Instrukcja obsługi bramy zdalnej opengear ACM7000

Nie podłączaj ani nie odłączaj serwera konsoli podczas burzy z wyładowaniami atmosferycznymi. Aby chronić sprzęt przed stanami nieustalonymi, należy zawsze używać tłumika przepięć lub zasilacza UPS.

Ostrzeżenie FCC:

To urządzenie jest zgodne z częścią 15 przepisów FCC. Działanie tego urządzenia podlega następującym warunkom: (1) to urządzenie nie może powodować szkodliwych zakłóceń oraz (2) to urządzenie musi akceptować wszelkie zakłócenia, które mogą powodować niepożądane działanie.

Często zadawane pytania

P: Czy mogę używać zdalnej bramki ACM7000 podczas burzy z wyładowaniami atmosferycznymi?
- A: Nie, nie zaleca się podłączania ani odłączania serwera konsoli podczas burzy z wyładowaniami atmosferycznymi, aby zapobiec uszkodzeniom.

P: Z jaką wersją przepisów FCC jest zgodne urządzenie?
- A: Urządzenie jest zgodne z częścią 15 przepisów FCC.

View Fullscreen

Instrukcja obsługi
Brama zdalna ACM7000 ACM7000-L Odporna brama IM7200 Menedżer infrastruktury Serwery konsolowe CM7100
Wersja 5.0 – 2023-12

Bezpieczeństwo
Podczas instalowania i obsługi serwera konsoli należy przestrzegać poniższych środków ostrożności: · Nie zdejmować metalowych osłon. Wewnątrz nie ma żadnych elementów, które mógłby naprawiać operator. Otwarcie lub zdjęcie pokrywy może narazić Cię na kontakt z niebezpiecznym objtage, co może spowodować pożar lub porażenie prądem. Wszelkie usługi serwisowe należy zlecić wykwalifikowanemu personelowi Opengee. · Aby uniknąć porażenia prądem, przewód uziemiający przewód zasilający musi być podłączony do uziemienia. · Odłączając przewód zasilający od gniazdka, zawsze ciągnij za wtyczkę, a nie za kabel.
Nie podłączaj ani nie odłączaj serwera konsoli podczas burzy z wyładowaniami atmosferycznymi. Aby chronić sprzęt przed stanami nieustalonymi, należy także zastosować tłumik przepięć lub zasilacz UPS.
Ostrzeżenie FCC
To urządzenie jest zgodne z częścią 15 przepisów FCC. Działanie tego urządzenia podlega następującym zasadom
Warunki: (1) To urządzenie nie może powodować szkodliwych zakłóceń oraz (2) to urządzenie musi akceptować wszelkie zakłócenia, które mogą powodować niepożądane działanie.
Należy zastosować odpowiednie systemy rezerwowe i niezbędne urządzenia zabezpieczające w celu ochrony przed obrażeniami, śmiercią lub szkodami materialnymi wynikającymi z awarii systemu. Za taką ochronę odpowiada użytkownik. To urządzenie serwera konsoli nie zostało zatwierdzone do użytku jako system podtrzymywania życia lub system medyczny. Wszelkie zmiany lub modyfikacje dokonane w tym urządzeniu-serwerze konsolowym bez wyraźnej zgody lub zgody Opengear spowodują unieważnienie wszelkiej odpowiedzialności Opengear za obrażenia lub straty spowodowane jakąkolwiek awarią. To urządzenie jest przeznaczone do użytku w pomieszczeniach zamkniętych, a całe okablowanie komunikacyjne ogranicza się do wnętrza budynku.
2

Instrukcja obsługi
Prawo autorskie
©Opengear Inc. 2023. Wszelkie prawa zastrzeżone. Informacje zawarte w tym dokumencie mogą ulec zmianie bez powiadomienia i nie stanowią zobowiązania ze strony Opengear. Opengear udostępnia ten dokument „tak jak jest”, bez jakichkolwiek gwarancji, wyraźnych lub dorozumianych, w tym między innymi dorozumianych gwarancji przydatności lub wartości handlowej do określonego celu. Opengear może w dowolnym momencie wprowadzać ulepszenia i/lub zmiany w tej instrukcji lub w produktach i/lub programach opisanych w tej instrukcji. Ten produkt może zawierać nieścisłości techniczne lub błędy typograficzne. Informacje zawarte w niniejszym dokumencie podlegają okresowym zmianom; zmiany te mogą zostać uwzględnione w nowych wydaniach publikacji.\

Rozdział 1

Niniejsza instrukcja

NINIEJSZA INSTRUKCJA

Niniejsza instrukcja obsługi wyjaśnia instalację, obsługę i zarządzanie serwerami konsoli Opengear. W tym podręczniku założono, że znasz Internet i sieci IP, protokoły HTTP, FTP, podstawowe operacje związane z bezpieczeństwem oraz sieć wewnętrzną Twojej organizacji.
1.1 Typy użytkowników
Serwer konsoli obsługuje dwie klasy użytkowników:
· Administratorzy posiadający nieograniczone uprawnienia do konfiguracji i zarządzania na konsoli
serwer i podłączone urządzenia, a także wszystkie usługi i porty do sterowania wszystkimi urządzeniami podłączonymi szeregowo i urządzeniami podłączonymi do sieci (hostami). Administratorzy są skonfigurowani jako członkowie grupy użytkowników admin. Administrator może uzyskać dostęp do serwera konsoli i sterować nim za pomocą narzędzia konfiguracyjnego, wiersza poleceń systemu Linux lub konsoli zarządzania opartej na przeglądarce.
· Użytkownicy, którzy zostali skonfigurowani przez administratora z ograniczeniami dostępu i uprawnień kontrolnych.
Użytkownicy mają ograniczone view konsoli zarządzającej i ma dostęp tylko do autoryzowanych, skonfigurowanych urządzeń i review dzienniki portów. Użytkownicy ci są skonfigurowani jako członkowie jednej lub większej liczby wstępnie skonfigurowanych grup użytkowników, takich jak PTPPD, dialin, FTP, pmshell, użytkownicy lub grupy użytkowników, które mógł utworzyć administrator. Są upoważnieni wyłącznie do wykonywania określonych kontroli na określonych podłączonych urządzeniach. Użytkownicy, jeśli są autoryzowani, mogą uzyskiwać dostęp i sterować urządzeniami podłączonymi szeregowo lub sieciowo, korzystając z określonych usług (np. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Użytkownicy zdalni to użytkownicy, którzy nie znajdują się w tym samym segmencie sieci LAN, co serwer konsoli. Zdalny użytkownik może być w podróży i łączyć się z zarządzanymi urządzeniami przez publiczny Internet, administrator w innym biurze łączący się z serwerem konsoli przez korporacyjną sieć VPN lub w tym samym pokoju lub tym samym biurze, ale podłączonym do konsoli przez oddzielną sieć VLAN serwer.
1.2 Konsola zarządzająca
Konsola zarządzająca Opengear umożliwia konfigurowanie i monitorowanie funkcji serwera konsoli Opengear. Konsola zarządzająca działa w przeglądarce i udostępnia m.in view serwera konsoli i wszystkich podłączonych urządzeń. Administratorzy mogą używać Konsoli zarządzającej do konfigurowania i zarządzania serwerem konsoli, użytkownikami, portami, hostami, urządzeniami zasilającymi oraz powiązanymi dziennikami i alertami. Użytkownicy niebędący administratorami mogą używać konsoli zarządzającej z ograniczonym dostępem do menu w celu kontrolowania wybranych urządzeń, npview swoje dzienniki i uzyskać do nich dostęp za pomocą wbudowanego narzędzia Web terminal.
Na serwerze konsoli działa wbudowany system operacyjny Linux i można go skonfigurować za pomocą wiersza poleceń. Dostęp do wiersza poleceń można uzyskać przez sieć komórkową/wdzwanianą, bezpośrednio łącząc się z portem szeregowym konsoli/modemu serwera konsoli lub korzystając z protokołu SSH lub Telnet w celu połączenia z serwerem konsoli przez sieć LAN (lub łącząc się za pomocą protokołu PPTP, IPsec lub OpenVPN) .
6

Instrukcja obsługi
Aby uzyskać polecenia interfejsu wiersza poleceń (CLI) i zaawansowane instrukcje, pobierz Opengear CLI i Scripting Reference.pdf z https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Więcej informacji
Aby uzyskać więcej informacji, skonsultuj się z: · Produkty Opengear Web Strona: zobacz https://opengear.com/products. Aby uzyskać najbardziej aktualne informacje na temat zawartości serwera konsoli, odwiedź sekcję Co zawiera dany produkt. · Skrócona instrukcja obsługi: Aby uzyskać skróconą instrukcję obsługi dla swojego urządzenia, zobacz https://opengear.com/support/documentation/. · Baza wiedzy Opengear: Odwiedź https://opengear.zendesk.com, aby uzyskać dostęp do artykułów technicznych, porad technicznych, często zadawanych pytań i ważnych powiadomień. · Opengear CLI i informacje o skryptach: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Rozdział 2:

Konfiguracja systemu

KONFIGURACJA SYSTEMU

W tym rozdziale znajdują się instrukcje krok po kroku dotyczące wstępnej konfiguracji serwera konsoli i podłączenia go do zarządzającej lub operacyjnej sieci LAN. Kroki są następujące:
Aktywuj konsolę zarządzającą. Zmień hasło administratora. Ustaw główny port LAN serwera konsoli adresu IP. Wybierz usługi, które mają zostać włączone i uprawnienia dostępu. W tym rozdziale omówiono także narzędzia oprogramowania komunikacyjnego, których administrator może użyć w celu uzyskania dostępu do serwera konsoli oraz konfigurację dodatkowych portów LAN.
2.1 Połączenie z konsolą zarządzającą
Twój serwer konsoli ma skonfigurowany domyślny adres IP 192.168.0.1 i maskę podsieci 255.255.255.0 dla NET1 (WAN). W celu wstępnej konfiguracji zalecamy podłączenie komputera bezpośrednio do konsoli. Jeśli zdecydujesz się podłączyć sieć LAN przed wykonaniem początkowych kroków konfiguracji, upewnij się, że:
· W sieci LAN nie ma innych urządzeń o adresie 192.168.0.1. · Serwer konsoli i komputer znajdują się w tym samym segmencie sieci LAN, bez routera znajdującego się pomiędzy nimi
urządzenia.
2.1.1 Konfiguracja podłączonego komputera Aby skonfigurować serwer konsoli za pomocą przeglądarki, podłączony komputer powinien mieć adres IP z tego samego zakresu co serwer konsoli (np.ample, 192.168.0.100):
· Aby skonfigurować adres IP komputera z systemem Linux lub Unix, uruchom ifconfig. · Dla komputerów z systemem Windows:
1. Kliknij Start > Ustawienia > Panel sterowania i kliknij dwukrotnie Połączenia sieciowe. 2. Kliknij prawym przyciskiem myszy Połączenie lokalne i wybierz Właściwości. 3. Wybierz Protokół internetowy (TCP/IP) i kliknij Właściwości. 4. Wybierz opcję Użyj następującego adresu IP i wprowadź następujące szczegóły:
o Adres IP: 192.168.0.100 o Maska podsieci: 255.255.255.0 5. Jeżeli chcesz zachować dotychczasowe ustawienia IP dla tego połączenia sieciowego, kliknij Zaawansowane i Dodaj powyższe jako dodatkowe połączenie IP.
2.1.2 Połączenie przeglądarki
Otwórz przeglądarkę na podłączonym komputerze/stacji roboczej i wprowadź https://192.168.0.1.
Zaloguj się z:
Nazwa użytkownika> Hasło roota> domyślne
8

Instrukcja obsługi
Przy pierwszym logowaniu konieczna jest zmiana hasła root. Kliknij opcję Prześlij.
Aby dokończyć zmianę, wprowadź ponownie nowe hasło. Kliknij opcję Prześlij. Pojawi się ekran powitalny.
Jeśli Twój system jest wyposażony w modem komórkowy, zostaną podane kroki umożliwiające skonfigurowanie funkcji routera komórkowego: · Skonfiguruj połączenie modemu komórkowego (System > strona Wybierz. Zobacz rozdział 4) · Zezwól na przekazywanie do docelowej sieci komórkowej (System > strona Zapora sieciowa. Patrz Rozdział 4) · Włącz maskowanie IP dla połączenia komórkowego (System > strona Zapora sieciowa. Patrz Rozdział 4)
Po wykonaniu każdego z powyższych kroków możesz powrócić do listy konfiguracji klikając logo Opengear w lewym górnym rogu ekranu. UWAGA Jeśli nie możesz połączyć się z konsolą zarządzającą pod adresem 192.168.0.1 lub jeśli domyślny
Nazwa użytkownika/hasło nie zostały zaakceptowane, zresetuj serwer konsoli (patrz rozdział 10).
9

Rozdział 2: Konfiguracja systemu
2.2 Konfiguracja administratora
2.2.1 Zmień domyślne hasło systemowe root Zmiana hasła root jest wymagana przy pierwszym logowaniu się do urządzenia. Możesz zmienić to hasło w dowolnym momencie.
1. Kliknij opcję Szeregowy i sieć > Użytkownicy i grupy lub na ekranie powitalnym kliknij Zmień domyślne hasło administracyjne.
2. Przewiń w dół i znajdź wpis użytkownika root w obszarze Użytkownicy i kliknij Edytuj. 3. Wpisz nowe hasło w polach Hasło i Potwierdź.
UWAGA Zaznaczenie opcji Zapisz hasło w oprogramowaniu sprzętowym powoduje zapisanie hasła, dzięki czemu nie zostanie ono usunięte podczas resetowania oprogramowania sprzętowego. Jeśli hasło zostanie utracone, konieczne będzie przywrócenie oprogramowania sprzętowego urządzenia.
4. Kliknij Zastosuj. Zaloguj się przy użyciu nowego hasła 2.2.2 Skonfiguruj nowego administratora Utwórz nowego użytkownika z uprawnieniami administracyjnymi i zaloguj się jako ten użytkownik do funkcji administracyjnych, zamiast używać konta root.
10

Instrukcja obsługi
1. Kliknij opcję Szeregowy i sieć > Użytkownicy i grupy. Przewiń stronę w dół i kliknij przycisk Dodaj użytkownika.
2. Wprowadź nazwę użytkownika. 3. W sekcji Grupy zaznacz pole administratora. 4. Wprowadź hasło w polach Hasło i Potwierdź.
5. Możesz także dodać klucze autoryzowane SSH i wyłączyć uwierzytelnianie hasłem dla tego użytkownika.
6. Na tej stronie można ustawić dodatkowe opcje dla tego użytkownika, w tym Opcje połączenia telefonicznego, Dostępne hosty, Dostępne porty i Dostępne gniazda RPC.
7. Kliknij przycisk Zastosuj u dołu ekranu, aby utworzyć nowego użytkownika.
11

Rozdział 2: Konfiguracja systemu
2.2.3 Dodaj nazwę systemu, opis systemu i MOTD. 1. Wybierz System > Administracja. 2. Wprowadź nazwę systemu i opis systemu dla serwera konsoli, aby nadać mu unikalny identyfikator i ułatwić jego identyfikację. Nazwa systemu może zawierać od 1 do 64 znaków alfanumerycznych oraz znaki specjalne, podkreślenie (_), minus (-) i kropkę (.). Opis systemu może zawierać maksymalnie 254 znaki.
3. Baner MOTD może służyć do wyświetlania użytkownikom wiadomości dnia. Pojawia się w lewym górnym rogu ekranu, pod logo Opengear.
4. Kliknij Zastosuj.
12

Rozdział 2: Konfiguracja systemu
5. Wybierz System > Administracja. 6. Baner MOTD może służyć do wyświetlania użytkownikom wiadomości dnia. Pojawia się na
w lewym górnym rogu ekranu, pod logo Opengear. 7. Kliknij Zastosuj.
2.3 Konfiguracja sieci
Wprowadź adres IP głównego portu Ethernet (LAN/Sieć/Sieć1) na serwerze konsoli lub włącz jego klienta DHCP, aby automatycznie uzyskiwał adres IP z serwera DHCP. Domyślnie serwer konsoli ma włączonego klienta DHCP i automatycznie akceptuje każdy sieciowy adres IP przypisany przez serwer DHCP w Twojej sieci. W tym stanie początkowym serwer konsoli będzie odpowiadać zarówno na swój domyślny adres statyczny 192.168.0.1, jak i adres DHCP.
1. Kliknij System > IP i kliknij zakładkę Interfejs sieciowy. 2. Wybierz DHCP lub Statyczny dla metody konfiguracji.
Jeśli wybierzesz Statyczny, wprowadź adres IP, maskę podsieci, bramę i szczegóły serwera DNS. Ten wybór powoduje wyłączenie klienta DHCP.
12

