Manual Pengguna Gerbang Tapak Jauh ACM7000 opengear

Jangan sambungkan atau putuskan sambungan pelayan konsol semasa ribut elektrik. Sentiasa gunakan penekan lonjakan atau UPS untuk melindungi peralatan daripada sementara.

Amaran FCC:

Peranti ini mematuhi Bahagian 15 peraturan FCC. Pengendalian peranti ini tertakluk kepada syarat berikut: (1) Peranti ini tidak boleh menyebabkan gangguan berbahaya, dan (2) peranti ini mesti menerima sebarang gangguan yang boleh menyebabkan operasi yang tidak diingini.

Soalan Lazim

S: Bolehkah saya menggunakan Gerbang Tapak Jauh ACM7000 semasa ribut elektrik?
- A: Tidak, dinasihatkan untuk tidak menyambung atau memutuskan sambungan pelayan konsol semasa ribut elektrik untuk mengelakkan kerosakan.

S: Apakah versi peraturan FCC yang dipatuhi peranti?
- A: Peranti mematuhi Bahagian 15 peraturan FCC.

View Fullscreen

Manual Pengguna
ACM7000 Gateway Tapak Jauh ACM7000-L Resilience Gateway IM7200 Pengurus Infrastruktur CM7100 Pelayan Konsol
Versi 5.0 – 2023-12

Keselamatan
Ikuti langkah berjaga-jaga keselamatan di bawah semasa memasang dan mengendalikan pelayan konsol: · Jangan tanggalkan penutup logam. Tiada komponen yang boleh diservis oleh pengendali di dalamnya. Membuka atau menanggalkan penutup mungkin mendedahkan anda kepada voltage yang boleh menyebabkan kebakaran atau kejutan elektrik. Rujuk semua perkhidmatan kepada kakitangan yang berkelayakan Opengear. · Untuk mengelakkan kejutan elektrik, konduktor pembumian pelindung kord kuasa mesti disambungkan ke tanah. · Sentiasa tarik palam, bukan kabel, apabila mencabut kord kuasa daripada soket.
Jangan sambungkan atau putuskan sambungan pelayan konsol semasa ribut elektrik. Juga gunakan penekan lonjakan atau UPS untuk melindungi peralatan daripada sementara.
Kenyataan Amaran FCC
Peranti ini mematuhi Bahagian 15 peraturan FCC. Pengendalian peranti ini tertakluk kepada perkara berikut
syarat: (1) Peranti ini tidak boleh menyebabkan gangguan berbahaya, dan (2) peranti ini mesti menerima sebarang gangguan yang boleh menyebabkan operasi yang tidak diingini.
Sistem sandaran yang betul dan peranti keselamatan yang diperlukan hendaklah digunakan untuk melindungi daripada kecederaan, kematian atau kerosakan harta benda akibat kegagalan sistem. Perlindungan sedemikian adalah tanggungjawab pengguna. Peranti pelayan konsol ini tidak diluluskan untuk digunakan sebagai sistem sokongan hayat atau perubatan. Sebarang perubahan atau pengubahsuaian yang dibuat pada peranti pelayan konsol ini tanpa kelulusan atau persetujuan jelas Opengear akan membatalkan Opengear daripada sebarang liabiliti atau tanggungjawab kecederaan atau kerugian yang disebabkan oleh sebarang kerosakan. Peralatan ini adalah untuk kegunaan dalaman dan semua pendawaian komunikasi terhad kepada bahagian dalam bangunan.
2

Manual Pengguna
Hak Cipta
©Opengear Inc. 2023. Hak Cipta Terpelihara. Maklumat dalam dokumen ini tertakluk kepada perubahan tanpa notis dan tidak mewakili komitmen di pihak Opengear. Opengear menyediakan dokumen ini "seadanya", tanpa sebarang jenis waranti, tersurat atau tersirat, termasuk, tetapi tidak terhad kepada, waranti tersirat kesesuaian atau kebolehdagangan untuk tujuan tertentu. Opengear boleh membuat penambahbaikan dan/atau perubahan dalam manual ini atau dalam produk dan/atau program yang diterangkan dalam manual ini pada bila-bila masa. Produk ini mungkin termasuk ketidaktepatan teknikal atau kesilapan tipografi. Perubahan dibuat secara berkala pada maklumat di sini; perubahan ini boleh digabungkan dalam edisi baharu penerbitan.\

Bab 1

Manual ini

MANUAL INI

Manual Pengguna ini menerangkan memasang, mengendalikan dan mengurus pelayan konsol Opengear. Manual ini menganggap anda sudah biasa dengan rangkaian Internet dan IP, HTTP, FTP, operasi keselamatan asas dan rangkaian dalaman organisasi anda.
1.1 Jenis pengguna
Pelayan konsol menyokong dua kelas pengguna:
· Pentadbir yang mempunyai konfigurasi tanpa had dan keistimewaan pengurusan ke atas konsol
pelayan dan peranti bersambung serta semua perkhidmatan dan port untuk mengawal semua peranti bersiri yang disambungkan dan peranti bersambung rangkaian (hos). Pentadbir ditetapkan sebagai ahli kumpulan pengguna pentadbir. Pentadbir boleh mengakses dan mengawal pelayan konsol menggunakan utiliti konfigurasi, baris arahan Linux atau Konsol Pengurusan berasaskan pelayar.
· Pengguna yang telah ditetapkan oleh pentadbir dengan had kuasa akses dan kawalan mereka.
Pengguna mempunyai terhad view daripada Konsol Pengurusan dan hanya boleh mengakses peranti yang dikonfigurasikan dibenarkan dan semulaview log pelabuhan. Pengguna ini disediakan sebagai ahli satu atau lebih kumpulan pengguna yang diprakonfigurasikan seperti PPTPD, dialin, FTP, pmshell, pengguna atau kumpulan pengguna yang mungkin telah dibuat oleh pentadbir. Mereka hanya diberi kuasa untuk melaksanakan kawalan tertentu pada peranti bersambung tertentu. Pengguna, apabila dibenarkan, boleh mengakses dan mengawal peranti bersiri atau rangkaian yang disambungkan menggunakan perkhidmatan tertentu (cth Telnet, HHTPS, RDP, IPMI, Bersiri melalui LAN, Kawalan Kuasa). Pengguna jauh ialah pengguna yang tidak berada dalam segmen LAN yang sama dengan pelayan konsol. Pengguna jauh mungkin berada di jalan yang menyambung ke peranti terurus melalui Internet awam, pentadbir di pejabat lain yang menyambung ke pelayan konsol melalui VPN perusahaan, atau di dalam bilik yang sama atau pejabat yang sama tetapi disambungkan pada VLAN yang berasingan ke konsol pelayan.
1.2 Konsol Pengurusan
Konsol Pengurusan Opengear membolehkan anda mengkonfigurasi dan memantau ciri pelayan konsol Opengear anda. Konsol Pengurusan berjalan dalam penyemak imbas dan menyediakan a view pelayan konsol dan semua peranti yang disambungkan. Pentadbir boleh menggunakan Konsol Pengurusan untuk mengkonfigurasi dan mengurus pelayan konsol, pengguna, port, hos, peranti kuasa dan log serta makluman yang berkaitan. Pengguna bukan pentadbir boleh menggunakan Konsol Pengurusan dengan akses menu terhad untuk mengawal peranti terpilih, semulaview log mereka, dan aksesnya menggunakan terbina dalam Web terminal.
Pelayan konsol menjalankan sistem pengendalian Linux terbenam, dan boleh dikonfigurasikan pada baris arahan. Anda boleh mendapatkan akses baris arahan melalui selular / dail masuk, menyambung terus ke port konsol/modem bersiri pelayan konsol, atau dengan menggunakan SSH atau Telnet untuk menyambung ke pelayan konsol melalui LAN (atau menyambung dengan PPTP, IPsec atau OpenVPN) .
6

Manual Pengguna
Untuk arahan antara muka baris arahan (CLI) dan arahan lanjutan, muat turun Opengear CLI dan Rujukan Skrip.pdf daripada https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Maklumat lanjut
Untuk maklumat lanjut, rujuk: · Produk Opengear Web Tapak: Lihat https://opengear.com/products. Untuk mendapatkan maklumat terkini tentang perkara yang disertakan dengan pelayan konsol anda, lawati bahagian Apa yang disertakan untuk produk tertentu anda. · Panduan Mula Pantas: Untuk mendapatkan Panduan Mula Pantas untuk peranti anda lihat https://opengear.com/support/documentation/. · Pangkalan Pengetahuan Opengear: Lawati https://opengear.zendesk.com untuk mengakses artikel cara teknikal, petua teknologi, Soalan Lazim dan pemberitahuan penting. · Opengear CLI dan Rujukan Skrip: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Bab 2:

Konfigurasi Sistem

KONFIGURASI SISTEM

Bab ini menyediakan arahan langkah demi langkah untuk konfigurasi awal pelayan konsol anda dan menyambungkannya ke LAN Pengurusan atau Operasi. Langkah-langkahnya ialah:
Aktifkan Konsol Pengurusan. Tukar kata laluan pentadbir. Tetapkan port LAN utama pelayan konsol alamat IP. Pilih perkhidmatan untuk didayakan dan akses keistimewaan. Bab ini juga membincangkan alat perisian komunikasi yang mungkin digunakan oleh pentadbir untuk mengakses pelayan konsol, dan konfigurasi port LAN tambahan.
2.1 Sambungan Konsol Pengurusan
Pelayan konsol anda dikonfigurasikan dengan Alamat IP lalai 192.168.0.1 dan subnet mask 255.255.255.0 untuk NET1 (WAN). Untuk konfigurasi awal, kami mengesyorkan anda menyambungkan komputer terus ke konsol. Jika anda memilih untuk menyambungkan LAN anda sebelum melengkapkan langkah persediaan awal, pastikan bahawa:
· Tiada peranti lain pada LAN dengan alamat 192.168.0.1. · Pelayan konsol dan komputer berada pada segmen LAN yang sama, tanpa penghala bersilang
peralatan.
2.1.1 Persediaan komputer yang disambungkan Untuk mengkonfigurasi pelayan konsol dengan penyemak imbas, komputer yang disambungkan harus mempunyai alamat IP dalam julat yang sama seperti pelayan konsol (contohnyaample, 192.168.0.100):
· Untuk mengkonfigurasi Alamat IP komputer Linux atau Unix anda, jalankan ifconfig. · Untuk PC Windows:
1. Klik Mula > Tetapan > Panel Kawalan dan klik dua kali Sambungan Rangkaian. 2. Klik kanan pada Local Area Connection dan pilih Properties. 3. Pilih Internet Protocol (TCP/IP) dan klik Properties. 4. Pilih Gunakan alamat IP berikut dan masukkan butiran berikut:
o Alamat IP: 192.168.0.100 o Topeng subnet: 255.255.255.0 5. Jika anda ingin mengekalkan tetapan IP sedia ada anda untuk sambungan rangkaian ini, klik Lanjutan dan Tambah di atas sebagai sambungan IP kedua.
2.1.2 Sambungan pelayar
Buka penyemak imbas pada PC / stesen kerja yang disambungkan dan masukkan https://192.168.0.1.
Log masuk dengan:
Nama pengguna> Kata Laluan akar> lalai
8

Manual Pengguna
Kali pertama anda log masuk, anda dikehendaki menukar kata laluan root. Klik Hantar.
Untuk melengkapkan perubahan, masukkan kata laluan baharu sekali lagi. Klik Hantar. Skrin Selamat Datang muncul.
Jika sistem anda mempunyai modem selular, anda akan diberi langkah untuk mengkonfigurasi ciri penghala selular: · Konfigurasikan sambungan modem selular (Sistem > Dail halaman. Lihat Bab 4) · Benarkan pemajuan ke rangkaian destinasi selular (Sistem > Halaman Firewall. Lihat Bab 4) · Dayakan penyamaran IP untuk sambungan selular (Sistem > Halaman Firewall. Lihat Bab 4)
Selepas melengkapkan setiap langkah di atas, anda boleh kembali ke senarai konfigurasi dengan mengklik logo Opengear di sudut kiri atas skrin. NOTA Jika anda tidak dapat menyambung ke Konsol Pengurusan di 192.168.0.1 atau jika lalai
Nama pengguna / Kata laluan tidak diterima, tetapkan semula pelayan konsol anda (Lihat Bab 10).
9

Bab 2: Konfigurasi Sistem
2.2 Persediaan Pentadbir
2.2.1 Tukar Kata Laluan Sistem akar lalai Anda dikehendaki menukar kata laluan akar apabila anda mula-mula log masuk ke peranti. Anda boleh menukar kata laluan ini pada bila-bila masa.
1. Klik Siri & Rangkaian > Pengguna & Kumpulan atau, pada skrin Selamat Datang, klik Tukar kata laluan pentadbiran lalai.
2. Tatal ke bawah dan cari entri pengguna akar di bawah Pengguna dan klik Edit. 3. Masukkan kata laluan baharu dalam ruangan Kata Laluan dan Sahkan.
NOTA Menyemak Simpan Kata Laluan merentas pemadaman perisian tegar menyimpan kata laluan supaya ia tidak terpadam apabila perisian tegar ditetapkan semula. Jika kata laluan ini hilang, peranti perlu dipulihkan perisian tegar.
4. Klik Guna. Log masuk dengan kata laluan baharu 2.2.2 Sediakan pentadbir baharu Cipta pengguna baharu dengan keistimewaan pentadbiran dan log masuk sebagai pengguna ini untuk fungsi pentadbiran, bukannya menggunakan root.
10

Manual Pengguna
1. Klik Siri & Rangkaian > Pengguna & Kumpulan. Tatal ke bahagian bawah halaman dan klik butang Tambah Pengguna.
2. Masukkan Nama Pengguna. 3. Dalam bahagian Kumpulan, tandai kotak pentadbir. 4. Masukkan kata laluan dalam medan Kata Laluan dan Sahkan.
5. Anda juga boleh menambah Kunci Dibenarkan SSH dan memilih untuk Lumpuhkan Pengesahan Kata Laluan untuk pengguna ini.
6. Pilihan tambahan untuk pengguna ini boleh ditetapkan pada halaman ini termasuk Pilihan Dail Masuk, Hos Boleh Diakses, Port Boleh Diakses dan Outlet RPC Boleh Diakses.
7. Klik butang Guna di bahagian bawah skrin untuk mencipta pengguna baharu ini.
11

Bab 2: Konfigurasi Sistem
2.2.3 Tambah Nama Sistem, Penerangan Sistem dan MOTD. 1. Pilih Sistem > Pentadbiran. 2. Masukkan Nama Sistem dan Perihalan Sistem untuk pelayan konsol untuk memberikannya ID unik dan menjadikannya lebih mudah untuk dikenal pasti. Nama Sistem boleh mengandungi daripada 1 hingga 64 aksara abjad angka dan aksara khas garis bawah (_), tolak (-), dan noktah (.). Penerangan Sistem boleh mengandungi sehingga 254 aksara.
3. Sepanduk MOTD boleh digunakan untuk memaparkan mesej teks hari kepada pengguna. Ia muncul di bahagian atas sebelah kiri skrin di bawah logo Opengear.
4. Klik Guna.
12

Bab 2: Konfigurasi Sistem
5. Pilih Sistem > Pentadbiran. 6. Sepanduk MOTD boleh digunakan untuk memaparkan mesej teks hari kepada pengguna. Ia muncul pada
kiri atas skrin di bawah logo Opengear. 7. Klik Guna.
2.3 Konfigurasi Rangkaian
Masukkan alamat IP untuk port Ethernet utama (LAN/Rangkaian/Rangkaian1) pada pelayan konsol atau dayakan klien DHCPnya untuk mendapatkan alamat IP secara automatik daripada pelayan DHCP. Secara lalai, pelayan konsol mendayakan klien DHCPnya dan secara automatik menerima sebarang alamat IP rangkaian yang diberikan oleh pelayan DHCP pada rangkaian anda. Dalam keadaan awal ini, pelayan konsol akan bertindak balas kepada kedua-dua alamat Statik lalai 192.168.0.1 dan alamat DHCPnya.
1. Klik Sistem > IP dan klik tab Antara Muka Rangkaian. 2. Pilih sama ada DHCP atau Statik untuk Kaedah Konfigurasi.
Jika anda memilih Statik, masukkan alamat IP, Subnet Mask, Gateway dan butiran pelayan DNS. Pilihan ini melumpuhkan klien DHCP.
12

