere Capitolo 3.1.6 Serial Bridging)

Telnet non autenticato Abilita l'accesso Telnet alla porta seriale senza credenziali di autenticazione. Quando un utente accede al server della console su Telnet su una porta seriale, gli viene fornita una richiesta di accesso. Con Telnet non autenticato, si connettono direttamente alla porta senza alcuna verifica dell'accesso al server della console. Se un client Telnet richiede l'autenticazione, tutti i dati immessi consentono la connessione.

Capitolo 3: Configurazione di porta seriale, host, dispositivo e utente
Questa modalità viene utilizzata con un sistema esterno (come un conservatore) che gestisce l'autenticazione dell'utente e i privilegi di accesso a livello del dispositivo seriale.
L'accesso a un dispositivo connesso al server della console potrebbe richiedere l'autenticazione.
Per Telnet non autenticato l'indirizzo della porta predefinito è Indirizzo IP _ Porta (6000 + porta seriale n.), ovvero 6001 6048

SSH non autenticato Abilita l'accesso SSH alla porta seriale senza credenziali di autenticazione. Quando un utente accede al server della console su Telnet su una porta seriale, gli viene fornita una richiesta di accesso. Con SSH non autenticato si connettono direttamente alla porta senza alcuna verifica dell'accesso al server della console.
Questa modalità viene utilizzata quando si dispone di un altro sistema che gestisce l'autenticazione dell'utente e i privilegi di accesso a livello del dispositivo seriale ma si desidera crittografare la sessione attraverso la rete.
L'accesso a un dispositivo connesso al server della console potrebbe richiedere l'autenticazione.
Per Telnet non autenticato l'indirizzo della porta predefinito è Indirizzo IP _ Porta (7000 + porta seriale n.), ovvero 7001 7048
IL : il metodo di accesso alla porta (come descritto nella sezione SSH precedente) richiede sempre l'autenticazione.

Web Terminale Ciò abilita web accesso del browser alla porta seriale tramite Gestisci > Dispositivi: seriale utilizzando il terminale AJAX integrato nella console di gestione. Web Il terminale si connette come utente della console di gestione attualmente autenticato e non esegue nuovamente l'autenticazione. Vedere la sezione 12.3 per maggiori dettagli.

Alias IP

Abilita l'accesso alla porta seriale utilizzando un indirizzo IP specifico, specificato in formato CIDR. A ciascuna porta seriale è possibile assegnare uno o più alias IP, configurati in base all'interfaccia di rete. Una porta seriale può, ad esample, essere reso accessibile sia a 192.168.0.148 (come parte della rete interna) che a 10.10.10.148 (come parte della LAN di gestione). È anche possibile rendere disponibile una porta seriale su due indirizzi IP della stessa rete (ad esample, 192.168.0.148 e 192.168.0.248).

Questi indirizzi IP possono essere utilizzati solo per accedere alla porta seriale specifica, accessibile utilizzando i numeri di porta TCP del protocollo standard dei servizi del server della console. Per esample, SSH sulla porta seriale 3 sarebbe accessibile sulla porta 22 di un alias IP della porta seriale (mentre sull'indirizzo primario del server della console è disponibile sulla porta 2003).

Questa funzionalità può essere configurata anche tramite la pagina di modifica di porte multiple. In questo caso gli indirizzi IP vengono applicati in sequenza, con la prima porta selezionata che ottiene l'IP immesso e quelle successive che vengono incrementate, con i numeri saltati per eventuali porte non selezionate. Per esample, se vengono selezionate le porte 2, 3 e 5 e viene inserito l'alias IP 10.0.0.1/24 per l'Interfaccia di Rete, vengono assegnati i seguenti indirizzi:

Porta 2: 10.0.0.1/24

Porta 3: 10.0.0.2/24

Porta 5: 10.0.0.4/24

Gli alias IP supportano anche gli indirizzi alias IPv6. L'unica differenza è che gli indirizzi sono numeri esadecimali, quindi la porta 10 può corrispondere a un indirizzo che termina con A e 11 a uno che termina con B, anziché 10 o 11 come da IPv4.

Manuale d'uso
Crittografa traffico/Autentica Abilita la crittografia semplice e l'autenticazione delle comunicazioni seriali RFC2217 utilizzando Portshare (per la crittografia avanzata utilizzare VPN).
Periodo di accumulo Una volta stabilita una connessione per una particolare porta seriale (come un reindirizzamento RFC2217 o una connessione Telnet a un computer remoto), tutti i caratteri in entrata su quella porta vengono inoltrati sulla rete carattere per carattere. Il periodo di accumulo specifica un periodo di tempo in cui i caratteri in entrata vengono raccolti prima di essere inviati come pacchetto sulla rete
Carattere Escape Cambia il carattere utilizzato per inviare i caratteri Escape. L'impostazione predefinita è ~. Sostituisci Backspace Sostituisci il valore backspace predefinito di CTRL+? (127) con CTRL+h (8). Menu Power Il comando per visualizzare il menu Power è ~p e abilita il comando Power della shell, quindi a
l'utente può controllare la connessione di alimentazione a un dispositivo gestito dalla riga di comando quando è connesso Telnet o SSH al dispositivo. Il dispositivo gestito deve essere configurato con la connessione alla porta seriale e la connessione di alimentazione configurate.
Connessione singola Limita la porta a una singola connessione, quindi se più utenti hanno privilegi di accesso per una porta particolare, solo un utente alla volta può accedere a quella porta (ovvero lo snooping delle porte non è consentito).
33

Capitolo 3: Configurazione di porta seriale, host, dispositivo e utente
3.1.3 Modalità dispositivo (RPC, UPS, ambientale) Questa modalità configura la porta seriale selezionata per comunicare con un gruppo di continuità (UPS) controllato in serie, un controller di alimentazione remoto/unità di distribuzione dell'alimentazione (RPC) o un dispositivo di monitoraggio ambientale (ambientale)

1. Selezionare il tipo di dispositivo desiderato (UPS, RPC o ambientale)
2. Procedere alla pagina di configurazione del dispositivo appropriato (Seriale e rete > Connessioni UPS, Connessione RPC o Ambientale) come descritto in dettaglio nel Capitolo 7.

3.1.4 ·

Modalità server terminale
Seleziona la modalità Terminal Server e il tipo di terminale (vt220, vt102, vt100, Linux o ANSI) per abilitare un getty sulla porta seriale selezionata

Getty configura la porta e attende che venga stabilita una connessione. Una connessione attiva su un dispositivo seriale è indicata dal pin DCD (Data Carrier Detect) sollevato sul dispositivo seriale. Quando viene rilevata una connessione, il programma getty emette un prompt login: e invoca il programma login per gestire l'accesso al sistema.
NOTA La selezione della modalità Terminal Server disabilita Port Manager per quella porta seriale, quindi i dati non vengono più registrati per avvisi, ecc.

Manuale d'uso
3.1.5 Modalità bridging seriale Con il bridging seriale, i dati seriali su una porta seriale designata su un server console vengono incapsulati in pacchetti di rete e trasportati su una rete a un secondo server console dove vengono rappresentati come dati seriali. I due server console fungono da cavo seriale virtuale su una rete IP. Un server della console è configurato per essere il server. La porta seriale del server da collegare è impostata in modalità server console con RFC2217 o RAW abilitato. Per il server della console client, la porta seriale da collegare deve essere impostata in modalità Bridging:
· Selezionare la modalità Bridging seriale e specificare l'indirizzo IP del server della console server e l'indirizzo della porta TCP della porta seriale remota (per il bridging RFC2217 sarà 5001-5048)
· Per impostazione predefinita, il client bridging utilizza RAW TCP. Selezionare RFC2217 se questa è la modalità del server della console specificata sul server della console
· È possibile proteggere le comunicazioni tramite Ethernet locale abilitando SSH. Genera e carica chiavi.
3.1.6 Syslog Oltre alla registrazione e al monitoraggio integrati che possono essere applicati agli accessi di gestione collegati in serie e in rete, come trattato nel Capitolo 6, il server della console può anche essere configurato per supportare il protocollo syslog remoto su una porta seriale base:
· Selezionare i campi Facility/Priority Syslog per abilitare la registrazione del traffico sulla porta seriale selezionata su un server syslog; e per ordinare e agire sui messaggi registrati (ad esempio reindirizzarli/inviare e-mail di avviso).
35

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
Per esempioample, se il computer collegato alla porta seriale 3 non dovesse mai inviare nulla sulla sua porta della console seriale, l'amministratore può impostare la Facility per quella porta su local0 (local0 .. local7 sono pensati per i valori locali del sito), e la Priorità su critical . Con questa priorità, se il server syslog del server della console riceve un messaggio, genera un avviso. Vedere il Capitolo 6. 3.1.7 Streaming NMEA L'ACM7000-L può fornire lo streaming di dati GPS NMEA dal modem cellulare/GPS interno. Questo flusso di dati si presenta come flusso di dati seriale sulla porta 5 sui modelli ACM.
Le impostazioni comuni (velocità di trasmissione, ecc.) vengono ignorate durante la configurazione della porta seriale NMEA. È possibile specificare la frequenza di rilevamento (ovvero, la frequenza di rilevamento GPS determina la frequenza con cui vengono ottenute le correzioni GPS). È inoltre possibile applicare a questa porta tutte le impostazioni Console Server Mode, Syslog e Serial Bridging.
Puoi usare pmshell, webshell, SSH, RFC2217 o RawTCP per accedere allo stream:
Per esempioample, utilizzando il Web Terminale:
36

Manuale d'uso

3.1.8 Console USB
I server console con porte USB supportano le connessioni della console USB a dispositivi di un'ampia gamma di fornitori, tra cui Cisco, HP, Dell e Brocade. Queste porte USB possono funzionare anche come semplici porte seriali RS-232 quando è collegato un adattatore da USB a seriale.