Instrukcja obsługi
3. Port LAN serwera konsoli automatycznie wykrywa prędkość połączenia Ethernet. Użyj listy rozwijanej Media, aby zablokować Ethernet na 10 Mb/s lub 100 Mb/s oraz w trybie pełnego dupleksu lub półdupleksu.
Jeśli przy ustawieniu Auto zauważysz utratę pakietów lub słabą wydajność sieci, zmień ustawienia nośników Ethernet na serwerze konsoli i urządzeniu, do którego jest podłączony. W większości przypadków zmień oba na 100baseTx-FD (100 megabitów, pełny dupleks).
4. Jeśli wybierzesz DHCP, serwer konsoli będzie szukać szczegółów konfiguracji na serwerze DHCP. Ta opcja wyłącza wszelkie adresy statyczne. Adres MAC serwera konsoli można znaleźć na etykiecie na płycie podstawy.
5. Jako alias IP możesz wpisać adres dodatkowy lub listę adresów rozdzielonych przecinkami w notacji CIDR, np. 192.168.1.1/24.
6. Kliknij Zastosuj. 7. Podłącz ponownie przeglądarkę na komputerze podłączonym do serwera konsoli, wpisując
http://your new IP address.
Jeśli zmienisz adres IP serwera konsoli, musisz ponownie skonfigurować komputer, aby miał adres IP z tego samego zakresu sieci, co nowy adres serwera konsoli. Możesz ustawić MTU na interfejsach Ethernet. Jest to zaawansowana opcja, której można użyć, jeśli scenariusz wdrożenia nie działa z domyślną jednostką MTU wynoszącą 1500 bajtów. Aby ustawić MTU, kliknij System > IP i kliknij kartę Interfejs sieciowy. Przewiń w dół do pola MTU i wprowadź żądaną wartość. Poprawne wartości mieszczą się w zakresie od 1280 do 1500 dla interfejsów 100-megabitowych i od 1280 do 9100 dla interfejsów gigabitowych. Jeśli skonfigurowano mostkowanie lub łączenie, wartość MTU ustawiona na stronie Interfejs sieciowy zostanie ustawiona dla interfejsów będących częścią mostu lub połączenia . UWAGA W niektórych przypadkach określona przez użytkownika wartość MTU może nie zostać zastosowana. Niektóre sterowniki kart sieciowych mogą zaokrąglać zbyt duże jednostki MTU do maksymalnej dozwolonej wartości, a inne zwrócą kod błędu. Do zarządzania rozmiarem MTU można także użyć polecenia CLI:configure
# config -s config.interfaces.wan.mtu=1380 sprawdź
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode konfiguracja bezstanowa .interfaces.wan.media Automatyczna konfiguracja.interfaces.wan.mode statyczny config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Rozdział 2: Konfiguracja systemu
2.3.1 Konfiguracja protokołu IPv6 Interfejsy Ethernet serwera konsoli domyślnie obsługują protokół IPv4. Można je skonfigurować do pracy w protokole IPv6:
1. Kliknij System > IP. Kliknij kartę Ustawienia ogólne i zaznacz opcję Włącz IPv6. W razie potrzeby kliknij pole wyboru Wyłącz IPv6 dla sieci komórkowej.
2. Skonfiguruj parametry IPv6 na każdej stronie interfejsu. IPv6 można skonfigurować w trybie automatycznym, w którym do konfiguracji adresów, tras i DNS będzie używany SLAAC lub DHCPv6, lub w trybie statycznym, który umożliwia ręczne wprowadzanie informacji adresowych.
2.3.2 Konfiguracja dynamicznego DNS (DDNS) Dzięki dynamicznemu DNS (DDNS) serwer konsolowy, którego adres IP jest przypisywany dynamicznie, można zlokalizować przy użyciu stałej nazwy hosta lub domeny. Utwórz konto u wybranego obsługiwanego dostawcy usług DDNS. Podczas konfigurowania konta DDNS wybierasz nazwę użytkownika, hasło i nazwę hosta, których będziesz używać jako nazwy DNS. Dostawcy usług DDNS pozwalają wybrać nazwę hosta URL i ustaw początkowy adres IP odpowiadający tej nazwie hosta URL.
14

Instrukcja obsługi
Aby włączyć i skonfigurować usługę DDNS w dowolnym połączeniu sieci Ethernet lub sieci komórkowej na serwerze konsoli. 1. Kliknij System > IP i przewiń w dół sekcję Dynamiczny DNS. Wybierz dostawcę usług DDNS
z rozwijanej listy Dynamiczny DNS. Informacje DDNS można także ustawić na karcie Modem komórkowy w obszarze System > Wybierz numer.
2. W polu Nazwa hosta DDNS wprowadź pełną nazwę hosta DNS serwera konsoli, np. nazwa_hosta.dyndns.org.
3. Wprowadź nazwę użytkownika DDNS i hasło DDNS dla konta dostawcy usługi DDNS. 4. Określ maksymalny odstęp między aktualizacjami w dniach. Aktualizacja DDNS zostanie wysłana, nawet jeśli
adres się nie zmienił. 5. Określ Minimalny odstęp między sprawdzeniami zmienionych adresów w sekundach. Aktualizacje będą
zostać przesłane w przypadku zmiany adresu. 6. Określ maksymalną liczbę prób na aktualizację, czyli liczbę prób aktualizacji
zanim się poddałeś. Domyślnie jest to 3. 7. Kliknij Zastosuj.
15

Rozdział 2: Konfiguracja systemu
2.3.3 Tryb EAPoL dla sieci WAN, LAN i OOBFO
(OOBFO ma zastosowanie tylko do IM7216-2-24E-DAC)
Nadview standardu EAPoL IEEE 802.1X lub PNAC (Port-Based Network Access Control) wykorzystuje charakterystykę dostępu fizycznego infrastruktury LAN IEEE 802 w celu zapewnienia środków uwierzytelniania i autoryzacji urządzeń podłączonych do portu LAN, który ma połączenie punkt-do- charakterystyki połączenia punktu oraz uniemożliwienia dostępu do tego portu w przypadku niepowodzenia uwierzytelnienia i autoryzacji. Port w tym kontekście jest pojedynczym punktem przyłączenia do infrastruktury LAN.
Kiedy nowy węzeł bezprzewodowy lub przewodowy (WN) żąda dostępu do zasobu sieci LAN, punkt dostępowy (AP) pyta o tożsamość WN. Przed uwierzytelnieniem WN („port” jest zamknięty lub „nieuwierzytelniony”) nie jest dozwolony żaden inny ruch niż EAP. Węzeł bezprzewodowy żądający uwierzytelnienia jest często nazywany suplikantem. Suplikant jest odpowiedzialny za odpowiadanie na dane uwierzytelniające, które ustalają jego poświadczenia. To samo dotyczy punktu dostępu; Authenticator nie jest punktem dostępu. Zamiast tego punkt dostępu zawiera moduł uwierzytelniający. Osoba uwierzytelniająca nie musi znajdować się w punkcie dostępu; może to być element zewnętrzny. Zaimplementowano następujące metody uwierzytelniania:
· Suplikant EAP-MD5 o Metoda EAP MD5-Challenge wykorzystuje zwykłą nazwę użytkownika/hasło
· EAP-PEAP-MD5 o Metoda uwierzytelniania EAP PEAP (chroniony EAP) MD5 wykorzystuje poświadczenia użytkownika i certyfikat CA
· EAP-TLS o Metoda uwierzytelniania EAP TLS (Transport Layer Security) wymaga certyfikatu CA, certyfikatu klienta i klucza prywatnego.
Protokół EAP używany do uwierzytelniania był pierwotnie używany w połączeniach telefonicznych PPP. Tożsamością była nazwa użytkownika, a do sprawdzenia hasła użytkownika użyto uwierzytelnienia PAP lub CHAP. Ponieważ tożsamość jest wysyłana w sposób jawny (nie zaszyfrowany), złośliwy sniffer może poznać tożsamość użytkownika. Dlatego stosuje się „ukrywanie tożsamości”; prawdziwa tożsamość nie zostanie wysłana przed uruchomieniem zaszyfrowanego tunelu TLS.
16

Instrukcja obsługi
Po przesłaniu tożsamości rozpoczyna się proces uwierzytelniania. Protokołem używanym pomiędzy Suplikantem a wystawcą uwierzytelnienia jest EAP (lub EAPoL). Program uwierzytelniający ponownie hermetyzuje wiadomości EAP do formatu RADIUS i przekazuje je do serwera uwierzytelniającego. Podczas uwierzytelniania moduł uwierzytelniający przekazuje pakiety pomiędzy suplikantem a serwerem uwierzytelniającym. Po zakończeniu procesu uwierzytelniania Serwer uwierzytelniania wysyła komunikat o powodzeniu (lub niepowodzeniu, jeśli uwierzytelnienie nie powiodło się). Następnie Authenticator otwiera „port” dla Suplikanta. Dostęp do ustawień uwierzytelniania można uzyskać na stronie Ustawienia suplikanta EAPoL. Status bieżącego EAPoL jest szczegółowo wyświetlany na stronie Statystyki stanu w zakładce EAPoL:
Abstrakcja EAPoL w rolach sieciowych jest wyświetlana w sekcji „Menedżer połączeń” w interfejsie Dashboard.
17

Rozdział 2: Konfiguracja systemu
Poniżej pokazano exampplik pomyślnego uwierzytelnienia:
Obsługa IEEE 802.1x (EAPOL) na portach przełącznika IM7216-2-24E-DAC i ACM7004-5: Aby uniknąć pętli, użytkownicy nie powinni podłączać więcej niż jednego portu przełącznika do tego samego przełącznika wyższego poziomu.
18

Instrukcja obsługi
2.4 Dostęp do usług i ochrona przed brutalną siłą
Administrator może uzyskać dostęp do serwera konsoli i podłączonych portów szeregowych oraz zarządzanych urządzeń za pomocą szeregu protokołów/usług dostępu. Za każdy dostęp
· Aby usługa mogła działać na serwerze konsoli, należy ją najpierw skonfigurować i włączyć. · Dla każdego połączenia sieciowego musi być włączony dostęp przez zaporę sieciową. Aby włączyć i skonfigurować usługę: 1. Kliknij System > Usługi i kliknij zakładkę Ustawienia usługi.

2. Włącz i skonfiguruj podstawowe usługi:

HTTP

Domyślnie usługa HTTP jest uruchomiona i nie można jej całkowicie wyłączyć. Domyślnie dostęp HTTP jest wyłączony na wszystkich interfejsach. Zalecamy, aby ten dostęp pozostał wyłączony, jeśli dostęp do serwera konsoli jest uzyskiwany zdalnie przez Internet.
Alternatywny protokół HTTP umożliwia skonfigurowanie alternatywnego portu HTTP do nasłuchiwania. Usługa HTTP będzie w dalszym ciągu nasłuchiwać na porcie TCP 80 komunikacji CMS i łącznika, ale będzie niedostępna przez zaporę.

HTTPS

Domyślnie usługa HTTPS jest uruchomiona i włączona na wszystkich interfejsach sieciowych. Jeśli serwer konsoli ma być zarządzany przez dowolną sieć publiczną, zaleca się korzystanie wyłącznie z dostępu HTTPS. Dzięki temu administratorzy mają bezpieczny dostęp do wszystkich menu serwera konsoli za pomocą przeglądarki. Umożliwia także odpowiednio skonfigurowanym użytkownikom bezpieczny dostęp przez przeglądarkę do wybranych menu Zarządzaj.
Usługę HTTPS można wyłączyć lub ponownie włączyć, sprawdzając HTTPS Web Określono zarządzanie i port alternatywny (port domyślny to 443).

Telnet

Domyślnie usługa Telnet jest uruchomiona, ale wyłączona na wszystkich interfejsach sieciowych.
Telnetu można użyć do zapewnienia administratorowi dostępu do powłoki wiersza poleceń systemu. Usługa ta może być przydatna dla lokalnego administratora i dostępu użytkowników do wybranych konsol szeregowych. Zalecamy wyłączenie tej usługi, jeśli serwer konsoli jest administrowany zdalnie.
Pole wyboru Włącz powłokę poleceń Telnet włącza lub wyłącza usługę Telnet. Alternatywny port Telnet do nasłuchiwania można określić w polu Alternatywny port Telnet (domyślny port to 23).

Rozdział 2: Konfiguracja systemu

SSH

Usługa ta zapewnia bezpieczny dostęp SSH do serwera konsoli i podłączonych urządzeń

i domyślnie usługa SSH jest uruchomiona i włączona na wszystkich interfejsach. To jest

zalecamy wybranie SSH jako protokołu, z którym łączy się administrator

serwer konsoli przez Internet lub inną sieć publiczną. To zapewni

uwierzytelniona komunikacja pomiędzy programem klienckim SSH na zdalnym serwerze

komputerem a serwerem SSH na serwerze konsoli. Aby uzyskać więcej informacji na temat protokołu SSH

konfiguracja Patrz Rozdział 8 – Uwierzytelnianie.

Pole wyboru Włącz powłokę poleceń SSH włącza lub wyłącza tę usługę. Alternatywny port SSH do nasłuchiwania można określić w porcie powłoki poleceń SSH (domyślny port to 22).

3. Włącz i skonfiguruj inne usługi:

TFTP/FTP Jeśli na serwerze konsoli zostanie wykryta karta flash USB lub wewnętrzna pamięć flash, zaznaczenie opcji Włącz usługę TFTP (FTP) włączy tę usługę i skonfiguruje domyślny serwer tftp i FTP na pamięci flash USB. Serwery te służą do przechowywania konfiguracji files, prowadź dzienniki dostępu i transakcji itp. FilePliki przesłane za pomocą tftp i ftp będą przechowywane w katalogu /var/mnt/storage.usb/tftpboot/ (lub /var/mnt/storage.nvlog/tftpboot/ na urządzeniach serii ACM7000). Odznaczenie opcji Włącz usługę TFTP (FTP) spowoduje wyłączenie usługi TFTP (FTP).

Sprawdzanie przekaźnika DNS Włącz serwer/przekaźnik DNS włącza funkcję przekaźnika DNS, dzięki czemu klienci mogą konfigurować adres IP serwera konsoli w ramach ustawień serwera DNS, a serwer konsoli będzie przekazywał zapytania DNS do prawdziwego serwera DNS.

Web Włącz sprawdzanie terminala Web Terminal pozwala web dostęp przeglądarki do powłoki wiersza poleceń systemu poprzez Zarządzaj > Terminal.

4. Określ alternatywne numery portów dla usług Raw TCP, bezpośredniego Telnet/SSH i nieuwierzytelnionych usług Telnet/SSH. Serwer konsoli używa określonych zakresów portów TCP/IP dla różnych rodzajów dostępu
usługi, za pomocą których użytkownicy mogą uzyskać dostęp do urządzeń podłączonych do portów szeregowych (zgodnie z rozdziałem 3 Konfigurowanie portów szeregowych). Administrator może ustawić alternatywne zakresy dla tych usług, a te porty dodatkowe będą używane oprócz ustawień domyślnych.

Domyślny adres bazowy portu TCP/IP dla dostępu Telnet to 2000, a zakres dla Telnetu to Adres IP: Port (2000 + numer portu szeregowego), tj. 2001 2048. Jeśli administrator miałby ustawić 8000 jako dodatkową bazę dla Telnetu, port szeregowy Dostęp do portu nr 2 na serwerze konsoli można uzyskać za pośrednictwem usługi Telnet pod adresem IP
Adres:2002 i adres IP:8002. Domyślna baza dla SSH to 3000; dla Raw TCP wynosi 4000; a dla RFC2217 jest to 5000

5. W tym menu można włączyć i skonfigurować inne usługi, wybierając opcję Kliknij tutaj, aby skonfigurować:

Nagios Dostęp do demonów monitorujących Nagios NRPE

NAKRĘTKA

Dostęp do demona monitorującego NUT UPS

SNMP Włącza protokół snmp na serwerze konsoli. Domyślnie protokół SNMP jest wyłączony

NTP

6. Kliknij Zastosuj. Pojawi się komunikat potwierdzający: Komunikat Zmiany w konfiguracji powiodły się

Ustawienia dostępu do usług można skonfigurować tak, aby zezwalały lub blokowały dostęp. Określa, z których włączonych usług administratorzy mogą korzystać za pośrednictwem każdego interfejsu sieciowego w celu łączenia się z serwerem konsoli i za pośrednictwem serwera konsoli z podłączonymi urządzeniami podłączonymi szeregowo i sieciowo.

Instrukcja obsługi
1. Wybierz zakładkę Dostęp do usług na stronie System > Usługi.
2. Wyświetla włączone usługi dla interfejsów sieciowych serwera konsoli. W zależności od konkretnego modelu serwera konsoli wyświetlane interfejsy mogą obejmować: · Interfejs sieciowy (dla głównego połączenia Ethernet) · Zarządzanie LAN / OOB Failover (drugie połączenie Ethernet) · Połączenie telefoniczne/komórkowe (modem V90 i 3G) · Wejście telefoniczne (wewnętrzne) lub zewnętrzny modem V90) · VPN (połączenie IPsec lub Open VPN przez dowolny interfejs sieciowy)
3. Zaznacz/odznacz dla każdej sieci, dla której dostęp do usług ma być włączony/wyłączony. Opcje dostępu do usługi Odpowiedz na echa ICMP (tj. ping), które można skonfigurować w tym miejscu, zaznacz/odznacz.tagmi. Dzięki temu serwer konsoli może odpowiadać na przychodzące żądania echa ICMP. Ping jest domyślnie włączony. Aby zwiększyć bezpieczeństwo, należy wyłączyć tę usługę po zakończeniu wstępnej konfiguracji. Można zezwolić na dostęp do urządzeń portu szeregowego z wyznaczonych interfejsów sieciowych przy użyciu protokołu Raw TCP, bezpośredniego Telnet/SSH, nieuwierzytelnionych usług Telnet/SSH itp.
4. Kliknij Zastosuj Web Ustawienia zarządzania Pole wyboru Włącz HSTS umożliwia ścisłe zabezpieczenie transportu HTTP. Tryb HSTS oznacza, że nagłówek StrictTransport-Security powinien zostać wysłany za pośrednictwem transportu HTTPS. Zgodny web przeglądarka zapamiętuje ten nagłówek i gdy zostanie poproszony o skontaktowanie się z tym samym hostem za pośrednictwem protokołu HTTP (zwykły), automatycznie się na niego przełączy
19

Rozdział 2: Konfiguracja systemu
HTTPS przed próbą HTTP, o ile przeglądarka raz uzyskała dostęp do bezpiecznej witryny i zobaczyła nagłówek STS.
Ochrona przed brutalną siłą Ochrona przed brutalną siłą (Micro Fail2ban) tymczasowo blokuje źródłowe adresy IP, które wykazują złośliwe oznaki, takie jak zbyt wiele błędnych haseł. Może to być pomocne, gdy usługi sieciowe urządzenia są narażone na działanie niezaufanej sieci, takiej jak publiczna sieć WAN, i gdy ataki skryptowe lub robaki programowe próbują odgadnąć (brute-force) poświadczenia użytkownika i uzyskać nieautoryzowany dostęp.

Dla wymienionych usług może być włączona ochrona Brute Force Protection. Domyślnie, po włączeniu ochrony, co najmniej 3 nieudane próby połączenia w ciągu 60 sekund z określonego źródłowego adresu IP powodują zablokowanie możliwości połączenia na konfigurowalny okres czasu. Limit prób i limit czasu bana można dostosować. Aktywne bany są również wymienione i można je odświeżyć poprzez ponowne załadowanie strony.

NOTATKA

W przypadku uruchamiania w niezaufanej sieci należy rozważyć zastosowanie różnych strategii blokowania zdalnego dostępu. Obejmuje to uwierzytelnianie za pomocą klucza publicznego SSH, VPN i reguły zapory sieciowej
listę dozwolonych zdalny dostęp tylko z zaufanych sieci źródłowych. Aby uzyskać szczegółowe informacje, zobacz bazę wiedzy Opengear.

2.5 Oprogramowanie komunikacyjne
Skonfigurowano protokoły dostępu dla klienta administratora, które będą używane podczas łączenia się z serwerem konsoli. Klienci-użytkownicy korzystają również z tych protokołów podczas uzyskiwania dostępu do urządzeń podłączonych szeregowo do serwera konsoli i hostów podłączonych do sieci. Potrzebujesz narzędzi oprogramowania komunikacyjnego skonfigurowanych na komputerze administratora i klienta użytkownika. Aby się połączyć, możesz użyć narzędzi takich jak PuTTY i SSHTerm.