Manual Pengguna
3. Port LAN pelayan konsol secara automatik mengesan kelajuan sambungan Ethernet. Gunakan senarai juntai bawah Media untuk mengunci Ethernet kepada 10 Mb/s atau 100Mb/s dan kepada Full Duplex atau Half Duplex.
Jika anda menghadapi kehilangan paket atau prestasi rangkaian yang lemah dengan tetapan Auto, tukar tetapan Media Ethernet pada pelayan konsol dan peranti yang disambungkan kepadanya. Dalam kebanyakan kes, tukar kedua-duanya kepada 100baseTx-FD (100 megabit, dupleks penuh).
4. Jika anda memilih DHCP, pelayan konsol akan mencari butiran konfigurasi daripada pelayan DHCP. Pilihan ini melumpuhkan sebarang alamat statik. Alamat MAC pelayan konsol boleh didapati pada label pada plat asas.
5. Anda boleh memasukkan alamat kedua atau senarai alamat yang dipisahkan koma dalam tatatanda CIDR, cth 192.168.1.1/24 sebagai Alias IP.
6. Klik Guna 7. Sambung semula pelayar pada komputer yang disambungkan ke pelayan konsol dengan memasukkan
http://your new IP address.
Jika anda menukar alamat IP pelayan konsol, anda perlu mengkonfigurasi semula komputer anda untuk mempunyai alamat IP dalam julat rangkaian yang sama dengan alamat pelayan konsol baharu. Anda boleh menetapkan MTU pada antara muka Ethernet. Ini ialah pilihan lanjutan untuk digunakan jika senario penggunaan anda tidak berfungsi dengan MTU lalai sebanyak 1500 bait. Untuk menetapkan MTU, klik Sistem > IP dan klik tab Antara Muka Rangkaian. Tatal ke bawah ke medan MTU dan masukkan nilai yang dikehendaki. Nilai yang sah adalah dari 1280 hingga 1500 untuk antara muka 100 megabit dan 1280 hingga 9100 untuk antara muka gigabit Jika penjembatan atau pengikatan dikonfigurasikan, set MTU pada halaman Antara Muka Rangkaian akan ditetapkan pada antara muka yang merupakan sebahagian daripada jambatan atau ikatan . NOTA Dalam sesetengah kes, pengguna yang dinyatakan MTU mungkin tidak berkuat kuasa. Sesetengah pemandu NIC mungkin membulatkan MTU bersaiz besar kepada nilai maksimum yang dibenarkan dan yang lain akan mengembalikan kod ralat. Anda juga boleh menggunakan arahan CLI untuk mengurus MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 semak
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode konfigurasi tanpa status .interfaces.wan.media Auto config.interfaces.wan.mod static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Bab 2: Konfigurasi Sistem
2.3.1 Konfigurasi IPv6 Antara muka Ethernet pelayan konsol menyokong IPv4 secara lalai. Mereka boleh dikonfigurasikan untuk operasi IPv6:
1. Klik Sistem > IP. Klik tab Tetapan Umum dan semak Dayakan IPv6. Jika mahu, klik kotak semak Lumpuhkan IPv6 untuk Selular.
2. Konfigurasikan parameter IPv6 pada setiap halaman antara muka. IPv6 boleh dikonfigurasikan untuk sama ada mod Automatik, yang akan menggunakan SLAAC atau DHCPv6 untuk mengkonfigurasi alamat, laluan dan DNS, atau mod Statik, yang membolehkan maklumat alamat dimasukkan secara manual.
2.3.2 Konfigurasi DNS Dinamik (DDNS) Dengan DNS Dinamik (DDNS), pelayan konsol yang alamat IPnya diberikan secara dinamik boleh didapati menggunakan hos atau nama domain tetap. Buat akaun dengan pembekal perkhidmatan DDNS yang disokong pilihan anda. Apabila anda menyediakan akaun DDNS anda, anda memilih nama pengguna, kata laluan dan nama hos yang akan anda gunakan sebagai nama DNS. Pembekal perkhidmatan DDNS membenarkan anda memilih nama hos URL dan tetapkan alamat IP awal untuk sepadan dengan nama hos itu URL.
14

Manual Pengguna
Untuk mendayakan dan mengkonfigurasi DDNS pada mana-mana sambungan rangkaian Ethernet atau selular pada pelayan konsol. 1. Klik Sistem > IP dan tatal ke bawah bahagian DNS Dinamik. Pilih pembekal perkhidmatan DDNS anda
daripada senarai DNS Dinamik lungsur turun. Anda juga boleh menetapkan maklumat DDNS di bawah tab Modem Selular di bawah Sistem > Dail.
2. Dalam Nama Hos DDNS, masukkan nama hos DNS yang layak sepenuhnya untuk pelayan konsol anda contohnya yourhostname.dyndns.org.
3. Masukkan Nama Pengguna DDNS dan Kata Laluan DDNS untuk akaun pembekal perkhidmatan DDNS. 4. Tentukan selang maksimum antara kemas kini dalam hari. Kemas kini DDNS akan dihantar walaupun jika
alamat tidak berubah. 5. Tentukan selang minimum antara semakan untuk alamat yang ditukar dalam beberapa saat. Kemas kini akan
dihantar jika alamat telah berubah. 6. Tentukan percubaan maksimum setiap kemas kini iaitu bilangan kali mencuba kemas kini
sebelum berputus asa. Ini ialah 3 secara lalai. 7. Klik Guna.
15

Bab 2: Konfigurasi Sistem
2.3.3 Mod EAPoL untuk WAN, LAN dan OOBFO
(OOBFO hanya terpakai untuk IM7216-2-24E-DAC sahaja)
Berakhirview EAPoL IEEE 802.1X, atau PNAC (Kawalan Akses Rangkaian Berasaskan Port) menggunakan ciri capaian fizikal infrastruktur LAN IEEE 802 untuk menyediakan cara untuk mengesahkan dan membenarkan peranti yang dilampirkan pada port LAN yang mempunyai titik ke- ciri sambungan titik, dan menghalang akses kepada port itu dalam kes yang pengesahan dan kebenaran gagal. Port dalam konteks ini ialah satu titik lampiran kepada infrastruktur LAN.
Apabila nod wayarles atau berwayar (WN) baharu meminta akses kepada sumber LAN, pusat akses (AP) meminta identiti WN. Tiada trafik selain EAP dibenarkan sebelum WN disahkan ("port" ditutup atau "tidak disahkan"). Nod wayarles yang meminta pengesahan selalunya dipanggil Supplicant, Supplicant bertanggungjawab untuk bertindak balas kepada data Authenticator yang akan mewujudkan bukti kelayakannya. Begitu juga dengan titik akses; Pengesah bukan titik akses. Sebaliknya, pusat akses mengandungi Pengesah. Pengesah tidak perlu berada di pusat akses; ia boleh menjadi komponen luaran. Kaedah Pengesahan berikut dilaksanakan:
· Pemohon EAP-MD5 o Kaedah EAP MD5-Challenge menggunakan nama pengguna/kata laluan biasa
· EAP-PEAP-MD5 o Kaedah pengesahan MD5 EAP PEAP (EAP Dilindungi) menggunakan bukti kelayakan pengguna dan sijil CA
· Kaedah pengesahan EAP-TLS o EAP TLS (Transport Layer Security) memerlukan sijil CA, sijil pelanggan dan kunci peribadi.
Protokol EAP, yang digunakan untuk pengesahan, pada asalnya digunakan untuk PPP dail. Identiti ialah nama pengguna, dan sama ada pengesahan PAP atau CHAP digunakan untuk menyemak kata laluan pengguna. Memandangkan identiti dihantar dengan jelas (tidak disulitkan), penghidu berniat jahat mungkin mengetahui identiti pengguna. Oleh itu, "Penyorok identiti" digunakan; identiti sebenar tidak dihantar sebelum terowong TLS yang disulitkan selesai.
16

Manual Pengguna
Selepas identiti dihantar, proses pengesahan bermula. Protokol yang digunakan antara Pembekal dan Pengesah ialah EAP, (atau EAPoL). Pengesah merangkum semula mesej EAP kepada format RADIUS dan menghantarnya ke Pelayan Pengesahan. Semasa pengesahan, Pengesah menyampaikan paket antara Pembekal dan Pelayan Pengesahan. Apabila proses pengesahan selesai, Pelayan Pengesahan menghantar mesej kejayaan (atau kegagalan, jika pengesahan gagal). Pengesah kemudiannya membuka "port" untuk Pemohon. Tetapan pengesahan boleh diakses dari halaman Tetapan Pembekal EAPoL. Status EAPoL semasa dipaparkan secara terperinci pada halaman Statistik Status pada tab EAPoL:
Abstraksi EAPoL pada ROLE rangkaian dipaparkan dalam bahagian "Pengurus Sambungan" pada antara muka Papan Pemuka.
17

Bab 2: Konfigurasi Sistem
Ditunjukkan di bawah ialah bekasample pengesahan yang berjaya:
Sokongan IEEE 802.1x (EAPOL) pada port suis IM7216-2-24E-DAC dan ACM7004-5: Untuk mengelakkan gelung, pengguna tidak boleh memasangkan lebih daripada satu port suis ke suis peringkat atas yang sama.
18

Manual Pengguna
2.4 Akses Perkhidmatan dan Perlindungan Brute Force
Pentadbir boleh mengakses pelayan konsol dan port bersiri yang disambungkan serta peranti terurus menggunakan pelbagai protokol/perkhidmatan akses. Untuk setiap akses
· Perkhidmatan mesti terlebih dahulu dikonfigurasikan dan didayakan untuk dijalankan pada pelayan konsol. · Akses melalui tembok api mesti didayakan untuk setiap sambungan rangkaian. Untuk mendayakan dan mengkonfigurasi perkhidmatan: 1. Klik Sistem > Perkhidmatan dan klik tab Tetapan Perkhidmatan.

2. Dayakan dan konfigurasikan perkhidmatan asas:

HTTP

Secara lalai, perkhidmatan HTTP sedang berjalan dan tidak boleh dilumpuhkan sepenuhnya. Secara lalai, akses HTTP dilumpuhkan pada semua antara muka. Kami mengesyorkan akses ini kekal dilumpuhkan jika pelayan konsol diakses dari jauh melalui Internet.
HTTP alternatif membolehkan anda mengkonfigurasi port HTTP alternatif untuk mendengar. Perkhidmatan HTTP akan terus mendengar pada port TCP 80 untuk CMS dan komunikasi penyambung tetapi tidak boleh diakses melalui tembok api.

HTTPS

Secara lalai, perkhidmatan HTTPS sedang berjalan dan didayakan pada semua antara muka rangkaian. Adalah disyorkan bahawa hanya akses HTTPS digunakan jika pelayan konsol ingin diuruskan melalui mana-mana rangkaian awam. Ini memastikan pentadbir mempunyai akses pelayar selamat kepada semua menu pada pelayan konsol. Ia juga membenarkan pengguna yang dikonfigurasikan dengan sewajarnya mengamankan akses pelayar ke menu Urus yang dipilih.
Perkhidmatan HTTPS boleh dilumpuhkan atau didayakan semula dengan menyemak HTTPS Web Pengurusan dan port ganti yang ditentukan (port lalai ialah 443).

Telnet

Secara lalai perkhidmatan Telnet sedang berjalan tetapi dilumpuhkan pada semua antara muka rangkaian.
Telnet boleh digunakan untuk memberikan akses pentadbir kepada shell baris arahan sistem. Perkhidmatan ini mungkin berguna untuk pentadbir tempatan dan akses pengguna kepada konsol bersiri yang dipilih. Kami mengesyorkan anda melumpuhkan perkhidmatan ini jika pelayan konsol ditadbir dari jauh.
Kotak semak Enable Telnet command shell akan mendayakan atau melumpuhkan perkhidmatan Telnet. Port Telnet alternatif untuk mendengar boleh ditentukan dalam Port Telnet Ganti (port lalai ialah 23).

Bab 2: Konfigurasi Sistem

SSH

Perkhidmatan ini menyediakan akses SSH selamat kepada pelayan konsol dan peranti yang dilampirkan

dan secara lalai perkhidmatan SSH sedang berjalan dan didayakan pada semua antara muka. Ia adalah

mengesyorkan anda memilih SSH sebagai protokol tempat pentadbir menyambung kepadanya

pelayan konsol melalui Internet atau mana-mana rangkaian awam lain. Ini akan menyediakan

komunikasi yang disahkan antara program klien SSH pada alat kawalan jauh

komputer dan pelayan SSH dalam pelayan konsol. Untuk maklumat lanjut tentang SSH

konfigurasi Lihat Bab 8 – Pengesahan.

Kotak semak Enable SSH command shell akan mendayakan atau melumpuhkan perkhidmatan ini. Port SSH alternatif untuk mendengar boleh ditentukan dalam port shell arahan SSH (port lalai ialah 22).

3. Dayakan dan konfigurasikan perkhidmatan lain:

TFTP/FTP Jika kad denyar USB atau denyar dalaman dikesan pada pelayan konsol, semak Dayakan perkhidmatan TFTP (FTP) mendayakan perkhidmatan ini dan sediakan pelayan tftp dan ftp lalai pada denyar USB. Pelayan ini digunakan untuk menyimpan konfigurasi files, mengekalkan akses dan log transaksi dsb. Files yang dipindahkan menggunakan tftp dan ftp akan disimpan di bawah /var/mnt/storage.usb/tftpboot/ (atau /var/mnt/storage.nvlog/tftpboot/ pada peranti ACM7000series). Nyahtanda Dayakan perkhidmatan TFTP (FTP) akan melumpuhkan perkhidmatan TFTP (FTP).

Semakan Geganti DNS Dayakan Pelayan/Geganti DNS mendayakan ciri geganti DNS supaya pelanggan boleh dikonfigurasikan dengan IP pelayan konsol untuk tetapan pelayan DNS mereka, dan pelayan konsol akan memajukan pertanyaan DNS ke pelayan DNS sebenar.

Web Semakan Terminal Dayakan Web Terminal membenarkan web akses penyemak imbas ke shell baris arahan sistem melalui Urus > Terminal.

4. Tentukan nombor port ganti untuk TCP Mentah, perkhidmatan Telnet/SSH terus dan Telnet/SSH yang tidak disahkan. Pelayan konsol menggunakan julat khusus untuk port TCP/IP untuk pelbagai akses
perkhidmatan yang boleh digunakan pengguna untuk mengakses peranti yang dilampirkan pada port bersiri (seperti yang diliputi dalam Bab 3 Konfigurasi Port Bersiri). Pentadbir boleh menetapkan julat ganti untuk perkhidmatan ini dan port kedua ini akan digunakan sebagai tambahan kepada lalai.

Alamat port asas TCP/IP lalai untuk akses Telnet ialah 2000, dan julat untuk Telnet ialah Alamat IP: Port (2000 + port bersiri #) iaitu 2001 2048. Jika pentadbir menetapkan 8000 sebagai pangkalan kedua untuk Telnet, bersiri port #2 pada pelayan konsol boleh diakses oleh Telnet di IP
Alamat:2002 dan di Alamat IP:8002. Pangkalan lalai untuk SSH ialah 3000; untuk TCP Mentah ialah 4000; dan untuk RFC2217 ialah 5000

5. Perkhidmatan lain boleh didayakan dan dikonfigurasikan daripada menu ini dengan memilih Klik di sini untuk mengkonfigurasi:

Akses Nagios kepada daemon pemantauan Nagios NRPE

KACANG

Akses kepada daemon pemantauan NUT UPS

SNMP Mendayakan snmp dalam pelayan konsol. SNMP dilumpuhkan secara lalai

NTP

6. Klik Guna. Mesej pengesahan muncul: Mesej Perubahan kepada konfigurasi berjaya

Tetapan Akses Perkhidmatan boleh ditetapkan untuk membenarkan atau menyekat akses. Ini menentukan perkhidmatan yang didayakan yang boleh digunakan oleh pentadbir pada setiap antara muka rangkaian untuk menyambung ke pelayan konsol dan melalui pelayan konsol ke peranti bersiri dan rangkaian yang dilampirkan.

Manual Pengguna
1. Pilih tab Akses Perkhidmatan pada halaman Sistem > Perkhidmatan.
2. Ini memaparkan perkhidmatan yang didayakan untuk antara muka rangkaian pelayan konsol. Bergantung pada model pelayan konsol tertentu, antara muka yang dipaparkan mungkin termasuk: · Antara muka rangkaian (untuk sambungan Ethernet utama) · Pengurusan LAN / OOB Failover (sambungan Ethernet kedua) · Dail / Selular (modem V90 dan 3G) · Dail masuk (dalaman). atau modem V90 luaran) · VPN (sambungan IPsec atau Open VPN melalui mana-mana antara muka rangkaian)
3. Tandakan/nyahtanda untuk setiap rangkaian akses perkhidmatan yang akan didayakan/dilumpuhkan Pilihan akses perkhidmatan Respons kepada gema ICMP (iaitu ping) yang boleh dikonfigurasikan pada s initage. Ini membolehkan pelayan konsol bertindak balas kepada permintaan gema ICMP yang masuk. Ping didayakan secara lalai. Untuk meningkatkan keselamatan, anda harus melumpuhkan perkhidmatan ini apabila anda melengkapkan konfigurasi awal Anda boleh membenarkan peranti port bersiri untuk diakses daripada antara muka rangkaian yang dicalonkan menggunakan TCP Mentah, Telnet/SSH langsung, perkhidmatan Telnet/SSH yang tidak disahkan, dsb.
4. Klik Guna Web Tetapan Pengurusan Kotak semak Dayakan HSTS membolehkan keselamatan pengangkutan ketat HTTP yang ketat. Mod HSTS bermakna pengepala StrictTransport-Security harus dihantar melalui pengangkutan HTTPS. Seorang yang patuh web penyemak imbas mengingati pengepala ini dan apabila diminta untuk menghubungi hos yang sama melalui HTTP (biasa) ia akan bertukar secara automatik ke
19

Bab 2: Konfigurasi Sistem
HTTPS sebelum mencuba HTTP, selagi penyemak imbas telah mengakses tapak selamat sekali dan melihat pengepala STS.
Perlindungan Brute Force Perlindungan brute force (Micro Fail2ban) menyekat sementara IP sumber yang menunjukkan tanda hasad, seperti terlalu banyak kegagalan kata laluan. Ini mungkin membantu apabila perkhidmatan rangkaian peranti terdedah kepada rangkaian yang tidak dipercayai seperti WAN awam dan serangan berskrip atau cecacing perisian cuba meneka (brute force) kelayakan pengguna dan mendapatkan akses tanpa kebenaran.

Perlindungan Brute Force mungkin didayakan untuk perkhidmatan yang disenaraikan. Secara lalai, sebaik sahaja perlindungan didayakan 3 atau lebih percubaan sambungan yang gagal dalam masa 60 saat daripada IP sumber tertentu mencetuskan ia dilarang daripada menyambung untuk tempoh masa yang boleh dikonfigurasikan. Had percubaan dan tamat masa Larangan mungkin disesuaikan. Larangan Aktif juga disenaraikan dan boleh dimuat semula dengan memuatkan semula halaman.

