Manual de utilizare opengear ACM7000 Remote Site Gateway

Nu conectați sau deconectați serverul consolei în timpul unei furtuni electrice. Utilizați întotdeauna un supresor de supratensiune sau UPS pentru a proteja echipamentul de tranzitorii.

Avertisment FCC:

Acest dispozitiv respectă partea 15 a regulilor FCC. Funcționarea acestui dispozitiv este supusă următoarelor condiții: (1) Acest dispozitiv nu poate cauza interferențe dăunătoare și (2) acest dispozitiv trebuie să accepte orice interferență care poate cauza o funcționare nedorită.

Întrebări frecvente

Î: Pot folosi ACM7000 Remote Site Gateway în timpul unei furtuni electrice?
- A: Nu, se recomandă să nu conectați sau să deconectați serverul consolei în timpul unei furtuni electrice pentru a preveni deteriorarea.

Î: Cu ce versiune a regulilor FCC respectă dispozitivul?
- A: Dispozitivul respectă partea 15 a regulilor FCC.

View Fullscreen

Manual de utilizare
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager Servere de consolă CM7100
Versiunea 5.0 – 2023-12

Siguranţă
Urmați măsurile de siguranță de mai jos atunci când instalați și utilizați serverul de consolă: · Nu îndepărtați capacele metalice. În interior nu există componente care să poată fi reparate de către operator. Deschiderea sau scoaterea capacului vă poate expune la un volum periculostage care poate provoca incendiu sau electrocutare. Adresați toate lucrările de service către personal calificat Opengear. · Pentru a evita șocurile electrice, conductorul de împământare de protecție a cablului de alimentare trebuie conectat la pământ. · Trageți întotdeauna de ștecher, nu de cablu, când deconectați cablul de alimentare de la priză.
Nu conectați sau deconectați serverul consolei în timpul unei furtuni electrice. Utilizați, de asemenea, un supresor de supratensiune sau UPS pentru a proteja echipamentul de tranzitorii.
Declarație de avertizare FCC
Acest dispozitiv respectă partea 15 a regulilor FCC. Operarea acestui dispozitiv este supusă următoarelor condiții
condiții: (1) Acest dispozitiv nu poate provoca interferențe dăunătoare și (2) acest dispozitiv trebuie să accepte orice interferență care poate cauza o funcționare nedorită.
Trebuie utilizate sisteme de rezervă adecvate și dispozitivele de siguranță necesare pentru a proteja împotriva rănilor, decesului sau daunelor materiale din cauza defecțiunii sistemului. O astfel de protecție este responsabilitatea utilizatorului. Acest dispozitiv server de consolă nu este aprobat pentru a fi utilizat ca sistem de susținere a vieții sau ca sistem medical. Orice modificări sau modificări aduse acestui dispozitiv server de consolă fără aprobarea sau consimțământul explicit al Opengear vor anula Opengear de orice răspundere sau responsabilitate pentru vătămare sau pierdere cauzată de orice defecțiune. Acest echipament este pentru utilizare în interior și toate cablurile de comunicare sunt limitate la interiorul clădirii.
2

Manual de utilizare
Drepturi de autor
©Opengear Inc. 2023. Toate drepturile rezervate. Informațiile din acest document pot fi modificate fără notificare și nu reprezintă un angajament din partea Opengear. Opengear furnizează acest document „ca atare”, fără garanții de niciun fel, exprese sau implicite, inclusiv, dar fără a se limita la, garanțiile implicite de adecvare sau vandabilitate pentru un anumit scop. Opengear poate aduce îmbunătățiri și/sau modificări în acest manual sau în produsul (produsele) și/sau programul (programele) descrise în acest manual în orice moment. Acest produs poate include inexactități tehnice sau erori tipografice. Se fac modificări periodice la informațiile de aici; aceste modificări pot fi încorporate în noile ediții ale publicației.\

Capitolul 1

Acest manual

ACEST MANUAL

Acest manual de utilizare explică instalarea, operarea și gestionarea serverelor de consolă Opengear. Acest manual presupune că sunteți familiarizat cu internetul și rețelele IP, HTTP, FTP, operațiunile de bază de securitate și rețeaua internă a organizației dumneavoastră.
1.1 Tipuri de utilizatori
Serverul de consolă acceptă două clase de utilizatori:
· Administratori care au privilegii nelimitate de configurare și gestionare asupra consolei
server și dispozitive conectate, precum și toate serviciile și porturile pentru a controla toate dispozitivele conectate în serie și dispozitivele conectate la rețea (gazde). Administratorii sunt configurați ca membri ai grupului de utilizatori admin. Un administrator poate accesa și controla serverul de consolă folosind utilitarul de configurare, linia de comandă Linux sau consola de management bazată pe browser.
· Utilizatori care au fost configurați de un administrator cu limite de acces și autoritate de control.
Utilizatorii au o limitare view al Consolei de management și poate accesa numai dispozitivele autorizate configurate și review jurnalele portului. Acești utilizatori sunt configurați ca membri ai unuia sau mai multor grupuri de utilizatori preconfigurate, cum ar fi PPTPD, dialin, FTP, pmshell, utilizatori sau grupuri de utilizatori pe care administratorul le-ar fi creat. Aceștia sunt autorizați doar să efectueze controale specificate pe anumite dispozitive conectate. Utilizatorii, atunci când sunt autorizați, pot accesa și controla dispozitivele seriale sau conectate la rețea folosind servicii specificate (de exemplu, Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Utilizatorii de la distanță sunt utilizatori care nu se află pe același segment LAN cu serverul de consolă. Un utilizator de la distanță poate fi pe drum, conectându-se la dispozitive gestionate prin internetul public, un administrator dintr-un alt birou care se conectează la serverul de consolă prin VPN-ul întreprinderii sau în aceeași cameră sau același birou, dar conectat pe un VLAN separat la consolă Server.
1.2 Consola de administrare
Consola de administrare Opengear vă permite să configurați și să monitorizați caracteristicile serverului dvs. de consolă Opengear. Consola de administrare rulează într-un browser și oferă o view a serverului de consolă și a tuturor dispozitivelor conectate. Administratorii pot utiliza Management Console pentru a configura și gestiona serverul consolei, utilizatorii, porturile, gazdele, dispozitivele de alimentare și jurnalele și alertele asociate. Utilizatorii non-administratori pot folosi Consola de management cu acces limitat la meniu pentru a controla anumite dispozitive, review jurnalele lor și accesați-le folosind sistemul încorporat Web Terminal.
Serverul de consolă rulează un sistem de operare Linux încorporat și poate fi configurat la linia de comandă. Puteți obține acces la linia de comandă prin telefon mobil/dial-in, conectându-vă direct la portul serial al consolei/modemului serverului de consolă sau utilizând SSH sau Telnet pentru a vă conecta la serverul consolei prin LAN (sau conectându-vă cu PPTP, IPsec sau OpenVPN) .
6

Manual de utilizare
Pentru comenzile interfeței de linie de comandă (CLI) și instrucțiunile avansate, descărcați Opengear CLI și Scripting Reference.pdf de la https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Mai multe informații
Pentru mai multe informații, consultați: · Opengear Products Web Site: Consultați https://opengear.com/products. Pentru a obține cele mai actualizate informații despre ceea ce este inclus cu serverul dvs. de consolă, vizitați secțiunea Ce este inclus pentru produsul dvs. · Ghid de pornire rapidă: Pentru a obține Ghidul de pornire rapidă pentru dispozitivul dvs., consultați https://opengear.com/support/documentation/. · Baza de cunoștințe Opengear: vizitați https://opengear.zendesk.com pentru a accesa articole tehnice, sfaturi tehnice, întrebări frecvente și notificări importante. · Opengear CLI și referință pentru scripting: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Capitolul 2:

Configurarea sistemului

CONFIGURATIA SISTEMULUI

Acest capitol oferă instrucțiuni pas cu pas pentru configurarea inițială a serverului de consolă și conectarea acestuia la LAN de management sau operațional. Pașii sunt:
Activați Consola de administrare. Schimbați parola de administrator. Setați portul LAN principal al serverului de consolă pentru adresa IP. Selectați serviciile de activat și privilegiile de acces. Acest capitol discută, de asemenea, instrumentele software de comunicații pe care un administrator le poate folosi pentru a accesa serverul de consolă și configurația porturilor LAN suplimentare.
2.1 Conexiune la Consola de administrare
Serverul dvs. de consolă este configurat cu o adresă IP implicită 192.168.0.1 și o mască de subrețea 255.255.255.0 pentru NET1 (WAN). Pentru configurarea inițială, vă recomandăm să conectați un computer direct la consolă. Dacă alegeți să vă conectați rețeaua LAN înainte de a finaliza pașii inițiali de configurare, asigurați-vă că:
· Nu există alte dispozitive pe LAN cu o adresă de 192.168.0.1. · Serverul de consolă și computerul sunt pe același segment LAN, fără router interpus
aparate.
2.1.1 Configurarea computerului conectat Pentru a configura serverul consolei cu un browser, computerul conectat trebuie să aibă o adresă IP în același interval ca și serverul consolei (de ex.ample, 192.168.0.100):
· Pentru a configura adresa IP a computerului dumneavoastră Linux sau Unix, rulați ifconfig. · Pentru PC-uri Windows:
1. Faceți clic pe Start > Setări > Panou de control și faceți dublu clic pe Conexiuni de rețea. 2. Faceți clic dreapta pe Local Area Connection și selectați Properties. 3. Selectați Internet Protocol (TCP/IP) și faceți clic pe Proprietăți. 4. Selectați Utilizați următoarea adresă IP și introduceți următoarele detalii:
o Adresă IP: 192.168.0.100 o Mască de subrețea: 255.255.255.0 5. Dacă doriți să păstrați setările IP existente pentru această conexiune de rețea, faceți clic pe Avansat și Adăugați cele de mai sus ca conexiune IP secundară.
2.1.2 Conexiune la browser
Deschideți un browser pe computerul/stația de lucru conectată și introduceți https://192.168.0.1.
Logheaza-te cu:
Nume utilizator> Parolă root> implicit
8

Manual de utilizare
Prima dată când vă conectați, vi se cere să schimbați parola de root. Faceți clic pe Trimiteți.
Pentru a finaliza modificarea, introduceți din nou noua parolă. Faceți clic pe Trimiteți. Apare ecranul de bun venit.
Dacă sistemul dvs. are un modem celular, vi se vor oferi pașii pentru a configura caracteristicile routerului celular: · Configurați conexiunea modemului celular (Sistem > pagina Apelare. Consultați Capitolul 4) · Permiteți redirecționarea către rețeaua de destinație celulară (Sistem > Pagina Firewall. Consultați Capitolul 4) · Activați mascarea IP pentru conexiunea celulară (pagina Sistem > Firewall. Consultați Capitolul 4)
După parcurgerea fiecăruia dintre pașii de mai sus, puteți reveni la lista de configurare făcând clic pe sigla Opengear din colțul din stânga sus al ecranului. NOTĂ Dacă nu vă puteți conecta la Consola de administrare la 192.168.0.1 sau dacă este implicit
Numele de utilizator/parola nu sunt acceptate, resetați serverul consolei (vezi capitolul 10).
9

Capitolul 2: Configurarea sistemului
2.2 Configurarea administratorului
2.2.1 Schimbarea parolei implicite de sistem root Vi se cere să schimbați parola root atunci când vă conectați pentru prima dată la dispozitiv. Puteți schimba această parolă în orice moment.
1. Faceți clic pe Serial și rețea > Utilizatori și grupuri sau, în ecranul de bun venit, faceți clic pe Modificare parola de administrare implicită.
2. Derulați în jos și găsiți intrarea utilizatorului rădăcină sub Utilizatori și faceți clic pe Editare. 3. Introduceți noua parolă în câmpurile Parolă și Confirmare.
NOTĂ Verificarea Salvare parolă între ștergerile firmware salvează parola, astfel încât aceasta să nu fie ștearsă atunci când firmware-ul este resetat. Dacă această parolă este pierdută, dispozitivul va trebui să fie recuperat de firmware.
4. Faceți clic pe Aplicare. Conectați-vă cu noua parolă 2.2.2 Configurați un nou administrator Creați un utilizator nou cu privilegii de administrare și conectați-vă ca acest utilizator pentru funcțiile de administrare, în loc să utilizați root.
10

Manual de utilizare
1. Faceți clic pe Serial & Network > Users & Groups. Derulați până în partea de jos a paginii și faceți clic pe butonul Adăugați utilizator.
2. Introduceți un nume de utilizator. 3. În secțiunea Grupuri, bifați caseta de administrare. 4. Introduceți o parolă în câmpurile Parolă și Confirmare.
5. De asemenea, puteți adăuga chei autorizate SSH și puteți alege să dezactivați autentificarea cu parolă pentru acest utilizator.
6. Opțiuni suplimentare pentru acest utilizator pot fi setate pe această pagină, inclusiv Opțiuni de apelare, Gazde accesibile, Porturi accesibile și Prize RPC accesibile.
7. Faceți clic pe butonul Aplicați din partea de jos a ecranului pentru a crea acest utilizator nou.
11

Capitolul 2: Configurarea sistemului
2.2.3 Adăugați numele sistemului, descrierea sistemului și MOTD. 1. Selectați Sistem > Administrare. 2. Introduceți un nume de sistem și o descriere a sistemului pentru serverul de consolă, pentru a-i oferi un ID unic și pentru a fi mai ușor de identificat. Numele sistemului poate conține de la 1 la 64 de caractere alfanumerice, iar caracterele speciale liniuță (_), minus (-) și punct (.). Descrierea sistemului poate conține până la 254 de caractere.
3. Bannerul MOTD poate fi folosit pentru a afișa utilizatorilor un text al mesajului zilei. Apare în partea din stânga sus a ecranului, sub sigla Opengear.
4. Faceţi clic pe Aplicare.
12

Capitolul 2: Configurarea sistemului
5. Selectați Sistem > Administrare. 6. Bannerul MOTD poate fi folosit pentru a afișa utilizatorilor un text al mesajului zilei. Apare pe
stânga sus a ecranului sub sigla Opengear. 7. Faceţi clic pe Aplicare.
2.3 Configurarea rețelei
Introduceți o adresă IP pentru portul principal Ethernet (LAN/Network/Network1) de pe serverul consolei sau activați clientul DHCP al acestuia să obțină automat o adresă IP de la un server DHCP. În mod implicit, serverul de consolă are clientul DHCP activat și acceptă automat orice adresă IP de rețea atribuită de un server DHCP din rețeaua dvs. În această stare inițială, serverul de consolă va răspunde atât la adresa sa statică implicită 192.168.0.1, cât și la adresa sa DHCP.
1. Faceți clic pe Sistem > IP și faceți clic pe fila Interfață de rețea. 2. Alegeți fie DHCP, fie Static pentru Metoda de configurare.
Dacă alegeți Static, introduceți Adresa IP, Masca de subrețea, Gateway și detaliile serverului DNS. Această selecție dezactivează clientul DHCP.
12