Instrukcja obsługi
Dostępne na rynku złącza łączą zaufany protokół tunelowania SSH z popularnymi narzędziami dostępu, takimi jak Telnet, SSH, HTTP, HTTPS, VNC, RDP, aby zapewnić bezpieczny zdalny dostęp do zarządzania wszystkimi zarządzanymi systemami i urządzeniami za pomocą metody „wskaż i kliknij”. Informacje na temat korzystania ze złączy w celu uzyskania dostępu przez przeglądarkę do Konsoli zarządzającej serwera konsoli, dostępu Telnet/SSH do wiersza poleceń serwera konsoli oraz łączenia się za pomocą protokołu TCP/UDP z hostami, które są połączone sieciowo z serwerem konsoli, można znaleźć w Rozdziale 5. Złącza można znaleźć w rozdziale XNUMX. instalowany na komputerach PC z systemem Windows, Mac OS X oraz na większości systemów Linux, UNIX i Solaris.
2.6 Konfiguracja sieci zarządzania
Serwery konsoli mają dodatkowe porty sieciowe, które można skonfigurować tak, aby zapewniały dostęp do sieci LAN do zarządzania i/lub przełączanie awaryjne lub dostęp pozapasmowy. 2.6.1 Włącz konsolę zarządzania LAN. Serwery można skonfigurować w taki sposób, aby drugi port Ethernet stanowił bramę zarządzającą LAN. Brama posiada funkcje firewalla, routera i serwera DHCP. Aby podłączyć hosty do tej zarządzającej sieci LAN, należy podłączyć zewnętrzny przełącznik LAN do sieci 2:
UWAGA Drugi port Ethernet można skonfigurować jako port bramy zarządzającej LAN lub jako port OOB/port awaryjny. Upewnij się, że podczas konfigurowania głównego połączenia sieciowego w menu System > IP nie przydzielono sieci NET2 jako interfejsu przełączania awaryjnego.
21

Rozdział 2: Konfiguracja systemu
Aby skonfigurować bramę zarządzającą LAN: 1. Wybierz zakładkę Zarządzanie interfejsem LAN w menu System > IP i usuń zaznaczenie opcji Wyłącz. 2. Skonfiguruj adres IP i maskę podsieci dla zarządzającej sieci LAN. Pozostaw pola DNS puste. 3. Kliknij Zastosuj.
Funkcja bramy zarządzania jest włączona po skonfigurowaniu domyślnych reguł zapory sieciowej i routera, tak aby do zarządzającej sieci LAN można było uzyskać dostęp wyłącznie poprzez przekierowanie portów SSH. Dzięki temu zdalne i lokalne połączenia z zarządzanymi urządzeniami w zarządzającej sieci LAN są bezpieczne. Porty LAN można również skonfigurować w trybie mostkowym lub połączonym lub skonfigurować ręcznie z wiersza poleceń. 2.6.2 Konfiguracja serwera DHCP Serwer DHCP umożliwia automatyczną dystrybucję adresów IP do urządzeń w zarządzającej sieci LAN, na których działają klienci DHCP. Aby włączyć serwer DHCP:
1. Kliknij System > Serwer DHCP. 2. Na karcie Interfejs sieciowy zaznacz opcję Włącz serwer DHCP.
22

Instrukcja obsługi
3. Wprowadź adres bramy, który będzie przydzielany klientom DHCP. Jeśli to pole pozostanie puste, używany będzie adres IP serwera konsoli.
4. Wprowadź adresy Podstawowy i Dodatkowy DNS, aby przydzielać klientom DHCP. Jeśli to pole pozostanie puste, używany będzie adres IP serwera konsoli.
5. Opcjonalnie wprowadź sufiks nazwy domeny, aby przydzielać klientom DHCP. 6. Wprowadź domyślny czas dzierżawy i maksymalny czas dzierżawy w sekundach. To jest ilość czasu
czy dynamicznie przypisany adres IP jest ważny, zanim klient będzie musiał go ponownie zażądać. 7. Kliknij Zastosuj. Serwer DHCP przydziela adresy IP z określonych pul adresów: 1. Kliknij Dodaj w polu Pule dynamicznej alokacji adresów. 2. Wprowadź adres początkowy i końcowy puli DHCP. 3. Kliknij Zastosuj.
23

Rozdział 2: Konfiguracja systemu
Serwer DHCP obsługuje także wstępne przydzielanie adresów IP do określonych adresów MAC oraz rezerwację adresów IP do wykorzystania przez podłączone hosty ze stałymi adresami IP. Aby zarezerwować adres IP dla konkretnego hosta:
1. Kliknij Dodaj w polu Zarezerwowane adresy. 2. Wprowadź nazwę hosta, adres sprzętowy (MAC) i adres IP zarezerwowany statycznie
klienta DHCP i kliknij Zastosuj.
Gdy DHCP przydzielił adresy hostów, zaleca się skopiowanie ich na wcześniej przypisaną listę, aby ten sam adres IP został ponownie przydzielony w przypadku ponownego uruchomienia.
24

Instrukcja obsługi
2.6.3 Wybierz tryb awaryjny lub szerokopasmowy OOB Serwery konsoli zapewniają opcję przełączania awaryjnego, więc w przypadku problemu z wykorzystaniem głównego połączenia LAN w celu uzyskania dostępu do serwera konsoli używana jest alternatywna ścieżka dostępu. Aby włączyć przełączanie awaryjne:
1. Wybierz stronę Interfejs sieciowy w menu System > IP 2. Wybierz interfejs awaryjny, który będzie używany w przypadkutage w sieci głównej.
3. Kliknij Zastosuj. Praca awaryjna staje się aktywna po określeniu witryn zewnętrznych, które mają być sondowane w celu wyzwolenia pracy awaryjnej i skonfigurowaniu portów pracy awaryjnej.
2.6.4 Agregowanie portów sieciowych Domyślnie dostęp do portów sieciowych LAN zarządzania serwerem konsoli można uzyskać za pomocą tunelowania SSH/przekierowania portów lub poprzez ustanowienie tunelu IPsec VPN do serwera konsoli. Wszystkie przewodowe porty sieciowe na serwerach konsoli można agregować poprzez mostkowanie lub łączenie.
25

Instrukcja obsługi
· Domyślnie agregacja interfejsów jest wyłączona w menu System > IP > Ustawienia ogólne. · Wybierz opcję Interfejsy mostkowe lub Interfejsy łączone
o Gdy włączone jest mostkowanie, ruch sieciowy jest przekazywany przez wszystkie porty Ethernet bez ograniczeń zapory sieciowej. Wszystkie porty Ethernet są połączone w sposób przezroczysty w warstwie łącza danych (warstwa 2), dzięki czemu zachowują swoje unikalne adresy MAC
o W przypadku łączenia ruch sieciowy jest przenoszony pomiędzy portami, ale występuje z jednym adresem MAC
Obydwa tryby usuwają wszystkie funkcje interfejsu zarządzania LAN oraz interfejsu Out-of-Band/Failover i wyłączają serwer DHCP · W trybie agregacji wszystkie porty Ethernet są konfigurowane zbiorczo przy użyciu menu Interfejs sieciowy
25

Rozdział 2: Konfiguracja systemu
2.6.5 Trasy statyczne Trasy statyczne zapewniają bardzo szybki sposób trasowania danych z jednej podsieci do innej. Możesz zakodować na stałe ścieżkę, która poinformuje serwer/router konsoli, aby dostał się do określonej podsieci przy użyciu określonej ścieżki. Może to być przydatne przy uzyskiwaniu dostępu do różnych podsieci w zdalnej lokalizacji podczas korzystania z komórkowego połączenia OOB.

Aby dodać trasę statyczną do tablicy tras systemu:
1. Wybierz zakładkę Ustawienia trasy w menu System > Ustawienia ogólne IP.
2. Kliknij opcję Nowa trasa
3. Wprowadź nazwę trasy.
4. W polu Sieć docelowa/Host wprowadź adres IP sieci/hosta docelowego, do którego trasa zapewnia dostęp.
5. Wprowadź wartość w polu Docelowa maska sieci, która identyfikuje docelową sieć lub host. Dowolna liczba z zakresu od 0 do 32. Maska podsieci o wartości 32 identyfikuje trasę hosta.
6. Wpisz Route Gateway z adresem IP routera, który będzie kierował pakiety do sieci docelowej. To pole może pozostać puste.
7. Wybierz interfejs, którego chcesz użyć, aby dotrzeć do miejsca docelowego. Możesz pozostawić opcję Brak.
8. Wprowadź wartość w polu Metryka, która reprezentuje metrykę tego połączenia. Użyj dowolnej liczby równej lub większej niż 0. Tę opcję należy ustawić tylko wtedy, gdy dwie lub więcej tras jest w konflikcie lub mają nakładające się cele.
9. Kliknij Zastosuj.

NOTATKA

Strona szczegółów trasy zawiera listę interfejsów sieciowych i modemów, z którymi można powiązać trasę. W przypadku modemu trasa zostanie dołączona do dowolnej sesji dialup nawiązanej za pośrednictwem tego urządzenia. Trasę można określić za pomocą bramy, interfejsu lub obu. Jeśli określony interfejs nie jest aktywny, trasy skonfigurowane dla tego interfejsu nie będą aktywne.

Podręcznik użytkownika 3. PORT SZEREGOWY, HOST, URZĄDZENIE I KONFIGURACJA UŻYTKOWNIKA
Serwer konsoli umożliwia dostęp i kontrolę urządzeń podłączonych szeregowo i urządzeń podłączonych do sieci (hostów). Administrator musi skonfigurować uprawnienia dostępu dla każdego z tych urządzeń i określić usługi, za pomocą których można sterować urządzeniami. Administrator może także skonfigurować nowych użytkowników i określić indywidualne uprawnienia dostępu i kontroli każdego użytkownika.
W tym rozdziale omówiono każdy etap konfiguracji urządzeń podłączonych do sieci i urządzeń podłączonych szeregowo: · Porty szeregowe, konfiguracja protokołów używanych w urządzeniach podłączonych szeregowo, · Użytkownicy i grupy, konfiguracja użytkowników i określenie uprawnień dostępu dla każdego z tych użytkowników, · Uwierzytelnianie, które jest omówione w więcej szczegóły w Rozdziale 8 · Hosty sieciowe konfigurowanie dostępu do komputerów lub urządzeń podłączonych do sieci lokalnej (hostów) · Konfigurowanie sieci zaufanych – wyznaczanie adresów IP, z których zaufani użytkownicy uzyskują dostęp · Kaskadowanie i przekierowywanie portów konsoli szeregowej · Podłączanie do zasilania (UPS, PDU i IPMI) i urządzenia monitorujące środowisko (EMD) · Przekierowanie portu szeregowego przy użyciu klientów PortShare dla systemu Windows i Linux · Urządzenia zarządzane – przedstawia skonsolidowany view wszystkich połączeń · IPSec umożliwiający połączenie VPN · OpenVPN · PPTP
3.1 Skonfiguruj porty szeregowe
Pierwszym krokiem w konfiguracji portu szeregowego jest ustawienie Ustawień Wspólnych, takich jak protokoły i parametry RS232, które mają być używane przy połączeniu danych z tym portem (np. szybkość transmisji). Wybierz, w jakim trybie port ma działać. Każdy port można ustawić tak, aby obsługiwał jeden z następujących trybów pracy:
· Tryb wyłączony jest domyślny, port szeregowy jest nieaktywny
27

Rozdział 3:

Konfiguracja portu szeregowego, hosta, urządzenia i użytkownika

· Tryb serwera konsoli umożliwia ogólny dostęp do portu konsoli szeregowej na urządzeniach podłączonych szeregowo
· Tryb urządzenia ustawia port szeregowy do komunikacji z inteligentną sterowaną szeregowo jednostką PDU, UPS lub urządzeniami monitorującymi środowisko (EMD)
· Tryb serwera terminali ustawia port szeregowy tak, aby oczekiwał na przychodzącą sesję logowania do terminala · Tryb mostu szeregowego umożliwia przezroczyste połączenie dwóch urządzeń portu szeregowego za pośrednictwem
sieć.
1. Wybierz opcję Szeregowy i sieć > Port szeregowy, aby wyświetlić szczegóły portu szeregowego. 2. Domyślnie każdy port szeregowy jest ustawiony w trybie serwera konsoli. Kliknij opcję Edytuj obok odpowiedniego portu
ponownie skonfigurowany. Możesz też kliknąć Edytuj wiele portów i wybrać porty, które chcesz skonfigurować jako grupę. 3. Po ponownym skonfigurowaniu wspólnych ustawień i trybu dla każdego portu skonfiguruj dowolny zdalny syslog (szczegółowe informacje można znaleźć w poniższych sekcjach). Kliknij Zastosuj 4. Jeśli serwer konsoli został skonfigurowany z włączonym rozproszonym monitorowaniem Nagios, użyj opcji Ustawień Nagios, aby umożliwić monitorowanie wyznaczonych usług na hoście. 3.1.1 Ustawienia wspólne Istnieje wiele typowych ustawień, które można ustawić dla każdego numeru seryjnego Port. Są one niezależne od trybu, w którym port jest używany. Te parametry portu szeregowego muszą być ustawione tak, aby odpowiadały parametrom portu szeregowego w urządzeniu podłączonym do tego portu:
28

Instrukcja obsługi

· Wpisz etykietę portu · Wybierz odpowiednią szybkość transmisji, parzystość, bity danych, bity stopu i kontrolę przepływu dla każdego portu

· Ustaw pinout portu. Ta pozycja menu pojawia się dla portów IM7200, gdzie układ pinów dla każdego portu szeregowego RJ45 można ustawić jako X2 (Cisco Straight) lub X1 (Cisco Rolled)

· Ustaw tryb DTR. Pozwala to wybrać, czy DTR ma być zawsze potwierdzany, czy tylko wtedy, gdy istnieje aktywna sesja użytkownika

· Przed przystąpieniem do dalszej konfiguracji portu szeregowego należy podłączyć porty do urządzeń szeregowych, którymi będą sterować i upewnić się, że mają one zgodne ustawienia

3.1.2

Tryb serwera konsoli
Wybierz opcję Tryb serwera konsoli, aby umożliwić zdalny dostęp do zarządzania konsolą szeregową podłączoną do tego portu szeregowego:

Poziom rejestrowania Określa poziom informacji, które mają być rejestrowane i monitorowane.
29

Rozdział 3: Port szeregowy, konfiguracja hosta, urządzenia i użytkownika
Poziom 0: Wyłącz rejestrowanie (domyślnie)
Poziom 1: Logowanie zdarzeń LOGOWANIE, WYLOGOWANIE i SYGNAŁ
Poziom 2: Rejestruje zdarzenia LOGIN, LOGOUT, SIGNAL, TXDATA i RXDATA
Poziom 3: Rejestruj zdarzenia LOGIN, LOGOUT, SIGNAL i RXDATA
Poziom 4: Rejestruj zdarzenia LOGIN, LOGOUT, SIGNAL i TXDATA
Dane wejściowe/RXDATA to dane odbierane przez urządzenie Opengear z podłączonego urządzenia szeregowego, a dane wyjściowe/TXDATA to dane wysyłane przez urządzenie Opengear (np. wpisane przez użytkownika) do podłączonego urządzenia szeregowego.
Konsole urządzeń zazwyczaj wyświetlają echo znaków podczas ich wpisywania, więc TXDATA wpisane przez użytkownika jest następnie odbierane jako RXDATA i wyświetlane na terminalu.
UWAGA: Po zapytaniu o hasło podłączone urządzenie wysyła znaki *, aby zapobiec wyświetlaniu hasła.

Telnet Gdy na serwerze konsoli włączona jest usługa Telnet, klient Telnet na komputerze użytkownika może połączyć się z urządzeniem szeregowym podłączonym do tego portu szeregowego na serwerze konsoli. Ponieważ komunikacja Telnet jest nieszyfrowana, protokół ten jest zalecany tylko w przypadku połączeń lokalnych lub tunelowanych przez VPN.
Jeśli zdalna komunikacja jest tunelowana za pomocą złącza, do bezpiecznego dostępu do podłączonych urządzeń można użyć protokołu Telnet.

NOTATKA

W trybie serwera konsoli użytkownicy mogą używać łącznika do konfigurowania bezpiecznych połączeń Telnet, które są tunelowane przez SSH z komputerów klienckich do portu szeregowego serwera konsoli. Złącza można instalować na komputerach z systemem Windows i większości platform Linux. Umożliwiają one wybieranie bezpiecznych połączeń Telnet za pomocą metody „wskaż i kliknij”.

Aby użyć łącznika w celu uzyskania dostępu do konsol na portach szeregowych serwera konsoli, skonfiguruj łącznik z serwerem konsoli jako bramą i hostem oraz włącz usługę Telnet na porcie (2000 + numer portu szeregowego), tj. 2001.

Możesz także użyć standardowych pakietów komunikacyjnych, takich jak PuTTY, aby ustawić bezpośrednie połączenie Telnet lub SSH z portami szeregowymi.

UWAGA W trybie serwera konsoli, kiedy łączysz się z portem szeregowym, łączysz się przez pmshell. Aby wygenerować PRZERWA na porcie szeregowym, wpisz sekwencję znaków ~b. Jeśli robisz to przez OpenSSH, wpisz ~~b.

SSH

Zaleca się używanie SSH jako protokołu, gdy użytkownicy łączą się z serwerem konsoli

(lub połącz się przez serwer konsoli z podłączonymi konsolami szeregowymi) przez Internet lub dowolny

inna sieć publiczna.

Aby uzyskać dostęp SSH do konsol na urządzeniach podłączonych do portów szeregowych serwera konsoli, można użyć złącza. Skonfiguruj łącznik z serwerem konsoli jako bramę i jako host oraz włącz usługę SSH na porcie (3000 + numer portu szeregowego), tj. 3001-3048.