NOTA

Apabila berjalan pada rangkaian yang tidak dipercayai, pertimbangkan untuk menggunakan pelbagai strategi yang digunakan untuk mengunci akses jauh. Ini termasuk pengesahan kunci awam SSH, VPN dan Peraturan Firewall untuk
membenarkan akses jauh dari rangkaian sumber yang dipercayai sahaja. Lihat Pangkalan Pengetahuan Opengear untuk butiran.

2.5 Perisian Komunikasi
Anda telah mengkonfigurasi protokol akses untuk digunakan oleh klien pentadbir semasa menyambung ke pelayan konsol. Pelanggan pengguna juga menggunakan protokol ini apabila mengakses peranti bersiri pelayan konsol dan hos yang dilampirkan rangkaian. Anda memerlukan alat perisian komunikasi yang disediakan pada komputer pentadbir dan pelanggan pengguna. Untuk menyambung anda boleh menggunakan alatan seperti PuTTY dan SSHTerm.

Manual Pengguna
Penyambung yang tersedia secara komersial menggabungkan protokol terowong SSH yang dipercayai dengan alat capaian popular seperti Telnet, SSH, HTTP, HTTPS, VNC, RDP untuk menyediakan akses pengurusan jauh selamat titik dan klik kepada semua sistem dan peranti yang diuruskan. Maklumat tentang menggunakan penyambung untuk akses penyemak imbas ke Konsol Pengurusan pelayan konsol, akses Telnet/SSH ke baris arahan pelayan konsol dan TCP/UDP yang menyambung kepada hos yang rangkaian disambungkan ke pelayan konsol boleh didapati dalam Bab 5. Penyambung boleh dipasang pada PC Windows, Mac OS X dan pada kebanyakan sistem Linux, UNIX dan Solaris.
2.6 Konfigurasi Rangkaian Pengurusan
Pelayan konsol mempunyai port rangkaian tambahan yang boleh dikonfigurasikan untuk menyediakan akses LAN pengurusan dan/atau failover atau akses luar jalur. 2.6.1 Dayakan pelayan Konsol LAN Pengurusan boleh dikonfigurasikan supaya port Ethernet kedua menyediakan get laluan LAN pengurusan. Pintu masuk mempunyai ciri firewall, penghala dan pelayan DHCP. Anda perlu menyambungkan suis LAN luaran ke Rangkaian 2 untuk melampirkan hos pada LAN pengurusan ini:
NOTA Port Ethernet kedua boleh dikonfigurasikan sama ada sebagai port gerbang LAN Pengurusan atau sebagai port OOB/Failover. Pastikan anda tidak memperuntukkan NET2 sebagai Antara Muka Failover apabila anda mengkonfigurasi sambungan Rangkaian utama pada menu Sistem > IP.
21

Bab 2: Konfigurasi Sistem
Untuk mengkonfigurasi get laluan LAN Pengurusan: 1. Pilih tab Antara Muka LAN Pengurusan pada menu Sistem > IP dan nyahtanda Disable. 2. Konfigurasikan Alamat IP dan Subnet Mask untuk LAN Pengurusan. Biarkan medan DNS kosong. 3. Klik Guna.
Fungsi get laluan pengurusan didayakan dengan tembok api lalai dan peraturan penghala dikonfigurasikan supaya LAN Pengurusan hanya boleh diakses oleh pemajuan port SSH. Ini memastikan sambungan jauh dan tempatan ke peranti Terurus pada LAN Pengurusan adalah selamat. Port LAN juga boleh dikonfigurasikan dalam mod terjepit atau terikat atau dikonfigurasikan secara manual daripada baris arahan. 2.6.2 Konfigurasikan pelayan DHCP Pelayan DHCP membolehkan pengedaran automatik alamat IP kepada peranti pada LAN Pengurusan yang menjalankan klien DHCP. Untuk mendayakan pelayan DHCP:
1. Klik Sistem > Pelayan DHCP. 2. Pada tab Antara Muka Rangkaian, Semak Dayakan Pelayan DHCP.
22

Manual Pengguna
3. Masukkan alamat Gateway untuk dikeluarkan kepada pelanggan DHCP. Jika medan ini dibiarkan kosong, alamat IP pelayan konsol digunakan.
4. Masukkan alamat DNS Utama dan DNS Sekunder untuk mengeluarkan klien DHCP. Jika medan ini dibiarkan kosong, alamat IP pelayan konsol digunakan.
5. Secara pilihan masukkan akhiran Nama Domain untuk mengeluarkan klien DHCP. 6. Masukkan masa Pajakan Lalai dan masa Pajakan Maksimum dalam beberapa saat. Ini adalah jumlah masa
bahawa alamat IP yang diberikan secara dinamik adalah sah sebelum pelanggan mesti memintanya semula. 7. Klik Guna Pelayan DHCP mengeluarkan alamat IP daripada kumpulan alamat yang ditentukan: 1. Klik Tambah dalam medan Kumpulan Peruntukan Alamat Dinamik. 2. Masukkan DHCP Pool Start Address dan End Address. 3. Klik Guna.
23

Bab 2: Konfigurasi Sistem
Pelayan DHCP juga menyokong pra-menetapkan alamat IP untuk diperuntukkan kepada alamat MAC tertentu dan menempah alamat IP untuk digunakan oleh hos yang disambungkan dengan alamat IP tetap. Untuk menempah alamat IP untuk hos tertentu:
1. Klik Tambah dalam medan Alamat Terpelihara. 2. Masukkan Nama Hos, Alamat Perkakasan (MAC) dan alamat IP Terpelihara secara Statik untuk
klien DHCP dan klik Guna.
Apabila DHCP telah memperuntukkan alamat hos, adalah disyorkan untuk menyalinnya ke dalam senarai yang telah ditetapkan supaya alamat IP yang sama diperuntukkan semula sekiranya berlaku but semula.
24

Manual Pengguna
2.6.3 Pilih Failover atau pelayan OOB Console jalur lebar menyediakan pilihan failover jadi sekiranya berlaku masalah menggunakan sambungan LAN utama untuk mengakses pelayan konsol laluan akses alternatif digunakan. Untuk mendayakan failover:
1. Pilih halaman Antara Muka Rangkaian pada menu Sistem > IP 2. Pilih Antara Muka Failover untuk digunakan sekiranya berlaku outage pada rangkaian utama.
3. Klik Guna. Failover menjadi aktif selepas anda menentukan tapak luaran untuk disiasat untuk mencetuskan failover dan menyediakan port failover.
2.6.4 Mengagregat port rangkaian Secara lalai, port rangkaian LAN Pengurusan pelayan konsol boleh diakses menggunakan terowong SSH /port forwarding atau dengan mewujudkan terowong VPN IPsec ke pelayan konsol. Semua port rangkaian berwayar pada pelayan konsol boleh diagregatkan dengan dirapatkan atau diikat.
25

Manual Pengguna
· Secara lalai, Pengagregatan Antara Muka dinyahdayakan pada Sistem > IP > menu Tetapan Umum · Pilih Antara Muka Jambatan atau Antara Muka Ikatan
o Apabila penyambungan didayakan, trafik rangkaian dimajukan merentasi semua port Ethernet tanpa sekatan tembok api. Semua port Ethernet semuanya disambungkan secara telus pada lapisan pautan data (lapisan 2) supaya ia mengekalkan alamat MAC uniknya
o Dengan ikatan, trafik rangkaian dibawa antara port tetapi hadir dengan satu alamat MAC
Kedua-dua mod mengalih keluar semua fungsi Antara Muka LAN Pengurusan dan Antara Muka Luar Band/Failover dan lumpuhkan Pelayan DHCP · Dalam mod pengagregatan semua port Ethernet dikonfigurasikan secara kolektif menggunakan menu Antara Muka Rangkaian
25

Bab 2: Konfigurasi Sistem
2.6.5 Laluan statik Laluan statik menyediakan cara yang sangat cepat untuk menghalakan data dari satu subnet ke subnet yang berbeza. Anda boleh mengekodkan keras laluan yang memberitahu pelayan/penghala konsol untuk pergi ke subnet tertentu menggunakan laluan tertentu. Ini mungkin berguna untuk mengakses pelbagai subnet di tapak jauh apabila menggunakan sambungan OOB selular.

Untuk menambah laluan statik pada jadual laluan Sistem:
1. Pilih tab Tetapan Laluan pada menu Sistem > Tetapan Umum IP.
2. Klik Laluan Baharu
3. Masukkan Nama Laluan untuk laluan.
4. Dalam medan Rangkaian Destinasi/Hos, masukkan alamat IP rangkaian/hos destinasi yang laluan menyediakan akses kepada.
5. Masukkan nilai dalam medan netmask Destination yang mengenal pasti rangkaian destinasi atau hos. Sebarang nombor antara 0 dan 32. Subnet mask 32 mengenal pasti laluan hos.
6. Masukkan Route Gateway dengan alamat IP penghala yang akan mengarahkan paket ke rangkaian destinasi. Ini mungkin dibiarkan kosong.
7. Pilih Antara Muka untuk digunakan untuk sampai ke destinasi, boleh dibiarkan sebagai Tiada.
8. Masukkan nilai dalam medan Metrik yang mewakili metrik sambungan ini. Gunakan sebarang nombor yang sama dengan atau lebih daripada 0. Ini hanya perlu ditetapkan jika dua atau lebih laluan bercanggah atau mempunyai sasaran bertindih.
9. Klik Guna.

NOTA

Halaman butiran laluan menyediakan senarai antara muka rangkaian dan modem yang mana laluan boleh terikat. Dalam kes modem, laluan akan dilampirkan pada mana-mana sesi dailup yang ditubuhkan melalui peranti itu. Laluan boleh ditentukan dengan get laluan, antara muka atau kedua-duanya. Jika antara muka yang ditentukan tidak aktif, laluan yang dikonfigurasikan untuk antara muka itu tidak akan aktif.

Manual Pengguna 3. PORT SIRI, HOST, PERANTI & KONFIGURASI PENGGUNA
Pelayan konsol membolehkan akses dan kawalan peranti yang dilampirkan secara bersiri dan peranti yang dilampirkan rangkaian (hos). Pentadbir mesti mengkonfigurasi keistimewaan akses untuk setiap peranti ini dan menentukan perkhidmatan yang boleh digunakan untuk mengawal peranti. Pentadbir juga boleh menyediakan pengguna baharu dan menentukan hak akses dan kawalan individu setiap pengguna.
Bab ini merangkumi setiap langkah dalam mengkonfigurasi rangkaian yang disambungkan dan peranti yang dilampirkan secara bersiri: · Port Bersiri menyediakan protokol yang digunakan peranti bersambung secara bersiri · Pengguna & Kumpulan menyediakan pengguna dan menentukan kebenaran akses untuk setiap pengguna ini · Pengesahan ini diliputi dalam lebih banyak perincian dalam Bab 8 · Hos Rangkaian mengkonfigurasi akses kepada komputer atau perkakas yang disambungkan rangkaian tempatan (hos) · Mengkonfigurasi Rangkaian Dipercayai – mencalonkan alamat IP yang boleh diakses oleh pengguna yang dipercayai daripada · Lata dan Pengalihan Semula Port Konsol Bersiri · Menyambung kepada kuasa (UPS, PDU dan IPMI) dan peranti pemantauan alam sekitar (EMD) · Pengalihan Port Bersiri menggunakan tetingkap PortShare dan klien Linux · Peranti Terurus – mempersembahkan satu gabungan view daripada semua sambungan · IPSec yang membolehkan sambungan VPN · OpenVPN · PPTP
3.1 Konfigurasi Port Bersiri
Langkah pertama dalam mengkonfigurasi port bersiri adalah untuk menetapkan Tetapan Biasa seperti protokol dan parameter RS232 yang akan digunakan untuk sambungan data ke port tersebut (cth kadar baud). Pilih mod mana port untuk beroperasi. Setiap port boleh ditetapkan untuk menyokong salah satu daripada mod pengendalian ini:
· Mod dilumpuhkan adalah lalai, port bersiri tidak aktif
27

Bab 3:

Port Bersiri, Hos, Peranti & Konfigurasi Pengguna

· Mod pelayan konsol membolehkan akses umum ke port konsol bersiri pada peranti yang dilampirkan secara bersiri
· Mod peranti menetapkan port bersiri untuk berkomunikasi dengan PDU, UPS atau Peranti Monitor Alam Sekitar (EMD) dikawal bersiri pintar
· Mod Pelayan Terminal menetapkan port bersiri untuk menunggu sesi log masuk terminal masuk · Mod Jambatan Bersiri membolehkan sambungan telus dua peranti port bersiri melalui satu
rangkaian.
1. Pilih Bersiri & Rangkaian > Port Bersiri untuk memaparkan butiran port bersiri 2. Secara lalai, setiap port bersiri ditetapkan dalam mod pelayan Konsol. Klik Edit di sebelah port untuk menjadi
dikonfigurasikan semula. Atau klik Edit Berbilang Port dan pilih port yang anda ingin konfigurasikan sebagai kumpulan. 3. Apabila anda telah mengkonfigurasi semula tetapan biasa dan mod untuk setiap port, sediakan sebarang syslog jauh (lihat bahagian berikut untuk maklumat khusus). Klik Guna 4. Jika pelayan konsol telah dikonfigurasikan dengan pemantauan Nagios teragih didayakan, gunakan pilihan Tetapan Nagios untuk membolehkan perkhidmatan yang dicalonkan pada Hos dipantau 3.1.1 Tetapan Biasa Terdapat beberapa tetapan biasa yang boleh ditetapkan untuk setiap siri pelabuhan. Ini adalah bebas daripada mod di mana port sedang digunakan. Parameter port bersiri ini mesti ditetapkan supaya ia sepadan dengan parameter port bersiri pada peranti yang anda lampirkan pada port tersebut:
28

Manual Pengguna

· Taipkan label untuk port · Pilih Kadar Baud, Pariti, Bit Data, Bit Henti dan Kawalan Aliran yang sesuai untuk setiap port

· Tetapkan Pinout Port. Item menu ini muncul untuk port IM7200 di mana pin keluar untuk setiap port bersiri RJ45 boleh ditetapkan sebagai sama ada X2 (Cisco Straight) atau X1 (Cisco Rolled)

· Tetapkan mod DTR. Ini membolehkan anda memilih sama ada DTR sentiasa ditegaskan atau hanya ditegaskan apabila terdapat sesi pengguna aktif

· Sebelum meneruskan dengan konfigurasi port bersiri selanjutnya, anda harus menyambungkan port ke peranti bersiri yang akan dikawal dan memastikan ia mempunyai tetapan yang sepadan

3.1.2

Mod Pelayan Konsol
Pilih Mod pelayan Konsol untuk mendayakan akses pengurusan jauh kepada konsol bersiri yang dilampirkan pada port bersiri ini:

Tahap Pembalakan Ini menentukan tahap maklumat untuk dilog dan dipantau.
29

Bab 3: Port Bersiri, Hos, Peranti & Konfigurasi Pengguna
Tahap 0: Lumpuhkan pengelogan (lalai)
Tahap 1: Log LOGIN, LOG OUT dan acara ISYARAT
Tahap 2: Log LOGIN, LOG OUT, SIGNAL, TXDATA dan acara RXDATA
Tahap 3: Log LOGIN, LOG OUT, SIGNAL dan acara RXDATA
Tahap 4: Log LOGIN, LOG OUT, SIGNAL dan acara TXDATA
Input/RXDATA ialah data yang diterima oleh peranti Opengear daripada peranti bersiri yang disambungkan, dan output/TXDATA ialah data yang dihantar oleh peranti Opengear (cth ditaip oleh pengguna) ke peranti bersiri yang disambungkan.
Konsol peranti biasanya menggemakan semula aksara semasa ia ditaip supaya TXDATA yang ditaip oleh pengguna seterusnya diterima sebagai RXDATA, dipaparkan pada terminalnya.
NOTA: Selepas meminta kata laluan, peranti yang disambungkan menghantar aksara * untuk menghalang kata laluan daripada dipaparkan.

Telnet Apabila perkhidmatan Telnet didayakan pada pelayan konsol, pelanggan Telnet pada komputer pengguna boleh menyambung ke peranti bersiri yang dilampirkan pada port bersiri ini pada pelayan konsol. Oleh kerana komunikasi Telnet tidak disulitkan, protokol ini hanya disyorkan untuk sambungan terowong tempatan atau VPN.
Jika komunikasi jauh sedang disalurkan dengan penyambung, Telnet boleh digunakan untuk mengakses peranti yang dilampirkan ini dengan selamat.

NOTA

Dalam mod pelayan konsol, pengguna boleh menggunakan penyambung untuk menyediakan sambungan Telnet selamat yang SSH disalurkan daripada komputer klien mereka ke port bersiri pada pelayan konsol. Penyambung boleh dipasang pada PC Windows dan kebanyakan platform Linux dan ia membolehkan sambungan Telnet selamat dipilih dengan titik dan klik.

Untuk menggunakan penyambung untuk mengakses konsol pada port bersiri pelayan konsol, konfigurasikan penyambung dengan pelayan konsol sebagai get laluan, dan sebagai hos, dan dayakan perkhidmatan Telnet pada Port (2000 + port bersiri #) iaitu 2001.

Anda juga boleh menggunakan pakej komunikasi standard seperti PuTTY untuk menetapkan sambungan Telnet atau SSH terus ke port bersiri.

NOTA Dalam mod pelayan Konsol, apabila anda menyambung ke port bersiri anda menyambung melalui pmshell. Untuk menjana BREAK pada port bersiri, taip jujukan aksara ~b. Jika anda melakukan ini melalui jenis OpenSSH ~~b.

SSH

Anda disyorkan agar menggunakan SSH sebagai protokol apabila pengguna menyambung ke pelayan konsol

(atau sambung melalui pelayan konsol ke konsol bersiri yang dilampirkan) melalui Internet atau mana-mana

rangkaian awam lain.