Manual de utilizare
3. Portul LAN al serverului de consolă detectează automat viteza conexiunii Ethernet. Utilizați lista verticală Media pentru a bloca Ethernet la 10 Mb/s sau 100 Mb/s și la Full Duplex sau Half Duplex.
Dacă întâmpinați pierderi de pachete sau performanțe slabe ale rețelei cu setarea Auto, modificați setările Ethernet Media de pe serverul de consolă și de dispozitivul la care este conectat. În cele mai multe cazuri, schimbați ambele la 100baseTx-FD (100 megabiți, full duplex).
4. Dacă selectați DHCP, serverul de consolă va căuta detalii de configurare de la un server DHCP. Această selecție dezactivează orice adresă statică. Adresa MAC a serverului consolei poate fi găsită pe o etichetă de pe placa de bază.
5. Puteți introduce o adresă secundară sau o listă de adrese separate prin virgulă în notație CIDR, de exemplu 192.168.1.1/24 ca Alias IP.
6. Faceți clic pe Aplicare 7. Reconectați browserul de pe computerul care este conectat la serverul de consolă introducând
http://your new IP address.
Dacă schimbați adresa IP a serverului de consolă, trebuie să reconfigurați computerul pentru a avea o adresă IP în același interval de rețea ca și noua adresă de server de consolă. Puteți seta MTU pe interfețele Ethernet. Aceasta este o opțiune avansată care trebuie utilizată dacă scenariul dvs. de implementare nu funcționează cu MTU implicit de 1500 de octeți. Pentru a seta MTU, faceți clic pe Sistem > IP și faceți clic pe fila Interfață de rețea. Derulați în jos la câmpul MTU și introduceți valoarea dorită. Valorile valide sunt de la 1280 la 1500 pentru interfețele de 100 megabiți și de la 1280 la 9100 pentru interfețele gigabit Dacă este configurată bridge-ul sau legătura, MTU-ul setat pe pagina Network Interface va fi setat pe interfețele care fac parte din bridge sau bond. . NOTĂ În unele cazuri, este posibil ca MTU-ul specificat de utilizator să nu aibă efect. Unele drivere NIC pot rotunji MTU-urile supradimensionate la valoarea maximă permisă, iar altele vor returna un cod de eroare. De asemenea, puteți utiliza o comandă CLI pentru a gestiona MTU Size: configure
# config -s config.interfaces.wan.mtu=1380 verifica
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider nici unul config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode config fără stat .interfaces.wan.media Auto config.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Capitolul 2: Configurarea sistemului
2.3.1 Configurare IPv6 Interfețele Ethernet ale serverului de consolă acceptă IPv4 în mod implicit. Ele pot fi configurate pentru funcționarea IPv6:
1. Faceți clic pe Sistem > IP. Faceți clic pe fila Setări generale și bifați Activați IPv6. Dacă doriți, faceți clic pe caseta de selectare Dezactivare IPv6 pentru celular.
2. Configurați parametrii IPv6 pe fiecare pagină de interfață. IPv6 poate fi configurat fie pentru modul automat, care va folosi SLAAC sau DHCPv6 pentru a configura adrese, rute și DNS, fie modul static, care permite introducerea manuală a informațiilor despre adresă.
2.3.2 Configurare Dynamic DNS (DDNS) Cu Dynamic DNS (DDNS), un server de consolă a cărui adresă IP este atribuită dinamic poate fi localizat folosind o gazdă fixă sau un nume de domeniu. Creați un cont la furnizorul de servicii DDNS acceptat ales de dvs. Când vă configurați contul DDNS, alegeți un nume de utilizator, o parolă și un nume de gazdă pe care le veți folosi ca nume DNS. Furnizorii de servicii DDNS vă permit să alegeți un nume de gazdă URL și setați o adresă IP inițială care să corespundă cu acel nume de gazdă URL.
14

Manual de utilizare
Pentru a activa și configura DDNS pe oricare dintre conexiunile Ethernet sau de rețea celulară de pe serverul consolei. 1. Faceți clic pe Sistem > IP și derulați în jos secțiunea DNS dinamic. Selectați furnizorul dvs. de servicii DDNS
din lista derulantă Dynamic DNS. De asemenea, puteți seta informațiile DDNS în fila Modem celular sub Sistem > Apelare.
2. În Nume de gazdă DDNS, introduceți numele de gazdă DNS complet calificat pentru serverul dvs. de consolă, de exemplu, numele dvs. de gazdă.dyndns.org.
3. Introduceți numele de utilizator DDNS și parola DDNS pentru contul furnizorului de servicii DDNS. 4. Specificați Intervalul maxim între actualizări în zile. O actualizare DDNS va fi trimisă chiar dacă
adresa nu s-a schimbat. 5. Specificați intervalul minim între verificări pentru adresele schimbate în secunde. Actualizările vor
fi trimis dacă adresa s-a schimbat. 6. Specificați numărul maxim de încercări per actualizare, care este numărul de ori pentru a încerca o actualizare
înainte de a renunța. Acesta este 3 în mod implicit. 7. Faceţi clic pe Aplicare.
15

Capitolul 2: Configurarea sistemului
2.3.3 Modul EAPoL pentru WAN, LAN și OOBFO
(OOBFO este aplicabil numai IM7216-2-24E-DAC)
Pesteview de EAPoL IEEE 802.1X sau PNAC (Port-based Network Access Control) utilizează caracteristicile de acces fizic ale infrastructurilor LAN IEEE 802 pentru a oferi un mijloc de autentificare și autorizare a dispozitivelor atașate la un port LAN care are punct-la- caracteristicile conexiunii punctului și de a împiedica accesul la acel port în cazurile în care autentificarea și autorizarea eșuează. Un port în acest context este un singur punct de atașare la infrastructura LAN.
Când un nou nod fără fir sau cu fir (WN) solicită acces la o resursă LAN, punctul de acces (AP) solicită identitatea WN-ului. Niciun alt trafic decât EAP nu este permis înainte ca WN-ul să fie autentificat („portul” este închis sau „neautentificat”). Nodul wireless care solicită autentificarea este adesea numit Supplicant, Supplicant-ul este responsabil pentru răspunsul la datele Authenticator care îi vor stabili acreditările. Același lucru este valabil și pentru punctul de acces; Autentificatorul nu este punctul de acces. Mai degrabă, punctul de acces conține un autentificator. Autentificatorul nu trebuie să fie în punctul de acces; poate fi o componentă externă. Sunt implementate următoarele metode de autentificare:
· Solicitant EAP-MD5 o Metoda EAP MD5-Challenge utilizează un nume de utilizator/parolă simplu
· EAP-PEAP-MD5 o EAP PEAP (EAP protejat) Metoda de autentificare MD5 utilizează acreditările utilizatorului și certificatul CA
· EAP-TLS o Metoda de autentificare EAP TLS (Transport Layer Security) necesită certificat CA, certificat client și o cheie privată.
Protocolul EAP, care este utilizat pentru autentificare, a fost utilizat inițial pentru PPP prin dial-up. Identitatea era numele de utilizator și autentificarea PAP sau CHAP a fost folosită pentru a verifica parola utilizatorului. Deoarece identitatea este trimisă în clar (nu criptată), un sniffer rău intenționat poate afla identitatea utilizatorului. Prin urmare, se folosește „ascunderea identității”; identitatea reală nu este trimisă înainte ca tunelul TLS criptat să fie deschis.
16

Manual de utilizare
După ce identitatea a fost trimisă, începe procesul de autentificare. Protocolul folosit între Solicitant și Autentificator este EAP (sau EAPoL). Autentificatorul reîncapsulează mesajele EAP în format RADIUS și le transmite serverului de autentificare. În timpul autentificării, Autentificatorul transmite pachete între Solicitant și Serverul de Autentificare. Când procesul de autentificare se încheie, serverul de autentificare trimite un mesaj de succes (sau eșec, dacă autentificarea a eșuat). Apoi, Autentificatorul deschide „portul” pentru Solicitant. Setările de autentificare pot fi accesate din pagina EAPoL Supplicant Settings. Starea EAPoL actuală este afișată în detaliu pe pagina Statistici de stare din fila EAPoL:
O abstractizare a EAPoL pe ROLurile de rețea este afișată în secțiunea „Connection Manager” din interfața Dashboard.
17

Capitolul 2: Configurarea sistemului
Mai jos este prezentat un exampcodul de autentificare cu succes:
Suport IEEE 802.1x (EAPOL) pe porturile de comutare ale IM7216-2-24E-DAC și ACM7004-5: Pentru a evita buclele, utilizatorii nu trebuie să conecteze mai mult de un port de comutare la același switch de nivel superior.
18

Manual de utilizare
2.4 Accesul la serviciu și protecția forței brute
Administratorul poate accesa serverul de consolă și porturile seriale conectate și dispozitivele gestionate folosind o serie de protocoale/servicii de acces. Pentru fiecare acces
· Serviciul trebuie mai întâi configurat și activat pentru a rula pe serverul de consolă. · Accesul prin firewall trebuie să fie activat pentru fiecare conexiune la rețea. Pentru a activa și configura un serviciu: 1. Faceți clic pe Sistem > Servicii și faceți clic pe fila Setări serviciu.

2. Activați și configurați serviciile de bază:

HTTP

În mod implicit, serviciul HTTP rulează și nu poate fi dezactivat complet. În mod implicit, accesul HTTP este dezactivat pe toate interfețele. Vă recomandăm ca acest acces să rămână dezactivat dacă serverul de consolă este accesat de la distanță prin Internet.
HTTP alternativ vă permite să configurați un port HTTP alternativ pentru a asculta. Serviciul HTTP va continua să asculte pe portul TCP 80 pentru comunicațiile CMS și conector, dar va fi inaccesibil prin firewall.

HTTPS

În mod implicit, serviciul HTTPS rulează și este activat pe toate interfețele de rețea. Se recomandă ca numai accesul HTTPS să fie utilizat dacă serverul de consolă urmează să fie gestionat prin orice rețea publică. Acest lucru asigură că administratorii au acces securizat prin browser la toate meniurile de pe serverul consolei. De asemenea, permite utilizatorilor configurați corespunzător accesul securizat al browserului la meniurile Gestionare selectate.
Serviciul HTTPS poate fi dezactivat sau reactivat prin verificarea HTTPS Web Management și un port alternativ specificat (portul implicit este 443).

Telnet

În mod implicit, serviciul Telnet rulează, dar este dezactivat pe toate interfețele de rețea.
Telnet poate fi folosit pentru a oferi unui administrator acces la linia de comandă a sistemului. Acest serviciu poate fi util pentru accesul administratorului local și al utilizatorului la consolele seriale selectate. Vă recomandăm să dezactivați acest serviciu dacă serverul de consolă este administrat de la distanță.
Caseta de selectare Enable Telnet command shell va activa sau dezactiva serviciul Telnet. Un port Telnet alternativ pentru ascultare poate fi specificat în Port Telnet alternativ (portul implicit este 23).

Capitolul 2: Configurarea sistemului

SSH

Acest serviciu oferă acces SSH securizat la serverul consolă și la dispozitivele atașate

iar în mod implicit serviciul SSH rulează și este activat pe toate interfețele. Este

vă recomandăm să alegeți SSH ca protocol la care se conectează un administrator

serverul consolei prin Internet sau orice altă rețea publică. Aceasta va oferi

comunicații autentificate între programul client SSH de pe telecomandă

computer și serverul SSH din serverul consolă. Pentru mai multe informații despre SSH

configurație Vezi Capitolul 8 – Autentificare.

Caseta de selectare Activare shell de comandă SSH va activa sau dezactiva acest serviciu. Un port SSH alternativ pentru ascultare poate fi specificat în portul shell de comandă SSH (portul implicit este 22).

3. Activați și configurați alte servicii:

TFTP/FTP Dacă pe un server de consolă este detectat un card flash USB sau un flash intern, bifarea Activare serviciu TFTP (FTP) activează acest serviciu și se configurează serverul tftp și ftp implicit pe flash-ul USB. Aceste servere sunt folosite pentru a stoca config files, menține jurnalele de acces și tranzacții etc. FileElementele transferate folosind tftp și ftp vor fi stocate în /var/mnt/storage.usb/tftpboot/ (sau /var/mnt/storage.nvlog/tftpboot/ pe dispozitivele din seria ACM7000). Debifarea Activare serviciu TFTP (FTP) va dezactiva serviciul TFTP (FTP).

Verificarea retransmiterii DNS Activați serverul/releul DNS activează caracteristica retransmitere DNS, astfel încât clienții să poată fi configurați cu IP-ul serverului de consolă pentru setarea serverului lor DNS, iar serverul de consolă va redirecționa interogările DNS către serverul DNS real.

Web Activare verificare terminal Web Terminalul permite web accesul browserului la linia de comandă a sistemului prin Manage > Terminal.

4. Specificați numere de porturi alternative pentru Raw TCP, Telnet/SSH direct și Telnet/SSH neautentificat. Serverul de consolă utilizează intervale specifice pentru porturile TCP/IP pentru diferitele accese
servicii pe care utilizatorii le pot folosi pentru a accesa dispozitivele atașate la porturile seriale (așa cum este descris în Capitolul 3 Configurarea porturilor seriale). Administratorul poate seta intervale alternative pentru aceste servicii, iar aceste porturi secundare vor fi folosite pe lângă valorile implicite.

Adresa implicită a portului de bază TCP/IP pentru accesul Telnet este 2000, iar intervalul pentru Telnet este Adresă IP: Port (2000 + numărul portului serial), adică 2001 2048. Dacă un administrator ar seta 8000 ca bază secundară pentru Telnet, serial portul #2 de pe serverul consolei poate fi accesat Telnet la IP
Adresă: 2002 și la adresa IP: 8002. Baza implicită pentru SSH este 3000; pentru Raw TCP este 4000; iar pentru RFC2217 este 5000

5. Alte servicii pot fi activate și configurate din acest meniu selectând Click aici pentru a configura:

Acces Nagios la demonii de monitorizare Nagios NRPE

PIULIŢĂ

Acces la demonul de monitorizare NUT UPS

SNMP Activează snmp pe serverul consolă. SNMP este dezactivat implicit

NTP

6. Faceţi clic pe Aplicare. Apare un mesaj de confirmare: Mesaj Modificări ale configurației reușite

Setările de acces la servicii pot fi setate pentru a permite sau bloca accesul. Aceasta specifică ce servicii activate pot folosi administratorii prin fiecare interfață de rețea pentru a se conecta la serverul consolă și prin serverul consolă la dispozitivele seriale și conectate la rețea atașate.

Manual de utilizare
1. Selectați fila Acces la servicii din pagina Sistem > Servicii.
2. Aceasta afișează serviciile activate pentru interfețele de rețea ale serverului de consolă. În funcție de modelul specific de server de consolă, interfețele afișate pot include: · Interfață de rețea (pentru conexiunea principală Ethernet) · Management LAN / OOB Failover (a doua conexiuni Ethernet) · Dialout/Cellular (modem V90 și 3G) · Dial-in (intern) sau modem V90 extern) · VPN (conexiune IPsec sau Open VPN prin orice interfață de rețea)
3. Verificați/debifați pentru fiecare rețea accesul la serviciu care urmează să fie activat/dezactivat. Opțiunile de acces la serviciu Răspuns la ICMP ecou (adică ping) care pot fi configurate la acest stage. Acest lucru permite serverului de consolă să răspundă la solicitările de ecou ICMP primite. Ping este activat în mod implicit. Pentru o securitate sporită, ar trebui să dezactivați acest serviciu când finalizați configurarea inițială. Puteți permite accesarea dispozitivelor cu port serial de la interfețele de rețea nominalizate folosind TCP brut, Telnet/SSH direct, servicii Telnet/SSH neautentificate etc.
4. Faceți clic pe Aplicare Web Setări de gestionare Caseta de selectare Activare HSTS activează securitatea strictă a transportului HTTP. Modul HSTS înseamnă că un antet StrictTransport-Security trebuie trimis prin transport HTTPS. Un conform web browser-ul își amintește acest antet și, atunci când i se cere să contacteze aceeași gazdă prin HTTP (plat), va comuta automat la
19

Capitolul 2: Configurarea sistemului
HTTPS înainte de a încerca HTTP, atâta timp cât browserul a accesat o dată site-ul securizat și a văzut antetul STS.
Protecție cu forță brută Protecția cu forță brută (Micro Fail2ban) blochează temporar IP-urile sursă care prezintă semne rău intenționate, cum ar fi prea multe erori de parolă. Acest lucru poate ajuta atunci când serviciile de rețea ale dispozitivului sunt expuse la o rețea neîncrezătoare, cum ar fi WAN-ul public, iar atacurile scriptate sau viermii software încearcă să ghicească (forță brută) acreditările utilizatorului și să obțină acces neautorizat.

Protecția forței brute poate fi activată pentru serviciile enumerate. În mod implicit, odată ce protecția este activată, 3 sau mai multe încercări eșuate de conectare în decurs de 60 de secunde de la o anumită sursă IP declanșează interzicerea conectării pentru o perioadă de timp configurabilă. Limita încercărilor și timeout-ul de interzicere pot fi personalizate. Interdicțiile active sunt de asemenea enumerate și pot fi reîmprospătate prin reîncărcarea paginii.

NOTA

Când rulați într-o rețea neîncrezătoare, luați în considerare utilizarea unei varietăți de strategii utilizate pentru a bloca accesul la distanță. Aceasta include autentificarea cu cheie publică SSH, VPN și regulile firewall
acces la distanță pe lista permisă numai din rețelele sursă de încredere. Consultați baza de cunoștințe Opengear pentru detalii.

2.5 Software de comunicații
Ați configurat protocoale de acces pentru ca clientul administrator să le folosească atunci când vă conectați la serverul de consolă. Clienții utilizatori folosesc, de asemenea, aceste protocoale atunci când accesează dispozitivele atașate în serie de server de consolă și gazdele atașate la rețea. Aveți nevoie de instrumente software de comunicații configurate pe computerul administratorului și al clientului utilizator. Pentru a vă conecta puteți utiliza instrumente precum PuTTY și SSHTerm.

