Руководство пользователя шлюза удаленных сайтов opengear ACM7000

Не подключайте и не отключайте консольный сервер во время грозы. Всегда используйте ограничитель перенапряжений или ИБП для защиты оборудования от переходных процессов.

Предупреждение Федеральной комиссии связи:

Данное устройство соответствует части 15 правил FCC. Эксплуатация этого устройства осуществляется при соблюдении следующих условий: (1) Это устройство не может создавать вредных помех и (2) это устройство должно выдерживать любые помехи, которые могут вызвать нежелательную работу.

Часто задаваемые вопросы

Вопрос: Могу ли я использовать шлюз удаленной площадки ACM7000 во время грозы?
- A: Нет, во избежание повреждений не рекомендуется подключать и отключать консольный сервер во время грозы.

Вопрос: Какой версии правил FCC соответствует устройство?
- A: Устройство соответствует части 15 правил FCC.

View Fullscreen

Руководство пользователя
Шлюз удаленной площадки ACM7000 Шлюз отказоустойчивости ACM7000-L IM7200 Infrastructure Manager Консольные серверы CM7100
Версия 5.0 – 2023-12

Безопасность
При установке и эксплуатации консольного сервера соблюдайте следующие меры предосторожности: · Не снимайте металлические крышки. Внутри нет компонентов, обслуживаемых оператором. Открытие или снятие крышки может подвергнуть вас опасному воздействиюtage, что может привести к возгоранию или поражению электрическим током. Поручайте все виды обслуживания квалифицированному персоналу Opengear. · Во избежание поражения электрическим током провод защитного заземления шнура питания должен быть заземлен. · Всегда тяните за вилку, а не за кабель, вынимая шнур питания из розетки.
Не подключайте и не отключайте консольный сервер во время грозы. Также используйте ограничитель перенапряжений или ИБП для защиты оборудования от переходных процессов.
Предупреждающее заявление FCC
Данное устройство соответствует части 15 правил FCC. Эксплуатация данного устройства регулируется следующими
Условия: (1) Это устройство не может создавать вредных помех и (2) это устройство должно выдерживать любые помехи, которые могут вызвать нежелательную работу.
Для защиты от травм, смерти или материального ущерба из-за сбоя системы следует использовать соответствующие резервные системы и необходимые устройства безопасности. Ответственность за такую защиту несет пользователь. Это консольное серверное устройство не одобрено для использования в качестве системы жизнеобеспечения или медицинской системы. Любые изменения или модификации, внесенные в это консольное серверное устройство без явного одобрения или согласия Opengear, лишают Opengear какой-либо ответственности за травмы или убытки, вызванные какой-либо неисправностью. Это оборудование предназначено для использования внутри помещений, и все коммуникационные кабели проложены внутри здания.
2

Руководство пользователя
Авторские права
©Opengear Inc. 2023. Все права защищены. Информация в этом документе может быть изменена без предварительного уведомления и не представляет собой обязательств со стороны Opengear. Opengear предоставляет этот документ «как есть», без каких-либо гарантий, явных или подразумеваемых, включая, помимо прочего, подразумеваемые гарантии пригодности или коммерческой пригодности для конкретной цели. Opengear может вносить улучшения и/или изменения в это руководство или в продукт(ы) и/или программу(ы), описанные в этом руководстве, в любое время. Этот продукт может содержать технические неточности или опечатки. В информацию, содержащуюся здесь, периодически вносятся изменения; эти изменения могут быть включены в новые издания издания.\

Глава 1

Это руководство

ЭТО РУКОВОДСТВО

В этом руководстве пользователя описывается установка, эксплуатация и управление консольными серверами Opengear. В этом руководстве предполагается, что вы знакомы с Интернетом и IP-сетями, HTTP, FTP, основными операциями безопасности и внутренней сетью вашей организации.
1.1 Типы пользователей
Консольный сервер поддерживает два класса пользователей:
· Администраторы, имеющие неограниченные права настройки и управления консолью.
сервер и подключенные устройства, а также все службы и порты для управления всеми последовательно подключенными устройствами и сетевыми устройствами (хостами). Администраторы настраиваются как члены группы пользователей-администраторов. Администратор может получить доступ к серверу консоли и управлять им с помощью утилиты конфигурации, командной строки Linux или консоли управления на основе браузера.
· Пользователи, которым администратор настроил ограничения доступа и полномочий управления.
Пользователи имеют ограниченное количество view Консоли управления и может получить доступ только к авторизованным настроенным устройствам и повторноview журналы портов. Эти пользователи настраиваются как члены одной или нескольких предварительно настроенных групп пользователей, таких как PPTPD, Dialin, FTP, pmshell, пользователи или группы пользователей, которые мог создать администратор. Им разрешено выполнять определенные действия только на определенных подключенных устройствах. Пользователи, если они авторизованы, могут получать доступ к последовательным или сетевым устройствам и управлять ими с помощью определенных служб (например, Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Удаленные пользователи — это пользователи, которые не находятся в том же сегменте локальной сети, что и консольный сервер. Удаленный пользователь может находиться в дороге, подключаясь к управляемым устройствам через общедоступный Интернет, администратор в другом офисе подключается к серверу консоли через корпоративную VPN, или находится в той же комнате или в том же офисе, но подключен к консоли через отдельную VLAN. сервер.
1.2 Консоль управления
Консоль управления Opengear позволяет вам настраивать и отслеживать функции вашего консольного сервера Opengear. Консоль управления запускается в браузере и предоставляет view консольного сервера и всех подключенных устройств. Администраторы могут использовать консоль управления для настройки и управления консольным сервером, пользователями, портами, хостами, устройствами питания, а также соответствующими журналами и оповещениями. Пользователи, не являющиеся администраторами, могут использовать консоль управления с ограниченным доступом к меню для управления выбранными устройствами.view свои журналы и получать к ним доступ с помощью встроенного Web Терминал.
Консольный сервер работает под управлением встроенной операционной системы Linux и может быть настроен из командной строки. Вы можете получить доступ к командной строке по сотовой сети или по телефонной линии, напрямую подключившись к последовательному консольному/модемному порту консольного сервера или используя SSH или Telnet для подключения к консольному серверу через локальную сеть (или подключившись с помощью PPTP, IPsec или OpenVPN). .
6

Руководство пользователя
Для получения команд интерфейса командной строки (CLI) и дополнительных инструкций загрузите Opengear CLI и Справочник по сценариям.pdf с https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Дополнительная информация
Для получения дополнительной информации обратитесь: · Продукты Opengear Web Сайт: см. https://opengear.com/products. Чтобы получить самую актуальную информацию о том, что входит в состав вашего консольного сервера, посетите раздел «Что включено» для вашего конкретного продукта. · Краткое руководство: Чтобы получить краткое руководство для вашего устройства, посетите https://opengear.com/support/documentation/. · База знаний Opengear: посетите https://opengear.zendesk.com, чтобы получить доступ к техническим практическим статьям, техническим советам, часто задаваемым вопросам и важным уведомлениям. · Справочник по интерфейсу командной строки Opengear и сценариям: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Глава 2:

Конфигурация системы

КОНФИГУРАЦИЯ СИСТЕМЫ

В этой главе представлены пошаговые инструкции по первоначальной настройке консольного сервера и подключению его к управляющей или операционной локальной сети. Шаги:
Активируйте консоль управления. Измените пароль администратора. Установите основной порт LAN консольного сервера IP-адреса. Выберите службы, которые необходимо включить, и права доступа. В этой главе также обсуждаются инструменты коммуникационного программного обеспечения, которые администратор может использовать для доступа к консольному серверу, а также настройка дополнительных портов LAN.
2.1 Подключение консоли управления
Сервер консоли настроен с IP-адресом по умолчанию 192.168.0.1 и маской подсети 255.255.255.0 для NET1 (WAN). Для первоначальной настройки мы рекомендуем подключить компьютер напрямую к консоли. Если вы решили подключить локальную сеть до выполнения начальных шагов настройки, убедитесь, что:
· В локальной сети нет других устройств с адресом 192.168.0.1. · Консольный сервер и компьютер находятся в одном сегменте локальной сети без промежуточного маршрутизатора.
приборы.
2.1.1 Настройка подключенного компьютера Чтобы настроить консольный сервер с помощью браузера, подключенный компьютер должен иметь IP-адрес в том же диапазоне, что и консольный сервер (например,ampле, 192.168.0.100):
· Чтобы настроить IP-адрес вашего компьютера с ОС Linux или Unix, запустите ifconfig. · Для ПК с ОС Windows:
1. Нажмите «Пуск» > «Настройки» > «Панель управления» и дважды щелкните «Сетевые подключения». 2. Щелкните правой кнопкой мыши «Подключение по локальной сети» и выберите «Свойства». 3. Выберите Интернет-протокол (TCP/IP) и нажмите «Свойства». 4. Выберите «Использовать следующий IP-адрес» и введите следующие данные:
o IP-адрес: 192.168.0.100 o Маска подсети: 255.255.255.0 5. Если вы хотите сохранить существующие настройки IP для этого сетевого подключения, нажмите «Дополнительно» и добавьте вышеуказанное в качестве вторичного IP-подключения.
2.1.2 Подключение через браузер
Откройте браузер на подключенном ПК/рабочей станции и введите https://192.168.0.1.
Войдите с:
Имя пользователя> Пароль root> по умолчанию
8

Руководство пользователя
При первом входе в систему вам необходимо изменить пароль root. Нажмите «Отправить».
Для завершения изменения введите новый пароль еще раз. Нажмите «Отправить». Появится экран приветствия.
Если в вашей системе есть сотовый модем, вам будут предложены шаги по настройке функций сотового маршрутизатора: · Настройте соединение сотового модема (страница «Система» > «Набор номера». См. главу 4) · Разрешите переадресацию в сотовую сеть назначения (страница «Система» > «Брандмауэр»). См. главу 4) · Включите маскирование IP-адресов для сотового соединения (страница «Система» > «Брандмауэр». См. главу 4).
После выполнения каждого из вышеуказанных шагов вы можете вернуться к списку конфигурации, щелкнув логотип Opengear в левом верхнем углу экрана. ПРИМЕЧАНИЕ. Если вы не можете подключиться к консоли управления по адресу 192.168.0.1 или если по умолчанию
Имя пользователя и пароль не принимаются, перезагрузите сервер консоли (см. главу 10).
9

Глава 2: Конфигурация системы
2.2 Настройка администратора
2.2.1 Изменение пароля root по умолчанию При первом входе в устройство необходимо изменить пароль root. Вы можете изменить этот пароль в любое время.
1. Нажмите «Последовательный порт и сеть» > «Пользователи и группы» или на экране приветствия нажмите «Изменить пароль администратора по умолчанию».
2. Прокрутите вниз и найдите запись корневого пользователя в разделе «Пользователи» и нажмите «Изменить». 3. Введите новый пароль в поля «Пароль» и «Подтверждение».
ПРИМЕЧАНИЕ. Если вы установите флажок «Сохранить пароль при стирании встроенного ПО», пароль будет сохранен, поэтому он не будет удален при сбросе встроенного ПО. Если этот пароль утерян, устройство необходимо будет восстановить прошивкой.
4. Нажмите Применить. Войдите в систему с новым паролем 2.2.2. Настройка нового администратора Создайте нового пользователя с правами администратора и войдите в систему под этим пользователем для функций администрирования, а не с использованием root.
10

Руководство пользователя
1. Нажмите «Последовательный порт и сеть» > «Пользователи и группы». Прокрутите страницу вниз и нажмите кнопку «Добавить пользователя».
2. Введите имя пользователя. 3. В разделе «Группы» установите флажок «Администратор». 4. Введите пароль в поля «Пароль» и «Подтверждение».
5. Вы также можете добавить авторизованные ключи SSH и отключить аутентификацию по паролю для этого пользователя.
6. На этой странице можно установить дополнительные параметры для этого пользователя, включая параметры коммутируемого соединения, доступные хосты, доступные порты и доступные розетки RPC.
7. Нажмите кнопку «Применить» в нижней части экрана, чтобы создать нового пользователя.
11

Глава 2: Конфигурация системы
2.2.3 Добавьте имя системы, описание системы и MOTD. 1. Выберите Система > Администрирование. 2. Введите имя системы и описание системы для сервера консоли, чтобы присвоить ему уникальный идентификатор и упростить идентификацию. Имя системы может содержать от 1 до 64 буквенно-цифровых символов, а также специальные символы подчеркивания (_), минуса (-) и точки (.). Описание системы может содержать до 254 символов.
3. Баннер MOTD можно использовать для отображения пользователям текстового сообщения дня. Он появляется в левом верхнем углу экрана под логотипом Opengear.
4. Нажмите «Применить».
12

Глава 2: Конфигурация системы
5. Выберите Система > Администрирование. 6. Баннер MOTD можно использовать для отображения пользователям текстового сообщения дня. Оно появляется на
верхний левый угол экрана под логотипом Opengear. 7. Нажмите Применить.
2.3 Конфигурация сети
Введите IP-адрес для основного порта Ethernet (LAN/Сеть/Сеть1) на консольном сервере или разрешите его DHCP-клиенту автоматически получать IP-адрес от DHCP-сервера. По умолчанию на консольном сервере включен DHCP-клиент, и он автоматически принимает любой сетевой IP-адрес, назначенный DHCP-сервером в вашей сети. В этом исходном состоянии консольный сервер будет отвечать как на свой статический адрес по умолчанию 192.168.0.1, так и на свой DHCP-адрес.
1. Нажмите «Система» > «IP» и перейдите на вкладку «Сетевой интерфейс». 2. В качестве метода настройки выберите DHCP или Статический.
Если вы выберете «Статический», введите IP-адрес, маску подсети, шлюз и данные DNS-сервера. Этот выбор отключает DHCP-клиент.
12

Руководство пользователя
3. Порт LAN консольного сервера автоматически определяет скорость Ethernet-соединения. Используйте раскрывающийся список «Носитель», чтобы заблокировать Ethernet на скорости 10 Мбит/с или 100 Мбит/с, а также на полнодуплексном или полудуплексном режиме.
Если вы столкнулись с потерей пакетов или низкой производительностью сети при настройке «Авто», измените настройки Ethernet Media на консольном сервере и устройстве, к которому он подключен. В большинстве случаев измените оба на 100baseTx-FD (100 мегабит, полнодуплексный режим).
4. Если вы выберете DHCP, сервер консоли будет искать сведения о конфигурации на DHCP-сервере. Этот выбор отключает любой статический адрес. MAC-адрес консольного сервера можно найти на этикетке на базовой пластине.
5. Вы можете ввести дополнительный адрес или список адресов, разделенных запятыми, в нотации CIDR, например 192.168.1.1/24, в качестве псевдонима IP.
6. Нажмите «Применить». 7. Снова подключите браузер на компьютере, подключенном к серверу консоли, введя
http://your new IP address.
Если вы измените IP-адрес сервера консоли, вам необходимо перенастроить IP-адрес вашего компьютера в том же сетевом диапазоне, что и новый адрес сервера консоли. Вы можете установить MTU на интерфейсах Ethernet. Это расширенный вариант, который можно использовать, если ваш сценарий развертывания не работает с MTU по умолчанию, равным 1500 байтам. Чтобы установить MTU, нажмите «Система» > «IP» и перейдите на вкладку «Сетевой интерфейс». Прокрутите вниз до поля MTU и введите нужное значение. Допустимые значения: от 1280 до 1500 для 100-мегабитных интерфейсов и от 1280 до 9100 для гигабитных интерфейсов. Если настроено мостовое соединение или соединение, MTU, установленный на странице «Сетевой интерфейс», будет установлен для интерфейсов, которые являются частью моста или соединения. . ПРИМЕЧАНИЕ. В некоторых случаях указанное пользователем значение MTU может не вступить в силу. Некоторые драйверы сетевых карт могут округлять слишком большие MTU до максимально допустимого значения, а другие возвращают код ошибки. Вы также можете использовать команду CLI для управления размером MTU: configure
# config -s config.interfaces.wan.mtu=1380 проверка
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode конфигурация без сохранения состояния .interfaces.wan.media Автоматическая настройка.interfaces.wan.mode static config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Глава 2: Конфигурация системы
2.3.1 Конфигурация IPv6 Интерфейсы Ethernet консольного сервера по умолчанию поддерживают IPv4. Их можно настроить для работы IPv6:
1. Нажмите Система > IP. Перейдите на вкладку «Общие настройки» и установите флажок «Включить IPv6». При желании установите флажок «Отключить IPv6 для сотовой связи».
2. Настройте параметры IPv6 на каждой странице интерфейса. IPv6 можно настроить либо для автоматического режима, в котором для настройки адресов, маршрутов и DNS будет использоваться SLAAC или DHCPv6, либо для статического режима, который позволяет вводить информацию об адресе вручную.
2.3.2 Конфигурация динамического DNS (DDNS) При использовании динамического DNS (DDNS) консольный сервер, IP-адрес которого назначается динамически, может быть обнаружен с использованием фиксированного имени хоста или домена. Создайте учетную запись у поддерживаемого поставщика услуг DDNS по вашему выбору. При настройке учетной записи DDNS вы выбираете имя пользователя, пароль и имя хоста, которые вы будете использовать в качестве имени DNS. Поставщики услуг DDNS позволяют вам выбирать имя хоста URL и установите начальный IP-адрес, соответствующий этому имени хоста URL.
14

Руководство пользователя
Включение и настройка DDNS на любом из подключений Ethernet или сотовой сети на сервере консоли. 1. Нажмите «Система» > «IP» и прокрутите вниз раздел «Динамический DNS». Выберите поставщика услуг DDNS
из раскрывающегося списка Динамический DNS. Вы также можете установить информацию DDNS на вкладке «Сотовый модем» в разделе «Система» > «Набор номера».
2. В поле «Имя хоста DDNS» введите полное имя хоста DNS для вашего консольного сервера, например yourhostname.dyndns.org.
3. Введите имя пользователя DDNS и пароль DDNS для учетной записи поставщика услуг DDNS. 4. Укажите Максимальный интервал между обновлениями в днях. Обновление DDNS будет отправлено, даже если
адрес не изменился. 5. Укажите Минимальный интервал между проверками измененных адресов в секундах. Обновления будут
будет отправлено, если адрес изменился. 6. Укажите Максимальное количество попыток обновления, которое представляет собой количество попыток обновления.
прежде чем сдаться. По умолчанию это 3. 7. Нажмите Применить.
15

Глава 2: Конфигурация системы
2.3.3 Режим EAPoL для WAN, LAN и OOBFO
(OOBFO применим только к IM7216-2-24E-DAC)
Надview EAPoL IEEE 802.1X или PNAC (управление доступом к сети на основе портов) использует характеристики физического доступа к инфраструктуре локальной сети IEEE 802, чтобы предоставить средства аутентификации и авторизации устройств, подключенных к порту локальной сети, имеющему двухточечный доступ. характеристики точечного соединения и предотвращения доступа к этому порту в случае сбоя аутентификации и авторизации. Порт в этом контексте представляет собой единую точку подключения к инфраструктуре локальной сети.
Когда новый беспроводной или проводной узел (WN) запрашивает доступ к ресурсу локальной сети, точка доступа (AP) запрашивает идентификатор WN. Никакой другой трафик, кроме EAP, не допускается до аутентификации WN («порт» закрыт или «неаутентифицирован»). Беспроводной узел, который запрашивает аутентификацию, часто называется Соискателем. Соискатель отвечает за ответ на данные Аутентификатора, которые установят его учетные данные. То же самое касается точки доступа; Аутентификатор не является точкой доступа. Скорее, точка доступа содержит аутентификатор. Аутентификатор не обязательно должен находиться в точке доступа; это может быть внешний компонент. Реализованы следующие методы аутентификации:
· Заявитель EAP-MD5 o В методе EAP MD5-Challenge используются простые имя пользователя и пароль.
· EAP-PEAP-MD5 o EAP PEAP (защищенный EAP) Метод аутентификации MD5 использует учетные данные пользователя и сертификат CA.
· EAP-TLS o Для метода аутентификации EAP TLS (Transport Layer Security) требуется сертификат CA, сертификат клиента и закрытый ключ.
Протокол EAP, используемый для аутентификации, изначально использовался для коммутируемого доступа PPP. Идентификацией было имя пользователя, а для проверки пароля пользователя использовалась аутентификация PAP или CHAP. Поскольку идентификационные данные передаются в открытом виде (не зашифрованы), злонамеренный анализатор может узнать личность пользователя. Поэтому используется «сокрытие личности»; настоящая идентификационная информация не отправляется до тех пор, пока не заработает зашифрованный туннель TLS.
16

Руководство пользователя
После отправки удостоверения начинается процесс аутентификации. Протокол, используемый между Заявителем и Аутентификатором, — EAP (или EAPoL). Аутентификатор повторно инкапсулирует сообщения EAP в формат RADIUS и передает их на сервер аутентификации. Во время аутентификации Аутентификатор передает пакеты между Соискателем и Сервером аутентификации. Когда процесс аутентификации завершается, сервер аутентификации отправляет сообщение об успехе (или об ошибке, если аутентификация не удалась). Затем Аутентификатор открывает «порт» для Соискателя. Доступ к настройкам аутентификации можно получить на странице настроек соискателя EAPoL. Статус текущего EAPoL подробно отображается на странице Статистика статуса на вкладке EAPoL:
Абстракция EAPoL на сетевых РОЛЯх отображается в разделе «Диспетчер соединений» интерфейса Dashboard.
17

Глава 2: Конфигурация системы
Ниже показан бывшийampфайл успешной аутентификации:
Поддержка IEEE 802.1x (EAPOL) на портах коммутатора IM7216-2-24E-DAC и ACM7004-5: Во избежание петель пользователям не следует подключать более одного порта коммутатора к одному и тому же коммутатору верхнего уровня.
18

Руководство пользователя
2.4 Доступ к сервису и защита от грубой силы
Администратор может получить доступ к консольному серверу, подключенным последовательным портам и управляемым устройствам, используя ряд протоколов/сервисов доступа. За каждый доступ
· Сначала службу необходимо настроить и включить для запуска на сервере консоли. · Доступ через брандмауэр должен быть разрешен для каждого сетевого подключения. Чтобы включить и настроить службу: 1. Нажмите «Система» > «Службы» и перейдите на вкладку «Настройки службы».

2. Включите и настройте базовые службы:

HTTP

По умолчанию служба HTTP работает, и ее нельзя полностью отключить. По умолчанию доступ HTTP отключен на всех интерфейсах. Мы рекомендуем оставить этот доступ отключенным, если к серверу консоли осуществляется удаленный доступ через Интернет.
Альтернативный HTTP позволяет настроить альтернативный HTTP-порт для прослушивания. Служба HTTP продолжит прослушивать TCP-порт 80 для связи CMS и соединителя, но будет недоступна через брандмауэр.

HTTPS

По умолчанию служба HTTPS запущена и включена на всех сетевых интерфейсах. Рекомендуется использовать только доступ HTTPS, если управление консольным сервером осуществляется через любую общедоступную сеть. Это гарантирует, что администраторы имеют безопасный доступ через браузер ко всем меню на сервере консоли. Это также позволяет соответствующим образом настроенным пользователям обеспечить безопасный доступ через браузер к выбранным меню управления.
Службу HTTPS можно отключить или повторно включить, проверив HTTPS. Web Управление и указан альтернативный порт (порт по умолчанию — 443).

Телнет

По умолчанию служба Telnet запущена, но отключена на всех сетевых интерфейсах.
Telnet можно использовать для предоставления администратору доступа к оболочке командной строки системы. Эта услуга может быть полезна для локального администратора и пользователя, предоставляющего доступ к выбранным последовательным консолям. Мы рекомендуем отключить эту службу, если сервер консоли администрируется удаленно.
Флажок «Включить командную оболочку Telnet» включит или отключит службу Telnet. Альтернативный порт Telnet для прослушивания можно указать в разделе «Альтернативный порт Telnet» (порт по умолчанию — 23).

Глава 2: Конфигурация системы

SSH

Эта служба обеспечивает безопасный доступ по SSH к серверу консоли и подключенным устройствам.

и по умолчанию служба SSH запущена и включена на всех интерфейсах. Это

рекомендуется выбрать SSH в качестве протокола, к которому подключается администратор

консольный сервер через Интернет или любую другую общедоступную сеть. Это обеспечит

аутентифицированная связь между клиентской программой SSH на удаленном компьютере

компьютер и SSH-сервер на консольном сервере. Для получения дополнительной информации о SSH

Конфигурация См. главу 8 – Аутентификация.

Флажок «Включить командную оболочку SSH» включит или отключит эту службу. Альтернативный порт SSH для прослушивания можно указать в порте командной оболочки SSH (порт по умолчанию — 22).

3. Включите и настройте другие службы:

TFTP/FTP Если на консольном сервере обнаружена флэш-карта USB или внутренняя флэш-память, установите флажок «Включить службу TFTP (FTP)» для включения этой службы и настройки tftp и ftp-сервера по умолчанию на флэш-памяти USB. Эти серверы используются для хранения конфигурации files, ведение журналов доступа и транзакций и т. д. FileФайлы, переданные с помощью tftp и ftp, будут храниться в папке /var/mnt/storage.usb/tftpboot/ (или /var/mnt/storage.nvlog/tftpboot/ на устройствах серии ACM7000). Если снять флажок «Включить службу TFTP (FTP)», служба TFTP (FTP) будет отключена.

Проверка ретрансляции DNS Включить DNS-сервер/ретрансляция включает функцию ретрансляции DNS, поэтому клиенты могут быть настроены с использованием IP-адреса консольного сервера в качестве настройки DNS-сервера, и консольный сервер будет пересылать DNS-запросы на реальный DNS-сервер.

Web Проверка терминала включена Web Терминал позволяет web доступ браузера к оболочке командной строки системы через «Управление» > «Терминал».

4. Укажите альтернативные номера портов для служб Raw TCP, прямого Telnet/SSH и неаутентифицированных служб Telnet/SSH. Консольный сервер использует определенные диапазоны портов TCP/IP для различных вариантов доступа.
службы, которые пользователи могут использовать для доступа к устройствам, подключенным к последовательным портам (как описано в главе 3 «Настройка последовательных портов»). Администратор может установить альтернативные диапазоны для этих служб, и эти дополнительные порты будут использоваться в дополнение к портам по умолчанию.

Адрес базового порта TCP/IP по умолчанию для доступа через Telnet — 2000, а диапазон для Telnet — IP-адрес: порт (2000 + номер последовательного порта), т. е. 2001 2048. Если администратор установил 8000 в качестве вторичной базы для Telnet, последовательный порт к порту №2 на консольном сервере можно получить доступ через Telnet по IP
Адрес: 2002 и по IP-адресу: 8002. База по умолчанию для SSH — 3000; для Raw TCP — 4000; а для RFC2217 это 5000

5. Другие службы можно включить и настроить из этого меню, выбрав Щелкните здесь, чтобы настроить:

Nagios Доступ к демонам мониторинга Nagios NRPE

ОРЕХ

Доступ к демону мониторинга NUT UPS.

SNMP Включает snmp на консольном сервере. SNMP отключен по умолчанию

НТП

6. Нажмите Применить. Появится сообщение с подтверждением: Сообщение Изменения конфигурации выполнены успешно.

В настройках доступа к службам можно разрешить или заблокировать доступ. Здесь указывается, какие включенные службы администраторы могут использовать через каждый сетевой интерфейс для подключения к серверу консоли и через сервер консоли к подключенным последовательным и сетевым устройствам.

Руководство пользователя
1. Выберите вкладку «Доступ к службам» на странице «Система» > «Службы».
2. Здесь отображаются включенные службы для сетевых интерфейсов сервера консоли. В зависимости от конкретной модели консольного сервера отображаемые интерфейсы могут включать в себя: · Сетевой интерфейс (для основного соединения Ethernet) · Управление LAN / OOB Failover (вторые соединения Ethernet) · Коммутируемый/сотовый доступ (модем V90 и 3G) · Коммутируемый вход (внутренний) или внешний модем V90) · VPN (соединение IPsec или Open VPN через любой сетевой интерфейс)
3. Установите/снимите флажок для каждой сети, доступ к которой должен быть включен/отключен. Параметр «Ответить на ICMP-эхо» (т. е. ping) позволяет настроить параметры доступа к службе.tagе. Это позволяет серверу консоли отвечать на входящие эхо-запросы ICMP. Пинг включен по умолчанию. Для повышения безопасности вам следует отключить эту службу после завершения первоначальной настройки. Вы можете разрешить доступ к устройствам последовательного порта с назначенных сетевых интерфейсов с использованием Raw TCP, прямого Telnet/SSH, неаутентифицированных служб Telnet/SSH и т. д.
4. Нажмите "Применить". Web Настройки управления Флажок «Включить HSTS» включает строгую транспортную безопасность HTTP. Режим HSTS означает, что заголовок StrictTransport-Security должен отправляться по протоколу HTTPS. Соответствующий web браузер запоминает этот заголовок, и когда ему будет предложено связаться с тем же хостом через HTTP (обычный), он автоматически переключится на
19

Глава 2: Конфигурация системы
HTTPS перед попыткой HTTP, если браузер однажды получил доступ к защищенному сайту и увидел заголовок STS.
Защита от перебора. Защита от перебора (Micro Fail2ban) временно блокирует исходные IP-адреса, которые имеют признаки вредоносного характера, например, слишком много неудачных паролей. Это может помочь, когда сетевые службы устройства подвергаются воздействию ненадежной сети, такой как общедоступная глобальная сеть, и скриптовые атаки или программные черви пытаются угадать (перебором) учетные данные пользователя и получить несанкционированный доступ.

Для перечисленных сервисов можно включить защиту от грубой силы. По умолчанию, как только защита включена, 3 или более неудачных попыток подключения в течение 60 секунд с определенного IP-адреса источника приводят к блокировке подключения на настраиваемый период времени. Ограничение попыток и время блокировки можно настроить. Активные баны также отображаются в списке, и их можно обновить, перезагрузив страницу.

ПРИМЕЧАНИЕ

При работе в ненадежной сети рассмотрите возможность использования различных стратегий для блокировки удаленного доступа. Сюда входит аутентификация с открытым ключом SSH, VPN и правила брандмауэра для
разрешенный удаленный доступ только из доверенных исходных сетей. Подробности смотрите в базе знаний Opengear.

2.5 Коммуникационное программное обеспечение
Вы настроили протоколы доступа, которые клиент администратора будет использовать при подключении к серверу консоли. Клиенты пользователей также используют эти протоколы при доступе к последовательно подключенным устройствам консольного сервера и сетевым хостам. Вам потребуются средства коммуникационного программного обеспечения, установленные на компьютере администратора и пользователя-клиента. Для подключения вы можете использовать такие инструменты, как PuTTY и SSHTerm.

Руководство пользователя
Коммерчески доступные разъемы объединяют надежный протокол туннелирования SSH с популярными инструментами доступа, такими как Telnet, SSH, HTTP, HTTPS, VNC, RDP, чтобы обеспечить безопасный удаленный доступ к управлению по принципу «укажи и щелкни» ко всем управляемым системам и устройствам. Информацию об использовании коннекторов для доступа через браузер к консоли управления консольного сервера, доступа через Telnet/SSH к командной строке консольного сервера и TCP/UDP-подключения к хостам, подключенным к сети консольному серверу, можно найти в главе 5. Соединители можно найти в главе XNUMX. устанавливается на ПК с Windows, Mac OS X и в большинстве систем Linux, UNIX и Solaris.
2.6 Конфигурация сети управления
Консольные серверы имеют дополнительные сетевые порты, которые можно настроить для обеспечения доступа к локальной сети управления и/или аварийного переключения или внешнего доступа. 2.6.1 Включение управления локальной сетью Серверы консоли можно настроить так, чтобы второй порт Ethernet служил шлюзом локальной сети управления. Шлюз имеет функции брандмауэра, маршрутизатора и DHCP-сервера. Вам необходимо подключить внешний коммутатор локальной сети к сети 2, чтобы подключить хосты к этой локальной сети управления:
ПРИМЕЧАНИЕ Второй порт Ethernet можно настроить либо как порт шлюза локальной сети управления, либо как порт OOB/Failover. Убедитесь, что вы не назначили NET2 в качестве интерфейса аварийного переключения при настройке основного сетевого подключения в меню Система > IP.
21

Глава 2: Конфигурация системы
Чтобы настроить шлюз локальной сети управления: 1. Выберите вкладку Интерфейс локальной сети управления в меню Система > IP и снимите флажок Отключить. 2. Настройте IP-адрес и маску подсети для локальной сети управления. Оставьте поля DNS пустыми. 3. Нажмите Применить.
Функция шлюза управления включена, а правила брандмауэра и маршрутизатора по умолчанию настроены таким образом, что доступ к локальной сети управления возможен только через переадресацию портов SSH. Это обеспечивает безопасность удаленных и локальных подключений к управляемым устройствам в локальной сети управления. Порты LAN также можно настроить в мостовом или связанном режиме или настроить вручную из командной строки. 2.6.2 Настройка DHCP-сервера DHCP-сервер позволяет автоматически распределять IP-адреса устройствам в локальной сети управления, на которых работают DHCP-клиенты. Чтобы включить DHCP-сервер:
1. Нажмите Система > DHCP-сервер. 2. На вкладке «Сетевой интерфейс» установите флажок «Включить DHCP-сервер».
22

Руководство пользователя
3. Введите адрес шлюза, который будет выдан DHCP-клиентам. Если это поле оставить пустым, используется IP-адрес сервера консоли.
4. Введите адрес первичного DNS и вторичного DNS для запуска DHCP-клиентов. Если это поле оставить пустым, используется IP-адрес сервера консоли.
5. При необходимости введите суффикс имени домена для запуска DHCP-клиентов. 6. Введите время аренды по умолчанию и максимальное время аренды в секундах. Это количество времени
что динамически назначенный IP-адрес действителен до того, как клиент сможет запросить его снова. 7. Нажмите «Применить». DHCP-сервер выдает IP-адреса из указанных пулов адресов: 1. Нажмите «Добавить» в поле «Пулы динамического распределения адресов». 2. Введите начальный и конечный адрес DHCP-пула. 3. Нажмите Применить.
23

Глава 2: Конфигурация системы
DHCP-сервер также поддерживает предварительное назначение IP-адресов для определенных MAC-адресов и резервирование IP-адресов для использования подключенными хостами с фиксированными IP-адресами. Чтобы зарезервировать IP-адрес для определенного хоста:
1. Нажмите «Добавить» в поле «Зарезервированные адреса». 2. Введите имя хоста, аппаратный адрес (MAC) и статически зарезервированный IP-адрес для
DHCP-клиент и нажмите «Применить».
Если DHCP выделил адреса хостов, рекомендуется скопировать их в предварительно назначенный список, чтобы тот же IP-адрес был перераспределен в случае перезагрузки.
24

Руководство пользователя
2.6.3 Выбор аварийного переключения или широкополосного OOB Консольные серверы предоставляют возможность аварийного переключения, поэтому в случае возникновения проблем с использованием основного подключения к локальной сети для доступа к консольному серверу используется альтернативный путь доступа. Чтобы включить аварийное переключение:
1. Выберите страницу «Сетевой интерфейс» в меню «Система» > «IP». 2. Выберите интерфейс аварийного переключения, который будет использоваться в случае сбоя.tagе в основной сети.
3. Нажмите Применить. Отработка отказа становится активной после того, как вы укажете внешние сайты, которые будут проверяться для запуска переключения при сбое, и настроите порты переключения.
2.6.4 Объединение сетевых портов По умолчанию доступ к сетевым портам локальной сети управления консольного сервера можно получить с помощью туннелирования SSH/переадресации портов или путем создания туннеля IPsec VPN к серверу консоли. Все проводные сетевые порты на консольных серверах можно объединить с помощью моста или соединения.
25

Руководство пользователя
· По умолчанию агрегирование интерфейсов отключено в меню «Система» > «IP» > «Общие настройки». · Выберите «Интерфейсы моста» или «Интерфейсы соединения».
o Когда мост включен, сетевой трафик перенаправляется через все порты Ethernet без ограничений брандмауэра. Все порты Ethernet прозрачно подключены на канальном уровне (уровень 2), поэтому они сохраняют свои уникальные MAC-адреса.
o При объединении сетевой трафик передается между портами, но присутствует с одним MAC-адресом.
В обоих режимах удаляются все функции интерфейса локальной сети управления и интерфейса внеполосного/отказоустойчивого интерфейса, а также отключается DHCP-сервер. · В режиме агрегации все порты Ethernet настраиваются совместно с помощью меню «Сетевой интерфейс».
25

Глава 2: Конфигурация системы
2.6.5 Статические маршруты Статические маршруты обеспечивают очень быстрый способ маршрутизации данных из одной подсети в другую подсеть. Вы можете жестко запрограммировать путь, который сообщит консольному серверу/маршрутизатору, что он должен попасть в определенную подсеть, используя определенный путь. Это может быть полезно для доступа к различным подсетям на удаленном объекте при использовании сотового OOB-соединения.

Чтобы добавить статический маршрут в таблицу маршрутов Системы:
1. Выберите вкладку «Настройки маршрута» в меню «Система» > «Общие настройки IP».
2. Нажмите «Новый маршрут».
3. Введите имя маршрута.
4. В поле Сеть/хост назначения введите IP-адрес сети/хоста назначения, к которому обеспечивает доступ маршрут.
5. Введите значение в поле Маска сети назначения, которое идентифицирует сеть или хост назначения. Любое число от 0 до 32. Маска подсети 32 идентифицирует маршрут хоста.
6. Введите Route Gateway, указав IP-адрес маршрутизатора, который будет маршрутизировать пакеты в сеть назначения. Это поле можно оставить пустым.
7. Выберите интерфейс, который будет использоваться для достижения пункта назначения. Можно оставить значение «Нет».
8. Введите значение в поле Метрика, которое представляет метрику этого соединения. Используйте любое число, равное или больше 0. Это значение необходимо устанавливать только в том случае, если два или более маршрутов конфликтуют или имеют перекрывающиеся цели.
9. Нажмите «Применить».

ПРИМЕЧАНИЕ

На странице сведений о маршруте представлен список сетевых интерфейсов и модемов, к которым может быть привязан маршрут. В случае модема маршрут будет привязан к любому сеансу коммутируемого доступа, установленному через это устройство. Маршрут может быть указан со шлюзом, интерфейсом или с обоими. Если указанный интерфейс не активен, маршруты, настроенные для этого интерфейса, не будут активны.

Руководство пользователя 3. ПОСЛЕДОВАТЕЛЬНЫЙ ПОРТ, ХОСТ, УСТРОЙСТВО И ПОЛЬЗОВАТЕЛЬСКАЯ КОНФИГУРАЦИЯ
Консольный сервер обеспечивает доступ и управление последовательно подключенными устройствами и сетевыми устройствами (хостами). Администратор должен настроить права доступа для каждого из этих устройств и указать службы, которые можно использовать для управления устройствами. Администратор также может создавать новых пользователей и указывать индивидуальные права доступа и управления для каждого пользователя.
В этой главе описываются все этапы настройки сетевых и последовательно подключенных устройств: · Настройка последовательных портов и протоколов, используемых последовательно подключенными устройствами · Пользователи и группы, настройка пользователей и определение прав доступа для каждого из этих пользователей · Аутентификация. Это описано в разделе «Подробнее». Подробности см. в Главе 8. · Сетевые узлы, настраивающие доступ к компьютерам или устройствам, подключенным к локальной сети (хостам). · Настройка доверенных сетей – назначение IP-адресов, с которых получают доступ доверенные пользователи. · Каскадирование и перенаправление последовательных консольных портов. · Подключение к источнику питания (ИБП, PDU и IPMI) и устройства мониторинга окружающей среды (EMD). · Перенаправление последовательного порта с использованием клиентов PortShare для Windows и Linux. · Управляемые устройства – представляет собой консолидированный view всех соединений · IPSec, включающий VPN-соединение · OpenVPN · PPTP
3.1 Настройка последовательных портов
Первым шагом в настройке последовательного порта является установка общих настроек, таких как протоколы и параметры RS232, которые будут использоваться для подключения данных к этому порту (например, скорость передачи данных). Выберите, в каком режиме будет работать порт. Каждый порт можно настроить на поддержку одного из следующих режимов работы:
· По умолчанию установлен отключенный режим, последовательный порт неактивен.
27

Глава 3:

Последовательный порт, хост, конфигурация устройства и пользователя

· Режим консольного сервера обеспечивает общий доступ к последовательному консольному порту на последовательно подключенных устройствах.
· Режим устройства настраивает последовательный порт для связи с интеллектуальным последовательным PDU, ИБП или устройствами мониторинга окружающей среды (EMD).
· Режим сервера терминалов устанавливает последовательный порт в ожидании входящего сеанса входа в систему терминала. · Режим последовательного моста обеспечивает прозрачное соединение двух устройств последовательного порта через
сеть.
1. Выберите «Последовательный и сеть» > «Последовательный порт», чтобы отобразить сведения о последовательном порте. 2. По умолчанию каждый последовательный порт установлен в режиме консольного сервера. Нажмите «Изменить» рядом с портом, который будет
переконфигурирован. Или нажмите «Редактировать несколько портов» и выберите порты, которые вы хотите настроить как группу. 3. После того как вы переконфигурировали общие настройки и режим для каждого порта, настройте любой удаленный системный журнал (более подробную информацию см. в следующих разделах). Нажмите «Применить». 4. Если консольный сервер настроен с включенным распределенным мониторингом Nagios, используйте параметры настроек Nagios, чтобы включить мониторинг назначенных служб на хосте. 3.1.1 Общие настройки Существует ряд общих настроек, которые можно установить для каждого последовательного порта. порт. Они не зависят от режима, в котором используется порт. Эти параметры последовательного порта должны быть установлены так, чтобы они соответствовали параметрам последовательного порта на устройстве, которое вы подключаете к этому порту:
28

Руководство пользователя

· Введите метку для порта. · Выберите соответствующую скорость передачи данных, четность, биты данных, стоповые биты и управление потоком для каждого порта.

· Установите распиновку порта. Этот пункт меню отображается для портов IM7200, где распиновка каждого последовательного порта RJ45 может быть установлена как X2 (Cisco Straight) или X1 (Cisco Rolled).

· Установите режим DTR. Это позволяет вам выбрать, будет ли DTR подтверждаться всегда или подтверждаться только при наличии активного сеанса пользователя.

· Прежде чем приступить к дальнейшей настройке последовательного порта, вам следует подключить порты к последовательным устройствам, которыми они будут управлять, и убедиться, что их настройки совпадают.

3.1.2

Режим консольного сервера
Выберите Режим консольного сервера, чтобы разрешить доступ удаленного управления к последовательной консоли, подключенной к этому последовательному порту:

Уровень регистрации. Определяет уровень информации, которая будет регистрироваться и отслеживаться.
29

Глава 3: Последовательный порт, хост, конфигурация устройства и пользователя
Уровень 0: отключить ведение журнала (по умолчанию).
Уровень 1: Регистрация событий ВХОДА, ВЫХОДА и СИГНАЛА.
Уровень 2: Регистрация событий ВХОДА, ВЫХОДА, СИГНАЛА, TXDATA и RXDATA.
Уровень 3: Регистрация событий ВХОДА, ВЫХОДА, СИГНАЛА и RXDATA.
Уровень 4: Регистрация событий ВХОДА, ВЫХОДА, СИГНАЛА и TXDATA.
Входные данные/RXDATA — это данные, полученные устройством Opengear от подключенного последовательного устройства, а выходные данные/TXDATA — это данные, отправленные устройством Opengear (например, введенные пользователем) на подключенное последовательное устройство.
Консоли устройств обычно возвращают символы по мере их ввода, поэтому TXDATA, введенный пользователем, впоследствии принимается как RXDATA и отображается на его терминале.
ПРИМЕЧАНИЕ. После запроса пароля подключенное устройство отправляет символы *, чтобы пароль не отображался.

Telnet Если служба Telnet включена на консольном сервере, клиент Telnet на компьютере пользователя может подключаться к последовательному устройству, подключенному к этому последовательному порту на консольном сервере. Поскольку соединения Telnet не зашифрованы, этот протокол рекомендуется использовать только для локальных или VPN-туннельных подключений.
Если удаленная связь туннелируется с помощью соединителя, Telnet можно использовать для безопасного доступа к этим подключенным устройствам.

ПРИМЕЧАНИЕ

В режиме консольного сервера пользователи могут использовать соединитель для установки безопасных подключений Telnet, туннелируемых по SSH от клиентских компьютеров к последовательному порту консольного сервера. Соединители можно установить на ПК с Windows и большинство платформ Linux, что позволяет выбирать безопасные соединения Telnet одним щелчком мыши.

Чтобы использовать соединитель для доступа к консолям через последовательные порты консольного сервера, настройте соединитель с консольным сервером в качестве шлюза и хоста и включите службу Telnet на порту (2000 + номер последовательного порта), т. е. 2001.

Вы также можете использовать стандартные коммуникационные пакеты, такие как PuTTY, чтобы установить прямое соединение Telnet или SSH с последовательными портами.

ПРИМЕЧАНИЕ. В режиме консольного сервера при подключении к последовательному порту вы подключаетесь через pmshell. Чтобы сгенерировать BREAK на последовательном порту, введите последовательность символов ~b. Если вы делаете это через OpenSSH, введите ~~b.

SSH

Рекомендуется использовать SSH в качестве протокола, когда пользователи подключаются к консольному серверу.

(или подключитесь через консольный сервер к подключенным последовательным консолям) через Интернет или любой другой

другая общедоступная сеть.

Для SSH-доступа к консолям на устройствах, подключенных к последовательным портам консольного сервера, можно использовать разъем. Настройте соединитель с консольным сервером в качестве шлюза и хоста и включите службу SSH на порту (3000 + номер последовательного порта), т. е. 3001–3048.

Вы также можете использовать общие коммуникационные пакеты, такие как PuTTY или SSHTerm, для SSH-подключения к порту с адресом IP-адрес _ порт (3000 + номер последовательного порта), т.е. 3001.

Подключения SSH можно настроить с использованием стандартного порта SSH 22. Доступ к последовательному порту определяется путем добавления дескриптора к имени пользователя. Этот синтаксис поддерживает:

Руководство пользователя
: : Чтобы пользователь с именем chris имел доступ к последовательному порту 2, при настройке SSHTerm или SSH-клиента PuTTY вместо ввода username = chris и ssh port = 3002 альтернативным способом является ввод username = chris:port02 (или username = chris: ttyS1) и порт ssh = 22. Или, набрав username=chris:serial и ssh port = 22, пользователю предоставляется опция выбора порта:

Этот синтаксис позволяет пользователям настраивать SSH-туннели для всех последовательных портов, при этом в брандмауэре/шлюзе необходимо открыть один IP-порт 22.
ПРИМЕЧАНИЕ. В режиме консольного сервера вы подключаетесь к последовательному порту через pmshell. Чтобы сгенерировать BREAK на последовательном порту, введите последовательность символов ~b. Если вы делаете это через OpenSSH, введите ~~b.

ТКП

RAW TCP позволяет подключаться к сокету TCP. Хотя коммуникационные программы, такие как PuTTY

также поддерживает RAW TCP, этот протокол обычно используется специальным приложением

Для RAW TCP адрес порта по умолчанию — IP-адрес _ порт (4000 + номер последовательного порта), т. е. 4001 4048.

RAW TCP также позволяет туннелировать последовательный порт на удаленный консольный сервер, поэтому два устройства с последовательным портом могут прозрачно соединяться по сети (см. главу 3.1.6 «Последовательный мост»).

RFC2217 Выбор RFC2217 включает перенаправление последовательного порта на этом порту. Для RFC2217 адрес порта по умолчанию — IP-адрес _ порт (5000 + номер последовательного порта), т. е. 5001 5048.
Для Windows UNIX и Linux доступно специальное клиентское программное обеспечение, которое поддерживает виртуальные COM-порты RFC2217, поэтому удаленный хост может отслеживать и управлять удаленными последовательно подключенными устройствами, как если бы они были подключены к локальному последовательному порту (подробнее см. в главе 3.6 «Перенаправление последовательного порта»).
RFC2217 также позволяет туннелировать последовательный порт на удаленный консольный сервер, поэтому два устройства с последовательным портом могут прозрачно соединяться по сети (см. главу 3.1.6 «Последовательное мостовое соединение»).

Неаутентифицированный Telnet. Это обеспечивает доступ Telnet к последовательному порту без учетных данных аутентификации. Когда пользователь обращается к консольному серверу через Telnet через последовательный порт, ему предоставляется приглашение для входа в систему. При использовании Telnet без аутентификации они подключаются напрямую к порту без необходимости входа в систему консольного сервера. Если клиент Telnet запрашивает аутентификацию, любые введенные данные разрешают соединение.

Глава 3: Последовательный порт, хост, конфигурация устройства и пользователя
Этот режим используется с внешней системой (например, консерватором), управляющей аутентификацией пользователей и правами доступа на уровне последовательного устройства.
Для входа в устройство, подключенное к серверу консоли, может потребоваться аутентификация.
Для неаутентифицированного Telnet адрес порта по умолчанию — IP-адрес _ порт (6000 + номер последовательного порта), т. е. 6001 6048.

Неаутентифицированный SSH. Это обеспечивает доступ SSH к последовательному порту без учетных данных аутентификации. Когда пользователь обращается к консольному серверу через Telnet через последовательный порт, ему предоставляется приглашение для входа в систему. При использовании SSH без аутентификации они подключаются напрямую к порту без каких-либо проблем с входом в консольный сервер.
Этот режим используется, когда у вас есть другая система, управляющая аутентификацией пользователей и правами доступа на уровне последовательного устройства, но вы хотите зашифровать сеанс в сети.
Для входа в устройство, подключенное к серверу консоли, может потребоваться аутентификация.
Для неаутентифицированного Telnet адрес порта по умолчанию — IP-адрес _ порт (7000 + номер последовательного порта), т. е. 7001 7048.
: метод доступа к порту (как описано в разделе SSH выше) всегда требует аутентификации.

Web Терминал Это позволяет web доступ через браузер к последовательному порту через «Управление» > «Устройства: последовательный порт» с использованием встроенного терминала AJAX консоли управления. Web Терминал подключается как текущий аутентифицированный пользователь Консоли управления и не выполняет повторную аутентификацию. Более подробную информацию см. в разделе 12.3.

Псевдоним IP

Включите доступ к последовательному порту, используя определенный IP-адрес, указанный в формате CIDR. Каждому последовательному порту может быть назначен один или несколько псевдонимов IP, настроенных для каждого сетевого интерфейса. Последовательный порт может, напримерample должен быть доступен как по адресу 192.168.0.148 (как часть внутренней сети), так и 10.10.10.148 (как часть локальной сети управления). Также возможно сделать последовательный порт доступным на двух IP-адресах в одной сети (например,ampле, 192.168.0.148 и 192.168.0.248).

Эти IP-адреса можно использовать только для доступа к определенному последовательному порту, доступному с использованием номеров TCP-портов стандартного протокола служб консольного сервера. Для бывшегоampНапример, SSH на последовательном порту 3 будет доступен через порт 22 IP-псевдонима последовательного порта (тогда как на основном адресе консольного сервера он доступен через порт 2003).

Эту функцию также можно настроить на странице редактирования нескольких портов. В этом случае IP-адреса применяются последовательно: первый выбранный порт получает введенный IP-адрес, а последующие увеличиваются, при этом номера для всех невыбранных портов пропускаются. Для бывшегоample, если выбраны порты 2, 3 и 5 и для сетевого интерфейса введен IP-псевдоним 10.0.0.1/24, назначаются следующие адреса:

Порт 2: 10.0.0.1/24

Порт 3: 10.0.0.2/24

Порт 5: 10.0.0.4/24

Псевдонимы IP также поддерживают адреса-псевдонимы IPv6. Единственное отличие состоит в том, что адреса представляют собой шестнадцатеричные числа, поэтому порт 10 может соответствовать адресу, заканчивающемуся на A, а порт 11 — адресу, заканчивающемуся на B, а не 10 или 11, как в IPv4.

Руководство пользователя
Шифрование трафика/аутентификация Включите простое шифрование и аутентификацию последовательной связи RFC2217 с помощью Portshare (для надежного шифрования используйте VPN).
Период накопления После того как для определенного последовательного порта установлено соединение (например, перенаправление RFC2217 или соединение Telnet с удаленным компьютером), любые входящие символы на этот порт пересылаются по сети посимвольно. Период накопления определяет период времени, в течение которого входящие символы собираются перед отправкой в виде пакета по сети.
Escape-символ Измените символ, используемый для отправки escape-символов. По умолчанию — ~. Заменить Backspace Заменить значение Backspace по умолчанию CTRL+? (127) с помощью CTRL+h (8). Меню питания. Команда для вызова меню питания — ~p. Она включает команду питания оболочки, поэтому
пользователь может управлять подключением питания к управляемому устройству из командной строки, когда он подключен к устройству через Telnet или SSH. Управляемое устройство должно быть настроено как для подключения последовательного порта, так и для подключения питания.
Единственное соединение. Это ограничивает порт одним соединением, поэтому, если несколько пользователей имеют права доступа к определенному порту, только один пользователь может получить доступ к этому порту одновременно (т. е. отслеживание порта не разрешено).
33

Глава 3: Последовательный порт, хост, конфигурация устройства и пользователя
3.1.3 Режим устройства (RPC, ИБП, защита окружающей среды) В этом режиме выбранный последовательный порт настраивается для связи с последовательным управляемым источником бесперебойного питания (ИБП), удаленным контроллером питания / блоками распределения питания (RPC) или устройством мониторинга окружающей среды (окружающим).

1. Выберите желаемый тип устройства (ИБП, RPC или экологический).
2. Перейдите на соответствующую страницу конфигурации устройства («Последовательный порт и сеть» > «Подключения ИБП», «Подключение RPC» или «Окружающая среда»), как описано в главе 7.

3.1.4 ·

Режим терминального сервера
Выберите режим сервера терминалов и тип терминала (vt220, vt102, vt100, Linux или ANSI), чтобы включить getty на выбранном последовательном порту.

Getty настраивает порт и ждет установления соединения. Активное соединение на последовательном устройстве обозначается поднятым контактом обнаружения носителя данных (DCD) на последовательном устройстве. При обнаружении соединения программа getty выдает приглашение login: и вызывает программу входа в систему для обработки входа в систему.
ПРИМЕЧАНИЕ. Выбор режима сервера терминалов отключает диспетчер портов для этого последовательного порта, поэтому данные больше не регистрируются для предупреждений и т. д.

Руководство пользователя
3.1.5 Режим последовательного моста При использовании последовательного моста последовательные данные на назначенном последовательном порту одного консольного сервера инкапсулируются в сетевые пакеты и передаются по сети на второй консольный сервер, где они представлены в виде последовательных данных. Два консольных сервера действуют как виртуальный последовательный кабель в IP-сети. Один консольный сервер настроен в качестве Сервера. Последовательный порт сервера, который будет соединен мостом, установлен в режиме консольного сервера с включенным RFC2217 или RAW. Для сервера клиентской консоли последовательный порт, который необходимо соединить, должен быть установлен в режиме моста:
· Выберите режим последовательного моста и укажите IP-адрес сервера консоли сервера и адрес TCP-порта удаленного последовательного порта (для моста RFC2217 это будет 5001-5048).
· По умолчанию клиент моста использует RAW TCP. Выберите RFC2217, если это режим консольного сервера, который вы указали на сервере консоли сервера.
· Вы можете защитить связь через локальный Ethernet, включив SSH. Сгенерируйте и загрузите ключи.
3.1.6 Системный журнал В дополнение к встроенному ведению журнала и мониторингу, которые можно применять к последовательному и сетевому доступу к управлению, как описано в Главе 6, консольный сервер также можно настроить для поддержки протокола удаленного системного журнала на каждом последовательном порту. основа:
· Выберите поля Syslog Facility/Priority, чтобы включить регистрацию трафика по выбранному последовательному порту на сервере системного журнала; а также сортировать и обрабатывать эти зарегистрированные сообщения (т. е. перенаправлять их/отправлять оповещения по электронной почте).
35

Глава 3: Последовательный порт, конфигурация устройства и пользователя
НапримерampНапример, если компьютер, подключенный к последовательному порту 3, никогда не должен ничего отправлять на свой последовательный консольный порт, администратор может установить для параметра Facility для этого порта значение local0 (local0 .. local7 предназначены для локальных значений сайта), а для параметра Priority — критическое значение. . При этом приоритете, если сервер системного журнала консольного сервера получает сообщение, он выдает предупреждение. См. главу 6. 3.1.7 Потоковая передача данных NMEA ACM7000-L может обеспечивать потоковую передачу данных GPS NMEA от внутреннего GPS/сотового модема. Этот поток данных отображается как последовательный поток данных через порт 5 в моделях ACM.
Общие настройки (скорость передачи данных и т. д.) игнорируются при настройке последовательного порта NMEA. Вы можете указать частоту фиксации (т. е. эта частота GPS-фиксации определяет, как часто будут получаться GPS-фиксации). К этому порту также можно применить все настройки режима консольного сервера, системного журнала и последовательного моста.
Вы можете использовать pmshell, webоболочки, SSH, RFC2217 или RawTCP для доступа к потоку:
Напримерampле, используя Web Терминал:
36

Руководство пользователя

3.1.8 USB-консоли
Консольные серверы с USB-портами поддерживают USB-консольные подключения к устройствам широкого спектра производителей, включая Cisco, HP, Dell и Brocade. Эти порты USB также могут функционировать как обычные последовательные порты RS-232 при подключении адаптера USB-последовательный порт.

Эти USB-порты доступны как обычные порты диспетчера портов и представлены в цифровом виде в web Пользовательский интерфейс после всех последовательных портов RJ45.

ACM7008-2 имеет восемь последовательных портов RJ45 на задней панели консольного сервера и четыре порта USB на передней панели. В разделе «Последовательный и сетевой» > «Последовательный порт» они перечислены как

Разъем № порта

RJ45

USB

10 USB

11 USB

12 USB

Если конкретная модель ACM7008-2 является моделью сотовой связи, в списке также будет указан порт № 13 — для GPS.

Модель 7216-24U имеет 16 последовательных портов RJ45 и 24 порта USB на задней панели, а также два порта USB на передней панели и (в модели с сотовой связью) GPS.

Последовательные порты RJ45 представлены в разделе «Последовательные и сети» > «Последовательный порт» под номерами портов 1. 16 порта USB на задней панели имеют номера портов 24, а порты USB на передней панели указаны под номерами портов 17 и 40 соответственно. И, как и в случае с ACM41-42, если конкретная модель 7008-2U является сотовой моделью, GPS представлен на порту номер 7216.

Общие настройки (скорость передачи данных и т. д.) используются при настройке портов, но некоторые операции могут не работать в зависимости от реализации базового последовательного чипа USB.

3.2 Добавление и редактирование пользователей
Администратор использует этот пункт меню для создания, редактирования и удаления пользователей, а также для определения прав доступа для каждого из этих пользователей.

Глава 3: Последовательный порт, конфигурация устройства и пользователя

Пользователям может быть разрешен доступ к определенным службам, последовательным портам, устройствам питания и указанным хостам, подключенным к сети. Этим пользователям также может быть предоставлен полный статус администратора (с полными правами настройки, управления и доступа).

Пользователей можно добавлять в группы. По умолчанию настроено шесть групп:

админ

Предоставляет неограниченные права настройки и управления.

пптпд

Разрешает доступ к VPN-серверу PPTP. Пароли пользователей в этой группе хранятся в виде открытого текста.

Ввести номер

Разрешает коммутируемый доступ через модемы. Пароли пользователей в этой группе хранятся в виде открытого текста.

фтп

Разрешает доступ по FTP и file доступ к устройствам хранения данных.

pmshell

Устанавливает оболочку по умолчанию на pmshell.

пользователи

Предоставляет пользователям базовые права управления.

Группа администраторов предоставляет членам полные права администратора. Пользователь-администратор может получить доступ к серверу консоли, используя любую из служб, которые были включены в разделе «Система» > «Службы». Они также могут получить доступ к любому из подключенных хостов или устройств последовательного порта, используя любую из служб, которые были включены для этих подключений. Только доверенные пользователи должны иметь доступ администратора.
Группа пользователей предоставляет участникам ограниченный доступ к серверу консоли, подключенным хостам и последовательным устройствам. Эти пользователи имеют доступ только к разделу «Управление» меню консоли управления и не имеют доступа к командной строке к серверу консоли. Они могут получить доступ только к тем хостам и последовательным устройствам, которые были проверены для них, используя включенные службы.
Пользователи в группах pptd, Dialin, ftp или pmshell ограничили доступ пользовательской оболочки к назначенным управляемым устройствам, но у них не будет прямого доступа к консольному серверу. Чтобы добавить это, пользователи также должны быть членами групп пользователей или администраторов.
Администратор может настроить дополнительные группы с определенными устройствами питания, последовательными портами и разрешениями доступа к хосту. Пользователи в этих дополнительных группах не имеют доступа к меню консоли управления и не имеют доступа к командной строке сервера консоли.

Руководство пользователя
Администратор может назначить пользователям определенные права доступа к устройству питания, последовательному порту и хосту, которые не являются членами каких-либо групп. Эти пользователи не имеют доступа ни к меню консоли управления, ни к командной строке сервера консоли. 3.2.1 Настройка новой группы Чтобы настроить новые группы и новых пользователей, а также классифицировать пользователей как членов определенных групп:
1. Выберите «Последовательный порт и сеть» > «Пользователи и группы», чтобы отобразить все группы и пользователей. 2. Нажмите «Добавить группу», чтобы добавить новую группу.
3. Добавьте имя и описание группы для каждой новой группы и назначьте доступные хосты, доступные порты и доступные розетки RPC, к которым пользователи в этой новой группе смогут получить доступ.
4. Нажмите «Применить». 5. Администратор может изменить или удалить любую добавленную группу. 3.2.2. Настройка новых пользователей. Чтобы настроить новых пользователей и классифицировать пользователей как членов определенных групп: 1. Для отображения выберите «Последовательный порт и сеть» > «Пользователи и группы». все группы и пользователи 2. Нажмите «Добавить пользователя».
39

Глава 3: Последовательный порт, конфигурация устройства и пользователя
3. Добавьте имя пользователя для каждого нового пользователя. Вы также можете включить информацию, относящуюся к пользователю (например, контактные данные), в поле «Описание». Имя пользователя может содержать от 1 до 127 буквенно-цифровых символов, а также символы «-», «_» и «.».
4. Укажите, членом каких групп вы хотите, чтобы пользователь был. 5. Добавьте подтвержденный пароль для каждого нового пользователя. Разрешены все символы. 6. Можно использовать аутентификацию по ключу доступа SSH. Вставьте открытые ключи авторизованных общедоступных/частных
пары ключей для этого пользователя в поле «Авторизованные ключи SSH». 7. Установите флажок «Отключить аутентификацию по паролю», чтобы разрешить аутентификацию с открытым ключом только для этого пользователя.
при использовании SSH 8. Установите флажок «Включить обратный вызов» в меню «Параметры дозвона», чтобы разрешить исходящее обратное соединение.
запускаться при входе в этот порт. Введите номер телефона для обратного набора, а также номер телефона для обратного вызова при входе пользователя в систему. 9. Отметьте «Доступные хосты» и/или «Доступные порты», чтобы указать последовательные порты и подключенные к сети хосты, к которым вы хотите предоставить пользователю права доступа. 10. Если имеются настроенные RPC, отметьте «Доступные розетки RPC», чтобы указать, какими розетками пользователь может управлять (т. е. включение/выключение питания). 11. Нажмите «Применить». Новый пользователь сможет получить доступ к доступным сетевым устройствам, портам и розеткам RPC. Если пользователь является членом группы, он также может получить доступ к любому другому устройству/порту/розетке, доступному группе.
40

Руководство пользователя
Нет ограничений на количество пользователей, которых вы можете настроить, или количество пользователей на последовательный порт или хост. Несколько пользователей могут контролировать/контролировать один порт или хост. Ограничений на количество групп нет, и каждый пользователь может быть членом нескольких групп. Пользователь не обязательно должен быть членом какой-либо группы, но если пользователь является членом группы пользователей по умолчанию, он не сможет использовать консоль управления для управления портами. Хотя ограничений нет, время перенастройки увеличивается по мере увеличения количества и сложности. Мы рекомендуем общее количество пользователей и групп не превышать 250. Администратор также может редактировать настройки доступа для любых существующих пользователей:
· Выберите «Последовательный порт и сеть» > «Пользователи и группы» и нажмите «Изменить», чтобы изменить права доступа пользователя. · Нажмите «Удалить», чтобы удалить пользователя. · Нажмите «Отключить», чтобы временно заблокировать права доступа.
3.3 Аутентификация
См. главу 8 для получения подробной информации о настройке аутентификации.
3.4 Сетевые хосты
Для мониторинга и удаленного доступа к локальному сетевому компьютеру или устройству (называемому хостом) вы должны идентифицировать хост:
1. При выборе «Последовательный и сетевой» > «Сетевые хосты» отображаются все подключенные к сети хосты, которые разрешены для использования.
2. Нажмите «Добавить хост», чтобы разрешить доступ к новому хосту (или выберите «Изменить», чтобы обновить настройки существующего хоста).
41

Глава 3: Последовательный порт, конфигурация устройства и пользователя
3. Если хост представляет собой устройство питания PDU или ИБП или сервер с управлением питанием IPMI, укажите RPC (для IPMI и PDU) или UPS и тип устройства. Администратор может настроить эти устройства и указать, какие пользователи имеют разрешение на удаленное включение и выключение питания и т. д. См. главу 7. В противном случае оставьте для параметра «Тип устройства» значение «Нет».
4. Если сервер консоли настроен с включенным распределенным мониторингом Nagios, вы также увидите параметры настроек Nagios, позволяющие включить мониторинг назначенных служб на хосте.
5. Нажмите Применить. При этом будет создан новый хост, а также новое управляемое устройство с тем же именем.
3.5 Доверенные сети
Функция «Надежные сети» дает вам возможность назначить IP-адреса, на которых должны находиться пользователи, чтобы иметь доступ к последовательным портам консольного сервера:
42

Руководство пользователя
1. Выберите «Последовательный порт и сеть» > «Надежные сети». 2. Чтобы добавить новую доверенную сеть, выберите «Добавить правило». При отсутствии Правил нет доступа
ограничения на IP-адрес, по которому могут находиться пользователи.

3. Выберите доступные порты, к которым должно применяться новое правило.
4. Введите сетевой адрес подсети, для которой будет разрешен доступ.
5. Укажите диапазон адресов, которые должны быть разрешены, путем ввода маски сети для этого разрешенного диапазона IP-адресов, например
· Чтобы разрешить всем пользователям, имеющим определенное сетевое подключение класса C, доступ к назначенному порту, добавьте следующее новое правило доверенной сети:

IP-адрес сети

204.15.5.0

Маска подсети

255.255.255.0

· Чтобы разрешить подключение только одному пользователю, находящемуся на определенном IP-адресе:

IP-адрес сети

204.15.5.13

Маска подсети

255.255.255.255

· Чтобы разрешить всем пользователям, работающим с определенным диапазоном IP-адресов (скажем, любой из тридцати адресов от 204.15.5.129 до 204.15.5.158), разрешить подключение к назначенному порту:

Адрес хоста/подсети

204.15.5.128

Маска подсети

255.255.255.224

6. Нажмите "Применить".

Глава 3: Последовательный порт, конфигурация устройства и пользователя
3.6 Каскадирование последовательных портов
Каскадные порты позволяют кластеризовать распределенные консольные серверы, чтобы можно было настроить большое количество последовательных портов (до 1000), получить к ним доступ через один IP-адрес и управлять ими через одну консоль управления. Один консольный сервер, основной, управляет другими консольными серверами как узлами, и все последовательные порты на узлах отображаются так, как если бы они были частью основного. Кластеризация Opengear соединяет каждый узел с основным с помощью SSH-соединения. Это делается с использованием аутентификации с открытым ключом, поэтому основной узел может получить доступ к каждому узлу, используя пару ключей SSH (вместо использования паролей). Это обеспечивает безопасную аутентифицированную связь между основным и узлами, позволяя распределять консольные серверные модули узла локально в локальной сети или удаленно по всему миру.
3.6.1 Автоматическое создание и загрузка ключей SSH. Чтобы настроить аутентификацию с открытым ключом, необходимо сначала создать пару ключей RSA или DSA и загрузить их на серверы консоли Primary и Node. Это можно сделать автоматически из Primary:
44

Руководство пользователя
1. Выберите «Система» > «Администрирование» на главной консоли управления.
2. Установите флажок Генерировать ключи SSH автоматически. 3. Нажмите Применить.
Затем вы должны выбрать, следует ли генерировать ключи с использованием RSA и/или DSA (если не уверены, выберите только RSA). Генерация каждого набора ключей занимает две минуты, и новые ключи уничтожают старые ключи этого типа. Пока разрабатывается новое поколение, функции, использующие ключи SSH (например, каскадирование), могут перестать работать, пока они не будут обновлены новым набором ключей. Чтобы сгенерировать ключи:
1. Установите флажки для ключей, которые вы хотите сгенерировать. 2. Нажмите Применить.
3. После создания новых ключей щелкните ссылку Нажмите здесь, чтобы вернуться. Ключи загружены.
к первичным и подключенным узлам.
3.6.2 Генерация и загрузка ключей SSH вручную. Если у вас есть пара ключей RSA или DSA, вы можете загрузить их на консольные серверы Primary и Node. Чтобы загрузить пару открытого и закрытого ключей на сервер основной консоли:
1. Выберите «Система» > «Администрирование» на консоли управления основного устройства.
2. Перейдите к месту, где вы сохранили открытый ключ RSA (или DSA), и загрузите его в SSH Открытый ключ RSA (DSA).
3. Найдите сохраненный закрытый ключ RSA (или DSA) и загрузите его в SSH Закрытый ключ RSA (DSA). 4. Нажмите «Применить».
45

Глава 3: Последовательный порт, конфигурация устройства и пользователя
Затем вы должны зарегистрировать открытый ключ в качестве авторизованного ключа на узле. В случае одного первичного узла с несколькими узлами вы загружаете один открытый ключ RSA или DSA для каждого узла.
1. Выберите «Система» > «Администрирование» на консоли управления узла. 2. Перейдите к сохраненному открытому ключу RSA (или DSA) и загрузите его в авторизованный ключ SSH узла.
3. Нажмите «Применить». Следующим шагом будет проверка каждого нового соединения Node-Primary. Этот шаг подтверждает, что вы устанавливаете сеанс SSH с тем, кем вы себя считаете. При первом подключении узел получает отпечаток пальца от основного узла, который будет использоваться во всех последующих подключениях: Чтобы установить отпечаток пальца, сначала войдите на основной сервер как root и установите SSH-соединение с удаленным хостом узла:
# ssh remhost После установки SSH-соединения вам будет предложено принять ключ. Ответьте «да», и отпечаток пальца будет добавлен в список известных хостов. Если вас попросят ввести пароль, возникла проблема с загрузкой ключей. 3.6.3 Настройка узлов и их последовательных портов. Начните настройку узлов и последовательных портов узлов с основного консольного сервера:
1. Выберите «Последовательные и сеть» > «Каскадные порты» на консоли управления основного устройства: 2. Чтобы добавить поддержку кластеризации, выберите «Добавить узел».
Вы не сможете добавлять узлы, пока не сгенерируете ключи SSH. Чтобы определить и настроить узел:
46

Руководство пользователя
1. Введите удаленный IP-адрес или DNS-имя для консольного сервера узла. 2. Введите краткое описание и краткую метку узла. 3. Введите полное количество последовательных портов на узле в поле «Количество портов». 4. Нажмите «Применить». Это устанавливает туннель SSH между основным и новым узлом.
В меню «Последовательные и сеть» > «Каскадные порты» отображаются все узлы и номера портов, которые были выделены на основном. Если основной консольный сервер имеет 16 собственных портов, порты 1–16 предварительно выделяются основному, поэтому первому добавленному узлу назначается номер порта 17 и далее. После добавления всех консольных серверов узла последовательные порты узла и подключенные устройства можно будет настроить и получить к ним доступ из меню основной консоли управления, а также через IP-адрес основного узла.
1. Выберите соответствующий пункт «Последовательный и сетевой» > «Последовательный порт» и нажмите «Редактировать», чтобы настроить последовательные порты на
Узел.
2. Выберите соответствующий последовательный порт и сеть > Пользователи и группы, чтобы добавить новых пользователей с правами доступа.
к последовательным портам узла (или для расширения прав доступа существующих пользователей).
3. Выберите соответствующий Последовательный порт и сеть > Доверенные сети, чтобы указать сетевые адреса, которые
может получить доступ к последовательным портам назначенного узла. 4. Выберите соответствующие «Предупреждения и журналирование» > «Предупреждения», чтобы настроить соединение порта узла, состояние.
Оповещения об совпадении шаблонов чейнджера. Изменения конфигурации, внесенные на основном узле, распространяются на все узлы при нажатии кнопки «Применить».
3.6.4 Управление узлами Первичный узел управляет последовательными портами узла. Для бывшегоampЕсли вы измените права доступа пользователя или отредактируете какие-либо настройки последовательного порта на основном сервере, обновленная конфигурация fileСообщения отправляются на каждый узел параллельно. Каждый узел вносит изменения в свои локальные конфигурации (и вносит только изменения, относящиеся к его конкретным последовательным портам). Вы можете использовать локальную консоль управления узлом для изменения настроек последовательного порта любого узла (например, изменения скорости передачи данных). Эти изменения будут перезаписаны в следующий раз, когда основной отправит конфигурацию. file обновлять. Хотя основной узел контролирует все функции, связанные с последовательным портом узла, он не является основным по отношению к соединениям узла сети узла или по системе сервера консоли узла. Функции узла, такие как настройки IP, SMTP и SNMP, дата и время, DHCP-сервер, должны управляться путем прямого доступа к каждому узлу, и эти функции не перезаписываются при распространении изменений конфигурации с основного. Параметры сетевого хоста узла и IPMI должны быть настроены на каждом узле.
47

Глава 3: Последовательный порт, конфигурация устройства и пользователя
Консоль управления основного предприятия предоставляет консолидированную view настроек для своего собственного и последовательных портов всего узла. Первичное издание не предоставляет полностью консолидированного view. НапримерampЕсли вы хотите узнать, кто вошел в каскадные последовательные порты с основного, вы увидите, что Статус > Активные пользователи отображают только тех пользователей, которые активны на основных портах, поэтому вам может потребоваться написать специальные сценарии для предоставления этого файла. view.
3.7 Перенаправление последовательного порта (PortShare)
Программное обеспечение Opengear Port Share предоставляет технологию виртуального последовательного порта, необходимую вашим приложениям Windows и Linux для открытия удаленных последовательных портов и чтения данных с последовательных устройств, подключенных к вашему консольному серверу.
PortShare поставляется бесплатно с каждым консольным сервером, и вы имеете лицензию на установку PortShare на один или несколько компьютеров для доступа к любому последовательному устройству, подключенному к порту консольного сервера. PortShare для Windows. Portshare_setup.exe можно загрузить с FTP-сайта. Подробную информацию об установке и эксплуатации см. в Руководстве пользователя PortShare и Кратком руководстве. PortShare для Linux Драйвер PortShare для Linux сопоставляет последовательный порт консольного сервера с пробным портом хоста. Opengear выпустила portshare-serial-client как утилиту с открытым исходным кодом для Linux, AIX, HPUX, SCO, Solaris и UnixWare. Эту утилиту можно скачать с ftp-сайта. Этот перенаправитель последовательного порта PortShare позволяет вам использовать последовательное устройство, подключенное к удаленному консольному серверу, как если бы оно было подключено к вашему локальному последовательному порту. Portshare-serial-client создает псевдо-tty-порт, подключает последовательное приложение к псевдо-tty-порту, получает данные от псевдо-tty-порта, передает их на консольный сервер через сеть, получает данные от консольного сервера через сеть и передает их. к псевдотерминальному порту. .tar file можно скачать с ftp-сайта. Подробную информацию об установке и эксплуатации см. в Руководстве пользователя PortShare и Кратком руководстве.
48

Руководство пользователя
3.8 управляемых устройств
На странице «Управляемые устройства» представлена консолидированная информация. view всех подключений к устройству, к которому можно получить доступ и которое можно отслеживать через консольный сервер. К view подключения к устройствам, выберите «Последовательный и сетевой» > «Управляемые устройства».
На этом экране отображаются все управляемые устройства с их описанием/примечаниями и списками всех настроенных подключений:
· Номер последовательного порта (при последовательном подключении) или · USB (при подключении через USB) · IP-адрес (при подключении к сети) · Сведения о блоке питания/розетке (если применимо) и любых подключениях ИБП. Такие устройства, как серверы, могут иметь более одного подключения к источнику питания. (например, двойное питание) и более одного сетевого подключения (например, для BMC/служебного процессора). Все пользователи могут view эти подключения управляемых устройств, выбрав «Управление» > «Устройства». Администраторы также могут редактировать, добавлять/удалять эти управляемые устройства и их подключения. Чтобы отредактировать существующее устройство и добавить новое подключение: 1. Выберите «Редактировать» в разделе «Последовательные и сети» > «Управляемые устройства» и нажмите «Добавить подключение». 2. Выберите тип подключения для нового подключения (последовательный, сетевой хост, ИБП или RPC) и выберите
подключение из представленного списка настроенных нераспределенных хостов/портов/розеток
49

Глава 3: Последовательный порт, конфигурация устройства и пользователя
Чтобы добавить новое управляемое устройство, подключенное к сети: 1. Администратор добавляет новое управляемое устройство, подключенное к сети, используя «Добавить хост» в меню «Последовательный порт и сеть» > «Сетевой хост». При этом автоматически создается соответствующее новое управляемое устройство. 2. При добавлении нового устройства питания RPC или ИБП, подключенного к сети, вы настраиваете сетевой хост, назначая его как RPC или ИБП. Перейдите в раздел «Подключения RPC» или «Подключения ИБП», чтобы настроить соответствующее соединение. Соответствующее новое управляемое устройство с тем же именем/описанием, что и у хоста RPC/UPS, не будет создано до завершения этого этапа подключения.
ПРИМЕЧАНИЕ Имена розеток во вновь созданном PDU — Розетка 1 и Розетка 2. При подключении определенного управляемого устройства, которое получает питание от розетки, розетка получает имя управляемого устройства, на которое подается питание.
Чтобы добавить новое управляемое устройство с последовательным подключением: 1. Настройте последовательный порт с помощью меню «Последовательный и сеть» > «Последовательный порт» (см. раздел 3.1 «Настройка последовательного порта»). 2. Выберите «Последовательный и сеть» > «Управляемые устройства» и нажмите «Добавить устройство». 3. Введите устройство. Имя и описание управляемого устройства.

4. Нажмите «Добавить подключение» и выберите «Последовательный порт» и порт, который подключается к управляемому устройству.

5. Чтобы добавить подключение к источнику питания ИБП/RPC, сетевое подключение или другое последовательное соединение, нажмите «Добавить подключение».

6. Нажмите "Применить".

ПРИМЕЧАНИЕ

Чтобы настроить последовательно подключенный ИБП RPC или устройство EMD, настройте последовательный порт, назначьте его как устройство и введите имя и описание для этого устройства в разделе «Последовательный порт и сеть» > «Подключения RPC» (или «Подключения ИБП или среда»). При этом создается соответствующее новое управляемое устройство с тем же именем/описанием, что и у хоста RPC/UPS. Имена розеток в этом вновь созданном PDU — Розетка 1 и Розетка 2. При подключении управляемого устройства, которое получает питание от розетки, розетка принимает имя управляемого устройства с питанием.

3.9 IPsec VPN
ACM7000, CM7100 и IM7200 включают Openswan — реализацию Linux протоколов IPsec (IP-безопасность), которую можно использовать для настройки виртуальной частной сети (VPN). VPN позволяет нескольким сайтам или удаленным администраторам получать безопасный доступ к серверу консоли и управляемым устройствам через Интернет.

Руководство пользователя
Администратор может установить зашифрованные VPN-соединения с проверкой подлинности между консольными серверами, распределенными на удаленных площадках, и VPN-шлюзом (например, маршрутизатором Cisco, работающим под управлением IOS IPsec) в сети центрального офиса:
· Пользователи в центральном офисе могут безопасно получить доступ к серверам удаленной консоли и подключенным последовательным консольным устройствам и машинам в подсети локальной сети управления в удаленном месте, как если бы они были локальными.
· Все эти удаленные консольные серверы можно контролировать с помощью CMS6000 в центральной сети. · Благодаря последовательному мосту последовательные данные от контроллера на машине центрального офиса могут быть надежно защищены.
подключен к устройствам с последовательным управлением на удаленных объектах. Администратор Road Warrior может использовать программный клиент VPN IPsec для удаленного доступа к серверу консоли и каждому компьютеру в подсети локальной сети управления в удаленном месте.
Настройка IPsec довольно сложна, поэтому Opengear предоставляет графический интерфейс для базовой настройки, как описано ниже. Чтобы включить VPN-шлюз:
1. Выберите IPsec VPN в меню «Последовательные порты и сети».
2. Нажмите «Добавить» и заполните экран «Добавить туннель IPsec». 3. Введите любое описательное имя, которое вы хотите идентифицировать добавляемый туннель IPsec, например
WestStOutlet-VPN
51

Глава 3: Последовательный порт, конфигурация устройства и пользователя
4. Выберите используемый метод аутентификации: цифровые подписи RSA или общий секрет (PSK). o Если вы выберете RSA, вас попросят щелкнуть здесь, чтобы сгенерировать ключи. При этом создается открытый ключ RSA для сервера консоли (левый открытый ключ). Найдите ключ, который будет использоваться на удаленном шлюзе, вырежьте и вставьте его в правильный открытый ключ.
o Если вы выберете Общий секрет, введите Общий секрет (PSK). PSK должен совпадать с PSK, настроенным на другом конце туннеля.
5. В поле «Протокол аутентификации» выберите протокол аутентификации, который будет использоваться. Либо аутентифицируйтесь как часть шифрования ESP (инкапсулирующая полезная нагрузка безопасности), либо отдельно с использованием протокола AH (заголовок аутентификации).
52

Руководство пользователя
6. Введите левый идентификатор и правый идентификатор. Это идентификатор, который локальный хост/шлюз и удаленный хост/шлюз используют для согласования и аутентификации IPsec. Каждый идентификатор должен включать символ @ и может включать полное доменное имя (например, left@ex).ample.com)
7. Введите общедоступный IP-адрес или DNS-адрес этого шлюза Opengear VPN в качестве левого адреса. Вы можете оставить это поле пустым, чтобы использовать интерфейс маршрута по умолчанию.
8. В поле «Правильный адрес» введите общедоступный IP-адрес или DNS-адрес удаленного конца туннеля (только если удаленный конец имеет статический адрес или адрес DynDNS). В противном случае оставьте это поле пустым
9. Если VPN-шлюз Opengear служит VPN-шлюзом для локальной подсети (например, на сервере консоли настроена локальная сеть управления), введите сведения о частной подсети в поле «Левая подсеть». Используйте нотацию CIDR (где за номером IP-адреса следует косая черта и количество «единичных» битов в двоичной записи сетевой маски). Для бывшегоample, 192.168.0.0/24 указывает IP-адрес, первые 24 бита которого используются в качестве сетевого адреса. Это то же самое, что 255.255.255.0. Если VPN-доступ предоставляется только к консольному серверу и подключенным к нему последовательным консольным устройствам, оставьте левую подсеть пустой.
10. Если на удаленном конце есть VPN-шлюз, введите сведения о частной подсети в поле «Правая подсеть». Используйте нотацию CIDR и оставьте пустым, если есть только удаленный хост.
11. Выберите «Инициировать туннель», если туннельное соединение должно быть инициировано со стороны сервера левой консоли. Это можно инициировать только с VPN-шлюза (слева), если на удаленном конце настроен статический (или DynDNS) IP-адрес.
12. Нажмите «Применить», чтобы сохранить изменения.
ПРИМЕЧАНИЕ. Детали конфигурации, настроенные на консольном сервере (называемом левым или локальным хостом), должны соответствовать настройкам, введенным при настройке удаленного (правого) хоста/шлюза или программного клиента. См. http://www.opengear.com/faq.html для получения подробной информации о настройке этих удаленных концов.
3.10 ОпенВПН
ACM7000, CM7100 и IM7200 с прошивкой V3.2 и более поздних версий включают OpenVPN. OpenVPN использует библиотеку OpenSSL для шифрования, аутентификации и сертификации, что означает, что он использует SSL/TSL (Secure Socket Layer/Transport Layer Security) для обмена ключами и может шифровать как каналы данных, так и каналы управления. Использование OpenVPN позволяет создавать кроссплатформенные двухточечные VPN с использованием либо X.509 PKI (инфраструктура открытых ключей), либо пользовательской конфигурации. fileс. OpenVPN обеспечивает безопасное туннелирование данных через один порт TCP/UDP через незащищенную сеть, обеспечивая тем самым безопасный доступ к нескольким сайтам и безопасное удаленное администрирование консольного сервера через Интернет. OpenVPN также позволяет использовать динамические IP-адреса как сервером, так и клиентом, обеспечивая тем самым мобильность клиента. Для бывшегоampНапример, туннель OpenVPN может быть установлен между перемещаемым клиентом Windows и консольным сервером Opengear в центре обработки данных. Настройка OpenVPN может быть сложной, поэтому Opengear предоставляет графический интерфейс для базовой настройки, как описано ниже. Более подробная информация доступна на http://www.openvpn.net.
3.10.1 Включение OpenVPN 1. Выберите OpenVPN в меню «Последовательные порты и сети».
53

Глава 3: Последовательный порт, конфигурация устройства и пользователя
2. Нажмите «Добавить» и заполните экран «Добавить туннель OpenVPN». 3. Введите любое описательное имя, которое вы хотите идентифицировать добавляемый туннель OpenVPN, напримерample
NorthStOutlet-VPN
4. Выберите метод аутентификации, который будет использоваться. Для аутентификации с использованием сертификатов выберите PKI (сертификаты X.509) или выберите «Пользовательская конфигурация», чтобы загрузить пользовательскую конфигурацию. fileс. Пользовательские конфигурации должны храниться в /etc/config.
ПРИМЕЧАНИЕ. Если вы выберете PKI, установите: Отдельный сертификат (также известный как открытый ключ). Этот сертификат File это *.crt file введите закрытый ключ для сервера и каждого клиента. Этот закрытый ключ File это *.key file тип
Сертификат и ключ первичного центра сертификации (CA), который используется для подписи каждого сервера.
и сертификаты клиентов. Этот корневой сертификат ЦС имеет формат *.crt. file type Для сервера также может понадобиться dh1024.pem (параметры Диффи-Хеллмана). См. http://openvpn.net/easyrsa.html для получения руководства по базовому управлению ключами RSA. Альтернативные методы аутентификации см. http://openvpn.net/index.php/documentation/howto.html#auth.
5. Выберите используемый драйвер устройства: Tun-IP или Tap-Ethernet. Драйверы TUN (сетевой туннель) и TAP (сетевой перехватчик) — это драйверы виртуальной сети, которые поддерживают туннелирование IP и туннелирование Ethernet соответственно. TUN и TAP являются частью ядра Linux.
6. Выберите в качестве протокола UDP или TCP. UDP — это протокол по умолчанию и предпочтительный для OpenVPN. 7. Установите или снимите флажок с кнопки «Сжатие», чтобы включить или отключить сжатие. 8. В туннельном режиме укажите, является ли это клиентским или серверным концом туннеля. При запуске как
сервер, консольный сервер поддерживает несколько клиентов, подключающихся к VPN-серверу через один и тот же порт.
54

Руководство пользователя
3.10.2 Настройка в качестве сервера или клиента
1. Заполните сведения о клиенте или сведения о сервере в зависимости от выбранного режима туннеля. o Если выбран «Клиент», адрес основного сервера — это адрес сервера OpenVPN. o Если выбран Сервер, введите сетевой адрес пула IP и маску сети пула IP для пула IP. Сеть, определяемая сетевым адресом/маской IP-пула, используется для предоставления адресов для подключения клиентов.
2. Нажмите «Применить», чтобы сохранить изменения.
55

Глава 3: Последовательный порт, конфигурация устройства и пользователя
3. Ввести сертификаты аутентификации и files, выберите «Управление OpenVPN». Fileвкладка s. Загрузите или просмотрите соответствующие сертификаты аутентификации и files.
4. Примените, чтобы сохранить изменения. Сохранено files отображаются красным цветом справа от кнопки «Загрузить».
5. Чтобы включить OpenVPN, отредактируйте туннель OpenVPN.
56

Руководство пользователя
6. Установите флажок «Включено». 7. Примените для сохранения изменений. ПРИМЕЧАНИЕ. При работе с OpenVPN убедитесь, что системное время консольного сервера правильное, чтобы избежать
проблемы с аутентификацией.
8. Выберите «Статистика» в меню «Состояние», чтобы убедиться, что туннель работает.
57

Глава 3: Последовательный порт, конфигурация устройства и пользователя
3.10.3 Настройка клиента и сервера Windows OpenVPN В этом разделе описывается установка и настройка клиента Windows OpenVPN или сервера Windows OpenVPN, а также настройка VPN-подключения к консольному серверу. Консольные серверы автоматически генерируют конфигурацию клиента Windows из графического пользовательского интерфейса для предварительного общего секрета (статического ключа). File) конфигурации.
Альтернативно программное обеспечение OpenVPN GUI для Windows (которое включает стандартный пакет OpenVPN и графический интерфейс Windows) можно загрузить с http://openvpn.net. После установки на компьютер с Windows значок OpenVPN добавляется в область уведомлений, расположенную в правой части панели задач. Щелкните правой кнопкой мыши этот значок, чтобы запускать и останавливать VPN-соединения, редактировать конфигурации и view журналы.
Когда программное обеспечение OpenVPN запустится, C:Program FileПапка sOpenVPNconfig сканируется на наличие .opvn. fileс. Эта папка повторно проверяется на наличие новой конфигурации. files при щелчке правой кнопкой мыши по значку графического интерфейса OpenVPN. После установки OpenVPN создайте конфигурацию file:
58

Руководство пользователя

С помощью текстового редактора создайте файл xxxx.ovpn. file и сохраните в C:Program FilesOpenVPNconfig. Для бывшегоample, C: Программа FilesOpenVPNconfigclient.ovpn
Бывшийampфайл конфигурации клиента OpenVPN для Windows file показано ниже:
# описание: IM4216_client proto udp verb 3 dev tun удаленный 192.168.250.152 порт 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt key c:\openvpnkeys\client.key nobind persist-key persist- тун комп-лзо
Бывшийampфайл конфигурации OpenVPN Windows Server file показано ниже:
сервер 10.100.10.0 255.255.255.0 порт 1194 Keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt key c:\openvpnkeys\server. ключ dh c:\openvpnkeys\dh.pem comp-lzo глагол 1 системный журнал IM4216_OpenVPN_Server
Конфигурация клиента/сервера Windows file варианты:

Опции #description: Клиент-сервер proto udp proto tcp mssfix глагол
дев тун дев тап

Описание Это комментарий, описывающий конфигурацию. Строки комментариев начинаются с # и игнорируются OpenVPN. Укажите, будет ли это конфигурация клиента или сервера. file. В конфигурации сервера file, определите пул IP-адресов и маску сети. Для бывшегоampфайл, сервер 10.100.10.0 255.255.255.0 Установите протокол UDP или TCP. Клиент и сервер должны использовать одни и те же настройки. Mssfix устанавливает максимальный размер пакета. Это полезно для UDP только в случае возникновения проблем.
Установить журнал file уровень многословия. Уровень детализации журнала можно установить от 0 (минимум) до 15 (максимум). Для бывшегоample, 0 = без звука, за исключением фатальных ошибок 3 = средний вывод, подходит для общего использования 5 = помогает при отладке проблем с соединением 9 = подробный, отлично подходит для устранения неполадок. Выберите «dev tun», чтобы создать маршрутизируемый IP-туннель, или «dev Tap», чтобы создать туннель Ethernet. Клиент и сервер должны использовать одни и те же настройки.

Глава 3: Последовательный порт, конфигурация устройства и пользователя

удаленный Поддержка активности порта
http-прокси Калифорнияfile имя>
сертификатfile имя>
ключfile имя>
дхfile имя> Nobind persist-key persist-tun шифр BF-CBC Blowfish (по умолчанию) шифр AES-128-CBC Шифр AES DES-EDE3-CBC Triple-DES comp-lzo syslog

Имя хоста/IP-адрес сервера OpenVPN при работе в качестве клиента. Введите либо имя хоста DNS, либо статический IP-адрес сервера. Порт UDP/TCP сервера. Keepalive использует ping для поддержания активности сеанса OpenVPN. «Keepalive 10 120» отправляет пинг каждые 10 секунд и предполагает, что удаленный узел не работает, если пинг не был получен в течение 120 секунд. Если для доступа к серверу требуется прокси-сервер, введите DNS-имя или IP-адрес прокси-сервера и номер порта. Введите сертификат ЦС file имя и местоположение. Тот же сертификат CA file может использоваться сервером и всеми клиентами. Примечание. Убедитесь, что каждый `' в пути к каталогу заменен на ` \'. Для бывшегоample, c:openvpnkeysca.crt станет c:\openvpnkeys\ca.crt Введите сертификат клиента или сервера. file имя и местоположение. Каждый клиент должен иметь свой сертификат и ключ. fileс. Примечание. Убедитесь, что каждый `' в пути к каталогу заменен на ` \'. Введите file имя и расположение ключа клиента или сервера. Каждый клиент должен иметь свой сертификат и ключ. fileс. Примечание. Убедитесь, что каждый `' в пути к каталогу заменен на ` \'. Используется только сервером. Введите путь к ключу с параметрами Диффи-Хеллмана. Nobind используется, когда клиентам не требуется привязка к локальному адресу или конкретному номеру локального порта. Так происходит в большинстве клиентских конфигураций. Эта опция предотвращает перезагрузку ключей при перезапуске. Эта опция предотвращает закрытие и повторное открытие устройств TUN/TAP при перезагрузке. Выберите криптографический шифр. Клиент и сервер должны использовать одни и те же настройки.
Включите сжатие по ссылке OpenVPN. Это должно быть включено как на клиенте, так и на сервере. По умолчанию журналы располагаются в системном журнале или, если они работают в качестве службы в Windows, в папке «Программа». Fileкаталог sOpenVPNlog.

Чтобы инициировать туннель OpenVPN после создания конфигурации клиент/сервер files: 1. Щелкните правой кнопкой мыши значок OpenVPN в области уведомлений. 2. Выберите вновь созданную конфигурацию клиента или сервера. 3. Нажмите «Подключиться».

4. Журнал file отображается после установления соединения
60

Руководство пользователя
5. После установки значок OpenVPN отобразит сообщение, указывающее на успешное соединение и присвоенный IP-адрес. Эту информацию, а также время установления соединения можно получить, прокрутив значок OpenVPN.
3.11 PPTP VPN
Консольные серверы включают сервер PPTP (протокол туннелирования «точка-точка»). PPTP используется для связи через физический или виртуальный последовательный канал. Конечные точки PPP определяют себе виртуальный IP-адрес. Маршруты к сетям могут быть определены с использованием этих IP-адресов в качестве шлюза, в результате чего трафик будет передаваться через туннель. PPTP устанавливает туннель между физическими конечными точками PPP и безопасно передает данные по туннелю.
Сильной стороной PPTP является простота настройки и интеграции в существующую инфраструктуру Microsoft. Обычно он используется для подключения отдельных удаленных клиентов Windows. Если вы берете свой портативный компьютер в командировку, вы можете набрать местный номер, чтобы подключиться к своему провайдеру услуг доступа в Интернет (ISP), создать второе соединение (туннель) с офисной сетью через Интернет и получить такой же доступ к вашей корпоративной сети, как если бы вы подключались прямо из офиса. Сотрудники, работающие на дому, также могут настроить VPN-туннель через кабельный модем или DSL-каналы к местному интернет-провайдеру.
61

Глава 3: Последовательный порт, конфигурация устройства и пользователя
Чтобы настроить PPTP-соединение удаленного клиента Windows с вашим устройством Opengear и локальной сетью:
1. Включите и настройте VPN-сервер PPTP на устройстве Opengear. 2. Настройте учетные записи пользователей VPN на устройстве Opengear и включите соответствующие
аутентификация 3. Настройте VPN-клиенты на удаленных сайтах. Клиенту не требуется специальное программное обеспечение, так как
Сервер PPTP поддерживает стандартное клиентское программное обеспечение PPTP, входящее в состав Windows NT и более поздних версий. 4. Подключитесь к удаленному VPN. 3.11.1 Включите VPN-сервер PPTP. 1. Выберите PPTP VPN в меню «Последовательные и сети».
2. Установите флажок «Включить», чтобы включить сервер PPTP. 3. Выберите «Минимально требуемая аутентификация». Доступ запрещен удаленным пользователям, пытающимся
подключайтесь, используя схему аутентификации более слабую, чем выбранная схема. Схемы описаны ниже, от самой сильной к самой слабой. · Зашифрованная аутентификация (MS-CHAP v2): Самый надежный тип аутентификации; Это
рекомендуемый вариант · Аутентификация со слабым шифрованием (CHAP): это самый слабый тип зашифрованного пароля.
аутентификацию для использования. Клиентам не рекомендуется подключаться с использованием этого метода, поскольку он обеспечивает очень слабую защиту паролем. Также обратите внимание, что клиенты, подключающиеся с использованием CHAP, не могут шифровать трафик.
62

Руководство пользователя
· Незашифрованная аутентификация (PAP): это аутентификация с использованием простого текстового пароля. При использовании этого типа аутентификации пароль клиента передается в незашифрованном виде.
· Нет 4. Выберите необходимый уровень шифрования. Доступ запрещен удаленным пользователям, пытающимся подключиться
которые не используют этот уровень шифрования. 5. В поле «Локальный адрес» введите IP-адрес, который будет назначен серверной стороне VPN-соединения. 6. В поле «Удаленные адреса» введите пул IP-адресов, которые будут назначены VPN входящего клиента.
соединения (например, 192.168.1.10-20). Это должен быть свободный IP-адрес или диапазон адресов из сети, которые назначаются удаленным пользователям при подключении к устройству Opengear. 7. Введите желаемое значение максимальной единицы передачи (MTU) для интерфейсов PPTP в поле MTU (по умолчанию — 1400) 8. В поле DNS-сервер введите IP-адрес DNS-сервера, который назначает IP-адреса подключающимся PPTP-клиентам. 9. В поле WINS-сервер введите IP-адрес WINS-сервера, который назначает IP-адреса подключающимся PPTP-клиентам. 10. Включите подробное ведение журнала, чтобы помочь в устранении проблем с подключением. 11. Нажмите «Применить настройки». 3.11.2. Добавление пользователя PPTP. 1. Выберите «Пользователи и группы» в меню «Последовательные и сети» и заполните поля, как описано в разделе 3.2. 2. Убедитесь, что группа pptpd проверена, чтобы разрешить доступ к VPN-серверу PPTP. Примечание. Пароли пользователей в этой группе хранятся в виде открытого текста. 3. Запишите имя пользователя и пароль на случай, если вам понадобится подключиться к VPN-соединению. 4. Нажмите «Применить».
63

Глава 3: Последовательный порт, конфигурация устройства и пользователя
3.11.3 Настройка удаленного клиента PPTP Убедитесь, что компьютер удаленного клиента VPN имеет подключение к Интернету. Чтобы создать VPN-подключение через Интернет, необходимо настроить два сетевых подключения. Одно соединение предназначено для интернет-провайдера, а другое — для VPN-туннеля к устройству Opengear. ПРИМЕЧАНИЕ. Эта процедура настраивает клиент PPTP в операционной системе Windows Professional. Шаги
может незначительно отличаться в зависимости от вашего доступа к сети или использования альтернативной версии Windows. Более подробные инструкции можно получить на сайте Microsoft. web сайт. 1. Войдите в клиент Windows с правами администратора. 2. В Центре управления сетями и общим доступом на панели управления выберите «Сетевые подключения» и создайте новое подключение.
64

Руководство пользователя
3. Выберите «Использовать мое подключение к Интернету (VPN)» и введите IP-адрес устройства Opengear. Чтобы подключить удаленные клиенты VPN к локальной сети, вам необходимо знать имя пользователя и пароль для добавленной учетной записи PPTP, а также IP-адрес в Интернете. адрес устройства Opengear. Если ваш интернет-провайдер не выделил вам статический IP-адрес, рассмотрите возможность использования службы динамического DNS. В противном случае вам придется изменять конфигурацию клиента PPTP каждый раз при изменении вашего IP-адреса в Интернете.
65

Глава 3: Последовательный порт, конфигурация устройства и пользователя

3.12 Позвонить домой
Все консольные серверы включают функцию Call Home, которая инициирует настройку безопасного SSH-туннеля от консольного сервера к централизованному Opengear Lighthouse. Консольный сервер регистрируется в качестве кандидата на Маяке. После принятия там он становится сервером управляемой консоли.
Lighthouse контролирует сервер управляемой консоли, и администраторы могут получить доступ к удаленному серверу управляемой консоли через Lighthouse. Этот доступ доступен, даже если сервер удаленной консоли находится за сторонним брандмауэром или имеет частные немаршрутизируемые IP-адреса.

ПРИМЕЧАНИЕ

Lighthouse поддерживает SSH-соединения с аутентификацией по открытому ключу к каждому из своих управляемых консольных серверов. Эти подключения используются для мониторинга, управления и доступа к серверам управляемой консоли и управляемым устройствам, подключенным к серверу управляемой консоли.

Для управления локальными консольными серверами или консольными серверами, доступными из Lighthouse, Lighthouse инициирует SSH-соединения.

Для управления удаленными консольными серверами или консольными серверами, которые защищены брандмауэром, не маршрутизируются или недоступны по другим причинам из Lighthouse, соединения SSH инициируются управляемым консольным сервером через первоначальное соединение Call Home.

Это обеспечивает безопасную связь с проверкой подлинности и позволяет распределять управляемые консольные серверы локально в локальной сети или удаленно по всему миру.

3.12.1 Настройка кандидата Call Home Чтобы настроить сервер консоли в качестве кандидата на управление Call Home на Lighthouse:
1. Выберите «Позвонить домой» в меню «Последовательный порт и сеть».

2. Если вы еще не создали или не загрузили пару ключей SSH для этого консольного сервера, сделайте это, прежде чем продолжить.
3. Нажмите Добавить

4. Введите IP-адрес или DNS-имя (например, динамический DNS-адрес) Lighthouse.
5. Введите пароль, который вы настроили на CMS в качестве пароля вызова домой.
66

Руководство пользователя
6. Нажмите «Применить». Эти действия инициируют соединение Call Home с сервера консоли на Lighthouse. Это создаст порт SSHlistening на Lighthouse и сделает консольный сервер кандидатом.
Как только кандидат будет принят на Lighthouse, SSH-туннель к консольному серверу перенаправляется обратно через соединение Call Home. Консольный сервер стал управляемым консольным сервером, и Lighthouse может подключаться к нему и контролировать его через этот туннель. 3.12.2 Принятие кандидата Call Home в качестве управляемого консольного сервера на Lighthouse В этом разделе приводится более подробная информация.view о настройке Lighthouse для мониторинга консольных серверов Lighthouse, подключенных через Call Home. Более подробную информацию смотрите в Руководстве пользователя Lighthouse:
1. Введите новый пароль вызова домой на маяке. Этот пароль используется для принятия
Вызов Homeconnections с консольных серверов-кандидатов
2. С маяком может связаться консольный сервер, либо он должен иметь статический IP-адрес.
адрес или, при использовании DHCP, настроить использование службы динамического DNS.
На экране «Настройка» > «Управляемые консольные серверы» в Lighthouse отображается статус
локальные и удаленные управляемые консольные серверы и кандидаты.
В разделе «Управляемые консольные серверы» показаны консольные серверы, мониторинг которых осуществляет
Lighthouse.В разделе «Обнаруженные консольные серверы» содержатся:
o Раскрывающийся список «Локальные консольные серверы», в котором перечислены все консольные серверы, находящиеся на
в той же подсети, что и Lighthouse, и не отслеживаются
67

Глава 3: Последовательный порт, конфигурация устройства и пользователя
o Раскрывающийся список «Серверы удаленной консоли», в котором перечислены все серверы консоли, которые установили соединение Call Home и не отслеживаются (т. е. кандидаты). Вы можете нажать «Обновить», чтобы обновить
Чтобы добавить кандидата на консольный сервер в список «Управляемый консольный сервер», выберите его в раскрывающемся списке «Удаленные консольные серверы» и нажмите «Добавить». Введите IP-адрес и порт SSH (если эти поля не были заполнены автоматически), а также введите описание и уникальное имя для сервера управляемой консоли, который вы добавляете.
Введите удаленный корневой пароль (т. е. системный пароль, установленный на этом сервере управляемой консоли). Этот пароль используется Lighthouse для распространения автоматически сгенерированных ключей SSH и не сохраняется. Нажмите Применить. Lighthouse устанавливает безопасные соединения SSH с сервером управляемой консоли и получает его управляемые устройства, данные учетной записи пользователя и настроенные оповещения. 3.12.3 Звонок домой на общий центральный сервер SSH Если вы подключаетесь к обычному серверу SSH (не Lighthouse) вы можете настроить дополнительные параметры: · Введите порт SSH-сервера и пользователя SSH. · Введите данные для переадресации портов SSH, чтобы создать
Выбрав «Сервер прослушивания», вы можете создать переадресацию удаленного порта с сервера на это устройство или переадресацию локального порта с этого устройства на сервер:
68

Руководство пользователя
· Укажите порт прослушивания для пересылки. Оставьте это поле пустым, чтобы выделить неиспользуемый порт. · Введите целевой сервер и целевой порт, который будет получателем пересылаемых соединений.
3.13 Сквозная передача IP
IP Passthrough используется для того, чтобы модемное соединение (например, внутренний сотовый модем) выглядело как обычное Ethernet-соединение со сторонним нисходящим маршрутизатором, позволяя нисходящему маршрутизатору использовать модемное соединение в качестве основного или резервного интерфейса WAN.
Устройство Opengear предоставляет IP-адрес модема и данные DNS нижестоящему устройству через DHCP и передает сетевой трафик к модему и маршрутизатору и обратно.
Хотя сквозная передача IP превращает Opengear в полумост между модемом и Ethernet, некоторые службы уровня 4 (HTTP/HTTPS/SSH) могут быть прекращены на Opengear (перехваты служб). Кроме того, службы, работающие на Opengear, могут инициировать исходящие сотовые соединения независимо от нисходящего маршрутизатора.
Это позволяет продолжать использовать Opengear для внеполосного управления и оповещения, а также управлять им через Lighthouse в режиме IP Passthrough.
3.13.1 Настройка нисходящего маршрутизатора Чтобы использовать возможность переключения при отказе на нисходящем маршрутизаторе (также известном как Failover to Cellular или F2C), он должен иметь два или более интерфейсов WAN.
ПРИМЕЧАНИЕ. Переключение при сбое в контексте IP Passthrough выполняется нижестоящим маршрутизатором, а встроенная логика внеполосного переключения при сбое в Opengear недоступна в режиме IP Passthrough.
Подключите интерфейс Ethernet WAN на нисходящем маршрутизаторе к сетевому интерфейсу Opengear или порту LAN управления с помощью кабеля Ethernet.
Настройте этот интерфейс на нисходящем маршрутизаторе для получения его сетевых настроек через DHCP. Если требуется аварийное переключение, настройте нижестоящий маршрутизатор для аварийного переключения между его основным интерфейсом и портом Ethernet, подключенным к Opengear.
3.13.2 Предварительная настройка IP Passthrough Предварительные шаги для включения IP Passthrough:
1. Настройте сетевой интерфейс и, если применимо, интерфейсы локальной сети управления со статическими сетевыми настройками. · Нажмите «Последовательный порт и сеть» > «IP». · Для сетевого интерфейса и, где применимо, локальной сети управления выберите «Статический» для метода настройки и введите сетевые настройки (подробные инструкции см. в разделе «Конфигурация сети»). · Для интерфейса, подключенного к нисходящему маршрутизатору, вы можете выбрать любую выделенную частную сеть. Эта сеть существует только между Opengear и нисходящим маршрутизатором и обычно недоступна. · Для другого интерфейса настройте его так же, как обычно в локальной сети. · Для обоих интерфейсов оставьте «Шлюз» пустым.
2. Настройте модем в внеполосном режиме Always On.
69

Глава 3: Последовательный порт, конфигурация устройства и пользователя
· Для сотового подключения нажмите «Система» > «Набор номера: внутренний сотовый модем». · Выберите «Включить исходящий вызов» и введите данные оператора связи, например APN (см. раздел «Сотовый модем»).
Подключение для подробной инструкции). 3.13.3 Настройка сквозной передачи IP Чтобы настроить сквозную передачу IP:
· Нажмите «Последовательный порт и сеть» > «Проброс IP» и установите флажок «Включить». · Выберите модем Opengear, который будет использоваться для восходящего подключения. · При необходимости введите MAC-адрес подключенного интерфейса нисходящего маршрутизатора. Если MAC-адрес
не указано, Opengear перейдет к первому нижестоящему устройству, запрашивающему адрес DHCP. · Выберите интерфейс Opengear Ethernet, который будет использоваться для подключения к нисходящему маршрутизатору.
· Нажмите «Применить». 3.13.4 Перехваты услуг. Они позволяют Opengear продолжать предоставлять услуги, напримерample для внеполосного управления в режиме IP Passthrough. Соединения с адресом модема на указанных перехватывающих портах обрабатываются Opengear, а не передаются на нижестоящий маршрутизатор.
· Для требуемой службы HTTP, HTTPS или SSH установите флажок «Включить». · При необходимости измените порт перехвата на альтернативный порт (например, 8443 для HTTPS), это полезно, если вы
хотите, чтобы нисходящий маршрутизатор оставался доступным через его обычный порт. 3.13.5 Статус сквозной передачи IP Обновите страницу, чтобы view раздел Статус. Он отображает проходящий внешний IP-адрес модема, внутренний MAC-адрес нижестоящего маршрутизатора (заполняется только тогда, когда нижестоящий маршрутизатор принимает аренду DHCP) и общий статус работы службы сквозного IP-адреса. Вы можете быть предупреждены о состоянии аварийного переключения нижестоящего маршрутизатора, настроив проверку использования маршрутизируемых данных в разделе «Оповещения и ведение журнала» > «Автоответ». 3.13.6 Предостережения Некоторые нисходящие маршрутизаторы могут быть несовместимы с маршрутом шлюза. Это может произойти, когда IP Passthrough соединяет сотовую сеть 3G, где адрес шлюза является адресом назначения «точка-точка» и информация о подсети недоступна. Opengear отправляет сетевую маску DHCP 255.255.255.255. Устройства обычно интерпретируют это как маршрут с одним хостом на интерфейсе, но у некоторых более старых нижестоящих устройств могут возникнуть проблемы.
70

Руководство пользователя
Перехваты для локальных служб не будут работать, если Opengear использует маршрут по умолчанию, отличный от модема. Кроме того, они не будут работать, если служба не включена и не включен доступ к ней (см. «Система» > «Службы», на вкладке «Доступ к услуге» найдите «Dialout/Cellular»).
Поддерживаются исходящие соединения, исходящие из Opengear, к удаленным службам (например, отправка оповещений по электронной почте SMTP, ловушки SNMP, получение времени NTP, туннели IPSec). Существует небольшой риск сбоя соединения, если и Opengear, и нижестоящее устройство попытаются получить доступ к одному и тому же порту UDP или TCP на одном и том же удаленном хосте в одно и то же время, когда они случайно выбрали один и тот же исходный номер локального порта.
3.14 Конфигурация через DHCP (ZTP)
Устройства Opengear можно подготовить во время их первоначальной загрузки с сервера DHCPv4 или DHCPv6 с использованием конфигурации через DHCP. Инициализацию в ненадежных сетях можно упростить, предоставив ключи на USB-накопителе. Функциональность ZTP также можно использовать для обновления прошивки при первоначальном подключении к сети или для регистрации в экземпляре Lighthouse 5.
Подготовка Типичные шаги по настройке доверенной сети:
1. Настройте устройство Opengear той же модели. 2. Сохраните конфигурацию как резервную копию Opengear (.opg). file. 3. Выберите Система > Резервное копирование конфигурации > Удаленное резервное копирование. 4. Нажмите Сохранить резервную копию. Резервная конфигурация file — имя-модели_iso-format-date_config.opg — загружается с устройства Opengear в локальную систему. Вы можете сохранить конфигурацию в формате XML. file: 1. Выберите Система > Резервное копирование конфигурации > Конфигурация XML. Редактируемое поле, содержащее
конфигурация file в формате XML. 2. Щелкните поле, чтобы сделать его активным. 3. Если вы используете любой браузер в Windows или Linux, щелкните правой кнопкой мыши и выберите «Выбрать все» в
контекстное меню или нажмите Control-A. Щелкните правой кнопкой мыши и выберите «Копировать» в контекстном меню или нажмите Control-C. 4. Если вы используете любой браузер на macOS, выберите «Правка» > «Выбрать все» или нажмите Command-A. Выберите «Правка» > «Копировать» или нажмите Command-C. 5. В предпочитаемом вами текстовом редакторе создайте новый пустой документ, вставьте скопированные данные в пустой документ и сохраните. file. Что бы ни file-имя, которое вы выбираете, оно должно включать .xml fileсуффикс. 6. Скопируйте сохраненный .opg или .xml. file в общедоступный каталог на file сервер, обслуживающий хотя бы один из следующих протоколов: HTTPS, HTTP, FTP или TFTP. (Можно использовать только HTTPS, если соединение между file сервер и настраиваемое устройство Opengear перемещаются по недоверенной сети.). 7. Настройте свой DHCP-сервер, включив опцию «зависит от поставщика» для устройств Opengear. (Это будет сделано с учетом особенностей DHCP-сервера.) В качестве опции, зависящей от поставщика, должна быть установлена строка, содержащая URL опубликованного файла .opg или .xml file на шаге выше. Строка параметра не должна превышать 250 символов и должна заканчиваться на .opg или .xml.
71

Глава 3: Последовательный порт, конфигурация устройства и пользователя
8. Подключите новое устройство Opengear (с заводскими настройками или с удаленной конфигурацией) к сети и подайте питание. Перезагрузка устройства может занять до 5 минут.
ExampКонфигурация сервера ISC DHCP (dhcpd)
Ниже приведен примерampФрагмент конфигурации DHCP-сервера файла для обслуживания образа конфигурации .opg через DHCP-сервер ISC, dhcpd:
пространство для опции код opengear ширина 1 длина ширина 1; опция opengear.config-url код 1 = текст; класс «opengear-config-over-dhcp-test» {
совпадение, если опция идентификатор класса поставщика ~~ «^Opengear/»; вендор-опция-пространство opengear; опция opengear.config-url «https://example.com/opg/${class}.opg»; }
Эту настройку можно изменить для обновления образа конфигурации с помощью opengear.image-url вариант и предоставление URI для образа встроенного ПО.
Настройка, когда локальная сеть не является доверенной. Если соединение между file Сервер и настраиваемое устройство Opengear включают в себя ненадежную сеть, двуручный подход может решить проблему.
П р и м е ч а н и е — Этот подход вводит два физических шага, на которых может быть сложно, если не невозможно, полностью установить доверие. Во-первых, цепочка поставок от создания USB-накопителя для хранения данных до его развертывания. Во-вторых, руки подключают флешку к устройству Opengear.
· Создайте сертификат X.509 для устройства Opengear.
· Объедините сертификат и его закрытый ключ в один file с именем client.pem.
· Скопируйте client.pem на USB-накопитель.
· Настройте HTTPS-сервер таким образом, чтобы доступ к файлам .opg или .xml file ограничено клиентами, которые могут предоставить сертификат клиента X.509, созданный выше.
· Поместите копию сертификата CA, которым подписан сертификат HTTP-сервера — ca-bundle.crt — на флэш-накопитель USB с файлом client.pem.
· Вставьте USB-накопитель в устройство Opengear перед подключением питания или сети.
· Продолжите процедуру из раздела «Копирование сохраненного файла .opg или .xml». file в общедоступный каталог на file server» выше, используя протокол HTTPS между клиентом и сервером.
Подготовьте USB-накопитель и создайте сертификат X.509 и закрытый ключ.
· Создайте сертификат ЦС, чтобы можно было подписывать запросы на подпись сертификатов (CSR) клиента и сервера.
# cp /etc/ssl/openssl.cnf. # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/серийный номер echo 00 > exampleCA/crlnumber # касание exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Эта процедура генерирует сертификат под названием ExampleCA, но можно использовать любое разрешенное имя сертификата. Кроме того, эта процедура использует openssl ca. Если в вашей организации существует безопасный процесс создания центра сертификации в масштабе всего предприятия, его следует использовать вместо этого.
72

Руководство пользователя
· Создайте сертификат сервера.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-ключfile ca.key -policy policy_anything -batch -notext
ПРИМЕЧАНИЕ. Имя хоста или IP-адрес должны быть той же строкой, которая используется в обслуживающем URL. В бывшемampвыше, имя хоста — demo.example.com.
· Создайте сертификат клиента.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-ключfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Отформатируйте USB-накопитель как один том FAT32.
· Переместите client.pem и ca-bundle.crt. files в корневой каталог флэш-накопителя.
Отладка проблем ZTP Используйте функцию журнала ZTP для устранения проблем ZTP. Пока устройство пытается выполнить операции ZTP, информация журнала записывается в /tmp/ztp.log на устройстве.
Ниже приведен примерampфайл журнала file от успешного запуска ZTP.
# cat /tmp/ztp.log Ср, 13 декабря 22:22:17 UTC 2017 [уведомление 5127] odhcp6c.eth0: восстановление конфигурации через DHCP Ср, 13 декабря 22:22:17 UTC 2017 [уведомление 5127] odhcp6c.eth0: ожидание 10 с для урегулирования сети Ср 13 декабря 22:22:27 UTC 2017 [уведомление 5127] odhcp6c.eth0: NTP пропущен: нет сервера Ср 13 декабря 22:22:27 UTC 2017 [информация 5127] odhcp6c.eth0:vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Ср, 13 декабря 22:22:27 UTC 2017 [информация 5127] odhcp6c.eth0:vendorspec.2 (н/д) Ср 13 декабря 22:22:27 UTC 2017 [информация 5127] odhcp6c.eth0:vendorspec.3 (н/д) Ср 13 декабря 22:22:27 UTC 2017 [информация 5127] odhcp6c.eth0:vendorspec.4 (н/д) ) Ср, 13 декабря 22:22:27 UTC 2017 [информация 5127] odhcp6c.eth0:vendorspec.5 (н/д) Ср, 13 декабря 22:22:28 UTC 2017 [информация 5127] odhcp6c.eth0:vendorspec.6 (n) /a) Ср, 13 декабря, 22:22:28 UTC 2017 [информация 5127] odhcp6c.eth0: нет прошивки для загрузки (vendorspec.2) резервная копия-url: пробую http://[fd07:2218:1350:44::1]/tftpboot/config.sh … резервное копирование-url: принудительный режим конфигурации WAN для резервного копирования DHCP-url: установка имени хоста на acm7004-0013c601ce97 резервная копия-url: загрузка прошла успешно Среда 13 декабря 22:22:36 UTC 2017 [уведомление 5127] odhcp6c.eth0: успешная загрузка конфигурации Ср 13 декабря 22:22:36 UTC 2017 [информация 5127] odhcp6c.eth0: нет конфигурации маяка (vendorspec.3/ 4/5/6) Ср, 13 декабря, 22:22:36 UTC 2017 [уведомление 5127] odhcp6c.eth0: подготовка завершена, перезагрузка не выполняется.
Ошибки записываются в этот журнал.
3.15 Регистрация в Маяке
Используйте «Регистрацию в Lighthouse», чтобы зарегистрировать устройства Opengear в экземпляре Lighthouse, обеспечивая централизованный доступ к консольным портам и позволяя централизованно настраивать устройства Opengear.
Инструкции по регистрации устройств Opengear в Lighthouse см. в Руководстве пользователя Lighthouse.
73

Глава 3: Последовательный порт, конфигурация устройства и пользователя
3.16 Включение DHCPv4-реле
Служба ретрансляции DHCP пересылает пакеты DHCP между клиентами и удаленными DHCP-серверами. Службу ретрансляции DHCP можно включить на консольном сервере Opengear, чтобы он прослушивал DHCP-клиентов на назначенных нижних интерфейсах, упаковывал и пересылал их сообщения на DHCP-серверы, используя либо обычную маршрутизацию, либо трансляцию непосредственно на назначенные верхние интерфейсы. Таким образом, агент ретрансляции DHCP получает сообщения DHCP и генерирует новое сообщение DHCP для отправки на другой интерфейс. В описанных ниже шагах консольные серверы могут подключаться к идентификаторам каналов, Ethernet или сотовым модемам с помощью службы ретрансляции DHCPv4.
Реле DHCPv4 + опция DHCP 82 (идентификатор канала). Инфраструктура — локальный DHCP-сервер, ACM7004-5 для ретрансляции, любые другие устройства для клиентов. В качестве реле можно использовать любое устройство с ролью локальной сети. В этом бывшемample, 192.168.79.242 — это адрес ретранслируемого интерфейса клиента (как определено в конфигурации DHCP-сервера). file выше), а 192.168.79.244 — это адрес верхнего интерфейса релейного блока, а enp112s0 — это нисходящий интерфейс DHCP-сервера.
1 Инфраструктура — реле DHCPv4 + опция DHCP 82 (идентификатор канала)
Действия на DHCP-сервере 1. Настройте локальный DHCP-сервер v4, в частности, он должен содержать запись «хост», как показано ниже для DHCP-клиента: хост cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; опция идентификатора хоста — агент.идентификатор цепи «реле1»; фиксированный адрес 192.168.79.242; } Примечание: строка «Hardware Ethernet» закомментирована, поэтому DHCP-сервер будет использовать настройку «circuit-id» для назначения адреса соответствующему клиенту. 2. Перезапустите DHCP-сервер, чтобы перезагрузить его измененную конфигурацию. file. pkill -HUP dhcpd
74

Руководство пользователя
3. Вручную добавьте маршрут хоста к «ретранслируемому» интерфейсу клиента (интерфейс за ретранслятором DHCP, а не другие интерфейсы, которые также могут быть у клиента:
sudo ip маршрут добавить 192.168.79.242/32 через 192.168.79.244 dev enp112s0. Это поможет избежать проблемы асимметричной маршрутизации, когда клиент и DHCP-сервер хотят получить доступ друг к другу через ретранслируемый интерфейс клиента, когда у клиента есть другие интерфейсы в том же самом подсеть пула адресов DHCP.
Примечание. Этот шаг необходим для обеспечения возможности доступа DHCP-сервера и клиента друг к другу.
Действия с релейным блоком — ACM7004-5
1. Настройте WAN/eth0 либо в статическом режиме, либо в режиме DHCP (не в ненастроенном режиме). В статическом режиме он должен иметь IP-адрес в пуле адресов DHCP-сервера.
2. Примените эту конфигурацию через CLI (где 192.168.79.1 — адрес DHCP-сервера).
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Нижний интерфейс реле DHCP должен иметь статический IP-адрес в пуле адресов DHCP-сервера. В этом бывшемampле, гиаддр = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipконфигурация
4. Подождите некоторое время, пока клиент получит аренду DHCP через реле.
Действия на клиенте (CM7116-2-dac в этом примереample или любой другой OG CS)
1. Подключите LAN/eth1 клиента к LAN/eth1 реле 2. Настройте LAN клиента для получения IP-адреса через DHCP, как обычно 3. После того, как клиент

Документы/Ресурсы

Opengear ACM7000 Шлюз удаленного узла [pdf] Руководство пользователя
ACM7000 Шлюз удаленного сайта, ACM7000, Шлюз удаленного сайта, Шлюз сайта, Шлюз

Ссылки

Руководство пользователя

Opengear ACM7000 Шлюз удаленного узла

Информация о продукте

Инструкции по применению продукта

Часто задаваемые вопросы

Это руководство

Конфигурация системы

Последовательный порт, хост, конфигурация устройства и пользователя

Документы/Ресурсы

Ссылки

Оставьте комментарий

Отменить ответ