Queste porte USB sono disponibili come normali porte portmanager e sono presentate numericamente nel file web UI dopo tutte le porte seriali RJ45.

L'ACM7008-2 dispone di otto porte seriali RJ45 sul retro del server della console e quattro porte USB sulla parte anteriore. In Seriale e rete > Porta seriale questi sono elencati come

Porta n. Connettore

RJ45

USB

10 Interfaccia USB

11 Interfaccia USB

12 Interfaccia USB

Se il particolare ACM7008-2 è un modello cellulare, verrà elencata anche la porta n. 13, per il GPS.

Il 7216-24U ha 16 porte seriali RJ45 e 24 porte USB sul retro oltre a due porte USB frontali e (nel modello cellulare) un GPS.

Le porte seriali RJ45 sono presentate in Seriale e rete > Porta seriale come numeri di porta 1. Le 16 porte USB posteriori accettano i numeri di porta 24 e le porte USB frontali sono elencate rispettivamente con i numeri di porta 17 e 40. E, come con l'ACM41-42, se il particolare 7008-2U è un modello cellulare, il GPS viene presentato alla porta numero 7216.

Le impostazioni comuni (velocità di trasmissione, ecc.) vengono utilizzate durante la configurazione delle porte, ma alcune operazioni potrebbero non funzionare a seconda dell'implementazione del chip seriale USB sottostante.

3.2 Aggiungere e modificare utenti
L'amministratore utilizza questa selezione di menu per creare, modificare ed eliminare utenti e per definire le autorizzazioni di accesso per ciascuno di questi utenti.

Capitolo 3: Configurazione di porta seriale, dispositivo e utente

Gli utenti possono essere autorizzati ad accedere a servizi specifici, porte seriali, dispositivi di alimentazione e host collegati alla rete specificati. A questi utenti può anche essere assegnato lo stato di amministratore completo (con configurazione completa, gestione e privilegi di accesso).

Gli utenti possono essere aggiunti ai gruppi. Per impostazione predefinita sono impostati sei gruppi:

amministratore

Fornisce privilegi illimitati di configurazione e gestione.

pptpd

Consente l'accesso al server VPN PPTP. Gli utenti di questo gruppo hanno la password memorizzata in testo non crittografato.

digitare

Consente l'accesso telefonico tramite modem. Gli utenti di questo gruppo hanno la password memorizzata in testo non crittografato.

ftp

Consente l'accesso FTP e file accesso ai dispositivi di archiviazione.

pmshell

Imposta la shell predefinita su pmshell.

utenti

Fornisce agli utenti privilegi di gestione di base.

Il gruppo di amministratori fornisce ai membri privilegi di amministratore completi. L'utente amministratore può accedere al server della console utilizzando uno qualsiasi dei servizi abilitati in Sistema > Servizi. Può anche accedere a qualsiasi host connesso o dispositivo con porta seriale utilizzando uno qualsiasi dei servizi abilitati per queste connessioni. Solo gli utenti fidati dovrebbero avere accesso come amministratore
Il gruppo utenti fornisce ai membri un accesso limitato al server della console, agli host connessi e ai dispositivi seriali. Questi utenti possono accedere solo alla sezione Gestione del menu Console di gestione e non hanno accesso alla riga di comando al server della console. Possono accedere solo agli Host e ai dispositivi seriali di cui è stata effettuata la verifica, utilizzando i servizi che sono stati abilitati
Gli utenti dei gruppi pptd, dialin, ftp o pmshell hanno accesso limitato alla shell utente ai dispositivi gestiti nominati, ma non avranno alcun accesso diretto al server della console. Per aggiungere ciò, gli utenti devono essere anche membri degli utenti o dei gruppi di amministrazione
L'amministratore può impostare gruppi aggiuntivi con specifici permessi di accesso al dispositivo di alimentazione, alla porta seriale e all'host. Gli utenti di questi gruppi aggiuntivi non hanno alcun accesso al menu della console di gestione né hanno accesso alla riga di comando al server della console.

Manuale d'uso
L'amministratore può configurare gli utenti con specifici permessi di accesso a dispositivi di alimentazione, porte seriali e host che non sono membri di alcun gruppo. Questi utenti non hanno alcun accesso al menu della console di gestione né accesso alla riga di comando del server della console. 3.2.1 Impostazione di un nuovo gruppo Per impostare nuovi gruppi e nuovi utenti e classificare gli utenti come membri di gruppi particolari:
1. Selezionare Seriale e rete > Utenti e gruppi per visualizzare tutti i gruppi e gli utenti 2. Fare clic su Aggiungi gruppo per aggiungere un nuovo gruppo
3. Aggiungere un nome di gruppo e una descrizione per ogni nuovo gruppo e nominare gli host accessibili, le porte accessibili e le prese RPC accessibili a cui gli utenti di questo nuovo gruppo potranno accedere
4. Fare clic su Applica 5. L'amministratore può modificare o eliminare qualsiasi gruppo aggiunto 3.2.2 Impostazione di nuovi utenti Per impostare nuovi utenti e classificare gli utenti come membri di gruppi particolari: 1. Selezionare Seriale e rete > Utenti e gruppi da visualizzare tutti i gruppi e gli utenti 2. Fare clic su Aggiungi utente
39

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
3. Aggiungi un nome utente per ogni nuovo utente. Puoi anche includere informazioni relative all'utente (ad esempio i dettagli di contatto) nel campo Descrizione. Il Nome Utente può contenere da 1 a 127 caratteri alfanumerici ed i caratteri “-” “_” e “.”.
4. Specificare di quali gruppi si desidera che l'utente sia membro. 5. Aggiungere una password confermata per ogni nuovo utente. Sono ammessi tutti i caratteri. 6. È possibile utilizzare l'autenticazione con chiave di accesso SSH. Incollare le chiavi pubbliche del pubblico/privato autorizzato
coppie di chiavi per questo utente nel campo Chiavi SSH autorizzate 7. Selezionare Disabilita autenticazione con password per consentire solo l'autenticazione con chiave pubblica per questo utente
quando si utilizza SSH 8. Selezionare Abilita Dial-Back nel menu Opzioni di chiamata entrante per consentire una connessione di richiamata in uscita
da attivare accedendo a questa porta. Immettere il numero di telefono di richiamata con il numero di telefono da richiamare quando l'utente accede 9. Selezionare Host accessibili e/o Porte accessibili per nominare le porte seriali e gli host connessi alla rete per cui si desidera che l'utente abbia privilegi di accesso 10. Se sono presenti RPC configurati, selezionare Prese RPC accessibili per specificare quali prese l'utente è in grado di controllare (ad esempio, accensione/spegnimento). 11. Fare clic su Applica. Il nuovo utente sarà in grado di accedere ai dispositivi di rete, alle porte e alle prese RPC accessibili. Se l'utente è un membro del gruppo, può accedere anche a qualsiasi altro dispositivo/porta/presa accessibile al gruppo
40

Manuale d'uso
Non ci sono limiti al numero di utenti che puoi impostare o al numero di utenti per porta seriale o host. Più utenti possono controllare/monitorare una porta o un host. Non ci sono limiti al numero di gruppi e ogni utente può essere membro di più gruppi. Non è necessario che un utente sia membro di alcun gruppo, ma se è membro del gruppo utenti predefinito, non sarà in grado di utilizzare la console di gestione per gestire le porte. Sebbene non vi siano limiti, il tempo necessario per la riconfigurazione aumenta con l'aumentare del numero e della complessità. Consigliamo di mantenere il numero complessivo di utenti e gruppi sotto i 250. L'amministratore può anche modificare le impostazioni di accesso per eventuali utenti esistenti:
· Selezionare Seriale e rete > Utenti e gruppi e fare clic su Modifica per modificare i privilegi di accesso dell'utente · Fare clic su Elimina per rimuovere l'utente · Fare clic su Disabilita per bloccare temporaneamente i privilegi di accesso
3.3 Autenticazione
Vedere il Capitolo 8 per i dettagli sulla configurazione dell'autenticazione.
3.4 Host di rete
Per monitorare e accedere in remoto a un computer o dispositivo connesso in rete localmente (denominato Host) è necessario identificare l'Host:
1. Selezionando Seriale e rete > Host di rete vengono visualizzati tutti gli host connessi alla rete che sono stati abilitati per l'uso.
2. Fare clic su Aggiungi Host per abilitare l'accesso a un nuovo Host (o selezionare Modifica per aggiornare le impostazioni per l'Host esistente)
41

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
3. Se l'Host è un dispositivo di alimentazione PDU o UPS o un server con controllo di alimentazione IPMI, specificare RPC (per IPMI e PDU) o UPS e il Tipo di dispositivo. L'amministratore può configurare questi dispositivi e abilitare quali utenti hanno il permesso di spegnere e riaccendere in remoto, ecc. Vedere il Capitolo 7. Altrimenti lasciare il Tipo di dispositivo impostato su Nessuno.
4. Se il server della console è stato configurato con il monitoraggio distribuito Nagios abilitato, verranno visualizzate anche le opzioni Impostazioni Nagios per abilitare il monitoraggio dei servizi nominati sull'Host.
5. Fare clic su Applica. Questo crea il nuovo Host e crea anche un nuovo dispositivo gestito con lo stesso nome.
3.5 Reti affidabili
La funzione Reti attendibili offre la possibilità di nominare gli indirizzi IP in cui devono trovarsi gli utenti per avere accesso alle porte seriali del server della console:
42

Manuale d'uso
1. Selezionare Seriale e rete > Reti attendibili 2. Per aggiungere una nuova rete attendibile, selezionare Aggiungi regola. In assenza di Regole, non ci sono accessi
limitazioni relative all'indirizzo IP al quale possono essere localizzati gli utenti.

