Opengear ACM7000 Remote Site Gateway
Информации за производот
Спецификации:
- Производ: ACM7000 Remote Site Gateway
- Модел: ACM7000-L Resilience Gateway
- Систем за управување: IM7200 Менаџер за инфраструктура
- Сервери на конзоли: CM7100
- Верзија: 5.0 - 2023-12
Упатство за употреба на производот
Безбедносни мерки на претпазливост:
Не поврзувајте или исклучувајте го серверот на конзолата за време на електрична бура. Секогаш користете потиснувач на пренапони или UPS за да ја заштитите опремата од минливи.
Предупредување од FCC:
Овој уред е во согласност со Дел 15 од правилата на FCC. Работењето на овој уред подлежи на следниве услови: (1) Овој уред не може да предизвика штетни пречки и (2) овој уред мора да прифати какви било пречки што може да предизвикаат несакано работење.
Најчесто поставувани прашања
- П: Може ли да го користам ACM7000 Remote Site Gateway за време на електрична бура?
- A: Не, се советува да не го поврзувате или исклучувате серверот на конзолата за време на електрична бура за да спречите оштетување.
- П: Која верзија на правилата на FCC е во согласност со уредот?
- A: Уредот е во согласност со Дел 15 од правилата на FCC.
Упатство за употреба
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Верзија 5.0 - 2023-12
Безбедност
Следете ги безбедносните мерки на претпазливост подолу кога го инсталирате и ракувате со конзолниот сервер: · Не отстранувајте ги металните капаци. Внатре нема компоненти што може да се сервисираат од операторот. Отворањето или вадењето на капакот може да ве изложи на опасна томtagд што може да предизвика пожар или електричен удар. Целата услуга упатете ја на квалификуван персонал на Opengear. · За да избегнете електричен удар, заштитниот заземјувач на кабелот за напојување мора да се поврзе преку заземјување. · Секогаш влечете го приклучокот, а не кабелот, кога го исклучувате кабелот за напојување од штекерот.
Не поврзувајте или исклучувајте го серверот на конзолата за време на електрична бура. Исто така, користете супресор за пренапони или UPS за да ја заштитите опремата од минливи.
Изјава за предупредување на FCC
Овој уред е во согласност со Дел 15 од правилата на FCC. Работењето на овој уред е предмет на следново
услови: (1) Овој уред не може да предизвика штетни пречки и (2) овој уред мора да прифати какви било пречки што може да предизвикаат несакано работење.
Треба да се користат соодветни системи за резервна копија и потребните безбедносни уреди за заштита од повреди, смрт или материјална штета поради дефект на системот. Таквата заштита е одговорност на корисникот. Овој уред за сервер за конзола не е одобрен за употреба како животен или медицински систем. Сите промени или модификации направени на овој уред со сервер на конзолата без експлицитно одобрение или согласност од Opengear ќе ја поништат Opengear од каква било одговорност или одговорност за повреда или загуба предизвикана од каква било дефект. Оваа опрема е за внатрешна употреба и сите комуникациски жици се ограничени на внатрешноста на зградата.
2
Упатство за употреба
Авторски права
©Opengear Inc. 2023. Сите права се задржани. Информациите во овој документ се предмет на промена без најава и не претставуваат обврска од страна на Opengear. Opengear го обезбедува овој документ „како што е“, без каква било гаранција, изразена или имплицитна, вклучително, но не ограничувајќи се на, имплицитните гаранции за соодветност или тргување за одредена цел. Opengear може да направи подобрувања и/или промени во ова упатство или во производот(ите) и/или програмата(ите) опишани во ова упатство во секое време. Овој производ може да вклучува технички неточности или печатни грешки. Периодично се прават промени на информациите овде; овие промени може да се вградат во новите изданија на публикацијата.\
Поглавје 1
Овој прирачник
ОВОЈ ПРИРАЧНИК
Овој кориснички прирачник го објаснува инсталирањето, работењето и управувањето со серверите на конзолата на Opengear. Овој прирачник претпоставува дека сте запознаени со Интернет и IP мрежите, HTTP, FTP, основните безбедносни операции и внатрешната мрежа на вашата организација.
1.1 Видови корисници
Серверот за конзола поддржува две класи на корисници:
· Администратори кои имаат неограничени конфигурациски и управувачки привилегии над конзолата
сервер и поврзани уреди, како и сите услуги и порти за контрола на сите сериски поврзани уреди и уреди поврзани со мрежа (домаќини). Администраторите се поставени како членови на администраторската корисничка група. Администраторот може да пристапи и да го контролира серверот на конзолата користејќи ја алатката за конфигурација, командната линија на Linux или Управувачката конзола базирана на прелистувач.
· Корисници кои се поставени од администратор со ограничувања на нивниот пристап и овластување за контрола.
Корисниците имаат ограничен view на Конзолата за управување и може да пристапи само до овластени конфигурирани уреди и реview логови на пристаништа. Овие корисници се поставени како членови на една или повеќе од претходно конфигурираните кориснички групи како што се PPTPD, dialin, FTP, pmshell, корисници или кориснички групи што администраторот можеби ги создал. Тие се овластени само да вршат одредени контроли на одредени поврзани уреди. Корисниците, кога се овластени, можат да пристапуваат и да ги контролираат сериските или мрежни поврзани уреди користејќи наведени услуги (на пр. Телнет, HHTPS, RDP, IPMI, Сериски преку LAN, Контрола на напојување). Далечински корисници се корисници кои не се на истиот LAN сегмент како серверот на конзолата. Далечински корисник може да биде на пат и се поврзува со управувани уреди преку јавен интернет, администратор во друга канцеларија што се поврзува со серверот на конзолата преку претпријатието VPN или во иста просторија или истата канцеларија, но поврзан на посебна VLAN на конзолата сервер.
1.2 Управувачка конзола
Конзолата за управување со Opengear ви овозможува да ги конфигурирате и надгледувате карактеристиките на вашиот сервер за конзола Opengear. Конзолата за управување работи во прелистувач и обезбедува a view на конзолниот сервер и сите поврзани уреди. Администраторите може да ја користат Управната конзола за конфигурирање и управување со серверот на конзолата, корисниците, пристаништата, домаќините, уредите за напојување и поврзаните дневници и предупредувања. Корисниците кои не се администратори можат да ја користат Конзолата за управување со ограничен пристап до менито за да контролираат одредени уреди, реview нивните дневници и пристапете до нив користејќи го вградениот Web терминал.
Серверот на конзолата работи со вграден оперативен систем Линукс и може да се конфигурира на командната линија. Може да добиете пристап до командната линија преку мобилен / dial-in, директно поврзување со сериската конзола/модем порта на серверот на конзолата или со користење на SSH или Telnet за да се поврзете со серверот на конзолата преку LAN (или поврзување со PPTP, IPsec или OpenVPN) .
6
Упатство за употреба
За команди за интерфејс на командната линија (CLI) и напредни инструкции, преземете го Opengear CLI и Scripting Reference.pdf од https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Повеќе информации
За повеќе информации, консултирајте се со: · Opengear Products Web Сајт: Видете https://opengear.com/products. За да ги добиете најсовремените информации за тоа што е вклучено со серверот за конзола, посетете го делот Што е вклучено за вашиот конкретен производ. · Водич за брз почеток: за да го добиете Водичот за брз почеток за вашиот уред, видете https://opengear.com/support/documentation/. · База на знаење Opengear: Посетете ја https://opengear.zendesk.com за да пристапите до статии за технички упатства, технолошки совети, ЧПП и важни известувања. · Opengear CLI и референца за скриптирање: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7
Поглавје 2:
Системска конфигурација
СИСТЕМСКА КОНФИГУРАЦИЈА
Ова поглавје дава чекор-по-чекор инструкции за почетната конфигурација на серверот за конзола и неговото поврзување со Управниот или оперативниот LAN. Чекорите се:
Активирајте ја Конзолата за управување. Променете ја администраторската лозинка. Поставете ја главната LAN порта на серверот за конзола за IP адреса. Изберете ги услугите што треба да се овозможат и пристапете до привилегиите. Ова поглавје исто така ги разгледува комуникациските софтверски алатки кои администраторот може да ги користи за пристап до серверот на конзолата и конфигурацијата на дополнителните LAN порти.
2.1 Поврзување на конзолата за управување
Вашиот конзолен сервер е конфигуриран со стандардна IP адреса 192.168.0.1 и маска за подмрежа 255.255.255.0 за NET1 (WAN). За почетна конфигурација, препорачуваме да поврзете компјутер директно на конзолата. Ако одлучите да го поврзете вашиот LAN пред да ги завршите почетните чекори за поставување, проверете дали:
· Нема други уреди на LAN со адреса 192.168.0.1. · Серверот на конзолата и компјутерот се на истиот LAN сегмент, без интерпониран рутер
апарати.
2.1.1 Поставување поврзан компјутер За да го конфигурирате конзолниот сервер со прелистувач, поврзаниот компјутер треба да има IP адреса во истиот опсег како и конзолниот сервер (на пр.ample, 192.168.0.100):
· За да ја конфигурирате IP адресата на вашиот Linux или Unix компјутер, извршете ifconfig. · За компјутери со Windows:
1. Кликнете Старт > Поставки > Контролен панел и кликнете двапати Мрежни врски. 2. Десен клик на Local Area Connection и изберете Properties. 3. Изберете Internet Protocol (TCP/IP) и кликнете Properties. 4. Изберете Користете ја следната IP адреса и внесете ги следните детали:
o IP адреса: 192.168.0.100 o Маска на подмрежа: 255.255.255.0 5. Ако сакате да ги задржите вашите постоечки IP поставки за оваа мрежна врска, кликнете Напредно и Додајте го горенаведеното како секундарна IP конекција.
2.1.2 Поврзување со прелистувачот
Отворете прелистувач на поврзаниот компјутер / работна станица и внесете https://192.168.0.1.
Логирај Се со:
Корисничко име> root лозинка> стандардно
8
Упатство за употреба
Првиот пат кога ќе се најавите, од вас се бара да ја смените лозинката за root. Кликнете Испрати.
За да ја завршите промената, повторно внесете ја новата лозинка. Кликнете Испрати. Се појавува екранот за добредојде.
Ако вашиот систем има мобилен модем, ќе ви бидат дадени чекорите за конфигурирање на карактеристиките на мобилниот рутер: · Конфигурирајте ја врската со мобилниот модем (Систем > страница за бирање. Видете Поглавје 4) · Дозволете проследување до мобилната одредишна мрежа (Систем > страница за заштитен ѕид. Видете Поглавје 4) · Овозможете маскирање на IP за мобилна врска (Систем > страница за заштитен ѕид. Видете Поглавје 4)
Откако ќе го завршите секој од горенаведените чекори, можете да се вратите на конфигурациската листа со кликнување на логото на Opengear во горниот лев агол на екранот. ЗАБЕЛЕШКА Ако не сте во можност да се поврзете со Управната конзола на 192.168.0.1 или ако стандардните
Корисничкото име / Лозинката не се прифаќаат, ресетирајте го серверот на конзолата (Видете Поглавје 10).
9
Поглавје 2: Конфигурација на системот
2.2 Администраторско поставување
2.2.1 Промена на стандардната системска лозинка за root Од вас се бара да ја промените лозинката за root кога за прв пат ќе се најавите на уредот. Оваа лозинка може да ја промените во секое време.
1. Кликнете Сериски и мрежа > Корисници и групи или, на екранот за добредојде, кликнете Промени стандардна административна лозинка.
2. Скролувајте надолу и лоцирајте го записот на root корисникот под Корисници и кликнете Уреди. 3. Внесете ја новата лозинка во полињата Лозинка и Потврди.
ЗАБЕЛЕШКА Проверката на Save Password преку бришење на фирмверот ја зачувува лозинката за да не се брише кога фирмверот се ресетира. Ако оваа лозинка се изгуби, уредот ќе треба да се врати на фирмверот.
4. Кликнете Примени. Најавете се со новата лозинка 2.2.2 Поставување нов администратор Создадете нов корисник со административни привилегии и најавете се како овој корисник за административни функции, наместо да користите root.
10
Упатство за употреба
1. Кликнете Сериски и мрежа > Корисници и групи. Скролувајте до дното на страницата и кликнете на копчето Додај корисник.
2. Внесете корисничко име. 3. Во делот Групи, штиклирајте го администраторското поле. 4. Внесете лозинка во полињата Лозинка и Потврди.
5. Можете исто така да додадете SSH овластени клучеви и да изберете да ја исклучите проверката на лозинката за овој корисник.
6. Дополнителни опции за овој корисник може да се постават на оваа страница, вклучувајќи Опции за бирање, пристапни домаќини, пристапни порти и пристапни RPC излези.
7. Кликнете на копчето Примени на дното на екранот за да го креирате овој нов корисник.
11
Поглавје 2: Конфигурација на системот
2.2.3 Додадете име на системот, опис на системот и MOTD. 1. Изберете Систем > Администрација. 2. Внесете име на системот и опис на системот за серверот на конзолата за да му дадете единствен ID и полесно да се идентификува. Името на системот може да содржи од 1 до 64 алфанумерички знаци, а специјалните знаци подвлекување (_), минус (-) и точка (.). Описот на системот може да содржи до 254 знаци.
3. Банерот MOTD може да се користи за прикажување на дневниот текст на корисниците. Се појавува на горниот лев агол на екранот под логото на Opengear.
4. Кликнете Примени.
12
Поглавје 2: Конфигурација на системот
5. Изберете Систем > Администрација. 6. Банерот MOTD може да се користи за прикажување на дневниот текст на корисниците. Се појавува на
горниот лев дел од екранот под логото на Opengear. 7. Кликнете Примени.
2.3 Конфигурација на мрежата
Внесете IP адреса за главниот Ethernet (LAN/Network/Network1) порта на конзолниот сервер или овозможете го неговиот DHCP клиент автоматски да добива IP адреса од DHCP сервер. Стандардно, на конзолниот сервер е овозможен неговиот DHCP клиент и автоматски ја прифаќа секоја мрежна IP адреса доделена од серверот DHCP на вашата мрежа. Во оваа почетна состојба, серверот на конзолата ќе одговори и на неговата стандардна статичка адреса 192.168.0.1 и на нејзината DHCP адреса.
1. Кликнете Систем > IP и кликнете на картичката Мрежен интерфејс. 2. Изберете или DHCP или Static за методот на конфигурација.
Ако изберете Static, внесете ги деталите за IP адресата, Маската на подмрежата, Gateway и DNS-серверот. Овој избор го оневозможува клиентот DHCP.
12
Упатство за употреба
3. LAN-портата на серверот на конзолата автоматски ја открива брзината на етернет конекцијата. Користете ја паѓачката листа Медиуми за да го заклучите етернетот на 10 Mb/s или 100Mb/s и на Full Duplex или Half Duplex.
Ако наидете на загуба на пакети или слаби перформанси на мрежата со поставката Auto, променете ги поставките за Ethernet Media на серверот на конзолата и уредот на кој е поврзан. Во повеќето случаи, сменете ги и двете во 100baseTx-FD (100 мегабити, целосно дуплекс).
4. Ако изберете DHCP, конзолниот сервер ќе бара детали за конфигурацијата од DHCP сервер. Овој избор ја оневозможува секоја статична адреса. MAC адресата на серверот на конзолата може да се најде на етикетата на основната плоча.
5. Може да внесете секундарна адреса или список на адреси разделени со запирки во ознаката CIDR, на пр. 192.168.1.1/24 како IP Alias.
6. Кликнете Примени 7. Повторно поврзете го прелистувачот на компјутерот што е поврзан со серверот на конзолата со внесување
http://your new IP address.