Untuk akses SSH kepada konsol pada peranti yang dilampirkan pada port bersiri pelayan konsol, anda boleh menggunakan penyambung. Konfigurasikan penyambung dengan pelayan konsol sebagai pintu masuk, dan sebagai hos, dan dayakan perkhidmatan SSH pada Port (3000 + port bersiri #) iaitu 3001-3048.

Anda juga boleh menggunakan pakej komunikasi biasa, seperti PuTTY atau SSHTerm ke SSH menyambung ke alamat port Alamat IP _ Port (3000 + port bersiri #) iaitu 3001

Sambungan SSH boleh dikonfigurasikan menggunakan port SSH standard 22. Port bersiri yang diakses dikenal pasti dengan menambahkan deskriptor kepada nama pengguna. Sintaks ini menyokong:

Manual Pengguna
: : Untuk pengguna bernama chris untuk mengakses port bersiri 2, apabila menyediakan SSHTerm atau klien SSH PuTTY, bukannya menaip nama pengguna = chris dan port ssh = 3002, alternatifnya ialah menaip nama pengguna = chris:port02 (atau nama pengguna = chris: ttyS1) dan ssh port = 22. Atau dengan menaip username=chris:serial dan ssh port = 22, pengguna dibentangkan dengan pilihan pemilihan port:

Sintaks ini membolehkan pengguna menyediakan terowong SSH ke semua port bersiri dengan port IP tunggal 22 yang perlu dibuka dalam tembok api/gerbang mereka
NOTA Dalam mod pelayan konsol, anda menyambung ke port bersiri melalui pmshell. Untuk menjana BREAK pada port bersiri, taip jujukan aksara ~b. Jika anda melakukan ini melalui OpenSSH, taip ~~b.

TCP

RAW TCP membenarkan sambungan ke soket TCP. Manakala program komunikasi seperti PuTTY

juga menyokong RAW TCP, protokol ini biasanya digunakan oleh aplikasi tersuai

Untuk RAW TCP, alamat port lalai ialah Alamat IP _ Port (4000 + port bersiri #) iaitu 4001 4048

RAW TCP juga membolehkan port bersiri disalurkan ke pelayan konsol jauh, jadi dua peranti port bersiri boleh bersambung secara telus melalui rangkaian (lihat Bab 3.1.6 Jambatan Bersiri)

RFC2217 Memilih RFC2217 mendayakan pengalihan port bersiri pada port tersebut. Untuk RFC2217, alamat port lalai ialah Alamat IP _ Port (5000 + port bersiri #) iaitu 5001 5048
Perisian pelanggan khas tersedia untuk Windows UNIX dan Linux yang menyokong port komputer maya RFC2217, jadi hos jauh boleh memantau dan mengurus peranti yang dilampirkan secara bersiri jauh seolah-olah ia disambungkan ke port bersiri tempatan (lihat Bab 3.6 Pengalihan Port Bersiri untuk butiran)
RFC2217 juga membolehkan port bersiri disalurkan ke pelayan konsol jauh, jadi dua peranti port bersiri boleh bersambung secara telus melalui rangkaian (lihat Bab 3.1.6 Jambatan Bersiri)

Telnet Tidak Sah Ini membolehkan Telnet capaian ke port bersiri tanpa bukti kelayakan pengesahan. Apabila pengguna mengakses pelayan konsol ke Telnet ke port bersiri, mereka diberikan gesaan log masuk. Dengan Telnet yang tidak disahkan, mereka menyambung terus ke port tanpa sebarang cabaran log masuk pelayan konsol. Jika pelanggan Telnet menggesa untuk pengesahan, sebarang data yang dimasukkan membenarkan sambungan.

Bab 3: Port Bersiri, Hos, Peranti & Konfigurasi Pengguna
Mod ini digunakan dengan sistem luaran (seperti conserver) mengurus pengesahan pengguna dan keistimewaan akses pada peringkat peranti bersiri.
Log masuk ke peranti yang disambungkan ke pelayan konsol mungkin memerlukan pengesahan.
Untuk Telnet Tidak Ditulenkan alamat port lalai ialah Alamat IP _ Port (6000 + port bersiri #) iaitu 6001 6048

SSH tidak disahkan Ini membolehkan akses SSH ke port bersiri tanpa kelayakan pengesahan. Apabila pengguna mengakses pelayan konsol ke Telnet ke port bersiri, mereka diberikan gesaan log masuk. Dengan SSH yang tidak disahkan mereka menyambung terus ke port tanpa sebarang cabaran log masuk pelayan konsol.
Mod ini digunakan apabila anda mempunyai sistem lain yang mengurus pengesahan pengguna dan keistimewaan akses pada peringkat peranti bersiri tetapi ingin menyulitkan sesi merentas rangkaian.
Log masuk ke peranti yang disambungkan ke pelayan konsol mungkin memerlukan pengesahan.
Untuk Telnet Tidak Ditulenkan alamat port lalai ialah Alamat IP _ Port (7000 + port bersiri #) iaitu 7001 7048
The : kaedah capaian port (seperti yang diterangkan dalam bahagian SSH di atas) sentiasa memerlukan pengesahan.

Web Terminal Ini membolehkan web akses pelayar ke port bersiri melalui Urus > Peranti: Bersiri menggunakan terminal AJAX terbina dalam Konsol Pengurusan. Web Terminal bersambung sebagai pengguna Konsol Pengurusan yang sedang disahkan dan tidak mengesahkan semula. Lihat bahagian 12.3 untuk butiran lanjut.

IP Alias

Dayakan akses kepada port bersiri menggunakan alamat IP tertentu, yang dinyatakan dalam format CIDR. Setiap port bersiri boleh diberikan satu atau lebih alias IP, dikonfigurasikan berdasarkan setiap antara muka rangkaian. Port bersiri boleh, contohnyaampboleh diakses di 192.168.0.148 (sebagai sebahagian daripada rangkaian dalaman) dan 10.10.10.148 (sebagai sebahagian daripada LAN Pengurusan). Ia juga mungkin untuk membuat port bersiri tersedia pada dua alamat IP pada rangkaian yang sama (contohnyaample, 192.168.0.148 dan 192.168.0.248).

Alamat IP ini hanya boleh digunakan untuk mengakses port bersiri tertentu, boleh diakses menggunakan nombor port TCP protokol standard perkhidmatan pelayan konsol. Untuk exampOleh itu, SSH pada port bersiri 3 boleh diakses pada port 22 alias port bersiri IP (sementara pada alamat utama pelayan konsol ia tersedia pada port 2003).

Ciri ini juga boleh dikonfigurasikan melalui halaman edit berbilang port. Dalam kes ini, alamat IP digunakan secara berurutan, dengan port pertama yang dipilih mendapat IP yang dimasukkan dan yang berikutnya bertambah, dengan nombor dilangkau untuk mana-mana port yang tidak dipilih. Untuk exampOleh itu, jika port 2, 3 dan 5 dipilih dan alias IP 10.0.0.1/24 dimasukkan untuk Antara Muka Rangkaian, alamat berikut diberikan:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

Alias IP juga menyokong alamat alias IPv6. Satu-satunya perbezaan ialah alamat adalah nombor perenambelasan, jadi port 10 mungkin sepadan dengan alamat yang berakhir dengan A, dan 11 kepada satu yang berakhir dengan B, bukannya 10 atau 11 mengikut IPv4.

Manual Pengguna
Sulitkan Trafik / Sahkan Dayakan penyulitan remeh dan pengesahan komunikasi bersiri RFC2217 menggunakan Portshare (untuk penyulitan kuat gunakan VPN).
Tempoh Pengumpulan Setelah sambungan telah diwujudkan untuk port bersiri tertentu (seperti pengalihan RFC2217 atau sambungan Telnet ke komputer jauh), sebarang aksara masuk pada port tersebut dimajukan melalui rangkaian berdasarkan aksara demi aksara. Tempoh pengumpulan menentukan tempoh masa bahawa aksara masuk dikumpulkan sebelum dihantar sebagai paket melalui rangkaian
Escape Character Tukar aksara yang digunakan untuk menghantar aksara melarikan diri. Lalai ialah ~. Gantikan Backspace Gantikan nilai backspace lalai CTRL+? (127) dengan CTRL+h (8). Menu Kuasa Perintah untuk memunculkan menu kuasa ialah ~p dan membolehkan perintah kuasa shell supaya a
pengguna boleh mengawal sambungan kuasa ke peranti terurus daripada baris arahan apabila mereka Telnet atau SSH disambungkan ke peranti. Peranti terurus mesti disediakan dengan kedua-dua sambungan port bersiri dan sambungan Kuasa dikonfigurasikan.
Sambungan Tunggal Ini mengehadkan port kepada sambungan tunggal jadi jika berbilang pengguna mempunyai keistimewaan akses untuk port tertentu hanya seorang pengguna pada satu masa boleh mengakses port tersebut (iaitu mengintip port tidak dibenarkan).
33

Bab 3: Port Bersiri, Hos, Peranti & Konfigurasi Pengguna
3.1.3 Mod Peranti (RPC, UPS, Alam Sekitar) Mod ini mengkonfigurasi port bersiri yang dipilih untuk berkomunikasi dengan Bekalan Kuasa Tidak Terputus (UPS), Pengawal Kuasa Jauh / Unit Pengagihan Kuasa (RPC) atau Peranti Pemantauan Alam Sekitar (Persekitaran) bersiri.

1. Pilih Jenis Peranti yang dikehendaki (UPS, RPC atau Alam Sekitar)
2. Teruskan ke halaman konfigurasi peranti yang sesuai (Siri & Rangkaian > Sambungan UPS, Sambungan RPC atau Alam Sekitar) seperti yang diperincikan dalam Bab 7.

3.1.4 ·

Mod Pelayan Terminal
Pilih Mod Pelayan Terminal dan Jenis Terminal (vt220, vt102, vt100, Linux atau ANSI) untuk mendayakan getty pada port bersiri yang dipilih

Getty mengkonfigurasi port dan tunggu sambungan dibuat. Sambungan aktif pada peranti bersiri ditunjukkan oleh pin Pengesanan Pembawa Data (DCD) yang dinaikkan pada peranti bersiri. Apabila sambungan dikesan, program getty mengeluarkan log masuk: gesaan, dan memanggil program log masuk untuk mengendalikan log masuk sistem.
NOTA Memilih mod Pelayan Terminal melumpuhkan Pengurus Port untuk port bersiri itu, jadi data tidak lagi dilog untuk makluman dsb.

Manual Pengguna
3.1.5 Mod Jambatan Bersiri Dengan jambatan bersiri, data bersiri pada port bersiri yang dicalonkan pada satu pelayan konsol dikapsulkan ke dalam paket rangkaian dan diangkut melalui rangkaian ke pelayan konsol kedua di mana ia diwakili sebagai data bersiri. Kedua-dua pelayan konsol bertindak sebagai kabel bersiri maya melalui rangkaian IP. Satu pelayan konsol dikonfigurasikan menjadi Pelayan. Port bersiri Pelayan yang akan dirapatkan ditetapkan dalam mod pelayan Konsol dengan sama ada RFC2217 atau RAW didayakan. Untuk pelayan konsol Pelanggan, port bersiri yang akan dirapatkan mesti ditetapkan dalam Mod Bridging:
· Pilih Mod Bridging Bersiri dan nyatakan alamat IP pelayan konsol Pelayan dan alamat port TCP port bersiri jauh (untuk penyambungan RFC2217 ini ialah 5001-5048)
· Secara lalai, klien penyambung menggunakan TCP RAW. Pilih RFC2217 jika ini ialah mod pelayan konsol yang telah anda tentukan pada pelayan konsol pelayan
· Anda boleh menjamin komunikasi melalui Ethernet tempatan dengan mendayakan SSH. Jana dan muat naik kunci.
3.1.6 Syslog Selain pengelogan dan pemantauan terbina yang boleh digunakan pada capaian pengurusan yang dilampirkan bersiri dan rangkaian, seperti yang diliputi dalam Bab 6, pelayan konsol juga boleh dikonfigurasikan untuk menyokong protokol syslog jauh pada setiap port bersiri asas:
· Pilih medan Kemudahan/Keutamaan Syslog untuk membolehkan pengelogan trafik pada port bersiri yang dipilih ke pelayan syslog; dan untuk mengisih dan bertindak pada mesej yang dilog itu (iaitu mengubah halanya / menghantar e-mel makluman.)
35

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
Untuk exampOleh itu, jika komputer yang dilampirkan pada port bersiri 3 tidak boleh menghantar apa-apa keluar pada port konsol bersirinya, pentadbir boleh menetapkan Kemudahan untuk port tersebut kepada local0 (local0 .. local7 dimaksudkan untuk nilai setempat tapak), dan Keutamaan kepada kritikal . Pada keutamaan ini, jika pelayan syslog pelayan konsol menerima mesej, ia menimbulkan amaran. Lihat Bab 6. 3.1.7 Penstriman NMEA ACM7000-L boleh menyediakan penstriman data GPS NMEA daripada modem GPS/selular dalaman. Strim data ini dipaparkan sebagai strim data bersiri pada port 5 pada model ACM.
Tetapan Biasa (kadar baud dll.) diabaikan semasa mengkonfigurasi port bersiri NMEA. Anda boleh menentukan Frekuensi Betulkan (iaitu kadar tetapan GPS ini menentukan kekerapan pembetulan GPS diperoleh). Anda juga boleh menggunakan semua tetapan Mod Pelayan Konsol, Syslog dan Bridging Bersiri pada port ini.
Anda boleh menggunakan pmshell, webshell, SSH, RFC2217 atau RawTCP untuk mendapatkan di strim:
Untuk example, menggunakan Web Terminal:
36

Manual Pengguna

3.1.8 Konsol USB
Pelayan konsol dengan port USB menyokong sambungan konsol USB ke peranti daripada pelbagai vendor, termasuk Cisco, HP, Dell dan Brocade. Port USB ini juga boleh berfungsi sebagai port bersiri RS-232 biasa apabila penyesuai USB-ke-siri disambungkan.

Port USB ini tersedia sebagai port pengurus port biasa dan dibentangkan secara berangka dalam web UI selepas semua port bersiri RJ45.

ACM7008-2 mempunyai lapan port bersiri RJ45 di bahagian belakang pelayan konsol dan empat port USB di bahagian hadapan. Dalam Serial & Network > Serial Port ini disenaraikan sebagai

Port # Penyambung

RJ45

USB

10 USB

11 USB

12 USB

Jika ACM7008-2 tertentu ialah model selular, port #13 — untuk GPS — juga akan disenaraikan.

7216-24U mempunyai 16 port bersiri RJ45 dan 24 port USB pada muka belakangnya serta dua port USB menghadap hadapan dan (dalam model selular) GPS.

Port bersiri RJ45 dibentangkan dalam Serial & Network > Serial Port sebagai nombor port 1. 16 port USB yang menghadap belakang mengambil nombor port 24, dan port USB yang menghadap ke hadapan disenaraikan pada nombor port 17 dan 40 masing-masing. Dan, seperti ACM41-42, jika 7008-2U tertentu ialah model selular, GPS dibentangkan pada port nombor 7216.

Tetapan biasa (kadar baud, dsb.) digunakan semasa mengkonfigurasi port, tetapi sesetengah operasi mungkin tidak berfungsi bergantung pada pelaksanaan cip bersiri USB yang mendasari.

3.2 Tambah dan Edit Pengguna
Pentadbir menggunakan pilihan menu ini untuk mencipta, mengedit dan memadam pengguna dan untuk menentukan kebenaran akses untuk setiap pengguna ini.

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna

Pengguna boleh diberi kuasa untuk mengakses perkhidmatan tertentu, port bersiri, peranti kuasa dan hos yang dilampirkan rangkaian tertentu. Pengguna ini juga boleh diberikan status pentadbir penuh (dengan konfigurasi penuh dan pengurusan serta keistimewaan akses).

Pengguna boleh ditambah ke kumpulan. Enam kumpulan disediakan secara lalai:

admin

Menyediakan konfigurasi dan keistimewaan pengurusan tanpa had.

pptpd

Membenarkan akses kepada pelayan VPN PPTP. Kata laluan pengguna dalam kumpulan ini disimpan dalam teks yang jelas.

dialin

Membenarkan akses dail melalui modem. Kata laluan pengguna dalam kumpulan ini disimpan dalam teks yang jelas.

ftp

Membenarkan akses ftp dan file akses kepada peranti storan.

pmshell

Tetapkan shell lalai kepada pmshell.

pengguna

Menyediakan pengguna dengan keistimewaan pengurusan asas.

Kumpulan pentadbir memberikan ahli keistimewaan pentadbir penuh. Pengguna pentadbir boleh mengakses pelayan konsol menggunakan mana-mana perkhidmatan yang telah didayakan dalam Sistem > Perkhidmatan Mereka juga boleh mengakses mana-mana Hos yang disambungkan atau peranti port bersiri menggunakan mana-mana perkhidmatan yang telah didayakan untuk sambungan ini. Hanya pengguna yang dipercayai harus mempunyai akses pentadbir
Kumpulan pengguna menyediakan ahli akses terhad kepada pelayan konsol dan hos yang disambungkan serta peranti bersiri. Pengguna ini hanya boleh mengakses bahagian Pengurusan menu Konsol Pengurusan dan mereka tidak mempunyai akses baris arahan ke pelayan konsol. Mereka hanya boleh mengakses Hos dan peranti bersiri yang telah disemak untuk mereka, menggunakan perkhidmatan yang telah didayakan
Pengguna dalam kumpulan pptd, dialin, ftp atau pmshell telah mengehadkan akses shell pengguna kepada peranti terurus yang dicalonkan tetapi mereka tidak akan mempunyai sebarang akses langsung ke pelayan konsol. Untuk menambah ini, pengguna juga mesti menjadi ahli pengguna atau kumpulan pentadbir
Pentadbir boleh menyediakan kumpulan tambahan dengan peranti kuasa tertentu, port bersiri dan kebenaran akses hos. Pengguna dalam kumpulan tambahan ini tidak mempunyai sebarang akses kepada menu Konsol Pengurusan dan mereka juga tidak mempunyai sebarang akses baris perintah ke pelayan konsol.