Możesz także użyć popularnych pakietów komunikacyjnych, takich jak PuTTY lub SSHTerm, aby połączyć się przez SSH z adresem portu Adres IP _ Port (3000 + numer portu szeregowego), tj. 3001

Połączenia SSH można skonfigurować przy użyciu standardowego portu SSH 22. Port szeregowy, do którego uzyskiwany jest dostęp, jest identyfikowany poprzez dodanie deskryptora do nazwy użytkownika. Ta składnia obsługuje:

Instrukcja obsługi
: : Aby użytkownik o imieniu chris mógł uzyskać dostęp do portu szeregowego 2, podczas konfigurowania klienta SSHTerm lub PuTTY SSH, zamiast wpisywać nazwę użytkownika = chris i ssh port = 3002, można wpisać nazwę użytkownika = chris:port02 (lub nazwę użytkownika = chris: ttyS1) i port ssh = 22. Lub wpisując username=chris:serial i ssh port = 22, użytkownik otrzymuje opcję wyboru portu:

Ta składnia umożliwia użytkownikom skonfigurowanie tuneli SSH do wszystkich portów szeregowych, przy czym pojedynczy port IP 22 musi zostać otwarty w ich zaporze/bramie
UWAGA W trybie serwera konsoli łączysz się z portem szeregowym poprzez pmshell. Aby wygenerować PRZERWA na porcie szeregowym, wpisz sekwencję znaków ~b. Jeśli robisz to przez OpenSSH, wpisz ~~b.

TCP

RAW TCP umożliwia połączenia z gniazdem TCP. Podczas gdy programy komunikacyjne, takie jak PuTTY

obsługuje również RAW TCP, ten protokół jest zwykle używany przez niestandardową aplikację

W przypadku RAW TCP domyślny adres portu to adres IP _ Port (4000 + numer portu szeregowego), tj. 4001 4048

RAW TCP umożliwia również tunelowanie portu szeregowego do serwera konsoli zdalnej, dzięki czemu dwa urządzenia portu szeregowego mogą w sposób przezroczysty łączyć się przez sieć (patrz rozdział 3.1.6 Mostkowanie szeregowe).

RFC2217 Wybranie RFC2217 umożliwia przekierowanie portu szeregowego na tym porcie. W przypadku RFC2217 domyślny adres portu to adres IP _ Port (5000 + numer portu szeregowego), tj. 5001 5048
Dostępne jest specjalne oprogramowanie klienckie dla systemów Windows UNIX i Linux, które obsługuje wirtualne porty COM RFC2217, dzięki czemu zdalny host może monitorować i zarządzać zdalnymi urządzeniami podłączonymi szeregowo tak, jakby były podłączone do lokalnego portu szeregowego (więcej szczegółów można znaleźć w rozdziale 3.6 Przekierowanie portu szeregowego).
RFC2217 umożliwia także tunelowanie portu szeregowego do serwera konsoli zdalnej, dzięki czemu dwa urządzenia portu szeregowego mogą w sposób przezroczysty łączyć się przez sieć (patrz rozdział 3.1.6 Mostkowanie szeregowe).

Nieuwierzytelniony Telnet Umożliwia dostęp Telnet do portu szeregowego bez poświadczeń uwierzytelniających. Gdy użytkownik łączy się z serwerem konsoli za pośrednictwem protokołu Telnet za pośrednictwem portu szeregowego, wyświetlany jest monit o zalogowanie się. Dzięki nieuwierzytelnionemu Telnetowi łączą się bezpośrednio z portem bez konieczności logowania się do serwera konsoli. Jeśli klient Telnet wyświetli monit o uwierzytelnienie, wszelkie wprowadzone dane umożliwią połączenie.

Rozdział 3: Port szeregowy, konfiguracja hosta, urządzenia i użytkownika
Tryb ten stosowany jest z systemem zewnętrznym (np. konserwatorem) zarządzającym uwierzytelnianiem użytkowników i uprawnieniami dostępu na poziomie urządzenia szeregowego.
Logowanie do urządzenia podłączonego do serwera konsoli może wymagać uwierzytelnienia.
W przypadku nieuwierzytelnionego Telnetu domyślnym adresem portu jest adres IP _ Port (6000 + numer portu szeregowego), tj. 6001 6048

Nieuwierzytelniony SSH Umożliwia dostęp SSH do portu szeregowego bez poświadczeń uwierzytelniających. Gdy użytkownik łączy się z serwerem konsoli za pośrednictwem protokołu Telnet za pośrednictwem portu szeregowego, wyświetlany jest monit o zalogowanie się. Dzięki nieuwierzytelnionemu SSH łączą się bezpośrednio z portem, bez konieczności logowania się do serwera konsoli.
Ten tryb jest używany, gdy masz inny system zarządzający uwierzytelnianiem użytkowników i uprawnieniami dostępu na poziomie urządzenia szeregowego, ale chcesz szyfrować sesję w sieci.
Logowanie do urządzenia podłączonego do serwera konsoli może wymagać uwierzytelnienia.
W przypadku nieuwierzytelnionego Telnetu domyślnym adresem portu jest adres IP _ Port (7000 + numer portu szeregowego), tj. 7001 7048
The : metoda dostępu do portu (opisana w powyższej sekcji SSH) zawsze wymaga uwierzytelnienia.

Web Terminal Umożliwia to web dostęp przeglądarki do portu szeregowego poprzez Zarządzaj > Urządzenia: Szeregowy przy użyciu wbudowanego terminala AJAX w konsoli zarządzania. Web Terminal łączy się jako aktualnie uwierzytelniony użytkownik Konsoli zarządzającej i nie dokonuje ponownego uwierzytelnienia. Więcej szczegółów można znaleźć w sekcji 12.3.

Alias IP

Włącz dostęp do portu szeregowego przy użyciu określonego adresu IP, określonego w formacie CIDR. Do każdego portu szeregowego można przypisać jeden lub więcej aliasów IP, skonfigurowanych dla poszczególnych interfejsów sieciowych. Port szeregowy może npample, być dostępne zarówno pod adresem 192.168.0.148 (jako część sieci wewnętrznej), jak i 10.10.10.148 (jako część zarządzającej sieci LAN). Możliwe jest także udostępnienie portu szeregowego na dwóch adresach IP w tej samej sieci (npample, 192.168.0.148 i 192.168.0.248).

Tych adresów IP można używać wyłącznie w celu uzyskania dostępu do określonego portu szeregowego, dostępnego przy użyciu standardowego protokołu TCP z numerami portów usług serwera konsoli. Na przykładample, SSH na porcie szeregowym 3 będzie dostępny na porcie 22 aliasu IP portu szeregowego (podczas gdy na głównym adresie serwera konsoli jest dostępny na porcie 2003).

Tę funkcję można również skonfigurować na stronie edycji wielu portów. W tym przypadku adresy IP są stosowane sekwencyjnie, przy czym pierwszy wybrany port otrzymuje adres IP, a kolejne są zwiększane, przy czym numery są pomijane w przypadku niewybranych portów. Na przykładample, w przypadku wybrania portów 2, 3 i 5 oraz wpisania aliasu IP 10.0.0.1/24 dla Interfejsu Sieciowego przydzielane są następujące adresy:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

Aliasy IP obsługują także adresy aliasów IPv6. Jedyna różnica polega na tym, że adresy są liczbami szesnastkowymi, więc port 10 może odpowiadać adresowi kończącemu się na A, a 11 adresowi kończącemu się na B, a nie 10 lub 11 jak w IPv4.

Instrukcja obsługi
Szyfruj ruch / uwierzytelniaj Włącz proste szyfrowanie i uwierzytelnianie komunikacji szeregowej RFC2217 przy użyciu Portshare (w celu silnego szyfrowania użyj VPN).
Okres akumulacji Po ustanowieniu połączenia dla określonego portu szeregowego (takiego jak przekierowanie RFC2217 lub połączenie Telnet z komputerem zdalnym), wszelkie znaki przychodzące na ten port są przekazywane przez sieć znak po znaku. Okres akumulacji określa okres czasu, przez jaki przychodzące znaki są gromadzone przed wysłaniem jako pakiet przez sieć
Znak ucieczki Zmień znak używany do wysyłania znaków ucieczki. Wartość domyślna to ~. Zamień Backspace Zastąpić domyślną wartość Backspace CTRL+? (127) z CTRL+h (8). Menu zasilania Poleceniem wywołania menu zasilania jest ~p i włącza polecenie zasilania powłoki, więc a
użytkownik może kontrolować połączenie zasilania z zarządzanym urządzeniem z wiersza poleceń, gdy jest podłączony do urządzenia za pomocą protokołu Telnet lub SSH. Zarządzane urządzenie musi być skonfigurowane zarówno z połączeniem portu szeregowego, jak i połączeniem zasilania.
Pojedyncze połączenie Ogranicza port do pojedynczego połączenia, więc jeśli wielu użytkowników ma uprawnienia dostępu do określonego portu, tylko jeden użytkownik w danym momencie może uzyskać dostęp do tego portu (tj. podgląd portu nie jest dozwolony).
33

Rozdział 3: Port szeregowy, konfiguracja hosta, urządzenia i użytkownika
3.1.3 Tryb urządzenia (RPC, UPS, środowiskowy) Ten tryb konfiguruje wybrany port szeregowy do komunikacji ze sterowanym szeregowo zasilaczem awaryjnym (UPS), zdalnym kontrolerem mocy/jednostkami dystrybucji zasilania (RPC) lub urządzeniem monitorującym środowisko (środowiskowym)

1. Wybierz żądany typ urządzenia (UPS, RPC lub środowiskowy)
2. Przejdź do odpowiedniej strony konfiguracji urządzenia (Seryjny i sieciowy > Połączenia UPS, Połączenie RPC lub Środowisko), jak opisano w Rozdziale 7.

3.1.4 ·

Tryb serwera terminali
Wybierz tryb serwera terminali i typ terminala (vt220, vt102, vt100, Linux lub ANSI), aby włączyć getty na wybranym porcie szeregowym

Getty konfiguruje port i czeka na nawiązanie połączenia. Aktywne połączenie na urządzeniu szeregowym jest sygnalizowane podniesionym pinem Data Carrier Detect (DCD) na urządzeniu szeregowym. Po wykryciu połączenia program getty wyświetla monit login: i wywołuje program logowania w celu obsługi logowania do systemu.
UWAGA Wybranie trybu serwera terminali powoduje wyłączenie Menedżera portów dla tego portu szeregowego, więc dane nie są już rejestrowane w przypadku alertów itp.

Instrukcja obsługi
3.1.5 Tryb mostka szeregowego W przypadku mostkowania szeregowego dane szeregowe w wyznaczonym porcie szeregowym na jednym serwerze konsoli są kapsułkowane w pakiety sieciowe i przesyłane przez sieć do drugiego serwera konsoli, gdzie są reprezentowane jako dane szeregowe. Dwa serwery konsoli działają jak wirtualny kabel szeregowy w sieci IP. Jeden serwer konsoli jest skonfigurowany jako Serwer. Port szeregowy serwera, który ma zostać zmostkowany, jest ustawiony w trybie serwera konsoli z włączoną obsługą RFC2217 lub RAW. W przypadku serwera konsoli klienta port szeregowy, który ma zostać zmostkowany, musi być ustawiony w trybie pomostowym:
· Wybierz tryb mostkowania szeregowego i określ adres IP serwera konsoli serwera oraz adres portu TCP zdalnego portu szeregowego (w przypadku mostkowania RFC2217 będzie to 5001-5048)
· Domyślnie klient mostujący używa RAW TCP. Wybierz RFC2217, jeśli jest to tryb serwera konsoli określony na serwerze konsoli serwera
· Możesz zabezpieczyć komunikację poprzez lokalną sieć Ethernet, włączając SSH. Wygeneruj i prześlij klucze.
3.1.6 Syslog Oprócz wbudowanego rejestrowania i monitorowania, które można zastosować do dostępu do zarządzania podłączanego przez port szeregowy i sieciowy, jak opisano w rozdziale 6, serwer konsoli można również skonfigurować tak, aby obsługiwał protokół zdalnego syslog na każdym porcie szeregowym podstawa:
· Wybierz pola Obiekt/Priorytet Syslog, aby włączyć rejestrowanie ruchu na wybranym porcie szeregowym do serwera syslog; oraz do sortowania zarejestrowanych wiadomości i podejmowania działań w związku z nimi (tj. przekierowywania ich/wysyłania wiadomości e-mail z alertami).
35

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
Na przykładample, jeśli komputer podłączony do portu szeregowego 3 nie powinien nigdy wysyłać niczego na swój port konsoli szeregowej, administrator może ustawić Obiekt dla tego portu na local0 (local0 .. local7 są przeznaczone dla wartości lokalnych lokacji), a Priorytet na krytyczny . Przy tym priorytecie, jeśli serwer syslog serwera konsoli odbierze komunikat, zgłosi alert. Patrz Rozdział 6. 3.1.7 Przesyłanie strumieniowe NMEA Urządzenie ACM7000-L może zapewniać przesyłanie strumieniowe danych GPS NMEA z wewnętrznego modemu GPS/komórkowego. Ten strumień danych jest przedstawiany jako szeregowy strumień danych na porcie 5 w modelach ACM.
Ustawienia wspólne (szybkość transmisji itp.) są ignorowane podczas konfigurowania portu szeregowego NMEA. Można określić częstotliwość ustalania pozycji (tzn. częstotliwość ustalania pozycji GPS określa, jak często uzyskiwane są ustalenia pozycji GPS). Do tego portu można także zastosować wszystkie ustawienia trybu serwera konsoli, dziennika syslogowego i mostkowania szeregowego.
Możesz użyć pmshell, webShell, SSH, RFC2217 lub RawTCP, aby uzyskać dostęp do strumienia:
Na przykładample, używając Web Terminal:
36

Instrukcja obsługi

3.1.8 Konsole USB
Serwery konsolowe z portami USB obsługują połączenia konsolowe USB z urządzeniami szerokiej gamy dostawców, w tym Cisco, HP, Dell i Brocade. Te porty USB mogą również działać jako zwykłe porty szeregowe RS-232, gdy podłączony jest adapter USB-szeregowy.

Te porty USB są dostępne jako zwykłe porty menedżera portów i są przedstawione numerycznie w pliku web Interfejs użytkownika po wszystkich portach szeregowych RJ45.

ACM7008-2 posiada osiem portów szeregowych RJ45 z tyłu serwera konsoli i cztery porty USB z przodu. W opcji Szeregowy i sieć > Port szeregowy są one wymienione jako

Złącze nr portu

RJ45

USB

10 USB

11 USB

12 USB

Jeśli konkretny ACM7008-2 jest modelem komórkowym, na liście pojawi się również port nr 13 — dla GPS.

Model 7216-24U ma 16 portów szeregowych RJ45 i 24 porty USB z tyłu, a także dwa porty USB z przodu i (w modelu komórkowym) moduł GPS.

Porty szeregowe RJ45 są wyświetlane w opcji Szereg i sieć > Port szeregowy jako porty o numerach 1. 16 skierowane z tyłu porty USB mają numery portów 24, a przednie porty USB są wymienione odpowiednio pod numerami portów 17 i 40. I podobnie jak w przypadku ACM41-42, jeśli konkretny 7008-2U jest modelem komórkowym, GPS jest prezentowany na porcie numer 7216.

Podczas konfigurowania portów używane są typowe ustawienia (szybkość transmisji itp.), ale niektóre operacje mogą nie działać w zależności od implementacji podstawowego układu szeregowego USB.

3.2 Dodawaj i edytuj użytkowników
Administrator używa tej opcji menu do tworzenia, edytowania i usuwania użytkowników oraz definiowania uprawnień dostępu dla każdego z tych użytkowników.

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika

Użytkownicy mogą być upoważnieni do dostępu do określonych usług, portów szeregowych, urządzeń zasilających i określonych hostów podłączonych do sieci. Użytkownikom tym można także nadać pełny status administratora (z pełną konfiguracją, zarządzaniem i uprawnieniami dostępu).

Użytkowników można dodawać do grup. Domyślnie skonfigurowanych jest sześć grup:

administracja

Zapewnia nieograniczone uprawnienia do konfiguracji i zarządzania.

pptpd

Umożliwia dostęp do serwera VPN PPTP. Hasła użytkowników w tej grupie są przechowywane w postaci zwykłego tekstu.

wybieranie numeru

Umożliwia dostęp telefoniczny za pośrednictwem modemów. Hasła użytkowników w tej grupie są przechowywane w postaci zwykłego tekstu.

ftp

Umożliwia dostęp do FTP i file dostęp do urządzeń pamięci masowej.

pmshell

Ustawia domyślną powłokę na pmshell.

użytkownicy

Zapewnia użytkownikom podstawowe uprawnienia do zarządzania.

Grupa admin zapewnia członkom pełne uprawnienia administratora. Użytkownik admin może uzyskać dostęp do serwera konsoli za pomocą dowolnej usługi włączonej w System > Usługi. Może także uzyskać dostęp do dowolnego podłączonego hosta lub urządzenia portu szeregowego za pomocą dowolnej usługi włączonej dla tych połączeń. Tylko zaufani użytkownicy powinni mieć dostęp administratora
Grupa użytkowników zapewnia członkom ograniczony dostęp do serwera konsoli oraz podłączonych hostów i urządzeń szeregowych. Użytkownicy ci mają dostęp jedynie do sekcji Zarządzanie w menu Konsoli zarządzającej i nie mają dostępu z wiersza poleceń do serwera konsoli. Mogą uzyskać dostęp tylko do tych hostów i urządzeń szeregowych, które zostały dla nich sprawdzone, korzystając z włączonych usług
Użytkownicy w grupach pptd, dialin, ftp lub pmshell ograniczyli dostęp powłoki użytkownika do wyznaczonych zarządzanych urządzeń, ale nie będą mieli bezpośredniego dostępu do serwera konsoli. Aby to dodać, użytkownicy muszą być również członkami użytkowników lub grup administratorów
Administrator może skonfigurować dodatkowe grupy z określonymi uprawnieniami dostępu do urządzenia zasilającego, portu szeregowego i hosta. Użytkownicy w tych dodatkowych grupach nie mają żadnego dostępu do menu Konsoli zarządzającej ani dostępu z wiersza poleceń do serwera konsoli.