Ако ја промените IP адресата на серверот на конзолата, треба повторно да го конфигурирате вашиот компјутер да има IP адреса во истиот мрежен опсег како и новата адреса на серверот на конзолата. Можете да го поставите MTU на етернет интерфејси. Ова е напредна опција што ќе се користи ако вашето сценарио за распоредување не работи со стандардната MTU од 1500 бајти. За да го поставите MTU, кликнете Систем > IP и кликнете на јазичето Мрежен интерфејс. Скролувајте надолу до полето MTU и внесете ја саканата вредност. Валидни вредности се од 1280 до 1500 за 100-мегабитни интерфејси и 1280 до 9100 за гигабитни интерфејси Ако е конфигурирано премостување или поврзување, MTU поставеното на страницата Мрежен интерфејс ќе се постави на интерфејсите што се дел од мостот или врската . ЗАБЕЛЕШКА Во некои случаи, корисникот наведен MTU може да не стапи на сила. Некои NIC драјвери може да ги заокружат преголемите MTU до максималната дозволена вредност, а други ќе вратат код за грешка. Можете исто така да користите команда CLI за управување со MTU Size: конфигурирање
# config -s config.interfaces.wan.mtu=1380 проверка
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider нема config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wande.ipv6. .интерфејси.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13
Поглавје 2: Конфигурација на системот
2.3.1 Конфигурација IPv6 Етернет интерфејсите на серверот на конзолата стандардно поддржуваат IPv4. Тие можат да се конфигурираат за работа со IPv6:
1. Кликнете Систем > IP. Кликнете на јазичето Општи поставки и проверете Овозможи IPv6. Ако сакате, кликнете на полето за избор Оневозможи IPv6 за мобилен.
2. Конфигурирајте ги параметрите IPv6 на секоја страница на интерфејсот. IPv6 може да се конфигурира за автоматски режим, кој ќе користи SLAAC или DHCPv6 за конфигурирање адреси, маршрути и DNS, или Статички режим, кој овозможува рачно внесување на информациите за адресата.
2.3.2 Конфигурација на динамичен DNS (DDNS) Со Dynamic DNS (DDNS), конзолен сервер чија IP адреса е динамички доделена може да се лоцира со помош на фиксен хост или име на домен. Креирајте сметка со поддржаниот давател на услуги DDNS по ваш избор. Кога ја поставувате вашата DDNS сметка, избирате корисничко име, лозинка и име на домаќин што ќе ги користите како име на DNS. Давателите на услуги DDNS ви дозволуваат да изберете име на домаќин URL и поставете почетна IP адреса да одговара на тоа име на домаќинот URL.
14
Упатство за употреба
За да овозможите и конфигурирате DDNS на која било од етернет или мобилната мрежа конекции на серверот на конзолата. 1. Кликнете Систем > IP и скролувајте надолу во делот Dynamic DNS. Изберете го вашиот давател на услуги DDNS
од паѓачката листа Dynamic DNS. Можете исто така да ги поставите информациите за DDNS под картичката Мобилен модем под Систем > Бирање.
2. Во DDNS Hostname, внесете го целосно квалификуваното име на DNS-домаќин за вашиот конзолен сервер, на пр. yourhostname.dyndns.org.
3. Внесете ги корисничкото име на DDNS и лозинката за DDNS за сметката на давателот на услугата DDNS. 4. Наведете го Максималниот интервал помеѓу ажурирањата во денови. Ќе се испрати ажурирање на DDNS дури и ако
адресата не е променета. 5. Наведете го минималниот интервал помеѓу проверките за променети адреси во секунди. Ажурирањата ќе
да се испрати ако адресата е променета. 6. Наведете ги Максималните обиди по ажурирање што е бројот на пати за обид за ажурирање
пред да се откажете. Стандардно ова е 3. 7. Кликнете Примени.
15
Поглавје 2: Конфигурација на системот
2.3.3 EAPoL режим за WAN, LAN и OOBFO
(OOBFO е применливо само за IM7216-2-24E-DAC)
Во текот наview на EAPoL IEEE 802.1X, или PNAC (Мрежна контрола на пристап базирана на пристаниште) ги користи карактеристиките на физичкиот пристап на IEEE 802 LAN инфраструктурите со цел да обезбеди средства за автентикација и овластување уреди прикачени на LAN порта што има точка-до- карактеристики на поврзување на точката и спречување пристап до таа порта во случаи кога автентикацијата и овластувањето не успеат. Пристаништето во овој контекст е единствена точка на прикачување на LAN инфраструктурата.
Кога нов безжичен или жичен јазол (WN) бара пристап до LAN ресурс, пристапната точка (AP) бара идентитет на WN. Ниту еден друг сообраќај освен EAP не е дозволен пред да се автентицира WN („портата“ е затворена или „неавтентицирана“). Безжичниот јазол што бара автентикација често се нарекува Supplicant. Истото важи и за пристапната точка; Authenticator не е пристапна точка. Наместо тоа, пристапната точка содржи Authenticator. Authenticator не треба да биде во пристапната точка; може да биде надворешна компонента. Следниве методи за автентикација се имплементирани:
· EAP-MD5 supplicant o Методот EAP MD5-Challenge користи обично корисничко име/лозинка
· EAP-PEAP-MD5 o EAP PEAP (Заштитен EAP) Методот за автентикација MD5 користи кориснички акредитиви и CA сертификат
· EAP-TLS o EAP TLS (Безбедност на транспортниот слој) методот за автентикација бара CA сертификат, сертификат за клиент и приватен клуч.
Протоколот EAP, кој се користи за автентикација, првично се користеше за PPP за dial-up. Идентитетот беше корисничкото име, а за проверка на лозинката на корисникот се користеше или PAP или CHAP автентикација. Бидејќи идентитетот се испраќа јасно (не е шифриран), злонамерен трагач може да го дознае идентитетот на корисникот. Затоа се користи „Криење на идентитетот“; вистинскиот идентитет не се испраќа пред да биде отворен шифрираниот TLS тунел.
16
Упатство за употреба
Откако ќе се испрати идентитетот, започнува процесот на автентикација. Протоколот што се користи помеѓу Подносителот и Автентикаторот е EAP, (или EAPoL). Authenticator ги ре-капсулира EAP пораките во формат RADIUS и ги пренесува на серверот за автентикација. За време на автентикацијата, Authenticator ги пренесува пакетите помеѓу Подносителот на барањето и Серверот за автентикација. Кога ќе заврши процесот на автентикација, серверот за автентикација испраќа успешна порака (или неуспех, ако автентикацијата не успеа). Автентикаторот потоа ја отвора „портата“ за Подносителот. Може да се пристапи до поставките за автентикација од страницата за поставки на EAPoL Supplicant. Статусот на тековниот EAPoL се прикажува детално на страницата Статистика за статус на јазичето EAPoL:
Апстракција на EAPoL на мрежните ROLE се прикажува во делот „Менаџер за врски“ на интерфејсот на контролната табла.
17
Поглавје 2: Конфигурација на системот
Подолу е прикажан ексampза успешна автентикација:
Поддршка за IEEE 802.1x (EAPOL) на портите на прекинувачот на IM7216-2-24E-DAC и ACM7004-5: за да се избегнат јамки, корисниците не треба да приклучуваат повеќе од една порта за прекинувач на истиот прекинувач на горното ниво.
18
Упатство за употреба
2.4 Пристап до услуга и заштита од брутална сила
Администраторот може да пристапи до серверот на конзолата и поврзаните сериски порти и управуваните уреди користејќи голем број протоколи/услуги за пристап. За секој пристап
· Услугата мора прво да биде конфигурирана и овозможена да работи на серверот на конзолата. · Пристапот преку заштитниот ѕид мора да биде овозможен за секоја мрежна врска. За да овозможите и конфигурирате услуга: 1. Кликнете Систем > Услуги и кликнете на картичката Поставки за услуги.
2. Овозможете и конфигурирајте основни услуги:
HTTP
Стандардно, услугата HTTP работи и не може целосно да се оневозможи. Стандардно, HTTP пристапот е оневозможен на сите интерфејси. Препорачуваме овој пристап да остане оневозможен ако до серверот на конзолата се пристапува од далечина преку Интернет.
Алтернативниот HTTP ви овозможува да конфигурирате алтернативна HTTP порта за слушање. Услугата HTTP ќе продолжи да слуша на TCP портата 80 за CMS и конекторските комуникации, но ќе биде недостапна преку заштитниот ѕид.
HTTPS
Стандардно, услугата HTTPS работи и е овозможена на сите мрежни интерфејси. Се препорачува да се користи само HTTPS пристап доколку со конзолниот сервер треба да се управува преку која било јавна мрежа. Ова осигурува дека администраторите имаат безбеден пристап на прелистувачот до сите менија на серверот на конзолата. Исто така, им овозможува на соодветно конфигурираните корисници безбеден пристап на прелистувачот до избраните менија Управување.
Услугата HTTPS може да се оневозможи или повторно да се вклучи со проверка на HTTPS Web Наведено е управување и алтернативна порта (стандардната порта е 443).
Телнет
Стандардно, услугата Телнет работи, но е оневозможена на сите мрежни интерфејси.
Телнет може да се користи за да се даде пристап на администраторот до школка на системската командна линија. Оваа услуга може да биде корисна за локалниот администратор и пристапот на корисникот до избраните сериски конзоли. Препорачуваме да ја оневозможите оваа услуга ако серверот на конзолата се администрира од далечина.
Полето за избор на командната школка Овозможи Телнет ќе ја овозможи или оневозможи услугата Телнет. Алтернативна порта Телнет за слушање може да се одреди во Алтернативна порта Телнет (стандардната порта е 23).
17
Поглавје 2: Конфигурација на системот
SSH
Оваа услуга обезбедува безбеден SSH пристап до серверот на конзолата и прикачените уреди
и стандардно услугата SSH работи и е овозможена на сите интерфејси. Е
Ви препорачуваме да изберете SSH како протокол со кој се поврзува администраторот
серверот на конзолата преку Интернет или која било друга јавна мрежа. Ова ќе обезбеди
автентицирани комуникации помеѓу клиентската програма SSH на далечинскиот управувач
компјутерот и SSH-серверот во конзолниот сервер. За повеќе информации за SSH
конфигурација Видете Поглавје 8 – Автентикација.
Полето за избор Овозможи SSH командна школка ќе ја овозможи или оневозможи оваа услуга. Алтернативна SSH порта за слушање може да се одреди во SSH портата на командната школка (стандардната порта е 22).
3. Овозможете и конфигурирајте други услуги:
TFTP/FTP Доколку се открие USB флеш-картичка или внатрешен блиц на конзолен сервер, штиклирањето Овозможи услуга TFTP (FTP) ја овозможува оваа услуга и поставува стандардни tftp и ftp сервер на USB блицот. Овие сервери се користат за складирање на конфигурации files, одржувајте дневници за пристап и трансакции итн. FileПрефрлените со tftp и ftp ќе се складираат под /var/mnt/storage.usb/tftpboot/ (или /var/mnt/storage.nvlog/tftpboot/ на уредите од ACM7000series). Отштиклирањето Овозможи TFTP (FTP) услуга ќе ја оневозможи услугата TFTP (FTP).
Проверка на DNS-релеј Овозможи DNS-сервер/реле ја овозможува функцијата за реле DNS, така што клиентите може да се конфигурираат со IP-а на конзолниот сервер за нивните поставки за DNS-сервер, а серверот на конзолата ќе ги проследи DNS-прашањата до вистинскиот DNS-сервер.
Web Овозможи проверка на терминал Web Терминалот дозволува web пристап до прелистувачот до школка на системската командна линија преку Управување > Терминал.
4. Наведете алтернативни броеви на порти за Raw TCP, директен Telnet/SSH и неавтентицирани Telnet/SSH услуги. Серверот на конзолата користи специфични опсези за TCP/IP портите за различниот пристап
услуги што корисниците можат да ги користат за пристап до уредите прикачени на сериски порти (како што е опфатено во Поглавје 3 Конфигурирајте сериски порти). Администраторот може да постави алтернативни опсези за овие услуги и овие секундарни порти ќе се користат како додаток на стандардните.
Стандардната адреса на основната TCP/IP порта за пристап до Телнет е 2000, а опсегот за Телнет е IP адреса: Порт (2000 + сериска порта #) т.е. 2001 2048. Ако администраторот постави 8000 како секундарна база за Телнет, сериски портата #2 на серверот на конзолата може да се пристапи до Телнет преку IP
Адреса:2002 и на IP адреса:8002. Стандардната база за SSH е 3000; за Raw TCP е 4000; а за RFC2217 е 5000
5. Другите услуги може да се овозможат и конфигурираат од ова мени со избирање Кликнете овде за да конфигурирате:
Нагиос пристап до демони за следење на Nagios NRPE
ОРЕВ
Пристап до NUT UPS-от мониторинг демон
SNMP Овозможува snmp во серверот на конзолата. SNMP е стандардно оневозможен
NTP
6. Кликнете Примени. Се појавува порака за потврда: Порака Промените на конфигурацијата успеаја
Поставките за пристап до услуги може да се постават да дозволуваат или блокираат пристап. Ова одредува кои овозможени услуги администраторите можат да ги користат преку секој мрежен интерфејс за да се поврзат со серверот на конзолата и преку серверот на конзолата со приложените сериски и мрежни уреди поврзани.
18
Упатство за употреба
1. Изберете го јазичето Пристап до услуги на страницата Систем > Услуги.
2. Ова ги прикажува овозможените услуги за мрежните интерфејси на серверот на конзолата. Во зависност од конкретниот модел на серверот на конзолата, прикажаните интерфејси може да вклучуваат: · Мрежен интерфејс (за главната етернет конекција) · Управување со LAN / OOB Failover (втора етернет конекција) · Dialout /Cellular (V90 и 3G модем) · Dial-in (внатрешна или надворешен V90 модем) · VPN (IPsec или Отворена VPN врска преку кој било мрежен интерфејс)
3. Проверете/отштиклирајте за секоја мрежа која услуга пристап треба да биде овозможена/оневозможена.tagд. Ова му овозможува на серверот на конзолата да одговори на дојдовните барања за ехо ICMP. Пингот е стандардно овозможен. За зголемена безбедност, треба да ја оневозможите оваа услуга кога ќе ја завршите почетната конфигурација Можете да дозволите пристап до уредите со сериски порти од номинирани мрежни интерфејси користејќи Raw TCP, директен Telnet/SSH, неавтентицирани Telnet/SSH услуги итн.
4. Кликнете Примени Web Поставки за управување Полето за избор Овозможи HSTS овозможува строга HTTP строга безбедност на транспортот. Режимот HSTS значи дека заглавието на StrictTransport-Security треба да се испрати преку транспортот на HTTPS. Усогласен web прелистувачот се сеќава на ова заглавие и кога ќе биде побарано да контактира со истиот домаќин преку HTTP (обичен) тој автоматски ќе се префрли на
19
Поглавје 2: Конфигурација на системот
HTTPS пред да се обиде HTTP, се додека прелистувачот еднаш пристапил до безбедната локација и го видел заглавието STS.
Заштита од брутална сила Заштитата со брутална сила (Micro Fail2ban) привремено ги блокира изворните IP-адреси кои покажуваат малициозни знаци, како што се премногу неуспеси на лозинка. Ова може да помогне кога мрежните услуги на уредот се изложени на недоверлива мрежа како што е јавниот WAN и скриптираните напади или софтверските црви се обидуваат да ги погодат (брутална сила) корисничките ингеренции и да добијат неовластен пристап.
За наведените услуги може да биде овозможена заштита од брутална сила. Стандардно, штом заштитата е овозможена, 3 или повеќе неуспешни обиди за поврзување во рок од 60 секунди од специфичен извор ИП предизвикуваат забрана за поврзување за временски период што може да се конфигурира. Ограничувањето на обидот и истекувањето на забраната може да се приспособат. Активните забрани се исто така наведени и може да се освежат со повторно вчитување на страницата.
ЗАБЕЛЕШКА
Кога работите на недоверлива мрежа, размислете за користење на различни стратегии кои се користат за да се заклучи далечинскиот пристап. Ова вклучува проверка на јавниот клуч на SSH, VPN и правила за заштитен ѕид
список со дозволи далечински пристап само од мрежи со доверливи извори. Погледнете ја Базата на знаење Opengear за детали.