Manual de utilizare
Conectorii disponibili comercial cuplează protocolul de tunel SSH de încredere cu instrumente de acces populare, cum ar fi Telnet, SSH, HTTP, HTTPS, VNC, RDP pentru a oferi acces securizat de gestionare de la distanță prin punct și clic la toate sistemele și dispozitivele gestionate. Informații despre utilizarea conectorilor pentru accesul prin browser la consola de administrare a serverului consolă, accesul Telnet/SSH la linia de comandă a serverului consolă și conectarea TCP/UDP la gazde care sunt conectate în rețea la serverul consolă pot fi găsite în Capitolul 5. Conectorii pot fi instalat pe PC-uri Windows, Mac OS X și pe majoritatea sistemelor Linux, UNIX și Solaris.
2.6 Configurarea rețelei de management
Serverele de consolă au porturi de rețea suplimentare care pot fi configurate pentru a oferi acces LAN de gestionare și/sau failover sau acces în afara bandă. 2.6.1 Activare Management LAN Console Serverele pot fi configurate astfel încât al doilea port Ethernet să ofere un gateway LAN de management. Gateway-ul are caracteristici de firewall, router și server DHCP. Trebuie să conectați un comutator LAN extern la Rețeaua 2 pentru a atașa gazde la acest LAN de gestionare:
NOTĂ Cel de-al doilea port Ethernet poate fi configurat fie ca port gateway LAN de gestionare, fie ca port OOB/Failover. Asigurați-vă că nu ați alocat NET2 ca interfață de failover atunci când ați configurat conexiunea principală de rețea în meniul System > IP.
21

Capitolul 2: Configurarea sistemului
Pentru a configura gateway-ul Management LAN: 1. Selectați fila Management LAN Interface din meniul System > IP și debifați Disable. 2. Configurați adresa IP și masca de subrețea pentru LAN de administrare. Lăsați câmpurile DNS necompletate. 3. Faceți clic pe Aplicare.
Funcția de gateway de administrare este activată cu firewall-ul implicit și regulile routerului configurate, astfel încât LAN-ul de administrare să fie accesibil numai prin redirecționarea portului SSH. Acest lucru asigură că conexiunile la distanță și locale la dispozitivele gestionate din LAN de gestionare sunt sigure. Porturile LAN pot fi, de asemenea, configurate în modul bridge sau legate sau configurate manual din linia de comandă. 2.6.2 Configurarea serverului DHCP Serverul DHCP permite distribuirea automată a adreselor IP către dispozitivele din LAN de administrare care rulează clienți DHCP. Pentru a activa serverul DHCP:
1. Faceți clic pe Sistem > Server DHCP. 2. În fila Interfață de rețea, bifați Activare server DHCP.
22

Manual de utilizare
3. Introduceți adresa Gateway care urmează să fie emisă clienților DHCP. Dacă acest câmp este lăsat necompletat, se utilizează adresa IP a serverului consolei.
4. Introduceți adresa DNS primar și DNS secundar pentru a emite clienții DHCP. Dacă acest câmp este lăsat necompletat, se folosește adresa IP a serverului consolei.
5. Opțional, introduceți un sufix de nume de domeniu pentru a emite clienți DHCP. 6. Introduceți Durata de închiriere implicită și Durata maximă de închiriere în secunde. Aceasta este perioada de timp
că o adresă IP alocată dinamic este validă înainte ca clientul să o solicite din nou. 7. Faceți clic pe Aplicare. Serverul DHCP emite adrese IP din grupurile de adrese specificate: 1. Faceți clic pe Adăugare în câmpul Pool-uri de alocare de adrese dinamice. 2. Introduceți Adresa de început a grupului DHCP și Adresa de final. 3. Faceți clic pe Aplicare.
23

Capitolul 2: Configurarea sistemului
Serverul DHCP acceptă, de asemenea, pre-alocarea adreselor IP pentru a fi alocate unor adrese MAC specifice și rezervarea adreselor IP pentru a fi utilizate de gazdele conectate cu adrese IP fixe. Pentru a rezerva o adresă IP pentru o anumită gazdă:
1. Faceți clic pe Adăugare în câmpul Adrese rezervate. 2. Introduceți numele de gazdă, adresa hardware (MAC) și adresa IP rezervată static pentru
clientul DHCP și faceți clic pe Aplicare.
Când DHCP a alocat adrese de gazdă, se recomandă să le copiați în lista prealocată, astfel încât aceeași adresă IP să fie realocată în cazul unei reporniri.
24

Manual de utilizare
2.6.3 Selectați failover sau serverele de consolă OOB în bandă largă oferă o opțiune de failover, astfel încât în cazul unei probleme la utilizarea conexiunii LAN principale pentru accesarea serverului de consolă este utilizată o cale de acces alternativă. Pentru a activa failoverul:
1. Selectați pagina Interfață de rețea din meniul System > IP 2. Selectați interfața de failover care va fi utilizată în cazul unuitage pe rețeaua principală.
3. Faceți clic pe Aplicare. Failover-ul devine activ după ce specificați site-urile externe de testat pentru a declanșa failover-ul și configurați porturile de failover.
2.6.4 Agregarea porturilor de rețea În mod implicit, porturile de rețea LAN de administrare ale serverului de consolă pot fi accesate utilizând tunelul SSH / redirecționarea portului sau prin stabilirea unui tunel VPN IPsec către serverul consolă. Toate porturile de rețea cu fir de pe serverele de consolă pot fi agregate prin conectare sau legare.
25

Manual de utilizare
· În mod implicit, agregarea interfeței este dezactivată în meniul System > IP > General Settings · Selectați Bridge Interfaces sau Bond Interfaces
o Când conectarea este activată, traficul de rețea este redirecționat prin toate porturile Ethernet fără restricții de firewall. Toate porturile Ethernet sunt conectate transparent la nivelul de legătură de date (nivelul 2), astfel încât să-și păstreze adresele MAC unice
o Cu legături, traficul de rețea este transportat între porturi, dar prezent cu o singură adresă MAC
Ambele moduri elimină toate funcțiile de interfață LAN de administrare și interfața Out-of-Band/Failover și dezactivează serverul DHCP · În modul de agregare, toate porturile Ethernet sunt configurate colectiv folosind meniul Interfață de rețea
25

Capitolul 2: Configurarea sistemului
2.6.5 Rute statice Rutele statice oferă o modalitate foarte rapidă de a direcționa datele de la o subrețea la o subrețea diferită. Puteți codifica o cale care îi spune serverului/routerului consolei să ajungă la o anumită subrețea folosind o anumită cale. Acest lucru poate fi util pentru accesarea diferitelor subrețele de la un site la distanță atunci când utilizați conexiunea OOB celulară.

Pentru a adăuga la ruta statică la tabelul de rute al sistemului:
1. Selectați fila Setări rută din meniul Sistem > Setări generale IP.
2. Faceți clic pe Rută nouă
3. Introduceți un nume de rută pentru traseu.
4. În câmpul Destination Network/Host, introduceți adresa IP a rețelei/gazdei de destinație la care ruta oferă acces.
5. Introduceți o valoare în câmpul Destination netmask care identifică rețeaua de destinație sau gazda. Orice număr între 0 și 32. O mască de subrețea de 32 identifică o rută gazdă.
6. Introduceți Route Gateway cu adresa IP a unui router care va direcționa pachetele către rețeaua de destinație. Acesta poate fi lăsat necompletat.
7. Selectați interfața de utilizat pentru a ajunge la destinație, poate fi lăsată ca Niciunul.
8. Introduceți o valoare în câmpul Metric care reprezintă metrica acestei conexiuni. Utilizați orice număr egal sau mai mare de 0. Acesta trebuie setat doar dacă două sau mai multe rute sunt în conflict sau au ținte care se suprapun.
9. Faceţi clic pe Aplicare.

NOTA

Pagina cu detalii despre rută oferă o listă de interfețe de rețea și modemuri la care poate fi legată o rută. În cazul unui modem, ruta va fi atașată la orice sesiune de dialup stabilită prin acel dispozitiv. O rută poate fi specificată cu un gateway, o interfață sau ambele. Dacă interfața specificată nu este activă, rutele configurate pentru acea interfață nu vor fi active.

Manual de utilizare 3. PORT SERIAL, GAZDA, DISPOZITIV ȘI CONFIGURARE UTILIZATOR
Serverul de consolă permite accesul și controlul dispozitivelor atașate în serie și dispozitivelor atașate la rețea (gazde). Administratorul trebuie să configureze privilegiile de acces pentru fiecare dintre aceste dispozitive și să specifice serviciile care pot fi utilizate pentru a controla dispozitivele. De asemenea, administratorul poate configura noi utilizatori și poate specifica privilegiile individuale de acces și control ale fiecărui utilizator.
Acest capitol acoperă fiecare dintre pașii de configurare a dispozitivelor conectate în rețea și atașate în serie: · Porturi seriale, configurarea protocoalelor utilizate pentru dispozitivele conectate în serie · Utilizatorii și grupurile, configurarea utilizatorilor și definirea permisiunilor de acces pentru fiecare dintre acești utilizatori · Autentificare, aceasta este tratată în mai multe detalii în Capitolul 8 · Gazde de rețea care configurează accesul la computere sau dispozitive conectate la rețeaua locală (gazde) · Configurarea rețelelor de încredere – nominalizați adrese IP de la care accesează utilizatorii de încredere · Cascada și redirecționarea porturilor de consolă serială · Conectarea la alimentare (UPS, PDU și IPMI) și dispozitive de monitorizare a mediului (EMD) · Redirecționarea portului serial utilizând ferestrele PortShare și clienții Linux · Dispozitive gestionate – prezintă o soluție consolidată view dintre toate conexiunile · IPSec care permite conexiunea VPN · OpenVPN · PPTP
3.1 Configurați porturi seriale
Primul pas în configurarea unui port serial este să setați setările comune, cum ar fi protocoalele și parametrii RS232 care urmează să fie utilizați pentru conexiunea de date la acel port (de exemplu, viteza de transmisie). Selectați în ce mod trebuie să opereze portul. Fiecare port poate fi setat să accepte unul dintre aceste moduri de operare:
· Modul dezactivat este implicit, portul serial este inactiv
27

Capitolul 3:

Port serial, gazdă, dispozitiv și configurație utilizator

· Modul server consolă permite accesul general la portul serial al consolei de pe dispozitivele atașate în serie
· Modul dispozitiv setează portul serial pentru a comunica cu o PDU, UPS sau dispozitive de monitorizare a mediului (EMD) controlate în serie inteligentă
· Modul Terminal Server setează portul serial să aștepte o sesiune de conectare la terminal. · Modul Serial Bridge permite interconectarea transparentă a două dispozitive cu port serial printr-un
reţea.
1. Selectați Serial & Network > Serial Port pentru a afișa detaliile portului serial 2. În mod implicit, fiecare port serial este setat în modul server Console. Faceți clic pe Editați lângă portul care urmează să fie
reconfigurat. Sau faceți clic pe Editare porturi multiple și selectați porturile pe care doriți să le configurați ca grup. 3. După ce ați reconfigurat setările comune și modul pentru fiecare port, configurați orice syslog la distanță (consultați secțiunile următoare pentru informații specifice). Faceți clic pe Aplicare 4. Dacă serverul de consolă a fost configurat cu monitorizarea Nagios distribuită activată, utilizați opțiunile Nagios Settings pentru a activa serviciile nominalizate pe gazdă care urmează să fie monitorizate 3.1.1 Setări comune Există o serie de setări comune care pot fi setate pentru fiecare serial port. Acestea sunt independente de modul în care este utilizat portul. Acești parametri portului serial trebuie setați astfel încât să se potrivească cu parametrii portului serial de pe dispozitivul pe care îl atașați la acel port:
28

Manual de utilizare

· Introduceți o etichetă pentru port · Selectați rata de transmisie, paritatea, biții de date, biții de oprire și controlul fluxului corespunzătoare pentru fiecare port

· Setați pinout-ul portului. Acest element de meniu apare pentru porturile IM7200, unde pin-out pentru fiecare port serial RJ45 poate fi setat ca X2 (Cisco Straight) sau X1 (Cisco Rolled)

· Setați modul DTR. Acest lucru vă permite să alegeți dacă DTR este întotdeauna afirmat sau doar atunci când există o sesiune de utilizator activă

· Înainte de a continua cu configurarea ulterioară a portului serial, trebuie să conectați porturile la dispozitivele seriale pe care le vor controla și să vă asigurați că au setări corespunzătoare

3.1.2

Modul server consolă
Selectați Mod server consolă pentru a activa accesul de gestionare de la distanță la consola serial atașată la acest port serial:

Nivel de înregistrare Acesta specifică nivelul de informații care trebuie înregistrate și monitorizate.
29

Capitolul 3: Port serial, gazdă, dispozitiv și configurație utilizator
Nivelul 0: Dezactivați înregistrarea în jurnal (implicit)
Nivelul 1: Înregistrați evenimentele LOGIN, LOGOUT și SIGNAL
Nivelul 2: Înregistrați evenimentele LOGIN, LOGOUT, SIGNAL, TXDATA și RXDATA
Nivelul 3: Înregistrați evenimentele LOGIN, LOGOUT, SIGNAL și RXDATA
Nivelul 4: Înregistrați evenimentele LOGIN, LOGOUT, SIGNAL și TXDATA
Intrarea/RXDATA sunt date primite de dispozitivul Opengear de la dispozitivul serial conectat, iar ieșirea/TXDATA sunt date trimise de dispozitivul Opengear (de exemplu, tastate de utilizator) către dispozitivul serial conectat.
Consolele dispozitivelor răsună de obicei caractere înapoi pe măsură ce sunt tastate, astfel încât TXDATA tastat de un utilizator este ulterior primit ca RXDATA, afișat pe terminalul lor.
NOTĂ: După ce solicită o parolă, dispozitivul conectat trimite caractere * pentru a preveni afișarea parolei.

Telnet Când serviciul Telnet este activat pe serverul de consolă, un client Telnet de pe computerul unui utilizator se poate conecta la un dispozitiv serial atașat la acest port serial de pe serverul de consolă. Deoarece comunicațiile Telnet sunt necriptate, acest protocol este recomandat doar pentru conexiunile locale sau VPN tunelizate.
Dacă comunicațiile de la distanță sunt tunelizate cu un conector, Telnet poate fi utilizat pentru a accesa în siguranță aceste dispozitive atașate.

NOTA

În modul server consolă, utilizatorii pot folosi un conector pentru a configura conexiuni Telnet securizate care sunt tunelizate SSH de la computerele lor client la portul serial de pe serverul consolă. Conectorii pot fi instalați pe computerele Windows și pe majoritatea platformelor Linux și permite selectarea conexiunilor Telnet securizate prin punctare și clic.

Pentru a utiliza un conector pentru a accesa console de pe porturile seriale ale serverului de consolă, configurați conectorul cu serverul de consolă ca gateway și ca gazdă și activați serviciul Telnet pe Port (2000 + numărul portului serial), adică 2001.

De asemenea, puteți utiliza pachete de comunicații standard precum PuTTY pentru a seta o conexiune Telnet directă sau SSH la porturile seriale.

NOTĂ În modul server consolă, când vă conectați la un port serial, vă conectați prin pmshell. Pentru a genera o întrerupere pe portul serial, tastați secvența de caractere ~b. Dacă faceți acest lucru prin OpenSSH, tastați ~~b.

SSH

Este recomandat să utilizați SSH ca protocol atunci când utilizatorii se conectează la serverul de consolă

(sau conectați-vă prin serverul de consolă la consolele seriale atașate) prin Internet sau oricare

altă rețea publică.

Pentru accesul SSH la console de pe dispozitivele atașate la porturile seriale ale serverului de consolă, puteți utiliza un conector. Configurați conectorul cu serverul de consolă ca gateway și ca gazdă și activați serviciul SSH pe Port (3000 + port serial #), adică 3001-3048.