Instrukcja obsługi
Administrator może skonfigurować użytkowników z określonymi uprawnieniami dostępu do urządzenia zasilającego, portu szeregowego i hosta, którzy nie są członkami żadnej grupy. Ci użytkownicy nie mają dostępu do menu Konsoli zarządzającej ani dostępu z wiersza poleceń do serwera konsoli. 3.2.1 Konfiguracja nowej grupy Aby skonfigurować nowe grupy i nowych użytkowników oraz sklasyfikować użytkowników jako członków poszczególnych grup:
1. Wybierz opcję Serial i sieć > Użytkownicy i grupy, aby wyświetlić wszystkie grupy i użytkowników. 2. Kliknij opcję Dodaj grupę, aby dodać nową grupę.
3. Dodaj nazwę i opis grupy dla każdej nowej grupy oraz wskaż dostępne hosty, dostępne porty i dostępne punkty sprzedaży RPC, do których użytkownicy w nowej grupie będą mogli uzyskać dostęp
4. Kliknij Zastosuj 5. Administrator może edytować lub usunąć dowolną dodaną grupę 3.2.2 Konfigurowanie nowych użytkowników Aby skonfigurować nowych użytkowników i sklasyfikować ich jako członków określonych grup: 1. Wybierz opcję Serial i sieć > Użytkownicy i grupy, aby wyświetlić wszystkie grupy i użytkownicy 2. Kliknij opcję Dodaj użytkownika
39

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
3. Dodaj nazwę użytkownika dla każdego nowego użytkownika. W polu Opis możesz także zawrzeć informacje dotyczące użytkownika (np. dane kontaktowe). Nazwa Użytkownika może zawierać od 1 do 127 znaków alfanumerycznych oraz znaki „-”, „_” i „.”.
4. Określ, do których grup chcesz, aby użytkownik był członkiem. 5. Dodaj potwierdzone hasło dla każdego nowego użytkownika. Wszystkie znaki są dozwolone. 6. Można zastosować uwierzytelnianie za pomocą klucza SSH. Wklej klucze publiczne autoryzowanych publicznych/prywatnych
pary kluczy dla tego użytkownika w polu Autoryzowane klucze SSH 7. Zaznacz opcję Wyłącz uwierzytelnianie hasłem, aby zezwolić tylko na uwierzytelnianie za pomocą klucza publicznego dla tego użytkownika
podczas korzystania z protokołu SSH 8. Zaznacz opcję Włącz dial-back w menu Opcje dial-in, aby zezwolić na wychodzące połączenie dial-back
uruchamiane poprzez zalogowanie się na ten port. Wprowadź numer telefonu dial-back wraz z numerem telefonu, pod który chcesz oddzwonić po zalogowaniu się użytkownika. 9. Zaznacz opcję Dostępne hosty i/lub dostępne porty, aby wyznaczyć porty szeregowe i hosty podłączone do sieci, do których użytkownik ma mieć uprawnienia dostępu. 10. Jeśli są skonfigurowane RPC, zaznacz opcję Dostępne gniazda RPC, aby określić, którymi gniazdami użytkownik może sterować (tj. włączać/wyłączać zasilanie). 11. Kliknij Zastosuj. Nowy użytkownik będzie miał dostęp do dostępnych urządzeń sieciowych, portów i gniazd RPC. Jeśli użytkownik jest członkiem grupy, może również uzyskać dostęp do dowolnego innego urządzenia/portu/gniazda dostępnego dla grupy
40

Instrukcja obsługi
Nie ma ograniczeń co do liczby użytkowników, których można skonfigurować, ani liczby użytkowników na port szeregowy lub hosta. Wielu użytkowników może kontrolować/monitorować jeden port lub host. Nie ma ograniczeń co do liczby grup, a każdy użytkownik może być członkiem wielu grup. Użytkownik nie musi należeć do żadnej grupy, jednak jeśli jest członkiem domyślnej grupy użytkowników, nie będzie mógł używać Konsoli Zarządzającej do zarządzania portami. Chociaż nie ma żadnych ograniczeń, czas na ponowną konfigurację wzrasta wraz ze wzrostem liczby i złożoności. Zalecamy, aby łączna liczba użytkowników i grup nie przekraczała 250. Administrator może także edytować ustawienia dostępu dla istniejących użytkowników:
· Wybierz opcję Serial i sieć > Użytkownicy i grupy i kliknij Edytuj, aby zmodyfikować uprawnienia dostępu użytkownika. · Kliknij Usuń, aby usunąć użytkownika. · Kliknij Wyłącz, aby tymczasowo zablokować uprawnienia dostępu
3.3 Uwierzytelnianie
Szczegóły konfiguracji uwierzytelniania można znaleźć w rozdziale 8.
3.4 Hosty sieciowe
Aby monitorować i uzyskać zdalny dostęp do komputera lub urządzenia w sieci lokalnej (zwanego Hostem), musisz zidentyfikować Hosta:
1. Wybranie opcji Szeregowy i sieć > Hosty sieciowe powoduje wyświetlenie wszystkich hostów podłączonych do sieci, które zostały włączone do użytku.
2. Kliknij Dodaj hosta, aby umożliwić dostęp do nowego hosta (lub wybierz Edytuj, aby zaktualizować ustawienia istniejącego hosta)
41

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
3. Jeśli hostem jest urządzenie zasilające PDU, UPS lub serwer ze sterowaniem zasilaniem IPMI, określ RPC (dla IPMI i PDU) lub UPS i typ urządzenia. Administrator może skonfigurować te urządzenia i określić, którzy użytkownicy mają uprawnienia do zdalnego wyłączania zasilania itp. Zobacz rozdział 7. W przeciwnym razie pozostaw typ urządzenia ustawiony na Brak.
4. Jeśli serwer konsoli został skonfigurowany z włączonym rozproszonym monitorowaniem Nagios, zobaczysz także opcje ustawień Nagios umożliwiające monitorowanie wyznaczonych usług na hoście.
5. Kliknij Zastosuj. Spowoduje to utworzenie nowego hosta, a także utworzenie nowego zarządzanego urządzenia o tej samej nazwie.
3.5 Zaufane sieci
Funkcja Zaufane sieci umożliwia wyznaczenie adresów IP, pod którymi muszą się znajdować użytkownicy, aby mieli dostęp do portów szeregowych serwera konsoli:
42

Instrukcja obsługi
1. Wybierz opcję Szeregowy i sieć > Zaufane sieci. 2. Aby dodać nową zaufaną sieć, wybierz opcję Dodaj regułę. W przypadku braku Regulaminu nie ma dostępu
ograniczenia co do adresu IP, pod którym mogą znajdować się użytkownicy.

3. Wybierz dostępne porty, do których ma zostać zastosowana nowa reguła
4. Wprowadź adres sieciowy podsieci, do której chcesz uzyskać dostęp
5. Określ zakres adresów, które mają być dozwolone, wprowadzając maskę sieci dla tego dozwolonego zakresu adresów IP, np.:
· Aby umożliwić wszystkim użytkownikom znajdującym się w określonym połączeniu sieciowym klasy C dostęp do wyznaczonego portu, dodaj następującą nową regułę sieci zaufanej:

Sieciowy adres IP

204.15.5.0

Maska podsieci

255.255.255.0

· Aby zezwolić na połączenie tylko jednemu użytkownikowi znajdującemu się pod określonym adresem IP:

Sieciowy adres IP

204.15.5.13

Maska podsieci

255.255.255.255

· Aby umożliwić wszystkim użytkownikom działającym w określonym zakresie adresów IP (powiedzmy dowolny z trzydziestu adresów od 204.15.5.129 do 204.15.5.158) połączenie z wyznaczonym portem:

Adres hosta/podsieci

204.15.5.128

Maska podsieci

255.255.255.224

6. Kliknij Zastosuj

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
3.6 Kaskadowanie portów szeregowych
Porty kaskadowe umożliwiają klastrowanie rozproszonych serwerów konsoli, dzięki czemu można skonfigurować dużą liczbę portów szeregowych (do 1000) i uzyskać do nich dostęp za pośrednictwem jednego adresu IP oraz zarządzać nimi za pośrednictwem jednej konsoli zarządzającej. Jeden serwer konsoli, serwer podstawowy, steruje innymi serwerami konsoli jako jednostkami węzła, a wszystkie porty szeregowe jednostek węzła wyglądają tak, jakby były częścią serwera głównego. Klastrowanie Opengear łączy każdy węzeł z węzłem podstawowym za pomocą połączenia SSH. Odbywa się to przy użyciu uwierzytelniania za pomocą klucza publicznego, dzięki czemu jednostka podstawowa może uzyskać dostęp do każdego węzła za pomocą pary kluczy SSH (zamiast używania haseł). Zapewnia to bezpieczną, uwierzytelnioną komunikację pomiędzy jednostkami podstawowymi i węzłami, umożliwiając dystrybucję jednostek serwerowych konsoli Node lokalnie w sieci LAN lub zdalnie na całym świecie.
3.6.1 Automatyczne generowanie i przesyłanie kluczy SSH Aby skonfigurować uwierzytelnianie za pomocą klucza publicznego, należy najpierw wygenerować parę kluczy RSA lub DSA i przesłać je na serwery konsoli głównej i węzła. Można to zrobić automatycznie z poziomu podstawowego:
44

Instrukcja obsługi
1. Wybierz opcję System > Administracja w konsoli zarządzania podstawowej
2. Zaznacz opcję Generuj klucze SSH automatycznie. 3. Kliknij Zastosuj
Następnie musisz wybrać, czy klucze mają być generowane przy użyciu RSA i/lub DSA (jeśli nie jesteś pewien, wybierz tylko RSA). Wygenerowanie każdego zestawu kluczy zajmuje dwie minuty, a nowe klucze niszczą stare klucze tego typu. W trakcie prac nad nową generacją funkcje wykorzystujące klucze SSH (np. kaskadowe) mogą przestać działać do czasu ich zaktualizowania o nowy zestaw kluczy. Aby wygenerować klucze:
1. Zaznacz pola obok kluczy, które chcesz wygenerować. 2. Kliknij Zastosuj
3. Po wygenerowaniu nowych kluczy kliknij link Kliknij tutaj, aby wrócić. Klucze zostały przesłane
do węzłów głównych i połączonych.
3.6.2 Ręczne generowanie i przesyłanie kluczy SSH Alternatywnie, jeśli masz parę kluczy RSA lub DSA, możesz przesłać je na serwery konsoli Podstawowej i Węzłowej. Aby przesłać parę kluczy publicznych i prywatnych na serwer konsoli podstawowej:
1. Wybierz opcję System > Administracja w konsoli zarządzania jednostki podstawowej
2. Przejdź do lokalizacji, w której zapisałeś klucz publiczny RSA (lub DSA) i prześlij go do klucza publicznego SSH RSA (DSA)
3. Przejdź do zapisanego klucza prywatnego RSA (lub DSA) i prześlij go do klucza prywatnego SSH RSA (DSA) 4. Kliknij Zastosuj
45

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
Następnie musisz zarejestrować klucz publiczny jako klucz autoryzowany w węźle. W przypadku jednego węzła podstawowego z wieloma węzłami przesyłasz jeden klucz publiczny RSA lub DSA dla każdego węzła.
1. Wybierz System > Administracja w konsoli zarządzania węzła 2. Przejdź do zapisanego klucza publicznego RSA (lub DSA) i prześlij go do autoryzowanego klucza SSH węzła
3. Kliknij Zastosuj Następnym krokiem jest pobranie odcisku palca każdego nowego połączenia Node-Primary. Ten krok potwierdza, że ustanawiasz sesję SSH z osobą, za którą myślisz, że jesteś. Przy pierwszym połączeniu Węzeł otrzymuje odcisk palca od węzła podstawowego, używany we wszystkich przyszłych połączeniach: Aby ustanowić odcisk palca, najpierw zaloguj się na serwerze głównym jako root i nawiąż połączenie SSH ze zdalnym hostem węzła:
# ssh remhost Po nawiązaniu połączenia SSH zostaniesz poproszony o zaakceptowanie klucza. Odpowiedz tak, a odcisk palca zostanie dodany do listy znanych hostów. Jeśli zostaniesz poproszony o podanie hasła, oznacza to, że wystąpił problem z przesyłaniem kluczy. 3.6.3 Konfigurowanie węzłów i ich portów szeregowych Rozpocznij konfigurowanie węzłów i portów szeregowych węzłów z poziomu serwera konsoli podstawowej:
1. Wybierz opcję Szeregowy i sieć > Porty kaskadowe w konsoli zarządzania jednostki głównej: 2. Aby dodać obsługę klastrowania, wybierz opcję Dodaj węzeł
Nie możesz dodawać węzłów, dopóki nie wygenerujesz kluczy SSH. Aby zdefiniować i skonfigurować węzeł:
46

Instrukcja obsługi
1. Wprowadź zdalny adres IP lub nazwę DNS serwera konsoli węzła 2. Wprowadź krótki opis i krótką etykietę węzła 3. Wprowadź pełną liczbę portów szeregowych jednostki węzła w polu Liczba portów 4. Kliknij Zastosuj. Spowoduje to utworzenie tunelu SSH pomiędzy węzłem podstawowym a nowym węzłem
Menu Szeregowy i sieć > Porty kaskadowe wyświetla wszystkie węzły i numery portów przydzielone na serwerze podstawowym. Jeśli serwer konsoli podstawowej ma 16 własnych portów, porty 1–16 są wstępnie przydzielane serwerowi głównemu, więc pierwszy dodany węzeł otrzymuje port o numerze 17 i nowszym. Po dodaniu wszystkich serwerów konsoli Node porty szeregowe Node i podłączone urządzenia są konfigurowalne i dostępne z menu konsoli zarządzania jednostki głównej oraz dostępne poprzez adres IP jednostki podstawowej.
1. Wybierz odpowiedni Szeregowy i sieć > Port szeregowy i Edytuj, aby skonfigurować porty szeregowe w
Węzeł.
2. Wybierz odpowiedni numer seryjny i sieć > Użytkownicy i grupy, aby dodać nowych użytkowników z uprawnieniami dostępu
do portów szeregowych Node (lub w celu rozszerzenia uprawnień dostępu istniejących użytkowników).
3. Wybierz odpowiedni Serial i sieć > Zaufane sieci, aby określić adresy sieciowe
może uzyskać dostęp do portów szeregowych wyznaczonego węzła. 4. Wybierz odpowiednie Alerty i rejestrowanie > Alerty, aby skonfigurować połączenie portu węzła i stan
Alerty dotyczące dopasowania wzorca zmiany. Zmiany konfiguracji dokonane na serwerze podstawowym zostaną rozesłane do wszystkich węzłów po kliknięciu przycisku Zastosuj.
3.6.4 Zarządzanie węzłami Jednostka główna kontroluje porty szeregowe węzła. Na przykładample, jeśli zmienisz uprawnienia dostępu użytkownika lub edytujesz dowolne ustawienie portu szeregowego na urządzeniu podstawowym, zaktualizowana konfiguracja fileKomunikaty są wysyłane równolegle do każdego węzła. Każdy węzeł wprowadza zmiany w swoich konfiguracjach lokalnych (i wprowadza jedynie zmiany odnoszące się do jego poszczególnych portów szeregowych). Możesz użyć lokalnej konsoli zarządzania węzłem, aby zmienić ustawienia portu szeregowego dowolnego węzła (np. zmienić szybkość transmisji). Zmiany te zostaną nadpisane następnym razem, gdy jednostka podstawowa wyśle konfigurację file aktualizacja. Chociaż jednostka podstawowa kontroluje wszystkie funkcje związane z portem szeregowym węzła, nie jest ona podstawowa w stosunku do połączeń hosta sieci węzła ani systemu serwera konsoli węzła. Funkcje węzła, takie jak ustawienia IP, SMTP i SNMP, data i godzina, serwer DHCP muszą być zarządzane poprzez bezpośredni dostęp do każdego węzła i funkcje te nie są nadpisywane, gdy zmiany konfiguracji są propagowane z węzła podstawowego. W każdym węźle należy skonfigurować ustawienia hosta sieciowego i IPMI węzła.
47

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
Konsola zarządzania jednostki głównej zapewnia skonsolidowane view ustawień portów szeregowych własnego i całego węzła. Spółka podstawowa nie zapewnia pełnej konsolidacji view. Na przykładample, jeśli chcesz dowiedzieć się, kto jest zalogowany do kaskadowych portów szeregowych z jednostki podstawowej, zobaczysz, że Status > Aktywni użytkownicy wyświetla tylko tych użytkowników aktywnych na portach jednostki podstawowej, więc może być konieczne napisanie niestandardowych skryptów, aby to zapewnić view.
3.7 Przekierowanie portu szeregowego (PortShare)
Oprogramowanie Port Share firmy Opengear zapewnia technologię wirtualnego portu szeregowego, której aplikacje Windows i Linux potrzebują do otwierania zdalnych portów szeregowych i odczytywania danych z urządzeń szeregowych podłączonych do serwera konsoli.
PortShare jest dostarczany bezpłatnie z każdym serwerem konsoli i masz licencję na zainstalowanie PortShare na jednym lub większej liczbie komputerów w celu uzyskania dostępu do dowolnego urządzenia szeregowego podłączonego do portu serwera konsoli. PortShare dla Windows Plik portshare_setup.exe można pobrać z witryny FTP. Aby uzyskać szczegółowe informacje na temat instalacji i obsługi, zobacz Podręcznik użytkownika PortShare i Szybki start. PortShare dla systemu Linux Sterownik PortShare dla systemu Linux mapuje port szeregowy serwera konsoli na port próbny hosta. Opengear wypuścił klienta portshare-serial-client jako narzędzie open source dla systemów Linux, AIX, HPUX, SCO, Solaris i UnixWare. Narzędzie to można pobrać z witryny FTP. Ten przekierowanie portu szeregowego PortShare umożliwia korzystanie z urządzenia szeregowego podłączonego do serwera konsoli zdalnej tak, jakby było podłączone do lokalnego portu szeregowego. Klient portshare-serial-client tworzy port pseudo tty, łączy aplikację szeregową z portem pseudo tty, odbiera dane z portu pseudo tty, przesyła je do serwera konsoli przez sieć oraz odbiera dane z serwera konsoli przez sieć i przesyła je do portu pseudo-tty. tar file można pobrać z serwisu ftp. Aby uzyskać szczegółowe informacje na temat instalacji i obsługi, zobacz Podręcznik użytkownika PortShare i Szybki start.
48

Instrukcja obsługi
3.8 zarządzanych urządzeń
Strona Zarządzane urządzenia przedstawia skonsolidowane view wszystkich połączeń z urządzeniem, do których można uzyskać dostęp i które można monitorować za pośrednictwem serwera konsoli. Do view połączenia z urządzeniami, wybierz opcję Szeregowy i sieć > Urządzenia zarządzane
Na tym ekranie wyświetlane są wszystkie zarządzane urządzenia wraz z ich opisami/uwagami oraz listą wszystkich skonfigurowanych połączeń:
· Numer portu szeregowego (jeśli jest podłączony szeregowo) lub · USB (jeśli jest podłączony przez USB) · Adres IP (jeśli jest podłączony do sieci) · Dane PDU/gniazda zasilania (jeśli dotyczy) i wszelkie połączenia UPS Urządzenia takie jak serwery mogą mieć więcej niż jedno złącze zasilania (np. podwójne zasilanie) i więcej niż jedno połączenie sieciowe (np. dla BMC/procesora serwisowego). Wszyscy użytkownicy mogą view zarządzanych połączeń urządzeń, wybierając opcję Zarządzaj > Urządzenia. Administratorzy mogą także edytować i dodawać/usuwać zarządzane urządzenia i ich połączenia. Aby edytować istniejące urządzenie i dodać nowe połączenie: 1. Wybierz Edytuj w Szereg i sieć > Zarządzane urządzenia i kliknij Dodaj połączenie 2. Wybierz typ połączenia dla nowego połączenia (szeregowe, host sieciowy, UPS lub RPC) i wybierz
połączenie z prezentowanej listy skonfigurowanych nieprzydzielonych hostów/portów/gniazd
49

