opengear ACM7000 リモートサイトゲートウェイユーザーマニュアル

安全性
コンソールサーバーを設置および操作するときは、次の安全上の注意事項に従ってください。 · 金属カバーを取り外さないでください。内部にはオペレーターが修理できるコンポーネントはありません。カバーを開けたり取り外したりすると、危険なボリュームにさらされる可能性がありますtag火災や感電の原因となることがあります。すべてのサービスは Opengear の資格のある担当者にお問い合わせください。 · 感電を避けるために、電源コードの保護接地線をアースに接続する必要があります。・電源コードをコンセントから抜くときは、ケーブルではなく必ずプラグを持って抜いてください。
雷雨中は、コンソールサーバーを接続したり切断したりしないでください。また、機器を過渡現象から保護するためにサージ抑制装置または UPS を使用してください。
FCC 警告声明
このデバイスは FCC 規則のパート 15 に準拠しています。この装置の操作には以下の条件が適用されます
条件: (1) このデバイスは有害な干渉を引き起こしてはならず、(2) このデバイスは望ましくない動作を引き起こす可能性のあるあらゆる干渉を受け入れなければなりません。
システム障害による怪我、死亡、物的損害を防ぐために、適切なバックアップシステムと必要な安全装置を利用する必要があります。このような保護はユーザーの責任です。このコンソールサーバーデバイスは、生命維持システムまたは医療システムとしての使用が承認されていません。 Opengear の明示的な承認または同意なしにこのコンソールサーバーデバイスに変更または修正が加えられた場合、Opengear は誤動作によって引き起こされる傷害または損失に対する一切の責任を負いません。本装置は屋内用であり、通信配線はすべて建物内に限られます。
2

ユーザーマニュアル
著作権
©Opengear Inc. 2023.無断複写・転載を禁じます。この文書の情報は予告なく変更される場合があり、Opengear 側の約束を表すものではありません。 Opengear は、本書を「現状のまま」提供し、特定の目的に対する適合性または商品性の暗黙の保証を含むがこれに限定されない、明示的か黙示的かを問わず、いかなる種類の保証も行いません。 Opengear は、いつでも、このマニュアル、またはこのマニュアルに記載されている製品および/またはプログラムの改善および/または変更を行うことがあります。この製品には技術的な不正確さまたは誤字が含まれている可能性があります。ここに記載されている情報は定期的に変更されます。これらの変更は、出版物の新しい版に組み込まれる可能性があります。\

第1章

このマニュアル

このユーザーマニュアルでは、Opengear コンソールサーバーのインストール、操作、管理について説明します。このマニュアルは、読者がインターネットと IP ネットワーク、HTTP、FTP、基本的なセキュリティ操作、および組織の内部ネットワークに精通していることを前提としています。
1.1 ユーザーの種類
コンソールサーバーは、次の 2 つのクラスのユーザーをサポートします。
· コンソールに対する無制限の構成および管理権限を持つ管理者
サーバーと接続されたデバイスだけでなく、すべてのシリアル接続されたデバイスとネットワーク接続されたデバイス (ホスト) を制御するためのすべてのサービスとポート。管理者は、admin ユーザーグループのメンバーとして設定されます。管理者は、構成ユーティリティ、Linux コマンドライン、またはブラウザベースの管理コンソールを使用して、コンソールサーバーにアクセスし、制御できます。
· 管理者によってアクセスおよび制御権限の制限が設定されているユーザー。
ユーザーには制限があります view 管理コンソールの権限があり、許可された設定済みデバイスにのみアクセスでき、view ポートログ。これらのユーザーは、PPTPD、ダイヤルイン、FTP、pmshell、ユーザー、または管理者が作成したユーザーグループなど、1 つ以上の事前設定されたユーザーグループのメンバーとして設定されます。特定の接続デバイスに対して指定された制御を実行することのみが許可されています。ユーザーは、許可されている場合、指定されたサービス (Telnet、HHTPS、RDP、IPMI、Serial over LAN、電源制御など) を使用してシリアルまたはネットワーク接続されたデバイスにアクセスし、制御できます。リモートユーザーは、コンソールサーバーと同じ LAN セグメント上にいないユーザーです。リモートユーザーが外出先でパブリックインターネット経由で管理対象デバイスに接続している場合や、別のオフィスの管理者がエンタープライズ VPN 経由でコンソールサーバーに接続している場合、または同じ部屋または同じオフィスにいるが別の VLAN でコンソールに接続している場合があります。サーバ。
1.2 管理コンソール
Opengear Management Console を使用すると、Opengear コンソールサーバーの機能を設定および監視できます。管理コンソールはブラウザで実行され、 view コンソールサーバーと接続されているすべてのデバイスの。管理者は、管理コンソールを使用して、コンソールサーバー、ユーザー、ポート、ホスト、電源デバイス、および関連するログとアラートを構成および管理できます。管理者以外のユーザーは、限定されたメニューアクセスで管理コンソールを使用して、選択したデバイスを制御できます。view ログにアクセスし、組み込みの Web ターミナル。
コンソールサーバーは組み込み Linux オペレーティングシステムを実行し、コマンドラインで構成できます。コマンドラインアクセスは、セルラー/ダイヤルイン、コンソールサーバーのシリアルコンソール/モデムポートに直接接続するか、SSH または Telnet を使用して LAN 経由でコンソールサーバーに接続する (または PPTP、IPsec、または OpenVPN で接続する) ことによって取得できます。。
6

ユーザーマニュアル
コマンドラインインターフェイス (CLI) コマンドと高度な手順については、https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/ から Opengear CLI および Scripting Reference.pdf をダウンロードしてください。
1.3 詳細情報
詳細については、以下を参照してください。 · Opengear 製品 Web サイト: https://opengear.com/products を参照してください。コンソールサーバーの同梱品に関する最新情報を入手するには、特定の製品の「同梱品」セクションにアクセスしてください。 · クイックスタートガイド: デバイスのクイックスタートガイドを入手するには、https://opengear.com/support/documentation/ を参照してください。 · Opengear ナレッジベース: https://opengear.zendesk.com にアクセスして、技術的なハウツー記事、技術的なヒント、FAQ、および重要な通知にアクセスします。 · Opengear CLI およびスクリプトリファレンス: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

第2章:

システム構成

この章では、コンソールサーバーの初期構成と、コンソールサーバーを管理 LAN または運用 LAN に接続するための手順を段階的に説明します。手順は次のとおりです。
管理コンソールをアクティブ化します。管理者パスワードを変更します。コンソールサーバーのプリンシパルLANポートのIPアドレスを設定します。有効にするサービスとアクセス権限を選択します。この章では、管理者がコンソールサーバーにアクセスするために使用できる通信ソフトウェアツールと、追加の LAN ポートの構成についても説明します。
2.1 管理コンソールの接続
コンソールサーバーは、NET192.168.0.1 (WAN) のデフォルトの IP アドレス 255.255.255.0 とサブネットマスク 1 で構成されています。初期設定では、コンピュータをコンソールに直接接続することをお勧めします。初期セットアップ手順を完了する前に LAN に接続することを選択した場合は、次のことを確認してください。
· LAN 上にアドレス 192.168.0.1 を持つ他のデバイスはありません。 · コンソールサーバーとコンピュータは同じ LAN セグメント上にあり、ルーターが介在していません。
家電製品。
2.1.1 接続コンピュータのセットアップブラウザを使用してコンソールサーバーを設定するには、接続コンピュータの IP アドレスがコンソールサーバーと同じ範囲である必要があります (例:ampファイル、192.168.0.100):
· Linux または Unix コンピュータの IP アドレスを構成するには、ifconfig を実行します。 · Windows PC の場合:
1. [スタート] > [設定] > [コントロールパネル] をクリックし、[ネットワーク接続] をダブルクリックします。 2. 「ローカルエリア接続」を右クリックし、「プロパティ」を選択します。 3. [インターネットプロトコル (TCP/IP)] を選択し、[プロパティ] をクリックします。 4. [次の IP アドレスを使用する] を選択し、次の詳細を入力します。
o IP アドレス: 192.168.0.100 o サブネットマスク: 255.255.255.0 5. このネットワーク接続の既存の IP 設定を保持したい場合は、[詳細設定] をクリックし、上記をセカンダリ IP 接続として追加します。
2.1.2 ブラウザ接続
接続されている PC/ワークステーションでブラウザを開き、https://192.168.0.1 と入力します。
でログイン：
ユーザー名> root パスワード> デフォルト
8

ユーザーマニュアル
初めてログインするときは、root パスワードを変更する必要があります。「送信」をクリックします。
変更を完了するには、新しいパスワードを再度入力します。「送信」をクリックします。ようこそ画面が表示されます。
システムにセルラーモデムが搭載されている場合は、セルラールーターの機能を設定する手順が表示されます。 · セルラーモデム接続を設定します ([システム > ダイヤル] ページ。第 4 章を参照)。 · セルラー宛先ネットワークへの転送を許可します ([システム > ファイアウォール] ページ。第 4 章を参照) · 携帯電話接続の IP マスカレードを有効にする (システム > ファイアウォールページ。第 4 章を参照)
上記の各手順を完了したら、画面の左上隅にある Opengear ロゴをクリックして構成リストに戻ることができます。注意 192.168.0.1 で管理コンソールに接続できない場合、またはデフォルトの場合は、
ユーザー名/パスワードは受け入れられません。コンソールサーバーをリセットしてください (第 10 章を参照)。
9

第 2 章: システム構成
2.2 管理者のセットアップ
2.2.1 デフォルトの root システムパスワードの変更初めてデバイスにログインするときに、root パスワードを変更する必要があります。このパスワードはいつでも変更できます。
1. [シリアルとネットワーク] > [ユーザーとグループ] をクリックするか、[ようこそ] 画面で [デフォルトの管理パスワードの変更] をクリックします。
2. 下にスクロールして、「ユーザー」の下にある root ユーザーのエントリーを見つけ、「編集」をクリックします。 3. 「パスワード」フィールドと「確認」フィールドに新しいパスワードを入力します。
注: ファームウェアの消去全体でパスワードを保存するにチェックを入れると、ファームウェアがリセットされたときにパスワードが消去されないようにパスワードが保存されます。このパスワードを紛失した場合、デバイスのファームウェアを回復する必要があります。
4. 「適用」をクリックします。新しいパスワードでログインします。 2.2.2 新しい管理者のセットアップ管理者権限を持つ新しいユーザーを作成し、管理機能には root を使用するのではなく、このユーザーとしてログインします。
10

ユーザーマニュアル
1. [シリアルとネットワーク] > [ユーザーとグループ] をクリックします。ページの一番下までスクロールし、「ユーザーの追加」ボタンをクリックします。
2. ユーザー名を入力します。 3. [グループ] セクションで、[管理者] ボックスをオンにします。 4. 「パスワード」フィールドと「確認」フィールドにパスワードを入力します。
5. SSH 認証キーを追加して、このユーザーのパスワード認証を無効にすることを選択することもできます。
6. このページでは、ダイヤルインオプション、アクセス可能なホスト、アクセス可能なポート、アクセス可能な RPC アウトレットなど、このユーザーの追加オプションを設定できます。
7. 画面の下部にある [適用] ボタンをクリックして、この新しいユーザーを作成します。
11

第 2 章: システム構成
2.2.3 システム名、システムの説明、および MOTD を追加します。 1. [システム] > [管理] を選択します。 2. コンソールサーバーに一意の ID を与えて識別しやすくするために、コンソールサーバーのシステム名とシステムの説明を入力します。システム名には、1 ～ 64 文字の英数字と特殊文字のアンダースコア (_)、マイナス (-)、およびピリオド (.) を含めることができます。システムの説明には、最大 254 文字を含めることができます。
3. MOTD バナーを使用して、その日のメッセージテキストをユーザーに表示できます。これは、画面左上の Opengear ロゴの下に表示されます。
4. 「適用」をクリックします。
12

第 2 章: システム構成
5. [システム] > [管理] を選択します。 6. MOTD バナーを使用して、その日のメッセージテキストをユーザーに表示できます。に表示されます。
画面左上の Opengear ロゴの下。 7. 「適用」をクリックします。
2.3ネットワーク構成
コンソールサーバーのプリンシパルイーサネット (LAN/ネットワーク/ネットワーク 1) ポートの IP アドレスを入力するか、DHCP クライアントが DHCP サーバーから IP アドレスを自動的に取得できるようにします。デフォルトでは、コンソールサーバーの DHCP クライアントは有効になっており、ネットワーク上の DHCP サーバーによって割り当てられたネットワーク IP アドレスを自動的に受け入れます。この初期状態では、コンソールサーバーはデフォルトの静的アドレス 192.168.0.1 と DHCP アドレスの両方に応答します。
1. [システム] > [IP] をクリックし、[ネットワークインターフェイス] タブをクリックします。 2. 設定方法として DHCP または静的のいずれかを選択します。
[静的] を選択した場合は、IP アドレス、サブネットマスク、ゲートウェイ、および DNS サーバーの詳細を入力します。この選択により、DHCP クライアントが無効になります。
12

ユーザーマニュアル
3. コンソールサーバーの LAN ポートは、イーサネット接続速度を自動的に検出します。 [メディア] ドロップダウンリストを使用して、イーサネットを 10 Mb/s または 100Mb/s、および全二重または半二重にロックします。
[自動] 設定でパケット損失やネットワークパフォーマンスの低下が発生した場合は、コンソールサーバーと接続されているデバイスのイーサネットメディア設定を変更してください。ほとんどの場合、両方を 100baseTx-FD (100 メガビット、全二重) に変更します。
4. DHCP を選択すると、コンソールサーバーは DHCP サーバーから設定の詳細を検索します。この選択により、静的アドレスが無効になります。コンソールサーバーの MAC アドレスは、ベースプレートのラベルに記載されています。
5. セカンダリアドレスまたは CIDR 表記のアドレスのカンマ区切りリスト (例: IP エイリアスとして 192.168.1.1/24) を入力できます。
6. [適用] をクリックします。 7. 次のように入力して、コンソールサーバーに接続されているコンピュータのブラウザに再接続します。
http://your new IP address.
コンソールサーバーの IP アドレスを変更する場合は、新しいコンソールサーバーのアドレスと同じネットワーク範囲内の IP アドレスを持つようにコンピュータを再構成する必要があります。イーサネットインターフェイスで MTU を設定できます。これは、展開シナリオがデフォルトの MTU 1500 バイトで機能しない場合に使用される高度なオプションです。 MTU を設定するには、[システム] > [IP] をクリックし、[ネットワークインターフェイス] タブをクリックします。 MTU フィールドまで下にスクロールし、目的の値を入力します。有効な値は、1280 メガビットインターフェイスの場合は 1500 ～ 100、ギガビットインターフェイスの場合は 1280 ～ 9100 です。ブリッジまたはボンディングが設定されている場合、[ネットワークインターフェイス] ページで設定された MTU は、ブリッジまたはボンディングの一部であるインターフェイスに設定されます。。注場合によっては、ユーザーが指定した MTU が有効にならない場合があります。一部の NIC ドライバーは、サイズが大きすぎる MTU を最大許容値に丸める場合があり、その他のドライバーはエラーコードを返す場合があります。 CLI コマンドを使用して MTU サイズを管理することもできます。
# config -s config.interfaces.wan.mtu=1380 チェック
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode ステートレス設定.interfaces.wan.media 自動 config.interfaces.wan.mode 静的 config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

第 2 章: システム構成
2.3.1 IPv6 構成コンソールサーバーのイーサネットインターフェイスは、デフォルトで IPv4 をサポートします。これらは IPv6 動作用に構成できます。
1. [システム] > [IP] をクリックします。「一般設定」タブをクリックし、「IPv6 を有効にする」にチェックを入れます。必要に応じて、「セルラーの IPv6 を無効にする」チェックボックスをクリックします。
2. 各インターフェースページで IPv6 パラメータを設定します。 IPv6 は、SLAAC または DHCPv6 を使用してアドレス、ルート、DNS を構成する自動モード、またはアドレス情報を手動で入力できる静的モードのいずれかに構成できます。
2.3.2 ダイナミック DNS (DDNS) 構成ダイナミック DNS (DDNS) を使用すると、IP アドレスが動的に割り当てられるコンソールサーバーを、固定のホスト名またはドメイン名を使用して見つけることができます。選択したサポートされている DDNS サービスプロバイダーでアカウントを作成します。 DDNS アカウントを設定するときは、DNS 名として使用するユーザー名、パスワード、およびホスト名を選択します。 DDNS サービスプロバイダーではホスト名を選択できます URL そして、そのホスト名に対応する初期 IP アドレスを設定します URL.
14