Puteți utiliza, de asemenea, pachete de comunicații obișnuite, cum ar fi PuTTY sau SSHTerm la SSH conectați la adresa de port Adresa IP _ Port (3000 + numărul portului serial), adică 3001

Conexiunile SSH pot fi configurate folosind portul SSH standard 22. Portul serial care este accesat este identificat prin adăugarea unui descriptor la numele de utilizator. Această sintaxă acceptă:

Manual de utilizare
: : Pentru ca un utilizator numit chris să acceseze portul serial 2, atunci când configurează clientul SSHTerm sau PuTTY SSH, în loc să tastați username = chris și ssh port = 3002, alternativ este să tastați username = chris:port02 (sau username = chris: ttyS1) și ssh port = 22. Sau tastând username=chris:serial și ssh port = 22, utilizatorului i se prezintă o opțiune de selecție a portului:

Această sintaxă permite utilizatorilor să configureze tuneluri SSH către toate porturile seriale cu un singur port IP 22 care trebuie deschis în firewall/gateway-ul lor
NOTĂ În modul server consolă, vă conectați la un port serial prin pmshell. Pentru a genera o întrerupere pe portul serial, tastați secvența de caractere ~b. Dacă faceți acest lucru prin OpenSSH, tastați ~~b.

TCP

RAW TCP permite conexiuni la un socket TCP. În timp ce programele de comunicații precum PuTTY

acceptă, de asemenea, RAW TCP, acest protocol este utilizat de obicei de o aplicație personalizată

Pentru RAW TCP, adresa implicită a portului este IP Address _ Port (4000 + port serial #), adică 4001 4048

RAW TCP permite, de asemenea, ca portul serial să fie conectat la un server de consolă la distanță, astfel încât două dispozitive cu port serial se pot interconecta în mod transparent printr-o rețea (a se vedea capitolul 3.1.6 Conectarea serială)

RFC2217 Selectarea RFC2217 permite redirecționarea portului serial pe acel port. Pentru RFC2217, adresa implicită a portului este IP Address _ Port (5000 + port serial #), adică 5001 5048
Software-ul client special este disponibil pentru Windows UNIX și Linux care acceptă porturile virtuale COM RFC2217, astfel încât o gazdă la distanță poate monitoriza și gestiona dispozitivele atașate în serie la distanță ca și cum acestea ar fi conectate la portul serial local (consultați capitolul 3.6 Redirecționarea portului serial pentru detalii)
RFC2217 permite, de asemenea, ca portul serial să fie conectat la un server de consolă la distanță, astfel încât două dispozitive cu port serial se pot interconecta în mod transparent printr-o rețea (a se vedea capitolul 3.1.6 Conectarea serială)

Telnet neautentificat Acest lucru permite accesul Telnet la portul serial fără acreditări de autentificare. Când un utilizator accesează serverul de consolă la Telnet la un port serial, i se oferă o solicitare de conectare. Cu Telnet neautentificat, se conectează direct la port, fără nicio provocare de conectare la serverul consolei. Dacă un client Telnet solicită autentificare, orice date introduse permite conectarea.

Capitolul 3: Port serial, gazdă, dispozitiv și configurație utilizator
Acest mod este utilizat cu un sistem extern (cum ar fi conservatorul) care gestionează autentificarea utilizatorului și privilegiile de acces la nivel de dispozitiv serial.
Conectarea la un dispozitiv conectat la serverul de consolă poate necesita autentificare.
Pentru Telnet neautentificat, adresa implicită a portului este IP Address _ Port (6000 + port serial #), adică 6001 6048

SSH neautentificat Acest lucru permite accesul SSH la portul serial fără acreditări de autentificare. Când un utilizator accesează serverul de consolă la Telnet la un port serial, i se oferă o solicitare de conectare. Cu SSH neautentificat, se conectează direct la port, fără nicio provocare de conectare la serverul consolei.
Acest mod este utilizat atunci când aveți un alt sistem care gestionează autentificarea utilizatorului și privilegiile de acces la nivel de dispozitiv serial, dar doriți să criptați sesiunea în rețea.
Conectarea la un dispozitiv conectat la serverul de consolă poate necesita autentificare.
Pentru Telnet neautentificat, adresa implicită a portului este IP Address _ Port (7000 + port serial #), adică 7001 7048
The : metoda de acces la port (așa cum este descrisă în secțiunea SSH de mai sus) necesită întotdeauna autentificare.

Web Terminal Aceasta permite web accesul browserului la portul serial prin Gestionare > Dispozitive: Serial utilizând terminalul AJAX încorporat al consolei de administrare. Web Terminalul se conectează ca utilizator a Consolei de management autentificat în prezent și nu se reautentifică. Consultați secțiunea 12.3 pentru mai multe detalii.

Alias IP

Activați accesul la portul serial utilizând o anumită adresă IP, specificată în format CIDR. Fiecărui port serial i se pot atribui unul sau mai multe alias-uri IP, configurate pe o interfață de rețea. Un port serial poate, de example, să fie făcute accesibile atât la 192.168.0.148 (ca parte a rețelei interne) cât și la 10.10.10.148 (ca parte a rețelei LAN de management). De asemenea, este posibil să faceți disponibil un port serial pe două adrese IP din aceeași rețea (de example, 192.168.0.148 si 192.168.0.248).

Aceste adrese IP pot fi folosite doar pentru a accesa portul serial specific, accesibil folosind numerele de port TCP protocol standard ale serviciilor serverului de consolă. De example, SSH pe portul serial 3 ar fi accesibil pe portul 22 al unui alias IP de port serial (în timp ce pe adresa principală a serverului de consolă este disponibil pe portul 2003).

Această caracteristică poate fi configurată și prin intermediul paginii de editare cu porturi multiple. În acest caz, adresele IP sunt aplicate secvenţial, primul port selectat primind IP-ul introdus, iar cele ulterioare crescând, numerele fiind omise pentru orice porturi neselectate. De exampdacă sunt selectate porturile 2, 3 și 5 și este introdus aliasul IP 10.0.0.1/24 pentru interfața de rețea, sunt atribuite următoarele adrese:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

Aliasurile IP acceptă și adrese de alias IPv6. Singura diferență este că adresele sunt numere hexazecimale, astfel încât portul 10 poate corespunde unei adrese care se termină în A și 11 cu una care se termină în B, mai degrabă decât 10 sau 11 conform IPv4.

Manual de utilizare
Criptare trafic / Autentificare Activați criptarea trivială și autentificarea comunicațiilor seriale RFC2217 utilizând Portshare (pentru criptare puternică, utilizați VPN).
Perioada de acumulare Odată ce o conexiune a fost stabilită pentru un anumit port serial (cum ar fi o redirecționare RFC2217 sau o conexiune Telnet la un computer la distanță), orice caractere primite pe acel port sunt redirecționate prin rețea caracter cu caracter. Perioada de acumulare specifică o perioadă de timp în care caracterele primite sunt colectate înainte de a fi trimise ca pachet prin rețea
Caracter de evacuare Schimbați caracterul utilizat pentru trimiterea caracterelor de evacuare. Valoarea implicită este ~. Înlocuire Backspace Înlocuiți valoarea implicită Backspace a CTRL+? (127) cu CTRL+h (8). Meniul de alimentare Comanda pentru a afișa meniul de alimentare este ~p și activează comanda de alimentare shell, astfel încât a
utilizatorul poate controla conexiunea de alimentare la un dispozitiv gestionat din linia de comandă atunci când este conectat Telnet sau SSH la dispozitiv. Dispozitivul gestionat trebuie configurat atât cu conexiunea la portul serial, cât și cu conexiunea de alimentare.
Conexiune unică Acest lucru limitează portul la o singură conexiune, astfel încât, dacă mai mulți utilizatori au privilegii de acces pentru un anumit port, doar un utilizator poate accesa acel port (adică istoria portului nu este permisă).
33

Capitolul 3: Port serial, gazdă, dispozitiv și configurație utilizator
3.1.3 Modul dispozitiv (RPC, UPS, mediu) Acest mod configurează portul serial selectat pentru a comunica cu o sursă de alimentare neîntreruptibilă (UPS) controlată în serie, un controler de alimentare la distanță/unități de distribuție a energiei (RPC) sau un dispozitiv de monitorizare a mediului (de mediu)

1. Selectați tipul de dispozitiv dorit (UPS, RPC sau mediu)
2. Treceți la pagina de configurare a dispozitivului corespunzătoare (Serial & Network > UPS Connections, RPC Connection sau Environment) așa cum este detaliat în Capitolul 7.

3.1.4 ·

Modul server terminal
Selectați Modul Server Terminal și Tipul Terminalului (vt220, vt102, vt100, Linux sau ANSI) pentru a activa un getty pe portul serial selectat

Getty configurează portul și așteaptă realizarea unei conexiuni. O conexiune activă pe un dispozitiv serial este indicată de pinul de detectare a suportului de date (DCD) ridicat de pe dispozitivul serial. Când este detectată o conexiune, programul getty emite un prompt de conectare: și invocă programul de conectare pentru a gestiona autentificarea sistemului.
NOTĂ Selectarea modului Terminal Server dezactivează Port Manager pentru acel port serial, astfel încât datele nu mai sunt înregistrate pentru alerte etc.

Manual de utilizare
3.1.5 Modul serial Bridging Cu serial bridging, datele seriale de pe un port serial nominalizat pe un server de consolă sunt încapsulate în pachete de rețea și transportate printr-o rețea la un al doilea server de consolă unde sunt reprezentate ca date seriale. Cele două servere de consolă acționează ca un cablu serial virtual printr-o rețea IP. Un server de consolă este configurat să fie Server. Portul serial al serverului care trebuie conectat este setat în modul server consolă cu RFC2217 sau RAW activat. Pentru serverul consolei client, portul serial care trebuie conectat trebuie să fie setat în modul Bridging:
· Selectați Serial Bridging Mode și specificați adresa IP a serverului consolei Server și adresa portului TCP a portului serial la distanță (pentru conectarea RFC2217 aceasta va fi 5001-5048)
· În mod implicit, clientul de legătură utilizează RAW TCP. Selectați RFC2217 dacă acesta este modul server de consolă pe care l-ați specificat pe serverul de consolă
· Puteți securiza comunicațiile prin Ethernet local activând SSH. Generați și încărcați chei.
3.1.6 Syslog Pe lângă înregistrarea și monitorizarea încorporate care pot fi aplicate acceselor de gestionare atașate la serial și la rețea, așa cum este descris în Capitolul 6, serverul de consolă poate fi, de asemenea, configurat pentru a suporta protocolul syslog la distanță pe un port serial. bază:
· Selectați câmpurile Syslog Facility/Priority pentru a activa înregistrarea traficului pe portul serial selectat către un server Syslog; și pentru a sorta și acționa asupra acelor mesaje înregistrate (adică le redirecționează / trimite e-mail de alertă.)
35

Capitolul 3: Port serial, dispozitiv și configurație utilizator
De exampdacă computerul atașat la portul serial 3 nu ar trebui să trimită niciodată nimic pe portul său de consolă serial, administratorul poate seta Facilitatea pentru acel port la local0 (local0 .. local7 sunt destinate valorilor locale ale site-ului), iar Prioritatea la critic . La această prioritate, dacă serverul syslog al serverului de consolă primește un mesaj, acesta atrage o alertă. Vezi Capitolul 6. 3.1.7 Streaming NMEA ACM7000-L poate furniza transmisie de date GPS NMEA de la modemul GPS/celular intern. Acest flux de date se prezintă ca un flux de date serial pe portul 5 pe modelele ACM.
Setările comune (viteza de transmisie etc.) sunt ignorate la configurarea portului serial NMEA. Puteți specifica Frecvența de fixare (adică această rată de fixare GPS determină cât de des sunt obținute corecțiile GPS). De asemenea, puteți aplica toate setările Mod Console Server, Syslog și Serial Bridging la acest port.
Puteți folosi pmshell, webshell, SSH, RFC2217 sau RawTCP pentru a ajunge la flux:
De example, folosind Web Terminal:
36

Manual de utilizare

3.1.8 Console USB
Serverele de consolă cu porturi USB acceptă conexiuni de consolă USB la dispozitive de la o gamă largă de furnizori, inclusiv Cisco, HP, Dell și Brocade. Aceste porturi USB pot funcționa și ca porturi seriale simple RS-232 atunci când este conectat un adaptor USB la serial.

Aceste porturi USB sunt disponibile ca porturi de portmanager obișnuite și sunt prezentate numeric în web UI după toate porturile seriale RJ45.

ACM7008-2 are opt porturi seriale RJ45 în partea din spate a serverului de consolă și patru porturi USB în față. În Serial & Network > Serial Port, acestea sunt listate ca

Port # Conector

RJ45

USB

10 USB

11 USB

12 USB

Dacă respectivul ACM7008-2 este un model celular, portul #13 — pentru GPS — va fi de asemenea afișat.

7216-24U are 16 porturi seriale RJ45 și 24 porturi USB pe partea din spate, precum și două porturi USB frontale și (în modelul celular) un GPS.

Porturile seriale RJ45 sunt prezentate în Serial & Network > Serial Port ca numere de porturi 1. Cele 16 de porturi USB din spate au numerele de porturi 24, iar porturile USB din față sunt listate la numerele de porturi 17 și, respectiv, 40. Și, ca și în cazul ACM41-42, dacă 7008-2U este un model celular, GPS-ul este prezentat la portul numărul 7216.

Setările obișnuite (viteza de transmisie etc.) sunt utilizate la configurarea porturilor, dar este posibil ca unele operațiuni să nu funcționeze, în funcție de implementarea cipul serial USB subiacent.

3.2 Adăugați și editați utilizatori
Administratorul folosește această selecție de meniu pentru a crea, edita și șterge utilizatori și pentru a defini permisiunile de acces pentru fiecare dintre acești utilizatori.

Capitolul 3: Port serial, dispozitiv și configurație utilizator

Utilizatorii pot fi autorizați să acceseze anumite servicii, porturi seriale, dispozitive de alimentare și gazde specificate atașate la rețea. Acești utilizatori pot primi, de asemenea, statutul de administrator complet (cu privilegii complete de configurare și gestionare și acces).

Utilizatorii pot fi adăugați în grupuri. Șase grupuri sunt configurate implicit:

admin

Oferă privilegii nelimitate de configurare și gestionare.

pptpd

Permite accesul la serverul PPTP VPN. Utilizatorii din acest grup au parola stocată în text clar.

dialin

Permite accesul prin apelare prin modemuri. Utilizatorii din acest grup au parola stocată în text clar.

ftp

Permite accesul ftp și file acces la dispozitivele de stocare.

pmshell

Setează shell implicit la pmshell.

utilizatorii

Oferă utilizatorilor privilegii de administrare de bază.

Grupul de administrare oferă membrilor privilegii complete de administrator. Utilizatorul administrator poate accesa serverul de consolă utilizând oricare dintre serviciile care au fost activate în Sistem > Servicii. De asemenea, pot accesa oricare dintre Gazdele conectate sau dispozitivele cu port serial folosind oricare dintre serviciile care au fost activate pentru aceste conexiuni. Doar utilizatorii de încredere ar trebui să aibă acces de administrator
Grupul de utilizatori oferă membrilor acces limitat la serverul consolă și la gazdele și dispozitivele seriale conectate. Acești utilizatori pot accesa doar secțiunea Management din meniul Consolei de administrare și nu au acces pe linia de comandă la serverul consolei. Aceștia pot accesa doar acele gazde și dispozitive seriale care au fost verificate pentru ele, folosind serviciile care au fost activate
Utilizatorii din grupurile pptd, dialin, ftp sau pmshell au acces restricționat la dispozitivele gestionate nominalizate, dar nu vor avea acces direct la serverul consolei. Pentru a adăuga acest lucru, utilizatorii trebuie să fie, de asemenea, membri ai utilizatorilor sau ai grupurilor de administratori
Administratorul poate configura grupuri suplimentare cu anumite permisiuni de acces pentru dispozitive de alimentare, port serial și gazdă. Utilizatorii din aceste grupuri suplimentare nu au acces la meniul Consolei de administrare și nici nu au acces la linia de comandă la serverul consolei.