3. Selezionare le Porte accessibili a cui applicare la nuova regola
4. Immettere l'indirizzo di rete della sottorete a cui consentire l'accesso
5. Specificare l'intervallo di indirizzi che devono essere consentiti inserendo una maschera di rete per l'intervallo IP consentito, ad es
· Per consentire a tutti gli utenti che si trovano con una particolare connessione di rete di Classe C di accedere alla porta designata, aggiungere la seguente Nuova regola Rete affidabile:

Indirizzo IP di rete

204.15.5.0

Subnet Mask

255.255.255.0

· Per consentire la connessione a un solo utente situato a un indirizzo IP specifico:

Indirizzo IP di rete

204.15.5.13

Subnet Mask

255.255.255.255

· Per consentire a tutti gli utenti che operano all'interno di uno specifico intervallo di indirizzi IP (diciamo uno qualsiasi dei trenta indirizzi da 204.15.5.129 a 204.15.5.158) di poter connettersi alla porta designata:

Indirizzo host/sottorete

204.15.5.128

Subnet Mask

255.255.255.224

6. Fare clic su Applica

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
3.6 Collegamento in cascata delle porte seriali
Le porte in cascata consentono di raggruppare server console distribuiti in modo che sia possibile configurare e accedere a un gran numero di porte seriali (fino a 1000) tramite un indirizzo IP e gestirle tramite un'unica console di gestione. Un server console, il Primario, controlla altri server console come unità Nodo e tutte le porte seriali sulle unità Nodo appaiono come se facessero parte del Primario. Il clustering di Opengear collega ciascun Nodo al Primario con una connessione SSH. Questo viene fatto utilizzando l'autenticazione con chiave pubblica, in modo che il primario possa accedere a ciascun nodo utilizzando la coppia di chiavi SSH (anziché utilizzare le password). Ciò garantisce comunicazioni autenticate e sicure tra il primario e i nodi consentendo la distribuzione delle unità server della console del nodo localmente su una LAN o in remoto in tutto il mondo.
3.6.1 Generare e caricare automaticamente chiavi SSH Per impostare l'autenticazione con chiave pubblica è necessario prima generare una coppia di chiavi RSA o DSA e caricarle sui server della console primaria e del nodo. Questo può essere fatto automaticamente dal Primario:
44

Manuale d'uso
1. Selezionare Sistema > Amministrazione sulla Console di gestione primaria
2. Selezionare Genera chiavi SSH automaticamente. 3. Fare clic su Applica
Successivamente è necessario selezionare se generare chiavi utilizzando RSA e/o DSA (in caso di dubbi, selezionare solo RSA). La generazione di ciascun set di chiavi richiede due minuti e le nuove chiavi distruggono le vecchie chiavi di quel tipo. Mentre la nuova generazione è in corso, le funzioni che si basano sulle chiavi SSH (ad esempio il collegamento a cascata) potrebbero smettere di funzionare finché non verranno aggiornate con il nuovo set di chiavi. Per generare le chiavi:
1. Seleziona le caselle relative alle chiavi che desideri generare. 2. Fare clic su Applica
3. Una volta generate le nuove chiavi, fare clic sul collegamento Fare clic qui per tornare. Le chiavi vengono caricate
ai Nodi Primari e connessi.
3.6.2 Generare e caricare manualmente chiavi SSH In alternativa, se si dispone di una coppia di chiavi RSA o DSA è possibile caricarle sui server della console primaria e del nodo. Per caricare la coppia di chiavi pubblica e privata sul server della console primaria:
1. Selezionare Sistema > Amministrazione sulla Console di gestione principale
2. Individuare la posizione in cui è stata memorizzata la chiave pubblica RSA (o DSA) e caricarla nella chiave pubblica SSH RSA (DSA)
3. Individuare la chiave privata RSA (o DSA) archiviata e caricarla nella chiave privata SSH RSA (DSA) 4. Fare clic su Applica
45

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
Successivamente, è necessario registrare la chiave pubblica come chiave autorizzata sul nodo. Nel caso di un Primario con più Nodi, carichi una chiave pubblica RSA o DSA per ciascun Nodo.
1. Selezionare Sistema > Amministrazione sulla console di gestione del nodo 2. Individuare la chiave pubblica RSA (o DSA) memorizzata e caricarla nella chiave autorizzata SSH del nodo
3. Fare clic su Applica. Il passaggio successivo consiste nel rilevare l'impronta digitale di ogni nuova connessione Nodo-Primario. Questo passaggio conferma che stai stabilendo una sessione SSH con chi pensi di essere. Alla prima connessione il Nodo riceve un'impronta digitale dal Primario utilizzata su tutte le connessioni future: Per stabilire l'impronta digitale accedere prima al server Primario come root e stabilire una connessione SSH all'host remoto del Nodo:
# ssh remhost Una volta stabilita la connessione SSH, ti verrà chiesto di accettare la chiave. Rispondi sì e l'impronta digitale verrà aggiunta all'elenco degli host conosciuti. Se ti viene chiesto di fornire una password, si è verificato un problema durante il caricamento delle chiavi. 3.6.3 Configurare i nodi e le relative porte seriali Iniziare l'impostazione dei nodi e la configurazione delle porte seriali del nodo dal server della console primaria:
1. Selezionare Seriale e rete > Porte in cascata sulla console di gestione principale: 2. Per aggiungere il supporto del clustering, selezionare Aggiungi nodo
Non puoi aggiungere nodi finché non hai generato le chiavi SSH. Per definire e configurare un nodo:
46

Manuale d'uso
1. Immettere l'indirizzo IP remoto o il nome DNS per il server della console del nodo 2. Immettere una breve descrizione e una breve etichetta per il nodo 3. Immettere il numero completo di porte seriali sull'unità nodo in Numero di porte 4. Fare clic su Applica. Ciò stabilisce il tunnel SSH tra il nodo primario e il nuovo
Il menu Seriale e rete > Porte in cascata visualizza tutti i nodi e i numeri di porta che sono stati allocati sul primario. Se il server della console primaria dispone di 16 porte proprie, le porte da 1 a 16 vengono preallocate al primario, quindi al primo nodo aggiunto viene assegnato il numero di porta da 17 in poi. Una volta aggiunti tutti i server della console del nodo, le porte seriali del nodo e i dispositivi connessi sono configurabili e accessibili dal menu della console di gestione del primario e accessibili tramite l'indirizzo IP del primario.
1. Selezionare Seriale e Rete > Porta seriale e Modifica per configurare le porte seriali su
Nodo.
2. Selezionare la seriale e rete appropriata > Utenti e gruppi per aggiungere nuovi utenti con privilegi di accesso
alle porte seriali del Nodo (o per estendere i privilegi di accesso degli utenti esistenti).
3. Selezionare la seriale e la rete appropriate > Reti attendibili per specificare gli indirizzi di rete
può accedere alle porte seriali del nodo designato. 4. Selezionare Avvisi e registrazione > Avvisi appropriati per configurare Connessione e Stato della porta del nodo
Avvisi di modifica o corrispondenza del modello. Le modifiche alla configurazione apportate sul nodo primario vengono propagate a tutti i nodi quando si fa clic su Applica.
3.6.4 Gestione dei Nodi Il Primario ha il controllo delle porte seriali del Nodo. Per esample, se si modificano i privilegi di accesso di un utente o si modifica qualsiasi impostazione della porta seriale sul Primario, la configurazione aggiornata filevengono inviati a ciascun nodo in parallelo. Ogni nodo apporta modifiche alle proprie configurazioni locali (e apporta solo modifiche relative alle sue particolari porte seriali). È possibile utilizzare la console di gestione del nodo locale per modificare le impostazioni su qualsiasi porta seriale del nodo (ad esempio modificare le velocità di trasmissione). Queste modifiche verranno sovrascritte la prossima volta che il Primario invia una configurazione file aggiornamento. Anche se il Primario ha il controllo di tutte le funzioni relative alla porta seriale del nodo, non è primario sulle connessioni host della rete del nodo o sul sistema Node Console Server. Le funzioni del nodo come IP, impostazioni SMTP e SNMP, data e ora, server DHCP devono essere gestite accedendo direttamente a ciascun nodo e queste funzioni non vengono sovrascritte quando le modifiche alla configurazione vengono propagate dal primario. L'host di rete del nodo e le impostazioni IPMI devono essere configurate su ciascun nodo.
47

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
La Console di Gestione della Primaria fornisce un'interfaccia consolidata view delle impostazioni per le proprie porte seriali e quelle dell'interoNodo. La Primaria non fornisce un quadro completamente consolidato viewPer esempioample, se vuoi scoprire chi ha effettuato l'accesso alle porte seriali in cascata dal primario, vedrai che Stato > Utenti attivi visualizza solo gli utenti attivi sulle porte del primario, quindi potresti dover scrivere script personalizzati per fornire questo view.
3.7 Reindirizzamento della porta seriale (PortShare)
Il software Port Share di Opengear fornisce la tecnologia della porta seriale virtuale di cui le tue applicazioni Windows e Linux hanno bisogno per aprire porte seriali remote e leggere i dati dai dispositivi seriali collegati al server della console.
PortShare viene fornito gratuitamente con ciascun server della console e hai la licenza per installare PortShare su uno o più computer per accedere a qualsiasi dispositivo seriale collegato a una porta del server della console. PortShare per Windows PortShare_setup.exe può essere scaricato dal sito ftp. Consultare il Manuale utente di PortShare e Avvio rapido per i dettagli sull'installazione e il funzionamento. PortShare per Linux Il driver PortShare per Linux mappa la porta seriale del server della console su una porta di prova dell'host. Opengear ha rilasciato portshare-serial-client come utility open source per Linux, AIX, HPUX, SCO, Solaris e UnixWare. Questa utilità può essere scaricata dal sito ftp. Questo reindirizzatore di porta seriale PortShare ti consente di utilizzare un dispositivo seriale connesso al server della console remota come se fosse connesso alla porta seriale locale. Il portshare-serial-client crea una pseudo porta tty, collega l'applicazione seriale alla pseudo porta tty, riceve i dati dalla pseudo porta tty, li trasmette al server della console attraverso la rete e riceve i dati dal server della console attraverso la rete e li trasmette al porto pseudo-tty. Il .tar file può essere scaricato dal sito ftp. Consultare il Manuale utente di PortShare e Avvio rapido per i dettagli sull'installazione e il funzionamento.
48