Manual Pengguna
Pentadbir boleh menyediakan pengguna dengan peranti kuasa tertentu, port bersiri dan kebenaran akses hos yang bukan ahli mana-mana kumpulan. Pengguna ini tidak mempunyai sebarang akses kepada menu Konsol Pengurusan atau akses baris arahan kepada pelayan konsol. 3.2.1 Sediakan kumpulan baharu Untuk menyediakan kumpulan baharu dan pengguna baharu, dan untuk mengklasifikasikan pengguna sebagai ahli kumpulan tertentu:
1. Pilih Siri & Rangkaian > Pengguna & Kumpulan untuk memaparkan semua kumpulan dan pengguna 2. Klik Tambah Kumpulan untuk menambah kumpulan baharu
3. Tambahkan nama dan Perihalan Kumpulan untuk setiap kumpulan baharu, dan calonkan Hos Boleh Diakses, Port Boleh Diakses dan Outlet RPC Boleh Diakses yang boleh diakses oleh pengguna dalam kumpulan baharu ini
4. Klik Guna 5. Pentadbir boleh Edit atau Padam mana-mana kumpulan tambahan 3.2.2 Sediakan pengguna baharu Untuk menyediakan pengguna baharu, dan untuk mengklasifikasikan pengguna sebagai ahli kumpulan tertentu: 1. Pilih Siri & Rangkaian > Pengguna & Kumpulan untuk dipaparkan semua kumpulan dan pengguna 2. Klik Tambah Pengguna
39

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
3. Tambahkan Nama Pengguna untuk setiap pengguna baharu. Anda juga boleh memasukkan maklumat yang berkaitan dengan pengguna (cth. butiran hubungan) dalam medan Penerangan. Nama Pengguna boleh mengandungi daripada 1 hingga 127 aksara abjad angka dan aksara “-” “_” dan “.”.
4. Tentukan Kumpulan yang anda ingin pengguna menjadi ahli 5. Tambah Kata Laluan yang disahkan untuk setiap pengguna baharu. Semua aksara dibenarkan. 6. Pengesahan kunci pas SSH boleh digunakan. Tampalkan kunci awam awam/swasta yang dibenarkan
pasangan kekunci untuk pengguna ini dalam medan Kekunci SSH Dibenarkan 7. Semak Lumpuhkan Pengesahan Kata Laluan untuk hanya membenarkan pengesahan kunci awam untuk pengguna ini
apabila menggunakan SSH 8. Semak Dayakan Dail Balik dalam menu Pilihan Dail Masuk untuk membenarkan sambungan dail balik keluar
untuk dicetuskan dengan log masuk ke port ini. Masukkan Nombor Telefon Dail Balik dengan nombor telefon untuk membuat panggilan balik apabila pengguna log masuk 9. Semak Hos Boleh Diakses dan/atau Port Boleh Diakses untuk mencalonkan port bersiri dan hos yang disambungkan rangkaian yang anda inginkan pengguna mempunyai keistimewaan akses kepada 10. Jika terdapat RPC yang dikonfigurasikan, semak Outlet RPC Boleh Diakses untuk menentukan alur keluar yang pengguna boleh kawal (iaitu Power On/Off) 11. Klik Guna. Pengguna baharu akan dapat mengakses Peranti Rangkaian, Port dan Outlet RPC yang boleh diakses. Jika pengguna ialah ahli kumpulan, mereka juga boleh mengakses mana-mana peranti/port/outlet lain yang boleh diakses oleh kumpulan
40

Manual Pengguna
Tiada had pada bilangan pengguna yang boleh anda sediakan atau bilangan pengguna bagi setiap port bersiri atau hos. Berbilang pengguna boleh mengawal/memantau satu port atau hos. Tiada had pada bilangan kumpulan dan setiap pengguna boleh menjadi ahli beberapa kumpulan. Pengguna tidak perlu menjadi ahli mana-mana kumpulan, tetapi jika pengguna ialah ahli kumpulan pengguna lalai, mereka tidak akan dapat menggunakan Konsol Pengurusan untuk mengurus port. Walaupun tiada had, masa untuk mengkonfigurasi semula meningkat apabila bilangan dan kerumitan meningkat. Kami mengesyorkan bilangan agregat pengguna dan kumpulan disimpan di bawah 250. Pentadbir juga boleh mengedit tetapan akses untuk mana-mana pengguna sedia ada:
· Pilih Siri & Rangkaian > Pengguna & Kumpulan dan klik Edit untuk mengubah suai keistimewaan akses pengguna · Klik Padam untuk mengalih keluar pengguna · Klik Lumpuhkan untuk menyekat keistimewaan akses buat sementara waktu
3.3 Pengesahan
Lihat Bab 8 untuk butiran konfigurasi pengesahan.
3.4 Hos Rangkaian
Untuk memantau dan mengakses dari jauh komputer atau peranti rangkaian setempat (dirujuk sebagai Hos) anda mesti mengenal pasti Hos:
1. Memilih Siri & Rangkaian > Hos Rangkaian membentangkan semua Hos bersambung rangkaian yang telah didayakan untuk digunakan.
2. Klik Tambah Hos untuk mendayakan akses kepada Hos baharu (atau pilih Edit untuk mengemas kini tetapan untuk Hos sedia ada)
41

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
3. Jika Hos ialah peranti kuasa PDU atau UPS atau pelayan dengan kawalan kuasa IPMI, nyatakan RPC (untuk IPMI dan PDU) atau UPS dan Jenis Peranti. Pentadbir boleh mengkonfigurasi peranti ini dan membolehkan pengguna yang mempunyai kebenaran untuk mengitar kuasa dari jauh, dsb. Lihat Bab 7. Jika tidak, biarkan Jenis Peranti ditetapkan kepada Tiada.
4. Jika pelayan konsol telah dikonfigurasikan dengan pemantauan Nagios teragih didayakan, anda juga akan melihat pilihan Tetapan Nagios untuk membolehkan perkhidmatan yang dicalonkan pada Hos dipantau.
5. Klik Guna. Ini mencipta Hos baharu dan juga mencipta peranti terurus baharu dengan nama yang sama.
3.5 Rangkaian Dipercayai
Kemudahan Rangkaian Dipercayai memberi anda pilihan untuk mencalonkan alamat IP yang pengguna mesti berada, untuk mempunyai akses kepada port bersiri pelayan konsol:
42

Manual Pengguna
1. Pilih Siri & Rangkaian > Rangkaian Dipercayai 2. Untuk menambah rangkaian dipercayai baharu, pilih Tambah Peraturan. Sekiranya tiada Peraturan, tiada akses
had mengenai alamat IP di mana pengguna boleh ditempatkan.

3. Pilih Ports Boleh Diakses yang peraturan baharu akan digunakan
4. Masukkan Alamat Rangkaian subnet yang akan dibenarkan akses
5. Tentukan julat alamat yang dibenarkan dengan memasukkan Topeng Rangkaian untuk julat IP yang dibenarkan itu cth.
· Untuk membenarkan semua pengguna yang terletak dengan sambungan rangkaian Kelas C tertentu ke port yang dicalonkan, tambahkan Peraturan Baharu Rangkaian Dipercayai berikut:

Alamat IP Rangkaian

204.15.5.0

Topeng subnet

255.255.255.0

· Untuk membenarkan hanya satu pengguna yang terletak pada alamat IP tertentu untuk menyambung:

Alamat IP Rangkaian

204.15.5.13

Topeng subnet

255.255.255.255

· Untuk membenarkan semua pengguna yang beroperasi dari dalam julat alamat IP tertentu (katakan mana-mana daripada tiga puluh alamat dari 204.15.5.129 hingga 204.15.5.158) dibenarkan sambungan ke port yang dicalonkan:

Alamat Hos / Subnet

204.15.5.128

Topeng subnet

255.255.255.224

6. Klik Guna

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
3.6 Lata Pelabuhan Bersiri
Port Cascaded membolehkan anda mengelompokkan pelayan konsol teragih supaya sejumlah besar port bersiri (sehingga 1000) boleh dikonfigurasikan dan diakses melalui satu alamat IP dan diuruskan melalui satu Konsol Pengurusan. Satu pelayan konsol, Primer, mengawal pelayan konsol lain sebagai unit Nod dan semua port bersiri pada unit Node kelihatan seolah-olah ia adalah sebahagian daripada Primary. Pengelompokan Opengear menghubungkan setiap Nod ke Utama dengan sambungan SSH. Ini dilakukan menggunakan pengesahan kunci awam, jadi Primary boleh mengakses setiap Nod menggunakan pasangan kunci SSH (bukannya menggunakan kata laluan). Ini memastikan komunikasi yang disahkan selamat antara Utama dan Nod yang membolehkan unit pelayan konsol Node diedarkan secara tempatan pada LAN atau dari jauh di seluruh dunia.
3.6.1 Menjana dan memuat naik kunci SSH secara automatik Untuk menyediakan pengesahan kunci awam anda mesti menjana pasangan kunci RSA atau DSA dahulu dan memuat naiknya ke dalam pelayan konsol Utama dan Nod. Ini boleh dilakukan secara automatik dari Utama:
44

Manual Pengguna
1. Pilih Sistem > Pentadbiran pada Konsol Pengurusan Utama
2. Semak Jana kekunci SSH secara automatik. 3. Klik Guna
Seterusnya anda mesti memilih sama ada untuk menjana kunci menggunakan RSA dan/atau DSA (jika tidak pasti, pilih RSA sahaja). Menjana setiap set kunci memerlukan dua minit dan kunci baharu memusnahkan kunci lama jenis itu. Semasa generasi baharu sedang dijalankan, fungsi yang bergantung pada kekunci SSH (cth cascading) mungkin berhenti berfungsi sehingga ia dikemas kini dengan set kunci baharu. Untuk menjana kunci:
1. Tandakan kotak untuk kunci yang anda ingin hasilkan. 2. Klik Guna
3. Setelah kekunci baharu telah dijana, klik pautan Klik di sini untuk kembali. Kunci dimuat naik
kepada Nod Utama dan bersambung.
3.6.2 Menjana dan memuat naik kunci SSH secara manual Secara bergantian jika anda mempunyai pasangan kunci RSA atau DSA, anda boleh memuat naiknya ke pelayan konsol Utama dan Nod. Untuk memuat naik pasangan kunci awam dan peribadi utama ke pelayan konsol Utama:
1. Pilih Sistem > Pentadbiran pada Konsol Pengurusan Utama
2. Semak imbas ke lokasi yang anda telah simpan Kunci Awam RSA (atau DSA) dan muat naiknya ke Kunci Awam SSH RSA (DSA)
3. Semak imbas ke Kunci Peribadi RSA (atau DSA) yang disimpan dan muat naik ke Kunci Peribadi SSH RSA (DSA) 4. Klik Guna
45

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
Seterusnya, anda mesti mendaftarkan Kunci Awam sebagai Kunci Dibenarkan pada Nod. Dalam kes satu Utama dengan berbilang Nod, anda memuat naik satu kunci awam RSA atau DSA untuk setiap Nod.
1. Pilih Sistem > Pentadbiran pada Konsol Pengurusan Node 2. Semak imbas ke Kunci Awam RSA (atau DSA) yang disimpan dan muat naik ke Kunci Dibenarkan SSH Node
3. Klik Guna Langkah seterusnya ialah Cap Jari setiap sambungan Nod-Utama yang baharu. Langkah ini mengesahkan bahawa anda sedang mewujudkan sesi SSH kepada siapa yang anda fikirkan. Pada sambungan pertama Node menerima cap jari daripada Primary yang digunakan pada semua sambungan masa hadapan: Untuk mewujudkan cap jari log pertama dalam pelayan Primary sebagai akar dan mewujudkan sambungan SSH ke hos jauh Node:
# ssh remhost Setelah sambungan SSH telah diwujudkan, anda diminta untuk menerima kunci. Jawab ya dan cap jari ditambahkan pada senarai hos yang diketahui. Jika anda diminta untuk membekalkan kata laluan, terdapat masalah memuat naik kunci. 3.6.3 Konfigurasikan Nod dan port bersirinya Mulakan menyediakan Nod dan konfigurasi port bersiri Nod daripada pelayan konsol Utama:
1. Pilih Serial & Network > Cascaded Ports pada Primary's Management Console: 2. Untuk menambah sokongan pengelompokan, pilih Tambah Nod
Anda tidak boleh menambah Nod sehingga anda telah menjana kunci SSH. Untuk menentukan dan mengkonfigurasi Nod:
46

Manual Pengguna
1. Masukkan Alamat IP jauh atau Nama DNS untuk pelayan konsol Nod 2. Masukkan Penerangan ringkas dan Label pendek untuk Nod 3. Masukkan nombor penuh port bersiri pada unit Nod dalam Bilangan Port 4. Klik Guna. Ini mewujudkan terowong SSH antara Primer dan Node baharu
Menu Serial & Network > Cascaded Ports memaparkan semua nod dan nombor port yang telah diperuntukkan pada Primary. Jika pelayan konsol Utama mempunyai 16 port sendiri, port 1-16 dipraperuntukkan kepada Utama, jadi nod pertama yang ditambahkan diberikan port nombor 17 dan seterusnya. Sebaik sahaja anda telah menambah semua pelayan konsol Node, port bersiri Node dan peranti yang disambungkan boleh dikonfigurasikan dan boleh diakses daripada menu Konsol Pengurusan Utama dan boleh diakses melalui alamat IP Utama.
1. Pilih Serial & Network > Serial Port dan Edit yang sesuai untuk mengkonfigurasi port bersiri pada
Nod.
2. Pilih Siri & Rangkaian yang sesuai > Pengguna & Kumpulan untuk menambah pengguna baharu dengan keistimewaan akses
ke port bersiri Node (atau untuk melanjutkan keistimewaan akses pengguna sedia ada).
3. Pilih Siri & Rangkaian yang sesuai > Rangkaian Dipercayai untuk menentukan alamat rangkaian itu
boleh mengakses port bersiri nod yang dicalonkan. 4. Pilih Alerts & Logging > Alerts yang sesuai untuk mengkonfigurasi Nod port Connection, State
Makluman Padanan Corak Changeor. Perubahan konfigurasi yang dibuat pada Primary disebarkan ke semua nod apabila anda mengklik Guna.
3.6.4 Mengurus Nod Primer mengawal port bersiri Nod. Untuk exampOleh itu, jika menukar keistimewaan akses pengguna atau mengedit sebarang tetapan port bersiri pada Utama, konfigurasi yang dikemas kini files dihantar ke setiap Nod secara selari. Setiap Nod membuat perubahan pada konfigurasi setempat mereka (dan hanya membuat perubahan yang berkaitan dengan port bersiri tertentu). Anda boleh menggunakan Konsol Pengurusan Nod setempat untuk menukar tetapan pada mana-mana port bersiri nod (seperti mengubah kadar baud). Perubahan ini akan ditimpa pada kali seterusnya Primary menghantar konfigurasi file kemas kini. Walaupun Primary mengawal semua fungsi berkaitan port bersiri nod, ia bukan utama ke atas sambungan hos rangkaian nod atau melalui sistem Pelayan Konsol Nod. Fungsi nod seperti Tetapan IP, SMTP & SNMP, Tarikh &Masa, pelayan DHCP mesti diuruskan dengan mengakses setiap nod secara terus dan fungsi ini tidak ditulis secara berlebihan apabila perubahan konfigurasi disebarkan daripada Utama. Tetapan Hos Rangkaian dan IPMI Node mesti dikonfigurasikan pada setiap nod.
47

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
Konsol Pengurusan Utama menyediakan satu gabungan view tetapan untuk port bersiri sendiri dan keseluruhanNode. Primer tidak menyediakan disatukan sepenuhnya view. Untuk exampOleh itu, jika anda ingin mengetahui siapa yang log masuk ke port bersiri bertingkat dari yang utama, anda akan melihat bahawa Status > Pengguna Aktif hanya memaparkan pengguna yang aktif pada port Utama, jadi anda mungkin perlu menulis skrip tersuai untuk menyediakan ini view.
3.7 Pengalihan Port Bersiri (PortShare)
Perisian Port Share Opengear menyampaikan teknologi port bersiri maya yang diperlukan oleh aplikasi Windows dan Linux anda untuk membuka port bersiri jauh dan membaca data daripada peranti bersiri yang disambungkan ke pelayan konsol anda.
PortShare dibekalkan secara percuma dengan setiap pelayan konsol dan anda dilesenkan untuk memasang PortShare pada satu atau lebih komputer untuk mengakses mana-mana peranti bersiri yang disambungkan ke port pelayan konsol. PortShare untuk Windows Portshare_setup.exe boleh dimuat turun dari tapak ftp. Lihat Manual Pengguna PortShare dan Mula Pantas untuk butiran mengenai pemasangan dan pengendalian. PortShare untuk Linux Pemacu PortShare untuk Linux memetakan port bersiri pelayan konsol ke port cuba hos. Opengear telah mengeluarkan portshare-serial-client sebagai utiliti sumber terbuka untuk Linux, AIX, HPUX, SCO, Solaris dan UnixWare. Utiliti ini boleh dimuat turun dari tapak ftp. Pengarah semula port bersiri PortShare ini membolehkan anda menggunakan peranti bersiri yang disambungkan ke pelayan konsol jauh seolah-olah ia disambungkan ke port bersiri tempatan anda. Portshare-serial-client mencipta port pseudo tty, menyambungkan aplikasi bersiri ke port pseudo tty, menerima data daripada port pseudo tty, menghantarnya ke pelayan konsol melalui rangkaian dan menerima data daripada pelayan konsol melalui rangkaian dan menghantarnya ke port pseudo-tty. .tar file boleh dimuat turun dari laman ftp. Lihat Manual Pengguna PortShare dan Mula Pantas untuk butiran mengenai pemasangan dan pengendalian.
48