Manual de utilizare
Administratorul poate configura utilizatori cu anumite permisiuni de acces pentru dispozitive de alimentare, port serial și gazdă care nu sunt membri ai niciunui grup. Acești utilizatori nu au acces la meniul Consolei de administrare și nici acces la linia de comandă la serverul consolei. 3.2.1 Configurarea unui grup nou Pentru a configura noi grupuri și utilizatori noi și pentru a clasifica utilizatorii ca membri ai unor anumite grupuri:
1. Selectați Serial & Network > Users & Groups pentru a afișa toate grupurile și utilizatorii 2. Faceți clic pe Add Group pentru a adăuga un nou grup
3. Adăugați un nume de grup și o descriere pentru fiecare grup nou și nominalizați gazdele accesibile, porturile accesibile și prizele RPC accesibile pe care utilizatorii din acest grup nou le vor putea accesa
4. Faceți clic pe Aplicare 5. Administratorul poate edita sau șterge orice grup adăugat 3.2.2 Configurați utilizatori noi Pentru a configura utilizatori noi și pentru a clasifica utilizatorii ca membri ai anumitor grupuri: 1. Selectați Serial și rețea > Utilizatori și grupuri pentru a afișa toate grupurile și utilizatorii 2. Faceți clic pe Adăugare utilizator
39

Capitolul 3: Port serial, dispozitiv și configurație utilizator
3. Adăugați un nume de utilizator pentru fiecare utilizator nou. De asemenea, puteți include informații legate de utilizator (de exemplu, detalii de contact) în câmpul Descriere. Numele de utilizator poate conține de la 1 la 127 de caractere alfanumerice și caracterele „-” „_” și „.”.
4. Specificați în ce grupuri doriți ca utilizatorul să fie membru 5. Adăugați o parolă confirmată pentru fiecare utilizator nou. Toate caracterele sunt permise. 6. Poate fi utilizată autentificarea cu cheie de acces SSH. Lipiți cheile publice ale publicului/privatului autorizat
perechi de chei pentru acest utilizator în câmpul Chei SSH autorizate 7. Bifați Disable Password Authentication pentru a permite numai autentificarea cu chei publice pentru acest utilizator
când utilizați SSH 8. Bifați Enable Dial-Back în meniul Dial-in Options pentru a permite o conexiune de ieșire de dial-back
pentru a fi declanșat prin conectarea la acest port. Introduceți numărul de telefon de apelare inversă cu numărul de telefon pe care să îl apelați înapoi când utilizatorul se conectează 9. Bifați Gazde accesibile și/sau porturi accesibile pentru a desemna porturile seriale și gazdele conectate la rețea la care doriți ca utilizatorul să aibă privilegii de acces 10. Dacă există RPC-uri configurate, bifați Prize RPC accesibile pentru a specifica ce prize poate controla utilizatorul (adică Pornire/Oprire) 11. Faceți clic pe Aplicare. Noul utilizator va putea accesa Dispozitivele de Rețea, Porturile și Prizele RPC accesibile. Dacă utilizatorul este membru al grupului, acesta poate accesa și orice alt dispozitiv/port/priză accesibil grupului
40

Manual de utilizare
Nu există limite privind numărul de utilizatori pe care îi puteți configura sau numărul de utilizatori per port serial sau gazdă. Mai mulți utilizatori pot controla/monitoriza un singur port sau gazdă. Nu există limite privind numărul de grupuri și fiecare utilizator poate fi membru al unui număr de grupuri. Un utilizator nu trebuie să fie membru al niciunui grup, dar dacă utilizatorul este membru al grupului de utilizatori implicit, nu va putea folosi Consola de administrare pentru a gestiona porturile. Deși nu există limite, timpul de reconfigurare crește pe măsură ce numărul și complexitatea crește. Vă recomandăm ca numărul total de utilizatori și grupuri să fie menținut sub 250. Administratorul poate, de asemenea, edita setările de acces pentru orice utilizator existent:
· Selectați Serial și rețea > Utilizatori și grupuri și faceți clic pe Editare pentru a modifica privilegiile de acces ale utilizatorului. · Faceți clic pe Ștergere pentru a elimina utilizatorul. · Faceți clic pe Dezactivare pentru a bloca temporar privilegiile de acces
3.3 Autentificare
Consultați Capitolul 8 pentru detalii de configurare a autentificării.
3.4 Gazde de rețea
Pentru a monitoriza și a accesa de la distanță un computer sau un dispozitiv din rețea locală (numit Gazdă), trebuie să identificați Gazda:
1. Selectarea Serial & Network > Network Hosts prezintă toate gazdele conectate la rețea care au fost activate pentru utilizare.
2. Faceți clic pe Adăugare gazdă pentru a activa accesul la o gazdă nouă (sau selectați Editare pentru a actualiza setările pentru gazdă existentă)
41

Capitolul 3: Port serial, dispozitiv și configurație utilizator
3. Dacă gazda este un dispozitiv de alimentare PDU sau UPS sau un server cu control al alimentării IPMI, specificați RPC (pentru IPMI și PDU) sau UPS și Tipul dispozitivului. Administratorul poate configura aceste dispozitive și poate activa utilizatorii care au permisiunea de a deconecta alimentarea de la distanță etc. Consultați Capitolul 7. În caz contrar, lăsați Tipul dispozitivului setat la Niciunul.
4. Dacă serverul de consolă a fost configurat cu monitorizarea Nagios distribuită activată, veți vedea, de asemenea, opțiunile Nagios Settings pentru a activa serviciile nominalizate pe gazdă care urmează să fie monitorizate.
5. Faceți clic pe Aplicare. Aceasta creează noua gazdă și, de asemenea, se creează un nou dispozitiv gestionat cu același nume.
3.5 Rețele de încredere
Facilitatea Trusted Networks vă oferă opțiunea de a nominaliza adrese IP la care utilizatorii trebuie să fie localizați, pentru a avea acces la porturile seriale ale serverului de consolă:
42

Manual de utilizare
1. Selectați Serial & Network > Trusted Networks 2. Pentru a adăuga o nouă rețea de încredere, selectați Add Rule. În absența regulilor, nu există acces
limitări cu privire la adresa IP la care pot fi localizați utilizatorii.

3. Selectați porturile accesibile cărora urmează să se aplice noua regulă
4. Introduceți Adresa de rețea a subrețelei pentru care i se va permite accesul
5. Specificați intervalul de adrese care vor fi permise introducând o mască de rețea pentru intervalul IP permis, de ex.
· Pentru a permite tuturor utilizatorilor aflați cu o anumită conexiune de rețea de clasă C la portul nominalizat, adăugați următoarea regulă nouă de rețea de încredere:

Adresa IP de rețea

204.15.5.0

Mască de rețea

255.255.255.0

· Pentru a permite numai unui utilizator situat la o anumită adresă IP să se conecteze:

Adresa IP de rețea

204.15.5.13

Mască de rețea

255.255.255.255

· Pentru a permite tuturor utilizatorilor care operează dintr-un interval specific de adrese IP (să zicem oricare dintre cele treizeci de adrese de la 204.15.5.129 la 204.15.5.158) să li se permită conectarea la portul nominalizat:

Adresă gazdă/subrețea

204.15.5.128

Mască de rețea

255.255.255.224

6. Faceți clic pe Aplicare

Capitolul 3: Port serial, dispozitiv și configurație utilizator
3.6 Cascadarea portului serial
Cascaded Ports vă permite să grupați servere de consolă distribuite, astfel încât un număr mare de porturi seriale (până la 1000) pot fi configurate și accesate printr-o singură adresă IP și gestionate prin intermediul unei singure Console de management. Un server de consolă, Primar, controlează alte servere de consolă ca unități Node și toate porturile seriale de pe unitățile Node apar ca și cum ar fi parte din Primar. Gruparea Opengear conectează fiecare Nod la Primar cu o conexiune SSH. Acest lucru se face folosind autentificarea cu cheie publică, astfel încât Primarul să poată accesa fiecare Nod folosind perechea de chei SSH (în loc să utilizeze parole). Acest lucru asigură comunicații autentificate securizate între Primar și Noduri, permițând distribuirea locală a unităților de server de consolă Node pe o rețea LAN sau de la distanță în întreaga lume.
3.6.1 Generarea și încărcarea automată a cheilor SSH Pentru a configura autentificarea cu chei publice, trebuie mai întâi să generați o pereche de chei RSA sau DSA și să le încărcați în serverele consolei Primary și Node. Acest lucru se poate face automat din Primar:
44

Manual de utilizare
1. Selectați Sistem > Administrare pe Consola de administrare principală
2. Bifați Generare automat chei SSH. 3. Faceți clic pe Aplicare
Apoi trebuie să selectați dacă doriți să generați chei folosind RSA și/sau DSA (dacă nu sunteți sigur, selectați doar RSA). Generarea fiecărui set de chei necesită două minute, iar cheile noi distrug cheile vechi de acest tip. În timp ce noua generație este în desfășurare, funcțiile care se bazează pe chei SSH (de exemplu, în cascadă) pot înceta să funcționeze până când sunt actualizate cu noul set de chei. Pentru a genera chei:
1. Bifați casetele pentru cheile pe care doriți să le generați. 2. Faceți clic pe Aplicare
3. Odată ce noile chei au fost generate, faceți clic pe linkul Faceți clic aici pentru a reveni. Cheile sunt încărcate
la Nodurile Primare și conectate.
3.6.2 Generarea și încărcarea manuală a cheilor SSH În mod alternativ, dacă aveți o pereche de chei RSA sau DSA, le puteți încărca pe serverele de consolă Primar și Node. Pentru a încărca perechea de chei publice și private pe serverul consolei primare:
1. Selectați Sistem > Administrare pe Consola de administrare principală
2. Navigați la locația în care ați stocat cheia publică RSA (sau DSA) și încărcați-o în cheia publică SSH RSA (DSA)
3. Navigați la cheia privată RSA (sau DSA) stocată și încărcați-o în cheia privată SSH RSA (DSA) 4. Faceți clic pe Aplicare
45

Capitolul 3: Port serial, dispozitiv și configurație utilizator
Apoi, trebuie să înregistrați cheia publică ca cheie autorizată pe nod. În cazul unui primar cu mai multe noduri, încărcați o cheie publică RSA sau DSA pentru fiecare nod.
1. Selectați Sistem > Administrare pe consola de management a nodului 2. Navigați la cheia publică RSA (sau DSA) stocată și încărcați-o în cheia autorizată SSH a nodului
3. Faceți clic pe Aplicare. Următorul pas este Amprenta pentru fiecare nouă conexiune Nod-Primar. Acest pas validează faptul că stabiliți o sesiune SSH pentru cine credeți că sunteți. La prima conexiune, Nodul primește o amprentă digitală de la Primar utilizată la toate conexiunile viitoare: Pentru a stabili prima logare a amprentei în serverul Primar ca root și a stabili o conexiune SSH la gazda la distanță Nod:
# ssh remhost Odată ce conexiunea SSH a fost stabilită, vi se cere să acceptați cheia. Răspundeți da și amprenta este adăugată la lista de gazde cunoscute. Dacă vi se cere să furnizați o parolă, a apărut o problemă la încărcarea cheilor. 3.6.3 Configurați nodurile și porturile lor seriale Începeți configurarea nodurilor și configurarea porturilor seriale ale nodurilor de pe serverul consolei primare:
1. Selectați Serial & Network > Cascaded Ports pe Consola de administrare a principalului: 2. Pentru a adăuga suport pentru clustering, selectați Add Node
Nu puteți adăuga noduri până când nu ați generat cheile SSH. Pentru a defini și configura un Nod:
46

Manual de utilizare
1. Introduceți adresa IP la distanță sau numele DNS pentru serverul consolei Node 2. Introduceți o scurtă Descriere și o scurtă Etichetă pentru Nod 3. Introduceți numărul complet de porturi seriale de pe unitatea Node în Number of Ports 4. Faceți clic pe Aplicare. Aceasta stabilește tunelul SSH între Primar și noul Nod
Meniul Serial & Network > Cascaded Ports afișează toate nodurile și numerele de port care au fost alocate pe primar. Dacă serverul de consolă primar are 16 porturi proprii, porturile 1-16 sunt prealocate celui primar, astfel încât primul nod adăugat primește numărul de port 17 în continuare. Odată ce ați adăugat toate serverele consolei Node, porturile seriale Node și dispozitivele conectate sunt configurabile și accesibile din meniul Consolei de gestionare a Primary și accesibile prin adresa IP a Primary.
1. Selectați Serial & Network > Port serial și Editați corespunzător pentru a configura porturile seriale de pe
Nodul.
2. Selectați seria și rețea corespunzătoare > Utilizatori și grupuri pentru a adăuga noi utilizatori cu privilegii de acces
la porturile seriale Node (sau pentru a extinde privilegiile de acces ale utilizatorilor existenți).
3. Selectați seria și rețea corespunzătoare > Rețele de încredere pentru a specifica adresele de rețea
poate accesa porturile seriale ale nodurilor nominalizate. 4. Selectați Alerts & Logging > Alerte corespunzătoare pentru a configura Node port Connection, State
Alerte de schimbare a potrivirii modelului. Modificările de configurare făcute pe Primary sunt propagate către toate nodurile când faceți clic pe Aplicare.
3.6.4 Gestionarea nodurilor Primarul controlează porturile seriale ale Nodului. De exampDacă modificați privilegiile de acces ale unui utilizator sau modificați orice setare a portului serial din configurația principală, actualizată fileE-urile sunt trimise către fiecare Nod în paralel. Fiecare Nod face modificări la configurațiile locale (și face doar modificări care se referă la porturile sale seriale particulare). Puteți utiliza Consola locală de gestionare a nodurilor pentru a modifica setările pe orice port serial al nodului (cum ar fi modificarea ratelor de transmisie). Aceste modificări sunt suprascrise data viitoare când Primarul trimite o configurație file Actualizați. În timp ce principalul controlează toate funcțiile legate de portul serial al nodului, acesta nu este principal asupra conexiunilor gazdă a rețelei nodului sau asupra sistemului Node Console Server. Funcțiile nodului, cum ar fi Setările IP, SMTP și SNMP, Data și Ora, serverul DHCP trebuie gestionate prin accesarea directă a fiecărui nod, iar aceste funcții nu sunt suprascrise atunci când modificările de configurare sunt propagate de la Primar. Setările de gazdă de rețea ale nodului și IPMI trebuie configurate la fiecare nod.
47

Capitolul 3: Port serial, dispozitiv și configurație utilizator
Consola de administrare a principalului oferă o soluție consolidată view a setărilor pentru porturile seriale proprii și ale întregului Node. Primar nu oferă o consolidare completă view. De exampDacă doriți să aflați cine este conectat la porturile seriale în cascadă de la primar, veți vedea că Stare > Utilizatori activi afișează numai acei utilizatori activi pe porturile principale, așa că poate fi necesar să scrieți scripturi personalizate pentru a furniza acest lucru. view.
3.7 Redirecționarea portului serial (PortShare)
Software-ul Opengear Port Share oferă tehnologia portului serial virtual de care aplicațiile dumneavoastră Windows și Linux au nevoie pentru a deschide porturi seriale de la distanță și pentru a citi datele de pe dispozitivele seriale care sunt conectate la serverul dumneavoastră de consolă.
PortShare este furnizat gratuit cu fiecare server de consolă și aveți licență pentru a instala PortShare pe unul sau mai multe computere pentru a accesa orice dispozitiv serial conectat la un port de server de consolă. PortShare pentru Windows Portshare_setup.exe poate fi descărcat de pe site-ul ftp. Consultați Manualul utilizatorului PortShare și Pornirea rapidă pentru detalii despre instalare și funcționare. PortShare pentru Linux Driverul PortShare pentru Linux mapează portul serial al serverului de consolă la un port de încercare gazdă. Opengear a lansat portshare-serial-client ca un utilitar open source pentru Linux, AIX, HPUX, SCO, Solaris și UnixWare. Acest utilitar poate fi descărcat de pe site-ul ftp. Acest redirector de port serial PortShare vă permite să utilizați un dispozitiv serial conectat la serverul de consolă la distanță ca și cum ar fi conectat la portul serial local. Portshare-serial-client creează un port pseudo tty, conectează aplicația serial la portul pseudo tty, primește date de la portul pseudo tty, le transmite către serverul consolei prin rețea și primește date de la serverul consolei prin rețea și le transmite la portul pseudo-tty. .tar file poate fi descărcat de pe site-ul ftp. Consultați Manualul utilizatorului PortShare și Pornirea rapidă pentru detalii despre instalare și funcționare.
48