ユーザーマニュアル
コンソールサーバー上のイーサネットまたはセルラーネットワーク接続のいずれかで DDNS を有効にして設定します。 1. [システム] > [IP] をクリックし、[ダイナミック DNS] セクションを下にスクロールします。 DDNS サービスプロバイダーを選択してください
ドロップダウンダイナミック DNS リストから。 [システム] > [ダイヤル] の [セルラーモデム] タブで DDNS 情報を設定することもできます。
2. [DDNS ホスト名] に、コンソールサーバーの完全修飾 DNS ホスト名 (例: yourhostname.dyndns.org) を入力します。
3. DDNS サービスプロバイダーアカウントの DDNS ユーザー名と DDNS パスワードを入力します。 4. 更新間の最大間隔を日単位で指定します。 DDNS アップデートは、
住所は変わっていません。 5. 変更されたアドレスをチェックする最小間隔を秒単位で指定します。アップデートにより、
住所が変わった場合に送付されます。 6. 更新を試行する回数である「更新ごとの最大試行回数」を指定します。
諦める前に。デフォルトでは 3 です。 7. 「適用」をクリックします。
15

第 2 章: システム構成
2.3.3 WAN、LAN、OOBFO の EAPoL モード
(OOBFOはIM7216-2-24E-DACのみに適用されます)
以上view EAPoL IEEE 802.1X、つまり PNAC (ポートベースのネットワークアクセスコントロール) は、ポイントツーポイントの LAN ポートに接続されたデバイスを認証および認可する手段を提供するために、IEEE 802 LAN インフラストラクチャの物理アクセス特性を利用します。ポイントの接続特性を確認し、認証と認可が失敗した場合にそのポートへのアクセスを阻止します。この文脈におけるポートは、LAN インフラストラクチャへの単一接続点です。
新しい無線または有線ノード (WN) が LAN リソースへのアクセスを要求すると、アクセスポイント (AP) は WN の ID を要求します。 WN が認証されるまでは、EAP 以外のトラフィックは許可されません (「ポート」が閉じられているか、「未認証」)。認証を要求する無線ノードはサプリカントと呼ばれることが多く、サプリカントは資格情報を確立するオーセンティケータデータに応答する責任を負います。アクセスポイントについても同様です。オーセンティケータはアクセスポイントではありません。むしろ、アクセスポイントには認証システムが含まれています。オーセンティケータはアクセスポイント内にある必要はありません。外部コンポーネントにすることもできます。次の認証方法が実装されています。
· EAP-MD5 サプリカント o EAP MD5 チャレンジ方式では、プレーンなユーザー名/パスワードが使用されます。
· EAP-PEAP-MD5 o EAP PEAP (保護された EAP) MD5 認証方法は、ユーザー資格情報と CA 証明書を使用します。
· EAP-TLS o EAP TLS (Transport Layer Security) 認証方法には、CA 証明書、クライアント証明書、および秘密キーが必要です。
認証に使用される EAP プロトコルは、もともとダイヤルアップ PPP に使用されていました。 ID はユーザー名であり、ユーザーのパスワードを確認するために PAP または CHAP 認証が使用されました。 ID は平文 (暗号化されていない) で送信されるため、悪意のあるスニファーがユーザーの ID を知る可能性があります。したがって、「アイデンティティ隠蔽」が使用されます。暗号化された TLS トンネルが起動するまでは、実際の ID は送信されません。
16

ユーザーマニュアル
ID が送信された後、認証プロセスが開始されます。サプリカントとオーセンティケーターの間で使用されるプロトコルは EAP (または EAPoL) です。オーセンティケーターは EAP メッセージを RADIUS 形式に再カプセル化し、認証サーバーに渡します。認証中、オーセンティケーターはサプリカントと認証サーバーの間でパケットを中継します。認証プロセスが完了すると、認証サーバーは成功メッセージ (認証が失敗した場合は失敗メッセージ) を送信します。次に、オーセンティケーターはサプリカント用の「ポート」を開きます。認証設定には、EAPoL サプリカント設定ページからアクセスできます。現在の EAPoL のステータスは、[EAPoL] タブの [ステータス統計] ページに詳細に表示されます。
ネットワークロールに関する EAPoL の抽象化は、ダッシュボードインターフェイスの「接続マネージャー」セクションに表示されます。
17

第 2 章: システム構成
以下はexですamp成功した認証のファイル:
IM802.1-7216-2E-DAC および ACM24-7004 のスイッチポートでの IEEE 5x (EAPOL) サポート: ループを回避するために、ユーザーは同じ上位レベルスイッチに複数のスイッチポートを接続しないでください。
18

ユーザーマニュアル
2.4 サービスアクセスとブルートフォース保護
管理者は、さまざまなアクセスプロトコル/サービスを使用して、コンソールサーバー、接続されたシリアルポート、および管理対象デバイスにアクセスできます。アクセスごとに
· 最初にサービスを構成し、コンソールサーバー上で実行できるようにする必要があります。 · ネットワーク接続ごとにファイアウォールを介したアクセスを有効にする必要があります。サービスを有効にして設定するには: 1. [システム] > [サービス] をクリックし、[サービス設定] タブをクリックします。

2. 基本サービスを有効にして構成します。

ウェブ

デフォルトでは、HTTP サービスは実行されており、完全に無効にすることはできません。デフォルトでは、HTTP アクセスはすべてのインターフェイスで無効になっています。コンソールサーバーにインターネット経由でリモートアクセスする場合は、このアクセスを無効のままにすることをお勧めします。
代替 HTTP を使用すると、リッスンする代替 HTTP ポートを構成できます。 HTTP サービスは、CMS とコネクタの通信のために TCP ポート 80 でリッスンし続けますが、ファイアウォールを介してアクセスできなくなります。

翻訳

デフォルトでは、HTTPS サービスはすべてのネットワークインターフェイスで実行され、有効になっています。コンソールサーバーをパブリックネットワーク経由で管理する場合は、HTTPS アクセスのみを使用することをお勧めします。これにより、管理者はコンソールサーバー上のすべてのメニューにブラウザから安全にアクセスできるようになります。また、適切に設定されたユーザーは、選択した管理メニューにブラウザで安全にアクセスできるようになります。
HTTPS サービスは、HTTPS をチェックすることで無効化または再度有効化できます。 Web 管理および指定された代替ポート (デフォルトのポートは 443)。

テルネット

デフォルトでは、Telnet サービスは実行されていますが、すべてのネットワークインターフェイスで無効になっています。
Telnet を使用すると、管理者にシステムコマンドラインシェルへのアクセス権を与えることができます。このサービスは、ローカル管理者および選択したシリアルコンソールへのユーザーアクセスに役立つ場合があります。コンソールサーバーがリモートで管理されている場合は、このサービスを無効にすることをお勧めします。
[Telnet コマンドシェルを有効にする] チェックボックスは、Telnet サービスを有効または無効にします。リッスンする代替 Telnet ポートは、[代替 Telnet ポート] で指定できます (デフォルトのポートは 23)。

第 2 章: システム構成

パスワード

このサービスは、コンソールサーバーおよび接続されたデバイスへの安全な SSH アクセスを提供します。

デフォルトでは、SSH サービスが実行されており、すべてのインターフェイスで有効になっています。それは

管理者が接続するプロトコルとして SSH を選択することをお勧めします

インターネットまたはその他のパブリックネットワーク上のコンソールサーバー。これにより、

リモート上の SSH クライアントプログラム間の認証された通信

コンピュータとコンソールサーバーの SSH サーバー。 SSH の詳細については、

設定第 8 章「認証」を参照してください。

「SSH コマンドシェルを有効にする」チェックボックスは、このサービスを有効または無効にします。リッスンする代替 SSH ポートは、SSH コマンドシェルポートで指定できます (デフォルトのポートは 22)。

3. 他のサービスを有効にして構成します。

TFTP/FTP USB フラッシュカードまたは内蔵フラッシュがコンソールサーバーで検出された場合、[TFTP (FTP) サービスを有効にする] をオンにすると、このサービスが有効になり、USB フラッシュ上にデフォルトの tftp および ftp サーバーが設定されます。これらのサーバーは構成を保存するために使用されます fileアクセスログやトランザクションログなどを維持します。 Filetftp および ftp を使用して転送されたファイルは、/var/mnt/storage.usb/tftpboot/ (または ACM7000 シリーズデバイスの場合は /var/mnt/storage.nvlog/tftpboot/) に保存されます。「TFTP (FTP) サービスを有効にする」のチェックを外すと、TFTP (FTP) サービスが無効になります。

DNS リレーチェック DNS サーバー/リレーを有効にする DNS リレー機能を有効にすると、クライアントはコンソールサーバーの IP を使用して DNS サーバー設定を構成でき、コンソールサーバーは DNS クエリを実際の DNS サーバーに転送します。

Web 端子チェックの有効化 Web 端末が許可する web ブラウザから「管理」>「ターミナル」を選択してシステムコマンドラインシェルにアクセスします。

4. Raw TCP、直接 Telnet/SSH、および非認証 Telnet/SSH サービスの代替ポート番号を指定します。コンソールサーバーは、さまざまなアクセスに特定の範囲の TCP/IP ポートを使用します。
ユーザーがシリアルポートに接続されたデバイスにアクセスするために使用できるサービス (第 3 章「シリアルポートの構成」で説明)。管理者はこれらのサービスの代替範囲を設定でき、これらのセカンダリポートがデフォルトに加えて使用されます。

Telnet アクセスのデフォルトの TCP/IP ベースポートアドレスは 2000 で、Telnet の範囲は IP アドレス: ポート (2000 + シリアルポート番号)、つまり 2001 2048 です。管理者が Telnet のセカンダリベースとして 8000 を設定した場合、シリアルコンソールサーバーのポート #2 には IP で Telnet アクセスできます
アドレス:2002、IP アドレス:8002。 SSH のデフォルトのベースは 3000 です。 Raw TCP の場合は 4000。 RFC2217の場合は5000です

5. このメニューから「ここをクリックして設定します」を選択することで、他のサービスを有効にして設定できます。

Nagios Nagios NRPE 監視デーモンへのアクセス

ナット

NUT UPS監視デーモンへのアクセス

SNMP コンソールサーバーで SNMP を有効にします。 SNMP はデフォルトで無効になっています

NTPA の

6. 「適用」をクリックします。確認メッセージが表示されます: メッセージ構成の変更が成功しました

サービスアクセス設定は、アクセスを許可またはブロックするように設定できます。これにより、管理者が各ネットワークインターフェイスを介してコンソールサーバーに接続したり、コンソールサーバーを介して接続されたシリアルおよびネットワーク接続デバイスに接続したりできる有効なサービスが指定されます。

ユーザーマニュアル
1. 「システム > サービス」ページで「サービスアクセス」タブを選択します。
2. コンソールサーバーのネットワークインターフェイスで有効なサービスが表示されます。特定のコンソールサーバーモデルに応じて、表示されるインターフェイスには以下が含まれる場合があります。 · ネットワークインターフェイス (主要なイーサネット接続用) · 管理 LAN/OOB フェールオーバー (90 番目のイーサネット接続) · ダイヤルアウト/セルラー (V3 および 90G モデム) · ダイヤルイン (内部)または外部 VXNUMX モデム) · VPN (任意のネットワークインターフェイスを介した IPsec または Open VPN 接続)
3. ネットワークごとに、どのサービスアクセスを有効または無効にするかをオン/オフにします。ここで設定できる ICMP エコー (つまり ping) への応答サービスアクセスオプションtage.これにより、コンソールサーバーは受信した ICMP エコー要求に応答できるようになります。 ping はデフォルトで有効になっています。セキュリティを強化するには、初期設定を完了するときにこのサービスを無効にする必要があります。 Raw TCP、直接 Telnet/SSH、未認証 Telnet/SSH サービスなどを使用して、指定されたネットワークインターフェイスからシリアルポートデバイスにアクセスできるようにすることができます。
4. 「適用」をクリックします。 Web 管理設定 [HSTS を有効にする] チェックボックスをオンにすると、厳密な HTTP 厳密なトランスポートセキュリティが有効になります。 HSTS モードは、StrictTransport-Security ヘッダーが HTTPS トランスポート経由で送信される必要があることを意味します。準拠した web ブラウザはこのヘッダーを記憶しており、HTTP (プレーン) 経由で同じホストに接続するように求められると、自動的にに切り替わります。
19

第 2 章: システム構成
ブラウザが安全なサイトに一度アクセスし、STS ヘッダーを確認している限り、HTTP を試行する前に HTTPS を実行します。
ブルートフォース保護ブルートフォース保護 (Micro Fail2ban) は、パスワードの失敗が多すぎるなど、悪意のある兆候を示すソース IP を一時的にブロックします。これは、デバイスのネットワークサービスがパブリック WAN などの信頼できないネットワークに公開されており、スクリプト攻撃やソフトウェアワームが (ブルートフォース) ユーザー資格情報を推測して不正アクセスを取得しようとしている場合に役立つ可能性があります。

リストされたサービスに対してブルートフォース保護が有効になっている可能性があります。デフォルトでは、保護が有効になると、特定の送信元 IP からの接続試行が 3 秒以内に 60 回以上失敗すると、設定可能な期間、接続が禁止されます。試行制限と禁止タイムアウトはカスタマイズできます。アクティブな禁止もリストされており、ページをリロードすると更新される場合があります。

注記

信頼できないネットワーク上で実行する場合は、リモートアクセスをロックダウンするためにさまざまな戦略を使用することを検討してください。これには、SSH 公開キー認証、VPN、およびファイアウォールルールが含まれます。
信頼できるソースネットワークからのリモートアクセスのみを許可リストに登録します。詳細については、Opengear ナレッジベースを参照してください。

2.5 通信ソフトウェア
管理者クライアントがコンソールサーバーに接続するときに使用するアクセスプロトコルを構成しました。ユーザークライアントは、コンソールサーバーのシリアル接続デバイスやネットワーク接続ホストにアクセスするときにも、これらのプロトコルを使用します。管理者とユーザークライアントのコンピュータに通信ソフトウェアツールをセットアップする必要があります。接続するには、PuTTY や SSHTerm などのツールを使用できます。

ユーザーマニュアル
市販のコネクタは、信頼できる SSH トンネリングプロトコルと Telnet、SSH、HTTP、HTTPS、VNC、RDP などの一般的なアクセスツールを結合し、管理対象のすべてのシステムおよびデバイスへのポイントアンドクリックによる安全なリモート管理アクセスを提供します。コンソールサーバーの管理コンソールへのブラウザアクセス、コンソールサーバーのコマンドラインへの Telnet/SSH アクセス、およびコンソールサーバーにネットワーク接続されているホストへの TCP/UDP 接続にコネクタを使用する方法については、第 5 章を参照してください。コネクタは次のとおりです。 Windows PC、Mac OS X、およびほとんどの Linux、UNIX、Solaris システムにインストールされます。
2.6 管理ネットワーク構成
コンソールサーバーには、管理 LAN アクセスやフェイルオーバー、帯域外アクセスを提供するように構成できる追加のネットワークポートがあります。 2.6.1 管理 LAN を有効にする 2 番目のイーサネットポートが管理 LAN ゲートウェイを提供するようにコンソールサーバーを設定できます。ゲートウェイには、ファイアウォール、ルーター、DHCP サーバーの機能があります。この管理 LAN にホストを接続するには、外部 LAN スイッチをネットワーク XNUMX に接続する必要があります。
注 2 番目のイーサネットポートは、管理 LAN ゲートウェイポートまたは OOB/フェールオーバーポートとして設定できます。 [システム] > [IP] メニューでプリンシパルネットワーク接続を設定したときに、NETXNUMX をフェールオーバーインターフェイスとして割り当てていないことを確認してください。
21