2.5 Софтвер за комуникации
Ги конфигуриравте пристапните протоколи за администраторски клиент да ги користи при поврзување со серверот на конзолата. Корисничките клиенти, исто така, ги користат овие протоколи кога пристапуваат до уреди поврзани со сериски сервер на конзолата и мрежни прикачени хостови. Ви требаат комуникациски софтверски алатки поставени на компјутерот на администраторот и корисничкиот клиент. За да се поврзете, можете да користите алатки како што се PuTTY и SSHTerm.
20
Упатство за употреба
Комерцијално достапните конектори го спојуваат доверливиот протокол за тунелирање SSH со популарните алатки за пристап како што се Telnet, SSH, HTTP, HTTPS, VNC, RDP за да обезбедат безбеден пристап за далечинско управување со точка-и-клик до сите системи и уреди што се управуваат. Информациите за користење на конектори за пристап до прелистувачот до Управната конзола на серверот на конзолата, пристапот Телнет/SSH до командната линија на серверот на конзолата и поврзувањето TCP/UDP со хостови кои се мрежно поврзани со серверот на конзолата може да се најдат во Поглавје 5. Конектори може да се инсталиран на компјутери со Windows, Mac OS X и на повеќето системи Linux, UNIX и Solaris.
2.6 Управување со мрежна конфигурација
Серверите на конзолата имаат дополнителни мрежни порти кои можат да се конфигурираат да обезбедуваат пристап до LAN за управување и/или пристап до неуспешно или надвор од опсегот. 2.6.1 Овозможи Управување со LAN конзола Серверите може да се конфигурираат така што втората етернет порта обезбедува порта за управување со LAN. Портата има карактеристики на заштитен ѕид, рутер и DHCP сервер. Треба да поврзете надворешен LAN прекинувач на Мрежа 2 за да прикачите домаќини на оваа управувачка LAN:
ЗАБЕЛЕШКА Втората етернет порта може да се конфигурира или како порта за управување со LAN порта или како порта OOB/Failover. Осигурете се дека не сте доделиле NET2 како интерфејс за прекинување кога сте ја конфигурирале главната мрежна врска во менито System > IP.
21
Поглавје 2: Конфигурација на системот
За да го конфигурирате портата за управување со LAN: 1. Изберете го табот Управувачки LAN интерфејс во менито System > IP и отштиклирајте го Disable. 2. Конфигурирајте ја IP адресата и маската на подмрежата за LAN за управување. Оставете ги DNS полињата празни. 3. Кликнете Примени.
Функцијата на порталот за управување е овозможена со конфигурирани стандардни правила за заштитен ѕид и рутер, така што LAN-от за управување е достапен само со препраќање на SSH порта. Ова осигурува дека далечинските и локалните врски со Управуваните уреди на LAN-от за управување се безбедни. LAN-портите исто така може да се конфигурираат во премостен или поврзан режим или рачно да се конфигурираат од командната линија. 2.6.2 Конфигурирање на DHCP-серверот DHCP-серверот овозможува автоматска дистрибуција на IP-адреси на уредите на LAN-от за управување што користат DHCP-клиенти. За да го овозможите серверот DHCP:
1. Кликнете Систем > DHCP сервер. 2. На картичката Мрежен интерфејс, проверете Овозможи DHCP сервер.
22
Упатство за употреба
3. Внесете ја адресата на Gateway што треба да им се издаде на клиентите на DHCP. Ако ова поле се остави празно, се користи IP адресата на серверот на конзолата.
4. Внесете ги примарните DNS и секундарните DNS адреса за издавање на клиентите DHCP. Ако ова поле се остави празно, се користи IP адресата на серверот на конзолата.
5. Изборно внесете наставка за име на домен за издавање на клиенти DHCP. 6. Внесете го стандардното време на закуп и максималното време на закуп во секунди. Ова е количината на време
дека динамички доделената IP адреса е валидна пред клиентот да мора повторно да ја побара. 7. Кликнете Примени Серверот DHCP издава IP адреси од наведените базени на адреси: 1. Кликнете Додај во полето Динамички базени за доделување адреси. 2. Внесете ја почетната адреса и крајната адреса на DHCP Pool. 3. Кликнете Примени.
23
Поглавје 2: Конфигурација на системот
DHCP серверот, исто така, поддржува претходно доделување на IP адреси кои треба да се распределат на одредени MAC адреси и резервирање на IP адреси што ќе ги користат поврзаните домаќини со фиксни IP адреси. За да резервирате IP адреса за одреден домаќин:
1. Кликнете Додај во полето Резервирани адреси. 2. Внесете го името на домаќинот, хардверската адреса (MAC) и статички резервираната IP адреса за
клиентот DHCP и кликнете Примени.
Кога DHCP доделил адреси на хостови, се препорачува да ги копирате во претходно доделената листа за да се прераспредели истата IP адреса во случај на рестартирање.
24
Упатство за употреба
2.6.3 Изберете Failover или широкопојасен OOB Console сервери обезбедуваат опција за поништување, така што во случај на проблем со користење на главната LAN конекција за пристап до конзолниот сервер се користи алтернативна пристапна патека. За да овозможите неуспех:
1. Изберете ја страницата Network Interface во менито System > IP 2. Изберете Failover Interface што ќе се користи во случај на outage на главната мрежа.
3. Кликнете Примени. Неуспехот станува активен откако ќе ги наведете надворешните страници што треба да се испитаат за активирање на неуспехот и ќе ги поставите портите за повлекување.
2.6.4 Агрегирање на мрежните порти Стандардно, до мрежните порти за управување со LAN на конзолниот сервер може да се пристапи со користење на SSH тунелирање /препраќање порти или со воспоставување IPsec VPN тунел до серверот на конзолата. Сите жичени мрежни порти на серверите на конзолата може да се агрегираат со премостување или поврзување.
25
Упатство за употреба
· Стандардно, Агрегирањето на интерфејсот е оневозможено во менито Систем > ИП > Општи поставки · Изберете Интерфејси за мост или Интерфејси за поврзување
o Кога е овозможено премостувањето, мрежниот сообраќај се препраќа низ сите порти за етернет без ограничувања на заштитен ѕид. Сите етернет порти се транспарентно поврзани на слојот за податочна врска (слој 2), така што тие ги задржуваат своите единствени MAC адреси
o Со поврзување, мрежниот сообраќај се пренесува помеѓу портите, но присутен со една MAC адреса
Двата режими ги отстрануваат сите функции за LAN интерфејс за управување и интерфејс надвор од опсегот/површина и го оневозможуваат серверот DHCP · Во режим на собирање, сите етернет порти се колективно конфигурирани со помош на менито Мрежен интерфејс
25
Поглавје 2: Конфигурација на системот
2.6.5 Статични правци Статичните правци обезбедуваат многу брз начин за насочување на податоците од една подмрежа до различна подмрежа. Можете да хардкодирате патека што му кажува на конзолниот сервер/рутер да стигне до одредена подмрежа користејќи одредена патека. Ова може да биде корисно за пристап до различни подмрежи на оддалечена локација кога се користи мобилната OOB конекција.
За да додадете на статичната маршрута до табелата на маршрути на системот:
1. Изберете го табот Поставки за маршрута во менито System > IP General Settings.
2. Кликнете Нова рута
3. Внесете име на рута за маршрутата.
4. Во полето Дестинација/домаќин, внесете ја IP адресата на одредишната мрежа/домаќин до која рутата обезбедува пристап.
5. Внесете вредност во полето Destination netmask што ја идентификува одредишната мрежа или домаќин. Било кој број помеѓу 0 и 32. Маската на подмрежата од 32 ја идентификува маршрутата на домаќинот.
6. Внесете Route Gateway со IP адресата на рутерот што ќе ги насочува пакетите до одредишната мрежа. Ова може да се остави празно.
7. Изберете го интерфејсот што ќе го користите за да стигнете до дестинацијата, може да се остави како Нема.
8. Внесете вредност во полето Metric што ја претставува метриката на оваа врска. Користете кој било број еднаков или поголем од 0. Ова треба да се постави само ако две или повеќе правци се во конфликт или имаат преклопувачки цели.
9. Кликнете Примени.
ЗАБЕЛЕШКА
Страницата со детали за маршрутата обезбедува листа на мрежни интерфејси и модеми на кои може да се врзува маршрутата. Во случај на модем, маршрутата ќе биде прикачена на која било сесија за телефонирање воспоставена преку тој уред. Маршрутата може да се одреди со порта, интерфејс или и двете. Ако наведениот интерфејс не е активен, маршрутите конфигурирани за тој интерфејс нема да бидат активни.
26
Упатство за употреба 3. СЕРИСКИ ПРИКЛУЧОК, ХОСТ, УРЕД И КОНФИГУРАЦИЈА НА КОРИСНИК
Серверот на конзолата овозможува пристап и контрола на сериски прикачени уреди и уреди поврзани со мрежа (домаќини). Администраторот мора да ги конфигурира привилегиите за пристап за секој од овие уреди и да ги одреди услугите што може да се користат за контрола на уредите. Администраторот исто така може да постави нови корисници и да ги одреди индивидуалните привилегии за пристап и контрола на секој корисник.
Ова поглавје го опфаќа секој од чекорите за конфигурирање на уреди поврзани со мрежа и сериски приклучени: · Сериски приклучоци за поставување протоколи користени сериски поврзани уреди · Корисници и групи поставуваат корисници и дефинираат дозволи за пристап за секој од овие корисници · Автентикација ова е опфатено во повеќе детали во Поглавје 8 · Мрежни домаќини конфигурираат пристап до компјутери или уреди поврзани со локална мрежа (домаќини) · Конфигурирање доверливи мрежи - номинирајте IP адреси од кои пристапуваат доверливите корисници · Каскадирање и пренасочување на портите на сериската конзола · Поврзување на струја (UPS, PDU и IPMI) и уреди за следење на животната средина (EMD) · Пренасочување на сериската порта со користење на PortShare прозорците и клиентите на Linux · Управувани уреди - претставува консолидирана view од сите конекции · IPSec овозможува VPN конекција · OpenVPN · PPTP
3.1 Конфигурирајте сериски порти
Првиот чекор во конфигурирањето на сериската порта е да ги поставите Заедничките поставки како што се протоколите и параметрите RS232 кои треба да се користат за дата конекција со таа порта (на пр. брзина на бауд). Изберете во кој режим ќе работи пристаништето. Секоја порта може да се постави да поддржува еден од овие режими на работа:
· Оневозможениот режим е стандарден, сериската порта е неактивна
27
Поглавје 3:
Сериска порта, домаќин, уред и корисничка конфигурација
· Режимот на серверот на конзолата овозможува општ пристап до пристаништето за сериска конзола на сериски прикачените уреди
· Режимот на уред ја поставува сериската порта за да комуницира со интелигентен сериски контролиран PDU, UPS или уреди за монитор на животната средина (EMD)
· Режимот на терминален сервер ја поставува сериската порта да чека сесија за најава на дојдовен терминал · Режимот Сериски мост овозможува транспарентно поврзување на два уреди со сериски порти преку
мрежа.
1. Изберете Serial & Network > Serial Port за да се прикажат деталите за сериската порта 2. Стандардно, секоја сериска порта е поставена во режим на сервер на конзола. Кликнете Уреди веднаш до пристаништето за да биде
реконфигуриран. Или кликнете Уреди повеќе порти и изберете кои порти сакате да ги конфигурирате како група. 3. Кога повторно ќе ги конфигурирате заедничките поставки и режимот за секоја порта, поставете кој било далечински системски дневник (видете ги следните делови за конкретни информации). Кликнете Примени 4. Ако серверот на конзолата е конфигуриран со овозможено дистрибуирано следење Nagios, користете ги опциите Nagios Settings за да овозможите да се следат номинираните услуги на домаќинот. пристаниште. Тие се независни од режимот во кој се користи пристаништето. Овие параметри на сериската порта мора да бидат поставени така што тие се совпаѓаат со параметрите на сериската порта на уредот што го прикачувате на таа порта:
28
Упатство за употреба
· Внесете ознака за пристаништето · Изберете ја соодветната Baud Rate, Parity, Data Bits, Stop Bits и Flow Control за секоја порта
· Поставете го приклучокот за пристаниште. Оваа ставка од менито се појавува за портите IM7200 каде што пин-аут за секоја сериска порта RJ45 може да се постави како X2 (Cisco Straight) или X1 (Cisco Rolled)
· Поставете го режимот DTR. Ова ви овозможува да изберете дали DTR секогаш е наведен или само кога има активна корисничка сесија
· Пред да продолжите со понатамошната конфигурација на сериските порти, треба да ги поврзете портите со сериските уреди што ќе ги контролираат и да се осигурате дека имаат соодветни поставки
3.1.2
Режим на сервер на конзола
Изберете режим на сервер на конзола за да овозможите пристап за далечинско управување до сериската конзола што е прикачена на оваа сериска порта:
Ниво на евиденција Ова го одредува нивото на информации што треба да се евидентираат и следат.
29
Поглавје 3: Сериска порта, домаќин, уред и корисничка конфигурација
Ниво 0: Оневозможи евиденција (стандардно)
Ниво 1: Најави LOGIN, LOGOUT и SIGNAL настани
Ниво 2: Најави LOGIN, LOGOUT, SIGNAL, TXDATA и RXDATA настани
Ниво 3: Најави LOGIN, LOGOUT, SIGNAL и RXDATA настани
Ниво 4: Најави LOGIN, LOGOUT, SIGNAL и TXDATA настани
Влез/RXDATA е податок што го прима Opengear уредот од поврзаниот сериски уред, а излезот/TXDATA се податоци испратени од Opengear уредот (на пр. внесени од корисникот) до поврзаниот сериски уред.
Конзолите на уредот обично ги повторуваат знаците наназад додека се пишуваат, така што TXDATA напишана од корисникот последователно се прима како RXDATA, прикажана на нивниот терминал.
ЗАБЕЛЕШКА: Откако ќе побара лозинка, поврзаниот уред испраќа * знаци за да спречи прикажување на лозинката.
Телнет Кога услугата Телнет е овозможена на конзолниот сервер, клиентот Телнет на компјутерот на корисникот може да се поврзе со сериски уред прикачен на оваа сериска порта на серверот на конзолата. Бидејќи Телнет комуникациите се нешифрирани, овој протокол се препорачува само за локални или VPN тунелирани врски.
Ако далечинските комуникации се тунелираат со конектор, Telnet може да се користи за безбеден пристап до овие прикачени уреди.
ЗАБЕЛЕШКА
Во режимот на конзолен сервер, корисниците можат да користат конектор за да постават безбедни Телнет врски што се тунелирани SSH од нивните клиентски компјутери до сериската порта на серверот на конзолата. Конектори може да се инсталираат на компјутери со Windows и на повеќето платформи Линукс и тоа овозможува да се изберат безбедни Телнет врски со точка-и-клик.
За да користите приклучок за пристап до конзолите на сериските порти на серверот на конзолата, конфигурирајте го конекторот со серверот на конзолата како порта и како домаќин и овозможете Телнет услуга на Порт (2000 + сериска порта #) т.е. 2001.
Можете исто така да користите стандардни комуникациски пакети како PuTTY за да поставите директна Телнет или SSH врска со сериските порти.
ЗАБЕЛЕШКА Во режимот на сервер на конзола, кога се поврзувате со сериска порта се поврзувате преку pmshell. За да генерирате BREAK на сериската порта, напишете ја секвенцата на знаци ~b. Ако го правите ова преку OpenSSH, напишете ~~b.
SSH
Се препорачува да користите SSH како протокол кога корисниците се поврзуваат со серверот на конзолата
(или поврзете се преку серверот на конзолата со приложените сериски конзоли) преку Интернет или било кој
друга јавна мрежа.
За SSH пристап до конзолите на уредите прикачени на сериските порти на серверот на конзолата, можете да користите конектор. Конфигурирајте го приклучокот со конзолниот сервер како порта и како домаќин и овозможете SSH услуга на Порт (3000 + сериска порта #) т.е. 3001-3048.