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
Aby dodać nowe zarządzane urządzenie podłączone do sieci: 1. Administrator dodaje nowe zarządzane urządzenie podłączone do sieci, korzystając z opcji Dodaj hosta w menu Szeregowy i sieć > Host sieciowy. Spowoduje to automatyczne utworzenie odpowiedniego nowego zarządzanego urządzenia. 2. Dodając nowe urządzenie zasilające RPC lub UPS podłączone do sieci, konfigurujesz hosta sieciowego i wyznaczasz go jako RPC lub UPS. Przejdź do Połączenia RPC lub Połączenia UPS, aby skonfigurować odpowiednie połączenie. Odpowiednie nowe zarządzane urządzenie o tej samej nazwie/opisie co host RPC/UPS nie zostanie utworzone, dopóki ten krok połączenia nie zostanie ukończony.
UWAGA Nazwy gniazd nowo utworzonej jednostki PDU to Outlet 1 i Outlet 2. Po podłączeniu określonego zarządzanego urządzenia pobierającego energię z gniazdka, gniazdko przyjmuje nazwę zasilanego zarządzanego urządzenia.
Aby dodać nowe zarządzane urządzenie połączone szeregowo: 1. Skonfiguruj port szeregowy za pomocą menu Szeregowy i sieć > Port szeregowy (patrz sekcja 3.1 Konfiguruj port szeregowy) 2. Wybierz opcję Szeregowy i sieć > Urządzenia zarządzane i kliknij Dodaj urządzenie 3. Wprowadź urządzenie Nazwa i opis zarządzanego urządzenia

4. Kliknij Dodaj połączenie i wybierz Szeregowy oraz Port, który łączy się z zarządzanym urządzeniem

5. Aby dodać połączenie zasilania UPS/RPC, połączenie sieciowe lub inne połączenie szeregowe, kliknij Dodaj połączenie

6. Kliknij Zastosuj

NOTATKA

Aby skonfigurować szeregowo podłączone urządzenie UPS RPC lub EMD, skonfiguruj port szeregowy, wyznacz go jako urządzenie i wprowadź nazwę i opis tego urządzenia w obszarze Szeregowy i sieć > Połączenia RPC (lub Połączenia UPS lub Środowisko). Spowoduje to utworzenie odpowiedniego nowego zarządzanego urządzenia o tej samej nazwie/opisie, co host RPC/UPS. Nazwy gniazd tej nowo utworzonej jednostki PDU to Outlet 1 i Outlet 2. Po podłączeniu zarządzanego urządzenia pobierającego energię z gniazdka, gniazdko przyjmuje nazwę zasilanego zarządzanego urządzenia.

3.9 VPN IPsec
Modele ACM7000, CM7100 i IM7200 zawierają Openswan, linuksową implementację protokołów IPsec (IP Security), której można używać do konfigurowania wirtualnej sieci prywatnej (VPN). VPN umożliwia wielu lokacjom lub zdalnym administratorom bezpieczny dostęp do serwera konsoli i zarządzanych urządzeń przez Internet.

Instrukcja obsługi
Administrator może ustanowić szyfrowane, uwierzytelnione połączenia VPN pomiędzy serwerami konsolowymi rozmieszczonymi w zdalnych lokalizacjach a bramą VPN (taką jak router Cisco z systemem IOS IPsec) w sieci ich centralnego biura:
· Użytkownicy w biurze centralnym mogą bezpiecznie uzyskiwać dostęp do serwerów konsoli zdalnej oraz podłączonych urządzeń i maszyn konsoli szeregowej w podsieci LAN zarządzania w lokalizacji zdalnej, tak jakby były to urządzenia lokalne
· Wszystkie te serwery konsoli zdalnych można monitorować za pomocą CMS6000 w sieci centralnej · Dzięki mostkowi szeregowemu można bezpiecznie przesyłać dane szeregowe ze sterownika do komputera w biurze centralnym
podłączony do urządzeń sterowanych szeregowo w odległych lokalizacjach Administrator Road Warrior może użyć klienta oprogramowania VPN IPsec, aby uzyskać zdalny dostęp do serwera konsoli i każdej maszyny w podsieci LAN zarządzającej w zdalnej lokalizacji
Konfiguracja protokołu IPsec jest dość złożona, dlatego Opengear zapewnia interfejs GUI do podstawowej konfiguracji, jak opisano poniżej. Aby włączyć bramę VPN:
1. Wybierz opcję IPsec VPN w menu Szeregowy i sieci
2. Kliknij Dodaj i wypełnij ekran Dodaj tunel IPsec. 3. Wprowadź dowolną nazwę opisową, która ma identyfikować dodawany tunel IPsec, np.
WestStOutlet-VPN
51

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
4. Wybierz metodę uwierzytelniania, która ma zostać zastosowana: podpisy cyfrowe RSA lub wspólny sekret (PSK). o Jeśli wybierzesz RSA, zostaniesz poproszony o kliknięcie tutaj w celu wygenerowania kluczy. Spowoduje to wygenerowanie klucza publicznego RSA dla serwera konsoli (lewy klucz publiczny). Znajdź klucz, który ma być używany na zdalnej bramie, wytnij go i wklej do prawego klucza publicznego
o Jeśli wybierzesz Wspólny sekret, wprowadź Wstępny sekret (PSK). PSK musi odpowiadać PSK skonfigurowanemu na drugim końcu tunelu
5. W Protokole uwierzytelniania wybierz protokół uwierzytelniania, który ma być używany. Uwierzytelnij się w ramach szyfrowania ESP (Encapsulated Security Payload) lub osobno, używając protokołu AH (Authentication Header).
52

Instrukcja obsługi
6. Wprowadź lewy i prawy identyfikator. Jest to identyfikator używany przez lokalny host/bramę i zdalny host/bramę do negocjacji i uwierzytelniania protokołu IPsec. Każdy identyfikator musi zawierać @ i może zawierać w pełni kwalifikowaną nazwę domeny (np. left@example.com)
7. Wpisz publiczny adres IP lub DNS tej bramy Opengear VPN jako lewy adres. Możesz pozostawić to pole puste, aby użyć interfejsu trasy domyślnej
8. W Right Address wprowadź publiczny adres IP lub DNS zdalnego końca tunelu (tylko jeśli zdalny koniec ma adres statyczny lub DynDNS). W przeciwnym razie pozostaw to pole puste
9. Jeśli brama Opengear VPN służy jako brama VPN do podsieci lokalnej (np. serwer konsoli ma skonfigurowaną sieć zarządzającą LAN), wprowadź szczegóły podsieci prywatnej w lewej podsieci. Użyj notacji CIDR (gdzie po numerze adresu IP następuje ukośnik i liczba bitów „jeden” w zapisie binarnym maski sieci). Na przykładample, 192.168.0.0/24 wskazuje adres IP, w którym pierwsze 24 bity są używane jako adres sieciowy. Jest to to samo, co 255.255.255.0. Jeśli dostęp VPN dotyczy tylko serwera konsoli i podłączonych do niego urządzeń konsoli szeregowej, pozostaw lewą podsieć pustą
10. Jeśli na zdalnym końcu znajduje się brama VPN, wprowadź szczegóły podsieci prywatnej w Prawej podsieci. Użyj notacji CIDR i pozostaw puste, jeśli istnieje tylko zdalny host
11. Wybierz opcję Zainicjuj tunel, jeśli połączenie tunelowe ma zostać zainicjowane od strony serwera lewej konsoli. Można to zainicjować tylko z bramy VPN (po lewej), jeśli zdalny koniec jest skonfigurowany ze statycznym adresem IP (lub DynDNS)
12. Kliknij Zastosuj, aby zapisać zmiany
UWAGA Szczegóły konfiguracji skonfigurowane na serwerze konsoli (zwanym lewym lub lokalnym hostem) muszą odpowiadać konfiguracjom wprowadzonym podczas konfigurowania zdalnego (prawego) hosta/bramy lub klienta oprogramowania. Szczegółowe informacje na temat konfigurowania tych zdalnych końcówek znajdują się na stronie http://www.opengear.com/faq.html
3.10 Otwórz VPN
ACM7000, CM7100 i IM7200 z oprogramowaniem sprzętowym w wersji 3.2 i nowszej obsługują OpenVPN. OpenVPN korzysta z biblioteki OpenSSL do szyfrowania, uwierzytelniania i certyfikacji, co oznacza, że wykorzystuje SSL/TSL (Secure Socket Layer/Transport Layer Security) do wymiany kluczy i może szyfrować zarówno dane, jak i kanały kontrolne. Korzystanie z OpenVPN umożliwia budowanie wieloplatformowych sieci VPN typu punkt-punkt przy użyciu X.509 PKI (infrastruktura klucza publicznego) lub konfiguracji niestandardowej fileS. OpenVPN umożliwia bezpieczne tunelowanie danych przez pojedynczy port TCP/UDP w niezabezpieczonej sieci, zapewniając w ten sposób bezpieczny dostęp do wielu lokalizacji i bezpieczną zdalną administrację do serwera konsolowego przez Internet. OpenVPN umożliwia również korzystanie z dynamicznych adresów IP zarówno przez serwer, jak i klienta, zapewniając w ten sposób mobilność klienta. Na przykładample, można ustanowić tunel OpenVPN pomiędzy mobilnym klientem Windows a serwerem konsoli Opengear w centrum danych. Konfiguracja OpenVPN może być złożona, dlatego Opengear zapewnia interfejs GUI do podstawowej konfiguracji, jak opisano poniżej. Bardziej szczegółowe informacje można znaleźć na stronie http://www.openvpn.net
3.10.1 Włącz OpenVPN 1. Wybierz OpenVPN w menu Serial i sieci
53

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
2. Kliknij Dodaj i wypełnij ekran Dodaj tunel OpenVPN 3. Wprowadź dowolną nazwę opisową, która ma identyfikować dodawany tunel OpenVPN, np.ample
NorthStOutlet-VPN
4. Wybierz metodę uwierzytelniania, która ma zostać użyta. Aby uwierzytelnić się przy użyciu certyfikatów, wybierz PKI (Certyfikaty X.509) lub wybierz opcję Konfiguracja niestandardowa, aby przesłać konfigurację niestandardową fileS. Konfiguracje niestandardowe muszą być przechowywane w pliku /etc/config.
UWAGA Jeśli wybierzesz PKI, ustal: Oddzielny certyfikat (znany również jako klucz publiczny). Ten certyfikat File jest plikiem *.crt file wpisz klucz prywatny dla serwera i każdego klienta. Ten klucz prywatny File jest kluczem * file typ
Certyfikat i klucz głównego urzędu certyfikacji (CA), który jest używany do podpisywania każdego serwera
i certyfikaty klienta. Ten certyfikat głównego urzędu certyfikacji jest plikiem *.crt file type Dla serwera możesz także potrzebować dh1024.pem (parametry Diffiego Hellmana). Przewodnik po podstawowym zarządzaniu kluczami RSA można znaleźć pod adresem http://openvpn.net/easyrsa.html. Informacje na temat alternatywnych metod uwierzytelniania można znaleźć pod adresem http://openvpn.net/index.php/documentation/howto.html#auth.
5. Wybierz sterownik urządzenia, który ma być używany: Tun-IP lub Tap-Ethernet. Sterowniki TUN (tunel sieciowy) i TAP (podłączenie sieciowe) to sterowniki sieci wirtualnej obsługujące odpowiednio tunelowanie IP i tunelowanie Ethernet. TUN i TAP są częścią jądra Linuksa.
6. Jako protokół wybierz UDP lub TCP. UDP jest domyślnym i preferowanym protokołem dla OpenVPN. 7. Zaznacz lub odznacz przycisk Kompresja, aby włączyć lub wyłączyć kompresję. 8. W trybie tunelowym określ, czy jest to koniec tunelu po stronie Klienta czy Serwera. Podczas uruchamiania jako
serwerem, serwer konsoli obsługuje wielu klientów łączących się z serwerem VPN przez ten sam port.
54

Instrukcja obsługi
3.10.2 Skonfiguruj jako serwer lub klient
1. Wypełnij Dane Klienta lub Szczegóły Serwera w zależności od wybranego Trybu Tunelowego. o Jeśli wybrano Klienta, Adres serwera głównego to adres serwera OpenVPN. o Jeśli wybrano Serwer, wprowadź adres sieciowy puli IP i maskę sieci puli IP dla puli adresów IP. Sieć zdefiniowana przez adres/maskę sieci IP Pool jest używana do podawania adresów dla łączących się klientów.
2. Kliknij Zastosuj, aby zapisać zmiany
55

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
3. Aby wprowadzić certyfikaty uwierzytelniające i files, wybierz Zarządzaj OpenVPN Filezakładka. Prześlij lub przeglądaj odpowiednie certyfikaty uwierzytelniające i files.
4. Zastosuj, aby zapisać zmiany. Zapisano filesą wyświetlane na czerwono po prawej stronie przycisku Prześlij.
5. Aby włączyć OpenVPN, edytuj tunel OpenVPN
56

Instrukcja obsługi
6. Zaznacz przycisk Włączone. 7. Zastosuj, aby zapisać zmiany UWAGA Upewnij się, że czas systemowy serwera konsoli jest prawidłowy podczas pracy z OpenVPN, aby tego uniknąć
problemy z uwierzytelnianiem.
8. Wybierz opcję Statystyka w menu Status, aby sprawdzić, czy tunel działa.
57

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
3.10.3 Konfiguracja klienta i serwera Windows OpenVPN W tej sekcji opisano instalację i konfigurację klienta Windows OpenVPN lub serwera Windows OpenVPN oraz konfigurowanie połączenia VPN z serwerem konsoli. Serwery konsoli automatycznie generują konfigurację klienta Windows z GUI dla wstępnie udostępnionego sekretu (klucz statyczny File) konfiguracje.
Alternatywnie oprogramowanie OpenVPN GUI dla systemu Windows (które zawiera standardowy pakiet OpenVPN oraz interfejs GUI systemu Windows) można pobrać ze strony http://openvpn.net. Po zainstalowaniu na komputerze z systemem Windows ikona OpenVPN jest dodawana do obszaru powiadomień znajdującego się po prawej stronie paska zadań. Kliknij tę ikonę prawym przyciskiem myszy, aby rozpocząć i zatrzymać połączenia VPN, edytować konfiguracje i view dzienniki.
Kiedy oprogramowanie OpenVPN zaczyna działać, plik C:Program FileFolder sOpenVPNconfig jest skanowany w poszukiwaniu .opvn fileS. Ten folder jest ponownie sprawdzany pod kątem nowej konfiguracji files za każdym razem, gdy zostanie kliknięta ikona GUI OpenVPN. Po zainstalowaniu OpenVPN utwórz konfigurację file:
58

Instrukcja obsługi

Za pomocą edytora tekstu utwórz plik xxxx.ovpn file i zapisz w C:Program Filekonfiguracja OpenVPN. Na przykładampplik, C:Program FilesOpenVPNconfigclient.ovpn
Byłyampplik konfiguracji klienta OpenVPN dla systemu Windows file pokazano poniżej:
# opis: Klient IM4216_client proto udp czasownik 3 dev tun zdalny 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt klucz c:\openvpnkeys\client.key nobind trwałe-klucz trwałe- tun comp-lzo
Byłyampplik konfiguracji OpenVPN Windows Server file pokazano poniżej:
serwer 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 trwałe-klucz trwałe-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt klucz c:\openvpnkeys\server. klucz dh c:\openvpnkeys\dh.pem comp-lzo czasownik 1 syslog IM4216_OpenVPN_Server
Konfiguracja klient/serwer systemu Windows file Dostępne są następujące opcje:

Opcje #opis: Serwer klienta proto udp proto tcp mssfix czasownik
dev tun dev dotknij

Opis To jest komentarz opisujący konfigurację. Linie komentarzy zaczynają się od „#” i są ignorowane przez OpenVPN. Określ, czy będzie to konfiguracja klienta czy serwera file. W konfiguracji serwera file, zdefiniuj pulę adresów IP i maskę sieci. Na przykładample, serwer 10.100.10.0 255.255.255.0 Ustaw protokół na UDP lub TCP. Klient i serwer muszą używać tych samych ustawień. Mssfix ustawia maksymalny rozmiar pakietu. Jest to przydatne w przypadku UDP tylko w przypadku wystąpienia problemów.
Ustaw dziennik file poziom szczegółowości. Poziom szczegółowości dziennika można ustawić w zakresie od 0 (minimum) do 15 (maksimum). Na przykładample, 0 = cichy, z wyjątkiem błędów krytycznych 3 = średni wynik, dobry do ogólnego użytku 5 = pomaga w rozwiązywaniu problemów z połączeniem 9 = szczegółowy, doskonały do rozwiązywania problemów Wybierz `dev tun', aby utworzyć routowany tunel IP lub `dev tap', aby utworzyć tunel Ethernet. Klient i serwer muszą używać tych samych ustawień.