Manuale d'uso
3.8 dispositivi gestiti
La pagina Dispositivi gestiti presenta un'interfaccia consolidata view di tutte le connessioni a un dispositivo a cui è possibile accedere e monitorare tramite il server della console. A view le connessioni ai dispositivi, selezionare Seriale e rete > Dispositivi gestiti
In questa schermata vengono visualizzati tutti i dispositivi gestiti con la relativa Descrizione/Note e l'elenco di tutte le Connessioni configurate:
· N. porta seriale (se connesso in serie) o · USB (se collegato tramite USB) · Indirizzo IP (se connesso alla rete) · Dettagli PDU/presa di alimentazione (se applicabile) ed eventuali connessioni UPS Dispositivi come i server possono avere più di una connessione di alimentazione (ad esempio doppia alimentazione fornita) e più di una connessione di rete (ad esempio per BMC/processore di servizio). Tutti gli utenti possono view queste connessioni dei dispositivi gestiti selezionando Gestisci > Dispositivi. Gli amministratori possono anche modificare e aggiungere/eliminare questi dispositivi gestiti e le relative connessioni. Per modificare un dispositivo esistente e aggiungere una nuova connessione: 1. Selezionare Modifica su Seriale e rete > Dispositivi gestiti e fare clic su Aggiungi connessione 2. Selezionare il tipo di connessione per la nuova connessione (Seriale, Host di rete, UPS o RPC) e selezionare
la connessione dall'elenco presentato di host/porte/prese configurate non allocate
49

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
Per aggiungere un nuovo dispositivo gestito connesso alla rete: 1. L'amministratore aggiunge un nuovo dispositivo gestito connesso alla rete utilizzando Aggiungi host nel menu Seriale e rete > Host di rete. Ciò crea automaticamente un nuovo dispositivo gestito corrispondente. 2. Quando si aggiunge un nuovo dispositivo di alimentazione RPC o UPS connesso alla rete, si configura un host di rete, designandolo come RPC o UPS. Andare su Connessioni RPC o Connessioni UPS per configurare la connessione pertinente. Il nuovo dispositivo gestito corrispondente con lo stesso nome/descrizione dell'host RPC/UPS non verrà creato fino al completamento di questo passaggio di connessione.
NOTA I nomi delle prese sulla PDU appena creata sono Presa 1 e Presa 2. Quando si collega un particolare dispositivo gestito che assorbe energia dalla presa, la presa prende il nome del dispositivo gestito alimentato.
Per aggiungere un nuovo dispositivo gestito connesso in serie: 1. Configurare la porta seriale utilizzando il menu Seriale e rete > Porta seriale (vedere Sezione 3.1 Configurazione della porta seriale) 2. Selezionare Seriale e rete > Dispositivi gestiti e fare clic su Aggiungi dispositivo 3. Immettere un dispositivo Nome e descrizione del dispositivo gestito

4. Fare clic su Aggiungi connessione e selezionare Seriale e la Porta che si connette al dispositivo gestito

5. Per aggiungere una connessione di alimentazione UPS/RPC o una connessione di rete o un'altra connessione seriale, fare clic su Aggiungi connessione

6. Fare clic su Applica

NOTA

Per configurare un dispositivo UPS RPC o EMD connesso in serie, configurare la porta seriale, designarla come dispositivo e immettere un nome e una descrizione per il dispositivo in Seriale e rete > Connessioni RPC (o Connessioni UPS o Ambientale). Ciò crea un nuovo dispositivo gestito corrispondente con lo stesso nome/descrizione dell'host RPC/UPS. I nomi delle prese su questa PDU appena creata sono Presa 1 e Presa 2. Quando si collega un dispositivo gestito che assorbe energia dalla presa, la presa prende il nome del dispositivo gestito alimentato.

3.9 VPN IPsec
ACM7000, CM7100 e IM7200 includono Openswan, un'implementazione Linux dei protocolli IPsec (IP Security), che può essere utilizzata per configurare una rete privata virtuale (VPN). La VPN consente a più siti o ad amministratori remoti di accedere in modo sicuro al server della console e ai dispositivi gestiti tramite Internet.

Manuale d'uso
L'amministratore può stabilire connessioni VPN autenticate crittografate tra i server console distribuiti in siti remoti e un gateway VPN (come un router Cisco che esegue IOS IPsec) sulla rete dell'ufficio centrale:
· Gli utenti presso l'ufficio centrale possono accedere in modo sicuro ai server della console remota e ai dispositivi e alle macchine della console seriale collegati sulla sottorete LAN di gestione nella posizione remota come se fossero locali
· Tutti questi server console remoti possono essere monitorati con un CMS6000 sulla rete centrale · Con il bridging seriale, i dati seriali dal controller della macchina dell'ufficio centrale possono essere archiviati in modo sicuro
connesso ai dispositivi controllati in serie nei siti remoti L'amministratore road Warrior può utilizzare un client software VPN IPsec per accedere in remoto al server della console e a ogni macchina sulla sottorete LAN di gestione nella posizione remota
La configurazione di IPsec è piuttosto complessa, quindi Opengear fornisce un'interfaccia GUI per la configurazione di base come descritto di seguito. Per abilitare il gateway VPN:
1. Selezionare VPN IPsec nel menu Seriale e reti
2. Fare clic su Aggiungi e completare la schermata Aggiungi tunnel IPsec 3. Immettere il nome descrittivo con cui si desidera identificare il tunnel IPsec che si sta aggiungendo, ad esempio
WestStOutlet-VPN
51

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
4. Seleziona il metodo di autenticazione da utilizzare, firme digitali RSA o un segreto condiviso (PSK) o Se selezioni RSA ti verrà chiesto di fare clic qui per generare le chiavi. Ciò genera una chiave pubblica RSA per il server della console (la chiave pubblica sinistra). Individuare la chiave da utilizzare sul gateway remoto, tagliarla e incollarla nella chiave pubblica corretta
o Se selezioni Segreto condiviso, inserisci un segreto precondiviso (PSK). Il PSK deve corrispondere al PSK configurato all'altra estremità del tunnel
5. In Protocollo di autenticazione selezionare il protocollo di autenticazione da utilizzare. Esegui l'autenticazione come parte della crittografia ESP (Encapsulating Security Payload) o separatamente utilizzando il protocollo AH (Authentication Header).
52

Manuale d'uso
6. Immettere un ID sinistro e un ID destro. Questo è l'identificatore utilizzato dall'host/gateway locale e dall'host/gateway remoto per la negoziazione e l'autenticazione IPsec. Ogni ID deve includere una @ e può includere un nome di dominio completo (ad esempio left@example.com)
7. Immettere l'indirizzo IP pubblico o DNS di questo gateway VPN Opengear come indirizzo sinistro. Puoi lasciare vuoto questo campo per utilizzare l'interfaccia del percorso predefinito
8. In Right Address inserire l'IP pubblico o l'indirizzo DNS dell'estremità remota del tunnel (solo se l'estremità remota ha un indirizzo statico o DynDNS). Altrimenti lascia vuoto questo campo
9. Se il gateway VPN Opengear funge da gateway VPN per una sottorete locale (ad esempio, il server della console ha una LAN di gestione configurata), inserire i dettagli della sottorete privata in Sottorete sinistra. Utilizzare la notazione CIDR (dove il numero dell'indirizzo IP è seguito da una barra e dal numero di bit "uno" nella notazione binaria della maschera di rete). Per esample, 192.168.0.0/24 indica un indirizzo IP in cui i primi 24 bit vengono utilizzati come indirizzo di rete. È uguale a 255.255.255.0. Se l'accesso VPN è solo al server della console e ai dispositivi della console seriale collegati, lasciare vuoto Subnet sinistra
10. Se è presente un gateway VPN all'estremità remota, inserire i dettagli della sottorete privata in Sottorete destra. Utilizza la notazione CIDR e lascia vuoto se è presente solo un host remoto
11. Selezionare Avvia tunnel se la connessione tunnel deve essere avviata dall'estremità sinistra del server della console. Questo può essere avviato solo dal gateway VPN (a sinistra) se l'estremità remota è configurata con un indirizzo IP statico (o DynDNS)
12. Fare clic su Applica per salvare le modifiche
NOTA I dettagli di configurazione impostati sul server della console (denominato host sinistro o locale) devono corrispondere all'impostazione immessa durante la configurazione dell'host/gateway remoto (destro) o del client software. Vedere http://www.opengear.com/faq.html per i dettagli sulla configurazione di queste estremità remote
3.10 Apri VPN
ACM7000, CM7100 e IM7200 con firmware V3.2 e versioni successive includono OpenVPN. OpenVPN utilizza la libreria OpenSSL per crittografia, autenticazione e certificazione, il che significa che utilizza SSL/TSL (Secure Socket Layer/Transport Layer Security) per lo scambio di chiavi e può crittografare sia i dati che i canali di controllo. L'utilizzo di OpenVPN consente la creazione di VPN punto-punto multipiattaforma utilizzando X.509 PKI (infrastruttura a chiave pubblica) o configurazione personalizzata fileS. OpenVPN consente il tunneling sicuro dei dati attraverso una singola porta TCP/UDP su una rete non protetta, fornendo così un accesso sicuro a più siti e un'amministrazione remota sicura a un server console su Internet. OpenVPN consente inoltre l'utilizzo di indirizzi IP dinamici sia da parte del server che del client, garantendo così la mobilità del client. Per esample, è possibile stabilire un tunnel OpenVPN tra un client Windows in roaming e un server console Opengear all'interno di un data center. La configurazione di OpenVPN può essere complessa, quindi Opengear fornisce un'interfaccia GUI per la configurazione di base come descritto di seguito. Informazioni più dettagliate sono disponibili all'indirizzo http://www.openvpn.net
3.10.1 Abilitare OpenVPN 1. Selezionare OpenVPN nel menu Seriale e Reti
53