Manual de utilizare
3.8 Dispozitive gestionate
Pagina Dispozitive gestionate prezintă o versiune consolidată view a tuturor conexiunilor la un dispozitiv care poate fi accesat și monitorizat prin intermediul serverului de consolă. La view conexiunile la dispozitive, selectați Serial & Network > Managed Devices
Acest ecran afișează toate dispozitivele gestionate cu Descrierea/Notele și listele tuturor conexiunilor configurate:
· Port serial # (dacă este conectat în serie) sau · USB (dacă este conectat USB) · Adresă IP (dacă este conectat la rețea) · Detalii PDU/priză de alimentare (dacă este cazul) și orice conexiuni UPS Dispozitivele precum serverele pot avea mai multe conexiuni de alimentare (de exemplu, alimentare dublă) și mai mult de o conexiune de rețea (de exemplu, pentru BMC/procesor de serviciu). Toți utilizatorii pot view aceste conexiuni de dispozitiv gestionate selectând Gestionare > Dispozitive. Administratorii pot, de asemenea, edita și adăuga/șterge aceste dispozitive gestionate și conexiunile acestora. Pentru a edita un dispozitiv existent și a adăuga o nouă conexiune: 1. Selectați Editare pe Serial & Network > Managed Devices și faceți clic pe Add Connection 2. Selectați tipul de conexiune pentru noua conexiune (Serial, Network Host, UPS sau RPC) și selectați
conexiunea din lista prezentată de gazde/porturi/prize nealocate configurate
49

Capitolul 3: Port serial, dispozitiv și configurație utilizator
Pentru a adăuga un nou dispozitiv gestionat conectat la rețea: 1. Administratorul adaugă un nou dispozitiv gestionat conectat la rețea utilizând Adăugare gazdă în meniul Serial & Network > Network Host. Acest lucru creează automat un nou dispozitiv gestionat corespunzător. 2. Când adăugați un nou dispozitiv de alimentare RPC sau UPS conectat la rețea, configurați o gazdă de rețea, desemnați-l ca RPC sau UPS. Accesați Conexiuni RPC sau Conexiuni UPS pentru a configura conexiunea relevantă. Noul dispozitiv gestionat corespunzător cu același nume/descriere ca și gazda RPC/UPS nu este creat până la finalizarea acestui pas de conectare.
NOTĂ Numele prizei de pe PDU nou creat sunt Priza 1 și Priză 2. Când conectați un anumit dispozitiv gestionat care consumă energie de la priză, priza ia numele dispozitivului gestionat alimentat.
Pentru a adăuga un nou dispozitiv gestionat conectat în serie: 1. Configurați portul serial utilizând meniul Serial & Network > Serial Port (Consultați Secțiunea 3.1 Configurare Serial Port) 2. Selectați Serial & Network > Managed Devices și faceți clic pe Add Device 3. Introduceți un dispozitiv Nume și descriere pentru dispozitivul gestionat

4. Faceți clic pe Adăugare conexiune și selectați Serial și portul care se conectează la dispozitivul gestionat

5. Pentru a adăuga o conexiune de alimentare UPS/RPC sau o conexiune de rețea sau o altă conexiune serială, faceți clic pe Adăugare conexiune

6. Faceți clic pe Aplicare

NOTA

Pentru a configura un dispozitiv RPC UPS sau EMD conectat în serie, configurați portul serial, desemnați-l ca Dispozitiv și introduceți un Nume și Descriere pentru acel dispozitiv în Serial și Rețea > Conexiuni RPC (sau Conexiuni UPS sau Mediu). Aceasta creează un nou dispozitiv gestionat corespunzător cu același nume/descriere ca și gazda RPC/UPS. Numele prizei de pe acest PDU nou creat sunt Priza 1 și Priză 2. Când conectați un dispozitiv gestionat care consumă energie de la priză, priza ia numele Dispozitivului gestionat alimentat.

3.9 VPN IPsec
ACM7000, CM7100 și IM7200 includ Openswan, o implementare Linux a protocoalelor IPsec (Securitate IP), care poate fi utilizată pentru a configura o rețea privată virtuală (VPN). VPN-ul permite mai multor site-uri sau administratorilor de la distanță să acceseze în siguranță serverul consolei și dispozitivele gestionate prin Internet.

Manual de utilizare
Administratorul poate stabili conexiuni VPN autentificate criptate între serverele de consolă distribuite pe site-uri la distanță și un gateway VPN (cum ar fi un router Cisco care rulează IOS IPsec) în rețeaua biroului central:
· Utilizatorii de la biroul central pot accesa în siguranță serverele de consolă la distanță și dispozitivele și mașinile de consolă serială conectate pe subrețeaua LAN de gestionare la locația de la distanță ca și cum ar fi locale
· Toate aceste servere de consolă la distanță pot fi monitorizate cu un CMS6000 în rețeaua centrală.
conectat la dispozitivele controlate în serie de la site-urile de la distanță Administratorul Road Warrior poate folosi un client software VPN IPsec pentru a accesa de la distanță serverul de consolă și fiecare mașină din subrețeaua LAN de gestionare la locația de la distanță
Configurarea IPsec este destul de complexă, așa că Opengear oferă o interfață GUI pentru configurarea de bază, așa cum este descris mai jos. Pentru a activa gateway-ul VPN:
1. Selectați IPsec VPN din meniul Serial & Networks
2. Faceți clic pe Adăugare și completați ecranul Adăugare tunel IPsec 3. Introduceți orice nume descriptiv pe care doriți să identificați tunelul IPsec pe care îl adăugați, cum ar fi
WestStOutlet-VPN
51

Capitolul 3: Port serial, dispozitiv și configurație utilizator
4. Selectați metoda de autentificare care trebuie utilizată, fie semnături digitale RSA, fie un secret partajat (PSK) o Dacă selectați RSA, vi se cere să faceți clic aici pentru a genera cheile. Aceasta generează o cheie publică RSA pentru serverul consolă (cheia publică din stânga). Găsiți cheia care va fi folosită pe gateway-ul la distanță, tăiați-o și inserați-o în cheia publică din dreapta
o Dacă selectați Secret partajat, introduceți un secret pre-partajat (PSK). PSK-ul trebuie să se potrivească cu PSK-ul configurat la celălalt capăt al tunelului
5. În Protocolul de autentificare, selectați protocolul de autentificare care va fi utilizat. Fie autentificați-vă ca parte a criptării ESP (Encapsulating Security Payload), fie separat folosind protocolul AH (Authentication Header).
52

Manual de utilizare
6. Introduceți un ID stânga și un ID dreapta. Acesta este identificatorul pe care gazda/gateway-ul local și gazda/gateway-ul la distanță îl folosesc pentru negocierea și autentificarea IPsec. Fiecare ID trebuie să includă un @ și poate include un nume de domeniu complet calificat (de ex. left@example.com)
7. Introduceți adresa IP publică sau DNS a acestui gateway VPN Opengear ca Adresă din stânga. Puteți lăsa acest necomplet pentru a utiliza interfața rutei implicite
8. În Right Address introduceți adresa IP publică sau DNS a capătului de la distanță al tunelului (doar dacă capătul de la distanță are o adresă statică sau DynDNS). În caz contrar, lăsați acest necomplet
9. Dacă gateway-ul Opengear VPN servește ca gateway VPN către o subrețea locală (de exemplu, serverul de consolă are o rețea de administrare configurată) introduceți detaliile subrețelei private în Subrețea din stânga. Utilizați notația CIDR (unde numărul adresei IP este urmat de o bară oblică și numărul de biți „unul” în notația binară a măștii de rețea). De example, 192.168.0.0/24 indică o adresă IP la care primii 24 de biți sunt utilizați ca adresă de rețea. Acesta este același cu 255.255.255.0. Dacă accesul VPN este doar la serverul de consolă și la dispozitivele sale de consolă serială atașate, lăsați necompletat Subnetul stâng
10. Dacă există un gateway VPN la capătul de la distanță, introduceți detaliile subrețelei private în Right Subnet. Utilizați notația CIDR și lăsați necompletat dacă există doar o gazdă la distanță
11. Selectați Inițiați tunel dacă conexiunea tunelului urmează să fie inițiată din partea stângă a serverului consolei. Acest lucru poate fi inițiat doar de la gateway-ul VPN (stânga) dacă capătul de la distanță este configurat cu o adresă IP statică (sau DynDNS).
12. Faceți clic pe Aplicare pentru a salva modificările
NOTĂ Detaliile de configurare configurate pe serverul consolă (denumită gazdă din stânga sau locală) trebuie să se potrivească cu configurarea introdusă la configurarea gazdei/gateway-ului la distanță (dreapta) sau a clientului software. Consultați http://www.opengear.com/faq.html pentru detalii despre configurarea acestor capete de la distanță
3.10 OpenVPN
ACM7000, CM7100 și IM7200 cu firmware V3.2 și versiuni ulterioare includ OpenVPN. OpenVPN folosește biblioteca OpenSSL pentru criptare, autentificare și certificare, ceea ce înseamnă că folosește SSL/TSL (Secure Socket Layer/Transport Layer Security) pentru schimbul de chei și poate cripta atât datele, cât și canalele de control. Utilizarea OpenVPN permite construirea de VPN-uri punct-la-punct pe mai multe platforme, folosind fie PKI X.509 (Infrastructură cheie publică), fie configurație personalizată files. OpenVPN permite tunelarea securizată a datelor printr-un singur port TCP/UDP printr-o rețea nesecurizată, oferind astfel acces securizat la mai multe site-uri și administrare securizată de la distanță la un server de consolă prin Internet. OpenVPN permite, de asemenea, utilizarea adreselor IP dinamice atât de către server, cât și de către client, oferind astfel mobilitate clientului. De exampUn tunel OpenVPN poate fi stabilit între un client Windows în roaming și un server de consolă Opengear într-un centru de date. Configurarea OpenVPN poate fi complexă, astfel încât Opengear oferă o interfață GUI pentru configurarea de bază, așa cum este descris mai jos. Informații mai detaliate sunt disponibile la http://www.openvpn.net
3.10.1 Activați OpenVPN 1. Selectați OpenVPN din meniul Serial & Networks
53

Capitolul 3: Port serial, dispozitiv și configurație utilizator
2. Faceți clic pe Adăugare și completați ecranul Adăugați tunel OpenVPN 3. Introduceți orice nume descriptiv pe care doriți să identificați tunelul OpenVPN pe care îl adăugați, de exempluample
NorthStOutlet-VPN
4. Selectați metoda de autentificare care va fi utilizată. Pentru a vă autentifica folosind certificate, selectați PKI (Certificate X.509) sau selectați Configurație personalizată pentru a încărca configurația personalizată files. Configurațiile personalizate trebuie să fie stocate în /etc/config.
NOTĂ Dacă selectați PKI, stabiliți: Certificat separat (cunoscut și ca cheie publică). Acest Certificat File este un *.crt file tastați cheia privată pentru server și pentru fiecare client. Această cheie privată File este o cheie * file tip
Certificatul și cheia autorității de certificare primară (CA) care sunt utilizate pentru a semna fiecare server
și certificate de client. Acest certificat CA rădăcină este un *.crt file tastați Pentru un server, este posibil să aveți nevoie și de dh1024.pem (parametri Diffie Hellman). Consultați http://openvpn.net/easyrsa.html pentru un ghid pentru gestionarea de bază a cheilor RSA. Pentru metode alternative de autentificare, consultați http://openvpn.net/index.php/documentation/howto.html#auth.
5. Selectați driverul dispozitivului de utilizat, fie Tun-IP, fie Tap-Ethernet. Driverele TUN (tunnel de rețea) și TAP (apăsare de rețea) sunt drivere de rețea virtuală care acceptă tunelul IP și, respectiv, tunelul Ethernet. TUN și TAP fac parte din nucleul Linux.
6. Selectați fie UDP, fie TCP ca protocol. UDP este protocolul implicit și preferat pentru OpenVPN. 7. Bifați sau debifați butonul Compresie pentru a activa sau dezactiva compresia. 8. În modul tunel, numiți dacă acesta este capătul client sau server al tunelului. Când rulează ca
un server, serverul de consolă acceptă mai mulți clienți care se conectează la serverul VPN prin același port.
54

Manual de utilizare
3.10.2 Configurați ca server sau client
1. Completați detaliile client sau detaliile server, în funcție de modul tunel selectat. o Dacă Clientul a fost selectat, adresa serverului primar este adresa serverului OpenVPN. o Dacă a fost selectat Server, introduceți adresa IP Pool Network și masca IP Pool Network pentru IP Pool. Rețeaua definită de IP Pool Adresa/mască de rețea este utilizată pentru a furniza adresele pentru conectarea clienților.
2. Faceți clic pe Aplicare pentru a salva modificările
55

Capitolul 3: Port serial, dispozitiv și configurație utilizator
3. Pentru a introduce certificate de autentificare și files, selectați Manage OpenVPN Filefila s. Încărcați sau navigați la certificatele de autentificare relevante și files.
4. Aplicați pentru a salva modificările. Salvat filesunt afișate cu roșu în partea dreaptă a butonului Încărcare.
5. Pentru a activa OpenVPN, editați tunelul OpenVPN
56

Manual de utilizare
6. Bifați butonul Activat. 7. Aplicați pentru salvarea modificărilor NOTĂ Asigurați-vă că ora sistemului de server de consolă este corectă atunci când lucrați cu OpenVPN pentru a evita
probleme de autentificare.
8. Selectați Statistici din meniul Stare pentru a verifica dacă tunelul este funcțional.
57

Capitolul 3: Port serial, dispozitiv și configurație utilizator
3.10.3 Configurarea clientului și serverului Windows OpenVPN Această secțiune prezintă instalarea și configurarea unui client Windows OpenVPN sau a unui server Windows OpenVPN și configurarea unei conexiuni VPN la un server de consolă. Serverele de consolă generează automat configurația clientului Windows din interfața grafică pentru Secretul pre-partajat (Cheie statică File) configurații.
Alternativ, software-ul OpenVPN GUI pentru Windows (care include pachetul standard OpenVPN plus un GUI Windows) poate fi descărcat de la http://openvpn.net. Odată instalat pe computerul Windows, o pictogramă OpenVPN este adăugată în Zona de notificare situată în partea dreaptă a barei de activități. Faceți clic dreapta pe această pictogramă pentru a porni și opri conexiunile VPN, pentru a edita configurațiile și view busteni.
Când software-ul OpenVPN începe să ruleze, programul C:Program Files Dosarul OpenVPNconfig este scanat pentru .opvn files. Acest folder este verificat din nou pentru o nouă configurație files ori de câte ori se face clic dreapta pe pictograma OpenVPN GUI. Odată ce OpenVPN este instalat, creați o configurație file:
58

Manual de utilizare

Folosind un editor de text, creați un xxxx.ovpn file și salvați în C:Program FilesOpenVPNconfig. De example, C: Program FilesOpenVPNconfigclient.ovpn
Un exampfișierul unei configurații client Windows OpenVPN file este prezentat mai jos:
# descriere: IM4216_client client proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt cheie c:\openvpnkeys\client-key persist-bind persist-key tun comp-lzo
Un exampfișierul unei configurații OpenVPN Windows Server file este prezentat mai jos:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeysrtvp\nserver\n. cheie dh c:\openvpnkeys\dh.pem comp-lzo verb 1 syslog IM4216_OpenVPN_Server
Configurația client/server Windows file opțiunile sunt:

Opțiuni #descriere: Client server proto udp proto tcp mssfix verb
dev tun dev tap

Descriere Acesta este un comentariu care descrie configurația. Liniile de comentarii încep cu „#” și sunt ignorate de OpenVPN. Specificați dacă aceasta va fi o configurație client sau server file. În configurația serverului file, definiți pool-ul de adrese IP și masca de rețea. De example, server 10.100.10.0 255.255.255.0 Setați protocolul la UDP sau TCP. Clientul și serverul trebuie să utilizeze aceleași setări. Mssfix stabilește dimensiunea maximă a pachetului. Acest lucru este util doar pentru UDP dacă apar probleme.
Setează jurnalul file nivelul de verbozitate. Nivelul de verbozitate al jurnalului poate fi setat de la 0 (minim) la 15 (maxim). De example, 0 = silențios, cu excepția erorilor fatale 3 = ieșire medie, bun pentru uz general 5 = ajută la depanarea problemelor de conexiune 9 = pronunțat, excelent pentru depanare Selectați „dev tun” pentru a crea un tunel IP direcționat sau „dev tap” pentru a crea un tunel Ethernet. Clientul și serverul trebuie să utilizeze aceleași setări.