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika

zdalny Port Keepalive
http Proxy okfile nazwa>
certyfikatfile nazwa>
kluczfile nazwa>
dhfile nazwa> Nobind klucz utrzymujący szyfr utrzymujący-tun BF-CBC Blowfish (domyślny) szyfr AES-128-CBC Szyfr AES DES-EDE3-CBC Triple-DES comp-lzo syslog

Nazwa hosta/IP serwera OpenVPN podczas pracy jako klient. Wprowadź nazwę hosta DNS lub statyczny adres IP serwera. Port UDP/TCP serwera. Keepalive używa polecenia ping, aby utrzymać sesję OpenVPN przy życiu. „Keepalive 10 120′ pingi co 10 sekund i zakłada, że zdalny uczestnik nie działa, jeśli w ciągu 120 sekund nie otrzymano żadnego polecenia ping. Jeśli do uzyskania dostępu do serwera wymagany jest serwer proxy, wprowadź nazwę DNS lub adres IP serwera proxy i numer portu. Wprowadź certyfikat urzędu certyfikacji file Nazwa I położenie. Ten sam certyfikat urzędu certyfikacji file może być używany przez serwer i wszystkich klientów. Uwaga: Upewnij się, że każde `' w ścieżce katalogu zostało zastąpione przez ` \'. Na przykładample, c:openvpnkeysca.crt zmieni się na c:\openvpnkeys\ca.crt Wprowadź certyfikat klienta lub serwera file Nazwa I położenie. Każdy klient powinien posiadać swój własny certyfikat i klucz fileS. Uwaga: Upewnij się, że każde `' w ścieżce katalogu zostało zastąpione przez ` \'. Wejdz do file nazwa i lokalizacja klucza klienta lub serwera. Każdy klient powinien posiadać swój własny certyfikat i klucz fileS. Uwaga: Upewnij się, że każde `' w ścieżce katalogu zostało zastąpione przez ` \'. Jest to używane tylko przez serwer. Wprowadź ścieżkę do klucza z parametrami Diffiego-Hellmana. Opcja „Nobind” jest używana, gdy klienci nie muszą łączyć się z adresem lokalnym lub konkretnym numerem portu lokalnego. Dzieje się tak w przypadku większości konfiguracji klienta. Ta opcja zapobiega ponownemu ładowaniu kluczy podczas ponownego uruchamiania. Ta opcja zapobiega zamykaniu i ponownemu otwieraniu urządzeń TUN/TAP po ponownym uruchomieniu. Wybierz szyfr kryptograficzny. Klient i serwer muszą używać tych samych ustawień.
Włącz kompresję na łączu OpenVPN. Opcja ta musi być włączona zarówno na kliencie, jak i na serwerze. Domyślnie dzienniki znajdują się w syslog lub, jeśli działają jako usługa w systemie Windows, w programie FilesOpenVPNkatalog dziennika.

Aby zainicjować tunel OpenVPN po utworzeniu konfiguracji klient/serwer files: 1. Kliknij prawym przyciskiem myszy ikonę OpenVPN w obszarze powiadomień 2. Wybierz nowo utworzoną konfigurację klienta lub serwera. 3. Kliknij Połącz

4. Dziennik file jest wyświetlany po nawiązaniu połączenia
60

Instrukcja obsługi
5. Po nawiązaniu ikona OpenVPN wyświetla komunikat wskazujący pomyślne połączenie i przypisany adres IP. Informacje te, a także czas nawiązania połączenia, są dostępne po przewinięciu ikony OpenVPN.
3.11 VPN PPTP
Serwery konsoli obejmują serwer PPTP (Point-to-Point Tunneling Protocol). PPTP służy do komunikacji poprzez fizyczne lub wirtualne łącze szeregowe. Punkty końcowe PPP definiują dla siebie wirtualny adres IP. Trasy do sieci można zdefiniować przy użyciu tych adresów IP jako bramy, co powoduje przesyłanie ruchu przez tunel. PPTP ustanawia tunel pomiędzy fizycznymi punktami końcowymi PPP i bezpiecznie przesyła dane przez tunel.
Siłą protokołu PPTP jest łatwość konfiguracji i integracji z istniejącą infrastrukturą Microsoft. Jest powszechnie używany do łączenia pojedynczych zdalnych klientów Windows. Jeśli zabierasz komputer przenośny w podróż służbową, możesz wybrać numer lokalny, aby połączyć się z dostawcą usług dostępu do Internetu (ISP) i utworzyć drugie połączenie (tunel) z siecią biurową przez Internet i mieć taki sam dostęp do swojego sieci korporacyjnej tak, jakbyś był podłączony bezpośrednio z biura. Osoby pracujące zdalnie mogą również skonfigurować tunel VPN za pośrednictwem modemu kablowego lub łącza DSL do lokalnego dostawcy usług internetowych.
61

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
Aby skonfigurować połączenie PPTP ze zdalnego klienta Windows do urządzenia Opengear i sieci lokalnej:
1. Włącz i skonfiguruj serwer PPTP VPN na swoim urządzeniu Opengear 2. Skonfiguruj konta użytkowników VPN na urządzeniu Opengear i włącz odpowiednie
uwierzytelnianie 3. Skonfiguruj klientów VPN w lokalizacjach zdalnych. Klient nie wymaga specjalnego oprogramowania jak
serwer PPTP obsługuje standardowe oprogramowanie klienckie PPTP zawarte w systemie Windows NT i nowszych wersjach 4. Połącz się ze zdalną siecią VPN 3.11.1 Włącz serwer PPTP VPN 1. Wybierz opcję PPTP VPN w menu Szereg i sieci
2. Zaznacz pole wyboru Włącz, aby włączyć serwer PPTP. 3. Wybierz Minimalne wymagane uwierzytelnianie. Odmowa dostępu zdalnym użytkownikom próbującym to zrobić
połącz się przy użyciu schematu uwierzytelniania słabszego niż wybrany schemat. Schematy opisano poniżej, od najsilniejszego do najsłabszego. · Uwierzytelnianie szyfrowane (MS-CHAP v2): Najsilniejszy rodzaj uwierzytelniania, jaki można zastosować; to jest
zalecana opcja · Słabo szyfrowane uwierzytelnianie (CHAP): Jest to najsłabszy typ zaszyfrowanego hasła
uwierzytelnianie, którego należy używać. Nie zaleca się, aby klienci łączyli się za pomocą tego rozwiązania, ponieważ zapewnia ono bardzo słabą ochronę hasłem. Należy również pamiętać, że klienci łączący się za pomocą protokołu CHAP nie mogą szyfrować ruchu
62

Instrukcja obsługi
· Uwierzytelnianie nieszyfrowane (PAP): Jest to uwierzytelnianie za pomocą hasła w postaci zwykłego tekstu. Podczas korzystania z tego typu uwierzytelniania hasło klienta jest przesyłane w postaci niezaszyfrowanej.
· Brak 4. Wybierz wymagany poziom szyfrowania. Odmowa dostępu zdalnym użytkownikom próbującym się połączyć
które nie korzystają z tego poziomu szyfrowania. 5. W Adres lokalny wprowadź adres IP, który ma zostać przypisany do końca serwera połączenia VPN 6. W Adresy zdalne wprowadź pulę adresów IP, które chcesz przypisać do VPN klienta przychodzącego
połączenia (np. 192.168.1.10-20). Musi to być wolny adres IP lub zakres adresów z sieci, który jest przypisywany użytkownikom zdalnym podczas połączenia z urządzeniem Opengear. 7. W polu MTU wprowadź żądaną wartość maksymalnej jednostki transmisji (MTU) dla interfejsów PPTP (domyślnie jest to 1400) 8. W polu Serwer DNS wpisz adres IP serwera DNS, który przydziela adresy IP łączącym się klientom PPTP 9. W polu Serwer WINS wpisz adres IP serwera WINS, który przydziela adresy IP łączącemu się klientowi PPTP 10. Włącz pełne rejestrowanie, aby pomóc w debugowaniu problemów z połączeniem 11. Kliknij Zastosuj ustawienia 3.11.2 Dodaj użytkownika PPTP 1. Wybierz Użytkownicy i grupy w menu Szeregowe i sieci i wypełnij pola zgodnie z sekcją 3.2. 2. Upewnij się, że grupa pptpd została zaznaczona, aby umożliwić dostęp do serwera PPTP VPN. Uwaga – hasła użytkowników w tej grupie są przechowywane w postaci zwykłego tekstu. 3. Zanotuj nazwę użytkownika i hasło, aby móc połączyć się z połączeniem VPN. 4. Kliknij Zastosuj
63

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
3.11.3 Konfigurowanie zdalnego klienta PPTP Upewnij się, że zdalny komputer kliencki VPN ma połączenie z Internetem. Aby utworzyć połączenie VPN przez Internet, należy skonfigurować dwa połączenia sieciowe. Jedno połączenie jest przeznaczone dla dostawcy usług internetowych, a drugie dla tunelu VPN do urządzenia Opengear. UWAGA Ta procedura umożliwia skonfigurowanie klienta PPTP w systemie operacyjnym Windows Professional. Kroki
mogą się nieznacznie różnić w zależności od dostępu do sieci lub korzystania z alternatywnej wersji systemu Windows. Bardziej szczegółowe instrukcje można uzyskać w witrynie Microsoft web strona. 1. Zaloguj się do klienta Windows z uprawnieniami administratora 2. W Centrum sieci i udostępniania w Panelu sterowania wybierz Połączenia sieciowe i utwórz nowe połączenie
64

Instrukcja obsługi
3. Wybierz opcję Użyj mojego połączenia internetowego (VPN) i wprowadź adres IP urządzenia Opengear. Aby połączyć zdalnych klientów VPN z siecią lokalną, musisz znać nazwę użytkownika i hasło do dodanego konta PPTP, a także internetowy adres IP adres urządzenia Opengear. Jeśli Twój dostawca usług internetowych nie przydzielił Ci statycznego adresu IP, rozważ skorzystanie z usługi dynamicznego DNS. W przeciwnym razie przy każdej zmianie internetowego adresu IP należy zmodyfikować konfigurację klienta PPTP.
65

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika

3.12 Zadzwoń do domu
Wszystkie serwery konsoli zawierają funkcję Call Home, która inicjuje konfigurację bezpiecznego tunelu SSH z serwera konsoli do scentralizowanej latarni morskiej Opengear. Serwer konsoli rejestruje się jako kandydat w Lighthouse. Po zaakceptowaniu staje się serwerem konsoli zarządzanej.
Lighthouse monitoruje serwer konsoli zarządzanej, a administratorzy mogą uzyskać dostęp do zdalnego serwera konsoli zarządzanej za pośrednictwem Lighthouse. Dostęp ten jest możliwy nawet wtedy, gdy serwer konsoli zdalnej znajduje się za zaporą sieciową innej firmy lub ma prywatne, nierutowane adresy IP.

NOTATKA

Lighthouse utrzymuje połączenia SSH uwierzytelniane kluczem publicznym z każdym ze swoich serwerów konsoli zarządzanej. Połączenia te służą do monitorowania, kierowania i uzyskiwania dostępu do serwerów Managed Console oraz zarządzanych urządzeń podłączonych do serwera Managed Console.

Aby zarządzać serwerami konsoli lokalnej lub serwerami konsoli dostępnymi z Lighthouse, połączenia SSH są inicjowane przez Lighthouse.

Aby zarządzać serwerami konsoli zdalnej lub serwerami konsoli, które są zabezpieczone zaporą ogniową, nie są routowane lub w inny sposób niedostępne z Lighthouse, połączenia SSH są inicjowane przez zarządzany serwer konsoli poprzez początkowe połączenie Call Home.

Zapewnia to bezpieczną, uwierzytelnioną komunikację i umożliwia dystrybucję jednostek Managed Console Server lokalnie w sieci LAN lub zdalnie na całym świecie.

3.12.1 Konfigurowanie kandydata Call Home Aby skonfigurować serwer konsoli jako kandydata do zarządzania Call Home w Lighthouse:
1. Wybierz opcję Zadzwoń do domu w menu Szeregowy i sieć

2. Jeśli jeszcze nie wygenerowałeś lub nie przesłałeś pary kluczy SSH dla tego serwera konsoli, zrób to przed kontynuowaniem
3. Kliknij Dodaj

4. Wprowadź adres IP lub nazwę DNS (np. dynamiczny adres DNS) Lighthouse.
5. Wprowadź hasło skonfigurowane w CMS jako hasło do Call Home.
66

Instrukcja obsługi
6. Kliknij Zastosuj. Poniższe kroki inicjują połączenie Call Home z serwera konsoli do Lighthouse. Spowoduje to utworzenie portu SSHlistening w Lighthouse i ustawienie serwera konsoli jako kandydata.
Po zaakceptowaniu kandydata w Lighthouse tunel SSH do serwera konsoli zostaje przekierowany z powrotem przez połączenie Call Home. Serwer konsoli stał się serwerem konsoli zarządzanej, a Lighthouse może się z nim łączyć i monitorować za pośrednictwem tego tunelu. 3.12.2 Akceptuj kandydata Call Home jako serwer konsoli zarządzanej w Lighthouse. Ta sekcja kończy sięview na temat konfigurowania Lighthouse do monitorowania serwerów Lighthouse konsoli, które są połączone za pośrednictwem Call Home. Więcej szczegółów znajdziesz w Podręczniku użytkownika Lighthouse:
1. Wprowadź nowe hasło do Call Home w Lighthouse. Hasło to służy do akceptacji
Wywołaj Homeconnections z kandydatów na serwery konsoli
2. Serwer konsoli może skontaktować się z Lighthouse. Musi on mieć statyczny adres IP
adres lub, jeśli korzystasz z protokołu DHCP, skonfiguruj usługę dynamicznego DNS
Ekran Konfiguruj > Zarządzane serwery konsoli w Lighthouse pokazuje stan
lokalne i zdalne serwery konsoli zarządzanej oraz kandydaci.
Sekcja Zarządzane serwery konsoli pokazuje serwery konsoli monitorowane przez
Lighthouse. Sekcja Wykryte serwery konsoli zawiera:
o Lista rozwijana Serwery konsoli lokalnej zawierająca listę wszystkich serwerów konsoli znajdujących się w pliku
tej samej podsieci co Lighthouse i nie są monitorowane
67

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
o Lista rozwijana Serwery konsoli zdalnej zawierająca listę wszystkich serwerów konsoli, które nawiązały połączenie Call Home i nie są monitorowane (tj. kandydatów). Możesz kliknąć Odśwież, aby zaktualizować
Aby dodać kandydata na serwer konsoli do listy serwerów konsoli zarządzanej, wybierz go z listy rozwijanej Serwery konsoli zdalnej i kliknij Dodaj. Wprowadź Adres IP i Port SSH (jeśli te pola nie zostały automatycznie wypełnione) oraz wprowadź Opis i unikalną Nazwę dla dodawanego serwera Managed Console
Wprowadź hasło zdalnego roota (tj. hasło systemowe ustawione na serwerze konsoli zarządzanej). To hasło jest używane przez Lighthouse do propagowania automatycznie wygenerowanych kluczy SSH i nie jest przechowywane. Kliknij Zastosuj. Lighthouse konfiguruje bezpieczne połączenia SSH do i z serwera Managed Console oraz pobiera zarządzane urządzenia, szczegóły konta użytkownika i skonfigurowane alerty. 3.12.3 Łączenie się z domem głównym z ogólnym centralnym serwerem SSH Jeśli łączysz się z ogólnym serwerem SSH (nie Lighthouse) możesz skonfigurować ustawienia zaawansowane: · Wprowadź port serwera SSH i użytkownika SSH. · Wprowadź szczegóły przekierowań portów SSH, które chcesz utworzyć
Wybierając Listening Server, możesz utworzyć zdalne przekierowanie portu z serwera do tego urządzenia lub lokalne przekierowanie portu z tego urządzenia do serwera:
68

Instrukcja obsługi
· Określ port nasłuchiwania, z którego chcesz przekazywać, pozostaw to pole puste, aby przydzielić nieużywany port · Wprowadź serwer docelowy i port docelowy, który będzie odbiorcą przekierowanych połączeń
3.13 Przekazywanie adresu IP
IP Passthrough służy do tego, aby połączenie modemowe (np. wewnętrzny modem komórkowy) wyglądało jak zwykłe połączenie Ethernet z routerem typu downstream innej firmy, dzięki czemu router typu downstream może używać połączenia modemowego jako podstawowego lub zapasowego interfejsu WAN.
Urządzenie Opengear udostępnia adres IP modemu i szczegóły DNS urządzeniu końcowemu za pośrednictwem DHCP i przekazuje ruch sieciowy do i z modemu i routera.
Chociaż IP Passthrough zamienia Opengear w półmostek modem-Ethernet, niektóre usługi warstwy 4 (HTTP/HTTPS/SSH) mogą zostać zakończone w Opengear (przechwytywanie usług). Ponadto usługi działające na Opengear mogą inicjować wychodzące połączenia komórkowe niezależnie od routera znajdującego się dalej.
Dzięki temu Opengear może być nadal używany do zarządzania pozapasmowego i ostrzegania, a także może być zarządzany przez Lighthouse w trybie IP Passthrough.
3.13.1 Konfiguracja routera podrzędnego Aby móc korzystać z łączności awaryjnej na routerze podrzędnym (zwanym także przełączaniem awaryjnym do sieci komórkowej lub F2C), musi on posiadać dwa lub więcej interfejsów WAN.
UWAGA Przełączanie awaryjne w kontekście przekazywania IP jest wykonywane przez router niższego szczebla, a wbudowana logika przełączania awaryjnego poza pasmem w Opengear nie jest dostępna w trybie przekazywania IP.
Podłącz interfejs Ethernet WAN na routerze downstream do interfejsu sieciowego lub portu zarządzającego LAN Opengear za pomocą kabla Ethernet.
Skonfiguruj ten interfejs na routerze podrzędnym, aby otrzymywać ustawienia sieciowe za pośrednictwem protokołu DHCP. Jeśli wymagane jest przełączanie awaryjne, skonfiguruj router podrzędny tak, aby umożliwiał przełączanie awaryjne pomiędzy jego głównym interfejsem a portem Ethernet podłączonym do Opengear.
3.13.2 Wstępna konfiguracja przekazywania protokołu IP Wymagane kroki umożliwiające włączenie przekazywania protokołu IP to:
1. Skonfiguruj interfejs sieciowy i, w stosownych przypadkach, interfejsy zarządzania LAN za pomocą statycznych ustawień sieciowych. · Kliknij opcję Szeregowy i sieć > IP. · W przypadku Interfejsu sieciowego i tam, gdzie ma to zastosowanie Zarządzanie siecią LAN, wybierz Statyczny dla Metody konfiguracji i wprowadź ustawienia sieciowe (szczegółowe instrukcje znajdują się w części zatytułowanej Konfiguracja sieci). · Jako interfejs podłączony do routera downstream możesz wybrać dowolną dedykowaną sieć prywatną. Sieć ta istnieje tylko pomiędzy Opengear a routerem downstream i zwykle nie jest dostępna. · W przypadku drugiego interfejsu skonfiguruj go tak, jak zwykle w sieci lokalnej. · W przypadku obu interfejsów pozostaw opcję Gateway pustą.
2. Skonfiguruj modem w trybie Always On Out-of-band.
69