Manual Pengguna
3.8 Peranti Terurus
Halaman Peranti Terurus membentangkan satu gabungan view semua sambungan ke peranti yang boleh diakses dan dipantau melalui pelayan konsol. Kepada view sambungan ke peranti, pilih Siri & Rangkaian > Peranti Terurus
Skrin ini memaparkan semua peranti terurus dengan Penerangan/Nota mereka dan senarai semua Sambungan yang dikonfigurasikan:
· Port Bersiri # (jika disambungkan secara bersiri) atau · USB (jika USB disambungkan) · Alamat IP (jika rangkaian disambungkan) · Butiran Power PDU/outlet (jika berkenaan) dan sebarang sambungan UPS Peranti seperti pelayan mungkin mempunyai lebih daripada satu sambungan kuasa (cth dwi kuasa dibekalkan) dan lebih daripada satu sambungan rangkaian (cth untuk BMC/pemproses perkhidmatan). Semua pengguna boleh view sambungan peranti terurus ini dengan memilih Urus > Peranti. Pentadbir juga boleh mengedit dan menambah/memadam peranti terurus ini dan sambungannya. Untuk mengedit peranti sedia ada dan menambah sambungan baharu: 1. Pilih Edit pada Siri & Rangkaian > Peranti Terurus dan klik Tambah Sambungan 2. Pilih jenis sambungan untuk sambungan baharu (Siri, Hos Rangkaian, UPS atau RPC) dan pilih
sambungan daripada senarai yang dibentangkan bagi hos/port/outlet tidak diperuntukkan yang dikonfigurasikan
49

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
Untuk menambah peranti terurus yang disambungkan rangkaian baharu: 1. Pentadbir menambah peranti terurus yang disambungkan rangkaian baharu menggunakan Tambah Hos pada menu Siri & Rangkaian > Hos Rangkaian. Ini secara automatik mencipta peranti terurus baharu yang sepadan. 2. Apabila menambah rangkaian baharu RPC atau peranti kuasa UPS yang disambungkan, anda menyediakan Hos Rangkaian, menetapkannya sebagai RPC atau UPS. Pergi ke Sambungan RPC atau Sambungan UPS untuk mengkonfigurasi sambungan yang berkaitan. Peranti terurus baharu yang sepadan dengan Nama /Penerangan yang sama seperti Hos RPC/UPS tidak dibuat sehingga langkah sambungan ini selesai.
NOTA Nama alur keluar pada PDU yang baru dibuat ialah Outlet 1 dan Outlet 2. Apabila anda menyambungkan peranti terurus tertentu yang mengeluarkan kuasa daripada alur keluar, alur keluar mengambil nama peranti terurus yang dikuasakan.
Untuk menambah peranti terurus yang disambungkan secara bersiri baharu: 1. Konfigurasikan port bersiri menggunakan menu Serial & Network > Serial Port (Lihat Bahagian 3.1 Konfigurasi Port Serial) 2. Pilih Serial & Network > Managed Devices dan klik Tambah Peranti 3. Masukkan Peranti Nama dan Perihalan untuk peranti terurus

4. Klik Tambah Sambungan dan pilih Bersiri dan Port yang bersambung ke peranti terurus

5. Untuk menambah sambungan kuasa UPS/RPC atau sambungan rangkaian atau sambungan bersiri lain klik Tambah Sambungan

6. Klik Guna

NOTA

Untuk menyediakan peranti RPC UPS atau EMD yang disambungkan secara bersiri, konfigurasikan port bersiri, tetapkannya sebagai Peranti dan masukkan Nama dan Perihalan untuk peranti tersebut dalam Siri & Rangkaian > Sambungan RPC (atau Sambungan UPS atau Alam Sekitar). Ini mencipta peranti terurus baharu yang sepadan dengan Nama /Penerangan yang sama seperti Hos RPC/UPS. Nama alur keluar pada PDU yang baru dibuat ini ialah Outlet 1dan Outlet 2. Apabila anda menyambungkan peranti terurus yang memperoleh kuasa daripada alur keluar, alur keluar tersebut mengambil nama Peranti terurus yang dikuasakan.

3.9 IPsec VPN
ACM7000, CM7100 dan IM7200 termasuk Openswan, pelaksanaan Linux bagi protokol IPsec (IP Security), yang boleh digunakan untuk mengkonfigurasi Rangkaian Peribadi Maya (VPN). VPN membenarkan berbilang tapak atau pentadbir jauh mengakses pelayan konsol dan peranti terurus dengan selamat melalui Internet.

Manual Pengguna
Pentadbir boleh mewujudkan sambungan VPN yang disulitkan yang disulitkan antara pelayan konsol yang diedarkan di tapak terpencil dan get laluan VPN (seperti penghala Cisco yang menjalankan IOS IPsec) pada rangkaian pejabat pusat mereka:
· Pengguna di pejabat pusat boleh mengakses pelayan konsol jauh dengan selamat dan peranti dan mesin konsol bersiri yang disambungkan pada subnet LAN Pengurusan di lokasi terpencil seolah-olah mereka tempatan
· Semua pelayan konsol jauh ini boleh dipantau dengan CMS6000 pada rangkaian pusat · Dengan penyambungan bersiri, data bersiri daripada pengawal di mesin pejabat pusat boleh disimpan dengan selamat
disambungkan kepada peranti dikawal secara bersiri di tapak terpencil Pentadbir road warrior boleh menggunakan klien perisian VPN IPsec untuk mengakses dari jauh pelayan konsol dan setiap mesin pada subnet LAN Pengurusan di lokasi terpencil
Konfigurasi IPsec agak rumit jadi Opengear menyediakan antara muka GUI untuk persediaan asas seperti yang diterangkan di bawah. Untuk mendayakan get laluan VPN:
1. Pilih IPsec VPN pada menu Serial & Rangkaian
2. Klik Tambah dan lengkapkan skrin Tambah Terowong IPsec 3. Masukkan sebarang nama deskriptif yang anda ingin kenal pasti Terowong IPsec yang anda tambah seperti
WestStOutlet-VPN
51

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
4. Pilih Kaedah Pengesahan untuk digunakan, sama ada tandatangan digital RSA atau Rahsia Kongsi (PSK) o Jika anda memilih RSA anda diminta klik di sini untuk menjana kunci. Ini menjana kunci awam RSA untuk pelayan konsol (Kunci Awam Kiri). Cari kunci untuk digunakan pada get laluan jauh, potong dan tampalkannya ke dalam Kunci Awam Kanan
o Jika anda memilih Rahsia kongsi, masukkan Rahsia Prakongsi (PSK). PSK mesti sepadan dengan PSK yang dikonfigurasikan di hujung terowong yang lain
5. Dalam Protokol Pengesahan pilih protokol pengesahan yang akan digunakan. Sama ada mengesahkan sebagai sebahagian daripada penyulitan ESP (Encapsulating Security Payload) atau secara berasingan menggunakan protokol AH (Authentication Header).
52

Manual Pengguna
6. Masukkan ID Kiri dan ID Kanan. Ini ialah pengecam yang digunakan oleh hos/gerbang tempatan dan hos/gerbang jauh untuk rundingan dan pengesahan IPsec. Setiap ID mesti menyertakan @ dan boleh memasukkan nama domain yang layak sepenuhnya ( cth kiri@cthample.com)
7. Masukkan alamat IP awam atau DNS gateway VPN Opengear ini sebagai Alamat Kiri. Anda boleh membiarkan ini kosong untuk menggunakan antara muka laluan lalai
8. Dalam Alamat Kanan masukkan IP awam atau alamat DNS hujung jauh terowong (hanya jika hujung jauh mempunyai alamat statik atau DynDNS). Jika tidak, biarkan ini kosong
9. Jika gerbang VPN Opengear berfungsi sebagai get laluan VPN kepada subnet tempatan (cth pelayan konsol mempunyai LAN Pengurusan yang dikonfigurasikan) masukkan butiran subnet peribadi dalam Subnet Kiri. Gunakan tatatanda CIDR (di mana nombor alamat IP diikuti dengan garis miring dan bilangan bit `satu' dalam tatatanda binari netmask). Untuk example, 192.168.0.0/24 menunjukkan alamat IP di mana 24 bit pertama digunakan sebagai alamat rangkaian. Ini sama dengan 255.255.255.0. Jika akses VPN hanya kepada pelayan konsol dan peranti konsol bersiri yang dilampirkan, biarkan Subnet Kiri kosong
10. Jika terdapat get laluan VPN di hujung jauh, masukkan butiran subnet peribadi dalam Subnet Kanan. Gunakan notasi CIDR dan biarkan kosong jika hanya terdapat hos jauh
11. Pilih Mulakan Terowong jika sambungan terowong akan dimulakan dari hujung pelayan konsol Kiri. Ini hanya boleh dimulakan dari get laluan VPN (Kiri) jika hujung jauh dikonfigurasikan dengan alamat IP statik (atau DynDNS)
12. Klik Guna untuk menyimpan perubahan
NOTA Butiran konfigurasi yang disediakan pada pelayan konsol (dirujuk sebagai hos Kiri atau Setempat) mesti sepadan dengan persediaan yang dimasukkan semasa mengkonfigurasi hos/gerbang Jauh (Kanan) atau klien perisian. Lihat http://www.opengear.com/faq.html untuk butiran tentang mengkonfigurasi hujung jauh ini
3.10 OpenVPN
ACM7000, CM7100 dan IM7200 dengan perisian tegar V3.2 dan kemudiannya termasuk OpenVPN. OpenVPN menggunakan perpustakaan OpenSSL untuk penyulitan, pengesahan dan pensijilan, yang bermaksud ia menggunakan SSL/TSL (Secure Socket Layer/Transport Layer Security) untuk pertukaran kunci dan boleh menyulitkan kedua-dua saluran data dan kawalan. Menggunakan OpenVPN membolehkan membina platform merentas, VPN titik ke titik menggunakan sama ada X.509 PKI (Public Key Infrastructure) atau konfigurasi tersuai files. OpenVPN membenarkan terowong data yang selamat melalui port TCP/UDP tunggal melalui rangkaian tidak terjamin, sekali gus menyediakan akses selamat ke berbilang tapak dan pentadbiran jauh selamat kepada pelayan konsol melalui Internet. OpenVPN juga membenarkan penggunaan alamat IP Dinamik oleh kedua-dua pelayan dan pelanggan sekali gus menyediakan mobiliti pelanggan. Untuk exampOleh itu, terowong OpenVPN boleh diwujudkan antara klien windows perayauan dan pelayan konsol Opengear dalam pusat data. Konfigurasi OpenVPN boleh menjadi rumit jadi Opengear menyediakan antara muka GUI untuk persediaan asas seperti yang diterangkan di bawah. Maklumat lebih terperinci boleh didapati di http://www.openvpn.net
3.10.1 Dayakan OpenVPN 1. Pilih OpenVPN pada menu Serial & Rangkaian
53

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
2. Klik Tambah dan lengkapkan skrin Tambah Terowong OpenVPN 3. Masukkan sebarang nama deskriptif yang anda ingin kenal pasti Terowong OpenVPN yang anda tambahkan, contohnyaample
NorthStOutlet-VPN
4. Pilih kaedah pengesahan yang akan digunakan. Untuk mengesahkan menggunakan sijil pilih PKI (Sijil X.509) atau pilih Konfigurasi Tersuai untuk memuat naik konfigurasi tersuai files. Konfigurasi tersuai mesti disimpan dalam /etc/config.
NOTA Jika anda memilih PKI, wujudkan: Sijil berasingan (juga dikenali sebagai kunci awam). Sijil ini File ialah *.crt file taip Private Key untuk pelayan dan setiap klien. Kunci Peribadi ini File ialah *.kunci file taip
Sijil dan kunci Primary Certificate Authority (CA) yang digunakan untuk menandatangani setiap pelayan
dan sijil pelanggan. Sijil Root CA ini ialah *.crt file taip Untuk pelayan, anda juga mungkin memerlukan dh1024.pem (parameter Diffie Hellman). Lihat http://openvpn.net/easyrsa.html untuk panduan pengurusan kunci RSA asas. Untuk kaedah pengesahan alternatif lihat http://openvpn.net/index.php/documentation/howto.html#auth.
5. Pilih Pemacu Peranti untuk digunakan, sama ada Tun-IP atau Tap-Ethernet. Pemacu TUN (terowong rangkaian) dan TAP (ketik rangkaian) ialah pemacu rangkaian maya yang masing-masing menyokong terowong IP dan terowong Ethernet. TUN dan TAP adalah sebahagian daripada kernel Linux.
6. Pilih sama ada UDP atau TCP sebagai Protokol. UDP ialah protokol lalai dan pilihan untuk OpenVPN. 7. Tandakan atau nyahtanda butang Mampatan untuk mendayakan atau melumpuhkan pemampatan. 8. Dalam Mod Terowong, calonkan sama ada ini adalah hujung Pelanggan atau Pelayan terowong. Apabila berjalan sebagai
pelayan, pelayan konsol menyokong berbilang pelanggan yang menyambung ke pelayan VPN melalui port yang sama.
54

Manual Pengguna
3.10.2 Konfigurasikan sebagai Pelayan atau Pelanggan
1. Lengkapkan Butiran Pelanggan atau Butiran Pelayan bergantung pada Mod Terowong yang dipilih. o Jika Pelanggan telah dipilih, Alamat Pelayan Utama ialah alamat Pelayan OpenVPN. o Jika Pelayan telah dipilih, masukkan alamat Rangkaian Kolam IP dan topeng Rangkaian Kolam IP untuk Kolam IP. Rangkaian yang ditakrifkan oleh alamat/topeng Rangkaian Kolam IP digunakan untuk menyediakan alamat untuk menyambungkan pelanggan.
2. Klik Guna untuk menyimpan perubahan
55

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
3. Untuk memasukkan sijil pengesahan dan files, pilih Urus OpenVPN Files tab. Muat naik atau semak imbas ke sijil pengesahan yang berkaitan dan files.
4. Mohon untuk menyimpan perubahan. Disimpan files dipaparkan dalam warna merah di sebelah kanan butang Muat Naik.
5. Untuk mendayakan OpenVPN, Edit terowong OpenVPN
56

Manual Pengguna
6. Semak butang Didayakan. 7. Mohon untuk menyimpan perubahan CATATAN Pastikan masa sistem pelayan konsol adalah betul apabila bekerja dengan OpenVPN untuk mengelakkan
isu pengesahan.
8. Pilih Statistik pada menu Status untuk mengesahkan bahawa terowong beroperasi.
57

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
3.10.3 Penyediaan Pelanggan dan Pelayan Windows OpenVPN Bahagian ini menggariskan pemasangan dan konfigurasi klien Windows OpenVPN atau pelayan Windows OpenVPN dan menyediakan sambungan VPN ke pelayan konsol. Pelayan konsol menjana konfigurasi klien Windows secara automatik daripada GUI untuk Rahsia Prakongsi (Kunci Statik File) konfigurasi.
Secara bergantian OpenVPN GUI untuk perisian Windows (yang termasuk pakej OpenVPN standard ditambah GUI Windows) boleh dimuat turun dari http://openvpn.net. Setelah dipasang pada mesin Windows, ikon OpenVPN ditambahkan pada Kawasan Pemberitahuan yang terletak di sebelah kanan bar tugas. Klik kanan pada ikon ini untuk memulakan dan menghentikan sambungan VPN, mengedit konfigurasi dan view balak.
Apabila perisian OpenVPN mula berjalan, C:Program FileFolder sOpenVPNconfig diimbas untuk .opvn files. Folder ini disemak semula untuk konfigurasi baharu files apabila ikon GUI OpenVPN diklik kanan. Setelah OpenVPN dipasang, buat konfigurasi file:
58

Manual Pengguna

Menggunakan editor teks, buat xxxx.ovpn file dan simpan dalam C:Program FilesOpenVPNconfig. Untuk example, C: Program FilesOpenVPNconfigclient.ovpn
Seorang bekasample daripada konfigurasi klien Windows OpenVPN file ditunjukkan di bawah:
# perihalan: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client-key nobind persist-client.key tun comp-lzo
Seorang bekasample daripada konfigurasi Pelayan Windows OpenVPN file ditunjukkan di bawah:
pelayan 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\pnkeys\server kunci dh c:\openvpnkeys\dh.pem comp-lzo kata kerja 1 syslog IM4216_OpenVPN_Server
Konfigurasi klien/pelayan Windows file pilihan adalah:

Pilihan #penerangan: Pelayan pelanggan proto udp proto tcp mssfix kata kerja
dev tun dev tap

Perihalan Ini ialah ulasan yang menerangkan konfigurasi. Baris ulasan bermula dengan`#' dan diabaikan oleh OpenVPN. Tentukan sama ada ini akan menjadi konfigurasi klien atau pelayan file. Dalam konfigurasi pelayan file, tentukan kumpulan alamat IP dan netmask. Untuk example, pelayan 10.100.10.0 255.255.255.0 Tetapkan protokol kepada UDP atau TCP. Pelanggan dan pelayan mesti menggunakan tetapan yang sama. Mssfix menetapkan saiz maksimum paket. Ini hanya berguna untuk UDP jika masalah berlaku.
Tetapkan log file tahap verbositi. Tahap verbositi log boleh ditetapkan daripada 0 (minimum) hingga 15 (maksimum). Untuk example, 0 = senyap kecuali untuk ralat maut 3 = output sederhana, baik untuk kegunaan umum 5 = membantu dengan masalah sambungan nyahpepijat 9 = verbose, sangat baik untuk menyelesaikan masalah Pilih `dev tun' untuk mencipta terowong IP yang dihalakan atau `dev tap' untuk mencipta terowong Ethernet. Pelanggan dan pelayan mesti menggunakan tetapan yang sama.