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
2. Fai clic su Aggiungi e completa la schermata Aggiungi tunnel OpenVPN 3. Inserisci il nome descrittivo che desideri per identificare il tunnel OpenVPN che stai aggiungendo, ad es.ample
NorthStOutlet-VPN
4. Selezionare il metodo di autenticazione da utilizzare. Per autenticarsi utilizzando i certificati selezionare PKI (certificati X.509) o selezionare Configurazione personalizzata per caricare la configurazione personalizzata fileS. Le configurazioni personalizzate devono essere archiviate in /etc/config.
NOTA Se si seleziona PKI, stabilire: Certificato separato (noto anche come chiave pubblica). Questo certificato File è un *.crt file digitare la chiave privata per il server e ciascun client. Questa chiave privata File è un *.key file tipo
Certificato e chiave dell'autorità di certificazione primaria (CA) utilizzati per firmare ciascun server
ecertificati del cliente. Questo certificato CA radice è un *.crt file tipo Per un server, potresti anche aver bisogno di dh1024.pem (parametri Diffie Hellman). Vedi http://openvpn.net/easyrsa.html per una guida alla gestione di base delle chiavi RSA. Per metodi di autenticazione alternativi vedere http://openvpn.net/index.php/documentation/howto.html#auth.
5. Selezionare il driver del dispositivo da utilizzare, Tun-IP o Tap-Ethernet. I driver TUN (tunnel di rete) e TAP (tap di rete) sono driver di rete virtuale che supportano rispettivamente il tunneling IP e il tunneling Ethernet. TUN e TAP fanno parte del kernel Linux.
6. Selezionare UDP o TCP come Protocollo. UDP è il protocollo predefinito e preferito per OpenVPN. 7. Selezionare o deselezionare il pulsante Compressione per abilitare o disabilitare la compressione. 8. In modalità Tunnel, indicare se questa è l'estremità client o server del tunnel. Quando si esegue come
un server, il server della console supporta più client che si connettono al server VPN tramite la stessa porta.
54

Manuale d'uso
3.10.2 Configurare come Server o Client
1. Completa i dettagli del client o i dettagli del server a seconda della modalità tunnel selezionata. o Se è stato selezionato Client, l'Indirizzo del server primario è l'indirizzo del server OpenVPN. o Se è stato selezionato Server, inserire l'indirizzo di rete del pool IP e la maschera di rete del pool IP per il pool IP. La rete definita dall'indirizzo/maschera di rete del pool IP viene utilizzata per fornire gli indirizzi per la connessione dei client.
2. Fare clic su Applica per salvare le modifiche
55

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
3. Per inserire i certificati di autenticazione e fileQuindi, seleziona Gestisci OpenVPN Filescheda s. Carica o cerca i certificati di autenticazione pertinenti e files.
4. Applica per salvare le modifiche. Salvato filevengono visualizzati in rosso sul lato destro del pulsante Carica.
5. Per abilitare OpenVPN, modifica il tunnel OpenVPN
56

Manuale d'uso
6. Selezionare il pulsante Abilitato. 7. Applicare per salvare le modifiche NOTA Assicurarsi che l'ora di sistema del server della console sia corretta quando si lavora con OpenVPN per evitare
problemi di autenticazione.
8. Selezionare Statistiche nel menu Stato per verificare che il tunnel sia operativo.
57

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
3.10.3 Configurazione del client e del server Windows OpenVPN Questa sezione descrive l'installazione e la configurazione di un client Windows OpenVPN o di un server Windows OpenVPN e l'impostazione di una connessione VPN a un server della console. I server console generano automaticamente la configurazione del client Windows dalla GUI per il segreto precondiviso (chiave statica File) configurazioni.
In alternativa, è possibile scaricare la GUI OpenVPN per il software Windows (che include il pacchetto OpenVPN standard più una GUI Windows) da http://openvpn.net. Una volta installato sul computer Windows, un'icona OpenVPN viene aggiunta all'area di notifica situata sul lato destro della barra delle applicazioni. Fare clic con il tasto destro su questa icona per avviare e interrompere le connessioni VPN, modificare le configurazioni e view registri.
Quando il software OpenVPN inizia a funzionare, il file C:Program FilesLa cartella OpenVPNconfig viene scansionata per .opvn fileS. Questa cartella viene ricontrollata per una nuova configurazione files ogni volta che si fa clic con il pulsante destro del mouse sull'icona della GUI di OpenVPN. Una volta installato OpenVPN, crea una configurazione file:
58

Manuale d'uso

Utilizzando un editor di testo, crea un file xxxx.ovpn file e salva in C:Program FilesOpenVPNconfig. Per esample, C:Programma FilesOpenVPNconfigclient.ovpn
un example di una configurazione del client Windows OpenVPN file è mostrato di seguito:
# descrizione: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 porta 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind persist-key persist- tun comp-lzo
un example di una configurazione di OpenVPN Windows Server file è mostrato di seguito:
server 10.100.10.0 255.255.255.0 porta 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt key c:\openvpnkeys\server. chiave dh c:\openvpnkeys\dh.pem comp-lzo verbo 1 syslog IM4216_OpenVPN_Server
La configurazione client/server di Windows file le opzioni sono:

Opzioni #descrizione: Client server proto udp proto tcp mssfix verbo
dev tun dev tap

Descrizione Questo è un commento che descrive la configurazione. Le righe di commento iniziano con "#" e vengono ignorate da OpenVPN. Specificare se si tratterà di una configurazione client o server file. Nella configurazione del server file, definire il pool di indirizzi IP e la netmask. Per esample, server 10.100.10.0 255.255.255.0 Imposta il protocollo su UDP o TCP. Il client e il server devono utilizzare le stesse impostazioni. Mssfix imposta la dimensione massima del pacchetto. Ciò è utile per UDP solo se si verificano problemi.
Imposta registro file livello di verbosità. Il livello di dettaglio del registro può essere impostato da 0 (minimo) a 15 (massimo). Per esample, 0 = silenzioso tranne che per errori fatali 3 = output medio, buono per uso generale 5 = aiuta con il debug dei problemi di connessione 9 = dettagliato, eccellente per la risoluzione dei problemi Selezionare `dev tun' per creare un tunnel IP instradato o `dev tap' per creare un tunnel Ethernet. Il client e il server devono utilizzare le stesse impostazioni.

Capitolo 3: Configurazione di porta seriale, dispositivo e utente

a distanza Porto Keepalive
proxy http circafile nome>
certfile nome>
chiavefile nome>
mahfile nome> Nobind persist-key persist-tun cifratura BF-CBC Blowfish (predefinita) cifratura AES-128-CBC cifratura AES DES-EDE3-CBC Triple-DES comp-lzo syslog

Il nome host/IP del server OpenVPN quando funziona come client. Inserisci il nome host DNS o l'indirizzo IP statico del server. La porta UDP/TCP del server. Keepalive utilizza il ping per mantenere viva la sessione OpenVPN. 'Keepalive 10 120' esegue il ping ogni 10 secondi e presuppone che il peer remoto sia inattivo se non viene ricevuto alcun ping in un periodo di tempo di 120 secondi. Se è necessario un proxy per accedere al server, immettere il nome DNS o IP del server proxy e il numero di porta. Immettere il certificato CA file nome e posizione. Lo stesso certificato CA file può essere utilizzato dal server e da tutti i client. Nota: assicurarsi che ogni `' nel percorso della directory venga sostituito con ` \'. Per esample, c:openvpnkeysca.crt diventerà c:\openvpnkeys\ca.crt Inserisci il certificato del client o del server file nome e posizione. Ogni client dovrebbe avere il proprio certificato e la propria chiave fileS. Nota: assicurarsi che ogni `' nel percorso della directory venga sostituito con ` \'. Inserisci il file nome e posizione della chiave del client o del server. Ogni client dovrebbe avere il proprio certificato e la propria chiave fileS. Nota: assicurarsi che ogni `' nel percorso della directory venga sostituito con ` \'. Viene utilizzato solo dal server. Immettere il percorso della chiave con i parametri Diffie-Hellman. "Nobind" viene utilizzato quando i client non hanno bisogno di collegarsi a un indirizzo locale o a un numero di porta locale specifico. Questo è il caso della maggior parte delle configurazioni client. Questa opzione impedisce il ricaricamento delle chiavi tra i riavvii. Questa opzione impedisce la chiusura e la riapertura dei dispositivi TUN/TAP dopo i riavvii. Seleziona un codice crittografico. Il client e il server devono utilizzare le stesse impostazioni.
Abilita la compressione sul collegamento OpenVPN. Questo deve essere abilitato sia sul client che sul server. Per impostazione predefinita, i registri si trovano in syslog o, se eseguiti come servizio su Windows, in Programma FilesDirectory OpenVPNlog.

Per avviare il tunnel OpenVPN dopo la creazione della configurazione client/server fileS: 1. Fare clic con il tasto destro sull'icona OpenVPN nell'area di notifica 2. Selezionare la configurazione client o server appena creata. 3. Fare clic su Connetti

4. Il registro file viene visualizzato non appena viene stabilita la connessione
60

Manuale d'uso
5. Una volta stabilita, l'icona OpenVPN visualizza un messaggio che indica una connessione riuscita e un IP assegnato. Queste informazioni, così come l'ora in cui è stata stabilita la connessione, sono disponibili scorrendo sull'icona OpenVPN.
3.11 VPN PPTP
I server console includono un server PPTP (Point-to-Point Tunneling Protocol). PPTP viene utilizzato per le comunicazioni su un collegamento seriale fisico o virtuale. Gli endpoint PPP definiscono per se stessi un indirizzo IP virtuale. I percorsi verso le reti possono essere definiti con questi indirizzi IP come gateway, il che comporta l'invio del traffico attraverso il tunnel. PPTP stabilisce un tunnel tra gli endpoint fisici PPP e trasporta in modo sicuro i dati attraverso il tunnel.
Il punto di forza di PPTP è la facilità di configurazione e integrazione nell'infrastruttura Microsoft esistente. Viene generalmente utilizzato per connettere singoli client Windows remoti. Se porti il tuo computer portatile in viaggio d'affari, puoi comporre un numero locale per connetterti al tuo fornitore di servizi di accesso a Internet (ISP) e creare una seconda connessione (tunnel) nella rete dell'ufficio attraverso Internet e avere lo stesso accesso al tuo rete aziendale come se fossi connesso direttamente dal tuo ufficio. I telelavoratori possono anche configurare un tunnel VPN sul proprio modem via cavo o collegamenti DSL al proprio ISP locale.
61

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
Per impostare una connessione PPTP da un client Windows remoto all'appliance Opengear e alla rete locale:
1. Abilita e configura il server VPN PPTP sull'appliance Opengear 2. Configura gli account utente VPN sull'appliance Opengear e abilita gli appropriati
autenticazione 3. Configurare i client VPN nei siti remoti. Il client non necessita di software speciale come
il server PPTP supporta il software client PPTP standard incluso con Windows NT e versioni successive 4. Connettersi alla VPN remota 3.11.1 Abilitare il server VPN PPTP 1. Selezionare VPN PPTP nel menu Seriale e reti
2. Selezionare la casella di controllo Abilita per abilitare il server PPTP 3. Selezionare l'autenticazione minima richiesta. L'accesso è negato agli utenti remoti che tentano di farlo
connettersi utilizzando uno schema di autenticazione più debole dello schema selezionato. Gli schemi sono descritti di seguito, dal più forte al più debole. · Autenticazione crittografata (MS-CHAP v2): il tipo di autenticazione più potente da utilizzare; questo è
l'opzione consigliata · Autenticazione con crittografia debole (CHAP): questo è il tipo più debole di password crittografata
autenticazione da utilizzare. Non è consigliabile che i client si connettano utilizzando questo poiché fornisce pochissima protezione tramite password. Tieni inoltre presente che i client che si connettono utilizzando CHAP non sono in grado di crittografare il traffico
62

Manuale d'uso
· Autenticazione non crittografata (PAP): si tratta di un'autenticazione con password in testo semplice. Quando si utilizza questo tipo di autenticazione, la password del client viene trasmessa non crittografata.
· Nessuno 4. Selezionare il livello di crittografia richiesto. L'accesso è negato agli utenti remoti che tentano di connettersi
che non utilizzano questo livello di crittografia. 5. In Indirizzo locale inserire l'indirizzo IP da assegnare all'estremità del server della connessione VPN 6. In Indirizzi remoti inserire il pool di indirizzi IP da assegnare alla VPN del client in entrata
connessioni (es. 192.168.1.10-20). Deve trattarsi di un indirizzo IP libero o di un intervallo di indirizzi dalla rete che gli utenti remoti vengono assegnati mentre sono connessi all'appliance Opengear 7. Immettere il valore desiderato dell'unità massima di trasmissione (MTU) per le interfacce PPTP nel campo MTU (l'impostazione predefinita è 1400) 8. Nel campo Server DNS, inserire l'indirizzo IP del server DNS che assegna gli indirizzi IP ai client PPTP di connessione 9. Nel campo Server WINS, inserire l'indirizzo IP del server WINS che assegna gli indirizzi IP ai client PPTP di connessione 10. Abilita la registrazione dettagliata per assistere nel debug dei problemi di connessione 11. Fare clic su Applica impostazioni 3.11.2 Aggiungere un utente PPTP 1. Selezionare Utenti e gruppi nel menu Seriale e reti e completare i campi come illustrato nella sezione 3.2. 2. Assicurarsi che il gruppo pptpd sia stato selezionato per consentire l'accesso al server VPN PPTP. Nota: le password degli utenti di questo gruppo sono archiviate in testo non crittografato. 3. Prendi nota del nome utente e della password per quando dovrai connetterti alla connessione VPN 4. Fai clic su Applica
63

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
3.11.3 Configurazione di un client PPTP remoto Assicurarsi che il PC client VPN remoto disponga di connettività Internet. Per creare una connessione VPN su Internet, è necessario configurare due connessioni di rete. Una connessione è per l'ISP e l'altra connessione è per il tunnel VPN verso l'appliance Opengear. NOTA Questa procedura configura un client PPTP nel sistema operativo Windows Professional. I passi
potrebbero variare leggermente a seconda dell'accesso alla rete o se si utilizza una versione alternativa di Windows. Istruzioni più dettagliate sono disponibili presso Microsoft web luogo. 1. Accedi al tuo client Windows con privilegi di amministratore 2. Dal Centro connessioni di rete e condivisione sul Pannello di controllo seleziona Connessioni di rete e crea una nuova connessione
64

Manuale d'uso
3. Selezionare Usa la mia connessione Internet (VPN) e inserire l'indirizzo IP dell'appliance Opengear. Per connettere client VPN remoti alla rete locale, è necessario conoscere il nome utente e la password per l'account PPTP aggiunto, nonché l'IP Internet indirizzo dell'apparecchio Opengear. Se il tuo ISP non ti ha assegnato un indirizzo IP statico, considera l'utilizzo di un servizio DNS dinamico. Altrimenti dovrai modificare la configurazione del client PPTP ogni volta che cambia il tuo indirizzo IP Internet.
65

Capitolo 3: Configurazione di porta seriale, dispositivo e utente

3.12 Chiama casa
Tutti i server della console includono la funzione Call Home che avvia la configurazione di un tunnel SSH sicuro dal server della console a un Opengear Lighthouse centralizzato. Il server della console si registra come candidato su Lighthouse. Una volta accettato lì, diventa un server console gestito.
Lighthouse monitora il server della console gestita e gli amministratori possono accedere al server della console gestita remoto tramite Lighthouse. Questo accesso è disponibile anche quando il server della console remota è protetto da un firewall di terze parti o dispone di indirizzi IP privati non instradabili.

NOTA

Lighthouse mantiene connessioni SSH autenticate con chiave pubblica a ciascuno dei suoi server console gestiti. Queste connessioni vengono utilizzate per monitorare, indirizzare e accedere ai server console gestiti e ai dispositivi gestiti collegati al server console gestita.

Per gestire i server console locali o i server console raggiungibili da Lighthouse, le connessioni SSH vengono avviate da Lighthouse.

Per gestire i server console remoti o i server console protetti da firewall, non instradabili o altrimenti non raggiungibili da Lighthouse, le connessioni SSH vengono avviate dal ConsoleServer gestito tramite una connessione Call Home iniziale.

Ciò garantisce comunicazioni sicure e autenticate e consente la distribuzione locale delle unità Managed Console Server su una LAN o in remoto in tutto il mondo.

3.12.1 Configurazione del candidato Call Home Per configurare il server della console come candidato alla gestione Call Home su Lighthouse:
1. Selezionare Chiama casa nel menu Seriale e rete

2. Se non hai già generato o caricato una coppia di chiavi SSH per questo server della console, fallo prima di procedere
3. Fare clic su Aggiungi

4. Inserisci l'indirizzo IP o il nome DNS (ad esempio l'indirizzo DNS dinamico) del Faro.
5. Immettere la password configurata sul CMS come password Call Home.
66

Manuale d'uso
6. Fare clic su Applica. Questi passaggi avviano la connessione Call Home dal server della console a Lighthouse. Ciò crea una porta di ascolto SSH su Lighthouse e imposta il server della console come candidato.
Una volta che il candidato è stato accettato su Lighthouse, un tunnel SSH al server della console viene reindirizzato attraverso la connessione Call Home. Il server console è diventato un server console gestito e Lighthouse può connettersi e monitorarlo attraverso questo tunnel. 3.12.2 Accettare il candidato Call Home come server console gestito su Lighthouse Questa sezione fornisce una panoramicaview sulla configurazione di Lighthouse per monitorare i server Lighthouse della console collegati tramite Call Home. Per maggiori dettagli consultare la Guida per l'utente di Lighthouse:
1. Immettere una nuova password Call Home sul faro. Questa password viene utilizzata per accettare
Chiama Homeconnections dai server console candidati
2. Il Lighthouse può essere contattato dal server della console che deve avere un IP statico
indirizzo o, se si utilizza DHCP, essere configurato per utilizzare un servizio DNS dinamico
La schermata Configura > Server console gestiti su Lighthouse mostra lo stato di
Server e candidati console gestite locali e remoti.
La sezione Server console gestiti mostra i server console monitorati da
Lighthouse.La sezione Server console rilevati contiene:
o Il menu a discesa Server console locali che elenca tutti i server console presenti su
stessa sottorete del Lighthouse e non vengono monitorati
67

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
o Il menu a discesa Server console remota che elenca tutti i server console che hanno stabilito una connessione Call Home e non sono monitorati (ovvero candidati). È possibile fare clic su Aggiorna per aggiornare
Per aggiungere un candidato server console all'elenco dei server console gestiti, selezionarlo dall'elenco a discesa Server console remoti e fare clic su Aggiungi. Inserisci l'indirizzo IP e la porta SSH (se questi campi non sono stati compilati automaticamente) e inserisci una descrizione e un nome univoco per il server della console gestita che stai aggiungendo
Immettere la password root remota (ovvero la password di sistema impostata su questo server della console gestita). Questa password viene utilizzata da Lighthouse per propagare le chiavi SSH generate automaticamente e non viene archiviata. Fare clic su Applica. Lighthouse configura connessioni SSH sicure da e verso il server console gestito e recupera i suoi dispositivi gestiti, i dettagli dell'account utente e gli avvisi configurati 3.12.3 Chiamata Home a un server SSH centrale generico Se ci si connette a un server SSH generico (non Lighthouse) è possibile configurare le impostazioni avanzate: · Inserire la porta del server SSH e l'utente SSH. · Immettere i dettagli per i port forwarding SSH da creare
Selezionando Server di ascolto, è possibile creare un port forwarding remoto dal server a questa unità o un port forwarding locale da questa unità al server:
68

Manuale d'uso
· Specificare una porta di ascolto da cui inoltrare, lasciare vuoto questo campo per allocare una porta inutilizzata · Immettere il server di destinazione e la porta di destinazione che saranno il destinatario delle connessioni inoltrate
3.13 Passaggio IP
IP Passthrough viene utilizzato per far sì che una connessione modem (ad esempio il modem cellulare interno) appaia come una normale connessione Ethernet a un router downstream di terze parti, consentendo al router downstream di utilizzare la connessione modem come interfaccia WAN primaria o di backup.
Il dispositivo Opengear fornisce l'indirizzo IP del modem e i dettagli DNS al dispositivo downstream tramite DHCP e trasmette il traffico di rete da e verso il modem e il router.
Mentre IP Passthrough trasforma un Opengear in un half bridge modem-Ethernet, alcuni servizi di livello 4 (HTTP/HTTPS/SSH) potrebbero essere terminati su Opengear (intercettazioni di servizio). Inoltre, i servizi in esecuzione su Opengear possono avviare connessioni cellulari in uscita indipendentemente dal router a valle.
Ciò consente a Opengear di continuare a essere utilizzato per la gestione e gli avvisi fuori banda e anche di essere gestito tramite Lighthouse, mentre è in modalità IP Passthrough.
3.13.1 Configurazione del router downstream Per utilizzare la connettività di failover sul router downstream (noto anche come Failover to Cellular o F2C), deve avere due o più interfacce WAN.
NOTA Il failover nel contesto IP Passthrough viene eseguito dal router downstream e la logica di failover fuori banda integrata su Opengear non è disponibile in modalità IP Passthrough.
Collegare un'interfaccia WAN Ethernet sul router downstream all'interfaccia di rete o alla porta LAN di gestione di Opengear con un cavo Ethernet.
Configurare questa interfaccia sul router downstream per ricevere le impostazioni di rete tramite DHCP. Se è richiesto il failover, configurare il router downstream per il failover tra la sua interfaccia primaria e la porta Ethernet collegata a Opengear.
3.13.2 Preconfigurazione IP Passthrough I passaggi prerequisiti per abilitare IP Passthrough sono:
1. Configurare l'interfaccia di rete e, ove applicabile, le interfacce LAN di gestione con impostazioni di rete statiche. · Fare clic su Seriale e rete > IP. · Per l'Interfaccia di rete e, ove applicabile, la LAN di gestione, selezionare Statico come Metodo di configurazione e immettere le impostazioni di rete (vedere la sezione intitolata Configurazione di rete per istruzioni dettagliate). · Per l'interfaccia connessa al router downstream, è possibile scegliere qualsiasi rete privata dedicata. Questa rete esiste solo tra Opengear e il router downstream e normalmente non è accessibile. · Per l'altra interfaccia, configuratela come fareste normalmente sulla rete locale. · Per entrambe le interfacce, lasciare Gateway vuoto.
2. Configurare il modem in modalità Sempre attivo fuori banda.
69

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
· Per una connessione cellulare, fare clic su Sistema > Componi: modem cellulare interno. · Selezionare Abilita chiamata in uscita e inserire i dettagli dell'operatore come APN (vedere la sezione Modem cellulare
Collegamento per istruzioni dettagliate). 3.13.3 Configurazione IP Passthrough Per configurare IP Passthrough:
· Fare clic su Seriale e rete > Passthrough IP e selezionare Abilita. · Selezionare il modem Opengear da utilizzare per la connettività upstream. · Facoltativamente, inserire l'indirizzo MAC dell'interfaccia connessa del router downstream. Se l'indirizzo MAC è
non specificato, Opengear passerà al primo dispositivo downstream che richiede un indirizzo DHCP. · Selezionare l'interfaccia Ethernet Opengear da utilizzare per la connettività al router downstream.
· Fare clic su Applica. 3.13.4 Intercettazioni di servizio Consentono a Opengear di continuare a fornire servizi, ad esample, per la gestione fuori banda in modalità IP Passthrough. Le connessioni all'indirizzo del modem sulle porte di intercettazione specificate vengono gestite da Opengear anziché passare al router downstream.
· Per il servizio richiesto di HTTP, HTTPS o SSH, seleziona Abilita · Modifica facoltativamente la porta di intercettazione su una porta alternativa (ad esempio 8443 per HTTPS), questo è utile se
desidera continuare a consentire al router downstream di rimanere accessibile tramite la sua porta normale. 3.13.5 Stato passthrough IP Aggiorna la pagina in view la sezione Stato. Visualizza l'indirizzo IP esterno del modem che viene passato, l'indirizzo MAC interno del router downstream (popolato solo quando il router downstream accetta il lease DHCP) e lo stato di funzionamento generale del servizio IP Passthrough. Potresti essere avvisato dello stato di failover del router downstream configurando un controllo dell'utilizzo dei dati instradati in Avvisi e registrazione > Risposta automatica. 3.13.6 Avvertenze Alcuni router downstream potrebbero essere incompatibili con il percorso del gateway. Ciò può verificarsi quando IP Passthrough collega una rete cellulare 3G in cui l'indirizzo del gateway è un indirizzo di destinazione punto a punto e non sono disponibili informazioni sulla sottorete. Opengear invia una maschera di rete DHCP 255.255.255.255. I dispositivi normalmente lo interpretano come un singolo percorso host sull'interfaccia, ma alcuni dispositivi downstream meno recenti potrebbero presentare problemi.
70

Manuale d'uso
Le intercettazioni per i servizi locali non funzioneranno se Opengear utilizza un percorso predefinito diverso dal modem. Inoltre, non funzioneranno a meno che il servizio non sia abilitato e l'accesso al servizio non sia abilitato (vedere Sistema > Servizi, nella scheda Accesso al servizio trovare Dialout/Cellulare).
Sono supportate le connessioni in uscita provenienti da Opengear verso servizi remoti (ad esempio invio di avvisi e-mail SMTP, trap SNMP, acquisizione del tempo NTP, tunnel IPSec). Esiste un piccolo rischio di errore di connessione nel caso in cui sia Opengear che il dispositivo downstream tentassero di accedere alla stessa porta UDP o TCP sullo stesso host remoto contemporaneamente quando hanno scelto casualmente lo stesso numero di porta locale di origine.
3.14 Configurazione tramite DHCP (ZTP)
È possibile eseguire il provisioning dei dispositivi Opengear durante l'avvio iniziale da un server DHCPv4 o DHCPv6 utilizzando config-over-DHCP. Il provisioning su reti non affidabili può essere facilitato fornendo le chiavi su un'unità flash USB. La funzionalità ZTP può essere utilizzata anche per eseguire un aggiornamento del firmware alla connessione iniziale alla rete o per registrarsi in un'istanza Lighthouse 5.
Preparazione I passaggi tipici per la configurazione su una rete affidabile sono:
1. Configurare un dispositivo Opengear dello stesso modello. 2. Salva la sua configurazione come backup Opengear (.opg) file. 3. Selezionare Sistema > Backup della configurazione > Backup remoto. 4. Fare clic su Salva backup. Una configurazione di backup file — model-name_iso-format-date_config.opg — viene scaricato dal dispositivo Opengear nel sistema locale. È possibile salvare la configurazione come file xml file: 1. Selezionare Sistema > Backup configurazione > Configurazione XML. Un campo modificabile contenente il file
configurazione file viene visualizzato il formato XML. 2. Fare clic nel campo per renderlo attivo. 3. Se stai utilizzando un browser su Windows o Linux, fai clic con il pulsante destro del mouse e scegli Seleziona tutto da
menu contestuale o premere Control-A. Fare clic con il tasto destro e scegliere Copia dal menu contestuale o premere Control-C. 4. Se utilizzi qualsiasi browser su macOS, scegli Modifica > Seleziona tutto o premi Comando-A. Scegli Modifica > Copia o premi Comando-C. 5. Nel tuo editor di testo preferito, crea un nuovo documento vuoto, incolla i dati copiati nel documento vuoto e salva il file file. Qualunque cosa file-nome scelto, deve includere il file .xml fileSuffisso del nome. 6. Copia il file .opg o .xml salvato file a una directory pubblica su a file server che serve almeno uno dei seguenti protocolli: HTTPS, HTTP, FTP o TFTP. (È possibile utilizzare solo HTTPS se la connessione tra file server e un dispositivo Opengear da configurare viaggia su una rete non attendibile.). 7. Configura il tuo server DHCP per includere un'opzione "specifica del fornitore" per i dispositivi Opengear. (Questa operazione verrà eseguita in modo specifico per il server DHCP.) L'opzione specifica del fornitore deve essere impostata su una stringa contenente il file URL del file .opg o .xml pubblicato file nel passaggio precedente. La stringa dell'opzione non deve superare i 250 caratteri e deve terminare con .opg o .xml.
71