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
· W przypadku połączenia komórkowego kliknij System > Wybierz: Wewnętrzny modem komórkowy. · Wybierz opcję Włącz Dial-Out i wprowadź dane operatora, takie jak APN (patrz sekcja Modem komórkowy
Połączenie w celu uzyskania szczegółowych instrukcji). 3.13.3 Konfiguracja przekazywania IP Aby skonfigurować przejście IP:
· Kliknij opcję Szeregowy i sieć > Przekazywanie IP i zaznacz opcję Włącz. · Wybierz modem Opengear, którego chcesz używać do przesyłania danych. · Opcjonalnie wprowadź adres MAC podłączonego interfejsu routera końcowego. Jeśli adres MAC to
nie określono, Opengear przełączy się do pierwszego urządzenia żądającego adresu DHCP. · Wybierz interfejs Ethernet Opengear, który będzie używany do połączenia z routerem podłączonym dalej.
· Kliknij Zastosuj. 3.13.4 Przechwytywanie usług Umożliwia to Opengearowi dalsze świadczenie usług, npample, do zarządzania poza pasmem w trybie IP Passthrough. Połączenia z adresem modemu na określonych portach przechwytujących są obsługiwane przez Opengear, a nie przekazywane do routera znajdującego się dalej.
· W przypadku wymaganej usługi HTTP, HTTPS lub SSH zaznacz opcję Włącz. · Opcjonalnie zmodyfikuj port przechwytywania na port alternatywny (np. 8443 dla HTTPS). Jest to przydatne, jeśli
chcesz w dalszym ciągu umożliwiać routerowi podrzędnemu dostęp do jego zwykłego portu. 3.13.5 Stan przekazywania IP Odśwież stronę do view sekcję Stan. Wyświetla przekazywany zewnętrzny adres IP modemu, wewnętrzny adres MAC routera podłączonego pod łączem (wypełniany tylko wtedy, gdy router podrzędny akceptuje dzierżawę DHCP) oraz ogólny stan działania usługi przekazywania protokołu IP. Możesz zostać powiadomiony o stanie przełączania awaryjnego routera podrzędnego, konfigurując kontrolę routingu wykorzystania danych w obszarze Alerty i rejestrowanie > Automatyczna odpowiedź. 3.13.6 Zastrzeżenia Niektóre routery podrzędne mogą być niekompatybilne z trasą bramy. Może się to zdarzyć, gdy przekazywanie protokołu IP łączy sieć komórkową 3G, gdzie adresem bramy jest adres docelowy typu punkt-punkt i nie są dostępne żadne informacje o podsieci. Opengear wysyła maskę sieci DHCP o numerze 255.255.255.255. Urządzenia zwykle interpretują to jako pojedynczą trasę hosta w interfejsie, ale niektóre starsze urządzenia mogą powodować problemy.
70

Instrukcja obsługi
Przechwytywanie usług lokalnych nie będzie działać, jeśli Opengear korzysta z trasy domyślnej innej niż modem. Nie będą one również działać, jeśli usługa nie zostanie włączona i dostęp do niej nie zostanie włączony (zobacz System > Usługi, na karcie Dostęp do usługi znajdź opcję Połączenie telefoniczne/komórkowe).
Obsługiwane są połączenia wychodzące pochodzące z Opengear do usług zdalnych (np. wysyłanie powiadomień e-mail SMTP, pułapek SNMP, uzyskiwanie czasu NTP, tunele IPSec). Istnieje niewielkie ryzyko niepowodzenia połączenia, jeśli zarówno Opengear, jak i urządzenie końcowe będą próbowały uzyskać dostęp do tego samego portu UDP lub TCP na tym samym zdalnym hoście w tym samym czasie, gdy losowo wybiorą ten sam początkowy numer portu lokalnego.
3.14 Konfiguracja przez DHCP (ZTP)
Urządzenia Opengear można przydzielać podczas pierwszego rozruchu z serwera DHCPv4 lub DHCPv6 przy użyciu opcji config-over-DHCP. Udostępnianie w niezaufanych sieciach można ułatwić, udostępniając klucze na dysku flash USB. Funkcjonalności ZTP można również użyć do aktualizacji oprogramowania sprzętowego przy pierwszym połączeniu z siecią lub do zarejestrowania się w instancji Lighthouse 5.
Przygotowanie Typowe kroki konfiguracji w zaufanej sieci to:
1. Skonfiguruj urządzenie Opengear tego samego modelu. 2. Zapisz jego konfigurację jako kopię zapasową Opengear (.opg) file. 3. Wybierz System > Kopia zapasowa konfiguracji > Zdalna kopia zapasowa. 4. Kliknij Zapisz kopię zapasową. Konfiguracja kopii zapasowej file — nazwa-modelu_iso-format-data_config.opg — jest pobierany z urządzenia Opengear do systemu lokalnego. Możesz zapisać konfigurację jako plik XML file: 1. Wybierz System > Kopia zapasowa konfiguracji > Konfiguracja XML. Edytowalne pole zawierające
konfiguracja file w formacie XML. 2. Kliknij pole, aby je aktywować. 3. Jeśli używasz dowolnej przeglądarki w systemie Windows lub Linux, kliknij prawym przyciskiem myszy i wybierz opcję Wybierz wszystko z
menu kontekstowe lub naciśnij Control-A. Kliknij prawym przyciskiem myszy i wybierz Kopiuj z menu kontekstowego lub naciśnij Control-C. 4. Jeśli używasz dowolnej przeglądarki w systemie macOS, wybierz Edycja > Zaznacz wszystko lub naciśnij Command-A. Wybierz polecenie Edycja > Kopiuj lub naciśnij Command-C. 5. W preferowanym edytorze tekstu utwórz nowy pusty dokument, wklej skopiowane dane do pustego dokumentu i zapisz file. Cokolwiek file-nazwa, którą wybierzesz, musi zawierać plik .xml fileprzyrostek imienia. 6. Skopiuj zapisany plik .opg lub .xml file do publicznego katalogu na stronie a file serwer obsługujący co najmniej jeden z protokołów: HTTPS, HTTP, FTP lub TFTP. (Tylko protokół HTTPS może być używany, jeśli połączenie między file serwer i konfigurowane urządzenie Opengear podróżują przez niezaufaną sieć.). 7. Skonfiguruj swój serwer DHCP tak, aby zawierał opcję „specyficzną dla dostawcy” dla urządzeń Opengear. (Zostanie to wykonane w sposób specyficzny dla serwera DHCP.) Opcja specyficzna dla dostawcy powinna być ustawiona na ciąg znaków zawierający URL opublikowanego pliku .opg lub .xml file w powyższym kroku. Ciąg opcji nie może przekraczać 250 znaków i musi kończyć się rozszerzeniem .opg lub .xml.
71

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
8. Podłącz nowe urządzenie Opengear, przywrócone do ustawień fabrycznych lub z wykasowaną konfiguracją, do sieci i włącz zasilanie. Samo ponowne uruchomienie urządzenia może zająć do 5 minut.
Example Konfiguracja serwera ISC DHCP (dhcpd).
Poniżej znajduje się byłyample Fragment konfiguracji serwera DHCP do serwowania obrazu konfiguracyjnego .opg poprzez serwer ISC DHCP, dhcpd:
opcja miejsce otwarta kod przekładni szerokość 1 długość szerokość 1; opcja opengear.config-url kod 1 = tekst; klasa „test-opengear-config-over-dhcp” {
dopasuj, jeśli opcja identyfikator klasy dostawcy ~~ „^Opengear/”; opengear z opcją dostawcy; opcja opengear.config-url „https://example.com/opg/${class}.opg”; }
Tę konfigurację można zmodyfikować, aby zaktualizować obraz konfiguracyjny za pomocą opengear.image-url opcję i dostarczając identyfikator URI do obrazu oprogramowania sprzętowego.
Konfiguracja, gdy sieć LAN nie jest zaufana. Jeśli połączenie pomiędzy file serwer i konfigurowane urządzenie Opengear obejmuje niezaufaną sieć, podejście oburęczne może złagodzić problem.
UWAGA Podejście to wprowadza dwa fizyczne etapy, w przypadku których całkowite ustanowienie zaufania może być trudne, jeśli nie niemożliwe. Po pierwsze, łańcuch opieki od stworzenia dysku flash USB zawierającego dane do jego wdrożenia. Po drugie, ręce łączące dysk flash USB z urządzeniem Opengear.
· Wygeneruj certyfikat X.509 dla urządzenia Opengear.
· Połącz certyfikat i jego klucz prywatny w jeden file o nazwie klient.pem.
· Skopiuj plik client.pem na dysk flash USB.
· Skonfiguruj serwer HTTPS zapewniający dostęp do plików .opg lub .xml file jest ograniczone do klientów, którzy mogą dostarczyć wygenerowany powyżej certyfikat klienta X.509.
· Umieść kopię certyfikatu CA, który podpisał certyfikat serwera HTTP — ca-bundle.crt — na dysku flash USB z plikiem client.pem.
· Włóż dysk flash USB do urządzenia Opengear przed podłączeniem zasilania lub sieci.
· Kontynuuj procedurę od `Skopiuj zapisany plik .opg lub .xml file do publicznego katalogu na stronie a file serwer” powyżej przy użyciu protokołu HTTPS pomiędzy klientem a serwerem.
Przygotuj dysk USB i utwórz certyfikat X.509 oraz klucz prywatny
· Wygeneruj certyfikat CA, aby można było podpisać żądania podpisania certyfikatu (CSR) klienta i serwera.
# cp /etc/ssl/openssl.cnf . # mkdir -p npampleCA/newcerts # echo 00 > npampleCA/serial # echo 00 > npampleCA/crlnumber # dotknij exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=PrzykłampleCA # cp demoCA/cacert.pem ca-bundle.crt
Ta procedura generuje certyfikat o nazwie ExampleCA, ale można użyć dowolnej dozwolonej nazwy certyfikatu. Ponadto ta procedura wykorzystuje openssl ca. Jeśli Twoja organizacja posiada bezpieczny proces generowania urzędu certyfikacji obejmujący całe przedsiębiorstwo, należy go zamiast tego zastosować.
72

Instrukcja obsługi
· Wygeneruj certyfikat serwera.
# openssl genrsa -out serwer.klucz 4096 # openssl req -new -key serwer.klucz -out serwer.csr -subj /CN=demo.example.com # openssl ca -days 365 -in serwer.csr -out serwer.crt
-klawiszfile ca.key -policy policy_cokolwiek -batch -notext
UWAGA Nazwa hosta lub adres IP muszą być tym samym ciągiem znaków, który został użyty podczas udostępniania URL. w byłymample powyżej, nazwa hosta to demo.example.com.
· Wygeneruj certyfikat klienta.
# openssl genrsa -out klient.klucz 4096 # openssl req -new -key klient.klucz -out klient.csr -subj /CN=ExampleClient # openssl ca -days 365 -in klient.csr -out klient.crt
-klawiszfile ca.key -policy policy_anything -batch -notext # cat klient.klucz klient.crt > klient.pem
· Sformatuj dysk flash USB jako pojedynczy wolumin FAT32.
· Przenieś pliki client.pem i ca-bundle.crt files do katalogu głównego dysku flash.
Debugowanie problemów ZTP Użyj funkcji dziennika ZTP, aby debugować problemy ZTP. Gdy urządzenie próbuje wykonać operacje ZTP, informacje dziennika są zapisywane w pliku /tmp/ztp.log na urządzeniu.
Poniżej znajduje się byłyample dziennika file z udanego przebiegu ZTP.
# cat /tmp/ztp.log środa 13 grudnia 22:22:17 UTC 2017 [powiadomienie 5127] odhcp6c.eth0: przywracanie konfiguracji przez DHCP środa 13 grudnia 22:22:17 UTC 2017 [powiadomienie 5127] odhcp6c.eth0: oczekiwanie 10 s dla sieci do rozliczenia śr. 13 grudnia 22:22:27 UTC 2017 [5127 powiadomienie] odhcp6c.eth0: NTP pominięty: brak serwera śr. 13 grudnia 22:22:27 UTC 2017 [5127 informacji] odhcp6c.eth0: sprzedawcaspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' środa 13 grudnia 22:22:27 UTC 2017 [informacje o 5127] odhcp6c.eth0: sprzedawcaspec.2 (n/a) środa 13 grudnia 22:22:27 UTC 2017 [informacje o 5127] odhcp6c.eth0: specyfikacja dostawcy.3 (nie dotyczy) śro 13 grudnia 22:22:27 UTC 2017 [informacje o 5127] odhcp6c.eth0: specyfikacja dostawcy 4 (nie dotyczy) ) środa 13 grudnia 22:22:27 UTC 2017 [5127 informacji] odhcp6c.eth0: sprzedawcaspec.5 (nie dotyczy) środa 13 grudnia 22:22:28 UTC 2017 [5127 informacji] odhcp6c.eth0: sprzedawcaspec.6 (n /a) środa 13 grudnia 22:22:28 UTC 2017 [5127 informacji] odhcp6c.eth0: brak oprogramowania sprzętowego do pobrania (specyfikacja dostawcy 2) kopia zapasowa-url: próbuję http://[fd07:2218:1350:44::1]/tftpboot/config.sh … kopia zapasowa-url: wymuszanie trybu konfiguracji WAN na kopię zapasową DHCP-url: ustawienie nazwy hosta na acm7004-0013c601ce97 kopia zapasowa-url: ładowanie powiodło się śr. 13 grudnia 22:22:36 UTC 2017 [powiadomienie 5127] odhcp6c.eth0: pomyślne ładowanie konfiguracji środa 13 grudnia 22:22:36 UTC 2017 [informacje o 5127] odhcp6c.eth0: brak konfiguracji latarni morskiej (vendorspec.3/ 4/5/6) środa 13 grudnia 22:22:36 UTC 2017 [powiadomienie 5127] odhcp6c.eth0: udostępnianie zakończone, brak ponownego uruchamiania
W tym dzienniku zapisywane są błędy.
3.15 Zapisy do Latarni Morskiej
Użyj opcji Rejestracja w Lighthouse, aby zarejestrować urządzenia Opengear w instancji Lighthouse, zapewniając scentralizowany dostęp do portów konsoli i umożliwiając centralną konfigurację urządzeń Opengear.
Instrukcje dotyczące rejestrowania urządzeń Opengear w Lighthouse znajdziesz w Podręczniku użytkownika Lighthouse.
73

Rozdział 3: Port szeregowy, konfiguracja urządzenia i użytkownika
3.16 Włącz przekaźnik DHCPv4
Usługa przekaźnika DHCP przekazuje pakiety DHCP pomiędzy klientami a zdalnymi serwerami DHCP. Usługę przekaźnika DHCP można włączyć na serwerze konsoli Opengear, tak aby nasłuchiwał klientów DHCP na wyznaczonych dolnych interfejsach, zawijał i przesyłał ich wiadomości do serwerów DHCP przy użyciu normalnego routingu lub rozgłaszania bezpośrednio do wyznaczonych górnych interfejsów. Agent przekazujący DHCP odbiera zatem komunikaty DHCP i generuje nowy komunikat DHCP w celu wysłania go na inny interfejs. W poniższych krokach serwery konsoli mogą łączyć się z modemami Circuit-ID, Ethernet lub modemami komórkowymi przy użyciu usługi przekaźnika DHCPv4.
Przekaźnik DHCPv4 + Opcja DHCP 82 (identyfikator obwodu) Infrastruktura – Lokalny serwer DHCP, ACM7004-5 dla przekaźnika, inne urządzenia dla klientów. Jako przekaźnik może służyć dowolne urządzenie pełniące rolę sieci LAN. W tym egzample, 192.168.79.242 to adres przekazywanego interfejsu klienta (zgodnie z definicją w konfiguracji serwera DHCP file powyżej), a 192.168.79.244 to górny adres interfejsu skrzynki przekaźnikowej, a enp112s0 to dalszy interfejs serwera DHCP.
1 Infrastruktura – przekaźnik DHCPv4 + opcja DHCP 82 (identyfikator obwodu)
Kroki na serwerze DHCP 1. Skonfiguruj lokalny serwer DHCP v4, w szczególności powinien on zawierać wpis „host” dla klienta DHCP jak poniżej: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; identyfikator hosta opcja agent.circuit-id „relay1”; adres stały 192.168.79.242; } Uwaga: linia „hardware ethernet” została zakomentowana, dzięki czemu serwer DHCP skorzysta z ustawienia „circuit-id” w celu przypisania adresu odpowiedniemu klientowi. 2. Uruchom ponownie serwer DHCP, aby ponownie załadować zmienioną konfigurację file. pkill -HUP dhcpd
74

Instrukcja obsługi
3. Ręcznie dodaj trasę hosta do interfejsu „przekazującego” klienta (interfejs za przekaźnikiem DHCP, a nie inne interfejsy, które może posiadać klient:
sudo ip Route add 192.168.79.242/32 przez 192.168.79.244 dev enp112s0 Pomoże to uniknąć problemu z routingiem asymetrycznym, gdy klient i serwer DHCP chcą uzyskać do siebie nawzajem dostęp za pośrednictwem przekazywanego interfejsu klienta, gdy klient ma inne interfejsy w tym samym podsieć puli adresów DHCP.
Uwaga: ten krok jest niezbędny, aby serwer DHCP i klient mogli uzyskać wzajemny dostęp.
Stopnie w skrzynce przekaźników – ACM7004-5
1. Skonfiguruj sieć WAN/eth0 w trybie statycznym lub dhcp (nie w trybie nieskonfigurowanym). Jeśli jest w trybie statycznym, musi mieć adres IP w puli adresów serwera DHCP.
2. Zastosuj tę konfigurację poprzez CLI (gdzie 192.168.79.1 to adres serwera DHCP)
config -s config.services.dhcprelay.enabled=w config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Dolny interfejs przekaźnika DHCP musi mieć statyczny adres IP w puli adresów serwera DHCP. W tym egzample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Poczekaj chwilę, aż klient uzyska dzierżawę DHCP za pośrednictwem przekaźnika.
Kroki na kliencie (CM7116-2-dac w tym przykładzie).ample lub jakikolwiek inny OG CS)
1. Podłącz LAN/eth1 klienta do LAN/eth1 przekaźnika 2. Skonfiguruj sieć LAN klienta, aby uzyskać adres IP przez DHCP jak zwykle 3. Po podłączeniu

Dokumenty / Zasoby

Brama zdalna opengear ACM7000 [plik PDF] Instrukcja obsługi
Brama lokalizacji zdalnej ACM7000, ACM7000, Brama lokalizacji zdalnej, Brama lokalizacji, Brama

Odniesienia

Instrukcja obsługi

Brama zdalna opengear ACM7000

Informacje o produkcie

Instrukcje użytkowania produktu

Często zadawane pytania

Niniejsza instrukcja

Konfiguracja systemu

Konfiguracja portu szeregowego, hosta, urządzenia i użytkownika

Dokumenty / Zasoby

Odniesienia

Zostaw komentarz

Anuluj odpowiedź