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna

jauh Port Keepalive
http-proksi cafile nama>
sijilfile nama>
kuncifile nama>
dhfile nama> Nobind persist-key persist-tun cipher BF-CBC Blowfish (lalai) cipher AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

Nama hos/IP pelayan OpenVPN apabila beroperasi sebagai pelanggan. Masukkan sama ada nama hos DNS atau alamat IP statik pelayan. Port UDP/TCP pelayan. Keepalive menggunakan ping untuk memastikan sesi OpenVPN terus hidup. 'Keepalive 10 120′ melakukan ping setiap 10 saat dan menganggap peer jauh dimatikan jika tiada ping diterima dalam tempoh masa 120 saat. Jika proksi diperlukan untuk mengakses pelayan, masukkan nama DNS pelayan proksi atau nombor IP dan port. Masukkan sijil CA file nama dan lokasi. Sijil CA yang sama file boleh digunakan oleh pelayan dan semua pelanggan. Nota: Pastikan setiap `' dalam laluan direktori digantikan dengan ` \'. Untuk example, c:openvpnkeysca.crt akan menjadi c:\openvpnkeys\ca.crt Masukkan sijil pelanggan atau pelayan file nama dan lokasi. Setiap pelanggan harus mempunyai sijil dan kunci sendiri files. Nota: Pastikan setiap `' dalam laluan direktori digantikan dengan ` \'. Masuk ke file nama dan lokasi kunci pelanggan atau pelayan. Setiap pelanggan harus mempunyai sijil dan kunci sendiri files. Nota: Pastikan setiap `' dalam laluan direktori digantikan dengan ` \'. Ini digunakan oleh pelayan sahaja. Masukkan laluan ke kunci dengan parameter Diffie-Hellman. `Nobind' digunakan apabila pelanggan tidak perlu mengikat ke alamat tempatan atau nombor port tempatan tertentu. Ini berlaku dalam kebanyakan konfigurasi pelanggan. Pilihan ini menghalang pemuatan semula kunci pada permulaan semula. Pilihan ini menghalang penutupan dan pembukaan semula peranti TUN/TAP sepanjang permulaan semula. Pilih sifir kriptografi. Pelanggan dan pelayan mesti menggunakan tetapan yang sama.
Dayakan pemampatan pada pautan OpenVPN. Ini mesti didayakan pada kedua-dua klien dan pelayan. Secara lalai, log terletak dalam syslog atau, jika berjalan sebagai perkhidmatan pada Window, dalam Program FileDirektori sOpenVPNlog.

Untuk memulakan terowong OpenVPN berikutan penciptaan konfigurasi klien/pelayan files: 1. Klik kanan pada ikon OpenVPN dalam Kawasan Pemberitahuan 2. Pilih konfigurasi klien atau pelayan yang baru dibuat. 3. Klik Sambung

4. Log file dipaparkan apabila sambungan diwujudkan
60

Manual Pengguna
5. Setelah ditubuhkan, ikon OpenVPN memaparkan mesej yang menunjukkan sambungan yang berjaya dan IP yang ditetapkan. Maklumat ini, serta masa sambungan diwujudkan, tersedia dengan menatal ke atas ikon OpenVPN.
3.11 PPTP VPN
Pelayan konsol termasuk pelayan PPTP (Point-to-Point Tunneling Protocol). PPTP digunakan untuk komunikasi melalui pautan bersiri fizikal atau maya. Titik akhir PPP mentakrifkan alamat IP maya kepada diri mereka sendiri. Laluan ke rangkaian boleh ditakrifkan dengan alamat IP ini sebagai pintu masuk, yang mengakibatkan trafik dihantar merentasi terowong. PPTP mewujudkan terowong antara titik akhir PPP fizikal dan mengangkut data dengan selamat merentasi terowong.
Kekuatan PPTP ialah kemudahan konfigurasi dan penyepaduan ke dalam infrastruktur Microsoft sedia ada. Ia biasanya digunakan untuk menyambungkan pelanggan Windows jauh tunggal. Jika anda membawa komputer mudah alih anda dalam perjalanan perniagaan, anda boleh mendail nombor tempatan untuk menyambung kepada pembekal perkhidmatan akses Internet (ISP) anda dan membuat sambungan kedua (terowong) ke rangkaian pejabat anda merentas Internet dan mempunyai akses yang sama kepada anda. rangkaian korporat seolah-olah anda disambungkan terus dari pejabat anda. Telekomunikasi juga boleh menyediakan terowong VPN melalui modem kabel atau pautan DSL mereka ke ISP tempatan mereka.
61

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
Untuk menyediakan sambungan PPTP daripada klien Windows jauh ke perkakas Opengear dan rangkaian tempatan anda:
1. Dayakan dan konfigurasikan pelayan VPN PPTP pada perkakas Opengear anda 2. Sediakan akaun pengguna VPN pada perkakas Opengear dan dayakan yang sesuai
pengesahan 3. Konfigurasikan klien VPN di tapak terpencil. Pelanggan tidak memerlukan perisian khas sebagai
Pelayan PPTP menyokong perisian klien PPTP standard yang disertakan dengan Windows NT dan kemudiannya 4. Sambung ke VPN jauh 3.11.1 Dayakan pelayan PPTP VPN 1. Pilih PPTP VPN pada menu Serial & Rangkaian
2. Pilih kotak semak Dayakan untuk mendayakan Pelayan PPTP 3. Pilih Pengesahan Minimum Diperlukan. Akses dinafikan kepada pengguna jauh yang cuba melakukannya
sambung menggunakan skim pengesahan yang lebih lemah daripada skema yang dipilih. Skim diterangkan di bawah, daripada yang paling kuat kepada yang paling lemah. · Pengesahan Disulitkan (MS-CHAP v2): Jenis pengesahan terkuat untuk digunakan; ini adalah
pilihan yang disyorkan · Pengesahan Disulitkan Lemah (CHAP): Ini adalah jenis kata laluan yang disulitkan yang paling lemah
pengesahan untuk digunakan. Ia tidak disyorkan bahawa pelanggan menyambung menggunakan ini kerana ia memberikan perlindungan kata laluan yang sangat sedikit. Juga ambil perhatian bahawa pelanggan yang menyambung menggunakan CHAP tidak dapat menyulitkan trafik
62

Manual Pengguna
· Pengesahan Tidak Dienkripsi (PAP): Ini ialah pengesahan kata laluan teks biasa. Apabila menggunakan jenis pengesahan ini, kata laluan pelanggan dihantar tanpa disulitkan.
· Tiada 4. Pilih Tahap Penyulitan Diperlukan. Akses dinafikan kepada pengguna jauh yang cuba menyambung
yang tidak menggunakan tahap penyulitan ini. 5. Dalam Alamat Tempatan masukkan alamat IP untuk diberikan kepada penghujung pelayan sambungan VPN 6. Dalam Alamat Jauh masukkan kumpulan alamat IP untuk diberikan kepada VPN pelanggan masuk
sambungan (cth 192.168.1.10-20). Ini mestilah alamat IP percuma atau julat alamat daripada rangkaian yang ditetapkan pengguna jauh semasa disambungkan kepada perkakas Opengear 7. Masukkan nilai Unit Penghantaran Maksimum (MTU) yang dikehendaki untuk antara muka PPTP ke dalam medan MTU (lalai kepada 1400) 8. Dalam medan Pelayan DNS, masukkan alamat IP pelayan DNS yang memberikan alamat IP untuk menyambungkan klien PPTP 9. Dalam medan Pelayan WINS, masukkan alamat IP pelayan WINS yang memberikan alamat IP kepada klien PPTP yang menyambung 10. Dayakan Verbose Logging untuk membantu dalam menyahpepijat masalah sambungan 11. Klik Gunakan Tetapan 3.11.2 Tambah pengguna PPTP 1. Pilih Pengguna & Kumpulan pada menu Siri & Rangkaian dan lengkapkan medan seperti yang diliputi dalam bahagian 3.2. 2. Pastikan kumpulan pptpd telah disemak, untuk membenarkan akses kepada pelayan VPN PPTP. Nota – pengguna dalam kumpulan ini mempunyai kata laluan mereka disimpan dalam teks yang jelas. 3. Simpan nota nama pengguna dan kata laluan apabila anda perlu menyambung ke sambungan VPN 4. Klik Guna
63

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
3.11.3 Sediakan klien PPTP jauh Pastikan PC klien VPN jauh mempunyai sambungan Internet. Untuk membuat sambungan VPN merentas Internet, anda mesti menyediakan dua sambungan rangkaian. Satu sambungan adalah untuk ISP, dan satu lagi sambungan adalah untuk terowong VPN ke perkakas Opengear. NOTA Prosedur ini menyediakan klien PPTP dalam sistem pengendalian Windows Professional. Langkah-langkahnya
mungkin berbeza sedikit bergantung pada akses rangkaian anda atau jika anda menggunakan versi alternatif Windows. Arahan yang lebih terperinci boleh didapati daripada Microsoft web tapak. 1. Log masuk ke klien Windows anda dengan keistimewaan pentadbir 2. Dari Pusat Rangkaian & Perkongsian pada Panel Kawalan pilih Sambungan Rangkaian dan buat sambungan baharu
64

Manual Pengguna
3. Pilih Gunakan Sambungan Internet Saya (VPN) dan masukkan Alamat IP perkakas Opengear Untuk menyambungkan klien VPN jauh ke rangkaian tempatan, anda perlu mengetahui nama pengguna dan kata laluan untuk akaun PPTP yang anda tambahkan, serta IP Internet. alamat perkakas Opengear. Jika ISP anda tidak memperuntukkan anda alamat IP statik, pertimbangkan untuk menggunakan perkhidmatan DNS dinamik. Jika tidak, anda mesti mengubah suai konfigurasi klien PPTP setiap kali alamat IP Internet anda berubah.
65

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna

3.12 Hubungi Rumah
Semua pelayan konsol termasuk ciri Panggilan Rumah yang memulakan persediaan terowong SSH selamat daripada pelayan konsol ke Rumah Api Opengear berpusat. Pelayan konsol mendaftar sebagai calon di Rumah Api. Setelah diterima di sana ia menjadi Pelayan Konsol Terurus.
Rumah Api memantau Pelayan Konsol Terurus dan pentadbir boleh mengakses Pelayan Konsol Terurus jauh melalui Rumah Api. Akses ini tersedia walaupun pelayan konsol jauh berada di belakang tembok api pihak ketiga atau mempunyai alamat IP peribadi yang tidak boleh dihalakan.

NOTA

Rumah Api mengekalkan sambungan SSH yang disahkan kunci awam kepada setiap Pelayan Konsol Terurusnya. Sambungan ini digunakan untuk memantau, mengarahkan dan mengakses Pelayan Konsol Terurus dan peranti terurus yang disambungkan ke Pelayan Konsol Terurus.

Untuk mengurus Pelayan Konsol Tempatan, atau pelayan konsol yang boleh dicapai dari Rumah Api, sambungan SSH dimulakan oleh Rumah Api.

Untuk mengurus Pelayan Konsol Jauh atau pelayan konsol yang berdinding api, tidak boleh dihalakan atau tidak boleh dicapai daripada Rumah Api, sambungan SSH dimulakan oleh Pelayan Konsol Terurus melalui sambungan Panggilan Rumah awal.

Ini memastikan komunikasi yang selamat dan disahkan dan membolehkan unit Pelayan Konsol Terurus diedarkan secara setempat pada LAN, atau dari jauh di seluruh dunia.

3.12.1 Sediakan calon Panggilan Rumah Untuk menyediakan pelayan konsol sebagai calon pengurusan Panggilan Rumah di Rumah Api:
1. Pilih Panggilan Rumah pada menu Siri & Rangkaian

2. Jika anda belum lagi menjana atau memuat naik pasangan kunci SSH untuk pelayan konsol ini, lakukan sebelum meneruskan
3. Klik Tambah

4. Masukkan alamat IP atau nama DNS (cth alamat DNS dinamik) Rumah Api.
5. Masukkan Kata Laluan yang anda konfigurasikan pada CMS sebagai Kata Laluan Panggilan Rumah.
66

Manual Pengguna
6. Klik Guna Langkah-langkah ini memulakan sambungan Panggilan Rumah daripada pelayan konsol ke Rumah Api. Ini mencipta port SSHlistening pada Rumah Api dan menetapkan pelayan konsol sebagai calon.
Sebaik sahaja calon telah diterima di Rumah Api, terowong SSH ke pelayan konsol dihalakan semula merentasi sambungan Panggilan Rumah. Pelayan konsol telah menjadi Pelayan Konsol Terurus dan Rumah Api boleh menyambung dan memantaunya melalui terowong ini. 3.12.2 Terima calon Panggilan Rumah sebagai Pelayan Konsol Terurus di Rumah Api Bahagian ini memberikan penamatview semasa mengkonfigurasi Rumah Api untuk memantau pelayan Rumah Api konsol yang disambungkan melalui Panggilan Rumah. Untuk butiran lanjut lihat Panduan Pengguna Rumah Api:
1. Masukkan Kata Laluan Panggilan Rumah baharu pada Rumah Api. Kata laluan ini digunakan untuk menerima
Panggil Sambungan Rumah daripada pelayan konsol calon
2. Rumah Api boleh dihubungi oleh pelayan konsol ia mesti sama ada mempunyai IP statik
alamat atau, jika menggunakan DHCP, dikonfigurasikan untuk menggunakan perkhidmatan DNS dinamik
Skrin Konfigurasi > Pelayan Konsol Terurus pada Rumah Api menunjukkan status
Pelayan Konsol Terurus dan jauh tempatan dan calon.
Bahagian Pelayan Konsol Terurus menunjukkan pelayan konsol dipantau oleh
Rumah Api.Bahagian Pelayan Konsol Dikesan mengandungi:
o Pelayan Konsol Tempatan lungsur turun yang menyenaraikan semua pelayan konsol yang terdapat pada
subnet yang sama seperti Rumah Api, dan tidak dipantau
67

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
o Drop-down Pelayan Konsol Jauh yang menyenaraikan semua pelayan konsol yang telah mewujudkan sambungan Panggilan Rumah dan tidak dipantau (iaitu calon). Anda boleh mengklik Muat Semula untuk mengemas kini
Untuk menambah calon pelayan konsol pada senarai Pelayan Konsol Terurus, pilihnya daripada senarai juntai bawah Pelayan Konsol Jauh dan klik Tambah. Masukkan Alamat IP dan Port SSH (jika medan ini belum dilengkapkan secara automatik) dan masukkan Perihalan dan Nama unik untuk pelayan Konsol Terurus yang anda tambahkan
Masukkan Kata Laluan Root Jauh (iaitu Kata Laluan Sistem yang telah ditetapkan pada pelayan Konsol Terurus ini). Kata laluan ini digunakan oleh Rumah Api untuk menyebarkan kunci SSH yang dijana secara automatik dan tidak disimpan. Klik Guna. Rumah Api menyediakan sambungan SSH selamat ke dan dari Pelayan Konsol Terurus dan mendapatkan semula Peranti Terurus, butiran akaun pengguna dan makluman yang dikonfigurasikan 3.12.3 Memanggil Rumah ke pelayan SSH pusat generik Jika anda menyambung ke pelayan SSH generik (bukan Rumah Api) anda boleh mengkonfigurasi tetapan Lanjutan: · Masukkan Port Pelayan SSH dan Pengguna SSH. · Masukkan butiran untuk port SSH ke hadapan untuk dibuat
Dengan memilih Pelayan Mendengar, anda boleh mencipta port Jauh ke hadapan dari Pelayan ke unit ini, atau port Setempat ke hadapan dari unit ini ke Pelayan:
68

Manual Pengguna
· Tentukan Port Mendengar untuk dimajukan, biarkan medan ini kosong untuk memperuntukkan port yang tidak digunakan · Masukkan Pelayan Sasaran dan Port Sasaran yang akan menjadi penerima sambungan yang dimajukan
3.13 Laluan IP
IP Passthrough digunakan untuk membuat sambungan modem (cth modem selular dalaman) kelihatan seperti sambungan Ethernet biasa kepada penghala hiliran pihak ketiga, membenarkan penghala hiliran menggunakan sambungan modem sebagai antara muka WAN utama atau sandaran.
Peranti Opengear menyediakan alamat IP modem dan butiran DNS kepada peranti hiliran melalui DHCP dan menghantar trafik rangkaian ke dan dari modem dan penghala.
Walaupun IP Passthrough menukar Opengear menjadi jambatan separuh modem-ke-Ethernet, sesetengah perkhidmatan lapisan 4 (HTTP/HTTPS/SSH) mungkin ditamatkan pada Opengear (Perkhidmatan Pemintasan). Selain itu, perkhidmatan yang dijalankan pada Opengear boleh memulakan sambungan selular keluar bebas daripada penghala hiliran.
Ini membolehkan Opengear terus digunakan untuk pengurusan luar jalur dan amaran dan juga diuruskan melalui Rumah Api, semasa dalam mod Laluan IP.
3.13.1 Persediaan Penghala Hilir Untuk menggunakan kesambungan failover pada penghala hiliran (aka Failover ke Selular atau F2C), ia mesti mempunyai dua atau lebih antara muka WAN.
NOTA Failover dalam konteks IP Passthrough dilakukan oleh penghala hiliran, dan logik failover out-ofband terbina dalam pada Opengear tidak tersedia semasa dalam mod IP Passthrough.
Sambungkan antara muka Ethernet WAN pada penghala hiliran ke Antara Muka Rangkaian Opengear atau port LAN Pengurusan dengan kabel Ethernet.
Konfigurasikan antara muka ini pada penghala hiliran untuk menerima tetapan rangkaiannya melalui DHCP. Jika failover diperlukan, konfigurasikan penghala hiliran untuk failover antara antara muka utamanya dan port Ethernet yang disambungkan ke Opengear.
3.13.2 Pra-Tatarajah Laluan IP Langkah-langkah prasyarat untuk mendayakan Laluan IP ialah:
1. Konfigurasikan Antara Muka Rangkaian dan antara muka LAN Pengurusan yang berkenaan dengan tetapan rangkaian statik. · Klik Siri & Rangkaian > IP. · Untuk Antara Muka Rangkaian dan LAN Pengurusan yang berkenaan, pilih Statik untuk Kaedah Konfigurasi dan masukkan tetapan rangkaian (lihat bahagian bertajuk Konfigurasi Rangkaian untuk arahan terperinci). · Untuk antara muka yang disambungkan ke penghala hiliran, anda boleh memilih mana-mana rangkaian peribadi khusus rangkaian ini hanya wujud antara Opengear dan penghala hiliran dan biasanya tidak boleh diakses. · Untuk antara muka yang lain, konfigurasikannya seperti biasa pada rangkaian tempatan. · Untuk kedua-dua antara muka, biarkan Gateway kosong.
2. Konfigurasikan modem dalam mod Sentiasa Hidup Luar jalur.
69