Можете исто така да користите вообичаени комуникациски пакети, како PuTTY или SSHTerm за да се поврзете SSH на адресата на пристаништето IP адреса _ Порт (3000 + сериска порта #) т.е. 3001
SSH врските може да се конфигурираат со користење на стандардната SSH порта 22. Сериската порта до која се пристапува се идентификува со додавање дескриптор на корисничкото име. Оваа синтакса поддржува:
:
:
30
Упатство за употреба
: : За корисникот со име chris да пристапи до сериската порта 2, при поставување на SSHTerm или PuTTY SSH клиентот, наместо да пишувате корисничко име = chris и ssh port = 3002, алтернативната е да напишете корисничко име = chris:port02 (или корисничко име = chris: ttyS1) и ssh port = 22. Или со внесување username=chris:serial и ssh port = 22, на корисникот му се прикажува опција за избор на порта:
Оваа синтакса им овозможува на корисниците да постават SSH тунели до сите сериски порти со единствена IP порта 22 што треба да се отвори во нивниот заштитен ѕид/порта
ЗАБЕЛЕШКА Во режимот на конзолен сервер, се поврзувате со сериска порта преку pmshell. За да генерирате BREAK на сериската порта, напишете ја секвенцата на знаци ~b. Ако го правите ова преку OpenSSH, напишете ~~b.
TCP
RAW TCP дозволува поврзување со TCP приклучок. Додека програмите за комуникација како PuTTY
исто така поддржува RAW TCP, овој протокол обично се користи од прилагодена апликација
За RAW TCP, стандардната адреса на порта е IP адреса _ Порт (4000 + сериска порта #) т.е. 4001 4048
RAW TCP, исто така, овозможува сериската порта да се тунелира до далечинскиот конзолен сервер, така што два уреди со сериски порти можат транспарентно да се поврзуваат преку мрежа (види Поглавје 3.1.6 Сериско премостување)
RFC2217 Избирањето на RFC2217 овозможува пренасочување на сериската порта на таа порта. За RFC2217, стандардната адреса на порта е IP адреса _ Порт (5000 + сериска порта #) т.е. 5001 5048
Специјален клиентски софтвер е достапен за Windows UNIX и Linux што поддржува RFC2217 виртуелни ком-порти, така што далечинскиот домаќин може да следи и управува со далечински сериски прикачени уреди како да се поврзани со локалната сериска порта (видете Поглавје 3.6 Пренасочување на сериската порта за детали)
RFC2217, исто така, овозможува сериската порта да се тунелира до далечински сервер за конзола, така што два уреди со сериски порти можат транспарентно да се поврзуваат преку мрежа (види Поглавје 3.1.6 Сериско премостување)
Неавтентициран Телнет Ова овозможува пристап до Телнет до сериската порта без акредитиви за автентикација. Кога корисникот пристапува до серверот на конзолата до Telnet до сериска порта, му се дава барање за најава. Со неавтентициран Телнет, тие се поврзуваат директно преку пристаништето без никаков предизвик за најавување на серверот на конзолата. Ако клиентот на Телнет побара автентикација, сите внесени податоци дозволуваат поврзување.
31
Поглавје 3: Сериска порта, домаќин, уред и корисничка конфигурација
Овој режим се користи со надворешен систем (како што е конзерватор) кој управува со автентикација на корисникот и привилегии за пристап на ниво на сериски уред.
Најавувањето на уред поврзан со серверот на конзолата може да бара автентикација.
За неавтентициран Телнет стандардната адреса на порта е IP адреса _ Порт (6000 + сериска порта #) т.е. 6001 6048
Неавтентициран SSH Ова овозможува SSH пристап до сериската порта без акредитиви за автентикација. Кога корисникот пристапува до серверот на конзолата до Telnet до сериска порта, му се дава барање за најава. Со неавтентициран SSH тие се поврзуваат директно преку пристаништето без никаков предизвик за најавување на серверот на конзолата.
Овој режим се користи кога имате друг систем кој управува со корисничка автентикација и привилегии за пристап на ниво на сериски уред, но сакате да ја шифрирате сесијата низ мрежата.
Најавувањето на уред поврзан со серверот на конзолата може да бара автентикација.
За неавтентициран Телнет стандардната адреса на порта е IP адреса _ Порт (7000 + сериска порта #) т.е. 7001 7048
На : методот за пристап до пристаништето (како што е опишано во горниот дел SSH) секогаш бара автентикација.
Web Терминал Ова овозможува web пристап на прелистувачот до сериската порта преку Управување > Уреди: Сериски со користење на вградената конзола за управување во терминалот AJAX. Web Терминалот се поврзува како тековно автентициран корисник на Конзолата за управување и не се автентицира повторно. Видете дел 12.3 за повеќе детали.
IP алијас
Овозможете пристап до сериската порта користејќи одредена IP адреса, наведена во CIDR формат. На секоја сериска порта може да му се доделат еден или повеќе IP псевдоними, конфигурирани на основа на мрежен интерфејс. Сериска порта може, на прampле, да биде достапен и на 192.168.0.148 (како дел од внатрешната мрежа) и на 10.10.10.148 (како дел од LAN за управување). Исто така, можно е да се направи сериска порта достапна на две IP адреси на истата мрежа (на прample, 192.168.0.148 и 192.168.0.248).
Овие IP адреси може да се користат само за пристап до специфичната сериска порта, достапна со користење на стандардните броеви на протоколот TCP порти на услугите на серверот на конзолата. За прample, SSH на сериската порта 3 би бил достапен на портата 22 на серискиот порт алијас IP (додека на примарната адреса на серверот на конзолата е достапна на портата 2003).
Оваа функција може да се конфигурира и преку страницата за уредување на повеќе порти. Во овој случај, IP-адресите се применуваат последователно, при што првата избрана порта добива IP внесена и следните се зголемуваат, при што броевите се прескокнуваат за сите неизбрани порти. За прample, ако се избрани портите 2, 3 и 5 и се внесе IP алијас 10.0.0.1/24 за мрежниот интерфејс, се доделуваат следните адреси:
Порт 2: 10.0.0.1/24
Порт 3: 10.0.0.2/24
Порт 5: 10.0.0.4/24
ИП псевдонимите поддржуваат и IPv6 алијас адреси. Единствената разлика е во тоа што адресите се хексадецимални броеви, така што портата 10 може да одговара на адреса што завршува на A, а 11 на онаа што завршува на B, наместо 10 или 11 според IPv4.
32
Упатство за употреба
Шифрирајте го сообраќајот / автентикација Овозможете тривијално шифрирање и автентикација на сериските комуникации RFC2217 користејќи Portshare (за силна шифрирање користете VPN).
Период на акумулација Откако ќе се воспостави врска за одредена сериска порта (како што е пренасочување RFC2217 или Телнет врска со оддалечен компјутер), сите дојдовни знаци на таа порта се препраќаат преку мрежата врз основа на знак по знак. Периодот на акумулација одредува временски период во кој дојдовните знаци се собираат пред да бидат испратени како пакет преку мрежата
Escape Character Променете го знакот што се користи за испраќање знаци за бегство. Стандардно е ~. Замени Backspace Да се замени стандардната вредност на backspace на CTRL+? (127) со CTRL+h (8). Мени за напојување Наредбата за прикажување на менито за напојување е ~p и ја овозможува командата за напојување на школка, така што a
корисникот може да го контролира поврзувањето со напојување со управуван уред од командната линија кога е поврзан со Телнет или SSH на уредот. Управуваниот уред мора да се постави со конфигурирана врска со сериската порта и конекција за напојување.
Single Connection Ова ја ограничува пристаништето на една конекција, така што ако повеќе корисници имаат привилегии за пристап за одредена порта, само еден корисник истовремено може да пристапи до таа порта (т.е. прислушувањето на портата не е дозволено).
33
Поглавје 3: Сериска порта, домаќин, уред и корисничка конфигурација
3.1.3 Режим на уред (RPC, UPS, еколошки) Овој режим ја конфигурира избраната сериска порта да комуницира со сериско контролирано непрекинато напојување (UPS), далечински контролер / единици за дистрибуција на енергија (RPC) или уред за мониторинг на животната средина (Environmental)
1. Изберете го саканиот тип на уред (UPS, RPC или Environmental)
2. Продолжете до соодветната страница за конфигурација на уредот (Сериски и мрежа > Врски на UPS-от, RPC поврзување или Еколошки) како што е опишано во Поглавје 7.
3.1.4 ·
Режим на терминален сервер
Изберете режим на терминален сервер и тип на терминал (vt220, vt102, vt100, Linux или ANSI) за да овозможите getty на избраната сериска порта
Getty ја конфигурира портата и чека да се направи врска. Активното поврзување на сериски уред е означено со подигнатиот игла за откривање носител на податоци (DCD) на серискиот уред. Кога ќе се открие конекција, програмата getty издава најавување: промпт и ја повикува програмата за најавување за да се справи со најавувањето на системот.
ЗАБЕЛЕШКА Избирањето на режимот на терминален сервер го оневозможува Управувачот со порти за таа сериска порта, така што податоците повеќе не се евидентираат за предупредувања итн.
34
Упатство за употреба
3.1.5 Режим на сериско премостување Со сериско премостување, сериските податоци на номинираната сериска порта на еден конзолен сервер се инкапсулираат во мрежни пакети и се транспортираат преку мрежа до втор конзолен сервер каде што се претставени како сериски податоци. Двата конзолни сервери делуваат како виртуелен сериски кабел преку IP мрежа. Еден конзолен сервер е конфигуриран да биде Сервер. Сериската порта на серверот што треба да се премости е поставена во режим на сервер на конзола со овозможено RFC2217 или RAW. За серверот за клиентска конзола, сериската порта што треба да се премости мора да биде поставена во режим на премостување:
· Изберете режим на сериски премостување и наведете ја IP адресата на серверот на конзолата на серверот и адресата на портата TCP на далечинскиот сериски приклучок (за премостување RFC2217 ова ќе биде 5001-5048)
· Стандардно, клиентот за премостување користи RAW TCP. Изберете RFC2217 ако ова е режимот на серверот на конзолата што го наведовте на серверот за конзола на серверот
· Можете да ги обезбедите комуникациите преку локалниот етернет со овозможување на SSH. Генерирајте и прикачете клучеви.
3.1.6 Syslog Покрај вграденото евидентирање и следење што може да се применат на сериски прикачени и мрежни пристапи за управување, како што е опфатено во Поглавје 6, серверот на конзолата може исто така да се конфигурира да поддржува далечински протокол за системски дневник на сериска порта основа:
· Изберете ги полињата Syslog Facility/Priority за да овозможите евидентирање на сообраќајот на избраната сериска порта до серверот за syslog; и да ги сортирате и дејствувате на тие најавени пораки (т.е. да ги пренасочите / испратите е-пошта за предупредување.)
35
Поглавје 3: Сериска порта, уред и корисничка конфигурација
За прampако компјутерот прикачен на сериската порта 3 никогаш не треба да испрати ништо на портата за сериска конзола, администраторот може да ја постави Facility за таа порта на local0 (local0 .. local7 се наменети за локалните вредности на страницата), а приоритетот на критична . На овој приоритет, ако серверот за системска евиденција на конзолата навистина прими порака, тој предизвикува предупредување. Видете Поглавје 6. 3.1.7 NMEA стриминг ACM7000-L може да обезбеди GPS NMEA пренос на податоци од внатрешниот GPS/мобилен модем. Овој поток на податоци се прикажува како сериски поток на податоци на портата 5 на моделите ACM.
Заедничките поставки (стапка на бауд итн.) се игнорираат при конфигурирање на сериската порта NMEA. Можете да ја одредите фреквенцијата на поправка (т.е. оваа стапка на поправка на GPS одредува колку често се добиваат поправки на GPS). Можете исто така да ги примените сите поставки за режимот на серверот на конзолата, Syslog и Serial Bridging на оваа порта.
Можете да користите pmshell, webшколка, SSH, RFC2217 или RawTCP за да стигнете до преносот:
За прample, користејќи го Web Терминал:
36
Упатство за употреба
3.1.8 USB конзоли
Конзолните сервери со USB порти поддржуваат поврзувања на USB конзоли со уреди од широк опсег на продавачи, вклучувајќи ги Cisco, HP, Dell и Brocade. Овие USB порти можат да функционираат и како обични сериски порти RS-232 кога е поврзан адаптер USB-to-serial.
Овие USB порти се достапни како редовни portmanager порти и се претставени нумерички во web UI после сите сериски порти RJ45.
ACM7008-2 има осум сериски порти RJ45 на задниот дел од серверот на конзолата и четири USB порти на предната страна. Во Serial & Network > Serial Port овие се наведени како
Приклучок # приклучок
1
RJ45
2
RJ45
3
RJ45
4
RJ45
5
RJ45
6
RJ45
7
RJ45
8
RJ45
9
USB
10 USB
11 USB
12 USB
Ако конкретниот ACM7008-2 е мобилен модел, ќе биде наведена и портата #13 - за GPS-от.
7216-24U има 16 сериски порти RJ45 и 24 USB порти на задната страна, како и две USB порти на предната страна и (во мобилниот модел) GPS.
Сериските порти RJ45 се претставени во Сериски и мрежа > Сериски приклучоци како броеви на порти 1. 16-те USB-порти со задна страна ги земаат броевите на портите 24, а предните USB-порти се наведени на броевите на портите 17 и 40 соодветно. И, како и кај ACM41-42, ако конкретниот 7008-2U е мобилен модел, GPS-от е претставен на порта број 7216.
Заедничките поставки (стапка на бауд, итн.) се користат при конфигурирање на портите, но некои операции може да не работат во зависност од имплементацијата на основниот сериски чип на USB.
3.2 Додавање и уредување на корисници
Администраторот го користи овој избор на мени за да креира, уредува и брише корисници и да ги дефинира дозволите за пристап за секој од овие корисници.
37
Поглавје 3: Сериска порта, уред и корисничка конфигурација
Корисниците може да бидат овластени за пристап до одредени услуги, сериски порти, уреди за напојување и наведени мрежни прикачени хостови. На овие корисници може да им се даде и целосен администраторски статус (со целосна конфигурација и привилегии за управување и пристап).
Корисниците може да се додадат во групи. Стандардно се поставени шест групи:
админ
Обезбедува неограничени привилегии за конфигурација и управување.
pptpd
Дозволува пристап до серверот PPTP VPN. Корисниците во оваа група ја имаат лозинката зачувана во јасен текст.
дијалин
Овозможува пристап до бирање преку модеми. Корисниците во оваа група ја имаат лозинката зачувана во јасен текст.
ftp
Овозможува ftp пристап и file пристап до уреди за складирање.
pmshell
Ја поставува стандардната школка на pmshell.
корисници
Обезбедува на корисниците основни привилегии за управување.
Администраторската група им обезбедува на членовите целосни администраторски привилегии. Администраторскиот корисник може да пристапи до серверот на конзолата користејќи која било од услугите што се овозможени во Систем > Услуги. Само доверливи корисници треба да имаат администраторски пристап
Корисничката група им обезбедува на членовите ограничен пристап до серверот на конзолата и поврзаните хостови и сериски уреди. Овие корисници можат да пристапат само до делот Управување од менито на Конзолата за управување и немаат пристап до командната линија до серверот на конзолата. Тие можат да пристапат само до оние домаќини и сериски уреди што се проверени за нив, користејќи услуги што се овозможени
Корисниците во групите pptd, dialin, ftp или pmshell го ограничија пристапот на корисничката школка до номинираните управувани уреди, но тие нема да имаат директен пристап до серверот на конзолата. За да го додадете ова, корисниците мора да бидат и членови на корисниците или администраторските групи
Администраторот може да постави дополнителни групи со специфичен уред за напојување, сериски приклучок и дозволи за пристап до домаќинот. Корисниците во овие дополнителни групи немаат никаков пристап до менито на Конзолата за управување, ниту пак имаат пристап од командната линија до серверот на конзолата.