Capitolul 3: Port serial, dispozitiv și configurație utilizator

la distanta Port Keepalive
Http proxy cafile nume>
certfile nume>
cheiefile nume>
dhfile nume> Nobind persist-key persist-tun cipher BF-CBC Blowfish (implicit) cifr AES-128-CBC AES cipher DES-EDE3-CBC Triple-DES comp-lzo syslog

Numele de gazdă/IP-ul serverului OpenVPN atunci când funcționează ca client. Introduceți fie numele de gazdă DNS, fie adresa IP statică a serverului. Portul UDP/TCP al serverului. Keepalive folosește ping pentru a menține sesiunea OpenVPN în viață. „Keepalive 10 120′ emite ping la fiecare 10 secunde și presupune că peer-ul de la distanță este oprit dacă nu a fost primit niciun ping într-o perioadă de timp de 120 de secunde. Dacă este necesar un proxy pentru a accesa serverul, introduceți numele DNS al serverului proxy sau IP-ul și numărul portului. Introduceți certificatul CA file nume si locatie. Același certificat CA file poate fi folosit de server și de toți clienții. Notă: Asigurați-vă că fiecare `' din calea directorului este înlocuit cu ` \'. De example, c:openvpnkeysca.crt va deveni c:\openvpnkeys\ca.crt Introduceți certificatul clientului sau al serverului file nume si locatie. Fiecare client ar trebui să aibă propriul certificat și cheie files. Notă: Asigurați-vă că fiecare `' din calea directorului este înlocuit cu ` \'. Introduceți file numele și locația cheii clientului sau serverului. Fiecare client ar trebui să aibă propriul certificat și cheie files. Notă: Asigurați-vă că fiecare `' din calea directorului este înlocuit cu ` \'. Acesta este folosit doar de server. Introduceți calea către cheie cu parametrii Diffie-Hellman. `Nobind' este folosit atunci când clienții nu trebuie să se lege la o adresă locală sau la un anumit număr de port local. Acesta este cazul în majoritatea configurațiilor client. Această opțiune împiedică reîncărcarea cheilor la reporniri. Această opțiune împiedică închiderea și redeschiderea dispozitivelor TUN/TAP la reporniri. Selectați un cifr criptografic. Clientul și serverul trebuie să utilizeze aceleași setări.
Activați compresia pe legătura OpenVPN. Acest lucru trebuie să fie activat atât pe client, cât și pe server. În mod implicit, jurnalele sunt localizate în syslog sau, dacă rulează ca un serviciu pe Window, în Program FilesDirectorul OpenVPNlog.

Pentru a iniția tunelul OpenVPN în urma creării configurației client/server files: 1. Faceți clic dreapta pe pictograma OpenVPN din Zona de notificare 2. Selectați configurația de client sau server nou creată. 3. Faceți clic pe Conectare

4. Jurnalul file este afișat pe măsură ce conexiunea este stabilită
60

Manual de utilizare
5. Odată stabilită, pictograma OpenVPN afișează un mesaj care indică o conexiune reușită și IP-ul atribuit. Aceste informații, precum și ora la care a fost stabilită conexiunea, sunt disponibile derulând peste pictograma OpenVPN.
3.11 PPTP VPN
Serverele de consolă includ un server PPTP (Point-to-Point Tunneling Protocol). PPTP este utilizat pentru comunicații printr-o legătură serială fizică sau virtuală. Punctele finale PPP își definesc o adresă IP virtuală. Rutele către rețele pot fi definite cu aceste adrese IP ca gateway, ceea ce duce la trimiterea traficului prin tunel. PPTP stabilește un tunel între punctele finale fizice PPP și transportă în siguranță datele prin tunel.
Punctul forte al PPTP este ușurința de configurare și integrare în infrastructura Microsoft existentă. Este utilizat în general pentru conectarea unor clienți Windows la distanță. Dacă vă duceți computerul portabil într-o călătorie de afaceri, puteți forma un număr local pentru a vă conecta la furnizorul de servicii de acces la Internet (ISP) și puteți crea o a doua conexiune (tunel) în rețeaua de birou prin Internet și aveți același acces la rețeaua corporativă ca și cum ați fi conectat direct de la birou. De asemenea, lucrătorii la distanță pot configura un tunel VPN prin modemul de cablu sau prin legăturile DSL către ISP-ul lor local.
61

Capitolul 3: Port serial, dispozitiv și configurație utilizator
Pentru a configura o conexiune PPTP de la un client Windows la distanță la dispozitivul dvs. Opengear și la rețeaua locală:
1. Activați și configurați serverul PPTP VPN pe dispozitivul dvs. Opengear 2. Configurați conturi de utilizator VPN pe dispozitivul Opengear și activați
autentificare 3. Configurați clienții VPN la site-urile de la distanță. Clientul nu necesită software special ca
serverul PPTP acceptă software-ul client PPTP standard inclus cu Windows NT și versiuni ulterioare 4. Conectați-vă la VPN la distanță 3.11.1 Activați serverul PPTP VPN 1. Selectați PPTP VPN din meniul Serial & Networks
2. Bifați caseta de validare Activare pentru a activa serverul PPTP 3. Selectați Autentificarea minimă necesară. Accesul este interzis utilizatorilor de la distanță care încearcă
conectați folosind o schemă de autentificare mai slabă decât schema selectată. Schemele sunt descrise mai jos, de la cel mai puternic la cel mai slab. · Autentificare criptată (MS-CHAP v2): Cel mai puternic tip de autentificare de utilizat; aceasta este
opțiunea recomandată · Autentificare slab criptată (CHAP): Acesta este cel mai slab tip de parolă criptată
autentificare pentru utilizare. Nu este recomandat ca clienții să se conecteze folosind aceasta deoarece oferă o protecție foarte mică prin parolă. De asemenea, rețineți că clienții care se conectează folosind CHAP nu pot cripta traficul
62

Manual de utilizare
· Autentificare necriptată (PAP): Aceasta este autentificarea cu parolă în text simplu. Când se utilizează acest tip de autentificare, parola clientului este transmisă necriptată.
· Nici unul 4. Selectați Nivelul de criptare necesar. Accesul este interzis utilizatorilor de la distanță care încearcă să se conecteze
care nu folosesc acest nivel de criptare. 5. În Adresă locală, introduceți adresa IP pe care să o atribuiți la capătul serverului al conexiunii VPN. 6. În Adrese la distanță, introduceți grupul de adrese IP pentru a le atribui VPN-ului clientului de intrare.
conexiuni (ex. 192.168.1.10-20). Aceasta trebuie să fie o adresă IP liberă sau un interval de adrese din rețea pe care utilizatorii la distanță le sunt atribuite în timp ce sunt conectați la aparatul Opengear 7. Introduceți valoarea dorită a Unității de transmisie maximă (MTU) pentru interfețele PPTP în câmpul MTU (implicit la 1400) 8. În câmpul Server DNS, introduceți adresa IP a serverului DNS care atribuie adrese IP clienților PPTP conectați 9. În câmpul Server WINS, introduceți adresa IP a serverului WINS care atribuie adrese IP clientului PPTP conectat 10. Activați Logging Verbose pentru a ajuta la depanarea problemelor de conexiune 11. Faceți clic pe Aplicare setări 3.11.2 Adăugați un utilizator PPTP 1. Selectați Utilizatori și grupuri din meniul Serial și rețele și completați câmpurile așa cum este descris în secțiunea 3.2. 2. Asigurați-vă că grupul pptpd a fost verificat pentru a permite accesul la serverul PPTP VPN. Notă – utilizatorii din acest grup au parolele stocate în text clar. 3. Rețineți numele de utilizator și parola pentru când trebuie să vă conectați la conexiunea VPN. 4. Faceți clic pe Aplicare
63

Capitolul 3: Port serial, dispozitiv și configurație utilizator
3.11.3 Configurați un client PPTP la distanță Asigurați-vă că PC-ul client VPN la distanță are conexiune la Internet. Pentru a crea o conexiune VPN prin Internet, trebuie să configurați două conexiuni de rețea. O conexiune este pentru ISP, iar cealaltă conexiune este pentru tunelul VPN către dispozitivul Opengear. NOTĂ Această procedură configurează un client PPTP în sistemul de operare Windows Professional. Pașii
poate varia ușor în funcție de accesul la rețea sau dacă utilizați o versiune alternativă de Windows. Instrucțiuni mai detaliate sunt disponibile de la Microsoft web site-ul. 1. Conectați-vă la clientul Windows cu privilegii de administrator 2. Din Centrul de rețea și partajare din Panoul de control, selectați Conexiuni de rețea și creați o nouă conexiune
64

Manual de utilizare
3. Selectați Use My Internet Connection (VPN) și introduceți adresa IP a dispozitivului Opengear Pentru a conecta clienții VPN la distanță la rețeaua locală, trebuie să cunoașteți numele de utilizator și parola pentru contul PPTP pe care l-ați adăugat, precum și IP-ul de internet. adresa aparatului Opengear. Dacă ISP-ul dvs. nu v-a alocat o adresă IP statică, luați în considerare utilizarea unui serviciu DNS dinamic. În caz contrar, trebuie să modificați configurația clientului PPTP de fiecare dată când adresa IP de Internet se schimbă.
65

Capitolul 3: Port serial, dispozitiv și configurație utilizator

3.12 Apelați acasă
Toate serverele de consolă includ caracteristica Call Home care inițiază configurarea unui tunel SSH securizat de la serverul de consolă la un Opengear Lighthouse centralizat. Serverul de consolă se înregistrează ca candidat pe Lighthouse. Odată acceptat acolo, devine un server de consolă administrată.
Lighthouse monitorizează Managed Console Server, iar administratorii pot accesa Managed Console Server la distanță prin Lighthouse. Acest acces este disponibil chiar și atunci când serverul de consolă de la distanță se află în spatele unui firewall terță parte sau are adrese IP private, care nu sunt rutabile.

NOTA

Lighthouse menține conexiuni SSH autentificate cu cheie publică la fiecare dintre serverele sale de Consolă gestionată. Aceste conexiuni sunt utilizate pentru monitorizarea, direcționarea și accesarea serverelor de Consolă administrată și a dispozitivelor gestionate conectate la Serverul de Consolă administrată.

Pentru a gestiona serverele de consolă locale sau serverele de consolă accesibile din Lighthouse, conexiunile SSH sunt inițiate de Lighthouse.

Pentru a gestiona serverele de consolă la distanță sau serverele de consolă care sunt protejate de firewall, nu sunt rutabile sau inaccesibile în alt mod de la Lighthouse, conexiunile SSH sunt inițiate de către Managed ConsoleServer printr-o conexiune inițială Call Home.

Acest lucru asigură comunicații securizate și autentificate și permite distribuirea locală a unităților de servere de consolă administrată pe o rețea LAN sau de la distanță în întreaga lume.

3.12.1 Configurarea candidatului Call Home Pentru a configura serverul de consolă ca candidat pentru managementul Call Home pe Lighthouse:
1. Selectați Call Home din meniul Serial & Network

2. Dacă nu ați generat sau încărcat deja o pereche de chei SSH pentru acest server de consolă, faceți acest lucru înainte de a continua
3. Faceți clic pe Adăugare

4. Introduceți adresa IP sau numele DNS (de exemplu, adresa DNS dinamică) Lighthouse.
5. Introduceți parola pe care ați configurat-o pe CMS ca parolă pentru apelare acasă.
66

Manual de utilizare
6. Faceți clic pe Aplicare. Acești pași inițiază conexiunea Call Home de la serverul de consolă la Lighthouse. Acest lucru creează un port SSHlistening pe Lighthouse și setează serverul de consolă ca candidat.
Odată ce candidatul a fost acceptat pe Lighthouse, un tunel SSH către serverul consolei este redirecționat înapoi prin conexiunea Call Home. Serverul de consolă a devenit un server de consolă administrată, iar Lighthouse se poate conecta și monitoriza prin acest tunel. 3.12.2 Acceptați candidatul Call Home ca server de consolă administrată pe Lighthouse Această secțiune oferă oview despre configurarea Lighthouse pentru a monitoriza serverele Lighthouse de consolă care sunt conectate prin Call Home. Pentru mai multe detalii, consultați Ghidul utilizatorului Lighthouse:
1. Introduceți o nouă parolă Call Home pe Lighthouse. Această parolă este folosită pentru acceptare
Apelați Homeconnections de pe serverele de consolă candidate
2. Lighthouse poate fi contactat de către serverul consolei, fie trebuie să aibă un IP static
adresa sau, dacă DHCP, să fie configurat să utilizeze un serviciu DNS dinamic
Ecranul Configurare > Servere de consolă administrată de pe Lighthouse arată starea
Servere și candidați de consolă administrată locale și la distanță.
Secțiunea Servere de consolă gestionată arată serverele de consolă monitorizate de către
Lighthouse.Secțiunea Servere de consolă detectate conține:
o Meniul derulant Servere de consolă locale care listează toate serverele de consolă care se află pe
aceeași subrețea ca și Lighthouse și nu sunt monitorizate
67

Capitolul 3: Port serial, dispozitiv și configurație utilizator
o Meniul derulant Remote Console Servers care listează toate serverele de consolă care au stabilit o conexiune Call Home și nu sunt monitorizate (adică candidații). Puteți face clic pe Reîmprospătare pentru a actualiza
Pentru a adăuga un candidat pentru server de consolă la lista Server de consolă administrată, selectați-l din lista verticală Servere de consolă la distanță și faceți clic pe Adăugare. Introduceți Adresa IP și Portul SSH (dacă aceste câmpuri nu au fost completate automat) și introduceți o Descriere și un Nume unic pentru serverul Consolă administrată pe care îl adăugați
Introduceți parola de rădăcină la distanță (adică parola de sistem care a fost setată pe acest server de Consolă administrată). Această parolă este folosită de Lighthouse pentru a propaga cheile SSH generate automat și nu este stocată. Faceți clic pe Aplicare. Lighthouse stabilește conexiuni SSH securizate către și de la Serverul Consolei gestionate și își preia Dispozitivele gestionate, detaliile contului de utilizator și alertele configurate 3.12.3 Apelarea acasă la un server SSH central generic Dacă vă conectați la un server SSH generic (nu Lighthouse) puteți configura setări avansate: · Introduceți portul serverului SSH și utilizatorul SSH. · Introduceți detaliile pentru redirecționarea (porturilor) SSH de creat
Selectând Listening Server, puteți crea un port de redirecționare la distanță de la server la această unitate sau un port local de redirecționare de la această unitate la server:
68

Manual de utilizare
· Specificați un port de ascultare de la care să redirecționați, lăsați acest câmp necompletat pentru a aloca un port neutilizat · Introduceți serverul țintă și portul țintă care vor fi destinatarul conexiunilor redirecționate
3.13 IP Passthrough
IP Passthrough este utilizat pentru a face ca o conexiune de modem (de exemplu, modemul celular intern) să pară ca o conexiune Ethernet obișnuită la un router din aval terță parte, permițând routerului din aval să utilizeze conexiunea modem ca interfață WAN primară sau de rezervă.
Dispozitivul Opengear furnizează adresa IP a modemului și detaliile DNS dispozitivului din aval prin DHCP și transmite traficul de rețea către și de la modem și router.
În timp ce IP Passthrough transformă un Opengear într-un semi-bridge modem-la-Ethernet, unele servicii de nivel 4 (HTTP/HTTPS/SSH) pot fi terminate la Opengear (Service Intercepts). De asemenea, serviciile care rulează pe Opengear pot iniția conexiuni celulare de ieșire independent de routerul din aval.
Acest lucru permite ca Opengear să fie utilizat în continuare pentru gestionarea și alertele în afara bandă și, de asemenea, să fie gestionat prin Lighthouse, în timp ce se află în modul IP Passthrough.
3.13.1 Configurarea ruterului în aval Pentru a utiliza conectivitatea de failover pe routerul din aval (alias Failover to Cellular sau F2C), acesta trebuie să aibă două sau mai multe interfețe WAN.
NOTĂ Falover-ul în contextul IP Passthrough este efectuat de către routerul din aval, iar logica încorporată de failover în afara benzii pe Opengear nu este disponibilă în modul IP Passthrough.
Conectați o interfață Ethernet WAN de pe routerul din aval la interfața de rețea al Opengear sau la portul LAN de gestionare cu un cablu Ethernet.
Configurați această interfață pe routerul din aval pentru a primi setările de rețea prin DHCP. Dacă este necesară failover, configurați routerul din aval pentru failover între interfața sa principală și portul Ethernet conectat la Opengear.
3.13.2 Pre-configurarea IP Passthrough Pașii prealabile pentru a activa IP Passthrough sunt:
1. Configurați interfața de rețea și, acolo unde este cazul, interfețele LAN de management cu setări statice de rețea. · Faceți clic pe Serial și rețea > IP. · Pentru Interfața de rețea și, acolo unde este cazul, LAN de gestionare, selectați Static pentru Metoda de configurare și introduceți setările de rețea (consultați secțiunea intitulată Configurarea rețelei pentru instrucțiuni detaliate). · Pentru interfața conectată la routerul din aval, puteți alege orice rețea privată dedicată, această rețea există doar între Opengear și routerul din aval și nu este în mod normal accesibilă. · Pentru cealaltă interfață, configurați-o așa cum ați proceda în mod normal în rețeaua locală. · Pentru ambele interfețe, lăsați Gateway necompletat.
2. Configurați modemul în modul Always On Out-of-band.
69