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
· Untuk sambungan selular, klik Sistem > Dail: Modem Selular Dalaman. · Pilih Dayakan Dail Keluar dan masukkan butiran pembawa seperti APN (lihat bahagian Modem Selular
Sambungan untuk arahan terperinci). 3.13.3 Konfigurasi Laluan IP Untuk mengkonfigurasi Laluan IP:
· Klik Siri & Rangkaian > Laluan IP dan tandakan Dayakan. · Pilih Modem Opengear untuk digunakan untuk sambungan huluan. · Secara pilihan, masukkan Alamat MAC antara muka bersambung penghala hiliran. Jika alamat MAC ialah
tidak dinyatakan, Opengear akan lulus ke peranti hiliran pertama yang meminta alamat DHCP. · Pilih Antara Muka Ethernet Opengear untuk digunakan untuk sambungan ke penghala hiliran.
· Klik Gunakan. 3.13.4 Pintasan Perkhidmatan Ini membolehkan Opengear terus menyediakan perkhidmatan, contohnyaample, untuk pengurusan luar jalur apabila dalam mod Laluan IP. Sambungan ke alamat modem pada port pintasan yang ditentukan dikendalikan oleh Opengear dan bukannya melalui penghala hiliran.
· Untuk perkhidmatan HTTP, HTTPS atau SSH yang diperlukan, tandakan Dayakan · Secara pilihan, ubah suai Port Intercept kepada port ganti (cth 8443 untuk HTTPS), ini berguna jika anda
mahu terus membenarkan penghala hiliran kekal boleh diakses melalui port biasanya. 3.13.5 Status Laluan IP Muat semula halaman ke view bahagian Status. Ia memaparkan Alamat IP Luaran modem yang sedang dilalui, Alamat MAC Dalaman penghala hiliran (hanya diisi apabila penghala hiliran menerima pajakan DHCP), dan status berjalan keseluruhan perkhidmatan Laluan IP. Anda mungkin dimaklumkan tentang status failover penghala hiliran dengan mengkonfigurasi Semakan Penggunaan Data Laluan di bawah Makluman & Pengelogan > Balas Auto. 3.13.6 Kaveat Sesetengah penghala hiliran mungkin tidak serasi dengan laluan get laluan. Ini boleh berlaku apabila IP Passthrough merapatkan rangkaian selular 3G di mana alamat get laluan ialah alamat destinasi titik ke titik dan tiada maklumat subnet tersedia. Opengear menghantar topeng bersih DHCP 255.255.255.255. Peranti biasanya menganggap ini sebagai laluan hos tunggal pada antara muka, tetapi beberapa peranti hiliran yang lebih lama mungkin menghadapi masalah.
70

Manual Pengguna
Pintasan untuk perkhidmatan tempatan tidak akan berfungsi jika Opengear menggunakan laluan lalai selain daripada modem. Selain itu, mereka tidak akan berfungsi melainkan perkhidmatan didayakan dan akses kepada perkhidmatan didayakan (lihat Sistem > Perkhidmatan, di bawah tab Akses Perkhidmatan, cari Dail/Selular).
Sambungan keluar yang berasal dari Opengear ke perkhidmatan jauh disokong (cth menghantar makluman e-mel SMTP, perangkap SNMP, mendapatkan masa NTP, terowong IPSec). Terdapat risiko kecil kegagalan sambungan sekiranya Opengear dan peranti hiliran cuba mengakses port UDP atau TCP yang sama pada hos jauh yang sama pada masa yang sama apabila mereka telah memilih nombor port tempatan asal yang sama secara rawak.
3.14 Konfigurasi melalui DHCP (ZTP)
Peranti Opengear boleh disediakan semasa but awalnya daripada pelayan DHCPv4 atau DHCPv6 menggunakan config-over-DHCP. Peruntukan pada rangkaian yang tidak dipercayai boleh dipermudahkan dengan menyediakan kunci pada pemacu kilat USB. Fungsi ZTP juga boleh digunakan untuk melakukan peningkatan perisian tegar pada sambungan awal ke rangkaian, atau untuk mendaftar ke contoh Rumah Api 5.
Penyediaan Langkah biasa untuk konfigurasi melalui rangkaian yang dipercayai ialah:
1. Konfigurasikan peranti Opengear model yang sama. 2. Simpan konfigurasinya sebagai sandaran Opengear (.opg) file. 3. Pilih Sistem > Sandaran Konfigurasi > Sandaran Jauh. 4. Klik Simpan Sandaran. Konfigurasi sandaran file — model-name_iso-format-date_config.opg — dimuat turun daripada peranti Opengear ke sistem setempat. Anda boleh menyimpan konfigurasi sebagai xml file: 1. Pilih Sistem > Sandaran Konfigurasi > Konfigurasi XML. Medan boleh diedit yang mengandungi
konfigurasi file dalam format XML muncul. 2. Klik ke dalam medan untuk menjadikannya aktif. 3. Jika anda menjalankan sebarang pelayar pada Windows atau Linux, klik kanan dan pilih Pilih Semua daripada
menu kontekstual atau tekan Control-A. Klik kanan dan pilih Salin daripada menu kontekstual atau tekan Control-C. 4. Jika anda menggunakan mana-mana penyemak imbas pada macOS, pilih Edit > Pilih Semua atau tekan Command-A. Pilih Edit > Salin atau tekan Command-C. 5. Dalam editor teks pilihan anda, buat dokumen kosong baharu, tampal data yang disalin ke dalam dokumen kosong dan simpan file. apapun file-nama yang anda pilih, ia mesti termasuk .xml filenama akhiran. 6. Salin .opg atau .xml yang disimpan file ke direktori yang menghadap awam pada a file pelayan menyediakan sekurang-kurangnya satu daripada protokol berikut: HTTPS, HTTP, FTP atau TFTP. (Hanya HTTPS boleh digunakan jika sambungan antara file pelayan dan peranti Opengear yang akan dikonfigurasikan bergerak melalui rangkaian yang tidak dipercayai.). 7. Konfigurasikan pelayan DHCP anda untuk memasukkan pilihan `khusus vendor' untuk peranti Opengear. (Ini akan dilakukan dengan cara khusus pelayan DHCP.) Pilihan khusus vendor hendaklah ditetapkan kepada rentetan yang mengandungi URL daripada .opg atau .xml yang diterbitkan file dalam langkah di atas. Rentetan pilihan mestilah tidak melebihi 250 aksara dan ia mesti berakhir dengan sama ada .opg atau .xml.
71

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
8. Sambungkan peranti Opengear baharu, sama ada tetapan semula kilang atau Config-Erased, ke rangkaian dan gunakan kuasa. Ia mungkin mengambil masa sehingga 5 minit untuk peranti but semula sendiri.
Exampkonfigurasi pelayan ISC DHCP (dhcpd).
Berikut adalah bekasampserpihan konfigurasi pelayan DHCP untuk menyajikan imej konfigurasi .opg melalui pelayan DHCP ISC, dhcpd:
ruang pilihan kod opengear lebar 1 panjang lebar 1; pilihan opengear.config-url kod 1 = teks; kelas "opengear-config-over-dhcp-test" {
padankan jika pengecam kelas vendor pilihan ~~ “^Opengear/”; vendor-opsyen-ruang terbuka; pilihan opengear.config-url “https://example.com/opg/${class}.opg”; }
Persediaan ini boleh diubah suai untuk menaik taraf imej konfigurasi menggunakan opengear.image-url pilihan, dan menyediakan URI kepada imej perisian tegar.
Persediaan apabila LAN tidak dipercayai Jika sambungan antara file pelayan dan peranti Opengear yang akan dikonfigurasikan termasuk rangkaian yang tidak dipercayai, pendekatan dua tangan boleh mengurangkan isu ini.
NOTA Pendekatan ini memperkenalkan dua langkah fizikal di mana kepercayaan boleh menjadi sukar, jika tidak mustahil, untuk diwujudkan sepenuhnya. Pertama, rantaian jagaan daripada penciptaan pemacu denyar USB pembawa data kepada penggunaannya. Kedua, tangan menyambungkan pemacu kilat USB ke peranti Opengear.
· Hasilkan sijil X.509 untuk peranti Opengear.
· Gabungkan sijil dan kunci peribadinya menjadi satu file bernama client.pem.
· Salin client.pem ke pemacu kilat USB.
· Sediakan pelayan HTTPS supaya akses kepada .opg atau .xml file adalah terhad kepada pelanggan yang boleh memberikan sijil pelanggan X.509 yang dijana di atas.
· Letakkan salinan sijil CA yang menandatangani sijil pelayan HTTP — ca-bundle.crt — pada pemacu kilat USB yang mengandungi client.pem.
· Masukkan pemacu kilat USB ke dalam peranti Opengear sebelum memasang kuasa atau rangkaian.
· Teruskan prosedur daripada `Salin .opg atau .xml yang disimpan file ke direktori yang menghadap awam pada a file pelayan' di atas menggunakan protokol HTTPS antara klien dan pelayan.
Sediakan pemacu USB dan cipta sijil X.509 dan kunci peribadi
· Hasilkan sijil CA supaya Permintaan Menandatangani Sijil (CSR) klien dan pelayan boleh ditandatangani.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/siri # echo 00 > exampleCA/crlnumber # sentuh exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=CthampleCA # cp demoCA/cacert.pem ca-bundle.crt
Prosedur ini menjana sijil yang dipanggil ExampleCA tetapi sebarang nama sijil yang dibenarkan boleh digunakan. Juga, prosedur ini menggunakan openssl ca. Jika organisasi anda mempunyai proses penjanaan CA yang selamat di seluruh perusahaan, ia harus digunakan sebaliknya.
72

Manual Pengguna
· Hasilkan sijil pelayan.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-kuncifile ca.key -policy policy_anything -batch -notext
NOTA Nama hos atau alamat IP mestilah rentetan yang sama digunakan dalam hidangan URL. Di bekasampDi atas, nama hos ialah demo.example.com.
· Hasilkan sijil pelanggan.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-kuncifile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Format pemacu kilat USB sebagai satu volum FAT32.
· Gerakkan client.pem dan ca-bundle.crt files ke direktori akar pemacu denyar.
Menyahpepijat isu ZTP Gunakan ciri log ZTP untuk menyahpepijat isu ZTP. Semasa peranti cuba melakukan operasi ZTP, maklumat log ditulis ke /tmp/ztp.log pada peranti.
Berikut adalah bekasample daripada kayu balak file daripada larian ZTP yang berjaya.
# cat /tmp/ztp.log Rab 13 Dis 22:22:17 UTC 2017 [notis 5127] odhcp6c.eth0: memulihkan konfigurasi melalui DHCP Rab 13 Dis 22:22:17 UTC 2017 [notis 5127] odhcp6c.eths0: waiting 10c.eths untuk rangkaian diselesaikan Rab 13 Dis 22:22:27 UTC 2017 [5127 notis] odhcp6c.eth0: NTP dilangkau: tiada pelayan Rab 13 Dis 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: 'vendorspec.1 http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Rab 13 Dis 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) Rab 13 Dis 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.3 (n/a) Rab Dis 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.4 (n/a) ) Rab Dis 13 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.5 (n/a) Rab Dis 13 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.6 (n vendorspec.13 /a) Rabu 22 Dis 22:28:2017 UTC 5127 [6 info] odhcp0c.eth2: tiada perisian tegar untuk dimuat turun (vendorspec.XNUMX) sandaran-url: cuba http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: memaksa mod konfigurasi wan ke sandaran DHCP-url: menetapkan nama hos kepada sandaran acm7004-0013c601ce97-url: pemuatan berjaya Rabu 13 Dis 22:22:36 UTC 2017 [5127 notis] odhcp6c.eth0: pemuatan konfigurasi berjaya Rab 13 Dis 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: tiada konfigurasi rumah api (vendorpec. 3/4/5) Rab 6 Dis 13:22:22 UTC 36 [notis 2017] odhcp5127c.eth6: peruntukan selesai, bukan but semula
Ralat direkodkan dalam log ini.
3.15 Pendaftaran ke Rumah Api
Gunakan Pendaftaran ke Rumah Api untuk mendaftarkan peranti Opengear ke dalam contoh Rumah Api, menyediakan akses terpusat kepada port konsol dan membenarkan konfigurasi pusat peranti Opengear.
Lihat Panduan Pengguna Rumah Api untuk mendapatkan arahan untuk mendaftarkan peranti Opengear ke dalam Rumah Api.
73

Bab 3: Port Bersiri, Peranti dan Konfigurasi Pengguna
3.16 Dayakan Geganti DHCPv4
Perkhidmatan geganti DHCP memajukan paket DHCP antara pelanggan dan pelayan DHCP jauh. Perkhidmatan geganti DHCP boleh didayakan pada pelayan konsol Opengear, supaya ia mendengar klien DHCP pada antara muka bawah yang ditetapkan, membungkus dan memajukan mesej mereka sehingga pelayan DHCP menggunakan sama ada penghalaan biasa, atau disiarkan terus ke antara muka atas yang ditetapkan. Oleh itu, ejen geganti DHCP menerima mesej DHCP dan menjana mesej DHCP baharu untuk dihantar pada antara muka lain. Dalam langkah di bawah, pelayan konsol boleh menyambung ke id litar, Ethernet atau modem sel menggunakan perkhidmatan Geganti DHCPv4.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Infrastruktur – Pelayan DHCP tempatan, ACM7004-5 untuk geganti, sebarang peranti lain untuk pelanggan. Mana-mana peranti dengan peranan LAN boleh digunakan sebagai geganti. Dalam bekas iniampOleh itu, 192.168.79.242 ialah alamat untuk antara muka yang disampaikan pelanggan (seperti yang ditakrifkan dalam konfigurasi pelayan DHCP file di atas) dan 192.168.79.244 ialah alamat antara muka atas kotak geganti, dan enp112s0 ialah antara muka hiliran pelayan DHCP.
1 Infrastruktur – Geganti DHCPv4 + Pilihan DHCP 82 (id litar)
Langkah-langkah pada Pelayan DHCP 1. Sediakan pelayan DHCP v4 tempatan, khususnya, ia harus mengandungi entri "hos" seperti di bawah untuk klien DHCP: hos cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; ejen pilihan pengecam hos.circuit-id “relay1”; alamat tetap 192.168.79.242; } Nota: baris "hardware ethernet" dikomentari, supaya pelayan DHCP akan menggunakan tetapan "circuit-id" untuk menetapkan alamat untuk klien yang berkaitan. 2. Mulakan semula Pelayan DHCP untuk memuatkan semula konfigurasinya yang telah diubah file. pkill -HUP dhcpd
74

Manual Pengguna
3. Tambah laluan hos secara manual kepada antara muka "relayed" klien (antara muka di belakang geganti DHCP, bukan antara muka lain yang mungkin juga ada pada klien:
sudo ip route menambah 192.168.79.242/32 melalui 192.168.79.244 dev enp112s0 Ini akan membantu mengelakkan isu penghalaan asimetri apabila pelanggan dan pelayan DHCP ingin mengakses satu sama lain melalui antara muka geganti pelanggan, apabila pelanggan mempunyai antara muka lain dalam yang sama subnet kumpulan alamat DHCP.
Nota: Langkah ini mesti ada untuk menyokong pelayan dhcp dan klien boleh mengakses satu sama lain.
Langkah pada kotak Geganti – ACM7004-5
1. Sediakan WAN/eth0 sama ada dalam mod statik atau dhcp (bukan mod tidak dikonfigurasikan). Jika dalam mod statik, ia mesti mempunyai alamat IP dalam kumpulan alamat pelayan DHCP.
2. Gunakan konfigurasi ini melalui CLI (di mana 192.168.79.1 ialah alamat pelayan DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 konfigurasi -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Antara muka bawah geganti DHCP mesti mempunyai alamat IP statik dalam kumpulan alamat pelayan DHCP. Dalam bekas iniample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Tunggu sebentar untuk pelanggan memperoleh pajakan DHCP melalui geganti.
Langkah pada Pelanggan (CM7116-2-dac dalam ex iniample atau mana-mana OG CS lain)
1. Pasangkan LAN/eth1 pelanggan ke LAN/eth1 geganti 2. Konfigurasikan LAN pelanggan untuk mendapatkan alamat IP melalui DHCP seperti biasa 3. Setelah clie

Dokumen / Sumber

opengear ACM7000 Gerbang Tapak Jauh [pdf] Manual Pengguna
ACM7000 Gerbang Tapak Jauh, ACM7000, Gerbang Tapak Jauh, Gerbang Tapak, Gerbang

Rujukan

Manual Pengguna

opengear ACM7000 Gerbang Tapak Jauh

Maklumat Produk

Arahan Penggunaan Produk

Soalan Lazim

Manual ini

Konfigurasi Sistem

Port Bersiri, Hos, Peranti & Konfigurasi Pengguna

Dokumen / Sumber

Rujukan

Tinggalkan komen

Batalkan balasan