第 2 章: システム構成
管理 LAN ゲートウェイを設定するには、次の手順を実行します。 1. [システム] > [IP] メニューの [管理 LAN インターフェイス] タブを選択し、[無効] のチェックを外します。 2. 管理LANのIPアドレスとサブネットマスクを設定します。 DNS フィールドは空白のままにしておきます。 3. 「適用」をクリックします。
管理ゲートウェイ機能は、管理 LAN が SSH ポート転送によってのみアクセスできるように設定されたデフォルトのファイアウォールとルーターのルールで有効になっています。これにより、管理 LAN 上の管理対象デバイスへのリモートおよびローカル接続が安全になります。 LAN ポートは、ブリッジモードまたはボンディングモードで構成したり、コマンドラインから手動で構成したりすることもできます。 2.6.2 DHCP サーバーの設定 DHCP サーバーを使用すると、DHCP クライアントを実行している管理 LAN 上のデバイスに IP アドレスを自動的に配布できます。 DHCP サーバーを有効にするには:
1. [システム] > [DHCP サーバー] をクリックします。 2. [ネットワークインターフェイス] タブで、[DHCP サーバーを有効にする] にチェックを入れます。
22

ユーザーマニュアル
3. DHCP クライアントに発行するゲートウェイアドレスを入力します。このフィールドを空白のままにすると、コンソールサーバーの IP アドレスが使用されます。
4. プライマリ DNS およびセカンダリ DNS アドレスを入力して、DHCP クライアントを発行します。このフィールドを空白のままにすると、コンソールサーバーの IP アドレスが使用されます。
5. 必要に応じて、DHCP クライアントを発行するためのドメイン名サフィックスを入力します。 6. デフォルトのリース時間と最大リース時間を秒単位で入力します。これが時間量です
クライアントが再度要求する前に、動的に割り当てられた IP アドレスが有効であることを確認します。 7. [適用] をクリックします。 DHCP サーバーは、指定されたアドレスプールから IP アドレスを発行します。 1. [動的アドレス割り当てプール] フィールドで [追加] をクリックします。 2. DHCP プールの開始アドレスと終了アドレスを入力します。 3. 「適用」をクリックします。
23

第 2 章: システム構成
DHCP サーバーは、特定の MAC アドレスに割り当てられる IP アドレスの事前割り当てと、固定 IP アドレスを持つ接続ホストによって使用される IP アドレスの予約もサポートします。特定のホストの IP アドレスを予約するには:
1. 「予約済みアドレス」フィールドで「追加」をクリックします。 2. ホスト名、ハードウェアアドレス (MAC)、および静的に予約されている IP アドレスを入力します。
DHCP クライアントを選択し、「適用」をクリックします。
DHCP がホストアドレスを割り当てた場合は、再起動時に同じ IP アドレスが再割り当てされるように、これらを事前に割り当てられたリストにコピーすることをお勧めします。
24

ユーザーマニュアル
2.6.3 フェールオーバーまたはブロードバンド OOB の選択コンソールサーバーにはフェールオーバーオプションが用意されているため、コンソールサーバーへのアクセスにメイン LAN 接続を使用して問題が発生した場合には、代替アクセスパスが使用されます。フェイルオーバーを有効にするには:
1. [システム > IP] メニューで [ネットワークインターフェイス] ページを選択します。 2. OU のイベントで使用するフェールオーバーインターフェイスを選択します。tage メインネットワーク上。
3. 「適用」をクリックします。フェールオーバーをトリガーするためにプローブする外部サイトを指定し、フェールオーバーポートを設定すると、フェールオーバーがアクティブになります。
2.6.4 ネットワークポートの集約デフォルトでは、コンソールサーバーの管理 LAN ネットワークポートは、SSH トンネリング/ポート転送を使用するか、コンソールサーバーへの IPsec VPN トンネルを確立することによってアクセスできます。コンソールサーバー上のすべての有線ネットワークポートは、ブリッジまたはボンディングによって集約できます。
25

ユーザーマニュアル
· デフォルトでは、インターフェイス集約は [システム] > [IP] > [一般設定] メニューで無効になっています。 · ブリッジインターフェイスまたはボンドインターフェイスを選択します。
o ブリッジングが有効な場合、ネットワークトラフィックはファイアウォールの制限なしですべてのイーサネットポートに転送されます。すべてのイーサネットポートはデータリンク層 (レイヤー 2) で透過的に接続されているため、固有の MAC アドレスが保持されます。
o ボンディングでは、ネットワークトラフィックはポート間で伝送されますが、1 つの MAC アドレスが存在します。
どちらのモードでも、すべての管理 LAN インターフェイスおよびアウトオブバンド/フェイルオーバーインターフェイス機能が削除され、DHCP サーバーが無効になります。アグリゲーションモードでは、すべてのイーサネットポートがネットワークインターフェイスメニューを使用してまとめて設定されます。
25

第 2 章: システム構成
2.6.5 静的ルート静的ルートは、あるサブネットから別のサブネットにデータをルーティングする非常に迅速な方法を提供します。特定のパスを使用して特定のサブネットにアクセスするようにコンソールサーバー/ルーターに指示するパスをハードコーディングできます。これは、セルラー OOB 接続を使用するときにリモートサイトのさまざまなサブネットにアクセスする場合に便利です。

システムのルートテーブルにスタティックルートを追加するには、次の手順を実行します。
1. [システム] > [IP 一般設定] メニューの [ルート設定] タブを選択します。
2.「新規ルート」をクリックします。
3. ルートのルート名を入力します。
4. 「宛先ネットワーク/ホスト」フィールドに、ルートがアクセスを提供する宛先ネットワーク/ホストの IP アドレスを入力します。
5. [宛先ネットマスク] フィールドに、宛先ネットワークまたはホストを識別する値を入力します。 0 ～ 32 の任意の数値。サブネットマスク 32 はホストルートを識別します。
6. 「Route Gateway」にパケットを宛先ネットワークにルーティングするルーターの IP アドレスを入力します。これは空白のままでも構いません。
7. 宛先に到達するために使用するインターフェースを選択します。「なし」のままにすることもできます。
8. この接続のメトリックを表す値を「メトリック」フィールドに入力します。 0 以上の任意の数値を使用します。これを設定する必要があるのは、XNUMX つ以上のルートが競合するか、ターゲットが重複している場合のみです。
9. 「適用」をクリックします。

注記

ルートの詳細ページには、ルートをバインドできるネットワークインターフェイスとモデムのリストが表示されます。モデムの場合、ルートはそのデバイス経由で確立されたダイヤルアップセッションに接続されます。ルートは、ゲートウェイ、インターフェイス、またはその両方を使用して指定できます。指定したインターフェイスがアクティブでない場合、そのインターフェイスに設定されたルートはアクティブになりません。

ユーザーマニュアル 3. シリアルポート、ホスト、デバイスおよびユーザー設定
コンソールサーバーにより、シリアル接続されたデバイスおよびネットワーク接続されたデバイス (ホスト) へのアクセスと制御が可能になります。管理者は、これらの各デバイスのアクセス権限を構成し、デバイスの制御に使用できるサービスを指定する必要があります。管理者は、新しいユーザーを設定し、各ユーザーの個別のアクセス権限と制御権限を指定することもできます。
この章では、ネットワーク接続およびシリアル接続されたデバイスを構成する各手順について説明します。 · シリアルポートシリアル接続されたデバイスで使用されるプロトコルを設定します。 · ユーザーとグループユーザーを設定し、各ユーザーのアクセス許可を定義します。 · 認証これについては、詳細で説明します。詳細は第 8 章を参照 · ローカルネットワークに接続されたコンピュータまたはアプライアンス (ホスト) へのアクセスを構成するネットワークホスト · 信頼できるネットワークの構成 - 信頼できるユーザーがアクセスする IP アドレスを指定する · シリアルコンソールポートのカスケードとリダイレクト · 電源への接続 (UPS、PDU、およびIPMI) および環境監視 (EMD) デバイス · PortShare ウィンドウと Linux クライアントを使用したシリアルポートリダイレクション · 管理対象デバイス - 統合されたデバイスを提供します。 view すべての接続の · IPSec による VPN 接続の有効化 · OpenVPN · PPTP
3.1 シリアルポートの構成
シリアルポートを設定する最初のステップは、そのポートへのデータ接続に使用されるプロトコルや RS232 パラメータ (ボーレートなど) などの共通設定を設定することです。ポートが動作するモードを選択します。各ポートは、次のいずれかの動作モードをサポートするように設定できます。
· 無効モードがデフォルトであり、シリアルポートは非アクティブです
27

第3章:

シリアルポート、ホスト、デバイス、ユーザー構成

· コンソールサーバーモードにより、シリアル接続されたデバイスのシリアルコンソールポートへの一般的なアクセスが可能になります。
· デバイスモードは、インテリジェントなシリアル制御 PDU、UPS、または環境監視デバイス (EMD) と通信するようにシリアルポートを設定します。
· ターミナルサーバーモードは、着信ターミナルログインセッションを待機するようにシリアルポートを設定します。 · シリアルブリッジモードは、1 つのネットワーク上で 2 つのシリアルポートデバイスの透過的な相互接続を可能にします。
ネットワーク。
1. [シリアルとネットワーク] > [シリアルポート] を選択して、シリアルポートの詳細を表示します。 2. デフォルトでは、各シリアルポートはコンソールサーバーモードに設定されています。対象のポートの横にある「編集」をクリックします。
再構成されました。または、「複数ポートの編集」をクリックし、グループとして構成するポートを選択します。 3. 共通設定と各ポートのモードを再構成したら、リモート syslog をセットアップします (具体的な情報については、次のセクションを参照してください)。 [適用] をクリックします。 4. コンソールサーバーが分散 Nagios 監視を有効にして構成されている場合は、Nagios 設定オプションを使用して、監視対象のホスト上で指定されたサービスを有効にします。 3.1.1 共通設定各シリアルに設定できる共通設定が多数あります。ポート。これらは、ポートが使用されているモードには依存しません。これらのシリアルポートパラメータは、そのポートに接続するデバイスのシリアルポートパラメータと一致するように設定する必要があります。
28

ユーザーマニュアル

· ポートのラベルを入力します。 · 各ポートの適切なボーレート、パリティ、データビット、ストップビット、およびフロー制御を選択します。

· ポートのピン配列を設定します。このメニュー項目は、各 RJ7200 シリアルポートのピン配列を X45 (Cisco ストレート) または X2 (Cisco Rolled) に設定できる IM1 ポートに表示されます。

・DTRモードを設定します。これにより、DTR を常にアサートするか、アクティブなユーザーセッションがある場合にのみアサートするかを選択できます。

· さらなるシリアルポートの構成に進む前に、制御対象のシリアルデバイスにポートを接続し、設定が一致していることを確認する必要があります。

3.1.2

コンソールサーバーモード
このシリアルポートに接続されているシリアルコンソールへのリモート管理アクセスを有効にするには、[コンソールサーバーモード] を選択します。

ログレベルログに記録および監視する情報のレベルを指定します。
29

第 3 章: シリアルポート、ホスト、デバイス、およびユーザーの構成
レベル 0: ログ記録を無効にする (デフォルト)
レベル 1: LOGIN、LOGOUT、および SIGNAL イベントをログに記録する
レベル 2: LOGIN、LOGOUT、SIGNAL、TXDATA、および RXDATA イベントをログに記録する
レベル 3: LOGIN、LOGOUT、SIGNAL、および RXDATA イベントをログに記録する
レベル 4: LOGIN、LOGOUT、SIGNAL、および TXDATA イベントをログに記録する
入力/RXDATA は、接続されたシリアルデバイスから Opengear デバイスによって受信されたデータであり、出力/TXDATA は、Opengear デバイスによって接続されたシリアルデバイスに送信されたデータ (たとえば、ユーザーによって入力された) です。
デバイスコンソールは通常、入力された文字をエコーバックするため、ユーザーが入力した TXDATA が RXDATA として受信され、端末に表示されます。
注: パスワードの入力を求められた後、接続されたデバイスはパスワードが表示されないように * 文字を送信します。

Telnet Telnet サービスがコンソールサーバーで有効になっている場合、ユーザーのコンピュータ上の Telnet クライアントは、コンソールサーバーのこのシリアルポートに接続されているシリアルデバイスに接続できます。 Telnet 通信は暗号化されていないため、このプロトコルはローカル接続または VPN トンネル接続にのみ推奨されます。
リモート通信がコネクタを使用してトンネリングされている場合、Telnet を使用してこれらの接続されたデバイスに安全にアクセスできます。

注記

コンソールサーバーモードでは、ユーザーはコネクタを使用して、クライアントコンピュータからコンソールサーバーのシリアルポートに SSH トンネリングされる安全な Telnet 接続をセットアップできます。コネクタは Windows PC およびほとんどの Linux プラットフォームにインストールでき、ポイントアンドクリックで安全な Telnet 接続を選択できるようになります。

コネクタを使用してコンソールサーバーのシリアルポート上のコンソールにアクセスするには、コンソールサーバーをゲートウェイおよびホストとして使用してコネクタを構成し、ポート (2000 + シリアルポート番号) (つまり 2001) で Telnet サービスを有効にします。

PuTTY などの標準通信パッケージを使用して、シリアルポートへの直接 Telnet または SSH 接続を設定することもできます。

注コンソールサーバーモードでは、シリアルポートに接続するときに pmshell を介して接続します。シリアルポートで BREAK を生成するには、文字シーケンス ~b を入力します。 OpenSSH 経由でこれを行う場合は、「~~b」と入力します。

パスワード

ユーザーがコンソールサーバーに接続するときは、プロトコルとして SSH を使用することをお勧めします。

(またはコンソールサーバー経由で接続されたシリアルコンソールに接続) インターネットまたはその他の

他のパブリックネットワーク。

コンソールサーバーのシリアルポートに接続されているデバイス上のコンソールに SSH アクセスするには、コネクタを使用できます。コンソールサーバーをゲートウェイおよびホストとして使用してコネクタを構成し、ポート (3000 + シリアルポート番号) (つまり 3001 ～ 3048) で SSH サービスを有効にします。

PuTTY や SSHTerm などの一般的な通信パッケージを使用して、ポートアドレス IP アドレス _ ポート (3000 + シリアルポート #)、つまり 3001 に SSH 接続することもできます。

SSH 接続は、標準の SSH ポート 22 を使用して設定できます。アクセスされるシリアルポートは、ユーザー名に記述子を追加することで識別されます。この構文は以下をサポートします。

ユーザーマニュアル
: : chris という名前のユーザーがシリアルポート 2 にアクセスするには、SSHTerm または PuTTY SSH クライアントを設定するときに、username = chris および ssh port = 3002 と入力する代わりに、username = chris:port02 (または username = chris:) と入力します。 ttyS1) および ssh port = 22。または、username=chris:serial および ssh port = 22 と入力すると、ユーザーにポート選択オプションが表示されます。

この構文により、ユーザーはファイアウォール/ゲートウェイで単一の IP ポート 22 を開く必要があるすべてのシリアルポートへの SSH トンネルを設定できます。
注コンソールサーバーモードでは、pmshell 経由でシリアルポートに接続します。シリアルポートで BREAK を生成するには、文字シーケンス ~b を入力します。 OpenSSH 経由でこれを行う場合は、「~~b」と入力します。

TCP

RAW TCP では、TCP ソケットへの接続が可能になります。 PuTTY のような通信プログラムでは

RAW TCP もサポートしています。このプロトコルは通常、カスタムアプリケーションによって使用されます。

RAW TCP の場合、デフォルトのポートアドレスは IP アドレス _ ポート (4000 + シリアルポート番号)、つまり 4001 4048 です。

RAW TCP では、シリアルポートをリモートコンソールサーバーにトンネリングすることもできるため、3.1.6 つのシリアルポートデバイスがネットワーク上で透過的に相互接続できます (第 XNUMX 章「シリアルブリッジング」を参照)。