Capitolul 3: Port serial, dispozitiv și configurație utilizator
· Pentru o conexiune celulară, faceți clic pe Sistem > Apelare: Modem celular intern. · Selectați Enable Dial-Out și introduceți detalii despre operator, cum ar fi APN (consultați secțiunea Modem celular
Conexiune pentru instrucțiuni detaliate). 3.13.3 Configurare IP Passthrough Pentru a configura IP Passthrough:
· Faceți clic pe Serial & Network > IP Passthrough și bifați Enable. · Selectați modemul Opengear pe care să îl utilizați pentru conexiunea în amonte. · Opțional, introduceți adresa MAC a interfeței conectate a routerului din aval. Dacă adresa MAC este
nespecificat, Opengear va trece la primul dispozitiv din aval care solicită o adresă DHCP. · Selectați interfața Ethernet Opengear de utilizat pentru conectivitate la routerul din aval.
· Faceți clic pe Aplicare. 3.13.4 Interceptări de servicii Acestea permit Opengear să continue să furnizeze servicii, de example, pentru gestionarea în afara benzii în modul IP Passthrough. Conexiunile la adresa modemului de pe porturile de interceptare specificate sunt gestionate de Opengear, mai degrabă decât transmise către routerul din aval.
· Pentru serviciul necesar de HTTP, HTTPS sau SSH, bifați Activare · Modificați opțional portul de interceptare la un port alternativ (de ex. 8443 pentru HTTPS), acest lucru este util dacă
doresc să permită în continuare routerului din aval să rămână accesibil prin portul său obișnuit. 3.13.5 Stare IP Passthrough Reîmprospătați pagina la view secțiunea Stare. Afișează adresa IP externă a modemului care este transmisă, adresa MAC internă a routerului din aval (populată doar atunci când routerul din aval acceptă contractul de închiriere DHCP) și starea generală de funcționare a serviciului IP Passthrough. Este posibil să fiți avertizat cu privire la starea de failover a routerului din aval prin configurarea unei Verificări de utilizare a datelor rutate sub Alerte și înregistrare > Răspuns automat. 3.13.6 Avertismente Unele routere din aval pot fi incompatibile cu ruta gateway. Acest lucru se poate întâmpla atunci când IP Passthrough conectează o rețea celulară 3G în care adresa gateway-ului este o adresă de destinație punct la punct și nu sunt disponibile informații despre subrețea. Opengear trimite o mască de rețea DHCP de 255.255.255.255. Dispozitivele interpretează în mod normal acest lucru ca pe o singură rută gazdă pe interfață, dar unele dispozitive mai vechi din aval pot avea probleme.
70

Manual de utilizare
Interceptările pentru serviciile locale nu vor funcționa dacă Opengear utilizează o altă rută implicită decât modemul. De asemenea, acestea nu vor funcționa decât dacă serviciul este activat și accesul la serviciu este activat (consultați Sistem > Servicii, sub fila Acces la serviciu, găsiți Dialout/Cellular).
Sunt acceptate conexiunile de ieșire care provin de la Opengear la serviciile de la distanță (de exemplu, trimiterea de alerte prin e-mail SMTP, capcane SNMP, obținerea timpului NTP, tuneluri IPSec). Există un risc mic de eșec a conexiunii în cazul în care atât Opengear, cât și dispozitivul din aval încearcă să acceseze același port UDP sau TCP pe aceeași gazdă la distanță în același timp, când au ales aleatoriu același număr de port local de origine.
3.14 Configurare prin DHCP (ZTP)
Dispozitivele Opengear pot fi furnizate în timpul pornirii lor inițiale de pe un server DHCPv4 sau DHCPv6 folosind config-over-DHCP. Aprovizionarea în rețele neîncrezătoare poate fi facilitată prin furnizarea de chei pe o unitate flash USB. Funcționalitatea ZTP poate fi folosită și pentru a efectua o actualizare a firmware-ului la conexiunea inițială la rețea sau pentru a se înscrie într-o instanță Lighthouse 5.
Pregătire Pașii tipici pentru configurare într-o rețea de încredere sunt:
1. Configurați un dispozitiv Opengear de același model. 2. Salvați configurația ca backup Opengear (.opg) file. 3. Selectați System > Configuration Backup > Remote Backup. 4. Faceţi clic pe Salvare copie de rezervă. O configurație de rezervă file — model-name_iso-format-date_config.opg — este descărcat de pe dispozitivul Opengear în sistemul local. Puteți salva configurația ca xml file: 1. Selectați System > Configuration Backup > XML Configuration. Un câmp editabil care conține
configurație file în format XML apare. 2. Faceți clic în câmp pentru a-l activa. 3. Dacă rulați orice browser pe Windows sau Linux, faceți clic dreapta și alegeți Selectați tot din
meniul contextual sau apăsați Control-A. Faceți clic dreapta și alegeți Copiere din meniul contextual sau apăsați Control-C. 4. Dacă utilizați orice browser pe macOS, alegeți Editare > Selectați tot sau apăsați Comandă-A. Alegeți Editare > Copiere sau apăsați Comandă-C. 5. În editorul de text preferat, creați un nou document gol, lipiți datele copiate în documentul gol și salvați file. Tot ceea ce file-numele pe care îl alegeți, acesta trebuie să includă .xml filesufixul numelui. 6. Copiați fișierul .opg sau .xml salvat file la un director public pe a file server care deservește cel puțin unul dintre următoarele protocoale: HTTPS, HTTP, FTP sau TFTP. (Numai HTTPS poate fi utilizat dacă conexiunea dintre file server și un dispozitiv Opengear care urmează să fie configurat călătorește printr-o rețea nede încredere.). 7. Configurați serverul dvs. DHCP pentru a include o opțiune „specifică furnizorului” pentru dispozitivele Opengear. (Acest lucru se va face într-un mod specific serverului DHCP.) Opțiunea specifică furnizorului ar trebui să fie setată la un șir care conține URL ale .opg sau .xml publicate file în pasul de mai sus. Șirul de opțiuni nu trebuie să depășească 250 de caractere și trebuie să se termine fie în .opg, fie în .xml.
71

Capitolul 3: Port serial, dispozitiv și configurație utilizator
8. Conectați un nou dispozitiv Opengear, fie resetat din fabrică, fie șters din configurație, la rețea și aplicați alimentarea. Poate dura până la 5 minute pentru ca dispozitivul să se repornească singur.
ExampConfigurarea serverului ISC DHCP (dhcpd).
Următorul este un exampFragment de configurare a serverului DHCP pentru difuzarea unei imagini de configurare .opg prin serverul DHCP ISC, dhcpd:
opțiune spațiu opengear cod lățime 1 lungime lățime 1; opțiunea opengear.config-url cod 1 = text; clasa „opengear-config-over-dhcp-test” {
se potrivește dacă opțiunea vendor-class-identifier ~~ „^Opengear/”; vânzător-opțiune-spațiu echipament deschis; opțiunea opengear.config-url „https://example.com/opg/${class}.opg”; }
Această setare poate fi modificată pentru a actualiza imaginea de configurare folosind opengear.image-url opțiunea și furnizarea unui URI imaginii firmware.
Configurați când LAN nu este de încredere Dacă conexiunea dintre file server și un dispozitiv Opengear care urmează să fie configurat include o rețea nede încredere, o abordare cu două mâini poate atenua problema.
NOTĂ Această abordare introduce doi pași fizici în care încrederea poate fi dificil, dacă nu imposibil, de stabilit complet. În primul rând, lanțul de custodie de la crearea unității flash USB care transportă date până la implementarea acesteia. În al doilea rând, mâinile care conectează unitatea flash USB la dispozitivul Opengear.
· Generați un certificat X.509 pentru dispozitivul Opengear.
· Concatenați certificatul și cheia sa privată într-o singură file numit client.pem.
· Copiați client.pem pe o unitate flash USB.
· Configurați un server HTTPS astfel încât accesul la .opg sau .xml file este limitat la clienții care pot furniza certificatul client X.509 generat mai sus.
· Puneți o copie a certificatului CA care a semnat certificatul serverului HTTP — ca-bundle.crt — pe unitatea flash USB care poartă client.pem.
· Introduceți unitatea flash USB în dispozitivul Opengear înainte de a conecta alimentarea sau rețeaua.
· Continuați procedura de la `Copiați fișierul .opg sau .xml salvat file la un director public pe a file server' de mai sus folosind protocolul HTTPS între client și server.
Pregătiți o unitate USB și creați certificatul X.509 și cheia privată
· Generați certificatul CA astfel încât cererile de semnare a certificatelor (CSR) client și server să poată fi semnate.
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # atinge exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Această procedură generează un certificat numit ExampleCA, dar orice nume de certificat permis poate fi folosit. De asemenea, această procedură folosește openssl ca. Dacă organizația dvs. are un proces de generare CA securizat la nivel de întreprindere, acesta ar trebui utilizat în schimb.
72

Manual de utilizare
· Generați certificatul serverului.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-cheiefile ca.key -policy policy_anything -batch -notext
NOTĂ Numele de gazdă sau adresa IP trebuie să fie același șir utilizat în servire URL. În exampmai sus, numele de gazdă este demo.example.com.
· Generarea certificatului de client.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-cheiefile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatați o unitate flash USB ca un singur volum FAT32.
· Mutați client.pem și ca-bundle.crt files în directorul rădăcină al unității flash.
Depanarea problemelor ZTP Utilizați caracteristica jurnal ZTP pentru a depana problemele ZTP. În timp ce dispozitivul încearcă să efectueze operațiuni ZTP, informațiile de jurnal sunt scrise în /tmp/ztp.log pe dispozitiv.
Următorul este un exampfiul jurnalului file dintr-o rulare ZTP de succes.
# cat /tmp/ztp.log miercuri 13 dec 22:22:17 UTC 2017 [notificare 5127] odhcp6c.eth0: restaurare config prin DHCP miercuri 13 dec 22:22:17 UTC 2017 [notificare 5127] odhcp6c.eth0s: așteptare pentru stabilirea rețelei miercuri 10 dec 13:22:22 UTC 27 [notificare 2017] odhcp5127c.eth6: NTP ignorat: fără server Miercuri 0 dec 13:22:22 UTC 27 [2017 informații] odhcp5127c.eth6: ' vendorspec.0 = ' vendorspec.1 http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Miercuri 13 Dec 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) Miercuri 13 decembrie 22:22:27 UTC 2017 [5127 informații] odhcp6c.eth0: vendorspec.3 (n/a) Miercuri 13 dec 22:22:27 UTC 2017 [5127 informații] odhcp6c.eth0: vendorspec.4 (n/a) ) Miercuri 13 dec 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.5 (n/a) Mier. 13 dec 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.6 (vendorspec.13) /a) Miercuri, 22 decembrie 22:28:2017 UTC 5127 [6 info] odhcp0c.eth2: nici un firmware de descărcat (vendorspec.XNUMX) backup-url: încercând http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: forțarea modului de configurare wan la backup DHCP-url: setarea numelui de gazdă la acm7004-0013c601ce97 backup-url: încărcare reușită miercuri 13 dec 22:22:36 UTC 2017 [notificare 5127] odhcp6c.eth0: încărcare config reușită miercuri 13 dec 22:22:36 UTC 2017 [5127 informații] odhcp6c.eth0: fără configurație lighthouse/vendorspec.3 4/5/6) Miercuri 13 dec 22:22:36 UTC 2017 [notificare 5127] odhcp6c.eth0: aprovizionare finalizată, nu se repornește
Erorile sunt înregistrate în acest jurnal.
3.15 Înscrierea la Lighthouse
Utilizați Înscrierea în Lighthouse pentru a înscrie dispozitivele Opengear într-o instanță Lighthouse, oferind acces centralizat la porturile de consolă și permițând configurarea centrală a dispozitivelor Opengear.
Consultați Ghidul utilizatorului Lighthouse pentru instrucțiuni pentru înscrierea dispozitivelor Opengear în Lighthouse.
73

Capitolul 3: Port serial, dispozitiv și configurație utilizator
3.16 Activați releul DHCPv4
Un serviciu de retransmisie DHCP redirecționează pachetele DHCP între clienți și serverele DHCP la distanță. Serviciul de retransmisie DHCP poate fi activat pe un server de consolă Opengear, astfel încât acesta să asculte clienții DHCP pe interfețele inferioare desemnate, să împacheteze și să le transmită mesajele către serverele DHCP folosind fie rutarea normală, fie difuzarea direct pe interfețele superioare desemnate. Agentul de retransmisie DHCP primește astfel mesaje DHCP și generează un nou mesaj DHCP pentru a-l trimite pe o altă interfață. În pașii de mai jos, serverele de consolă se pot conecta la coduri de circuit, Ethernet sau modemuri celulare folosind serviciul de retransmisie DHCPv4.
DHCPv4 Relay + DHCP Opțiunea 82 (circuit-id) Infrastructură – Server DHCP local, ACM7004-5 pentru releu, orice alte dispozitive pentru clienți. Orice dispozitiv cu rol LAN poate fi folosit ca releu. În acest example, 192.168.79.242 este adresa pentru interfața retransmisă a clientului (așa cum este definită în configurația serverului DHCP file de mai sus), iar 192.168.79.244 este adresa interfață superioară a casetei de releu, iar enp112s0 este interfața în aval a serverului DHCP.
1 Infrastructură – releu DHCPv4 + opțiunea DHCP 82 (id-circuit)
Pași pe serverul DHCP 1. Configurați serverul DHCP v4 local, în special, acesta ar trebui să conțină o intrare „gazdă” ca mai jos pentru clientul DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; host-identifier opțiune agent.circuit-id „releu1”; cu adresă fixă 192.168.79.242; } Notă: linia „hardware Ethernet” este dezactivată, astfel încât serverul DHCP va folosi setarea „circuit-id” pentru a atribui o adresă clientului relevant. 2. Reporniți serverul DHCP pentru a reîncărca configurația modificată file. pkill -HUP dhcpd
74

Manual de utilizare
3. Adăugați manual o rută gazdă la interfața „retransmisă” a clientului (interfața din spatele releului DHCP, nu și alte interfețe pe care clientul le poate avea:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 Acest lucru va ajuta la evitarea problemei de rutare asimetrică atunci când clientul și serverul DHCP ar dori să se acceseze unul pe celălalt prin interfața transmisă a clientului, când clientul are alte interfețe în același subrețeaua pool-ului de adrese DHCP.
Notă: Acest pas este obligatoriu pentru a sprijini serverul dhcp și clientul capabil să se acceseze unul pe celălalt.
Pași pe cutia releului – ACM7004-5
1. Configurați WAN/eth0 fie în modul static, fie în modul dhcp (nu în modul neconfigurat). Dacă este în modul static, trebuie să aibă o adresă IP în pool-ul de adrese al serverului DHCP.
2. Aplicați această configurație prin CLI (unde 192.168.79.1 este adresa serverului DHCP)
config -s config.services.dhcprelay.enabled=pe config -s config.services.dhcprelay.lowers.lower1.circuit_id=releu1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Interfața inferioară a releului DHCP trebuie să aibă o adresă IP statică în pool-ul de adrese al serverului DHCP. În acest example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=config statică -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Așteptați puțin pentru ca clientul să obțină o închiriere DHCP prin intermediul releului.
Pași pe client (CM7116-2-dac în acest example sau orice alt CS OG)
1. Conectați LAN/eth1 al clientului la LAN/eth1 al releului 2. Configurați LAN-ul clientului pentru a obține adresa IP prin DHCP, ca de obicei 3. Odată ce clie

Documente/Resurse

opengear ACM7000 Remote Site Gateway [pdfManual de utilizare
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Referințe

Manual de utilizare

opengear ACM7000 Remote Site Gateway

Informații despre produs

Instrucțiuni de utilizare a produsului

Întrebări frecvente

Acest manual

Configurarea sistemului

Port serial, gazdă, dispozitiv și configurație utilizator

Documente/Resurse

Referințe

Lasă un comentariu

Anulează răspunsul