38
Упатство за употреба
Администраторот може да постави корисници со специфичен уред за напојување, сериска порта и дозволи за пристап до домаќинот кои не се членови на ниту една група. Овие корисници немаат никаков пристап до менито на Конзолата за управување, ниту пристап до командната линија до серверот на конзолата. 3.2.1 Поставување нова група За да поставите нови групи и нови корисници и да ги класифицирате корисниците како членови на одредени групи:
1. Изберете Serial & Network > Users & Groups за да се прикажат сите групи и корисници 2. Кликнете Додај група за да додадете нова група
3. Додајте име и опис на групата за секоја нова група и номинирајте ги достапните домаќини, пристапните пристаништа и пристапните RPC излези до кои корисниците во оваа нова група ќе можат да пристапат
4. Кликнете Примени 5. Администраторот може да ја уреди или избрише секоја додадена група 3.2.2 Поставување нови корисници За да поставите нови корисници и да ги класифицирате корисниците како членови на одредени групи: 1. Изберете Serial & Network > Users & Groups за прикажување сите групи и корисници 2. Кликнете Додај корисник
39
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3. Додадете корисничко име за секој нов корисник. Може да вклучите и информации поврзани со корисникот (на пр. детали за контакт) во полето Опис. Корисничкото име може да содржи од 1 до 127 алфанумерички знаци и знаците „-“ „_“ и „.“.
4. Наведете во кои Групи сакате корисникот да биде член 5. Додајте потврдена лозинка за секој нов корисник. Сите знаци се дозволени. 6. Може да се користи автентикација со клуч за премин SSH. Залепете ги јавните клучеви на овластеното јавно/приватно
парови на клучеви за овој корисник во полето Овластени SSH клучеви 7. Проверете го Оневозможи автентикација со лозинка за да дозволите автентикација само со јавен клуч за овој корисник
кога користите SSH 8. Проверете Enable Dial-Back во менито Dial-in Options за да дозволите излезна врска со dial-back
да се активира со најавување во оваа порта. Внесете го телефонскиот број за бирање со телефонскиот број за да се повика назад кога корисникот ќе се најави 9. Проверете Достапни хостови и/или пристапни пристаништа за да ги номинирате сериските порти и мрежно поврзаните хостови до кои сакате корисникот да има привилегии за пристап до 10. Ако има конфигурирани RPC, проверете Пристапни RPC излези за да одредите кои приклучоци може да ги контролира корисникот (т.е. Вклучување/Исклучување) 11. Кликнете Примени. Новиот корисник ќе може да пристапи до пристапните мрежни уреди, пристаништа и приклучоци за RPC. Ако корисникот е член на групата, тој исто така може да пристапи до кој било друг уред/порта/излез што е достапен за групата
40
Упатство за употреба
Нема ограничувања за бројот на корисници што можете да ги поставите или бројот на корисници по сериска порта или домаќин. Повеќе корисници можат да контролираат/мониторираат една порта или домаќин. Нема ограничувања за бројот на групи и секој корисник може да биде член на повеќе групи. Корисникот не мора да биде член на која било група, но ако корисникот е член на стандардната корисничка група, тој нема да може да ја користи Управната конзола за управување со пристаништа. Иако нема ограничувања, времето за повторно конфигурирање се зголемува како што се зголемува бројот и сложеноста. Препорачуваме збирниот број на корисници и групи да се чува под 250. Администраторот исто така може да ги уредува поставките за пристап за сите постоечки корисници:
· Изберете Сериски и мрежа > Корисници и групи и кликнете Уреди за да ги измените привилегиите за пристап на корисникот · Кликнете Избриши за да го отстраните корисникот · Кликнете Оневозможи за привремено да ги блокирате привилегиите за пристап
3.3 Автентикација
Видете Поглавје 8 за детали за конфигурацијата за автентикација.
3.4 Мрежни домаќини
За следење и далечински пристап до локално мрежен компјутер или уред (наведен како Домаќин) мора да го идентификувате Домаќинот:
1. Со избирање на Serial & Network > Network Hosts се прикажуваат сите мрежни домаќини поврзани кои се овозможени за употреба.
2. Кликнете Add Host за да овозможите пристап до нов Host (или изберете Edit за да ги ажурирате поставките за постоечкиот Host)
41
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3. Ако домаќинот е уред за напојување со PDU или UPS или сервер со IPMI контрола на напојувањето, наведете RPC (за IPMI и PDU) или UPS и типот на уред. Администраторот може да ги конфигурира овие уреди и да овозможи кои корисници имаат дозвола за далечински циклус на напојување, итн. Видете Поглавје 7. Во спротивно оставете го Типот на уред поставен на Никој.
4. Ако серверот на конзолата е конфигуриран со овозможено дистрибуирано следење Nagios, ќе ги видите и опциите за Nagios Settings за да овозможите надгледување на номинираните услуги на домаќинот.
5. Кликнете Примени. Ова го создава новиот Домаќин и исто така креира нов управуван уред со истото име.
3.5 Доверливи мрежи
Објектот Trusted Networks ви дава опција да номинирате IP адреси на кои корисниците мора да се наоѓаат, за да имаат пристап до сериските порти на серверот на конзолата:
42
Упатство за употреба
1. Изберете Serial & Network > Trusted Networks 2. За да додадете нова доверлива мрежа, изберете Add Rule. Во отсуство на Правила, нема пристап
ограничувања во однос на IP адресата на која можат да се лоцираат корисниците.
3. Изберете ги Пристапните порти на кои треба да се примени новото правило
4. Внесете ја мрежната адреса на подмрежата на која ќе ви биде дозволен пристап
5. Наведете го опсегот на адреси што треба да се дозволат со внесување мрежна маска за тој дозволен опсег на IP на пр.
· За да им дозволите на сите корисници лоцирани со одредена мрежна врска од класа C до номинираната порта, додајте го следново ново правило за доверлива мрежа:
Мрежна IP адреса
204.15.5.0
Подмрежа маска
255.255.255.0
· Да се дозволи само еден корисник лоциран на одредена IP адреса да се поврзе:
Мрежна IP адреса
204.15.5.13
Подмрежа маска
255.255.255.255
· За да им се дозволи на сите корисници кои работат од одреден опсег на IP адреси (да речеме некоја од триесетте адреси од 204.15.5.129 до 204.15.5.158) да им биде дозволено поврзување со номинираната порта:
Адреса на домаќин / подмрежа
204.15.5.128
Подмрежа маска
255.255.255.224
6. Кликнете Примени
43
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3.6 Каскадно сериско пристаниште
Каскадните порти ви овозможуваат да ги групирате дистрибуираните конзолни сервери за да може да се конфигурираат и да се пристапи до голем број сериски порти (до 1000) преку една IP адреса и да се управува преку една Управувачка конзола. Еден конзолен сервер, примарниот, ги контролира другите сервери на конзолата како единици на јазолот и сите сериски порти на единиците на јазол изгледаат како да се дел од примарниот. Кластерирањето на Opengear го поврзува секој Јазол со Примарниот со SSH врска. Ова се прави со користење на автентикација со јавен клуч, така што Примарниот може да пристапи до секој Јазол користејќи го парот клучеви SSH (наместо да користи лозинки). Ова обезбедува безбедна автентицирана комуникација помеѓу примарните и јазлите што овозможува серверските единици на конзолата Node да се дистрибуираат локално на LAN или од далечина низ целиот свет.
3.6.1. Ова може да се направи автоматски од примарната:
44
Упатство за употреба
1. Изберете Систем > Администрација на примарната управувачка конзола
2. Проверете Generate SSH keys automatically. 3. Кликнете Примени
Следно, мора да изберете дали да генерирате клучеви користејќи RSA и/или DSA (ако не сте сигурни, изберете само RSA). За генерирање на секој сет клучеви потребни се две минути и новите копчиња ги уништуваат старите клучеви од тој тип. Додека новата генерација е во тек, функциите што се потпираат на копчињата SSH (на пр. каскадно) може да престанат да функционираат додека не се ажурираат со новиот сет на клучеви. За да генерирате клучеви:
1. Проверете ги полињата за клучевите што сакате да ги генерирате. 2. Кликнете Примени
3. Откако ќе се генерираат новите клучеви, кликнете на врската Кликнете овде за да се вратите. Клучевите се поставени
до Примарните и поврзаните Јазли.
3.6.2. За да го поставите парот на клучните јавни и приватни клучеви на серверот на примарната конзола:
1. Изберете Систем > Администрација на примарната управувачка конзола
2. Прелистајте ја локацијата на која сте го зачувале јавниот клуч RSA (или DSA) и поставете го на јавниот клуч SSH RSA (DSA)
3. Пребарајте го зачуваниот приватен клуч RSA (или DSA) и поставете го на SSH RSA (DSA) Приватен клуч 4. Кликнете Примени
45
Поглавје 3: Сериска порта, уред и корисничка конфигурација
Следно, мора да го регистрирате јавниот клуч како овластен клуч на јазолот. Во случај на еден примарен со повеќе јазли, поставувате еден јавен клуч RSA или DSA за секој јазол.
1. Изберете Систем > Администрација на Конзолата за управување на јазолот 2. Пребарајте го зачуваниот јавен клуч RSA (или DSA) и поставете го на овластениот клуч за SSH на јазолот
3. Кликнете Примени Следниот чекор е да се даде отпечаток од прст секоја нова врска Node-Primary. Овој чекор потврдува дека воспоставувате SSH сесија за она што мислите дека сте. На првата врска, јазолот добива отпечаток од примарниот што се користи на сите идни врски: за да се воспостави отпечаток од прст, најпрво најавете се во Примарниот сервер како root и воспоставете SSH врска со далечинскиот хост на јазли:
# ssh remhost Откако ќе се воспостави SSH врската, од вас се бара да го прифатите клучот. Одговорете да и отпечатокот од прст е додаден на списокот на познати домаќини. Ако се побара од вас да наведете лозинка, имало проблем со прикачувањето на клучевите. 3.6.3 Конфигурирајте ги јазлите и нивните сериски порти Започнете со поставување на јазлите и конфигурирање на сериските порти на јазлите од серверот на примарната конзола:
1. Изберете Serial & Network > Cascaded Ports на примарната менаџмент конзола: 2. За да додадете поддршка за кластерирање, изберете Add Node
Не можете да додавате Јазли додека не генерирате SSH клучеви. За да дефинирате и конфигурирате јазол:
46
Упатство за употреба
1. Внесете ја оддалечената IP адреса или DNS име за серверот на конзолата Node 2. Внесете краток опис и кратка ознака за јазолот 3. Внесете го целосниот број на сериски порти на единицата Node во Број на порти 4. Кликнете Примени. Ова го воспоставува тунелот SSH помеѓу примарниот и новиот јазол
Менито Serial & Network > Cascaded Ports ги прикажува сите јазли и броевите на портите што се доделени на примарната. Ако серверот на примарната конзола има 16 свои порти, портите 1-16 се претходно доделени на Примарната, така што на првиот додаден јазол му се доделува порта со број 17 наваму. Откако ќе ги додадете сите сервери на Node конзолата, сериските порти на Node и поврзаните уреди може да се конфигурираат и да се пристапи од менито на примарната конзола за управување и достапни преку IP адресата на примарната.
1. Изберете ги соодветните Serial & Network > Serial Port and Edit за да ги конфигурирате сериските порти на
Јазол.
2. Изберете ги соодветните Serial & Network > Users & Groups за да додадете нови корисници со привилегии за пристап
до сериските порти на јазол (или за проширување на привилегиите за пристап на постоечките корисници).
3. Изберете ги соодветните Serial & Network > Trusted Networks за да ги наведете мрежните адреси
може да пристапи до номинираните сериски порти за јазли. 4. Изберете ги соодветните Предупредувања и евиденција > Предупредувања за да ја конфигурирате врската со јазолската порта, состојба
Известувања за совпаѓање на шаблони за менување. Промените во конфигурацијата направени на Примарниот се пропагираат до сите јазли кога ќе кликнете Примени.
3.6.4 Управување со јазли Примарниот е во контрола на сериските порти на јазлите. За прampле, ако смените привилегии за пристап на корисникот или уредите кое било поставка за сериска порта на примарната, ажурираната конфигурација files се испраќаат до секој Јазол паралелно. Секој Јазол прави промени во нивните локални конфигурации (и прави само промени кои се однесуваат на неговите одредени сериски порти). Можете да ја користите локалната конзола за управување со јазли за да ги промените поставките на која било сериска порта за јазли (како што е промена на стапките на бауд). Овие промени се препишуваат следниот пат кога Примарната ќе испрати конфигурација file ажурирање. Додека примарната е во контрола на сите функции поврзани со сериската порта на јазолот, таа не е примарна преку конекциите на домаќинот на мрежата на јазлите или преку системот на серверот на конзолата на јазлите. Функциите на јазолот како што се IP, SMTP и SNMP Settings, Date & Time, DHCP серверот мора да се управуваат со директно пристапување до секој јазол и овие функции не се препишуваат кога промените во конфигурацијата се пропагираат од Примарниот. Поставките за мрежниот домаќин и IPMI на јазолот мора да се конфигурираат на секој јазол.
47
Поглавје 3: Сериска порта, уред и корисничка конфигурација
Примарната управувачка конзола обезбедува консолидирана view на поставките за сопствените и за сериските порти на целиот јазол. Основното не обезбедува целосно консолидирано view. За прampако сакате да дознаете кој е логиран во каскадни сериски порти од примарната, ќе видите дека Статус > Активни корисници ги прикажува само оние корисници активни на пристаништата на примарниот, па можеби ќе треба да напишете сопствени скрипти за да го обезбедите ова view.
3.7 Пренасочување на сериската порта (PortShare)
Софтверот Opengear's Port Share ја испорачува технологијата за виртуелна сериска порта што им е потребна на вашите апликации за Windows и Linux за да отворат далечински сериски порти и да ги читаат податоците од сериските уреди што се поврзани со серверот на вашата конзола.
PortShare се испорачува бесплатно со секој конзолен сервер и вие сте лиценцирани да инсталирате PortShare на еден или повеќе компјутери за пристап до кој било сериски уред поврзан со портата на серверот на конзолата. PortShare за Windows Portshare_setup.exe може да се преземе од страницата ftp. Видете во упатството за употреба на PortShare и Брзо стартување за детали за инсталацијата и работењето. PortShare за Linux Драјверот PortShare за Linux ја мапира сериската порта на серверот на конзолата на пробната порта на домаќинот. Opengear го објави portshare-serial-client како алатка со отворен код за Linux, AIX, HPUX, SCO, Solaris и UnixWare. Оваа алатка може да се преземе од страницата ftp. Овој пренасочувач на сериската порта PortShare ви овозможува да користите сериски уред поврзан со серверот на далечинската конзола како да е поврзан со вашата локална сериска порта. Portshare-serial-client создава псевдо tty порта, ја поврзува сериската апликација со псевдо tty портот, прима податоци од псевдо tty портот, ги пренесува до конзолниот сервер преку мрежа и прима податоци од конзолниот сервер преку мрежа и ги пренесува до псевдо-tty пристаништето. Катранот file може да се преземе од ftp страницата. Видете во упатството за употреба на PortShare и Брзо стартување за детали за инсталацијата и работењето.