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
8. Collegare un nuovo dispositivo Opengear, ripristinato alle impostazioni di fabbrica o cancellato dalla configurazione, alla rete e applicare l'alimentazione. Potrebbero essere necessari fino a 5 minuti affinché il dispositivo si riavvii.
Example Configurazione del server ISC DHCP (dhcpd).
Quello che segue è un example Frammento di configurazione del server DHCP per fornire un'immagine di configurazione .opg tramite il server DHCP ISC, dhcpd:
opzione spazio opengear codice larghezza 1 lunghezza larghezza 1; opzione opengear.config-url codice 1 = testo; classe “opengear-config-over-dhcp-test” {
corrisponde se opzione identificatore-classe-venditore ~~ “^Opengear/”; opengear dello spazio delle opzioni del fornitore; opzione opengear.config-url “https://esample.com/opg/${class}.opg”; }
Questa configurazione può essere modificata per aggiornare l'immagine di configurazione utilizzando opengear.image-url opzione e fornendo un URI all'immagine del firmware.
Configurazione quando la LAN non è attendibile Se la connessione tra file server e un dispositivo Opengear da configurare include una rete non attendibile, un approccio a due mani può mitigare il problema.
NOTA Questo approccio introduce due passaggi fisici in cui può essere difficile, se non impossibile, stabilire completamente la fiducia. Innanzitutto, la catena di custodia dalla creazione dell'unità flash USB che trasporta i dati fino alla sua implementazione. In secondo luogo, le mani che collegano l'unità flash USB al dispositivo Opengear.
· Generare un certificato X.509 per il dispositivo Opengear.
· Concatenare il certificato e la sua chiave privata in un unico certificato file denominato client.pem.
· Copiare client.pem su una chiavetta USB.
· Configurare un server HTTPS tale da consentire l'accesso a .opg o .xml file è limitato ai client che possono fornire il certificato client X.509 generato sopra.
· Metti una copia del certificato CA che ha firmato il certificato del server HTTP — ca-bundle.crt — sull'unità flash USB contenente client.pem.
· Inserire l'unità flash USB nel dispositivo Opengear prima di collegare l'alimentazione o la rete.
· Continuare la procedura da `Copiare il file .opg o .xml salvato file a una directory pubblica su a file server' sopra utilizzando il protocollo HTTPS tra client e server.
Preparare un'unità USB e creare il certificato X.509 e la chiave privata
· Generare il certificato CA in modo che le richieste di firma dei certificati (CSR) del client e del server possano essere firmate.
# cp /etc/ssl/openssl.cnf . # mkdir -p esampleCA/newcerts # echo 00 > esampleCA/numero di serie echo 00 > esampleCA/crlnumero # toccare esampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=EsampleCA # cp demoCA/cacert.pem ca-bundle.crt
Questa procedura genera un certificato denominato ExampleCA ma è possibile utilizzare qualsiasi nome di certificato consentito. Inoltre, questa procedura utilizza openssl ca. Se l'organizzazione dispone di un processo di generazione di CA sicuro a livello aziendale, è opportuno utilizzare quello.
72

Manuale d'uso
· Generare il certificato del server.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-chiavefile ca.key -policy policy_anything -batch -notext
NOTA Il nome host o l'indirizzo IP deve essere la stessa stringa utilizzata nel servizio URL. nell'example sopra, il nome host è demo.example.com.
· Generare il certificato client.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-chiavefile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formattare un'unità flash USB come un singolo volume FAT32.
· Spostare client.pem e ca-bundle.crt files nella directory principale dell'unità flash.
Debug dei problemi ZTP Utilizza la funzionalità di registro ZTP per eseguire il debug dei problemi ZTP. Mentre il dispositivo tenta di eseguire operazioni ZTP, le informazioni di registro vengono scritte in /tmp/ztp.log sul dispositivo.
Quello che segue è un example del registro file da una corsa ZTP riuscita.
# cat /tmp/ztp.log Mer 13 dic 22:22:17 UTC 2017 [avviso 5127] odhcp6c.eth0: ripristino della configurazione tramite DHCP Mer 13 dic 22:22:17 UTC 2017 [avviso 5127] odhcp6c.eth0: attesa 10 secondi per la rete da sistemare mercoledì 13 dicembre 22:22:27 UTC 2017 [avviso 5127] odhcp6c.eth0: NTP saltato: nessun server mercoledì 13 dicembre 22:22:27 UTC 2017 [informazioni 5127] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' mer 13 dic 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) mer 13 dic 22:22:27 UTC 2017 [informazioni 5127] odhcp6c.eth0: Vendorspec.3 (n/a) Mer 13 dic 22:22:27 UTC 2017 [informazioni 5127] odhcp6c.eth0: Vendorspec.4 (n/a ) Mer 13 dic 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.5 (n/a) Mer 13 dic 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.6 (n /a) Mer 13 dic 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: nessun firmware da scaricare (vendorspec.2) backup-url: provando http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: forzatura della modalità di configurazione wan sul backup DHCP-url: impostazione del nome host su acm7004-0013c601ce97 backup-url: caricamento riuscito mercoledì 13 dicembre 22:22:36 UTC 2017 [avviso 5127] odhcp6c.eth0: caricamento riuscito della configurazione mercoledì 13 dicembre 22:22:36 UTC 2017 [informazioni 5127] odhcp6c.eth0: nessuna configurazione del faro (vendorspec.3/ 4/5/6) Mercoledì 13 dicembre 22:22:36 UTC 2017 [avviso 5127] odhcp6c.eth0: provisioning completato, riavvio non eseguito
Gli errori vengono registrati in questo registro.
3.15 Iscrizione a Lighthouse
Utilizza la registrazione in Lighthouse per registrare i dispositivi Opengear in un'istanza Lighthouse, fornendo accesso centralizzato alle porte della console e consentendo la configurazione centrale dei dispositivi Opengear.
Consulta la Guida per l'utente di Lighthouse per istruzioni su come registrare i dispositivi Opengear in Lighthouse.
73

Capitolo 3: Configurazione di porta seriale, dispositivo e utente
3.16 Abilita l'inoltro DHCPv4
Un servizio di inoltro DHCP inoltra i pacchetti DHCP tra client e server DHCP remoti. Il servizio di inoltro DHCP può essere abilitato su un server console Opengear, in modo che ascolti i client DHCP sulle interfacce inferiori designate, avvolga e inoltri i loro messaggi ai server DHCP utilizzando il routing normale o trasmette direttamente sulle interfacce superiori designate. L'agente di inoltro DHCP riceve quindi i messaggi DHCP e genera un nuovo messaggio DHCP da inviare su un'altra interfaccia. Nei passaggi seguenti, i server della console possono connettersi a ID di circuito, Ethernet o modem cellulari utilizzando il servizio di inoltro DHCPv4.
Relè DHCPv4 + Opzione DHCP 82 (id circuito) Infrastruttura: server DHCP locale, ACM7004-5 per relè, qualsiasi altro dispositivo per i client. Qualsiasi dispositivo con ruolo LAN può essere utilizzato come relè. In questo esample, 192.168.79.242 è l'indirizzo per l'interfaccia inoltrata del client (come definito nella configurazione del server DHCP file sopra) e 192.168.79.244 è l'indirizzo dell'interfaccia superiore della scatola di rilancio e enp112s0 è l'interfaccia downstream del server DHCP.
1 Infrastruttura – Relè DHCPv4 + Opzione DHCP 82 (id circuito)
Passaggi sul server DHCP 1. Configurare il server DHCP v4 locale, in particolare, dovrebbe contenere una voce "host" come di seguito per il client DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; opzione identificatore host agent.circuit-id “relay1”; indirizzo fisso 192.168.79.242; } Nota: la riga "hardware ethernet" è commentata, in modo che il server DHCP utilizzi l'impostazione "circuit-id" per assegnare un indirizzo per il client pertinente. 2. Riavviare il server DHCP per ricaricare la configurazione modificata file. pkill -HUP dhcpd
74

Manuale d'uso
3. Aggiungere manualmente un percorso host all'interfaccia "inoltrata" del client (l'interfaccia dietro l'inoltro DHCP, non altre interfacce che il client potrebbe avere):
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Ciò contribuirà a evitare il problema del routing asimmetrico quando il client e il server DHCP desiderano accedere a vicenda tramite l'interfaccia inoltrata del client, quando il client ha altre interfacce nella stessa sottorete del pool di indirizzi DHCP.
Nota: questo passaggio è indispensabile per consentire al server DHCP e al client di accedere reciprocamente.
Passaggi sulla scatola relè – ACM7004-5
1. Configurare WAN/eth0 in modalità statica o DHCP (non in modalità non configurata). Se in modalità statica, deve avere un indirizzo IP all'interno del pool di indirizzi del server DHCP.
2. Applicare questa configurazione tramite CLI (dove 192.168.79.1 è l'indirizzo del server DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. L'interfaccia inferiore del relè DHCP deve avere un indirizzo IP statico all'interno del pool di indirizzi del server DHCP. In questo esample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=statico config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Attendere qualche istante affinché il client acquisisca un lease DHCP tramite il relè.
Passaggi sul client (CM7116-2-dac in questo esempioample o qualsiasi altro OG CS)
1. Collegare la LAN/eth1 del client alla LAN/eth1 del relè 2. Configurare la LAN del client per ottenere l'indirizzo IP tramite DHCP come al solito 3. Una volta collegato il client

Documenti / Risorse

opengear ACM7000 Gateway del sito remoto [pdf] Manuale d'uso
ACM7000 Gateway sito remoto, ACM7000, Gateway sito remoto, Gateway sito, Gateway

Riferimenti

Manuale d'uso

opengear ACM7000 Gateway del sito remoto

Informazioni sul prodotto

Istruzioni per l'uso del prodotto

Domande frequenti

Questo manuale

Configurazione del sistema

Configurazione di porta seriale, host, dispositivo e utente

Documenti / Risorse

Riferimenti

Lascia un commento

Annulla risposta