RFC2217 RFC2217 を選択すると、そのポートでシリアルポートリダイレクトが有効になります。 RFC2217 の場合、デフォルトのポートアドレスは IP アドレス _ ポート (5000 + シリアルポート番号)、つまり 5001 5048 です。
Windows UNIX および Linux では、RFC2217 仮想 COM ポートをサポートする特別なクライアントソフトウェアが利用可能です。そのため、リモートホストは、リモートのシリアル接続デバイスをローカルシリアルポートに接続されているかのように監視および管理できます (詳細については、第 3.6 章シリアルポートリダイレクトを参照してください)。
RFC2217 では、シリアルポートをリモートコンソールサーバーにトンネリングすることもできるため、3.1.6 つのシリアルポートデバイスがネットワーク上で透過的に相互接続できます (第 XNUMX 章「シリアルブリッジング」を参照)。

非認証 Telnet これにより、認証資格情報なしでシリアルポートへの Telnet アクセスが可能になります。ユーザーがコンソールサーバーにアクセスしてシリアルポートに Telnet 接続すると、ログインプロンプトが表示されます。認証されていない Telnet を使用すると、コンソールサーバーのログイン要求なしでポートに直接接続します。 Telnet クライアントが認証を要求する場合、入力されたデータによって接続が許可されます。

第 3 章: シリアルポート、ホスト、デバイス、およびユーザーの構成
このモードは、シリアルデバイスレベルでユーザー認証とアクセス権限を管理する外部システム (コンサーバーなど) で使用されます。
コンソールサーバーに接続されているデバイスにログインするには、認証が必要な場合があります。
非認証 Telnet の場合、デフォルトのポートアドレスは IP アドレス _ ポート (6000 + シリアルポート番号)、つまり 6001 6048 です。

非認証 SSH これにより、認証資格情報なしでシリアルポートへの SSH アクセスが可能になります。ユーザーがコンソールサーバーにアクセスしてシリアルポートに Telnet 接続すると、ログインプロンプトが表示されます。認証されていない SSH を使用すると、コンソールサーバーのログイン要求なしでポートに直接接続します。
このモードは、シリアルデバイスレベルでユーザー認証とアクセス権限を管理する別のシステムがあり、ネットワーク上のセッションを暗号化したい場合に使用されます。
コンソールサーバーに接続されているデバイスにログインするには、認証が必要な場合があります。
非認証 Telnet の場合、デフォルトのポートアドレスは IP アドレス _ ポート (7000 + シリアルポート番号)、つまり 7001 7048 です。
の: ポートアクセスの方法 (上記の SSH セクションで説明したとおり) では、常に認証が必要です。

Web ターミナルこれにより、 web [管理] > [デバイス] を介してブラウザからシリアルポートにアクセス: 管理コンソールの組み込み AJAX ターミナルを使用したシリアル。 Web ターミナルは現在認証されている Management Console ユーザーとして接続し、再認証は行いません。詳細については、セクション 12.3 を参照してください。

IP エイリアス

CIDR 形式で指定された特定の IP アドレスを使用してシリアルポートへのアクセスを有効にします。各シリアルポートには、ネットワークインターフェイスごとに構成された 1 つ以上の IP エイリアスを割り当てることができます。シリアルポートは、たとえば、ampファイルには、192.168.0.148 (内部ネットワークの一部として) と 10.10.10.148 (管理 LAN の一部として) の両方でアクセスできるようにします。同じネットワーク上の XNUMX つの IP アドレスでシリアルポートを使用できるようにすることもできます (たとえば、ampファイル、192.168.0.148 および 192.168.0.248)。

これらの IP アドレスは、コンソールサーバーサービスの標準プロトコル TCP ポート番号を使用してアクセスできる特定のシリアルポートにアクセスするためにのみ使用できます。元の場合ampたとえば、シリアルポート 3 の SSH は、シリアルポート IP エイリアスのポート 22 でアクセスできます (一方、コンソールサーバーのプライマリアドレスでは、ポート 2003 で利用できます)。

この機能は、複数ポート編集ページからも設定できます。この場合、IP アドレスは順番に適用され、最初に選択されたポートに IP が入力され、その後のポートが増分され、選択されていないポートの番号はスキップされます。元の場合ampファイルで、ポート 2、3、および 5 が選択され、ネットワークインターフェイスに IP エイリアス 10.0.0.1/24 が入力された場合、次のアドレスが割り当てられます。

ポート2: 10.0.0.1/24

ポート3: 10.0.0.2/24

ポート5: 10.0.0.4/24

IP エイリアスは、IPv6 エイリアスアドレスもサポートします。唯一の違いは、アドレスが 10 進数であるため、IPv11 の 10 または 11 ではなく、ポート 4 は A で終わるアドレスに対応し、XNUMX は B で終わるアドレスに対応する可能性があることです。

ユーザーマニュアル
トラフィックの暗号化 / 認証ポートシェアを使用した RFC2217 シリアル通信の簡単な暗号化と認証を有効にします (強力な暗号化には VPN を使用します)。
蓄積期間特定のシリアルポートへの接続 (RFC2217 リダイレクトやリモートコンピュータへの Telnet 接続など) が確立されると、そのポートに受信した文字はすべて、文字ごとにネットワーク経由で転送されます。蓄積期間は、受信文字がネットワーク上でパケットとして送信される前に収集される期間を指定します。
エスケープ文字エスケープ文字の送信に使用する文字を変更します。デフォルトは ~ です。バックスペースを置き換える CTRL+? のデフォルトのバックスペース値を置き換えます。 (127) CTRL+h (8)。電源メニュー電源メニューを表示するコマンドは ~p で、シェルの電源コマンドを有効にします。
ユーザーは、デバイスに Telnet または SSH 接続しているときに、コマンドラインから管理対象デバイスへの電源接続を制御できます。管理対象デバイスは、シリアルポート接続と電源接続の両方を構成してセットアップする必要があります。
単一接続これにより、ポートが単一の接続に制限されるため、複数のユーザーが特定のポートに対するアクセス権限を持っている場合、そのポートにアクセスできるのは一度に 1 人のユーザーのみになります (つまり、ポートスヌーピングは許可されません)。
33

第 3 章: シリアルポート、ホスト、デバイス、およびユーザーの構成
3.1.3 デバイス (RPC、UPS、環境) モードこのモードは、シリアル制御の無停電電源装置 (UPS)、リモート電源コントローラー/配電装置 (RPC)、または環境監視デバイス (環境) と通信するように、選択したシリアルポートを構成します。

1. 希望のデバイスタイプ (UPS、RPC、または環境) を選択します。
2. 第 7 章で説明されているように、適切なデバイス構成ページ ([シリアルとネットワーク] > [UPS 接続]、[RPC 接続]、または [環境]) に進みます。

3.1.4 ·

ターミナルサーバーモード
ターミナルサーバーモードとターミナルタイプ (vt220、vt102、vt100、Linux または ANSI) を選択して、選択したシリアルポートで getty を有効にします。

getty はポートを構成し、接続が確立されるのを待ちます。シリアルデバイス上のアクティブな接続は、シリアルデバイス上の Data Carrier Detect (DCD) ピンが上昇していることによって示されます。接続が検出されると、getty プログラムは login: プロンプトを発行し、ログインプログラムを呼び出してシステムログインを処理します。
注意ターミナルサーバーモードを選択すると、そのシリアルポートのポートマネージャーが無効になるため、アラートなどのデータは記録されなくなります。

ユーザーマニュアル
3.1.5 シリアルブリッジングモードシリアルブリッジングでは、2217 つのコンソールサーバー上の指定されたシリアルポート上のシリアルデータがネットワークパケットにカプセル化され、ネットワークを介して XNUMX 番目のコンソールサーバーに転送され、そこでシリアルデータとして表されます。 XNUMX つのコンソールサーバーは、IP ネットワーク上で仮想シリアルケーブルとして機能します。 XNUMX つのコンソールサーバーがサーバーとして構成されます。ブリッジされるサーバーのシリアルポートは、RFCXNUMX または RAW が有効なコンソールサーバーモードに設定されています。クライアントコンソールサーバーの場合、ブリッジされるシリアルポートはブリッジモードに設定されている必要があります。
· シリアルブリッジモードを選択し、サーバーコンソールサーバーの IP アドレスとリモートシリアルポートの TCP ポートアドレスを指定します (RFC2217 ブリッジの場合、これは 5001 ～ 5048 になります)。
· デフォルトでは、ブリッジクライアントは RAW TCP を使用します。サーバーコンソールサーバーで指定したコンソールサーバーモードの場合は、RFC2217 を選択します。
· SSH を有効にすることで、ローカルイーサネット経由の通信を保護できます。キーを生成してアップロードします。
3.1.6 Syslog 第 6 章で説明したように、シリアル接続およびネットワーク接続の管理アクセスに適用できる組み込みのロギングと監視に加えて、シリアルポートごとにリモート syslog プロトコルをサポートするようにコンソールサーバーを構成することもできます。基礎：
· [Syslog ファシリティ/優先度] フィールドを選択して、選択したシリアルポート上のトラフィックの syslog サーバーへのログを有効にします。そして、それらのログに記録されたメッセージを並べ替えてアクションを実行します (つまり、メッセージをリダイレクトする/アラート電子メールを送信します)。
35

第 3 章: シリアルポート、デバイス、およびユーザーの構成
例えばampたとえば、シリアルポート 3 に接続されているコンピュータがシリアルコンソールポートで何も送信しないようにする場合、管理者はそのポートの機能を local0 (local0 .. local7 はサイトローカル値を意味します) に設定し、優先度をクリティカルに設定できます。。この優先度では、コンソールサーバーの syslog サーバーがメッセージを受信すると、アラートが生成されます。第 6 章を参照してください。 3.1.7 NMEA ストリーミング ACM7000-L は、内蔵 GPS /セルラーモデムから GPS NMEA データストリーミングを提供できます。このデータストリームは、ACM モデルのポート 5 にシリアルデータストリームとして表示されます。
NMEA シリアルポートを構成する場合、共通設定 (ボーレートなど) は無視されます。修正頻度を指定できます (つまり、この GPS 修正レートによって GPS 修正が取得される頻度が決まります)。すべてのコンソールサーバーモード、Syslog、およびシリアルブリッジ設定をこのポートに適用することもできます。
pmshellを使用できます。 webストリームにアクセスするには、シェル、SSH、RFC2217、または RawTCP:
例えばampル、を使用して Web ターミナル：
36

ユーザーマニュアル

3.1.8 USB コンソール
USB ポートを備えたコンソールサーバーは、Cisco、HP、Dell、Brocade などの幅広いベンダーのデバイスへの USB コンソール接続をサポートします。これらの USB ポートは、USB-シリアルアダプタが接続されている場合、プレーンな RS-232 シリアルポートとしても機能します。

これらの USB ポートは通常のポートマネージャーポートとして使用でき、 web すべての RJ45 シリアルポート後の UI。

ACM7008-2 には、コンソールサーバーの背面に 45 つの RJXNUMX シリアルポートと、前面に XNUMX つの USB ポートがあります。 [シリアルとネットワーク] > [シリアルポート] で、これらは次のようにリストされます。

ポート番号コネクタ

RJ45

USB

10 USB

11 USB

12 USB

特定の ACM7008-2 がセルラーモデルの場合、GPS 用のポート #13 もリストされます。

7216-24U には、背面に 16 個の RJ45 シリアルポートと 24 個の USB ポートがあり、さらに前面に XNUMX 個の USB ポートと (セルラーモデルの場合) GPS が付いています。

RJ45 シリアルポートは、[シリアル & ネットワーク] > [シリアルポート] にポート番号 1 として表示されます。16 個の背面 USB ポートのポート番号は 24 で、前面 USB ポートはそれぞれポート番号 17 と 40 にリストされます。また、ACM41-42 と同様、特定の 7008-2U がセルラーモデルの場合、GPS はポート番号 7216 に表示されます。

ポートを構成する際には共通の設定 (ボーレートなど) が使用されますが、基盤となる USB シリアルチップの実装によっては、一部の操作が機能しない場合があります。

3.2 ユーザーの追加と編集
管理者は、このメニュー選択を使用してユーザーを作成、編集、削除し、これらの各ユーザーのアクセス許可を定義します。

第 3 章: シリアルポート、デバイス、およびユーザーの構成

ユーザーは、指定されたサービス、シリアルポート、電源デバイス、および指定されたネットワーク接続ホストへのアクセスを承認できます。これらのユーザーには、完全な管理者ステータス (完全な構成、管理、およびアクセス権限を付与) を与えることもできます。

ユーザーをグループに追加できます。デフォルトでは 6 つのグループが設定されています。

管理者

無制限の構成および管理権限を提供します。

pptpd

PPTP VPN サーバーへのアクセスを許可します。このグループのユーザーは、パスワードをクリアテキストで保存しています。

ダイアルイン

モデム経由でダイヤルインアクセスを許可します。このグループのユーザーは、パスワードをクリアテキストで保存しています。

FTP

FTP アクセスを許可し、 file ストレージデバイスへのアクセス。

午後シェル

デフォルトのシェルを pmshell に設定します。

ユーザー

ユーザーに基本的な管理権限を提供します。

管理者グループは、メンバーに完全な管理者権限を提供します。管理者ユーザーは、「システム > サービス」で有効になっているサービスのいずれかを使用してコンソールサーバーにアクセスできます。また、これらの接続に対して有効になっているサービスのいずれかを使用して、接続されているホストまたはシリアルポートデバイスのいずれにもアクセスできます。信頼できるユーザーのみが管理者アクセス権を持つ必要があります
ユーザーグループは、コンソールサーバー、接続されたホスト、シリアルデバイスへの限定的なアクセスをメンバーに提供します。これらのユーザーは、管理コンソールメニューの管理セクションにのみアクセスでき、コンソールサーバーへのコマンドラインアクセスはありません。ユーザーは、有効になっているサービスを使用して、チェックされたホストとシリアルデバイスにのみアクセスできます。
pptd、dialin、ftp、または pmshell グループのユーザーは、指定された管理対象デバイスへのユーザーシェルアクセスを制限されていますが、コンソールサーバーに直接アクセスすることはできません。これを追加するには、ユーザーはユーザーまたは管理者グループのメンバーでもある必要があります。
管理者は、特定の電源デバイス、シリアルポート、およびホストのアクセス許可を持つ追加のグループを設定できます。これらの追加グループのユーザーは、管理コンソールメニューにアクセスすることも、コンソールサーバーにコマンドラインでアクセスすることもできません。

ユーザーマニュアル
管理者は、グループのメンバーではない特定の電源デバイス、シリアルポート、およびホストのアクセス許可を持つユーザーを設定できます。これらのユーザーには、管理コンソールメニューへのアクセス権も、コンソールサーバーへのコマンドラインアクセス権もありません。 3.2.1 新しいグループのセットアップ新しいグループと新しいユーザーをセットアップし、ユーザーを特定のグループのメンバーとして分類するには、次の手順を実行します。
1. [シリアルとネットワーク] > [ユーザーとグループ] を選択して、すべてのグループとユーザーを表示します。 2. [グループの追加] をクリックして、新しいグループを追加します。
3. 新しいグループごとにグループ名と説明を追加し、この新しいグループのユーザーがアクセスできるアクセス可能なホスト、アクセス可能なポート、およびアクセス可能な RPC アウトレットを指定します。
4. [適用] をクリックします。 5. 管理者は、追加されたグループを編集または削除できます。 3.2.2 新しいユーザーのセットアップ新しいユーザーをセットアップし、ユーザーを特定のグループのメンバーとして分類するには、次の手順を実行します。 1. [シリアルとネットワーク] > [ユーザーとグループ] を選択して表示します。すべてのグループとユーザー 2. 「ユーザーの追加」をクリックします。
39

第 3 章: シリアルポート、デバイス、およびユーザーの構成
3. 新しいユーザーごとにユーザー名を追加します。 [説明] フィールドに、ユーザーに関連する情報 (連絡先詳細など) を含めることもできます。ユーザー名には、1 ～ 127 文字の英数字と文字「-」「_」「.」を含めることができます。
4. ユーザーをメンバーにしたいグループを指定します。 5. 新しいユーザーごとに確認済みのパスワードを追加します。すべての文字が許可されます。 6. SSHパスキー認証が利用可能です。許可された公開/秘密の公開キーを貼り付けます
[Authorized SSH Keys] フィールドでこのユーザーのキーペアを指定します。 7. [Disable Password Authentication] をオンにして、このユーザーに公開キー認証のみを許可します。
SSH 8 を使用する場合。発信ダイヤルバック接続を許可するには、[ダイヤルインオプション] メニューの [ダイヤルバックを有効にする] をオンにします。
このポートにログインすることでトリガーされます。ユーザーがログインするときにコールバックする電話番号を「ダイヤルバック電話番号」に入力します。 9. 「アクセス可能なホスト」および/または「アクセス可能なポート」をチェックして、ユーザーにアクセス権限を与えるシリアルポートおよびネットワーク接続ホストを指定します。 10.設定された RPC がある場合は、「アクセス可能な RPC コンセント」をチェックして、ユーザーが制御できるコンセント (電源オン/オフなど) を指定します。 11. 「適用」をクリックします。新しいユーザーは、アクセス可能なネットワークデバイス、ポート、および RPC アウトレットにアクセスできるようになります。ユーザーがグループのメンバーである場合、そのグループがアクセスできる他のデバイス/ポート/コンセントにもアクセスできます。
40

ユーザーマニュアル
セットアップできるユーザーの数や、シリアルポートまたはホストごとのユーザーの数に制限はありません。複数のユーザーが 250 つのポートまたはホストを制御/監視できます。グループの数に制限はなく、各ユーザーは複数のグループのメンバーになることができます。ユーザーはどのグループのメンバーである必要もありませんが、デフォルトのユーザーグループのメンバーである場合、管理コンソールを使用してポートを管理することはできません。制限はありませんが、数が増えて複雑になると、再構成にかかる時間が長くなります。ユーザーとグループの総数を XNUMX 未満に保つことをお勧めします。管理者は、既存のユーザーのアクセス設定を編集することもできます。
· [シリアルとネットワーク] > [ユーザーとグループ] を選択し、[編集] をクリックしてユーザーのアクセス権限を変更します。 · 削除をクリックしてユーザーを削除します。 · 無効をクリックしてアクセス権限を一時的にブロックします。
3.3 認証
認証設定の詳細については、第 8 章を参照してください。
3.4 ネットワークホスト
ローカルでネットワークに接続されたコンピューターまたはデバイス (ホストと呼ばれます) を監視し、リモートでアクセスするには、ホストを識別する必要があります。
1. [シリアルとネットワーク] > [ネットワークホスト] を選択すると、使用が有効になっているネットワークに接続されたすべてのホストが表示されます。
2. [ホストの追加] をクリックして新しいホストへのアクセスを有効にします (または、[編集] を選択して既存のホストの設定を更新します)。
41

第 3 章: シリアルポート、デバイス、およびユーザーの構成
3. ホストが PDU または UPS 電源デバイス、または IPMI 電源制御を備えたサーバーの場合は、RPC (IPMI および PDU の場合) または UPS とデバイスタイプを指定します。管理者はこれらのデバイスを設定し、リモートで電源を入れ直す権限を持つユーザーなどを有効にできます。第 7 章を参照してください。それ以外の場合は、デバイスタイプを [なし] に設定したままにしておきます。
4. コンソールサーバーが分散 Nagios 監視を有効にして構成されている場合は、ホスト上で指定されたサービスを監視できるようにするための Nagios 設定オプションも表示されます。
5. 「適用」をクリックします。これにより、新しいホストが作成され、同じ名前の新しい管理対象デバイスも作成されます。
3.5 信頼できるネットワーク
信頼できるネットワーク機能では、コンソールサーバーのシリアルポートにアクセスするためにユーザーが存在する必要がある IP アドレスを指定するオプションが提供されます。
42

ユーザーマニュアル
1. [シリアルとネットワーク] > [信頼できるネットワーク] を選択します。 2. 新しい信頼できるネットワークを追加するには、[ルールの追加] を選択します。ルールが存在しない場合、アクセスはできません
ユーザーを特定できる IP アドレスに関する制限。

3. 新しいルールを適用するアクセス可能なポートを選択します。
4. アクセスを許可するサブネットのネットワークアドレスを入力します。
5. 許可される IP 範囲のネットワークマスクを入力して、許可されるアドレスの範囲を指定します。
· 特定のクラス C ネットワーク接続を使用して指定されたポートへのすべてのユーザーを許可するには、次の信頼されたネットワークの新しいルールを追加します。

ネットワーク IP アドレス

204.15.5.0

サブネットマスク

255.255.255.0

· 特定の IP アドレスにいる 1 人のユーザーのみに接続を許可するには:

ネットワーク IP アドレス

204.15.5.13

サブネットマスク

255.255.255.255

· 特定の範囲の IP アドレス (たとえば、204.15.5.129 から 204.15.5.158 までの XNUMX 個のアドレスのいずれか) 内で動作しているすべてのユーザーに、指定されたポートへの接続を許可するには:

ホスト/サブネットアドレス

204.15.5.128

サブネットマスク

255.255.255.224

6. 「適用」をクリックします。

第 3 章: シリアルポート、デバイス、およびユーザーの構成
3.6 シリアルポートのカスケード接続
カスケードポートを使用すると、分散コンソールサーバーをクラスタ化できるため、1000 つの IP アドレスを通じて多数のシリアルポート (最大 XNUMX) を構成およびアクセスし、XNUMX つの管理コンソールを通じて管理できます。 XNUMX つのコンソールサーバーであるプライマリは、他のコンソールサーバーをノードユニットとして制御し、ノードユニット上のすべてのシリアルポートはプライマリの一部であるかのように表示されます。 Opengear のクラスタリングは、SSH 接続を使用して各ノードをプライマリに接続します。これは公開キー認証を使用して行われるため、プライマリは (パスワードを使用するのではなく) SSH キーペアを使用して各ノードにアクセスできます。これにより、プライマリとノード間の安全な認証された通信が保証され、ノードコンソールサーバーユニットを LAN 上でローカルに、または世界中にリモートで分散できるようになります。
3.6.1 SSH キーの自動生成とアップロード公開キー認証を設定するには、まず RSA または DSA キーのペアを生成し、それらをプライマリコンソールサーバーとノードコンソールサーバーにアップロードする必要があります。これはプライマリから自動的に実行できます。
44

ユーザーマニュアル
1. プライマリの管理コンソールで [システム] > [管理] を選択します。
2. 「SSH キーを自動的に生成する」にチェックを入れます。 3. 「適用」をクリックします。
次に、RSA または DSA、あるいはその両方を使用してキーを生成するかどうかを選択する必要があります (不明な場合は、RSA のみを選択してください)。各キーのセットの生成には 2 分かかり、新しいキーはそのタイプの古いキーを破棄します。新しい世代の進行中、SSH キーに依存する機能 (カスケードなど) は、新しいキーのセットで更新されるまで機能を停止する可能性があります。キーを生成するには:
1. 生成するキーのボックスにチェックを入れます。 2. 「適用」をクリックします。
3. 新しいキーが生成されたら、[ここをクリックして戻る] リンクをクリックします。キーがアップロードされました
プライマリノードと接続されたノードに送信します。
3.6.2 SSH キーを手動で生成してアップロードするまたは、RSA または DSA キーペアがある場合は、それらをプライマリコンソールサーバーとノードコンソールサーバーにアップロードできます。キーの公開キーと秘密キーのペアをプライマリコンソールサーバーにアップロードするには、次の手順を実行します。
1. プライマリの管理コンソールで [システム] > [管理] を選択します。
2. RSA (または DSA) 公開キーを保存した場所を参照し、SSH RSA (DSA) 公開キーにアップロードします。
3. 保存されている RSA (または DSA) 秘密キーを参照し、SSH RSA (DSA) 秘密キーにアップロードします。 4. [適用] をクリックします。
45

第 3 章: シリアルポート、デバイス、およびユーザーの構成
次に、公開キーを認証キーとしてノードに登録する必要があります。 1 つのプライマリに複数のノードがある場合は、ノードごとに 1 つの RSA または DSA 公開キーをアップロードします。
1. ノードの管理コンソールで [システム] > [管理] を選択します。 2. 保存されている RSA (または DSA) 公開キーを参照し、それをノードの SSH 認証キーにアップロードします。
3. [適用] をクリックします。次のステップでは、新しいノードとプライマリの接続をそれぞれフィンガープリントします。このステップでは、あなたが自分であると思われる人物に対して SSH セッションを確立していることを検証します。最初の接続で、ノードはプライマリからフィンガープリントを受け取ります。これはその後のすべての接続で使用されます。フィンガープリントを確立するには、まずプライマリサーバーに root としてログインし、ノードのリモートホストへの SSH 接続を確立します。
# ssh remhost SSH 接続が確立されると、キーを受け入れるように求められます。「はい」と答えると、フィンガープリントが既知のホストのリストに追加されます。パスワードの入力を求められた場合は、キーのアップロード中に問題が発生しました。 3.6.3 ノードとそのシリアルポートの構成プライマリコンソールサーバーからノードのセットアップとノードのシリアルポートの構成を開始します。
1. プライマリの管理コンソールで [シリアルとネットワーク] > [カスケードポート] を選択します。 2. クラスタリングサポートを追加するには、[ノードの追加] を選択します。
SSH キーを生成するまでノードを追加することはできません。ノードを定義および構成するには:
46

ユーザーマニュアル
1. ノードコンソールサーバーのリモート IP アドレスまたは DNS 名を入力します。 2. ノードの簡単な説明と短いラベルを入力します。 3. [ポート数] にノードユニットのシリアルポートの完全な数を入力します。 4. [適用] をクリックします。これにより、プライマリと新しいノードの間に SSH トンネルが確立されます。
[シリアルとネットワーク] > [カスケードポート] メニューには、プライマリに割り当てられているすべてのノードとポート番号が表示されます。プライマリコンソールサーバーに独自のポートが 16 個ある場合、ポート 1 ～ 16 がプライマリに事前に割り当てられるため、追加された最初のノードにはポート番号 17 以降が割り当てられます。すべてのノードコンソールサーバーを追加すると、ノードのシリアルポートと接続されたデバイスが構成可能になり、プライマリの管理コンソールメニューからアクセスできるようになり、プライマリの IP アドレスを通じてアクセスできるようになります。
1. 適切な [シリアルとネットワーク] > [シリアルポート] を選択し、[編集] を選択して、デバイス上のシリアルポートを設定します。
ノード。
2. 適切な [シリアルとネットワーク] > [ユーザーとグループ] を選択して、アクセス権限を持つ新しいユーザーを追加します
ノードのシリアルポートに接続します (または既存のユーザーのアクセス権限を拡張します)。
3. 適切な [シリアルとネットワーク] > [信頼できるネットワーク] を選択して、ネットワークアドレスを指定します。
指定されたノードのシリアルポートにアクセスできます。 4. 適切な [アラートとログ] > [アラート] を選択して、ノードポートの接続、状態を設定します。
チェンジャーパターンマッチアラート。「適用」をクリックすると、プライマリで行われた構成変更がすべてのノードに伝播されます。
3.6.4 ノードの管理プライマリはノードのシリアルポートを制御します。元の場合ampファイル、ユーザーのアクセス権限を変更するか、プライマリのシリアルポート設定を編集すると、構成が更新されます fileは各ノードに並行して送信されます。各ノードはローカル設定を変更します (特定のシリアルポートに関連する変更のみを行います)。ローカルノード管理コンソールを使用して、任意のノードのシリアルポートの設定を変更できます (ボーレートの変更など)。これらの変更は、次回プライマリが設定を送信するときに上書きされます。 file アップデート。プライマリはすべてのノードのシリアルポート関連機能を制御しますが、ノードネットワークのホスト接続やノードコンソールサーバーシステムに対してはプライマリではありません。 IP、SMTP および SNMP 設定、日付と時刻、DHCP サーバーなどのノード機能は、各ノードに直接アクセスして管理する必要があります。これらの機能は、構成の変更がプライマリから伝播されるときに上書きされません。ノードのネットワークホストと IPMI 設定は各ノードで構成する必要があります。
47

第 3 章: シリアルポート、デバイス、およびユーザーの構成
プライマリの管理コンソールは、統合された view 自身のシリアルポートとノード全体のシリアルポートの設定。プライマリは完全に統合された情報を提供しません。 view例えばampファイル、プライマリからカスケードされたシリアルポートにログインしているユーザーを確認したい場合は、[ステータス] > [アクティブユーザー] にプライマリのポートでアクティブなユーザーのみが表示されることがわかります。そのため、これを提供するカスタムスクリプトを作成する必要がある場合があります。 view.
3.7 シリアルポートリダイレクション (ポートシェア)
Opengear の Port Share ソフトウェアは、Windows および Linux アプリケーションがリモートシリアルポートを開いて、コンソールサーバーに接続されているシリアルデバイスからデータを読み取るために必要な仮想シリアルポートテクノロジを提供します。
PortShare は各コンソールサーバーに無料で提供されており、コンソールサーバーポートに接続されているシリアルデバイスにアクセスするために 1 台以上のコンピュータに PortShare をインストールするライセンスが付与されています。 Windows 用 PortShare portshare_setup.exe は、FTP サイトからダウンロードできます。インストールと操作の詳細については、「PortShare ユーザーマニュアル」および「クイックスタート」を参照してください。 Linux 用 PortShare Linux 用 PortShare ドライバーは、コンソールサーバーのシリアルポートをホスト試行ポートにマップします。 Opengear は、Linux、AIX、HPUX、SCO、Solaris、UnixWare 用のオープンソースユーティリティとして portshare-serial-client をリリースしました。このユーティリティは FTP サイトからダウンロードできます。この PortShare シリアルポートリダイレクタを使用すると、リモートコンソールサーバーに接続されているシリアルデバイスを、ローカルシリアルポートに接続されているかのように使用できます。 portshare-serial-client は、擬似 tty ポートを作成し、シリアルアプリケーションを擬似 tty ポートに接続し、擬似 tty ポートからデータを受信し、ネットワークを通じてコンソールサーバーに送信し、ネットワークを通じてコンソールサーバーからデータを受信して送信します。疑似 tty ポートに接続します。 .tar file FTPサイトからダウンロードできます。インストールと操作の詳細については、「PortShare ユーザーマニュアル」および「クイックスタート」を参照してください。
48

ユーザーマニュアル
3.8 管理対象デバイス
「管理対象デバイス」ページには、統合されたデバイスが表示されます。 view コンソールサーバー経由でアクセスおよび監視できるデバイスへのすべての接続。に view デバイスへの接続については、[シリアルとネットワーク] > [管理対象デバイス] を選択します。
この画面には、すべての管理対象デバイスとその説明/メモ、および設定されているすべての接続のリストが表示されます。
· シリアルポート番号 (シリアル接続の場合) または · USB (USB 接続の場合) · IP アドレス (ネットワーク接続の場合) · 電源 PDU/コンセントの詳細 (該当する場合) および UPS 接続サーバーなどのデバイスには複数の電源接続がある場合があります。 (例: デュアル電源供給)、および複数のネットワーク接続 (例: BMC/サービスプロセッサ用)。すべてのユーザーができること view これらの管理対象デバイスの接続を行うには、「管理」>「デバイス」を選択します。管理者は、これらの管理対象デバイスとその接続を編集、追加/削除することもできます。既存のデバイスを編集して新しい接続を追加するには: 1. [シリアルとネットワーク] > [管理対象デバイス] で [編集] を選択し、[接続の追加] をクリックします。 2. 新しい接続の接続タイプ (シリアル、ネットワークホスト、UPS または RPC) を選択し、
構成済みの未割り当てのホスト/ポート/アウトレットの表示されたリストからの接続
49

第 3 章: シリアルポート、デバイス、およびユーザーの構成
新しいネットワーク接続された管理対象デバイスを追加するには: 1. 管理者は、[シリアルとネットワーク] > [ネットワークホスト] メニューの [ホストの追加] を使用して、新しいネットワーク接続された管理対象デバイスを追加します。これにより、対応する新しい管理対象デバイスが自動的に作成されます。 2. 新しいネットワークに接続された RPC または UPS 電源デバイスを追加する場合は、ネットワークホストをセットアップし、それを RPC または UPS として指定します。 [RPC 接続] または [UPS 接続] に移動して、関連する接続を構成します。 RPC/UPS ホストと同じ名前/説明を持つ、対応する新しい管理対象デバイスは、この接続手順が完了するまで作成されません。
注新しく作成された PDU のコンセント名は、コンセント 1 およびコンセント 2 です。コンセントから電力を供給する特定の管理対象デバイスを接続すると、コンセントには電力が供給されている管理対象デバイスの名前が付けられます。
新しいシリアル接続された管理対象デバイスを追加するには: 1. [シリアルとネットワーク] > [シリアルポート] メニューを使用してシリアルポートを設定します (セクション 3.1 シリアルポートの設定を参照) 2. [シリアルとネットワーク] > [管理対象デバイス] を選択し、[デバイスの追加] をクリックします。 3. デバイスを入力します。管理対象デバイスの名前と説明

4. [接続の追加] をクリックし、管理対象デバイスに接続するシリアルとポートを選択します。

5. UPS/RPC 電源接続、ネットワーク接続、または別のシリアル接続を追加するには、「接続の追加」をクリックします。

6. 「適用」をクリックします。

注記

シリアル接続された RPC UPS または EMD デバイスをセットアップするには、シリアルポートを構成し、それをデバイスとして指定し、[シリアルとネットワーク] > [RPC 接続] (または [UPS 接続] または [環境]) でそのデバイスの名前と説明を入力します。これにより、RPC/UPS ホストと同じ名前/説明を持つ、対応する新しい管理対象デバイスが作成されます。この新しく作成された PDU のコンセント名は、コンセント 1 とコンセント 2 です。コンセントから電力を供給する管理対象デバイスを接続すると、コンセントには電力が供給されている管理対象デバイスの名前が付けられます。

3.9 IPsec VPN
ACM7000、CM7100、および IM7200 には、仮想プライベートネットワーク (VPN) の構成に使用できる IPsec (IP セキュリティ) プロトコルの Linux 実装である Openswan が含まれています。 VPN を使用すると、複数のサイトまたはリモート管理者がインターネット経由でコンソールサーバーおよび管理対象デバイスに安全にアクセスできます。

ユーザーマニュアル
管理者は、リモートサイトに分散されているコンソールサーバーと、セントラルオフィスネットワーク上の VPN ゲートウェイ (IOS IPsec を実行している Cisco ルータなど) との間に、暗号化された認証済み VPN 接続を確立できます。
· 中央オフィスのユーザーは、ローカルにいるかのように、リモートコンソールサーバー、リモートロケーションの管理 LAN サブネット上の接続されたシリアルコンソールデバイスおよびマシンに安全にアクセスできます。
· これらすべてのリモートコンソールサーバーは、中央ネットワーク上の CMS6000 で監視できます。 · シリアルブリッジングにより、中央オフィスマシンのコントローラからのシリアルデータを安全に保護できます。
リモートサイトのシリアル制御デバイスに接続されている出張管理者は、VPN IPsec ソフトウェアクライアントを使用して、コンソールサーバーおよびリモートサイトの管理 LAN サブネット上のすべてのマシンにリモートアクセスできます。
IPsec の設定は非常に複雑であるため、Opengear は以下で説明する基本設定用の GUI インターフェイスを提供します。 VPN ゲートウェイを有効にするには:
1. [シリアルとネットワーク] メニューで [IPsec VPN] を選択します。
2. [追加] をクリックし、[IPsec トンネルの追加] 画面を完了します。 3. 追加する IPsec トンネルを識別するためのわかりやすい名前を入力します。
WestStOutlet-VPN
51

第 3 章: シリアルポート、デバイス、およびユーザーの構成
4. 使用する認証方法を選択します (RSA デジタル署名または共有シークレット (PSK))。 o RSA を選択した場合は、ここをクリックしてキーを生成するように求められます。これにより、コンソールサーバーの RSA 公開キー (左の公開キー) が生成されます。リモートゲートウェイで使用するキーを見つけて、それを切り取って適切な公開キーに貼り付けます。
o 共有シークレットを選択した場合は、事前共有シークレット (PSK) を入力します。 PSK は、トンネルのもう一方の端で設定されている PSK と一致する必要があります
5. [認証プロトコル] で、使用する認証プロトコルを選択します。 ESP (カプセル化セキュリティペイロード) 暗号化の一部として認証するか、AH (認証ヘッダー) プロトコルを個別に使用して認証します。
52

ユーザーマニュアル
6. 左 ID と右 ID を入力します。これは、ローカルホスト/ゲートウェイおよびリモートホスト/ゲートウェイが IPsec ネゴシエーションと認証に使用する識別子です。各 ID には @ が含まれている必要があり、完全修飾ドメイン名 (例: left@ex) を含めることができます。ampル.com)
7. この Opengear VPN ゲートウェイのパブリック IP または DNS アドレスを左側のアドレスとして入力します。デフォルトルートのインターフェイスを使用するには、これを空白のままにすることができます
8. [正しいアドレス] に、トンネルのリモートエンドのパブリック IP アドレスまたは DNS アドレスを入力します (リモートエンドに静的アドレスまたは DynDNS アドレスがある場合のみ)。それ以外の場合は空白のままにしてください
9. Opengear VPN ゲートウェイがローカルサブネットへの VPN ゲートウェイとして機能している場合 (たとえば、コンソールサーバーに管理 LAN が構成されている場合)、プライベートサブネットの詳細を [左のサブネット] に入力します。 CIDR 表記法を使用します (IP アドレス番号の後にスラッシュとネットマスクの XNUMX 進表記の「XNUMX」ビットの数が続きます)。元の場合ampファイル 192.168.0.0/24 は、最初の 24 ビットがネットワークアドレスとして使用される IP アドレスを示します。これは 255.255.255.0 と同じです。 VPN アクセスがコンソールサーバーとそれに接続されているシリアルコンソールデバイスのみである場合は、[左のサブネット] を空白のままにしておきます。
10. リモートエンドに VPN ゲートウェイがある場合は、[右のサブネット] にプライベートサブネットの詳細を入力します。 CIDR 表記を使用し、リモートホストのみがある場合は空白のままにします。
11. トンネル接続を左側のコンソールサーバー側から開始する場合は、[トンネルの開始] を選択します。これは、リモートエンドが静的 (または DynDNS) IP アドレスで構成されている場合、VPN ゲートウェイ (左) からのみ開始できます。
12.「適用」をクリックして変更を保存します。
注コンソールサーバー (左側またはローカルホストと呼ばれる) で設定された構成の詳細は、リモート (右側) ホスト/ゲートウェイまたはソフトウェアクライアントを構成するときに入力した設定と一致する必要があります。これらのリモートエンドの構成の詳細については、http://www.opengear.com/faq.html を参照してください。
3.10 OpenVPN
ファームウェア V7000 以降を搭載した ACM7100、CM7200、および IM3.2 には OpenVPN が含まれています。 OpenVPN は、暗号化、認証、証明に OpenSSL ライブラリを使用します。つまり、キー交換に SSL/TSL (Secure Socket Layer/Transport Layer Security) を使用し、データチャネルと制御チャネルの両方を暗号化できます。 OpenVPN を使用すると、X.509 PKI (公開キー基盤) またはカスタム構成を使用して、クロスプラットフォームのポイントツーポイント VPN を構築できます。 files. OpenVPN を使用すると、安全でないネットワーク上で単一の TCP/UDP ポートを介してデータを安全にトンネリングできるため、複数のサイトへの安全なアクセスと、インターネット経由でのコンソールサーバーへの安全なリモート管理が可能になります。また、OpenVPN では、サーバーとクライアントの両方で動的 IP アドレスを使用できるため、クライアントのモビリティが提供されます。元の場合ampたとえば、データセンター内のローミング Windows クライアントと Opengear コンソールサーバーの間に OpenVPN トンネルを確立できます。 OpenVPN の構成は複雑になる場合があるため、Opengear は以下で説明する基本セットアップ用の GUI インターフェイスを提供します。詳細については、http://www.openvpn.net をご覧ください。
3.10.1 OpenVPN を有効にする 1. [シリアルとネットワーク] メニューで [OpenVPN] を選択します。
53

第 3 章: シリアルポート、デバイス、およびユーザーの構成
2. [追加] をクリックし、[OpenVPN トンネルの追加] 画面を完了します。 3. 追加する OpenVPN トンネルを識別する任意のわかりやすい名前を入力します。ample
NorthStOutlet-VPN
4. 使用する認証方法を選択します。証明書を使用して認証するには、PKI (X.509 証明書) を選択するか、カスタム構成を選択してカスタム構成をアップロードします。 files.カスタム構成は /etc/config に保存する必要があります。
注 PKI を選択した場合は、次のことを確立します。別個の証明書 (公開キーとも呼ばれます)。この証明書 File は *.crt です file サーバーと各クライアントの秘密キーを入力します。この秘密鍵 File は *.key です file タイプ
各サーバーの署名に使用されるプライマリ認証局 (CA) 証明書とキー
およびクライアント証明書。このルート CA 証明書は *.crt です file type サーバーの場合は、dh1024.pem (Diffie Hellman パラメーター) も必要になる場合があります。基本的な RSA キー管理のガイドについては、http://openvpn.net/easyrsa.html を参照してください。代替の認証方法については、http://openvpn.net/index.php/documentation/howto.html#auth を参照してください。
5. 使用するデバイスドライバー (Tun-IP または Tap-Ethernet) を選択します。 TUN (ネットワークトンネル) ドライバーと TAP (ネットワークタップ) ドライバーは、それぞれ IP トンネリングとイーサネットトンネリングをサポートする仮想ネットワークドライバーです。 TUN と TAP は Linux カーネルの一部です。
6. プロトコルとして UDP または TCP を選択します。 UDP は、OpenVPN のデフォルトの優先プロトコルです。 7. [圧縮] ボタンをオンまたはオフにして、圧縮を有効または無効にします。 8. トンネルモードでは、これがトンネルのクライアント側かサーバー側かを指定します。として実行する場合
コンソールサーバーは、同じポートを介して VPN サーバーに接続する複数のクライアントをサポートします。
54

ユーザーマニュアル
3.10.2 サーバーまたはクライアントとして構成する
1. 選択したトンネルモードに応じて、クライアントの詳細またはサーバーの詳細を入力します。 o クライアントが選択されている場合、プライマリサーバーアドレスは OpenVPN サーバーのアドレスです。 o サーバーが選択されている場合は、IP プールのネットワークアドレスと IP プールのネットワークマスクを入力します。 IP プールのネットワークアドレス/マスクによって定義されたネットワークは、クライアントに接続するためのアドレスを提供するために使用されます。
2.「適用」をクリックして変更を保存します。
55

第 3 章: シリアルポート、デバイス、およびユーザーの構成
3. 認証証明書を入力し、 files、「OpenVPN の管理」を選択します。 Fileタブ。関連する認証証明書をアップロードまたは参照し、 files.
4. 適用して変更を保存します。保存されました file[アップロード] ボタンの右側に赤色で表示されます。
5. OpenVPN を有効にするには、OpenVPN トンネルを編集します
56

ユーザーマニュアル
6. 「有効」ボタンをチェックします。 7. 適用して変更を保存します。注 OpenVPN を使用する場合は、コンソールサーバーのシステム時間が正しいことを確認してください。
認証の問題。
8. [ステータス] メニューの [統計] を選択して、トンネルが動作していることを確認します。
57

第 3 章: シリアルポート、デバイス、およびユーザーの構成
3.10.3 Windows OpenVPN クライアントとサーバーのセットアップこのセクションでは、Windows OpenVPN クライアントまたは Windows OpenVPN サーバーのインストールと構成、およびコンソールサーバーへの VPN 接続のセットアップについて概説します。コンソールサーバーは、事前共有秘密鍵 (静的キー) の Windows クライアント構成を GUI から自動的に生成します。 File) 構成。
あるいは、Windows ソフトウェア用の OpenVPN GUI (標準の OpenVPN パッケージと Windows GUI を含む) を http://openvpn.net からダウンロードできます。 Windows マシンにインストールすると、タスクバーの右側にある通知領域に OpenVPN アイコンが追加されます。このアイコンを右クリックして、VPN 接続の開始と停止、構成の編集、および view ログ。
OpenVPN ソフトウェアが実行を開始すると、C:Program FilesOpenVPNconfig フォルダーで .opvn がスキャンされます。 files.このフォルダーは新しい構成について再チェックされます file■ OpenVPN GUI アイコンを右クリックしたとき。 OpenVPN がインストールされたら、構成を作成します file:
58

ユーザーマニュアル

テキストエディタを使用して、xxxx.ovpn を作成します。 file そしてC:Programに保存します File■OpenVPNconfig。元の場合ampル、C：プログラム FilesOpenVPNconfigclient.ovpn
元ampOpenVPN Windows クライアント構成のファイル file 以下に示します。
# 説明: IM4216_client client proto udpverb 3 dev tun Remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobindpersist-keypersist- tun comp-lzo
元ampOpenVPN Windows Server 構成のファイル file 以下に示します。
サーバー 10.100.10.0 255.255.255.0 ポート 1194 キープアライブ 10 120 proto udp mssfix 1400persist-keypersist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt key c:\openvpnkeys\server。キー dh c:\openvpnkeys\dh.pem comp-lzo 動詞 1 syslog IM4216_OpenVPN_Server
Windows クライアント/サーバー構成 file オプションは次のとおりです。

オプション #description: クライアントサーバー proto udp proto tcp mssfix動詞
開発タップ開発タップ

説明これは構成を説明するコメントです。コメント行は「#」で始まり、OpenVPN によって無視されます。これがクライアント構成であるかサーバー構成であるかを指定します file。サーバー構成で file、IP アドレスプールとネットマスクを定義します。元の場合ampファイル、サーバー 10.100.10.0 255.255.255.0 プロトコルを UDP または TCP に設定します。クライアントとサーバーは同じ設定を使用する必要があります。 Mssfix はパケットの最大サイズを設定します。これは、UDP で問題が発生した場合にのみ役立ちます。
ログを設定する file 冗長レベル。ログの詳細レベルは 0 (最小) から 15 (最大) まで設定できます。元の場合ample、0 = 致命的なエラーを除いてサイレント 3 = 中程度の出力、一般的な使用に適しています 5 = 接続の問題のデバッグに役立ちます 9 = 冗長、トラブルシューティングに優れていますルーティングされた IP トンネルを作成するには「dev tun」を選択し、作成するには「dev Tap」を選択しますイーサネットトンネル。クライアントとサーバーは同じ設定を使用する必要があります。

第 3 章: シリアルポート、デバイス、およびユーザーの構成

リモートポートキープアライブ
http-プロキシおよそfile 名前>
証明書file 名前>
鍵file 名前>
ああfile name> Nobindpersist-keypersist-tun cipher BF-CBC Blowfish (デフォルト) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

クライアントとして動作する場合の OpenVPN サーバーのホスト名/IP。サーバーの DNS ホスト名または静的 IP アドレスを入力します。サーバーの UDP/TCP ポート。キープアライブは、ping を使用して OpenVPN セッションを維持します。「Keepalive 10 120」は 10 秒ごとに ping を実行し、120 秒間 ping が受信されなかった場合はリモートピアがダウンしていると想定します。サーバーへのアクセスにプロキシが必要な場合は、プロキシサーバーの DNS 名または IP とポート番号を入力します。 CA証明書を入力します file 名前と場所。同じ CA 証明書 file サーバーとすべてのクライアントが使用できます。注: ディレクトリパス内の各「」が「 \」に置き換えられていることを確認してください。元の場合ample、c:openvpnkeysca.crt は c:\openvpnkeys\ca.crt になりますクライアントまたはサーバーの証明書を入力します file 名前と場所。各クライアントは独自の証明書とキーを持つ必要があります files.注: ディレクトリパス内の各「」が「 \」に置き換えられていることを確認してください。を入力 file クライアントまたはサーバーのキーの名前と場所。各クライアントは独自の証明書とキーを持つ必要があります files.注: ディレクトリパス内の各「」が「 \」に置き換えられていることを確認してください。これはサーバーによってのみ使用されます。 Diffie-Hellman パラメーターを使用してキーへのパスを入力します。「Nobind」は、クライアントがローカルアドレスまたは特定のローカルポート番号にバインドする必要がない場合に使用されます。これは、ほとんどのクライアント構成に当てはまります。このオプションにより、再起動後のキーのリロードが防止されます。このオプションを使用すると、再起動後に TUN/TAP デバイスが閉じて再度開くことができなくなります。暗号化方式を選択します。クライアントとサーバーは同じ設定を使用する必要があります。
OpenVPN リンクで圧縮を有効にします。これはクライアントとサーバーの両方で有効にする必要があります。デフォルトでは、ログは syslog に保存されます。Windows でサービスとして実行されている場合は、プログラムに保存されます。 File■OpenVPNlog ディレクトリ。

クライアント/サーバー構成の作成後に OpenVPN トンネルを開始するには files: 1. 通知領域の OpenVPN アイコンを右クリックします。 2. 新しく作成したクライアントまたはサーバー構成を選択します。 3. 「接続」をクリックします

4. ログ file 接続が確立されるとが表示されます
60

ユーザーマニュアル
5. 確立されると、OpenVPN アイコンに、接続の成功と割り当てられた IP を示すメッセージが表示されます。この情報と接続が確立された時刻は、OpenVPN アイコンをスクロールすると表示されます。
3.11 PPTP VPN
コンソールサーバーには、PPTP (Point-to-Point トンネリングプロトコル) サーバーが含まれます。 PPTP は、物理または仮想シリアルリンクを介した通信に使用されます。 PPP エンドポイントは、それ自体に仮想 IP アドレスを定義します。これらの IP アドレスをゲートウェイとして使用してネットワークへのルートを定義でき、その結果トラフィックがトンネル経由で送信されます。 PPTP は、物理 PPP エンドポイント間にトンネルを確立し、トンネル経由でデータを安全に転送します。
PPTP の強みは、構成が簡単で、既存の Microsoft インフラストラクチャに統合できることです。通常、単一のリモート Windows クライアントを接続するために使用されます。ポータブルコンピュータを出張に持っていく場合は、市内番号をダイヤルしてインターネットアクセスサービスプロバイダ (ISP) に接続し、インターネット経由でオフィスネットワークへの 2 番目の接続 (トンネル) を作成し、同じようにアクセスできます。まるでオフィスから直接接続しているかのような企業ネットワーク。在宅勤務者は、ケーブルモデムまたは DSL リンクを介してローカル ISP への VPN トンネルをセットアップすることもできます。
61

第 3 章: シリアルポート、デバイス、およびユーザーの構成
リモート Windows クライアントから Opengear アプライアンスおよびローカルネットワークへの PPTP 接続をセットアップするには、次の手順を実行します。
1. Opengear アプライアンスで PPTP VPN サーバーを有効にして設定します。 2. Opengear アプライアンスで VPN ユーザーアカウントを設定し、適切なアカウントを有効にします。
認証 3. リモートサイトで VPN クライアントを構成します。クライアントには特別なソフトウェアは必要ありません。
PPTP サーバーは、Windows NT 以降に含まれる標準の PPTP クライアントソフトウェアをサポートします。 4. リモート VPN に接続します。 3.11.1 PPTP VPN サーバーを有効にする 1. [シリアルとネットワーク] メニューの [PPTP VPN] を選択します。
2. [有効] チェックボックスを選択して、PPTP サーバーを有効にします。 3. [必要な最小限の認証] を選択します。リモートユーザーがアクセスを試みると、アクセスが拒否されます。
選択したスキームよりも弱い認証スキームを使用して接続します。以下に、最も強力なスキームから最も弱いスキームまで説明します。 · 暗号化認証 (MS-CHAP v2): 使用する最も強力なタイプの認証。これは
推奨オプション · 弱い暗号化認証 (CHAP): これは最も弱いタイプの暗号化パスワードです。
使用する認証。パスワード保護がほとんど提供されないため、クライアントがこれを使用して接続することはお勧めできません。また、CHAP を使用して接続しているクライアントはトラフィックを暗号化できないことにも注意してください。
62

ユーザーマニュアル
· 暗号化されていない認証 (PAP): これは平文のパスワード認証です。このタイプの認証を使用する場合、クライアントのパスワードは暗号化されずに送信されます。
· なし 4. 必要な暗号化レベルを選択します。接続しようとしているリモートユーザーへのアクセスは拒否されます
この暗号化レベルを使用していないもの。 5. [ローカルアドレス] に、VPN 接続のサーバー側に割り当てる IP アドレスを入力します。 6. [リモートアドレス] に、受信クライアントの VPN に割り当てる IP アドレスのプールを入力します。
接続 (例: 192.168.1.10-20)。これは、Opengear アプライアンスへの接続中にリモートユーザーが割り当てられるネットワークの空き IP アドレスまたはアドレス範囲である必要があります。 7. PPTP インターフェイスの最大伝送単位 (MTU) の希望の値を MTU フィールドに入力します (デフォルトは )。 1400) 8. [DNS サーバー] フィールドに、接続する PPTP クライアントに IP アドレスを割り当てる DNS サーバーの IP アドレスを入力します。 9. [WINS サーバー] フィールドに、接続する PPTP クライアントに IP アドレスを割り当てる WINS サーバーの IP アドレスを入力します。 10. 接続の問題のデバッグを支援するために、詳細ログを有効にします。 11. [設定の適用] をクリックします。 3.11.2 PPTP ユーザーの追加 1. [シリアルとネットワーク] メニューの [ユーザーとグループ] を選択し、セクション 3.2 で説明したようにフィールドに値を入力します。 2. pptpd グループがチェックされていることを確認し、PPTP VPN サーバーへのアクセスを許可します。注 – このグループのユーザーはパスワードを平文で保存しています。 3. VPN 接続に接続する必要があるときのために、ユーザー名とパスワードをメモしておきます。 4. [適用] をクリックします。
63

第 3 章: シリアルポート、デバイス、およびユーザーの構成
3.11.3 リモート PPTP クライアントをセットアップするリモート VPN クライアント PC がインターネットに接続されていることを確認します。インターネット経由で VPN 接続を作成するには、XNUMX つのネットワーク接続を設定する必要があります。 XNUMX つの接続は ISP 用で、もう XNUMX つの接続は Opengear アプライアンスへの VPN トンネル用です。注: この手順では、Windows Professional オペレーティングシステムで PPTP クライアントをセットアップします。手順
ネットワークアクセスや Windows の別のバージョンを使用しているかどうかによって、若干異なる場合があります。詳細な手順については、Microsoft から入手できます。 web サイト。 1. 管理者権限で Windows クライアントにログインします。 2. コントロールパネルの [ネットワークと共有センター] から [ネットワーク接続] を選択し、新しい接続を作成します。
64

ユーザーマニュアル
3. [インターネット接続 (VPN) を使用する] を選択し、Opengear アプライアンスの IP アドレスを入力します。リモート VPN クライアントをローカルネットワークに接続するには、追加した PPTP アカウントのユーザー名とパスワード、およびインターネット IP を知っている必要があります。 Opengear アプライアンスのアドレス。 ISP が静的 IP アドレスを割り当てていない場合は、動的 DNS サービスの使用を検討してください。それ以外の場合は、インターネット IP アドレスが変更されるたびに PPTP クライアント構成を変更する必要があります。
65

第 3 章: シリアルポート、デバイス、およびユーザーの構成

3.12 コールホーム
すべてのコンソールサーバーには、コンソールサーバーから集中型 Opengear Lighthouse への安全な SSH トンネルのセットアップを開始する Call Home 機能が含まれています。コンソールサーバーは Lighthouse に候補として登録されます。そこで受け入れられると、管理対象コンソールサーバーになります。
Lighthouse は管理対象コンソールサーバーを監視し、管理者は Lighthouse を通じてリモートの管理対象コンソールサーバーにアクセスできます。このアクセスは、リモートコンソールサーバーがサードパーティのファイアウォールの内側にある場合や、ルーティングできないプライベート IP アドレスを持っている場合でも利用できます。

注記

Lighthouse は、各管理コンソールサーバーへの公開キー認証された SSH 接続を維持します。これらの接続は、管理対象コンソールサーバーおよび管理対象コンソールサーバーに接続されている管理対象デバイスの監視、指示、およびアクセスに使用されます。

ローカルコンソールサーバー、または Lighthouse からアクセス可能なコンソールサーバーを管理するには、Lighthouse によって SSH 接続が開始されます。

リモートコンソールサーバー、またはファイアウォールで保護されている、ルーティングできない、または Lighthouse から到達できないコンソールサーバーを管理するには、最初のコールホーム接続を介して管理対象コンソールサーバーによって SSH 接続が開始されます。

これにより、安全で認証された通信が確保され、管理対象コンソールサーバーユニットを LAN 上でローカルに、または世界中にリモートで分散できるようになります。

3.12.1 Call Home 候補のセットアップ Lighthouse でコンソールサーバーを Call Home 管理候補としてセットアップするには、次の手順を実行します。
1. [シリアル & ネットワーク] メニューで [コールホーム] を選択します。

2. このコンソールサーバーの SSH キーペアをまだ生成またはアップロードしていない場合は、続行する前に生成またはアップロードしてください。
3. [追加]をクリックします

4. Lighthouse の IP アドレスまたは DNS 名 (ダイナミック DNS アドレスなど) を入力します。
5. CMS で設定したパスワードを Call Home パスワードとして入力します。
66

ユーザーマニュアル
6. [適用] をクリックします。これらの手順により、コンソールサーバーから Lighthouse への Call Home 接続が開始されます。これにより、Lighthouse 上に SSHlistening ポートが作成され、コンソールサーバーが候補として設定されます。
Lighthouse で候補者が受け入れられると、コンソールサーバーへの SSH トンネルが Call Home 接続を介してリダイレクトされます。コンソールサーバーは管理対象コンソールサーバーになり、Lighthouse はこのトンネル経由でコンソールサーバーに接続し、監視できるようになります。 3.12.2 Lighthouse で Call Home 候補を管理対象コンソールサーバーとして受け入れるこのセクションでは以上を説明します。view Call Home 経由で接続されているコンソール Lighthouse サーバーを監視するための Lighthouse の設定について。詳細については、Lighthouse ユーザーガイドを参照してください。
1. Lighthouse で新しい Call Home パスワードを入力します。このパスワードは受付に使用されます
候補コンソールサーバーからのコールホーム接続
2. Lighthouse にはコンソールサーバーからアクセスできます。コンソールサーバーには静的 IP が必要です。
アドレス、または DHCP を使用している場合は、ダイナミック DNS サービスを使用するように構成されている
Lighthouse の [設定] > [管理対象コンソールサーバー] 画面には、次のステータスが表示されます。
ローカルおよびリモートの管理対象コンソールサーバーと候補。
「管理対象コンソールサーバー」セクションには、によって監視されているコンソールサーバーが表示されます。
Lighthouse。「検出されたコンソールサーバー」セクションには次の内容が含まれます。
o [ローカルコンソールサーバー] ドロップダウンには、
Lighthouse と同じサブネットであり、監視されていません
67

第 3 章: シリアルポート、デバイス、およびユーザーの構成
o [リモートコンソールサーバー] ドロップダウンには、コールホーム接続を確立していて監視されていないすべてのコンソールサーバー (つまり、候補) がリストされます。「更新」をクリックして更新できます
コンソールサーバー候補を管理対象コンソールサーバーリストに追加するには、[リモートコンソールサーバー] ドロップダウンリストから候補を選択し、[追加] をクリックします。 IP アドレスと SSH ポート (これらのフィールドが自動入力されていない場合) を入力し、追加する管理コンソールサーバーの説明と一意の名前を入力します。
リモートルートパスワード (つまり、この管理対象コンソールサーバーに設定されているシステムパスワード) を入力します。このパスワードは、自動生成された SSH キーを伝播するために Lighthouse によって使用され、保存されません。「適用」をクリックします。 Lighthouse は、管理対象コンソールサーバーとの間で安全な SSH 接続を設定し、その管理対象デバイス、ユーザーアカウントの詳細、設定されたアラートを取得します。 3.12.3 汎用の中央 SSH サーバーへの Call Home 汎用 SSH サーバー (Lighthouse ではない) に接続している場合詳細設定を構成できます。 · SSH サーバーポートと SSH ユーザーを入力します。 · 作成する SSH ポート転送の詳細を入力します。
リスニングサーバーを選択すると、サーバーからこのユニットに転送されるリモートポート、またはこのユニットからサーバーに転送されるローカルポートを作成できます。
68

ユーザーマニュアル
· 転送元のリスニングポートを指定します。未使用のポートを割り当てるには、このフィールドを空白のままにしておきます。 · 転送された接続の受信者となるターゲットサーバーとターゲットポートを入力します。
3.13 IP パススルー
IP パススルーは、モデム接続 (内部セルラーモデムなど) をサードパーティのダウンストリームルーターへの通常のイーサネット接続のように見せるために使用され、ダウンストリームルーターがモデム接続をプライマリまたはバックアップ WAN インターフェイスとして使用できるようにします。
Opengear デバイスは、モデムの IP アドレスと DNS の詳細を DHCP 経由でダウンストリームデバイスに提供し、モデムとルーターの間でネットワークトラフィックを渡します。
IP パススルーは Opengear をモデムからイーサネットへのハーフブリッジに変えますが、一部のレイヤー 4 サービス (HTTP/HTTPS/SSH) が Opengear で終了する場合があります (サービスインターセプト)。また、Opengear 上で実行されているサービスは、ダウンストリームルーターから独立してアウトバウンド携帯電話接続を開始できます。
これにより、Opengear は引き続き帯域外管理とアラートに使用できるようになり、IP パススルーモードでも Lighthouse 経由で管理できるようになります。
3.13.1 ダウンストリームルーターのセットアップダウンストリームルーターでフェールオーバー接続 (セルラーへのフェールオーバーまたは F2C とも呼ばれます) を使用するには、XNUMX つ以上の WAN インターフェイスが必要です。
注意 IP パススルーコンテキストのフェールオーバーはダウンストリームルーターによって実行され、IP パススルーモードでは Opengear に組み込まれた帯域外フェールオーバーロジックは使用できません。
イーサネットケーブルを使用して、ダウンストリームルーターのイーサネット WAN インターフェイスを Opengear のネットワークインターフェイスまたは管理 LAN ポートに接続します。
DHCP 経由でネットワーク設定を受信できるように、ダウンストリームルーター上でこのインターフェイスを構成します。フェイルオーバーが必要な場合は、プライマリインターフェイスと Opengear に接続されているイーサネットポート間のフェイルオーバー用にダウンストリームルーターを構成します。
3.13.2 IP パススルーの事前設定 IP パススルーを有効にするための前提条件の手順は次のとおりです。
1. ネットワークインターフェイスと、該当する場合は管理 LAN インターフェイスを静的ネットワーク設定で構成します。 · [シリアルとネットワーク] > [IP] をクリックします。 · ネットワークインターフェイスおよび該当する場合は管理 LAN について、構成方法として静的を選択し、ネットワーク設定を入力します (詳細な手順については、ネットワーク構成というタイトルのセクションを参照してください)。 · ダウンストリームルーターに接続されているインターフェイスには、任意の専用プライベートネットワークを選択できます。このネットワークは Opengear とダウンストリームルーターの間にのみ存在し、通常はアクセスできません。 · 他のインターフェイスについては、ローカルネットワーク上で通常どおりに設定します。 · 両方のインターフェイスで、ゲートウェイを空白のままにします。
2. モデムを Always On アウトオブバンドモードに設定します。
69

第 3 章: シリアルポート、デバイス、およびユーザーの構成
· 携帯電話接続の場合は、[システム] > [ダイヤル: 内蔵セルラーモデム] をクリックします。 · [ダイヤルアウトを有効にする] を選択し、APN などのキャリアの詳細を入力します (セルラーモデムのセクションを参照)
詳細な手順については接続を参照してください)。 3.13.3 IP パススルーの設定 IP パススルーを設定するには、次の手順を実行します。
· [シリアルとネットワーク] > [IP パススルー] をクリックし、[有効にする] をオンにします。 · アップストリーム接続に使用する Opengear モデムを選択します。 · オプションで、ダウンストリームルーターの接続インターフェイスの MAC アドレスを入力します。 MACアドレスが
指定されていない場合、Opengear は DHCP アドレスを要求する最初のダウンストリームデバイスにパススルーします。 · ダウンストリームルーターへの接続に使用する Opengear Ethernet インターフェイスを選択します。
· 「適用」をクリックします。 3.13.4 サービスインターセプトこれらにより、Opengear はサービスを提供し続けることができます。ampファイル、IP パススルーモード時の帯域外管理用。指定されたインターセプトポート上のモデムアドレスへの接続は、ダウンストリームルーターに渡されるのではなく、Opengear によって処理されます。
· HTTP、HTTPS、または SSH の必要なサービスについては、[有効] をオンにします。 · オプションで、インターセプトポートを代替ポート (HTTPS の場合は 8443) に変更します。これは、次の場合に便利です。
ダウンストリームルータが通常のポート経由でアクセスできるようにしたいと考えています。 3.13.5 IP パススルーステータスページを更新して、 view ステータスセクション。パススルーされているモデムの外部 IP アドレス、ダウンストリームルーターの内部 MAC アドレス (ダウンストリームルーターが DHCP リースを受け入れる場合にのみ入力)、および IP パススルーサービスの全体的な実行ステータスが表示されます。 [アラートとログ] > [自動応答] で [ルーティングされたデータ使用状況チェック] を設定すると、ダウンストリームルーターのフェイルオーバーステータスに関するアラートが表示される場合があります。 3.13.6 注意事項一部の下流ルータはゲートウェイルートと互換性がない場合があります。これは、ゲートウェイアドレスがポイントツーポイント宛先アドレスであり、サブネット情報が利用できない場合に、IP パススルーが 3G セルラーネットワークをブリッジしている場合に発生する可能性があります。 Opengear は、DHCP ネットマスク 255.255.255.255 を送信します。デバイスは通常、これをインターフェイス上の単一のホストルートとして解釈しますが、一部の古いダウンストリームデバイスには問題が発生する可能性があります。
70

ユーザーマニュアル
Opengear がモデム以外のデフォルトルートを使用している場合、ローカルサービスのインターセプトは機能しません。また、サービスが有効になっていて、サービスへのアクセスが有効になっていない限り、これらは機能しません ([システム] > [サービス] を参照し、[サービスアクセス] タブで [ダイヤルアウト/セルラー] を見つけてください)。
Opengear からリモートサービスへのアウトバウンド接続がサポートされています (SMTP 電子メールアラートの送信、SNMP トラップ、NTP 時間の取得、IPSec トンネルなど)。同じ発信元ローカルポート番号をランダムに選択した場合、Opengear とダウンストリームデバイスの両方が同じリモートホスト上の同じ UDP または TCP ポートに同時にアクセスしようとすると、接続が失敗するリスクがわずかにあります。
3.14 DHCP (ZTP) 経由の設定
Opengear デバイスは、config-over-DHCP を使用して、初回起動時に DHCPv4 または DHCPv6 サーバーからプロビジョニングできます。 USB フラッシュドライブにキーを提供すると、信頼できないネットワークでのプロビジョニングが容易になります。 ZTP 機能を使用して、ネットワークへの最初の接続時にファームウェアのアップグレードを実行したり、Lighthouse 5 インスタンスに登録したりすることもできます。
準備信頼できるネットワーク上での設定の一般的な手順は次のとおりです。
1. 同じモデルの Opengear デバイスを構成します。 2. 設定を Opengear バックアップ (.opg) として保存します。 file。 3. [システム] > [構成バックアップ] > [リモートバックアップ] を選択します。 4. 「バックアップの保存」をクリックします。バックアップ構成 file — model-name_iso-format-date_config.opg — Opengear デバイスからローカルシステムにダウンロードされます。設定を XML として保存できます file: 1. [システム] > [構成バックアップ] > [XML 構成] を選択します。を含む編集可能なフィールド
構成 file XML形式で表示されます。 2. フィールドをクリックしてアクティブにします。 3. Windows または Linux でブラウザを実行している場合は、右クリックして、
コンテキストメニューを選択するか、Control-A を押します。右クリックしてコンテキストメニューから [コピー] を選択するか、Ctrl + C キーを押します。 4. macOS 上のブラウザを使用している場合は、「編集」>「すべてを選択」を選択するか、Command + A を押します。「編集」>「コピー」を選択するか、Command + C キーを押します。 5. 好みのテキストエディタで新しい空の文書を作成し、コピーしたデータを空の文書に貼り付けて保存します。 file。何でも file-name を選択します。それには .xml が含まれている必要があります file名前の接尾辞。 6. 保存した .opg または .xml をコピーします。 file 上の公開ディレクトリに file HTTPS、HTTP、FTP、または TFTP のプロトコルの少なくとも 1 つを提供するサーバー。 (HTTPSのみ使用可能です。 file サーバーと構成対象の Opengear デバイスが信頼できないネットワーク上を移動します。) 7. Opengear デバイス用の「ベンダー固有」オプションを含めるように DHCP サーバーを構成します。 (これは、DHCP サーバー固有の方法で行われます。) ベンダー固有のオプションは、 URL 公開された .opg または .xml の file 上のステップで。オプション文字列は 250 文字を超えてはならず、.opg または .xml で終わる必要があります。
71

第 3 章: シリアルポート、デバイス、およびユーザーの構成
8. 新しい Opengear デバイス (出荷時設定にリセットされたか、構成が消去されたもの) をネットワークに接続し、電源を投入します。デバイスが自動的に再起動するまでに最大 5 分かかる場合があります。
Exampファイル ISC DHCP (dhcpd) サーバー構成
以下は例ですampISC DHCP サーバー dhcpd 経由で .opg 構成イメージを提供するための DHCP サーバー構成フラグメント:
オプションスペースオープンギアコード幅 1 長さ幅 1;オプションopengear.config-url コード 1 = テキスト;クラス “opengear-config-over-dhcp-test” {
match if オプションのベンダークラス識別子 ~~ “^Opengear/”;ベンダーオプションスペースオープンギア。オプションopengear.config-url 「https://example.com/opg/${class}.opg”; }
このセットアップは、opengear.image- を使用して構成イメージをアップグレードするように変更できます。url オプションを指定し、ファームウェアイメージへの URI を提供します。
LAN が信頼できない場合のセットアップ file サーバーと構成対象の Opengear デバイスに信頼できないネットワークが含まれている場合は、両手によるアプローチで問題を軽減できます。
注このアプローチでは、信頼を完全に確立することが不可能ではないにしても、困難な 2 つの物理的なステップが導入されます。まず、データを運ぶ USB フラッシュドライブの作成から展開までのカストディチェーンです。 2 番目は、USB フラッシュドライブを Opengear デバイスに接続する手です。
· Opengear デバイスの X.509 証明書を生成します。
· 証明書とその秘密キーを 1 つに連結します。 file client.pem という名前。
· client.pem を USB フラッシュドライブにコピーします。
· .opg または .xml にアクセスできるように HTTPS サーバーを設定します。 file は、上で生成された X.509 クライアント証明書を提供できるクライアントに制限されます。
· HTTP サーバーの証明書に署名した CA 証明書のコピー (ca-bundle.crt) を、client.pem が含まれる USB フラッシュドライブに配置します。
· 電源またはネットワークを接続する前に、USB フラッシュドライブを Opengear デバイスに挿入します。
· 「保存した .opg または .xml をコピーする」からの手順を続行します。 file 上の公開ディレクトリに file 上記のサーバー」では、クライアントとサーバーの間で HTTPS プロトコルを使用します。
USB ドライブを準備し、X.509 証明書と秘密キーを作成します。
· クライアントとサーバーの証明書署名要求 (CSR) に署名できるように CA 証明書を生成します。
# cp /etc/ssl/openssl.cnf 。 # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/シリアル番号 echo 00 > exampleCA/crlnumber # touch exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out DemonCA/cacert.pem
-subj /CN=ExampleCA # cp DemonCA/cacert.pem ca-bundle.crt
この手順では、Ex という名前の証明書を生成します。ampleCA ですが、許可されている任意の証明書名を使用できます。また、この手順では openssl ca を使用します。組織に全社規模の安全な CA 生成プロセスがある場合は、代わりにそれを使用する必要があります。
72

ユーザーマニュアル
· サーバー証明書を生成します。
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -inserver.csr -outserver.crt
-鍵file ca.key -policypolicy_anything -batch -notext
注意ホスト名または IP アドレスは、サービス提供で使用されるものと同じ文字列である必要があります。 URL。元ではamp上記のファイルでは、ホスト名はdemo.exです。ampル.com。
· クライアント証明書を生成します。
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-鍵file ca.key -policypolicy_anything -batch -notext # cat client.key client.crt > client.pem
· USB フラッシュドライブを単一の FAT32 ボリュームとしてフォーマットします。
· client.pem と ca-bundle.crt を移動します。 files をフラッシュドライブのルートディレクトリに置きます。
ZTP 問題のデバッグ ZTP ログ機能を使用して、ZTP 問題をデバッグします。デバイスが ZTP 操作を実行しようとしている間、ログ情報がデバイスの /tmp/ztp.log に書き込まれます。
以下は例ですampログのファイル file ZTP の実行が成功した場合。
# cat /tmp/ztp.log Wed Dec 13 22:22:17 UTC 2017 [5127 Notice] odhcp6c.eth0: DHCP 経由で設定を復元しています Wed Dec 13 22:22:17 UTC 2017 [5127 Notice] odhcp6c.eth0: 10 秒待機していますネットワークが解決するために Wed Dec 13 22:22:27 UTC 2017 [5127 Notice] odhcp6c.eth0: NTP スキップされました: サーバーがありません Wed Dec 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0:vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' 水 13 月 22 日 22:27:2017 UTC 5127 [6 情報] odhcp0c.eth2:vendorspec.13 (n/a) 水22 年 22 月 27 日 2017:5127:6 UTC [0 情報] odhcp3c.eth13:vendorspec.22 (n/a) 22 年 27 月 2017 日水曜日 5127:6:0 [4 情報] odhcp13c.eth22:vendorspec.22 (n/a) ) 27 年 2017 月 5127 日水曜日 6:0:5 UTC 13 [22 情報] odhcp22c.eth28: ベンダースペック.2017 (n/a) 5127 年 6 月 0 日水曜日 6:13:22 [22 情報] odhcp28c.eth2017: ベンダースペック.5127 (n/a) /a) Wed Dec 6 0:2:XNUMX UTC XNUMX [XNUMX info] odhcpXNUMXc.ethXNUMX: ダウンロードするファームウェアがありません (vendorspec.XNUMX) バックアップ-url: http://[fd07:2218:1350:44::1]/tftpboot/config.sh を試行しています … バックアップ-url: WAN 設定モードを DHCP バックアップに強制します -url: ホスト名を acm7004-0013c601ce97 に設定バックアップ -url: 読み込みに成功しました Wed Dec 13 22:22:36 UTC 2017 [5127 Notice] odhcp6c.eth0: 設定の読み込みに成功しました Wed Dec 13 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: Lighthouse 設定はありません (vendorspec.3/ 4/5/6) 13 年 22 月 22 日水曜日 36:2017:5127 UTC [6 通知] odhcp0c.ethXNUMX: プロビジョニングは完了しましたが、再起動していません
エラーはこのログに記録されます。
3.15 灯台への登録
Lighthouse への登録を使用して Opengear デバイスを Lighthouse インスタンスに登録し、コンソールポートへの集中アクセスを提供し、Opengear デバイスの集中設定を可能にします。
Opengear デバイスを Lighthouse に登録する手順については、『Lighthouse ユーザーガイド』を参照してください。
73

第 3 章: シリアルポート、デバイス、およびユーザーの構成
3.16 DHCPv4 リレーを有効にする
DHCP リレーサービスは、クライアントとリモート DHCP サーバーの間で DHCP パケットを転送します。 Opengear コンソールサーバーで DHCP リレーサービスを有効にすると、指定された下位インターフェイスで DHCP クライアントをリッスンし、通常のルーティングを使用してメッセージをラップして DHCP サーバーに転送するか、指定された上位インターフェイスに直接ブロードキャストします。したがって、DHCP リレーエージェントは DHCP メッセージを受信し、別のインターフェイスに送信する新しい DHCP メッセージを生成します。以下の手順では、コンソールサーバーは、DHCPv4 リレーサービスを使用して回線 ID、イーサネット、またはセルモデムに接続できます。
DHCPv4 リレー + DHCP オプション 82 (サーキット ID) インフラストラクチャ – ローカル DHCP サーバー、リレー用の ACM7004-5、クライアント用のその他のデバイス。 LAN の役割を持つ任意のデバイスをリレーとして使用できます。この元ではampファイルの場合、192.168.79.242 はクライアントの中継インターフェイスのアドレスです (DHCP サーバー構成で定義されているとおり) file 192.168.79.244 はリレーボックスの上位インターフェイスアドレス、enp112s0 は DHCP サーバーの下流インターフェイスです。
1 インフラストラクチャ – DHCPv4 リレー + DHCP オプション 82 (サーキット ID)
DHCP サーバーでの手順 1. ローカル DHCP v4 サーバーをセットアップします。特に、DHCP クライアント用に次のような「ホスト」エントリが含まれている必要があります。 host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41;ホスト識別子オプションagent.circuit-id "relay1";固定アドレス 192.168.79.242;注: 「hardware ethernet」行はコメントオフされているため、DHCP サーバーは「circuit-id」設定を使用して、関連するクライアントにアドレスを割り当てます。 2. DHCP サーバーを再起動して、変更された構成を再ロードします。 file。 pkill -HUP dhcpd
74

ユーザーマニュアル
3. クライアントの「リレーされた」インターフェイス (クライアントが持つ可能性のある他のインターフェイスではなく、DHCP リレーの背後にあるインターフェイス) にホストルートを手動で追加します。
sudo ip Route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 これは、クライアントが同じインターフェースに他のインターフェースを持っている場合に、クライアントと DHCP サーバーがクライアントの中継インターフェース経由で相互にアクセスしたい場合の非対称ルーティングの問題を回避するのに役立ちます。 DHCP アドレスプールのサブネット。
注: この手順は、dhcp サーバーとクライアントが相互にアクセスできるようにするために必須です。
リレーボックスのステップ – ACM7004-5
1. WAN/eth0 を静的モードまたは dhcp モード (未構成モードではない) でセットアップします。静的モードの場合は、DHCP サーバーのアドレスプール内の IP アドレスが必要です。
2. CLI を介してこの設定を適用します (192.168.79.1 は DHCP サーバーアドレスです)。
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay. lowers. lower1.circuit_id=relay1 config -s config.services.dhcprelay. lowers. lower1.role=lan config -s config.services .dhcprelay. lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. DHCP リレーの下位インターフェイスには、DHCP サーバーのアドレスプール内の静的 IP アドレスが必要です。この元ではampファイル、giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. クライアントがリレー経由で DHCP リースを取得するまでしばらく待ちます。
クライアント上のステップ (この例では CM7116-2-dac)ampファイルまたはその他の OG CS)
1. クライアントの LAN/eth1 をリレーの LAN/eth1 に接続します。 2. 通常どおり DHCP 経由で IP アドレスを取得するようにクライアントの LAN を設定します。 3. 接続が確立されたら、

ドキュメント / リソース

opengear ACM7000 リモートサイトゲートウェイ [pdf] ユーザーマニュアル
ACM7000 リモートサイトゲートウェイ, ACM7000, リモートサイトゲートウェイ, サイトゲートウェイ, ゲートウェイ

参考文献

ユーザーマニュアル

opengear ACM7000 リモートサイトゲートウェイ

製品情報

製品使用説明書

よくある質問

このマニュアル

システム構成

シリアルポート、ホスト、デバイス、ユーザー構成

ドキュメント / リソース

参考文献

コメントを残す

返信をキャンセル

opengear ACM7000 リモート サイト ゲートウェイ

製品情報

製品使用説明書

よくある質問

このマニュアル

システム構成

シリアルポート、ホスト、デバイス、ユーザー構成

ドキュメント / リソース

参考文献

コメントを残す

返信をキャンセル

opengear ACM7000 リモートサイトゲートウェイ