48
Упатство за употреба
3.8 Управувани уреди
Страницата Управувани уреди претставува консолидирано view од сите врски со уред до кој може да се пристапи и надгледува преку серверот на конзолата. До view конекциите со уредите, изберете Serial & Network > Managed Devices
Овој екран ги прикажува сите управувани уреди со нивниот опис/белешки и списоци на сите конфигурирани врски:
· Број на сериска порта (ако е сериски поврзан) или · USB (ако е поврзан USB) · IP адреса (ако е поврзана на мрежа) · Детали за PDU/штекер за напојување (ако е применливо) и какви било врски за UPS-от Уредите како што се серверите може да имаат повеќе од една врска за напојување (на пр. со двојно напојување) и повеќе од една мрежна врска (на пр. за BMC/сервисен процесор). Сите корисници можат view овие управувани конекции на уреди со избирање Управување > Уреди. Администраторите исто така може да ги уредуваат и додаваат/бришат овие управувани уреди и нивните врски. За да уредите постоечки уред и да додадете нова врска: 1. Изберете Уреди на Serial & Network > Managed Devices и кликнете Add Connection 2. Изберете го типот на конекција за новата врска (Serial, Network Host, UPS или RPC) и изберете
врската од претставената листа на конфигурирани нераспределени хостови/порти/излезни места
49
Поглавје 3: Сериска порта, уред и корисничка конфигурација
За да додадете нов управуван уред поврзан со мрежа: 1. Администраторот додава нов управуван уред поврзан со мрежа користејќи Додај домаќин во менито Сериски и мрежа > Мрежен домаќин. Ова автоматски создава соодветен нов управуван уред. 2. Кога додавате нов мрежно поврзан RPC или UPS уред за напојување, поставувате мрежен домаќин, означувајте го како RPC или UPS. Одете во RPC Connections или UPS Connections за да ја конфигурирате соодветната врска. Соодветниот нов управуван уред со исто Име /Опис како и RPC/UPS-домаќинот не се создава додека не заврши овој чекор за поврзување.
ЗАБЕЛЕШКА Имињата на штекерите на новосоздадениот PDU се Излез 1 и Излез 2. Кога поврзувате одреден управуван уред што влече струја од штекерот, штекерот го зема името на управуваниот уред со напојување.
За да додадете нов сериски поврзан управуван уред: 1. Конфигурирајте ја сериската порта користејќи го менито Serial & Network > Serial Port (види дел 3.1 Конфигурирај сериска порта) 2. Изберете Serial & Network > Managed Devices и кликнете Add Device 3. Внесете уред Име и опис за управуваниот уред
4. Кликнете Add Connection и изберете Serial и Портата што се поврзува со управуваниот уред
5. За да додадете конекција за напојување на UPS/RPC или мрежна врска или друга сериска врска, кликнете Додај врска
6. Кликнете Примени
ЗАБЕЛЕШКА
За да поставите сериски поврзан RPC UPS или EMD уред, конфигурирајте ја сериската порта, означете ја како Уред и внесете Име и опис за тој уред во Сериски и мрежа > RPC врски (или UPS Connections или Environmental). Ова создава соодветен нов управуван уред со исто име /Опис како и домаќинот RPC/UPS. Имињата на штекерите на оваа новосоздадена PDU се Излез 1 и Излез 2. Кога ќе поврзете управуван уред што влече струја од штекерот, штекерот го зема името на управуваниот уред со напојување.
3.9 IPsec VPN
ACM7000, CM7100 и IM7200 вклучуваат Openswan, Linux имплементација на протоколите IPsec (IP безбедност), кои може да се користат за конфигурирање на виртуелна приватна мрежа (VPN). VPN им овозможува на повеќе локации или далечински администратори безбедно да пристапат до серверот на конзолата и управуваните уреди преку Интернет.
50
Упатство за употреба
Администраторот може да воспостави шифрирана автентицирана VPN конекција помеѓу серверите на конзолата дистрибуирани на оддалечените локации и портата VPN (како што е рутерот Cisco кој работи на IOS IPsec) на нивната централна канцелариска мрежа:
· Корисниците во централната канцеларија можат безбедно да пристапат до серверите на далечинската конзола и поврзаните сериски конзолни уреди и машини на подмрежата за управување со LAN на оддалечената локација како да се локални
· Сите овие далечински сервери за конзоли може да се следат со CMS6000 на централната мрежа · Со сериско премостување, сериските податоци од контролорот на централната канцелариска машина може да бидат безбедно
поврзани со сериски контролираните уреди на оддалечените локации Администраторот на патниот воин може да користи софтверски клиент VPN IPsec за далечински пристап до серверот на конзолата и секоја машина на подмрежата за управување со LAN на оддалечената локација
Конфигурацијата на IPsec е доста сложена, така што Opengear обезбедува GUI интерфејс за основно поставување како што е опишано подолу. За да ја овозможите портата VPN:
1. Изберете IPsec VPN во менито Сериски и мрежи
2. Кликнете Додај и пополнете го екранот Додај IPsec тунел 3. Внесете кое било описно име што сакате да го идентификувате тунелот IPsec што го додавате, како на пр.
WestStOutlet-VPN
51
Поглавје 3: Сериска порта, уред и корисничка конфигурација
4. Изберете го методот за автентикација што ќе се користи, или RSA дигитални потписи или споделена тајна (PSK) o Ако изберете RSA, од вас ќе биде побарано да кликнете овде за да генерирате клучеви. Ова генерира јавен клуч RSA за серверот на конзолата (левиот јавен клуч). Пронајдете го клучот што ќе се користи на далечинскиот порт, исечете го и залепете го во десниот јавен клуч
o Ако изберете Споделена тајна, внесете однапред споделена тајна (PSK). PSK мора да одговара на PSK конфигуриран на другиот крај на тунелот
5. Во Протоколот за автентикација изберете го протоколот за автентикација што ќе се користи. Или автентицирајте како дел од шифрирањето ESP (Encapsulating Security Payload) или одделно користејќи го протоколот AH (Authentication Header).
52
Упатство за употреба
6. Внесете лево ID и десно ID. Ова е идентификаторот што го користат Локалниот домаќин/портата и далечинскиот хост/портата за преговори и автентикација на IPsec. Секој ID мора да содржи @ и може да вклучува целосно квалификувано име на домен (на пр. left@example.com)
7. Внесете ја јавната IP или DNS адреса на оваа Opengear VPN порта како лева адреса. Можете да го оставите ова празно за да го користите интерфејсот на стандардната рута
8. Во Right Address внесете ја јавната IP или DNS адреса на оддалечениот крај на тунелот (само ако далечинскиот крај има статична или DynDNS адреса). Во спротивно оставете го ова празно
9. Ако Opengear VPN портата служи како VPN порта до локална подмрежа (на пр. серверот за конзола има конфигуриран LAN за управување со) внесете ги деталите за приватната подмрежа во Левата подмрежа. Користете ја ознаката CIDR (каде што бројот на IP адресата е проследен со коса црта и бројот на „еден“ битови во бинарната нотација на мрежната маска). За прample, 192.168.0.0/24 означува IP адреса каде што првите 24 бита се користат како мрежна адреса. Ова е исто како и 255.255.255.0. Ако пристапот VPN е само до серверот на конзолата и до неговите прикачени сериски конзолни уреди, оставете ја левата подмрежа празна
10. Ако има VPN портал на оддалечениот крај, внесете ги деталите за приватната подмрежа во Десна подмрежа. Користете ја ознаката CIDR и оставете празно ако има само оддалечен домаќин
11. Изберете Initiate Tunnel ако врската со тунел треба да се иницира од крајот на серверот на левата конзола. Ова може да се иницира само од портата VPN (лево) ако далечинскиот крај е конфигуриран со статична (или DynDNS) IP адреса
12. Кликнете Примени за да ги зачувате промените
ЗАБЕЛЕШКА Деталите за конфигурација поставени на серверот на конзолата (наведен како лев или локален хост) мора да одговараат на поставувањето внесено при конфигурирање на далечинскиот (десен) хост/порта или софтверски клиент. Погледнете http://www.opengear.com/faq.html за детали за конфигурирање на овие далечински краеви
3.10 OpenVPN
ACM7000, CM7100 и IM7200 со фирмвер V3.2 и подоцна вклучуваат OpenVPN. OpenVPN ја користи библиотеката OpenSSL за шифрирање, автентикација и сертификација, што значи дека користи SSL/TSL (Secure Socket Layer/Transport Layer Security) за размена на клучеви и може да ги шифрира и податоците и контролните канали. Користењето OpenVPN овозможува градење на вкрстени платформи, точка-до-точка VPN со користење или X.509 PKI (инфраструктура на јавен клуч) или прилагодена конфигурација fileс. OpenVPN овозможува безбедно тунелирање на податоци преку една TCP/UDP порта преку необезбедена мрежа, со што се обезбедува сигурен пристап до повеќе локации и безбедно далечинско администрирање на конзолен сервер преку Интернет. OpenVPN, исто така, дозволува користење на динамички IP адреси и од серверот и од клиентот, со што се обезбедува мобилност на клиентот. За прampтака, може да се воспостави OpenVPN тунел помеѓу клиент на Windows во роаминг и сервер за конзола Opengear во центарот за податоци. Конфигурацијата на OpenVPN може да биде сложена, така што Opengear обезбедува GUI интерфејс за основно поставување како што е опишано подолу. Подетални информации се достапни на http://www.openvpn.net
3.10.1 Овозможи OpenVPN 1. Изберете OpenVPN во менито Сериски и мрежи
53
Поглавје 3: Сериска порта, уред и корисничка конфигурација
2. Кликнете Додај и пополнете го екранот Додај OpenVPN тунел 3. Внесете кое било описно име што сакате да го идентификувате тунелот OpenVPN што го додавате, на пр.ample
NorthStOutlet-VPN
4. Изберете го методот за автентикација што ќе се користи. За автентикација со користење на сертификати изберете PKI (X.509 Certificates) или изберете Custom Configuration за да поставите приспособена конфигурација fileс. Прилагодените конфигурации мора да се зачуваат во /etc/config.
ЗАБЕЛЕШКА Ако изберете PKI, воспоставете: Одделен сертификат (познат и како јавен клуч). Овој сертификат File е *.crt file напишете Приватен клуч за серверот и секој клиент. Овој приватен клуч File е *.клуч file тип
Сертификат и клуч за примарен орган за сертификати (CA) што се користи за потпишување на секој од серверот
и сертификати за клиенти. Овој Root CA сертификат е *.crt file тип За сервер, можеби ќе ви треба и dh1024.pem (параметри на Diffie Hellman). Видете http://openvpn.net/easyrsa.html за водич за основно управување со клучеви RSA. За алтернативни методи за автентикација видете http://openvpn.net/index.php/documentation/howto.html#auth.
5. Изберете го двигателот на уредот што ќе се користи, или Tun-IP или Tap-Ethernet. Драјверите TUN (мрежен тунел) и TAP (мрежна допир) се драјвери за виртуелна мрежа кои поддржуваат IP тунелирање и етернет тунелирање, соодветно. TUN и TAP се дел од Linux кернелот.
6. Изберете или UDP или TCP како протокол. UDP е стандардниот и претпочитан протокол за OpenVPN. 7. Проверете или отштиклирајте го копчето Compression за да овозможите или оневозможите компресија. 8. Во режим на тунел, назначете дали ова е крајот на клиентот или серверот на тунелот. Кога трчате како
сервер, конзолниот сервер поддржува повеќе клиенти кои се поврзуваат со серверот VPN преку истата порта.
54
Упатство за употреба
3.10.2 Конфигурирајте како сервер или клиент
1. Пополнете ги деталите за клиентот или деталите за серверот во зависност од избраниот режим на тунел. o Ако е избран клиентот, адресата на примарниот сервер е адресата на серверот OpenVPN. o Ако е избран Server, внесете ја IP Pool Network адресата и IP Pool Network маската за IP Pool. Мрежата дефинирана од IP Pool Мрежна адреса/маска се користи за обезбедување на адресите за поврзување на клиентите.
2. Кликнете Примени за да ги зачувате промените
55
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3. За да внесете сертификати за автентикација и files, изберете Управување со OpenVPN Files табот. Поставете или прелистувајте до соодветните сертификати за автентикација и files.
4. Примени за да ги зачувате промените. Зачувано files се прикажани во црвено на десната страна на копчето Upload.
5. За да овозможите OpenVPN, уредете го тунелот OpenVPN
56
Упатство за употреба
6. Проверете го копчето Овозможено. 7. Применете за да ги зачувате промените ЗАБЕЛЕШКА Проверете дали времето на системот на серверот на конзолата е точно кога работите со OpenVPN за да избегнете
проблеми со автентикација.
8. Изберете Статистика во менито Статус за да потврдите дека тунелот работи.
57
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3.10.3 Поставување клиент и сервер на Windows OpenVPN Овој дел ја прикажува инсталацијата и конфигурацијата на клиентот на Windows OpenVPN или серверот на Windows OpenVPN и поставувањето VPN конекција со конзолен сервер. Серверите на конзолата генерираат конфигурација на клиент на Windows автоматски од GUI за претходно споделена тајна (статички клуч File) конфигурации.
Наизменично OpenVPN GUI за софтверот Windows (кој го вклучува стандардниот OpenVPN пакет плус Windows GUI) може да се преземе од http://openvpn.net. Откако ќе се инсталира на машината со Windows, иконата OpenVPN се додава во Областа за известувања лоцирана во десната страна на лентата со задачи. Кликнете со десното копче на оваа икона за да започнете и прекинете VPN конекции, уредување конфигурации и view трупци.
Кога софтверот OpenVPN почнува да работи, C: Програмата FileПапката sOpenVPNconfig се скенира за .opvn fileс. Оваа папка е повторно проверена за нова конфигурација fileсекогаш кога иконата OpenVPN GUI е десен клик. Откако ќе се инсталира OpenVPN, креирајте конфигурација file:
58
Упатство за употреба
Користејќи уредувач на текст, креирајте xxxx.ovpn file и зачувај во C:Program FilesOpenVPNconfig. За прample, C: Програма FilesOpenVPNconfigclient.ovpn
Поранешенampод конфигурацијата на клиентот на OpenVPN Windows file е прикажано подолу:
# опис: IM4216_client клиент прото udp глагол 3 dev tun далечински управувач 192.168.250.152 порта 1194 ca c:\openvpnkeys\ca.crt сертификат c:\openvpnkeys\client.crt клуч c:\openvpnkeys perkeyclist. тун комп-лзо
Поранешенampод конфигурацијата на OpenVPN Windows Server file е прикажано подолу:
сервер 10.100.10.0 255.255.255.0 порта 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\ keyservs.pserverv. клуч dh c:\openvpnkeys\dh.pem comp-lzo глагол 1 syslog IM4216_OpenVPN_Server
Конфигурација на клиент/сервер на Windows file опциите се:
Опции #опис: Клиентски сервер proto udp proto tcp mssfix глагол
dev tun dev допрете
Опис Ова е коментар кој ја опишува конфигурацијата. Линиите за коментари започнуваат со „#“ и се игнорираат од OpenVPN. Наведете дали ова ќе биде конфигурација на клиент или сервер file. Во конфигурацијата на серверот file, дефинирајте го базенот на IP адреси и мрежната маска. За прample, сервер 10.100.10.0 255.255.255.0 Поставете го протоколот на UDP или TCP. Клиентот и серверот мора да ги користат истите поставки. Mssfix ја поставува максималната големина на пакетот. Ова е корисно само за UDP ако се појават проблеми.
Поставете дневник file ниво на говорност. Нивото на говорност на дневникот може да се постави од 0 (минимум) до 15 (максимум). За прample, 0 = тивко, освен за фатални грешки 3 = среден излез, добро за општа употреба 5 = помага при проблеми со поврзувањето со отстранување грешки 9 = опширно, одлично за решавање проблеми Изберете „dev tun“ за да креирате рутиран IP тунел или „dev tap“ за креирање етернет тунел. Клиентот и серверот мора да ги користат истите поставки.
59
Поглавје 3: Сериска порта, уред и корисничка конфигурација
Далечински управувач Port Keepalive
http-прокси околуfile име>
сертификатfile име>
клучfile име>
dhfile име> Nobind persist-key persist-tun шифра BF-CBC Blowfish (стандардно) шифра AES-128-CBC AES шифра DES-EDE3-CBC Triple-DES comp-lzo syslog
Името на домаќинот/ИП на серверот OpenVPN кога работи како клиент. Внесете го или името на хостот DNS или статичката IP адреса на серверот. UDP/TCP портата на серверот. Keepalive користи пинг за да ја одржува сесијата OpenVPN жива. 'Задржи 10 120' пингови на секои 10 секунди и претпоставува дека далечинскиот врсник е исклучен ако не е примено пинг во период од 120 секунди. Ако е потребен прокси за пристап до серверот, внесете го името на DNS-серверот за прокси или IP и бројот на портата. Внесете го сертификатот CA file име и локација. Истиот сертификат CA file може да се користи од страна на серверот и сите клиенти. Забелешка: Осигурете се дека секое `` во патеката на директориумот е заменето со ``. За прample, c:openvpnkeysca.crt ќе стане c:\openvpnkeys\ca.crt Внесете го сертификатот на клиентот или серверот file име и локација. Секој клиент треба да има свој сертификат и клуч fileс. Забелешка: Осигурете се дека секое `` во патеката на директориумот е заменето со ``. Внеси file име и локација на клучот на клиентот или серверот. Секој клиент треба да има свој сертификат и клуч fileс. Забелешка: Осигурете се дека секое `` во патеката на директориумот е заменето со ``. Ова го користи само серверот. Внесете ја патеката до клучот со параметрите Diffie-Hellman. „Nobind“ се користи кога клиентите не треба да се врзуваат за локална адреса или одреден број на локална порта. Ова е случај во повеќето конфигурации на клиенти. Оваа опција го спречува повторното вчитување на клучевите при рестартирање. Оваа опција го спречува затворањето и повторното отворање на уредите TUN/TAP при рестартирање. Изберете криптографска шифра. Клиентот и серверот мора да ги користат истите поставки.
Овозможете компресија на врската OpenVPN. Ова мора да биде овозможено и на клиентот и на серверот. Стандардно, дневниците се наоѓаат во syslog или, ако се извршуваат како услуга на Window, во Program FilesOpenVPNlog директориум.
За да го иницирате тунелот OpenVPN по креирањето на конфигурацијата на клиентот/серверот files: 1. Десен клик на иконата OpenVPN во Областа за известување 2. Изберете ја новосоздадената конфигурација на клиент или сервер. 3. Кликнете Поврзи
4. Дневникот file се прикажува кога е воспоставена врската
60
Упатство за употреба
5. Откако ќе се воспостави, иконата OpenVPN прикажува порака што укажува на успешна врска и доделена IP адреса. Овие информации, како и времето на воспоставување на врската, се достапни со лизгање преку иконата OpenVPN.
3.11 PPTP VPN
Конзолните сервери вклучуваат сервер PPTP (Point-to-Point Tunneling Protocol). PPTP се користи за комуникации преку физичка или виртуелна сериска врска. Крајните точки на PPP дефинираат виртуелна IP адреса за себе. Рутите до мрежите може да се дефинираат со овие IP адреси како порта, што резултира со испраќање сообраќај низ тунелот. PPTP воспоставува тунел помеѓу физичките PPP крајни точки и безбедно ги транспортира податоците низ тунелот.
Силата на PPTP е неговата леснотија на конфигурација и интеграција во постоечката инфраструктура на Microsoft. Обично се користи за поврзување на единечни далечински клиенти на Windows. Ако го однесете вашиот пренослив компјутер на службено патување, можете да бирате локален број за да се поврзете со вашиот давател на услуги за пристап до Интернет (ISP) и да создадете втора врска (тунел) во вашата канцелариска мрежа преку Интернет и да имате ист пристап до вашите корпоративна мрежа како да сте поврзани директно од вашата канцеларија. Телекоматите исто така можат да постават VPN тунел преку нивниот кабелски модем или DSL врски до нивниот локален интернет провајдер.
61
Поглавје 3: Сериска порта, уред и корисничка конфигурација
За да поставите PPTP конекција од далечински клиент на Windows до вашиот Opengear апарат и локална мрежа:
1. Овозможете и конфигурирајте го PPTP VPN серверот на вашиот Opengear апарат 2. Поставете VPN кориснички сметки на Opengear апаратот и овозможете го соодветното
автентикација 3. Конфигурирајте ги VPN-клиентите на оддалечените локации. Клиентот не бара посебен софтвер како
PPTP серверот го поддржува стандардниот клиентски софтвер PPTP вклучен со Windows NT и подоцна 4. Поврзете се со далечинскиот VPN 3.11.1 Овозможете го PPTP VPN серверот 1. Изберете PPTP VPN во менито Сериски и мрежи
2. Изберете го полето за избор Овозможи за да го овозможите PPTP серверот 3. Изберете минимална потребна автентикација. Пристапот е забранет на далечинските корисници кои се обидуваат да го направат тоа
поврзете се користејќи шема за автентикација послаба од избраната шема. Шемите се опишани подолу, од најсилни до најслаби. · Шифрирана автентикација (MS-CHAP v2): Најсилниот тип на автентикација што треба да се користи; ова е
препорачаната опција · Слабо шифрирана автентикација (CHAP): Ова е најслабиот тип на шифрирана лозинка
автентикација за употреба. Не се препорачува клиентите да се поврзуваат користејќи го ова бидејќи обезбедува многу мала заштита со лозинка. Исто така, имајте предвид дека клиентите што се поврзуваат користејќи CHAP не можат да го шифрираат сообраќајот
62
Упатство за употреба
· Нешифрирана автентикација (PAP): Ова е автентикација на лозинка со обичен текст. При користење на овој тип на автентикација, лозинката на клиентот се пренесува нешифрирана.
· Нема 4. Изберете го потребното ниво на шифрирање. Пристапот е забранет за далечински корисници кои се обидуваат да се поврзат
кои не го користат ова ниво на шифрирање. 5. Во Local Address внесете IP адреса за да ја доделите на крајот на VPN конекцијата на серверот 6. Во Remote Addresses внесете го збирот на IP адреси што ќе ги доделите на VPN на дојдовниот клиент
врски (на пр. 192.168.1.10-20). Ова мора да биде бесплатна IP адреса или опсег на адреси од мрежата на кои им се доделуваат оддалечените корисници додека се поврзани со уредот Opengear 7. Внесете ја саканата вредност на максималната единица за пренос (MTU) за интерфејсите PPTP во полето MTU (стандардно до 1400) 8. Во полето DNS Server, внесете ја IP адресата на DNS серверот што доделува IP адреси на поврзување PPTP клиенти 9. Во полето WINS Server, внесете ја IP адресата на WINS серверот што доделува IP адреси на поврзување PPTP клиент 10. Овозможете Verbose Logging за да помогне во проблемите со поврзувањето со дебагирање 11. Кликнете Примени поставки 3.11.2 Додадете корисник на PPTP 1. Изберете Корисници и групи во менито Сериски и мрежи и пополнете ги полињата како што е опфатено во делот 3.2. 2. Проверете дали е проверена групата pptpd за да се дозволи пристап до PPTP VPN серверот. Забелешка – корисниците во оваа група ги имаат нивните лозинки зачувани во јасен текст. 3. Забележете го корисничкото име и лозинката за кога треба да се поврзете на VPN конекцијата 4. Кликнете Примени
63
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3.11.3 Поставување далечински PPTP клиент Осигурете се дека далечинскиот VPN клиентски компјутер има интернет конекција. За да креирате VPN конекција преку Интернет, мора да поставите две мрежни конекции. Едната врска е за интернет провајдерот, а другата врска е за VPN тунелот до уредот Opengear. ЗАБЕЛЕШКА Оваа постапка поставува PPTP клиент во оперативниот систем Windows Professional. Чекорите
може да се разликува малку во зависност од пристапот до мрежата или ако користите алтернативна верзија на Windows. Подетални инструкции се достапни од Microsoft web сајт. 1. Најавете се на вашиот Windows клиент со администраторски привилегии 2. Од Центарот за мрежи и споделување на контролната табла изберете Network Connections и креирајте нова врска
64
Упатство за употреба
3. Изберете Use My Internet Connection (VPN) и внесете ја IP адресата на уредот Opengear За да поврзете далечински VPN клиенти на локалната мрежа, треба да ги знаете корисничкото име и лозинката за сметката PPTP што ја додадовте, како и IP-адресата на Интернет адреса на уредот Opengear. Ако вашиот интернет провајдер не ви доделил статична IP адреса, размислете да користите динамична DNS услуга. Во спротивно, мора да ја менувате конфигурацијата на клиентот PPTP секој пат кога ќе се промени вашата IP адреса на Интернет.
65
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3.12 Повикај дома
Сите конзолни сервери ја вклучуваат функцијата Call Home која иницира поставување на безбеден SSH тунел од серверот на конзолата до централизиран Opengear Lighthouse. Серверот на конзолата се регистрира како кандидат на Lighthouse. Откако ќе биде прифатен таму, тој станува сервер за управувана конзола.
Lighthouse го надгледува серверот за управувана конзола и администраторите можат да пристапат до далечинскиот сервер за управувана конзола преку Lighthouse. Овој пристап е достапен дури и кога серверот на далечинската конзола е зад заштитен ѕид од трета страна или има приватни не-рутирачки IP адреси.
ЗАБЕЛЕШКА
Lighthouse одржува SSH конекции автентицирани со јавен клуч на секој од неговите сервери за управувана конзола. Овие врски се користат за следење, насочување и пристап до серверите на управуваната конзола и управуваните уреди поврзани со серверот за управувана конзола.
За управување со локални сервери на конзоли или сервери на конзоли до кои може да се дојде од Lighthouse, SSH конекциите се иницирани од Lighthouse.
За да управувате со серверите на далечинската конзола или серверите на конзолата кои се заштитени со ѕидови, кои не се рутираат или на друг начин недостапни од Lighthouse, SSH врските се иницирани од Управуваниот конзолен сервер преку почетна конекција Call Home.
Ова обезбедува безбедни, автентификувани комуникации и овозможува единиците на серверите за управувана конзола да се дистрибуираат локално на LAN или од далечина низ целиот свет.
3.12.1 Поставување Call Home кандидат За да го поставите серверот на конзолата како кандидат за управување со Call Home на Lighthouse:
1. Изберете Call Home во менито Serial & Network
2. Ако веќе не сте генерирале или подигнале SSH пар клучеви за овој сервер на конзолата, направете го тоа пред да продолжите
3. Кликнете Додај
4. Внесете ја IP адресата или името на DNS (на пр. динамичката DNS адреса) на Lighthouse.
5. Внесете ја лозинката што ја конфигуриравте на CMS како Лозинка Call Home.
66
Упатство за употреба
6. Кликнете Примени Овие чекори ја иницираат врската Call Home од конзолниот сервер до Lighthouse. Ова создава SSHlistening порта на Lighthouse и го поставува серверот на конзолата како кандидат.
Откако кандидатот ќе биде прифатен на Lighthouse, SSH тунел до серверот на конзолата се пренасочува назад низ врската Call Home. Серверот на конзолата стана сервер за управувана конзола и Lighthouse може да се поврзе и да го следи преку овој тунел. 3.12.2.view на конфигурирање на Lighthouse за следење на серверите на конзолата Lighthouse кои се поврзани преку Call Home. За повеќе детали, видете го упатството за корисникот Lighthouse:
1. Внесете нова лозинка за Call Home на светилникот. Оваа лозинка се користи за прифаќање
Повикајте Homeconnections од серверите на кандидатската конзола
2. Светилникот може да биде контактиран од серверот на конзолата, тој мора или да има статична IP адреса
адреса или, со користење на DHCP, да се конфигурира да користи динамична DNS услуга
Екранот Конфигурирај > Управувани сервери на конзола на светилникот го прикажува статусот на
Сервери и кандидати за локални и далечински управувани конзоли.
Секцијата Управувани сервери на конзола ги прикажува серверите на конзолата што се надгледуваат од страна на
Lighthouse.Секцијата Откриени сервери на конзола содржи:
o паѓачкото мени за сервери за локални конзоли во кое се наведени сите сервери на конзолата што се на
истата подмрежа како Lighthouse и не се надгледуваат
67
Поглавје 3: Сериска порта, уред и корисничка конфигурација
o паѓачкото мени Remote Console Servers кој ги наведува сите сервери на конзолата кои имаат воспоставено конекција Call Home и не се надгледуваат (т.е. кандидати). Можете да кликнете на Освежи за ажурирање
За да додадете кандидат за сервер за конзола во списокот со сервер со управувана конзола, изберете го од паѓачката листа Сервери на далечинска конзола и кликнете Додај. Внесете IP адреса и SSH порта (ако овие полиња не се автоматски пополнети) и внесете Опис и единствено име за серверот за управувана конзола што го додавате
Внесете ја лозинката за далечински корен (т.е. системска лозинка што е поставена на овој сервер на управувана конзола). Оваа лозинка се користи од Lighthouse за ширење на автоматски генерирани SSH клучеви и не е зачувана. Кликнете Примени. Lighthouse поставува безбедни SSH врски до и од серверот за управувана конзола и ги враќа неговите Управувани уреди, детали за корисничка сметка и конфигурирани предупредувања 3.12.3 Повикување дома на генерички централен SSH сервер Ако се поврзувате со генерички SSH сервер (не Lighthouse) може да ги конфигурирате Напредните поставки: · Внесете го SSH Server Port и SSH User. · Внесете ги деталите за SSH портата напред за креирање
Со избирање на Сервер за слушање, можете да креирате далечинска порта пренасочување од серверот до овој уред, или локална порта проследена од оваа единица до серверот:
68
Упатство за употреба
· Наведете порта за слушање од која ќе се препраќа, оставете го ова поле празно за да доделите неискористена порта · Внесете го Целниот сервер и Целната порта што ќе биде примачот на препратените врски
3.13 ИП Премин
IP Passthrough се користи за поврзување на модемот (на пр. внатрешниот мобилен модем) да изгледа како обична етернет конекција со низводно рутер од трета страна, дозволувајќи му на низводниот рутер да ја користи врската со модемот како примарен или резервен WAN интерфејс.
Уредот Opengear ја обезбедува IP адресата на модемот и деталите за DNS на низводниот уред преку DHCP и го пренесува мрежниот сообраќај до и од модемот и рутерот.
Додека IP Passthrough го претвора Opengear во полумост од модем до етернет, некои услуги од слојот 4 (HTTP/HTTPS/SSH) може да бидат прекинати на Opengear (Сервисни пресретнувања). Исто така, услугите што работат на Opengear може да иницираат излезни мобилни конекции независно од низводниот рутер.
Ова овозможува Opengear да продолжи да се користи за управување и предупредување надвор од опсегот, а исто така да се управува преку Lighthouse, додека е во режимот IP Passthrough.
3.13.1 Поставување на низводно рутер За да се користи поврзаноста со прекини на низводниот рутер (познато како Failover to Cellular или F2C), тој мора да има два или повеќе WAN интерфејси.
ЗАБЕЛЕШКА Неуспешната логика во контекст на IP Passthrough се врши од downstream рутерот, а вградената логика за исфрлање надвор од опсег на Opengear не е достапна додека е во режимот IP Passthrough.
Поврзете етернет WAN интерфејс на низводниот рутер со мрежниот интерфејс или портата за управување со LAN на Opengear со етернет кабел.
Конфигурирајте го овој интерфејс на низводниот рутер за да ги прима неговите мрежни поставки преку DHCP. Ако е потребен прекин, конфигурирајте го downstream рутерот за прекин помеѓу неговиот примарен интерфејс и етернет-портата поврзана со Opengear.
3.13.2 Претходна конфигурација на IP Passthrough Предусловни чекори за да се овозможи IP Passthrough се:
1. Конфигурирајте го мрежниот интерфејс и каде што е применливо Менаџмент LAN интерфејси со статични мрежни поставки. · Кликнете Serial & Network > IP. · За мрежен интерфејс и каде што е применливо Менаџмент LAN, изберете Static за методот на конфигурација и внесете ги мрежните поставки (видете го делот со наслов Мрежна конфигурација за детални инструкции). · За интерфејсот поврзан со downstream рутерот, можете да изберете која било посветена приватна мрежа, оваа мрежа постои само помеѓу Opengear и downstream рутерот и вообичаено не е достапна. · За другиот интерфејс, конфигурирајте го како што би било нормално на локалната мрежа. · За двата интерфејси, оставете го Gateway празно.
2. Конфигурирајте го модемот во секогаш вклучен режим надвор од опсегот.
69
Поглавје 3: Сериска порта, уред и корисничка конфигурација
· За мобилна врска, кликнете System > Dial: Internal Celular Modem. · Изберете Enable Dial-out и внесете детали за операторот, како што е APN (видете во делот Мобилен модем
Поврзување за детални инструкции). 3.13.3 Конфигурација на IP Passthrough За да го конфигурирате IP Passthrough:
· Кликнете Serial & Network > IP Passthrough и проверете Enable. · Изберете го модемот Opengear што ќе го користите за поврзување нагоре. · Изборно, внесете ја MAC адресата на поврзаниот интерфејс на низводниот рутер. Ако MAC адресата е
не е одредено, Opengear ќе помине до првиот низводно уред кој бара DHCP адреса. · Изберете го Opengear Ethernet интерфејсот што ќе го користите за поврзување со низводниот рутер.
· Кликнете Примени. 3.13.4 Пресретнување на услуги Овие му овозможуваат на Opengear да продолжи да обезбедува услуги, на прample, за управување надвор од опсегот кога е во режим на IP Passthrough. Конекциите со адресата на модемот на наведените порти за пресретнување се ракуваат од Opengear наместо да се пренесуваат до низводниот рутер.
· За потребната услуга на HTTP, HTTPS или SSH, штиклирајте Овозможи · Изборно изменете ја портата за пресретнување на алтернативна порта (на пр. 8443 за HTTPS), ова е корисно ако
сакаат да продолжат да му дозволуваат на низводниот рутер да остане достапен преку неговата редовна порта. 3.13.5 Статус на премин на IP Освежете ја страницата до view делот Статус. Ја прикажува надворешната IP адреса на модемот што се пренесува, внатрешната MAC адреса на низводниот рутер (населена само кога низводниот рутер го прифаќа закупот DHCP) и целокупниот статус на работа на услугата IP Passthrough. Може да бидете предупредени за статусот на неуспех на низводниот рутер со конфигурирање на Проверка за користење на рутирани податоци под Предупредувања и евиденција > Автоматски одговор. 3.13.6 Забелешки Некои низводни рутери може да се некомпатибилни со маршрутата на портата. Ова може да се случи кога IP Passthrough премостува 3G мобилна мрежа каде што адресата на портата е дестинација од точка до точка и нема достапни информации за подмрежата. Opengear испраќа DHCP мрежна маска од 255.255.255.255. Уредите вообичаено го толкуваат ова како единствена маршрута на домаќинот на интерфејсот, но некои постари уреди надолу може да имаат проблеми.
70
Упатство за употреба
Пресретнувањата за локални услуги нема да работат ако Opengear користи стандардна рута различна од модемот. Исто така, тие нема да работат освен ако услугата не е овозможена и пристапот до услугата е овозможен (видете Систем > Услуги, во картичката Пристап до услуги, пронајдете Dialout/Cellular).
Поддржани се излезни врски кои потекнуваат од Opengear до далечински услуги (на пр. испраќање SMTP-мејл предупредувања, SNMP стапици, добивање NTP време, IPSec тунели). Постои мал ризик од неуспех на врската доколку и Opengear и downstream уредот се обидат да пристапат до истата UDP или TCP порта на истиот далечински хост во исто време кога по случаен избор го избрале истиот изворен број на локална порта.
3.14 Конфигурација преку DHCP (ZTP)
Opengear уредите може да се обезбедат за време на нивното почетно подигање од серверот DHCPv4 или DHCPv6 користејќи config-over-DHCP. Обезбедувањето на недоверливи мрежи може да се олесни со обезбедување клучеви на USB флеш-уред. Функционалноста ZTP може да се користи и за да се изврши надградба на фирмверот при првично поврзување со мрежата или да се запише во примерок Lighthouse 5.
Подготовка Типичните чекори за конфигурација преку доверлива мрежа се:
1. Конфигурирајте уред Opengear од ист модел. 2. Зачувајте ја неговата конфигурација како резервна копија на Opengear (.opg) file. 3. Изберете System > Configuration Backup > Remote Backup. 4. Кликнете Зачувај резервна копија. Резервна конфигурација file — model-name_iso-format-date_config.opg — се презема од уредот Opengear во локалниот систем. Можете да ја зачувате конфигурацијата како xml file: 1. Изберете System > Configuration Backup > XML Configuration. Поле што може да се уредува што содржи
конфигурација file во XML формат се појавува. 2. Кликнете во полето за да го направите активно. 3. Ако користите кој било прелистувач на Windows или Linux, кликнете со десното копче и изберете Изберете ги сите од
контекстуално мени или притиснете Control-A. Десен-клик и изберете Копирај од контекстуалното мени или притиснете Control-C. 4. Ако користите кој било прелистувач на macOS, изберете Уреди > Изберете ги сите или притиснете Command-A. Изберете Уреди > Копирај или притиснете Command-C. 5. Во претпочитаниот уредувач на текст, креирајте нов празен документ, залепете ги копираните податоци во празниот документ и зачувајте го file. Што и да е file-име што ќе го изберете, мора да го содржи .xml fileнаставка за име. 6. Копирајте ги зачуваните .opg или .xml file во именик со јавен изглед на a file сервер кој опслужува барем еден од следниве протоколи: HTTPS, HTTP, FTP или TFTP. (Само HTTPS може да се користи ако врската помеѓу file серверот и уредот Opengear што треба да се конфигурира патува преку недоверлива мрежа.). 7. Конфигурирајте го вашиот DHCP сервер да вклучува опција „специфични за продавачот“ за уредите Opengear. (Ова ќе биде направено на начин специфичен за DHCP сервер.) Опцијата специфична за продавачот треба да биде поставена на низа што содржи URL на објавените .opg или .xml file во чекорот погоре. Низата со опции не смее да надминува 250 знаци и мора да завршува или на .opg или .xml.
71
Поглавје 3: Сериска порта, уред и корисничка конфигурација
8. Поврзете нов уред Opengear, или фабрички ресетиран или Config-Erased, на мрежата и напојувајте. Може да потрае до 5 минути за уредот да се рестартира сам.
Exampле ISC DHCP (dhcpd) конфигурација на серверот
Следниве е ексampфрагмент за конфигурација на серверот DHCP за опслужување на конфигурациска слика .opg преку серверот ISC DHCP, dhcpd:
Опција простор за отворена опрема ширина 1 должина ширина 1; опција opengear.config-url код 1 = текст; класа „opengear-config-over-dhcp-test“ {
одговара ако опција продавач-класа-идентификатор ~~ „^Opengear/“; продавач-опција-простор отворена опрема; опција opengear.config-url „https://example.com/opg/${class}.opg“; }
Ова поставување може да се измени за да се надгради конфигурациската слика со помош на opengear.image-url опција и обезбедување URI на сликата на фирмверот.
Поставување кога LAN не е доверлив Ако врската помеѓу file серверот и уредот Opengear што треба да се конфигурира вклучува недоверлива мрежа, пристапот со две раце може да го ублажи проблемот.
ЗАБЕЛЕШКА Овој пристап воведува два физички чекори каде довербата може да биде тешко, ако не и невозможно, целосно да се воспостави. Прво, синџирот на чување од создавањето на USB флеш-уредот што носи податоци до неговото распоредување. Второ, рацете што го поврзуваат USB флеш-уредот со уредот Opengear.
· Создадете сертификат X.509 за уредот Opengear.
· Поврзете го сертификатот и неговиот приватен клуч во сингл file именуван клиент.pem.
· Копирајте го client.pem на USB флеш-уред.
· Поставете HTTPS сервер така што ќе има пристап до .opg или .xml file е ограничено на клиенти кои можат да го обезбедат сертификатот за клиент X.509 генериран погоре.
· Ставете копија од сертификатот CA што го потпиша сертификатот на HTTP серверот — ca-bundle.crt — на USB флеш-уредот што го носи client.pem.
· Вметнете го USB флеш-уредот во уредот Opengear пред да прикачите струја или мрежа.
· Продолжете со постапката од `Копирај ги зачуваните .opg или .xml file во именик со јавен изглед на a file сервер“ погоре со користење на протоколот HTTPS помеѓу клиентот и серверот.
Подгответе USB-диск и креирајте го сертификатот X.509 и приватниот клуч
· Генерирајте го сертификатот CA за да може да се потпишат барањата за потпишување сертификати (CSR) на клиентот и серверот.
# cp /etc/ssl/openssl.cnf. # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/сериски # ехо 00 > прampleCA/crlnumber # допир прampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ПрampleCA # cp demoCA/cacert.pem ca-bundle.crt
Оваа постапка генерира сертификат наречен ПрampleCA, но може да се користи секое дозволено име на сертификатот. Исто така, оваа постапка користи openssl ca. Ако вашата организација има безбеден процес на генерирање CA во целата компанија, тој треба да се користи наместо тоа.
72
Упатство за употреба
· Генерирајте го сертификатот за серверот.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-клучfile ca.key -policy policy_anything -batch -notext
ЗАБЕЛЕШКА Името на домаќинот или IP адресата мора да бидат истата низа што се користи во сервирањето URLНа Во поранешниотampле погоре, името на домаќинот е demo.example.com.
· Генерирајте го сертификатот за клиентот.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-клучfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Форматирајте USB флеш-уред како единствен волумен на FAT32.
· Преместете ги client.pem и ca-bundle.crt files во root директориумот на флеш-уредот.
Дебагирање на проблеми со ZTP Користете ја функцијата за евиденција на ZTP за да ги отстраните проблемите со ZTP. Додека уредот се обидува да изврши операции со ZTP, информациите за дневникот се запишуваат на /tmp/ztp.log на уредот.
Следниве е ексampле од дневникот file од успешното извршување на ZTP.
# cat /tmp/ztp.log Сре 13 декември 22:22:17 UTC 2017 [5127 известување] odhcp6c.eth0: враќање на конфигурацијата преку DHCP Сре 13 декември 22:22:17 UTC 2017 [5127 стр: известување6cs.0th. за да се реши мрежата Сре 10 декември 13:22:22 UTC 27 [2017 известување] odhcp5127c.eth6: NTP е прескокнат: нема сервер Сре Дек 0 13:22:22 UTC 27 [2017 инфо] 'odhcp5127c.eth6. http://[fd0:1:07:2218::1350]/tftpboot/config.sh' Сре 44 декември 1:13:22 UTC 22 [27 инфо] odhcp2017c.eth5127: vendorspec.6 (n/a) сре Дек 0 2:13:22 UTC 22 [27 инфо] odhcp2017c.eth5127: vendorspec.6 (n/a) сред 0 декември 3:13:22 UTC 22 [27 инфо] odhcp2017c.eth5127 (vendorspec. ) Сре 6 декември 0:4:13 UTC 22 [22 инфо] odhcp27c.eth2017: vendorspec.5127 (n/a) сред 6 декември 0:5:13 UTC 22 [22 инфо] odhcp28c.eth2017 /а) среда 5127 декември 6:0:6 UTC 13 [22 инфо] odhcp22c.eth28: нема фирмвер за преземање (продавач спец.2017) резервна копија-url: обидувајќи се http://[fd07:2218:1350:44::1]/tftpboot/config.sh … резервна копија-url: принудување на режимот за конфигурација wan на резервна копија на DHCP-url: поставување на името на домаќинот на acm7004-0013c601ce97 резервна копија-url: вчитувањето успешно Сре 13 декември 22:22:36 UTC 2017 [5127 известување] odhcp6c.eth0: успешно вчитување на конфигурацијата Сре 13 декември 22:22:36 UTC 2017 [5127 инфо] odhcp6c.lighthouseor specuration no: 0/3/4) среда 5 декември 6:13:22 UTC 22 [36 известување] odhcp2017c.eth5127: обезбедувањето е завршено, не се рестартира
Во овој дневник се запишуваат грешки.
3.15 Запишување во Lighthouse
Користете го Enrollment во Lighthouse за да запишете Opengear уреди во примерок Lighthouse, обезбедувајќи централизиран пристап до портите на конзолата и дозволувајќи централна конфигурација на Opengear уредите.
Погледнете го упатството за употреба на Lighthouse за инструкции за запишување Opengear уреди во Lighthouse.
73
Поглавје 3: Сериска порта, уред и корисничка конфигурација
3.16 Овозможете реле DHCPv4
Услуга за реле DHCP ги препраќа DHCP пакетите помеѓу клиентите и оддалечените DHCP сервери. Услугата за реле DHCP може да се овозможи на конзолен сервер Opengear, така што таа ги слуша DHCP-клиентите на назначените долни интерфејси, ги обвиткува и препраќа нивните пораки до серверите DHCP користејќи нормално рутирање или емитување директно на назначените горни интерфејси. Агентот за реле DHCP на тој начин прима DHCP пораки и генерира нова DHCP порака за испраќање на друг интерфејс. Во чекорите подолу, серверите на конзолата може да се поврзат со идентификатори на кола, етернет или мобилни модеми користејќи услуга DHCPv4 Relay.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Инфраструктура – Локален DHCP сервер, ACM7004-5 за реле, сите други уреди за клиенти. Секој уред со улога на LAN може да се користи како реле. Во овој ексample, 192.168.79.242 е адресата за релеираниот интерфејс на клиентот (како што е дефинирано во конфигурацијата на серверот DHCP file погоре) и 192.168.79.244 е горната адреса на интерфејсот на релејската кутија, а enp112s0 е долниот интерфејс на серверот DHCP.
1 Инфраструктура – DHCPv4 реле + DHCP опција 82 (коло-id)
Чекори на серверот DHCP 1. Поставете локален DHCP v4 сервер, особено, тој треба да содржи запис „домаќин“ како подолу за клиентот DHCP: домаќин cm7116-2-dac { # хардверски етернет 00:13:C6:02:7E :41; agent.circuit-id “relay1”; фиксна адреса 192.168.79.242; } Забелешка: линијата „хардверски етернет“ е исклучена, така што серверот DHCP ќе ја користи поставката „Circuit-id“ за да додели адреса за релевантниот клиент. 2. Рестартирајте го DHCP-серверот за повторно да ја вчитате неговата изменета конфигурација file. pkill -HUP dhcpd
74
Упатство за употреба
3. Рачно додајте маршрута за домаќин на интерфејсот „пренесен“ со клиент (интерфејсот зад релето DHCP, а не други интерфејси што клиентот исто така може да ги има:
sudo ip route add 192.168.79.242/32 преку 192.168.79.244 dev enp112s0 Ова ќе помогне да се избегне проблемот со асиметрично рутирање кога клиентот и DHCP серверот би сакале да пристапат еден до друг преку релеираниот интерфејс на клиентот, кога клиентот има други интерфејси во истиот подмрежа на базенот за адреси DHCP.
Забелешка: Овој чекор е неопходен за поддршка на dhcp серверот и клиентот кои можат да пристапуваат еден до друг.
Чекори на кутијата за реле - ACM7004-5
1. Поставете WAN/eth0 во статичен или dhcp режим (не неконфигуриран режим). Ако е во статичен режим, мора да има IP адреса во базенот на адреси на DHCP серверот.
2. Применете ја оваа конфигурација преку CLI (каде што 192.168.79.1 е адресата на серверот DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Долниот интерфејс на релето DHCP мора да има статична IP адреса во базенот за адреси на DHCP серверот. Во овој ексample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Почекајте кратко време за клиентот да добие DHCP закуп преку релето.
Чекори за клиентот (CM7116-2-dac во овој прample или кој било друг OG CS)
1. Приклучете ја LAN/eth1 на клиентот во LAN/eth1 на релето 2. Конфигурирајте ја LAN мрежата на клиентот да добива IP адреса преку DHCP како што е вообичаено 3. Откако ќе се заклучи
Документи / ресурси
 |
Opengear ACM7000 Remote Site Gateway [pdf] Упатство за користење ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway |