opengear ACM7000 Remote Site Gateway Užívateľská príručka

Toto zariadenie je v súlade s časťou 15 pravidiel FCC. Prevádzka tohto zariadenia podlieha nasledujúcim podmienkam: (1) Toto zariadenie nesmie spôsobovať škodlivé rušenie a (2) toto zariadenie musí akceptovať akékoľvek rušenie, ktoré môže spôsobiť nežiaducu prevádzku.

často kladené otázky

Otázka: Môžem použiť bránu vzdialenej lokality ACM7000 počas búrky?
- A: Nie, odporúča sa nepripájať ani neodpájať konzolový server počas búrky, aby nedošlo k poškodeniu.

Otázka: Akú verziu pravidiel FCC zariadenie spĺňa?
- A: Zariadenie je v súlade s časťou 15 pravidiel FCC.

View Fullscreen

Používateľská príručka
Brána vzdialenej lokality ACM7000 Brána odolnosti ACM7000-L Správca infraštruktúry IM7200 Servery konzoly CM7100
Verzia 5.0 – 2023-12

Bezpečnosť
Pri inštalácii a prevádzke konzolového servera dodržujte nasledujúce bezpečnostné opatrenia: · Neodstraňujte kovové kryty. Vnútri sa nenachádzajú žiadne komponenty, ktoré by mohol opraviť operátor. Otvorením alebo odstránením krytu sa môžete vystaviť nebezpečným objtage, čo môže spôsobiť požiar alebo úraz elektrickým prúdom. Všetok servis prenechajte kvalifikovanému personálu Opengear. · Aby ste predišli úrazu elektrickým prúdom, ochranný uzemňovací vodič napájacieho kábla musí byť pripojený k zemi. · Pri odpájaní napájacieho kábla zo zásuvky vždy ťahajte za zástrčku, nie za kábel.
Počas búrky nepripájajte ani neodpájajte konzolový server. Na ochranu zariadenia pred prechodnými javmi použite aj tlmič prepätia alebo UPS.
Výstražné vyhlásenie FCC
Toto zariadenie je v súlade s časťou 15 pravidiel FCC. Prevádzka tohto zariadenia podlieha nasledovnému
podmienky: (1) Toto zariadenie nesmie spôsobovať škodlivé rušenie a (2) toto zariadenie musí akceptovať akékoľvek rušenie, ktoré môže spôsobiť nežiaducu činnosť.
Na ochranu pred zranením, smrťou alebo poškodením majetku v dôsledku zlyhania systému by sa mali používať správne záložné systémy a potrebné bezpečnostné zariadenia. Za takúto ochranu zodpovedá používateľ. Toto konzolové serverové zariadenie nie je schválené na používanie ako systém na podporu života alebo ako zdravotnícky systém. Akékoľvek zmeny alebo úpravy vykonané na tomto konzolovom serverovom zariadení bez výslovného schválenia alebo súhlasu Opengear zbavia Opengear akejkoľvek zodpovednosti alebo zodpovednosti za zranenie alebo stratu spôsobenú akoukoľvek poruchou. Toto zariadenie je určené na vnútorné použitie a všetky komunikačné vedenia sú obmedzené na vnútri budovy.
2

Používateľská príručka
Autorské práva
©Opengear Inc. 2023. Všetky práva vyhradené. Informácie v tomto dokumente sa môžu zmeniť bez upozornenia a nepredstavujú záväzok zo strany Opengear. Opengear poskytuje tento dokument „tak ako je“, bez záruky akéhokoľvek druhu, vyjadrenej alebo implicitnej, vrátane, ale nie výlučne, implicitných záruk vhodnosti alebo predajnosti na konkrétny účel. Opengear môže kedykoľvek vylepšiť a/alebo zmeniť túto príručku alebo produkt(y) a/alebo program(y) popísaný(é) v tejto príručke. Tento produkt môže obsahovať technické nepresnosti alebo typografické chyby. Tu uvedené informácie sa pravidelne menia; tieto zmeny môžu byť zahrnuté v nových vydaniach publikácie.\

Kapitola 1

Táto príručka

TENTO NÁVOD

Táto používateľská príručka vysvetľuje inštaláciu, prevádzku a správu serverov konzoly Opengear. Táto príručka predpokladá, že poznáte internet a IP siete, HTTP, FTP, základné bezpečnostné operácie a internú sieť vašej organizácie.
1.1 Typy používateľov
Konzolový server podporuje dve triedy používateľov:
· Administrátori, ktorí majú neobmedzené oprávnenia na konfiguráciu a správu cez konzolu
server a pripojené zariadenia, ako aj všetky služby a porty na ovládanie všetkých sériovo pripojených zariadení a zariadení pripojených k sieti (hostiteľov). Administrátori sú nastavení ako členovia používateľskej skupiny admin. Administrátor môže pristupovať a ovládať server konzoly pomocou konfiguračného nástroja, príkazového riadka systému Linux alebo riadiacej konzoly založenej na prehliadači.
· Používatelia, ktorých správca nastavil s obmedzeniami ich prístupu a kontrolných oprávnení.
Používatelia majú obmedzený view riadiacej konzoly a môže pristupovať iba k autorizovaným nakonfigurovaným zariadeniam a review protokoly portov. Títo užívatelia sú nastavení ako členovia jednej alebo viacerých predkonfigurovaných skupín užívateľov, ako napríklad PPTPD, dialin, FTP, pmshell, užívateľov alebo skupín užívateľov, ktoré mohol vytvoriť administrátor. Sú oprávnení vykonávať špecifikované kontroly iba na konkrétnych pripojených zariadeniach. Používatelia, ak sú oprávnení, môžu pristupovať a ovládať sériové alebo sieťové zariadenia pomocou špecifikovaných služieb (napr. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Vzdialení používatelia sú používatelia, ktorí nie sú v rovnakom segmente LAN ako server konzoly. Vzdialený používateľ sa môže na cestách pripájať k spravovaným zariadeniam cez verejný internet, správca v inej kancelárii sa môže pripájať ku konzolovému serveru cez podnikovú sieť VPN alebo v rovnakej miestnosti alebo v tej istej kancelárii, ale pripojený ku konzole prostredníctvom samostatnej siete VLAN. server.
1.2 Riadiaca konzola
Opengear Management Console vám umožňuje konfigurovať a monitorovať funkcie vášho servera konzoly Opengear. Riadiaca konzola beží v prehliadači a poskytuje a view konzolového servera a všetkých pripojených zariadení. Administrátori môžu pomocou riadiacej konzoly konfigurovať a spravovať konzolový server, používateľov, porty, hostiteľov, napájacie zariadenia a súvisiace protokoly a výstrahy. Používatelia, ktorí nie sú správcami, môžu používať riadiacu konzolu s obmedzeným prístupom k ponuke na ovládanie vybraných zariadení, naprview ich denníky a pristupovať k nim pomocou vstavaného Web terminál.
Na konzolovom serveri beží vstavaný operačný systém Linux a možno ho konfigurovať z príkazového riadka. Prístup k príkazovému riadku môžete získať prostredníctvom mobilného telefónu / telefonického pripojenia, priamym pripojením k sériovému portu konzoly/modemu servera konzoly alebo pomocou protokolu SSH alebo Telnet na pripojenie k serveru konzoly cez sieť LAN (alebo pripojením pomocou protokolu PPTP, IPsec alebo OpenVPN). .
6

Používateľská príručka
Pre príkazy rozhrania príkazového riadka (CLI) a pokročilé pokyny si stiahnite Opengear CLI and Scripting Reference.pdf z https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Viac informácií
Ďalšie informácie nájdete na: · Produkty Opengear Web Stránka: Pozrite si https://opengear.com/products. Ak chcete získať najaktuálnejšie informácie o tom, čo je súčasťou vášho konzolového servera, navštívte časť Čo je súčasťou vášho konkrétneho produktu. · Príručka rýchleho spustenia: Príručku rýchleho spustenia pre svoje zariadenie získate na stránke https://opengear.com/support/documentation/. · Opengear Knowledge Base: Navštívte https://opengear.zendesk.com, kde nájdete technické návody, technické tipy, často kladené otázky a dôležité upozornenia. · Opengear CLI a referencia skriptovania: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Kapitola 2:

Konfigurácia systému

KONFIGURÁCIA SYSTÉMU

Táto kapitola poskytuje podrobné pokyny na úvodnú konfiguráciu vášho konzolového servera a jeho pripojenie k riadiacej alebo prevádzkovej sieti LAN. Postup je nasledovný:
Aktivujte riadiacu konzolu. Zmeňte heslo správcu. Nastavte hlavný port LAN servera konzoly IP adresy. Vyberte služby, ktoré chcete povoliť, a pristupujte k oprávneniam. Táto kapitola tiež pojednáva o komunikačných softvérových nástrojoch, ktoré môže administrátor použiť na prístup ku konzolovému serveru, ao konfigurácii ďalších LAN portov.
2.1 Pripojenie riadiacej konzoly
Váš konzolový server sa dodáva nakonfigurovaný s predvolenou IP adresou 192.168.0.1 a maskou podsiete 255.255.255.0 pre NET1 (WAN). Pre počiatočnú konfiguráciu odporúčame pripojiť počítač priamo ku konzole. Ak sa rozhodnete pripojiť svoju sieť LAN pred dokončením krokov úvodného nastavenia, uistite sa, že:
· V sieti LAN nie sú žiadne ďalšie zariadenia s adresou 192.168.0.1. · Konzolový server a počítač sú v rovnakom segmente LAN bez vloženého smerovača
spotrebičov.
2.1.1 Nastavenie pripojeného počítača Ak chcete nakonfigurovať konzolový server s prehliadačom, pripojený počítač by mal mať IP adresu v rovnakom rozsahu ako konzolový server (napr.ample, 192.168.0.100):
· Ak chcete nakonfigurovať adresu IP vášho počítača so systémom Linux alebo Unix, spustite príkaz ifconfig. · Pre počítače so systémom Windows:
1. Kliknite na Štart > Nastavenia > Ovládací panel a dvakrát kliknite na položku Sieťové pripojenia. 2. Kliknite pravým tlačidlom myši na Local Area Connection a vyberte Properties. 3. Vyberte Internetový protokol (TCP/IP) a kliknite na Vlastnosti. 4. Vyberte možnosť Použiť nasledujúcu adresu IP a zadajte nasledujúce podrobnosti:
o IP adresa: 192.168.0.100 o Maska podsiete: 255.255.255.0 5. Ak chcete zachovať existujúce nastavenia IP pre toto sieťové pripojenie, kliknite na Rozšírené a pridajte vyššie uvedené ako sekundárne IP pripojenie.
2.1.2 Pripojenie prehliadača
Otvorte prehliadač na pripojenom PC / pracovnej stanici a zadajte https://192.168.0.1.
Prihlásiť sa s:
Používateľské meno> root heslo> predvolené
8

Používateľská príručka
Pri prvom prihlásení musíte zmeniť heslo používateľa root. Kliknite na tlačidlo Odoslať.
Ak chcete dokončiť zmenu, znova zadajte nové heslo. Kliknite na tlačidlo Odoslať. Zobrazí sa uvítacia obrazovka.
Ak má váš systém celulárny modem, zobrazia sa vám kroky na konfiguráciu funkcií celulárneho smerovača: · Nakonfigurujte pripojenie celulárneho modemu (stránka Systém > Vytočiť. Pozrite si kapitolu 4) · Povoľte presmerovanie do cieľovej mobilnej siete (stránka Systém > Firewall. Pozrite si kapitolu 4) · Povoľte maskovanie IP pre mobilné pripojenie (stránka Systém > Firewall. Pozrite si kapitolu 4)
Po dokončení každého z vyššie uvedených krokov sa môžete vrátiť do zoznamu konfigurácií kliknutím na logo Opengear v ľavom hornom rohu obrazovky. POZNÁMKA Ak sa nemôžete pripojiť k riadiacej konzole na adrese 192.168.0.1 alebo ak je predvolená
Používateľské meno / heslo nie sú akceptované, resetujte svoj konzolový server (pozri kapitolu 10).
9

Kapitola 2: Konfigurácia systému
2.2 Nastavenie správcu
2.2.1 Zmena predvoleného systémového hesla root Pri prvom prihlásení do zariadenia musíte zmeniť heslo používateľa root. Toto heslo môžete kedykoľvek zmeniť.
1. Kliknite na položku Serial & Network > Users & Groups alebo na uvítacej obrazovke kliknite na položku Change default administrator password.
2. Prejdite nadol a nájdite položku používateľa root v časti Používatelia a kliknite na položku Upraviť. 3. Zadajte nové heslo do polí Password (Heslo) a Confirm (Potvrdiť).
POZNÁMKA Začiarknutím políčka Uložiť heslo pri vymazaní firmvéru sa heslo uloží, aby sa nevymazalo pri resetovaní firmvéru. Ak toto heslo stratíte, bude potrebné obnoviť firmvér zariadenia.
4. Kliknite na tlačidlo Použiť. Prihláste sa s novým heslom 2.2.2 Nastavenie nového administrátora Vytvorte nového užívateľa s administrátorskými oprávneniami a prihláste sa ako tento užívateľ pre administratívne funkcie, nie ako root.
10

Používateľská príručka
1. Kliknite na položku Serial & Network > Users & Groups. Prejdite do spodnej časti stránky a kliknite na tlačidlo Pridať používateľa.
2. Zadajte Používateľské meno. 3. V časti Skupiny začiarknite políčko správcu. 4. Zadajte heslo do polí Password (Heslo) a Confirm (Potvrdiť).
5. Môžete tiež pridať autorizované kľúče SSH a zvoliť možnosť Zakázať overovanie hesla pre tohto používateľa.
6. Na tejto stránke je možné nastaviť ďalšie možnosti pre tohto používateľa vrátane možností telefonického pripojenia, prístupných hostiteľov, dostupných portov a dostupných výstupov RPC.
7. Kliknutím na tlačidlo Použiť v spodnej časti obrazovky vytvorte tohto nového používateľa.
11

Kapitola 2: Konfigurácia systému
2.2.3 Pridajte názov systému, popis systému a MOTD. 1. Vyberte Systém > Správa. 2. Zadajte System Name (Názov systému) a System Description (Popis systému) pre server konzoly, aby ste mu dali jedinečné ID a uľahčili jeho identifikáciu. Názov systému môže obsahovať 1 až 64 alfanumerických znakov a špeciálne znaky podčiarkovníka (_), mínus (-) a bodku (.). Popis systému môže obsahovať až 254 znakov.
3. Banner MOTD možno použiť na zobrazenie správy dňa používateľom. Zobrazuje sa v ľavej hornej časti obrazovky pod logom Opengear.
4. Kliknite na tlačidlo Použiť.
12

Kapitola 2: Konfigurácia systému
5. Vyberte Systém > Správa. 6. MOTD Banner možno použiť na zobrazenie správy dňa používateľom. Zobrazuje sa na
vľavo hore na obrazovke pod logom Opengear. 7. Kliknite na tlačidlo Použiť.
2.3 Konfigurácia siete
Zadajte IP adresu pre hlavný ethernetový (LAN/Network/Network1) port na serveri konzoly alebo povoľte jeho klientovi DHCP automaticky získať IP adresu zo servera DHCP. Server konzoly má štandardne povoleného klienta DHCP a automaticky akceptuje akúkoľvek sieťovú IP adresu pridelenú serverom DHCP vo vašej sieti. V tomto počiatočnom stave bude konzolový server reagovať na svoju predvolenú statickú adresu 192.168.0.1 aj na svoju adresu DHCP.
1. Kliknite na Systém > IP a kliknite na kartu Sieťové rozhranie. 2. Pre metódu konfigurácie vyberte buď DHCP alebo Static.
Ak zvolíte Statická, zadajte IP adresu, masku podsiete, bránu a podrobnosti o serveri DNS. Tento výber zakáže klienta DHCP.
12

Používateľská príručka
3. Port LAN servera konzoly automaticky zistí rýchlosť ethernetového pripojenia. Pomocou rozbaľovacieho zoznamu Médiá uzamknite Ethernet na 10 Mb/s alebo 100 Mb/s a na Full Duplex alebo Half Duplex.
Ak zaznamenáte stratu paketov alebo slabý výkon siete s nastavením Auto, zmeňte nastavenia Ethernet Media na serveri konzoly a zariadení, ku ktorému je pripojené. Vo väčšine prípadov zmeňte obe na 100baseTx-FD (100 megabitov, plný duplex).
4. Ak vyberiete DHCP, server konzoly vyhľadá podrobnosti o konfigurácii zo servera DHCP. Tento výber zakáže akúkoľvek statickú adresu. MAC adresu konzolového servera nájdete na štítku na základnej doske.
5. Môžete zadať sekundárnu adresu alebo zoznam adries oddelených čiarkami v notácii CIDR, napr. 192.168.1.1/24 ako IP Alias.
6. Kliknite na tlačidlo Použiť. 7. Zadaním znova pripojte prehliadač na počítači, ktorý je pripojený ku konzolovému serveru
http://your new IP address.
Ak zmeníte IP adresu konzolového servera, musíte prekonfigurovať váš počítač tak, aby mal IP adresu v rovnakom sieťovom rozsahu ako nová adresa konzolového servera. Môžete nastaviť MTU na rozhraniach Ethernet. Toto je rozšírená možnosť, ktorá sa má použiť, ak váš scenár nasadenia nefunguje s predvolenou hodnotou MTU 1500 1280 bajtov. Ak chcete nastaviť MTU, kliknite na Systém > IP a kliknite na kartu Sieťové rozhranie. Prejdite nadol do poľa MTU a zadajte požadovanú hodnotu. Platné hodnoty sú od 1500 do 100 pre 1280-megabitové rozhrania a 9100 až XNUMX pre gigabitové rozhrania Ak je nakonfigurované premostenie alebo prepojenie, MTU nastavená na stránke Sieťové rozhranie sa nastaví na rozhraniach, ktoré sú súčasťou mosta alebo väzby. . POZNÁMKA V niektorých prípadoch sa MTU zadaná používateľom nemusí prejaviť. Niektoré ovládače NIC môžu zaokrúhliť príliš veľké MTU na maximálnu povolenú hodnotu a iné vrátia chybový kód. Na manažovanie MTU Size: configure môžete použiť aj príkaz CLI
# config -s config.interfaces.wan.mtu=1380 skontrolovať
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider žiadne config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode bezstavová konfigurácia .interfaces.wan.media Auto config.interfaces.wan.mode statická konfigurácia.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Kapitola 2: Konfigurácia systému
2.3.1 Konfigurácia IPv6 Ethernetové rozhrania konzolového servera štandardne podporujú IPv4. Môžu byť nakonfigurované na prevádzku IPv6:
1. Kliknite na Systém > IP. Kliknite na kartu Všeobecné nastavenia a začiarknite políčko Povoliť IPv6. Ak chcete, začiarknite políčko Vypnúť IPv6 pre mobilné siete.
2. Nakonfigurujte parametre IPv6 na každej stránke rozhrania. IPv6 je možné nakonfigurovať buď na automatický režim, ktorý bude používať SLAAC alebo DHCPv6 na konfiguráciu adries, trás a DNS, alebo na statický režim, ktorý umožňuje manuálne zadanie informácií o adrese.
2.3.2 Konfigurácia dynamického DNS (DDNS) Pomocou dynamického DNS (DDNS) možno server konzoly, ktorého IP adresa je dynamicky prideľovaná, lokalizovať pomocou pevného názvu hostiteľa alebo domény. Vytvorte si účet u podporovaného poskytovateľa služieb DDNS podľa vášho výberu. Pri nastavovaní účtu DDNS si vyberiete používateľské meno, heslo a názov hostiteľa, ktoré budete používať ako názov DNS. Poskytovatelia služieb DDNS vám umožňujú vybrať názov hostiteľa URL a nastavte počiatočnú IP adresu tak, aby zodpovedala tomuto názvu hostiteľa URL.
14

Používateľská príručka
Ak chcete povoliť a nakonfigurovať DDNS na ktoromkoľvek z pripojení Ethernet alebo celulárnej siete na serveri konzoly. 1. Kliknite na Systém > IP a prejdite nadol v sekcii Dynamic DNS. Vyberte poskytovateľa služieb DDNS
z rozbaľovacieho zoznamu Dynamic DNS. Informácie DDNS môžete nastaviť aj na karte Mobilný modem v časti Systém > Vytočiť.
2. Do poľa DDNS Hostname zadajte úplný názov hostiteľa DNS pre váš server konzoly, napr. yourhostname.dyndns.org.
3. Zadajte používateľské meno DDNS a heslo DDNS pre účet poskytovateľa služieb DDNS. 4. Zadajte Maximálny interval medzi aktualizáciami v dňoch. Aktualizácia DDNS bude odoslaná aj v prípade, že
adresa sa nezmenila. 5. Zadajte Minimálny interval medzi kontrolami zmenených adries v sekundách. Aktualizácie budú
poslať, ak sa adresa zmenila. 6. Zadajte Maximálny počet pokusov na aktualizáciu, čo je počet pokusov o aktualizáciu
než sa vzdá. Toto je štandardne 3. 7. Kliknite na tlačidlo Použiť.
15

Kapitola 2: Konfigurácia systému
2.3.3 Režim EAPoL pre WAN, LAN a OOBFO
(OOBFO platí len pre IM7216-2-24E-DAC)
Koniecview EAPoL IEEE 802.1X alebo PNAC (Port-based Network Access Control) využíva charakteristiky fyzického prístupu infraštruktúr LAN IEEE 802 s cieľom poskytnúť prostriedky na autentifikáciu a autorizáciu zariadení pripojených k portu LAN, ktorý má point-to- charakteristiky bodového pripojenia a zabránenie prístupu k tomuto portu v prípadoch, keď autentifikácia a autorizácia zlyhajú. Port je v tomto kontexte jediným bodom pripojenia k infraštruktúre LAN.
Keď nový bezdrôtový alebo káblový uzol (WN) požaduje prístup k zdroju LAN, prístupový bod (AP) požiada o identitu WN. Žiadna iná prevádzka ako EAP nie je povolená pred overením WN („port“ je uzavretý alebo „neautentizovaný“). Bezdrôtový uzol, ktorý požaduje autentifikáciu, sa často nazýva Supplicant, Supplicant je zodpovedný za odpovedanie na dáta Authenticator, ktoré vytvoria jeho poverenia. To isté platí pre prístupový bod; Authenticator nie je prístupový bod. Prístupový bod skôr obsahuje Authenticator. Authenticator nemusí byť v prístupovom bode; môže to byť externý komponent. Používajú sa nasledujúce metódy overovania:
· Žiadateľ EAP-MD5 o Metóda EAP MD5-Challenge používa jednoduché používateľské meno/heslo
· EAP-PEAP-MD5 o EAP PEAP (chránený EAP) Metóda autentifikácie MD5 používa používateľské poverenia a certifikát CA
· Spôsob overenia EAP-TLS o EAP TLS (Transport Layer Security) vyžaduje certifikát CA, certifikát klienta a súkromný kľúč.
Protokol EAP, ktorý sa používa na autentifikáciu, sa pôvodne používal na telefonické pripojenie PPP. Identitou bolo meno používateľa a na kontrolu hesla používateľa sa použila autentifikácia PAP alebo CHAP. Keďže identita je odoslaná v čistej forme (nie je šifrovaná), zlomyseľný sniffer môže zistiť identitu používateľa. Preto sa používa „skrytie identity“; skutočná identita sa neodošle pred spustením šifrovaného tunela TLS.
16

Používateľská príručka
Po odoslaní identity sa začne proces autentifikácie. Protokol používaný medzi žiadateľom a autentifikátorom je EAP (alebo EAPoL). Authenticator znovu zapuzdrí správy EAP do formátu RADIUS a odovzdá ich autentifikačnému serveru. Počas autentifikácie Authenticator prenáša pakety medzi Supplicantom a Authentication Serverom. Po dokončení procesu autentifikácie odošle Autentifikačný server správu o úspechu (alebo zlyhanie, ak autentifikácia zlyhala). Authenticator potom otvorí „port“ pre žiadateľa. Nastavenia autentifikácie sú dostupné zo stránky EAPoL Supplicant Settings. Stav aktuálnej EAPoL sa podrobne zobrazuje na stránke Štatistika stavu na karte EAPoL:
Abstrakcia EAPoL o sieťových ROLE sa zobrazuje v časti „Správca pripojení“ v rozhraní ovládacieho panela.
17

Kapitola 2: Konfigurácia systému
Nižšie je uvedený bývalýampsúbor úspešnej autentifikácie:
Podpora IEEE 802.1x (EAPOL) na portoch prepínača IM7216-2-24E-DAC a ACM7004-5: Aby sa predišlo slučkám, používatelia by do rovnakého prepínača vyššej úrovne nemali pripájať viac ako jeden port prepínača.
18

Používateľská príručka
2.4 Prístup k službe a ochrana hrubou silou
Administrátor môže pristupovať ku konzolovému serveru a pripojeným sériovým portom a riadeným zariadeniam pomocou rôznych prístupových protokolov/služieb. Pre každý prístup
· Služba musí byť najprv nakonfigurovaná a povolená na spustenie na serveri konzoly. · Prístup cez firewall musí byť povolený pre každé sieťové pripojenie. Ak chcete povoliť a nakonfigurovať službu: 1. Kliknite na položku Systém > Služby a kliknite na kartu Nastavenia služby.

2. Povoľte a nakonfigurujte základné služby:

HTTP

V predvolenom nastavení je služba HTTP spustená a nedá sa úplne vypnúť. V predvolenom nastavení je prístup HTTP zakázaný na všetkých rozhraniach. Odporúčame, aby tento prístup zostal zakázaný, ak sa na server konzoly pristupuje vzdialene cez internet.
Alternatívny HTTP vám umožňuje nakonfigurovať alternatívny HTTP port na počúvanie. Služba HTTP bude naďalej počúvať na porte TCP 80 pre komunikáciu CMS a konektora, ale nebude prístupná cez bránu firewall.

HTTPS

Služba HTTPS je štandardne spustená a povolená na všetkých sieťových rozhraniach. Ak má byť server konzoly spravovaný cez akúkoľvek verejnú sieť, odporúča sa používať iba prístup HTTPS. To zaisťuje administrátorom bezpečný prístup cez prehliadač ku všetkým ponukám na serveri konzoly. To tiež umožňuje vhodne nakonfigurovaným používateľom bezpečný prístup prehliadača k vybraným ponukám správy.
Službu HTTPS je možné zakázať alebo znova povoliť zaškrtnutím HTTPS Web Zadaný manažment a alternatívny port (predvolený port je 443).

Telnet

V predvolenom nastavení je služba Telnet spustená, ale zakázaná na všetkých sieťových rozhraniach.
Telnet možno použiť na poskytnutie prístupu administrátora k shellu príkazového riadka systému. Táto služba môže byť užitočná pre lokálneho administrátora a pre prístup používateľov k vybraným sériovým konzolám. Odporúčame, aby ste túto službu zakázali, ak je server konzoly spravovaný vzdialene.
Zaškrtávacie políčko Enable Telnet command shell povolí alebo zakáže službu Telnet. Alternatívny port Telnet na počúvanie možno zadať v Alternatívny port Telnetu (predvolený port je 23).

Kapitola 2: Konfigurácia systému

SSH

Táto služba poskytuje bezpečný prístup SSH na server konzoly a pripojené zariadenia

a štandardne je služba SSH spustená a povolená na všetkých rozhraniach. to je

odporúčame zvoliť SSH ako protokol, ku ktorému sa pripája správca

konzolový server cez internet alebo inú verejnú sieť. Toto zabezpečí

overenú komunikáciu medzi klientskym programom SSH na diaľku

počítač a server SSH na serveri konzoly. Pre viac informácií o SSH

konfigurácia Pozrite si kapitolu 8 – Autentifikácia.

Zaškrtávacie políčko Enable SSH command shell povolí alebo zakáže túto službu. Alternatívny port SSH na počúvanie je možné špecifikovať v porte shell príkazu SSH (predvolený port je 22).

3. Povoľte a nakonfigurujte ďalšie služby:

TFTP/FTP Ak sa na serveri konzoly zistí USB flash karta alebo interný flash disk, začiarknutím políčka Povoliť službu TFTP (FTP) povolíte túto službu a nastavíte predvolený tftp a ftp server na USB flash disku. Tieto servery sa používajú na ukladanie konfigurácií files, udržiavať prístupové a transakčné protokoly atď. FilePrenesené pomocou tftp a ftp budú uložené pod /var/mnt/storage.usb/tftpboot/ (alebo /var/mnt/storage.nvlog/tftpboot/ na zariadeniach série ACM7000). Zrušením začiarknutia možnosti Povoliť službu TFTP (FTP) sa služba TFTP (FTP) zakáže.

Kontrola DNS Relay Enable DNS Server/Relay povolí funkciu DNS relay, takže klienti môžu byť nakonfigurovaní pomocou IP servera konzoly pre ich nastavenie servera DNS a server konzoly bude posielať dotazy DNS skutočnému serveru DNS.

Web Povoliť kontrolu terminálu Web Terminál umožňuje web prístup cez prehliadač k shellu príkazového riadka systému cez Spravovať > Terminál.

4. Zadajte alternatívne čísla portov pre Raw TCP, priame služby Telnet/SSH a neoverené služby Telnet/SSH. Konzolový server používa špecifické rozsahy pre porty TCP/IP pre rôzne prístupy
služby, ktoré môžu používatelia použiť na prístup k zariadeniam pripojeným k sériovým portom (ako je uvedené v kapitole 3 Konfigurácia sériových portov). Správca môže pre tieto služby nastaviť alternatívne rozsahy a tieto sekundárne porty sa použijú okrem predvolených nastavení.

Predvolená adresa základného portu TCP/IP pre prístup Telnet je 2000 a rozsah pre Telnet je Adresa IP: Port (2000 + sériový port #), tj 2001 2048. Ak by administrátor nastavil 8000 ako sekundárnu základňu pre Telnet, sériové port #2 na serveri konzoly môže byť prístupný cez Telnet cez IP
Adresa: 2002 a adresa IP: 8002. Predvolená základňa pre SSH je 3000; pre Raw TCP je 4000; a pre RFC2217 je to 5000

5. Ďalšie služby možno povoliť a konfigurovať z tejto ponuky výberom položky Kliknite sem a konfigurujte:

Nagios Prístup k monitorovacím démonom Nagios NRPE

ORECH

Prístup k monitorovaciemu démonovi NUT UPS

SNMP Povolí snmp na serveri konzoly. SNMP je predvolene vypnuté

NTP

6. Kliknite na tlačidlo Použiť. Zobrazí sa potvrdzujúca správa: Správa Zmeny konfigurácie boli úspešné

Nastavenia prístupu k službám možno nastaviť tak, aby povolili alebo zablokovali prístup. Toto špecifikuje, ktoré povolené služby môžu administrátori používať cez každé sieťové rozhranie na pripojenie ku konzolovému serveru a cez konzolový server k pripojeným sériovým a sieťovo pripojeným zariadeniam.

Používateľská príručka
1. Zvoľte záložku Service Access na stránke System > Services.
2. Toto zobrazí povolené služby pre sieťové rozhrania servera konzoly. V závislosti od konkrétneho modelu konzolového servera môžu zobrazené rozhrania zahŕňať: · Sieťové rozhranie (pre hlavné ethernetové pripojenie) · Management LAN / OOB Failover (druhé ethernetové pripojenia) · Dialout/Cellular (V90 a 3G modem) · Dial-in (interné alebo externý modem V90) · VPN (IPsec alebo Open VPN pripojenie cez akékoľvek sieťové rozhranie)
3. Začiarknite/zrušte začiarknutie pre každú sieť, ktorá služba sa má povoliť/zakázať Možnosti prístupu k službe Respond to ICMP echoes (tj ping), ktoré je možné nakonfigurovať na tomto miestetage. To umožňuje konzolovému serveru odpovedať na prichádzajúce ICMP echo požiadavky. Ping je predvolene povolený. Pre zvýšenie bezpečnosti by ste mali túto službu zakázať po dokončení úvodnej konfigurácie. Môžete povoliť prístup k zariadeniam so sériovým portom z nominovaných sieťových rozhraní pomocou Raw TCP, priameho Telnet/SSH, neoverených služieb Telnet/SSH atď.
4. Kliknite na tlačidlo Použiť Web Nastavenia správy Začiarkavacie políčko Povoliť HSTS umožňuje prísne zabezpečenie prenosu HTTP. Režim HSTS znamená, že hlavička StrictTransport-Security by sa mala odoslať cez prenos HTTPS. Vyhovujúci web prehliadač si túto hlavičku zapamätá a po požiadaní o kontaktovanie rovnakého hostiteľa cez HTTP (obyčajný) sa automaticky prepne
19

Kapitola 2: Konfigurácia systému
HTTPS pred pokusom o HTTP, pokiaľ prehliadač raz pristúpil na zabezpečenú stránku a videl hlavičku STS.
Ochrana hrubou silou Ochrana hrubou silou (Micro Fail2ban) dočasne blokuje zdrojové adresy IP, ktoré vykazujú škodlivé znaky, napríklad príliš veľa zlyhaní hesla. To môže pomôcť, keď sú sieťové služby zariadenia vystavené nedôveryhodnej sieti, ako je verejná sieť WAN a skriptované útoky alebo softvérové červy, ktoré sa pokúšajú uhádnuť (hrubou silou) používateľské poverenia a získať neoprávnený prístup.

Pre uvedené služby môže byť povolená ochrana hrubou silou. V predvolenom nastavení, keď je ochrana zapnutá, 3 alebo viac neúspešných pokusov o pripojenie do 60 sekúnd od konkrétnej zdrojovej adresy IP spustí zákaz pripojenia na nastaviteľné časové obdobie. Limit pokusov a časový limit zákazu je možné prispôsobiť. Aktívne zákazy sú tiež uvedené a možno ich obnoviť opätovným načítaním stránky.

POZNÁMKA

Pri spustení v nedôveryhodnej sieti zvážte použitie rôznych stratégií, ktoré sa používajú na uzamknutie vzdialeného prístupu. To zahŕňa autentifikáciu verejným kľúčom SSH, pravidlá VPN a brány firewall
zoznam povolených vzdialený prístup len z dôveryhodných zdrojových sietí. Podrobnosti nájdete v databáze znalostí Opengear.

2.5 Komunikačný softvér
Nakonfigurovali ste prístupové protokoly pre klienta správcu, ktorý sa má použiť pri pripájaní na server konzoly. Klienti používateľov tiež používajú tieto protokoly pri prístupe k sériovo pripojeným zariadeniam konzolového servera a k hostiteľom pripojeným k sieti. Potrebujete komunikačné softvérové nástroje nastavené na klientskom počítači správcu a používateľa. Na pripojenie môžete použiť nástroje ako PuTTY a SSHTerm.

Používateľská príručka
Komerčne dostupné konektory spájajú dôveryhodný protokol tunelovania SSH s populárnymi prístupovými nástrojmi, ako sú Telnet, SSH, HTTP, HTTPS, VNC, RDP, aby poskytovali bezpečný vzdialený prístup k správe ku všetkým spravovaným systémom a zariadeniam. Informácie o používaní konektorov na prístup prehliadača k riadiacej konzole servera konzoly, prístup Telnet/SSH k príkazovému riadku servera konzoly a pripojenie TCP/UDP k hostiteľom, ktorí sú sieťovo pripojení k serveru konzoly, nájdete v kapitole 5. Konektory môžu byť nainštalovaný na Windows PC, Mac OS X a na väčšine systémov Linux, UNIX a Solaris.
2.6 Konfigurácia riadiacej siete
Konzolové servery majú ďalšie sieťové porty, ktoré je možné nakonfigurovať tak, aby poskytovali manažment LAN prístupu a/alebo núdzového alebo mimopásmového prístupu. 2.6.1 Povolenie riadiacej konzoly LAN Servery je možné nakonfigurovať tak, aby druhý ethernetový port poskytoval bránu pre správu LAN. Brána má funkcie brány firewall, smerovača a servera DHCP. Ak chcete pripojiť hostiteľov k tejto riadiacej sieti LAN, musíte k sieti 2 pripojiť externý prepínač LAN:
POZNÁMKA Druhý ethernetový port možno nakonfigurovať buď ako port brány Management LAN alebo ako port OOB/Failover. Uistite sa, že ste nevyhradili NET2 ako Failover Interface, keď ste konfigurovali hlavné sieťové pripojenie v ponuke Systém > IP.
21

Kapitola 2: Konfigurácia systému
Konfigurácia brány Management LAN: 1. Vyberte kartu Management LAN Interface v ponuke System > IP a zrušte začiarknutie políčka Disable. 2. Nakonfigurujte IP adresu a masku podsiete pre Management LAN. Polia DNS nechajte prázdne. 3. Kliknite na tlačidlo Použiť.
Funkcia riadiacej brány je povolená s predvolenými pravidlami brány firewall a smerovača nakonfigurovanými tak, aby bola riadiaca sieť LAN prístupná iba prostredníctvom presmerovania portov SSH. To zaisťuje, že vzdialené a lokálne pripojenia k spravovaným zariadeniam v riadiacej sieti LAN sú bezpečné. Porty LAN môžu byť tiež nakonfigurované v premostenom alebo viazanom režime alebo manuálne nakonfigurované z príkazového riadku. 2.6.2 Konfigurácia servera DHCP Server DHCP umožňuje automatickú distribúciu IP adries zariadeniam v riadiacej sieti LAN, ktoré používajú klientov DHCP. Ak chcete povoliť server DHCP:
1. Kliknite na Systém > DHCP Server. 2. Na karte Sieťové rozhranie začiarknite políčko Povoliť server DHCP.
22

Používateľská príručka
3. Zadajte adresu brány, ktorá sa má prideliť klientom DHCP. Ak toto pole ponecháte prázdne, použije sa IP adresa servera konzoly.
4. Zadajte adresu primárneho DNS a sekundárneho DNS na vydanie klientov DHCP. Ak toto pole ponecháte prázdne, použije sa IP adresa servera konzoly.
5. Voliteľne zadajte príponu názvu domény na vydanie klientov DHCP. 6. Zadajte predvolený čas zapožičania a maximálny čas zapožičania v sekundách. Toto je množstvo času
že dynamicky pridelená IP adresa je platná predtým, ako si ju klient musí znova vyžiadať. 7. Kliknite na tlačidlo Použiť Server DHCP vydáva adresy IP zo špecifikovaných oblastí adries: 1. Kliknite na tlačidlo Pridať v poli Dynamické oblasti prideľovania adries. 2. Zadajte počiatočnú a koncovú adresu fondu DHCP. 3. Kliknite na tlačidlo Použiť.
23

Kapitola 2: Konfigurácia systému
Server DHCP tiež podporuje predbežné prideľovanie adries IP, ktoré sa majú prideliť konkrétnym adresám MAC, a rezervovanie adries IP na použitie pripojenými hostiteľmi s pevnými adresami IP. Ak chcete rezervovať IP adresu pre konkrétneho hostiteľa:
1. Kliknite na Pridať v poli Rezervované adresy. 2. Zadajte názov hostiteľa, hardvérovú adresu (MAC) a staticky rezervovanú IP adresu pre
klienta DHCP a kliknite na tlačidlo Použiť.
Keď DHCP pridelil adresy hostiteľov, odporúča sa ich skopírovať do vopred priradeného zoznamu, aby sa v prípade reštartu znova pridelila rovnaká adresa IP.
24

Používateľská príručka
2.6.3 Vybrať Failover alebo širokopásmové OOB konzolové servery poskytujú možnosť núdzového prepnutia, takže v prípade problému s použitím hlavného LAN pripojenia pre prístup na konzolový server sa použije alternatívna prístupová cesta. Ak chcete povoliť núdzové prepnutie:
1. Vyberte stránku Sieťové rozhranie v ponuke Systém > IP 2. Vyberte Failover rozhranie, ktoré sa má použiť v prípade výpadkutage v hlavnej sieti.
3. Kliknite na tlačidlo Použiť. Prepnutie pri zlyhaní sa stane aktívnym po zadaní externých lokalít, ktoré sa majú testovať na spustenie prepnutia pri zlyhaní a nastavení portov prepnutia.
2.6.4 Agregácia sieťových portov Štandardne je možné pristupovať k sieťovým portom siete Management LAN servera konzoly pomocou tunelovania SSH/presmerovania portov alebo vytvorením tunela IPsec VPN na server konzoly. Všetky káblové sieťové porty na konzolových serveroch môžu byť agregované premostením alebo prepojením.
25

Používateľská príručka
· V predvolenom nastavení je agregácia rozhraní vypnutá v ponuke Systém > IP > Všeobecné nastavenia · Vyberte Rozhrania mosta alebo Rozhrania väzby
o Keď je povolené premostenie, sieťová prevádzka je presmerovaná cez všetky ethernetové porty bez obmedzení brány firewall. Všetky ethernetové porty sú transparentne prepojené na vrstve dátového spojenia (vrstva 2), takže si zachovávajú svoje jedinečné adresy MAC
o Pri spájaní sa sieťová prevádzka prenáša medzi portami, ale má jednu MAC adresu
Oba režimy odstraňujú všetky funkcie rozhrania Management LAN a Out-of-Band/Failover Interface a deaktivujú server DHCP · V režime agregácie sú všetky ethernetové porty spoločne konfigurované pomocou ponuky Network Interface
25

Kapitola 2: Konfigurácia systému
2.6.5 Statické trasy Statické trasy poskytujú veľmi rýchly spôsob smerovania údajov z jednej podsiete do inej podsiete. Môžete pevne zakódovať cestu, ktorá povie konzolovému serveru/smerovaču, aby sa dostal do určitej podsiete pomocou určitej cesty. To môže byť užitočné pre prístup k rôznym podsieťam na vzdialenom mieste pri použití mobilného pripojenia OOB.

Ak chcete pridať k statickej trase do smerovacej tabuľky systému:
1. Zvoľte záložku Route Settings v menu System > IP General Settings.
2. Kliknite na položku Nová trasa
3. Zadajte Názov trasy pre trasu.
4. Do poľa Cieľová sieť/hostiteľ zadajte IP adresu cieľovej siete/hostiteľa, ku ktorému trasa poskytuje prístup.
5. Do poľa Cieľová sieťová maska zadajte hodnotu, ktorá identifikuje cieľovú sieť alebo hostiteľa. Akékoľvek číslo medzi 0 a 32. Maska podsiete 32 identifikuje smerovanie hostiteľa.
6. Zadajte Route Gateway s IP adresou smerovača, ktorý bude smerovať pakety do cieľovej siete. Toto môže zostať prázdne.
7. Vyberte Rozhranie, ktoré chcete použiť na dosiahnutie cieľa, môže byť ponechané ako Žiadne.
8. Do poľa Metric zadajte hodnotu, ktorá predstavuje metriku tohto pripojenia. Použite ľubovoľné číslo rovné alebo väčšie ako 0. Toto je potrebné nastaviť len vtedy, ak sú dve alebo viac trás v konflikte alebo majú prekrývajúce sa ciele.
9. Kliknite na tlačidlo Použiť.

POZNÁMKA

Stránka s podrobnosťami o trase poskytuje zoznam sieťových rozhraní a modemov, ku ktorým môže byť trasa pripojená. V prípade modemu bude trasa pripojená ku ktorejkoľvek relácii vytáčanej linky nadviazanej prostredníctvom tohto zariadenia. Trasu je možné zadať pomocou brány, rozhrania alebo oboch. Ak zadané rozhranie nie je aktívne, trasy nakonfigurované pre toto rozhranie nebudú aktívne.

Návod na použitie 3. KONFIGURÁCIA SÉRIOVÉHO PORTU, HOSTITEĽA, ZARIADENIA A POUŽÍVATEĽA
Konzolový server umožňuje prístup a ovládanie sériovo pripojených zariadení a zariadení pripojených k sieti (hostiteľov). Správca musí nakonfigurovať prístupové práva pre každé z týchto zariadení a špecifikovať služby, ktoré možno použiť na ovládanie zariadení. Správca môže tiež nastaviť nových používateľov a špecifikovať individuálne prístupové a riadiace oprávnenia každého používateľa.
Táto kapitola sa zaoberá všetkými krokmi konfigurácie zariadení pripojených k sieti a sériovo pripojených zariadení: · Sériové porty nastavenie protokolov používaných sériovo pripojených zariadení · Users & Groups nastavenie používateľov a definovanie prístupových oprávnení pre každého z týchto používateľov · Autentifikácia, toto je popísané viac podrobnosti v kapitole 8 · Sieťoví hostitelia konfigurácia prístupu k počítačom alebo zariadeniam pripojeným k lokálnej sieti (hostiteľom) · Konfigurácia dôveryhodných sietí – nominujte IP adresy, z ktorých dôveryhodní používatelia pristupujú · Kaskádovanie a presmerovanie portov sériovej konzoly · Pripojenie k napájaniu (UPS, PDU a IPMI) a zariadenia na monitorovanie prostredia (EMD) · Presmerovanie sériového portu pomocou okien PortShare a klientov Linux · Spravované zariadenia – predstavuje konsolidovaný view všetkých pripojení · IPSec umožňujúce pripojenie VPN · OpenVPN · PPTP
3.1 Konfigurácia sériových portov
Prvým krokom pri konfigurácii sériového portu je nastavenie Spoločných nastavení, ako sú protokoly a parametre RS232, ktoré sa majú použiť na dátové pripojenie k tomuto portu (napr. prenosová rýchlosť). Vyberte režim, v ktorom má port fungovať. Každý port možno nastaviť tak, aby podporoval jeden z týchto prevádzkových režimov:
· Predvolený režim je vypnutý, sériový port je neaktívny
27

Kapitola 3:

Konfigurácia sériového portu, hostiteľa, zariadenia a používateľa

· Režim konzolového servera umožňuje všeobecný prístup k sériovému portu konzoly na sériovo pripojených zariadeniach
· Režim zariadenia nastavuje sériový port na komunikáciu s inteligentným sériovo riadeným PDU, UPS alebo zariadeniami na monitorovanie prostredia (EMD)
· Režim terminálového servera nastaví sériový port tak, aby čakal na prichádzajúcu reláciu prihlásenia terminálu · Režim sériového mosta umožňuje transparentné prepojenie dvoch zariadení so sériovým portom cez
siete.
1. Zvoľte Serial & Network > Serial Port pre zobrazenie podrobností sériového portu. 2. Štandardne je každý sériový port nastavený v režime konzolového servera. Kliknite na Upraviť vedľa požadovaného portu
prekonfigurovaný. Alebo kliknite na Upraviť viacero portov a vyberte porty, ktoré chcete nakonfigurovať ako skupinu. 3. Keď ste prekonfigurovali spoločné nastavenia a režim pre každý port, nastavte ľubovoľný vzdialený syslog (konkrétne informácie nájdete v nasledujúcich častiach). Kliknite na tlačidlo Použiť 4. Ak bol server konzoly nakonfigurovaný s povoleným monitorovaním distribuovaného systému Nagios, použite možnosti nastavení Nagios na povolenie monitorovania nominovaných služieb na hostiteľovi 3.1.1 Spoločné nastavenia Existuje množstvo bežných nastavení, ktoré je možné nastaviť pre každý seriál prístav. Tieto sú nezávislé od režimu, v ktorom sa port používa. Tieto parametre sériového portu musia byť nastavené tak, aby sa zhodovali s parametrami sériového portu na zariadení, ktoré k tomuto portu pripojíte:
28

Používateľská príručka

· Zadajte označenie portu · Vyberte vhodnú prenosovú rýchlosť, paritu, dátové bity, stop bity a riadenie toku pre každý port

· Nastavte Pinout portu. Táto položka ponuky sa zobrazí pre porty IM7200, kde pin-out pre každý sériový port RJ45 možno nastaviť buď ako X2 (Cisco Straight) alebo X1 (Cisco Rolled)

· Nastavte režim DTR. To vám umožňuje vybrať si, či sa DTR uplatní vždy alebo len pri aktívnej relácii používateľa

· Pred pokračovaním v ďalšej konfigurácii sériového portu by ste mali pripojiť porty k sériovým zariadeniam, ktoré budú ovládať, a zabezpečiť, aby mali zodpovedajúce nastavenia

3.1.2

Režim konzolového servera
Vyberte Režim servera konzoly, aby ste povolili prístup vzdialenej správy k sériovej konzole, ktorá je pripojená k tomuto sériovému portu:

Úroveň protokolovania Špecifikuje úroveň informácií, ktoré sa majú zapisovať a monitorovať.
29

Kapitola 3: Konfigurácia sériového portu, hostiteľa, zariadenia a používateľa
Úroveň 0: Zakázať protokolovanie (predvolené)
Úroveň 1: Zaznamenajte udalosti PRIHLÁSENIE, ODHLÁSENIE a SIGNÁL
Úroveň 2: Zaznamenať udalosti LOGIN, LOGOUT, SIGNAL, TXDATA a RXDATA
Úroveň 3: Zaznamenajte udalosti LOGIN, LOGOUT, SIGNAL a RXDATA
Úroveň 4: Zaznamenať udalosti LOGIN, LOGOUT, SIGNAL a TXDATA
Vstup/RXDATA sú dáta prijaté zariadením Opengear z pripojeného sériového zariadenia a výstup/TXDATA sú dáta odoslané zariadením Opengear (napr. zadané používateľom) do pripojeného sériového zariadenia.
Konzoly zariadení zvyčajne opakujú znaky pri ich písaní, takže TXDATA zadané používateľom sú následne prijaté ako RXDATA zobrazené na ich termináli.
POZNÁMKA: Po výzve na zadanie hesla pripojené zariadenie odošle znaky *, aby sa zabránilo zobrazeniu hesla.

Telnet Keď je na serveri konzoly povolená služba Telnet, klient Telnet na počítači užívateľa sa môže pripojiť k sériovému zariadeniu pripojenému k tomuto sériovému portu na serveri konzoly. Keďže komunikácia Telnet je nešifrovaná, tento protokol sa odporúča iba pre lokálne alebo tunelované pripojenia VPN.
Ak sa vzdialená komunikácia tuneluje pomocou konektora, na bezpečný prístup k týmto pripojeným zariadeniam možno použiť Telnet.

POZNÁMKA

V režime servera konzoly môžu používatelia použiť konektor na nastavenie bezpečných pripojení Telnet, ktoré sú tunelované SSH z ich klientskych počítačov na sériový port na serveri konzoly. Konektory je možné nainštalovať na počítače so systémom Windows a väčšinu platforiem Linux a umožňujú výber bezpečných pripojení Telnet jednoduchým kliknutím.

Ak chcete použiť konektor na prístup ku konzolám na sériových portoch servera konzoly, nakonfigurujte konektor so serverom konzoly ako bránu a ako hostiteľa a povoľte službu Telnet na porte (2000 + sériový port #), tj 2001.

Môžete tiež použiť štandardné komunikačné balíky ako PuTTY na nastavenie priameho pripojenia Telnet alebo SSH k sériovým portom.

POZNÁMKA V režime servera konzoly, keď sa pripájate k sériovému portu, pripájate sa cez pmshell. Ak chcete vygenerovať BREAK na sériovom porte, zadajte sekvenciu znakov ~b. Ak to robíte cez OpenSSH, zadajte ~~b.

SSH

Keď sa používatelia pripájajú ku konzolovému serveru, odporúča sa použiť SSH ako protokol

(alebo sa pripojte cez konzolový server k pripojeným sériovým konzolám) cez internet alebo cez akýkoľvek iný

inej verejnej siete.

Pre SSH prístup ku konzolám na zariadeniach pripojených k sériovým portom konzolového servera môžete použiť konektor. Nakonfigurujte konektor s konzolovým serverom ako bránu a ako hostiteľa a povoľte službu SSH na porte (3000 + sériový port #), tj 3001-3048.

Môžete tiež použiť bežné komunikačné balíky, ako je PuTTY alebo SSHTerm na pripojenie SSH k adrese portu Adresa IP _ Port (3000 + sériové číslo portu), tj 3001

Pripojenie SSH je možné nakonfigurovať pomocou štandardného portu SSH 22. Sériový port, ku ktorému sa pristupuje, je identifikovaný pridaním deskriptora k používateľskému menu. Táto syntax podporuje:

Používateľská príručka
: : Pre používateľa chris na prístup k sériovému portu 2 pri nastavovaní SSHTerm alebo klienta PuTTY SSH namiesto zadávania username = chris a ssh port = 3002 je alternatívou zadať username = chris:port02 (alebo username = chris: ttyS1) a ssh port = 22. Alebo zadaním username=chris:serial a ssh port = 22 sa používateľovi zobrazí možnosť výberu portu:

Táto syntax umožňuje používateľom nastaviť tunely SSH na všetky sériové porty, pričom v ich firewalle/bráne musí byť otvorený jeden IP port 22
POZNÁMKA V režime konzolového servera sa pripájate k sériovému portu cez pmshell. Ak chcete vygenerovať BREAK na sériovom porte, zadajte sekvenciu znakov ~b. Ak to robíte cez OpenSSH, napíšte ~~b.

TCP

RAW TCP umožňuje pripojenie k TCP socketu. Zatiaľ čo komunikačné programy ako PuTTY

podporuje aj RAW TCP, tento protokol zvyčajne používa vlastná aplikácia

Pre RAW TCP je predvolená adresa portu IP Address _ Port (4000 + sériové číslo portu), tj 4001 4048

RAW TCP tiež umožňuje tunelovanie sériového portu na server vzdialenej konzoly, takže dve zariadenia so sériovým portom sa môžu transparentne prepojiť cez sieť (pozri kapitolu 3.1.6 Sériové premostenie)

RFC2217 Výber RFC2217 povolí presmerovanie sériového portu na tomto porte. Pre RFC2217 je predvolená adresa portu IP Address _ Port (5000 + sériové číslo portu), tj 5001 5048
Pre Windows UNIX a Linux je k dispozícii špeciálny klientsky softvér, ktorý podporuje virtuálne komunikačné porty RFC2217, takže vzdialený hostiteľ môže monitorovať a spravovať vzdialené sériovo pripojené zariadenia, ako keby boli pripojené k lokálnemu sériovému portu (podrobnosti nájdete v kapitole 3.6 Presmerovanie sériového portu)
RFC2217 tiež umožňuje tunelovanie sériového portu na server vzdialenej konzoly, takže dve zariadenia so sériovým portom sa môžu transparentne prepojiť cez sieť (pozri kapitolu 3.1.6 Sériové premostenie)

Unauthenticated Telnet Umožňuje Telnet prístup k sériovému portu bez autentifikačných poverení. Keď používateľ pristupuje na server konzoly k Telnetu cez sériový port, dostane výzvu na prihlásenie. S neovereným Telnetom sa pripájajú priamo k portu bez akejkoľvek výzvy na prihlásenie na konzolový server. Ak Telnet klient vyzve na overenie, akékoľvek zadané údaje umožnia pripojenie.

Kapitola 3: Konfigurácia sériového portu, hostiteľa, zariadenia a používateľa
Tento režim sa používa s externým systémom (ako je napríklad konzervátor), ktorý spravuje autentifikáciu používateľov a prístupové privilégiá na úrovni sériového zariadenia.
Prihlásenie do zariadenia pripojeného k serveru konzoly môže vyžadovať autentifikáciu.
Pre Unauthenticated Telnet je predvolená adresa portu IP Address _ Port (6000 + sériové číslo portu), tj 6001 6048

Unauthenticated SSH Umožňuje SSH prístup k sériovému portu bez autentifikačných poverení. Keď používateľ pristupuje na server konzoly k Telnetu cez sériový port, dostane výzvu na prihlásenie. S neovereným SSH sa pripájajú priamo k portu bez akejkoľvek výzvy na prihlásenie na konzolový server.
Tento režim sa používa, keď máte iný systém, ktorý riadi autentifikáciu používateľov a prístupové privilégiá na úrovni sériového zariadenia, ale chcete zašifrovať reláciu cez sieť.
Prihlásenie do zariadenia pripojeného k serveru konzoly môže vyžadovať autentifikáciu.
Pre Unauthenticated Telnet je predvolená adresa portu IP Address _ Port (7000 + sériové číslo portu), tj 7001 7048
The : metóda prístupu k portu (ako je popísaná v časti SSH vyššie) vždy vyžaduje autentifikáciu.

Web Terminál Toto umožňuje web prístup cez prehliadač k sériovému portu cez Spravovať > Zariadenia: Sériové s použitím vstavaného terminálu AJAX v riadiacej konzole. Web Terminál sa pripája ako aktuálne overený používateľ riadiacej konzoly a neoveruje sa znova. Ďalšie podrobnosti nájdete v časti 12.3.

Alias IP

Povoľte prístup k sériovému portu pomocou špecifickej adresy IP zadanej vo formáte CIDR. Každému sériovému portu možno priradiť jeden alebo viac IP aliasov, nakonfigurovaných na základe sieťového rozhrania. Sériový port môže naprample, byť prístupné na 192.168.0.148 (ako súčasť internej siete) a 10.10.10.148 (ako súčasť riadiacej siete LAN). Je tiež možné sprístupniť sériový port na dvoch IP adresách v rovnakej sieti (naprample, 192.168.0.148 a 192.168.0.248).

Tieto adresy IP možno použiť iba na prístup k špecifickému sériovému portu, ktorý je prístupný pomocou štandardných čísel portov TCP protokolu služieb konzolového servera. Naprample, SSH na sériovom porte 3 bude prístupný na porte 22 aliasu sériového portu IP (zatiaľ čo na primárnej adrese servera konzoly je dostupný na porte 2003).

Túto funkciu je možné nakonfigurovať aj prostredníctvom stránky na úpravu viacerých portov. V tomto prípade sa IP adresy aplikujú postupne, pričom prvému zvolenému portu sa zadá IP a ďalšie sa zvýšia, pričom čísla sa pri všetkých nevybraných portoch preskočia. Naprampak sú vybraté porty 2, 3 a 5 a pre sieťové rozhranie je zadaný alias IP 10.0.0.1/24, priradia sa tieto adresy:

Port 2: 10.0.0.1/24

Port 3: 10.0.0.2/24

Port 5: 10.0.0.4/24

Aliasy IP tiež podporujú adresy aliasov IPv6. Jediný rozdiel je v tom, že adresy sú hexadecimálne čísla, takže port 10 môže zodpovedať adrese končiacej na A a 11 jednej končiacej na B, a nie 10 alebo 11 podľa IPv4.

Používateľská príručka
Encrypt Traffic / Authenticate Povolenie triviálneho šifrovania a autentifikácie sériovej komunikácie RFC2217 pomocou Portshare (pre silné šifrovanie použite VPN).
Obdobie akumulácie Po vytvorení pripojenia pre konkrétny sériový port (napríklad presmerovanie RFC2217 alebo pripojenie Telnet k vzdialenému počítaču) sa všetky prichádzajúce znaky na tomto porte preposielajú cez sieť znak po znaku. Akumulačná perióda určuje časové obdobie, počas ktorého sa prichádzajúce znaky zbierajú pred odoslaním ako paket cez sieť
Escape Character Zmeňte znak používaný na odosielanie escape znakov. Predvolená hodnota je ~. Nahradiť Backspace Nahradiť predvolenú hodnotu backspace CTRL+? (127) s CTRL+h (8). Power Menu Príkaz na vyvolanie ponuky napájania je ~p a povoľuje príkaz napájania shellu, takže a
používateľ môže ovládať napájacie pripojenie k riadenému zariadeniu z príkazového riadka, keď je k zariadeniu pripojený cez Telnet alebo SSH. Spravované zariadenie musí mať nakonfigurované pripojenie k sériovému portu aj pripojenie napájania.
Jedno pripojenie Toto obmedzuje port na jedno pripojenie, takže ak má viacero používateľov prístupové oprávnenia pre konkrétny port, môže k tomuto portu pristupovať súčasne iba jeden používateľ (tj snooping portov nie je povolený).
33

Kapitola 3: Konfigurácia sériového portu, hostiteľa, zariadenia a používateľa
3.1.3 Režim zariadenia (RPC, UPS, Environmental) Tento režim konfiguruje vybraný sériový port tak, aby komunikoval so sériovo riadeným neprerušiteľným zdrojom napájania (UPS), diaľkovým ovládačom napájania / jednotkami distribúcie energie (RPC) alebo zariadením na monitorovanie prostredia (environmentálne).

1. Vyberte požadovaný typ zariadenia (UPS, RPC alebo Environmental)
2. Pokračujte na príslušnú konfiguračnú stránku zariadenia (Sériové a sieťové > Pripojenia UPS, pripojenie RPC alebo Prostredie), ako je podrobne uvedené v kapitole 7.

3.1.4 ·

Režim terminálového servera
Vyberte režim terminálového servera a typ terminálu (vt220, vt102, vt100, Linux alebo ANSI), aby ste povolili getty na vybranom sériovom porte

Getty nakonfiguruje port a čaká na vytvorenie spojenia. Aktívne pripojenie na sériovom zariadení je indikované vyvýšeným kolíkom Data Carrier Detect (DCD) na sériovom zariadení. Keď sa zistí pripojenie, program getty vydá výzvu login: a vyvolá prihlasovací program, aby spracoval systémové prihlásenie.
POZNÁMKA Výberom režimu terminálového servera sa zakáže správca portov pre daný sériový port, takže údaje sa už nebudú zaznamenávať pre výstrahy atď.

Používateľská príručka
3.1.5 Režim sériového premostenia Pri sériovom premostení sú sériové dáta na nominovanom sériovom porte na jednom konzolovom serveri zapuzdrené do sieťových paketov a prenášané cez sieť na druhý konzolový server, kde sú reprezentované ako sériové dáta. Dva konzolové servery fungujú ako virtuálny sériový kábel cez IP sieť. Jeden server konzoly je nakonfigurovaný ako server. Sériový port servera, ktorý sa má premostiť, je nastavený v režime servera konzoly s povoleným RFC2217 alebo RAW. Pre server klientskej konzoly musí byť sériový port, ktorý sa má premostiť, nastavený v režime premostenia:
· Vyberte režim sériového premostenia a zadajte adresu IP servera konzoly servera a adresu portu TCP vzdialeného sériového portu (pre premostenie RFC2217 to bude 5001-5048)
· Premosťovací klient štandardne používa RAW TCP. Vyberte RFC2217, ak ide o režim servera konzoly, ktorý ste zadali na serveri konzoly servera
· Môžete zabezpečiť komunikáciu cez lokálny Ethernet povolením SSH. Vygenerujte a nahrajte kľúče.
3.1.6 Syslog Okrem vstavaného protokolovania a monitorovania, ktoré možno použiť na sériovo a sieťovo pripojené správcovské prístupy, ako je uvedené v kapitole 6, možno konzolový server nakonfigurovať aj na podporu vzdialeného protokolu syslog na sériovom porte. základ:
· Výberom polí Syslog Facility/Priority povolíte protokolovanie prevádzky na vybranom sériovom porte na server syslog; a triediť tieto zaznamenané správy a konať podľa nich (t. j. presmerovať ich / odoslať výstražný e-mail.)
35

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
Napríkladampak by počítač pripojený k sériovému portu 3 nemal nikdy nič odosielať na svoj port sériovej konzoly, správca môže nastaviť zariadenie pre tento port na local0 (local0 .. local7 sú určené pre lokálne hodnoty lokality) a Prioritu na kritické . Ak pri tejto priorite server syslog server konzoly dostane správu, spustí výstrahu. Pozrite si kapitolu 6. 3.1.7 Streamovanie NMEA ACM7000-L môže poskytovať streamovanie údajov GPS NMEA z interného GPS/mobilného modemu. Tento dátový tok sa prezentuje ako sériový dátový tok na porte 5 na modeloch ACM.
Spoločné nastavenia (prenosová rýchlosť atď.) sa pri konfigurácii sériového portu NMEA ignorujú. Môžete špecifikovať Fix Frequency (tj táto rýchlosť fixovania GPS určuje, ako často sa získavajú opravy GPS). Na tento port môžete tiež použiť všetky nastavenia Console Server Mode, Syslog a Serial Bridging.
Môžete použiť pmshell, webshell, SSH, RFC2217 alebo RawTCP, aby ste sa dostali k streamu:
Napríkladample pomocou Web Terminál:
36

Používateľská príručka

3.1.8 USB konzoly
Konzolové servery s portami USB podporujú pripojenie konzoly USB k zariadeniam od širokej škály predajcov vrátane Cisco, HP, Dell a Brocade. Tieto USB porty môžu fungovať aj ako obyčajné sériové porty RS-232, keď je pripojený adaptér USB-to-serial.

Tieto porty USB sú dostupné ako bežné porty správcu portov a sú uvedené v číselnej podobe web UI po všetkých sériových portoch RJ45.

ACM7008-2 má osem sériových portov RJ45 na zadnej strane servera konzoly a štyri porty USB na prednej strane. V časti Serial & Network > Serial Port sú uvedené ako

Port # Konektor

RJ45

USB

10 USB

11 USB

12 USB

Ak je konkrétny ACM7008-2 mobilný model, bude uvedený aj port #13 – pre GPS.

7216-24U má na zadnej strane 16 sériových portov RJ45 a 24 portov USB, ako aj dva predné porty USB a (v celulárnom modeli) GPS.

Sériové porty RJ45 sú uvedené v časti Serial & Network > Serial Port ako čísla portov 1. 16 zadných portov USB má čísla portov 24 a porty USB smerujúce dopredu sú uvedené pod číslami portov 17 a 40. A rovnako ako v prípade ACM41-42, ak je konkrétny model 7008-2U celulárny model, GPS sa zobrazí na porte číslo 7216.

Bežné nastavenia (prenosová rýchlosť atď.) sa používajú pri konfigurácii portov, ale niektoré operácie nemusia fungovať v závislosti od implementácie základného sériového čipu USB.

3.2 Pridať a upraviť používateľov
Správca používa tento výber ponuky na vytváranie, úpravu a odstraňovanie používateľov a na definovanie prístupových práv pre každého z týchto používateľov.

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa

Používatelia môžu byť autorizovaní na prístup k špecifikovaným službám, sériovým portom, napájacím zariadeniam a špecifikovaným hostiteľom pripojeným k sieti. Títo používatelia môžu tiež získať úplný štatút správcu (s plnou konfiguráciou a správou a prístupovými právami).

Používateľov je možné pridávať do skupín. Predvolene je nastavených šesť skupín:

admin

Poskytuje neobmedzené oprávnenia na konfiguráciu a správu.

pptpd

Umožňuje prístup k serveru PPTP VPN. Používatelia v tejto skupine majú svoje heslo uložené ako čistý text.

vytočiť číslo

Umožňuje telefonický prístup cez modemy. Používatelia v tejto skupine majú svoje heslo uložené ako čistý text.

ftp

Umožňuje ftp prístup a file prístup k úložným zariadeniam.

pmshell

Nastaví predvolený shell na pmshell.

používateľov

Poskytuje používateľom základné práva na správu.

Správcovská skupina poskytuje členom úplné administrátorské práva. Administrátor môže pristupovať ku konzolovému serveru pomocou ktorejkoľvek zo služieb, ktoré boli povolené v časti Systém > Služby. Môžu tiež pristupovať k akémukoľvek z pripojených hostiteľov alebo zariadení so sériovým portom pomocou ktorejkoľvek zo služieb, ktoré boli pre tieto pripojenia povolené. Prístup správcu by mali mať iba dôveryhodní používatelia
Používateľská skupina poskytuje členom obmedzený prístup ku konzolovému serveru a pripojeným hostiteľom a sériovým zariadeniam. Títo používatelia môžu pristupovať iba k sekcii Management v ponuke Management Console a nemajú prístup z príkazového riadka na server konzoly. Môžu pristupovať iba k tým hostiteľom a sériovým zariadeniam, ktoré pre nich boli skontrolované, pomocou služieb, ktoré boli povolené
Používatelia v skupinách pptd, dialin, ftp alebo pmshell majú obmedzený prístup používateľského prostredia k určeným riadeným zariadeniam, ale nebudú mať žiadny priamy prístup ku konzolovému serveru. Ak to chcete pridať, používatelia musia byť tiež členmi skupín používateľov alebo správcov
Správca môže nastaviť ďalšie skupiny so špecifickými oprávneniami na prístup k zariadeniu napájania, sériovému portu a hostiteľovi. Používatelia v týchto dodatočných skupinách nemajú žiadny prístup k ponuke riadiacej konzoly ani nemajú prístup z príkazového riadka k serveru konzoly.

Používateľská príručka
Administrátor môže nastaviť používateľov so špecifickým napájacím zariadením, sériovým portom a prístupovými právami hostiteľa, ktorí nie sú členmi žiadnej skupiny. Títo používatelia nemajú žiadny prístup k ponuke riadiacej konzoly ani prístup z príkazového riadka k serveru konzoly. 3.2.1 Vytvorenie novej skupiny Ak chcete vytvoriť nové skupiny a nových používateľov a klasifikovať používateľov ako členov konkrétnych skupín:
1. Vyberte Serial & Network > Users & Groups, aby ste zobrazili všetky skupiny a používateľov. 2. Kliknite na Add Group a pridajte novú skupinu
3. Pridajte názov skupiny a popis pre každú novú skupinu a určte prístupných hostiteľov, prístupné porty a prístupné výstupy RPC, ku ktorým budú môcť používatelia v tejto novej skupine pristupovať
4. Kliknite na tlačidlo Použiť 5. Administrátor môže upraviť alebo odstrániť ľubovoľnú pridanú skupinu 3.2.2 Nastavenie nových používateľov Nastavenie nových používateľov a klasifikácia používateľov ako členov konkrétnych skupín: 1. Pre zobrazenie vyberte položku Serial & Network > Users & Groups všetky skupiny a používateľov 2. Kliknite na Pridať používateľa
39

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
3. Pridajte používateľské meno pre každého nového používateľa. Do poľa Popis môžete zahrnúť aj informácie týkajúce sa používateľa (napr. kontaktné údaje). Používateľské meno môže obsahovať 1 až 127 alfanumerických znakov a znaky „-“, „_“ a „.“.
4. Zadajte, v ktorých skupinách chcete, aby bol používateľ členom. 5. Pridajte potvrdené heslo pre každého nového používateľa. Všetky znaky sú povolené. 6. Môže sa použiť autentifikácia prístupovým kľúčom SSH. Prilepte verejné kľúče autorizovaných verejných/súkromných
páry kľúčov pre tohto používateľa v poli Autorizované kľúče SSH 7. Ak chcete povoliť autentifikáciu verejným kľúčom iba pre tohto používateľa, začiarknite políčko Vypnúť overovanie hesla
pri používaní SSH 8. Ak chcete povoliť odchádzajúce telefonické pripojenie, začiarknite políčko Povoliť spätné vytáčanie v ponuke Možnosti vytáčania
ktorý sa má spustiť prihlásením sa do tohto portu. Zadajte telefónne číslo pre spätné vytáčanie s telefónnym číslom, na ktoré sa má po prihlásení používateľa spätne zavolať 9. Začiarknutím políčka Dostupní hostitelia a/alebo prístupné porty určíte sériové porty a hostiteľov pripojených k sieti, ku ktorým chcete, aby mal používateľ prístupové práva 10. Ak sú nakonfigurované RPC, zaškrtnite Accessible RPC Outlets, aby ste určili, ktoré zásuvky môže používateľ ovládať (tj zapnúť/vypnúť) 11. Kliknite na tlačidlo Použiť. Nový používateľ bude mať prístup k prístupným sieťovým zariadeniam, portom a výstupom RPC. Ak je používateľ členom skupiny, môže tiež pristupovať k akémukoľvek inému zariadeniu/portu/zásuvke prístupnej pre skupinu
40

Používateľská príručka
Neexistujú žiadne obmedzenia na počet používateľov, ktorých môžete nastaviť, ani na počet používateľov na sériový port alebo hostiteľa. Viacerí používatelia môžu ovládať/monitorovať jeden port alebo hostiteľa. Počet skupín nie je obmedzený a každý používateľ môže byť členom viacerých skupín. Používateľ nemusí byť členom žiadnej skupiny, ale ak je členom predvolenej skupiny používateľov, nebude môcť spravovať porty pomocou riadiacej konzoly. Hoci neexistujú žiadne obmedzenia, čas na prekonfigurovanie sa zvyšuje so zvyšujúcim sa počtom a zložitosťou. Odporúčame udržiavať celkový počet používateľov a skupín pod 250. Administrátor môže tiež upraviť nastavenia prístupu pre všetkých existujúcich používateľov:
· Vyberte položku Serial & Network > Users & Groups a kliknite na tlačidlo Upraviť, ak chcete upraviť prístupové práva používateľa. · Kliknite na tlačidlo Odstrániť, ak chcete používateľa odstrániť. · Kliknutím na tlačidlo Zakázať dočasne zablokujete prístupové práva
3.3 Autentifikácia
Podrobnosti o konfigurácii autentifikácie nájdete v kapitole 8.
3.4 Sieťoví hostitelia
Ak chcete monitorovať a vzdialene pristupovať k počítaču alebo zariadeniu v lokálnej sieti (označované ako hostiteľ), musíte hostiteľa identifikovať:
1. Výberom položky Serial & Network > Network Hosts zobrazíte všetkých hostiteľov pripojených k sieti, ktorých použitie bolo povolené.
2. Kliknutím na položku Pridať hostiteľa povolíte prístup k novému hostiteľovi (alebo výberom položky Upraviť aktualizujete nastavenia pre existujúceho hostiteľa)
41

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
3. Ak je hostiteľom napájacie zariadenie PDU alebo UPS alebo server s riadením napájania IPMI, zadajte RPC (pre IPMI a PDU) alebo UPS a Typ zariadenia. Správca môže tieto zariadenia nakonfigurovať a povoliť, ktorí používatelia majú oprávnenie na vzdialené vypnutie napájania atď. Pozrite si kapitolu 7. V opačnom prípade ponechajte položku Typ zariadenia nastavenú na možnosť Žiadne.
4. Ak bol server konzoly nakonfigurovaný s povoleným distribuovaným monitorovaním Nagios, uvidíte aj možnosti nastavení Nagios, aby ste umožnili monitorovanie nominovaných služieb na hostiteľovi.
5. Kliknite na tlačidlo Použiť. Tým sa vytvorí nový hostiteľ a tiež nové spravované zariadenie s rovnakým názvom.
3.5 Dôveryhodné siete
Zariadenie Trusted Networks vám dáva možnosť určiť IP adresy, na ktorých sa musia používatelia nachádzať, aby mali prístup k sériovým portom konzolového servera:
42

Používateľská príručka
1. Vyberte Sériové a sieťové > Dôveryhodné siete. 2. Ak chcete pridať novú dôveryhodnú sieť, vyberte Pridať pravidlo. V prípade absencie pravidiel neexistuje žiadny prístup
obmedzenia týkajúce sa IP adresy, na ktorej sa môžu používatelia nachádzať.

3. Vyberte dostupné porty, na ktoré sa má použiť nové pravidlo
4. Zadajte sieťovú adresu podsiete, ktorej má byť povolený prístup
5. Zadajte rozsah adries, ktoré majú byť povolené zadaním masky siete pre tento povolený rozsah IP, napr
· Ak chcete povoliť všetkým používateľom nachádzajúcim sa s konkrétnym sieťovým pripojením triedy C na určený port, pridajte nasledujúce nové pravidlo dôveryhodnej siete:

Adresa IP siete

204.15.5.0

Maska podsiete

255.255.255.0

· Ak chcete povoliť pripojenie iba jednému používateľovi na konkrétnej adrese IP:

Adresa IP siete

204.15.5.13

Maska podsiete

255.255.255.255

· Ak chcete povoliť všetkým používateľom pracujúcim v rámci určitého rozsahu IP adries (povedzme ktorákoľvek z tridsiatich adries od 204.15.5.129 do 204.15.5.158), aby bolo povolené pripojenie k určenému portu:

Adresa hostiteľa/podsiete

204.15.5.128

Maska podsiete

255.255.255.224

6. Kliknite na tlačidlo Použiť

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
3.6 Kaskádovanie sériového portu
Kaskádové porty vám umožňujú klastrovať servery distribuovanej konzoly, takže veľký počet sériových portov (až 1000 XNUMX) možno konfigurovať a pristupovať k nim prostredníctvom jednej adresy IP a spravovať ich prostredníctvom jednej riadiacej konzoly. Jeden konzolový server, primárny, riadi ostatné konzolové servery ako jednotky uzla a všetky sériové porty na jednotkách uzla sa javia, akoby boli súčasťou primárneho servera. Klastrovanie Opengear spája každý uzol s primárnym pomocou pripojenia SSH. Robí sa to pomocou overenia verejným kľúčom, takže Primárny môže pristupovať ku každému uzlu pomocou páru kľúčov SSH (namiesto použitia hesiel). To zaisťuje bezpečnú autentifikovanú komunikáciu medzi primárnymi uzlami a uzlami, čo umožňuje distribuovať serverové jednotky konzoly Node lokálne v sieti LAN alebo vzdialene po celom svete.
3.6.1 Automatické generovanie a nahrávanie kľúčov SSH Ak chcete nastaviť autentifikáciu verejným kľúčom, musíte najskôr vygenerovať pár kľúčov RSA alebo DSA a nahrať ich na servery Primárnej a Node konzoly. Dá sa to urobiť automaticky z Primárneho:
44

Používateľská príručka
1. Vyberte Systém > Správa na primárnej riadiacej konzole
2. Začiarknite políčko Generovať SSH kľúče automaticky. 3. Kliknite na tlačidlo Použiť
Ďalej musíte vybrať, či chcete generovať kľúče pomocou RSA a/alebo DSA (ak si nie ste istí, vyberte iba RSA). Generovanie každej sady kľúčov vyžaduje dve minúty a nové kľúče zničia staré kľúče tohto typu. Kým prebieha nová generácia, funkcie využívajúce kľúče SSH (napr. kaskádové) môžu prestať fungovať, kým nebudú aktualizované pomocou novej sady kľúčov. Ak chcete vygenerovať kľúče:
1. Začiarknite políčka pre kľúče, ktoré chcete vygenerovať. 2. Kliknite na tlačidlo Použiť
3. Po vygenerovaní nových kľúčov kliknite na odkaz Kliknutím sem sa vrátite. Kľúče sú nahrané
do Primárnych a pripojených Uzlov.
3.6.2 Manuálne generovanie a nahrávanie kľúčov SSH Alternatívne, ak máte pár kľúčov RSA alebo DSA, môžete ich nahrať na primárne servery a servery uzla. Ak chcete nahrať pár verejného a súkromného kľúča na server Primárnej konzoly:
1. Vyberte Systém > Správa na primárnej riadiacej konzole
2. Prejdite do umiestnenia, kde ste uložili verejný kľúč RSA (alebo DSA) a nahrajte ho do verejného kľúča SSH RSA (DSA)
3. Prejdite na uložený súkromný kľúč RSA (alebo DSA) a nahrajte ho do súkromného kľúča SSH RSA (DSA). 4. Kliknite na tlačidlo Použiť
45

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
Ďalej musíte zaregistrovať verejný kľúč ako autorizovaný kľúč na uzle. V prípade jedného primárneho s viacerými uzlami nahráte jeden verejný kľúč RSA alebo DSA pre každý uzol.
1. Vyberte Systém > Správa na riadiacej konzole uzla 2. Prejdite na uložený verejný kľúč RSA (alebo DSA) a nahrajte ho do autorizovaného kľúča SSH uzla
3. Kliknite na tlačidlo Použiť Ďalším krokom je odtlačok prsta pri každom novom pripojení uzla s primárnym uzlom. Tento krok potvrdzuje, že vytvárate reláciu SSH s tým, kto si myslíte, že ste. Pri prvom pripojení uzol dostane odtlačok prsta od primárneho, ktorý sa použije pri všetkých budúcich pripojeniach: Ak chcete vytvoriť odtlačok prsta, najprv sa prihláste na primárny server ako root a vytvorte pripojenie SSH k vzdialenému hostiteľovi uzla:
# ssh remhost Po vytvorení pripojenia SSH sa zobrazí výzva na prijatie kľúča. Odpovedzte áno a odtlačok prsta sa pridá do zoznamu známych hostiteľov. Ak sa zobrazí výzva na zadanie hesla, pri nahrávaní kľúčov sa vyskytol problém. 3.6.3 Konfigurácia uzlov a ich sériových portov Začnite nastavovať uzly a konfigurovať sériové porty uzlov z primárneho konzolového servera:
1. Vyberte Serial & Network > Cascaded Ports na primárnej riadiacej konzole: 2. Ak chcete pridať podporu klastrovania, vyberte Add Node
Nemôžete pridávať uzly, kým nevygenerujete kľúče SSH. Ak chcete definovať a nakonfigurovať uzol:
46

Používateľská príručka
1. Zadajte vzdialenú IP adresu alebo názov DNS pre server konzoly uzla 2. Zadajte stručný popis a krátky štítok pre uzol 3. Zadajte úplný počet sériových portov na jednotke uzla do poľa Počet portov 4. Kliknite na tlačidlo Použiť. Tým sa vytvorí tunel SSH medzi primárnym a novým uzlom
Ponuka Serial & Network > Cascaded Ports zobrazuje všetky uzly a čísla portov, ktoré boli pridelené primárnemu. Ak má primárny konzolový server 16 vlastných portov, porty 1-16 sú vopred pridelené primárnemu, takže prvému pridanému uzlu je pridelené číslo portu 17 a vyššie. Po pridaní všetkých serverov konzoly uzla sú sériové porty uzla a pripojené zariadenia konfigurovateľné a prístupné z ponuky primárnej riadiacej konzoly a prístupné cez primárnu IP adresu.
1. Zvoľte príslušný Serial & Network > Serial Port a Edit pre konfiguráciu sériových portov na
Uzol.
2. Vyberte príslušnú položku Serial & Network > Users & Groups a pridajte nových používateľov s prístupovými právami
na sériové porty Node (alebo na rozšírenie prístupových práv existujúcich používateľov).
3. Vyberte príslušnú položku Serial & Network > Trusted Networks a zadajte sieťové adresy, ktoré
má prístup k nominovaným sériovým portom uzla. 4. Zvoľte príslušné Alerts & Logging > Alerts na konfiguráciu Node port Connection, State
Upozornenia na zhodu vzoru zmeny. Zmeny konfigurácie vykonané na primárnom sa po kliknutí na tlačidlo Použiť rozšíria do všetkých uzlov.
3.6.4 Správa uzlov Primárny riadi sériové porty uzla. NapríkladampAk zmeníte prístupové práva používateľa alebo upravíte akékoľvek nastavenie sériového portu na primárnom, aktualizujte konfiguráciu files sa posielajú do každého uzla paralelne. Každý uzol robí zmeny vo svojich lokálnych konfiguráciách (a robí len zmeny, ktoré sa týkajú jeho konkrétnych sériových portov). Na zmenu nastavení na ľubovoľnom sériovom porte uzla môžete použiť lokálnu konzolu na správu uzla (napríklad zmeniť prenosové rýchlosti). Tieto zmeny sa prepíšu, keď primárna odošle konfiguráciu file aktualizovať. Zatiaľ čo primárny uzol riadi všetky funkcie súvisiace so sériovým portom uzla, nie je primárny nad sieťovými pripojeniami uzla alebo nad systémom servera uzla konzoly. Funkcie uzla, ako sú nastavenia IP, SMTP a SNMP, dátum a čas, server DHCP, musia byť spravované priamym prístupom ku každému uzlu a tieto funkcie nie sú prepísané, keď sa zmeny konfigurácie šíria z primárneho uzla. Nastavenia hostiteľa siete a IPMI uzla musia byť nakonfigurované v každom uzle.
47

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
Primárna riadiaca konzola poskytuje konsolidované view nastavenia pre jeho vlastné a sériové porty celého Node. Primárne neposkytuje plne konsolidované view. NaprampAk chcete zistiť, kto je prihlásený do kaskádových sériových portov z primárneho, uvidíte, že Stav > Aktívni používatelia zobrazuje iba tých používateľov, ktorí sú aktívni na primárnych portoch, takže možno budete musieť napísať vlastné skripty, ktoré to poskytnú view.
3.7 Presmerovanie sériového portu (PortShare)
Softvér Opengear Port Share poskytuje technológiu virtuálneho sériového portu, ktorú vaše aplikácie Windows a Linux potrebujú na otvorenie vzdialených sériových portov a čítanie údajov zo sériových zariadení, ktoré sú pripojené k vášmu konzolovému serveru.
PortShare sa dodáva bezplatne s každým konzolovým serverom a máte licenciu na inštaláciu PortShare na jeden alebo viac počítačov pre prístup k akémukoľvek sériovému zariadeniu pripojenému k portu konzolového servera. PortShare pre Windows Portshare_setup.exe si môžete stiahnuť z ftp stránky. Podrobnosti o inštalácii a prevádzke nájdete v používateľskej príručke PortShare a v rýchlom štarte. PortShare pre Linux Ovládač PortShare pre Linux mapuje sériový port konzolového servera na hostiteľský try port. Opengear vydal portshare-serial-client ako open source utilitu pre Linux, AIX, HPUX, SCO, Solaris a UnixWare. Tento nástroj je možné stiahnuť z ftp stránky. Tento presmerovač sériového portu PortShare vám umožňuje používať sériové zariadenie pripojené k serveru vzdialenej konzoly, ako keby bolo pripojené k vášmu lokálnemu sériovému portu. Portshare-serial-client vytvorí pseudo tty port, pripojí sériovú aplikáciu k pseudo tty portu, prijíma dáta z pseudo tty portu, prenáša ich na konzolový server cez sieť a prijíma dáta z konzolového servera cez sieť a prenáša ich do pseudo-tty portu. .tar file možno stiahnuť z ftp stránky. Podrobnosti o inštalácii a prevádzke nájdete v používateľskej príručke PortShare a v rýchlom štarte.
48

Používateľská príručka
3.8 Spravované zariadenia
Stránka Managed Devices predstavuje konsolidovaný view všetkých pripojení k zariadeniu, ku ktorým je možné pristupovať a monitorovať ich prostredníctvom servera konzoly. Komu view pripojenia k zariadeniam, vyberte položku Serial & Network > Managed Devices
Táto obrazovka zobrazuje všetky spravované zariadenia s ich popisom/poznámkami a zoznamom všetkých nakonfigurovaných pripojení:
· Sériový port # (ak je pripojený sériovo) alebo · USB (ak je pripojený USB) · IP adresa (ak je pripojená k sieti) · Podrobnosti o napájacom PDU/zásuvke (ak sú k dispozícii) a akékoľvek pripojenia UPS Zariadenia, ako sú servery, môžu mať viac ako jedno napájanie (napr. duálne napájanie) a viac ako jedno sieťové pripojenie (napr. pre BMC/servisný procesor). Všetci používatelia môžu view tieto pripojenia spravovaných zariadení výberom položky Spravovať > Zariadenia. Správcovia môžu tiež upravovať a pridávať/odstraňovať tieto spravované zariadenia a ich pripojenia. Ak chcete upraviť existujúce zariadenie a pridať nové pripojenie: 1. Vyberte položku Upraviť v časti Sériové a sieťové > Spravované zariadenia a kliknite na položku Pridať pripojenie 2. Vyberte typ pripojenia pre nové pripojenie (Sériové, sieťový hostiteľ, UPS alebo RPC) a vyberte
pripojenie z prezentovaného zoznamu nakonfigurovaných nepridelených hostiteľov/portov/výstupov
49

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
Pridanie nového spravovaného zariadenia pripojeného k sieti: 1. Správca pridá nové spravované zariadenie pripojené k sieti pomocou Pridať hostiteľa v ponuke Serial & Network > Network Host. Tým sa automaticky vytvorí zodpovedajúce nové spravované zariadenie. 2. Keď pridávate nové napájacie zariadenie RPC alebo UPS pripojené k sieti, nastavte hostiteľa siete a označte ho ako RPC alebo UPS. Prejdite na Pripojenia RPC alebo Pripojenia UPS a nakonfigurujte príslušné pripojenie. Zodpovedajúce nové spravované zariadenie s rovnakým názvom/popisom ako má hostiteľ RPC/UPS sa nevytvorí, kým sa nedokončí tento krok pripojenia.
POZNÁMKA Názvy zásuviek na novovytvorenom PDU sú Zásuvka 1 a Zásuvka 2. Keď pripojíte konkrétne spravované zariadenie, ktoré odoberá energiu zo zásuvky, zásuvka prevezme názov napájaného spravovaného zariadenia.
Pridanie nového sériovo pripojeného spravovaného zariadenia: 1. Nakonfigurujte sériový port pomocou ponuky Serial & Network > Serial Port (Pozri časť 3.1 Konfigurácia sériového portu) 2. Vyberte Serial & Network > Managed Devices a kliknite na Add Device 3. Zadajte Device Názov a popis spravovaného zariadenia

4. Kliknite na Add Connection (Pridať pripojenie), vyberte Serial (Sériové) a Port, ktorý sa pripája k riadenému zariadeniu

5. Ak chcete pridať napájacie pripojenie UPS/RPC alebo sieťové pripojenie alebo iné sériové pripojenie, kliknite na Pridať pripojenie

6. Kliknite na tlačidlo Použiť

POZNÁMKA

Ak chcete nastaviť sériovo pripojené zariadenie UPS RPC alebo EMD, nakonfigurujte sériový port, označte ho ako Zariadenie a zadajte Názov a Popis tohto zariadenia v časti Sériové a sieťové > Pripojenia RPC (alebo Pripojenia UPS alebo Environmentálne). Tým sa vytvorí zodpovedajúce nové spravované zariadenie s rovnakým názvom/popisom ako hostiteľ RPC/UPS. Názvy zásuviek na tomto novovytvorenom PDU sú Zásuvka 1 a Zásuvka 2. Keď pripojíte spravované zariadenie, ktoré odoberá energiu zo zásuvky, zásuvka prevezme názov napájaného spravovaného zariadenia.

3.9 IPsec VPN
ACM7000, CM7100 a IM7200 zahŕňajú Openswan, linuxovú implementáciu protokolov IPsec (IP Security), ktorú možno použiť na konfiguráciu virtuálnej súkromnej siete (VPN). VPN umožňuje viacerým lokalitám alebo vzdialeným administrátorom bezpečne pristupovať k serveru konzoly a spravovaným zariadeniam cez internet.

Používateľská príručka
Správca môže vytvoriť šifrované overené pripojenia VPN medzi konzolovými servermi distribuovanými na vzdialených miestach a bránou VPN (ako je napríklad smerovač Cisco so systémom IOS IPsec) v ich centrálnej sieti:
· Používatelia v centrále môžu bezpečne pristupovať k serverom vzdialenej konzoly a pripojeným sériovým konzolovým zariadeniam a počítačom v podsieti Management LAN na vzdialenom mieste, ako keby boli lokálne
· Všetky tieto servery vzdialenej konzoly je možné monitorovať pomocou CMS6000 v centrálnej sieti · So sériovým premostením môžu byť sériové dáta z kontroléra na stroji centrálnej kancelárie bezpečne
pripojený k sériovo riadeným zariadeniam na vzdialených miestach Správca road warrior môže použiť softvérového klienta VPN IPsec na vzdialený prístup ku konzolovému serveru a každému stroju v podsieti Management LAN na vzdialenom mieste
Konfigurácia IPsec je pomerne zložitá, takže Opengear poskytuje rozhranie GUI pre základné nastavenie, ako je popísané nižšie. Ak chcete povoliť bránu VPN:
1. Vyberte IPsec VPN v ponuke Serial & Networks
2. Kliknite na Pridať a dokončite obrazovku Pridať tunel IPsec. 3. Zadajte ľubovoľný popisný názov, ktorý chcete identifikovať tunel IPsec, ktorý pridávate, napr.
WestStOutlet-VPN
51

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
4. Vyberte metódu overenia, ktorá sa má použiť, buď digitálne podpisy RSA alebo zdieľané tajomstvo (PSK) o Ak vyberiete možnosť RSA, zobrazí sa výzva na vygenerovanie kľúčov kliknutím sem. Tým sa vygeneruje verejný kľúč RSA pre server konzoly (ľavý verejný kľúč). Nájdite kľúč, ktorý sa má použiť na vzdialenej bráne, vystrihnite ho a vložte do Pravého verejného kľúča
o Ak vyberiete Zdieľaný tajný kľúč, zadajte predzdieľaný tajný kľúč (PSK). PSK sa musí zhodovať s PSK nakonfigurovaným na druhom konci tunela
5. V Authentication Protocol vyberte autentifikačný protokol, ktorý sa má použiť. Overte sa buď ako súčasť šifrovania ESP (Encapsulating Security Payload) alebo samostatne pomocou protokolu AH (Authentication Header).
52

Používateľská príručka
6. Zadajte ľavé ID a pravé ID. Toto je identifikátor, ktorý lokálny hostiteľ/brána a vzdialený hostiteľ/brána používajú na vyjednávanie a autentifikáciu IPsec. Každé ID musí obsahovať znak @ a môže obsahovať úplný názov domény (napr. left@example.com)
7. Zadajte verejnú IP alebo DNS adresu tejto Opengear VPN brány ako Left Address. Ak chcete použiť rozhranie predvolenej trasy, môžete toto pole nechať prázdne
8. Do poľa Right Address zadajte verejnú IP alebo DNS adresu vzdialeného konca tunela (iba ak má vzdialený koniec statickú alebo DynDNS adresu). V opačnom prípade nechajte toto prázdne
9. Ak Opengear VPN brána slúži ako VPN brána do lokálnej podsiete (napr. konzolový server má nakonfigurovanú Management LAN), zadajte detaily súkromnej podsiete do Left Subnet. Použite zápis CIDR (kde za číslom IP adresy nasleduje lomka a počet bitov „jeden“ v binárnom zápise sieťovej masky). Napríkladample, 192.168.0.0/24 označuje IP adresu, kde sa prvých 24 bitov používa ako sieťová adresa. To je rovnaké ako 255.255.255.0. Ak je prístup VPN len na konzolový server a na jeho pripojené sériové konzolové zariadenia, ponechajte ľavú podsieť prázdnu
10. Ak je na vzdialenom konci brána VPN, zadajte podrobnosti o súkromnej podsieti v časti Right Subnet. Použite zápis CIDR a ponechajte prázdne, ak existuje iba vzdialený hostiteľ
11. Vyberte Initiate Tunnel, ak sa má tunelové pripojenie iniciovať z konca servera ľavej konzoly. Toto je možné spustiť iba z brány VPN (vľavo), ak je vzdialený koniec nakonfigurovaný so statickou (alebo DynDNS) IP adresou
12. Kliknutím na tlačidlo Použiť uložte zmeny
POZNÁMKA Konfiguračné podrobnosti nastavené na serveri konzoly (označované ako ľavý alebo lokálny hostiteľ) sa musia zhodovať s nastavením zadaným pri konfigurácii vzdialeného (pravého) hostiteľa/brány alebo softvérového klienta. Podrobnosti o konfigurácii týchto vzdialených koncov nájdete na stránke http://www.opengear.com/faq.html
3.10 OpenVPN
ACM7000, CM7100 a IM7200 s firmvérom V3.2 a novším zahŕňajú OpenVPN. OpenVPN používa knižnicu OpenSSL na šifrovanie, autentifikáciu a certifikáciu, čo znamená, že používa SSL/TSL (Secure Socket Layer/Transport Layer Security) na výmenu kľúčov a dokáže šifrovať dáta aj riadiace kanály. Používanie OpenVPN umožňuje budovanie multiplatformových, point-to-point VPN pomocou buď X.509 PKI (Infrastructure Public Key Infrastructure) alebo vlastnej konfigurácie. files. OpenVPN umožňuje bezpečné tunelovanie údajov cez jediný port TCP/UDP cez nezabezpečenú sieť, čím poskytuje bezpečný prístup k viacerým miestam a bezpečnú vzdialenú správu na konzolový server cez internet. OpenVPN tiež umožňuje použitie dynamických IP adries serverom aj klientom, čím poskytuje mobilitu klientov. NapríkladampTunel OpenVPN môže byť vytvorený medzi roamingovým klientom Windows a serverom konzoly Opengear v dátovom centre. Konfigurácia OpenVPN môže byť zložitá, takže Opengear poskytuje rozhranie GUI pre základné nastavenie, ako je popísané nižšie. Podrobnejšie informácie sú dostupné na http://www.openvpn.net
3.10.1 Povolenie OpenVPN 1. Vyberte OpenVPN v ponuke Serial & Networks
53

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
2. Kliknite na Pridať a dokončite obrazovku Pridať tunel OpenVPN. 3. Zadajte akýkoľvek popisný názov, ktorý chcete identifikovať tunel OpenVPN, ktorý pridávate, napr.ample
NorthStOutlet-VPN
4. Vyberte metódu autentifikácie, ktorá sa má použiť. Ak chcete overiť pomocou certifikátov, vyberte PKI (certifikáty X.509) alebo vyberte možnosť Vlastná konfigurácia a nahrajte vlastnú konfiguráciu files. Vlastné konfigurácie musia byť uložené v /etc/config.
POZNÁMKA Ak vyberiete PKI, vytvorte: Samostatný certifikát (známy aj ako verejný kľúč). Tento certifikát File je *.crt file zadajte súkromný kľúč pre server a každého klienta. Tento súkromný kľúč File je *.kľúč file typu
Certifikát a kľúč primárnej certifikačnej autority (CA), ktorý sa používa na podpis každého servera
a klientske certifikáty. Tento certifikát koreňovej CA je *.crt file type Pre server možno budete potrebovať aj dh1024.pem (parametre Diffie Hellmana). Sprievodcu základnou správou kľúčov RSA nájdete na stránke http://openvpn.net/easyrsa.html. Alternatívne metódy autentifikácie nájdete na http://openvpn.net/index.php/documentation/howto.html#auth.
5. Vyberte ovládač zariadenia, ktorý chcete použiť, buď Tun-IP alebo Tap-Ethernet. Ovládače TUN (network tunnel) a TAP (network tap) sú virtuálne sieťové ovládače, ktoré podporujú IP tunelovanie a Ethernetové tunelovanie. TUN a TAP sú súčasťou linuxového jadra.
6. Ako Protokol vyberte buď UDP alebo TCP. UDP je predvolený a preferovaný protokol pre OpenVPN. 7. Začiarknutím alebo zrušením začiarknutia tlačidla Compression (Kompresia) zapnete alebo vypnete kompresiu. 8. V režime tunela určte, či ide o klientsky alebo serverový koniec tunela. Pri behu ako
server, konzolový server podporuje viacerých klientov pripájajúcich sa k serveru VPN cez rovnaký port.
54

Používateľská príručka
3.10.2 Konfigurovať ako server alebo klient
1. Vyplňte Podrobnosti klienta alebo Podrobnosti servera v závislosti od zvoleného režimu tunela. o Ak bol vybratý Klient, adresa primárneho servera je adresa servera OpenVPN. o Ak bol vybratý Server, zadajte sieťovú adresu fondu IP a masku siete fondu IP pre fond IP. Sieť definovaná adresou/maskou siete IP Pool sa používa na poskytnutie adries pre pripojenie klientov.
2. Kliknutím na tlačidlo Použiť uložte zmeny
55

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
3. Pre zadanie autentifikačných certifikátov a files, vyberte Spravovať OpenVPN Files tab. Nahrajte alebo vyhľadajte príslušné overovacie certifikáty a files.
4. Použiť na uloženie zmien. Uložené files sú zobrazené červenou farbou na pravej strane tlačidla Nahrať.
5. Ak chcete povoliť OpenVPN, upravte tunel OpenVPN
56

Používateľská príručka
6. Začiarknite tlačidlo Povolené. 7. Použiť na uloženie zmien POZNÁMKA Pri práci s OpenVPN sa uistite, že systémový čas konzolového servera je správny
problémy s autentifikáciou.
8. Vyberte Štatistika v ponuke Stav, aby ste si overili, či je tunel funkčný.
57

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
3.10.3 Nastavenie klienta a servera Windows OpenVPN Táto časť popisuje inštaláciu a konfiguráciu klienta Windows OpenVPN alebo Windows OpenVPN servera a nastavenie pripojenia VPN k serveru konzoly. Konzolové servery generujú konfiguráciu klienta Windows automaticky z GUI pre vopred zdieľaný tajný kľúč (statický kľúč File) konfigurácie.
Alternatívne je možné stiahnuť softvér OpenVPN GUI pre Windows (ktorý obsahuje štandardný balík OpenVPN plus grafické používateľské rozhranie Windows) z http://openvpn.net. Po nainštalovaní do počítača so systémom Windows sa ikona OpenVPN pridá do oblasti oznámení umiestnenej na pravej strane panela úloh. Kliknutím pravým tlačidlom myši na túto ikonu spustíte a zastavíte pripojenia VPN, upravíte konfigurácie atď view protokoly.
Keď sa spustí softvér OpenVPN, program C: FilePriečinok sOpenVPNconfig sa kontroluje na .opvn files. V tomto priečinku sa znova skontroluje nová konfigurácia files vždy, keď kliknete pravým tlačidlom myši na ikonu OpenVPN GUI. Po nainštalovaní OpenVPN vytvorte konfiguráciu file:
58

Používateľská príručka

Pomocou textového editora vytvorte súbor xxxx.ovpn file a uložte do C: Program FilesOpenVPNconfig. Napríkladample, C: Program FilesOpenVPNconfigclient.ovpn
Bývalýampsúbor konfigurácie klienta OpenVPN Windows file je zobrazený nižšie:
# description: IM4216_client klient proto udp verb 3 dev tun remote 192.168.250.152 port 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt kľúč c:\openvpnkeys\d persist-key no persistent-key tun comp-lzo
Bývalýampsúbor konfigurácie OpenVPN Windows Server file je zobrazený nižšie:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvkey\crtvkeys:openservern kľúč dh c:\openvpnkeys\dh.pem comp-lzo sloveso 1 syslog IM4216_OpenVPN_Server
Konfigurácia klient/server Windows file možnosti sú:

Možnosti #description: Klientsky server proto udp proto tcp mssfix sloveso
dev tun dev tap

Popis Toto je komentár popisujúci konfiguráciu. Riadky komentárov začínajú „#“ a OpenVPN ich ignoruje. Zadajte, či to bude konfigurácia klienta alebo servera file. V konfigurácii servera filedefinujte oblasť IP adries a masku siete. Napríkladample, server 10.100.10.0 255.255.255.0 Nastavte protokol na UDP alebo TCP. Klient a server musia používať rovnaké nastavenia. Mssfix nastavuje maximálnu veľkosť paketu. Toto je užitočné iba pre UDP, ak sa vyskytnú problémy.
Nastaviť denník file úroveň výrečnosti. Úroveň výrečnosti protokolu je možné nastaviť od 0 (minimum) do 15 (maximálne). Napríkladample, 0 = tichý s výnimkou fatálnych chýb 3 = stredný výstup, vhodný na všeobecné použitie 5 = pomáha pri ladení problémov s pripojením 9 = podrobný, vynikajúci na riešenie problémov Vyberte „dev tun“ na vytvorenie smerovaného IP tunela alebo „dev tap“ na vytvorenie ethernetový tunel. Klient a server musia používať rovnaké nastavenia.

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa

diaľkový Port Keepalive
http-proxy ccafile meno>
certfile meno>
kľúčfile meno>
dhfile meno> Nobind persist-key persist-tun šifra BF-CBC Blowfish (predvolené) šifra AES-128-CBC AES šifra DES-EDE3-CBC Triple-DES comp-lzo syslog

Názov hostiteľa/IP servera OpenVPN pri prevádzke ako klient. Zadajte názov hostiteľa DNS alebo statickú IP adresu servera. UDP/TCP port servera. Keepalive používa ping na udržanie relácie OpenVPN nažive. 'Keepalive 10 120′ pingov každých 10 sekúnd a predpokladá, že vzdialený partner je nefunkčný, ak počas 120-sekundového časového intervalu nebol prijatý žiadny ping. Ak sa na prístup k serveru vyžaduje proxy server, zadajte názov DNS servera proxy alebo IP a číslo portu. Zadajte certifikát CA file meno a umiestnenie. Rovnaký certifikát CA file môže byť použitý serverom a všetkými klientmi. Poznámka: Uistite sa, že každé `' v ceste k adresáru je nahradené ` \'. Napríkladample, c:openvpnkeysca.crt sa zmení na c:\openvpnkeys\ca.crt Zadajte certifikát klienta alebo servera file meno a umiestnenie. Každý klient by mal mať vlastný certifikát a kľúč files. Poznámka: Uistite sa, že každé `' v ceste k adresáru je nahradené ` \'. Zadajte file názov a umiestnenie kľúča klienta alebo servera. Každý klient by mal mať vlastný certifikát a kľúč files. Poznámka: Uistite sa, že každé `' v ceste k adresáru je nahradené ` \'. Toto používa iba server. Zadajte cestu ku kľúču pomocou parametrov Diffie-Hellman. `Nobind' sa používa, keď sa klienti nemusia viazať na lokálnu adresu alebo špecifické číslo lokálneho portu. Toto je prípad väčšiny klientskych konfigurácií. Táto možnosť zabraňuje opätovnému načítaniu kľúčov počas reštartov. Táto možnosť zabraňuje zatvoreniu a opätovnému otvoreniu zariadení TUN/TAP počas reštartov. Vyberte kryptografickú šifru. Klient a server musia používať rovnaké nastavenia.
Povoliť kompresiu na odkaze OpenVPN. Toto musí byť povolené na klientovi aj na serveri. V predvolenom nastavení sú protokoly umiestnené v syslog alebo, ak sú spustené ako služba v okne, v programe FilesOpenVPNlog adresár.

Na spustenie tunela OpenVPN po vytvorení konfigurácie klient/server files: 1. Kliknite pravým tlačidlom myši na ikonu OpenVPN v oblasti oznámení. 2. Vyberte novovytvorenú konfiguráciu klienta alebo servera. 3. Kliknite na Pripojiť

4. Denník file Po vytvorení spojenia sa zobrazí ikona
60

Používateľská príručka
5. Po vytvorení ikony OpenVPN zobrazí správu označujúcu úspešné pripojenie a priradenú IP. Tieto informácie, ako aj čas nadviazania pripojenia, sú dostupné po rolovaní cez ikonu OpenVPN.
3.11 PPTP VPN
Servery konzoly zahŕňajú server PPTP (Point-to-Point Tunneling Protocol). PPTP sa používa na komunikáciu cez fyzické alebo virtuálne sériové spojenie. Koncové body PPP si definujú virtuálnu IP adresu. Cesty do sietí môžu byť definované s týmito IP adresami ako bránou, čo vedie k prenosu dát cez tunel. PPTP vytvára tunel medzi fyzickými koncovými bodmi PPP a bezpečne prenáša údaje cez tunel.
Silnou stránkou protokolu PPTP je jednoduchosť konfigurácie a integrácie do existujúcej infraštruktúry spoločnosti Microsoft. Vo všeobecnosti sa používa na pripojenie jednotlivých vzdialených klientov Windows. Ak si vezmete svoj prenosný počítač na služobnú cestu, môžete vytočiť miestne číslo, aby ste sa pripojili k poskytovateľovi služieb prístupu na internet (ISP) a vytvorili druhé pripojenie (tunel) do vašej kancelárskej siete cez internet a získali rovnaký prístup k firemnej sieti, ako keby ste boli pripojení priamo z vašej kancelárie. Používatelia, ktorí pracujú na diaľku, môžu tiež vytvoriť tunel VPN cez káblový modem alebo pripojenie DSL k miestnemu poskytovateľovi internetových služieb.
61

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
Ak chcete nastaviť pripojenie PPTP zo vzdialeného klienta Windows k zariadeniu Opengear a lokálnej sieti:
1. Povoľte a nakonfigurujte server PPTP VPN na zariadení Opengear 2. Nastavte používateľské účty VPN na zariadení Opengear a povoľte príslušné
autentifikácia 3. Nakonfigurujte klientov VPN na vzdialených miestach. Klient nevyžaduje špeciálny softvér ako
Server PPTP podporuje štandardný klientsky softvér PPTP, ktorý je súčasťou systému Windows NT a novších.
2. Začiarknutím políčka Enable (Povoliť) povolíte server PPTP. 3. Vyberte možnosť Minimum Authentication Required. Vzdialeným používateľom, ktorí sa o to pokúšajú, je prístup odmietnutý
pripojiť pomocou slabšej autentifikačnej schémy ako je zvolená schéma. Schémy sú popísané nižšie, od najsilnejších po najslabšie. · Encrypted Authentication (MS-CHAP v2): Najsilnejší typ autentifikácie, ktorý sa má použiť; toto je
odporúčaná možnosť · Slabé šifrované overenie (CHAP): Toto je najslabší typ šifrovaného hesla
autentifikácia na použitie. Neodporúča sa, aby sa klienti pripájali pomocou tohto, pretože poskytuje veľmi malú ochranu heslom. Upozorňujeme tiež, že klienti, ktorí sa pripájajú pomocou protokolu CHAP, nedokážu šifrovať prenos
62

Používateľská príručka
· Unencrypted Authentication (PAP): Toto je overenie pomocou hesla pomocou obyčajného textu. Pri použití tohto typu autentifikácie sa heslo klienta prenáša nešifrovane.
· Žiadne 4. Vyberte požadovanú úroveň šifrovania. Vzdialeným používateľom, ktorí sa pokúšajú pripojiť, je prístup odmietnutý
ktoré nepoužívajú túto úroveň šifrovania. 5. Do poľa Lokálna adresa zadajte adresu IP, ktorú chcete priradiť ku koncu pripojenia VPN servera. 6. Do poľa Vzdialené adresy zadajte skupinu IP adries, ktoré sa majú priradiť k VPN prichádzajúceho klienta.
spojenia (napr. 192.168.1.10-20). Musí to byť voľná IP adresa alebo rozsah adries zo siete, ktorá je priradená vzdialeným používateľom počas pripojenia k zariadeniu Opengear 7. Zadajte požadovanú hodnotu maximálnej prenosovej jednotky (MTU) pre rozhrania PPTP do poľa MTU (predvolené nastavenie 1400) 8. Do poľa Server DNS zadajte adresu IP servera DNS, ktorý priraďuje adresy IP pripájajúcim sa klientom PPTP. 9. Do poľa Server WINS zadajte adresu IP servera WINS, ktorý priraďuje adresy IP pripájajúcim sa klientom PPTP. 10. Povoľte podrobné protokolovanie na pomoc pri ladení problémov s pripojením 11. Kliknite na tlačidlo Použiť nastavenia 3.11.2 Pridanie používateľa PPTP 1. Vyberte položku Používatelia a skupiny v ponuke Serial & Networks a vyplňte polia podľa časti 3.2. 2. Uistite sa, že skupina pptpd bola zaškrtnutá, aby bol povolený prístup k serveru PPTP VPN. Poznámka – používatelia v tejto skupine majú svoje heslá uložené ako čistý text. 3. Poznamenajte si používateľské meno a heslo, keď sa budete musieť pripojiť k pripojeniu VPN. 4. Kliknite na tlačidlo Použiť
63

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
3.11.3 Nastavenie vzdialeného klienta PPTP Skontrolujte, či má vzdialený klient VPN pripojenie na internet. Ak chcete vytvoriť pripojenie VPN cez internet, musíte nastaviť dve sieťové pripojenia. Jedno pripojenie je pre ISP a druhé pripojenie je pre tunel VPN k zariadeniu Opengear. POZNÁMKA Tento postup nastaví klienta PPTP v operačnom systéme Windows Professional. Kroky
sa môže mierne líšiť v závislosti od vášho sieťového prístupu alebo ak používate alternatívnu verziu systému Windows. Podrobnejšie pokyny sú k dispozícii od spoločnosti Microsoft web stránky. 1. Prihláste sa do svojho klienta Windows s oprávneniami správcu 2. V Centre sietí na ovládacom paneli vyberte položku Sieťové pripojenia a vytvorte nové pripojenie
64

Používateľská príručka
3. Vyberte možnosť Použiť moje internetové pripojenie (VPN) a zadajte IP adresu zariadenia Opengear Na pripojenie vzdialených klientov VPN k lokálnej sieti potrebujete poznať používateľské meno a heslo pre účet PPTP, ktorý ste pridali, ako aj internetovú IP adresu adresu zariadenia Opengear. Ak vám váš ISP nepridelil statickú IP adresu, zvážte použitie dynamickej služby DNS. V opačnom prípade musíte zmeniť konfiguráciu klienta PPTP pri každej zmene vašej internetovej adresy IP.
65

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa

3.12 Zavolať domov
Všetky konzolové servery obsahujú funkciu Call Home, ktorá spúšťa nastavenie zabezpečeného tunela SSH z konzolového servera do centralizovaného Opengear Lighthouse. Konzolový server sa zaregistruje ako kandidát na Lighthouse. Po prijatí sa stáva serverom riadenej konzoly.
Lighthouse monitoruje server Managed Console Server a správcovia majú prístup k vzdialenému serveru Managed Console Server cez Lighthouse. Tento prístup je dostupný aj vtedy, keď je server vzdialenej konzoly za bránou firewall tretej strany alebo má súkromné nesmerovateľné adresy IP.

POZNÁMKA

Lighthouse udržiava pripojenia SSH overené verejným kľúčom ku každému zo svojich serverov spravovanej konzoly. Tieto pripojenia sa používajú na monitorovanie, smerovanie a prístup k serverom spravovanej konzoly a spravovaným zariadeniam pripojeným k serveru spravovanej konzoly.

Na správu lokálnych konzolových serverov alebo konzolových serverov, ktoré sú dostupné z Lighthouse, sú SSH pripojenia iniciované Lighthouse.

Ak chcete spravovať servery vzdialenej konzoly alebo servery konzoly, ktoré sú chránené firewallom, nie sú smerovateľné alebo inak nedostupné z Lighthouse, SSH spojenia sú iniciované serverom Managed ConsoleServer prostredníctvom počiatočného pripojenia Call Home.

To zaisťuje bezpečnú, overenú komunikáciu a umožňuje, aby boli jednotky Managed Console Servers distribuované lokálne v sieti LAN alebo vzdialene po celom svete.

3.12.1 Nastavenie kandidáta na volanie domov Ak chcete nastaviť server konzoly ako kandidáta na správu volania domov v Lighthouse:
1. V ponuke Serial & Network vyberte Call Home

2. Ak ste ešte nevygenerovali alebo neodovzdali pár kľúčov SSH pre tento server konzoly, urobte tak pred pokračovaním
3. Kliknite na Pridať

4. Zadajte IP adresu alebo DNS názov (napr. dynamickú DNS adresu) Lighthouse.
5. Zadajte heslo, ktoré ste nakonfigurovali v CMS, ako heslo volania domov.
66

Používateľská príručka
6. Kliknite na tlačidlo Použiť Tieto kroky spustia spojenie Call Home z konzolového servera do Lighthouse. Toto vytvorí port SSHlistening na Lighthouse a nastaví konzolový server ako kandidáta.
Po prijatí kandidáta na Lighthouse sa tunel SSH na server konzoly presmeruje späť cez spojenie Call Home. Server konzoly sa stal serverom riadenej konzoly a Lighthouse sa k nemu môže pripojiť a monitorovať ho cez tento tunel. 3.12.2 Prijať kandidáta na funkciu Call Home ako server spravovanej konzoly na Lighthouse Táto sekcia uvádza koniecview o konfigurácii Lighthouse na monitorovanie konzolových serverov Lighthouse, ktoré sú pripojené cez Call Home. Ďalšie podrobnosti nájdete v používateľskej príručke Lighthouse:
1. Zadajte nové heslo na volanie domov na Lighthouse. Toto heslo sa používa na prijatie
Volajte Homeconnections z kandidátskych konzolových serverov
2. Lighthouse môže byť kontaktovaný konzolovým serverom, musí mať buď statickú IP
adresu alebo, ak používate DHCP, byť nakonfigurovaný na používanie dynamickej služby DNS
Obrazovka Configure > Managed Console Servers na Lighthouse zobrazuje stav
lokálne a vzdialené servery spravovanej konzoly a kandidáti.
Sekcia Managed Console Servers zobrazuje konzolové servery monitorované serverom
Lighthouse. Časť Zistené konzolové servery obsahuje:
o Rozbaľovací zoznam Servery lokálnej konzoly, v ktorom sú uvedené všetky servery konzoly, ktoré sú na
rovnakej podsiete ako Lighthouse a nie sú monitorované
67

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
o Rozbaľovací zoznam Servery vzdialenej konzoly, v ktorom sú uvedené všetky servery konzoly, ktoré nadviazali spojenie Call Home a nie sú monitorované (tj kandidáti). Kliknutím na tlačidlo Obnoviť môžete aktualizovať
Ak chcete pridať kandidáta na server konzoly do zoznamu Server riadenej konzoly, vyberte ho z rozbaľovacieho zoznamu Servery vzdialenej konzoly a kliknite na Pridať. Zadajte adresu IP a port SSH (ak tieto polia neboli vyplnené automaticky) a zadajte Popis a jedinečný názov servera spravovanej konzoly, ktorý pridávate
Zadajte Remote Root Password (tj systémové heslo, ktoré bolo nastavené na tomto serveri spravovanej konzoly). Toto heslo používa Lighthouse na šírenie automaticky generovaných kľúčov SSH a neukladá sa. Kliknite na tlačidlo Použiť. Lighthouse nastaví zabezpečené pripojenia SSH k a zo servera spravovanej konzoly a získa svoje spravované zariadenia, podrobnosti o používateľských účtoch a nakonfigurované upozornenia 3.12.3 Volanie domov na všeobecný centrálny server SSH Ak sa pripájate na všeobecný server SSH (nie Lighthouse) môžete nakonfigurovať rozšírené nastavenia: · Zadajte port servera SSH a používateľa SSH. · Zadajte podrobnosti pre presmerovanie portov SSH, ktoré chcete vytvoriť
Výberom položky Listening Server môžete vytvoriť vzdialený port pre presmerovanie zo servera na túto jednotku alebo lokálny port pre presmerovanie z tejto jednotky na server:
68

Používateľská príručka
· Zadajte port počúvania, z ktorého sa má presmerovať, ponechajte toto pole prázdne, ak chcete prideliť nepoužívaný port. · Zadajte cieľový server a cieľový port, ktorý bude príjemcom presmerovaných pripojení
3.13 Priechod IP
IP Passthrough sa používa na to, aby sa modemové pripojenie (napr. interný celulárny modem) javilo ako bežné ethernetové pripojenie k downstream routeru tretej strany, čo umožňuje downstream routeru použiť modemové pripojenie ako primárne alebo záložné WAN rozhranie.
Zariadenie Opengear poskytuje IP adresu modemu a podrobnosti DNS do nadväzujúceho zariadenia cez DHCP a prenáša sieťovú prevádzku do a z modemu a smerovača.
Zatiaľ čo IP Passthrough zmení Opengear na polovičný most modem-Ethernet, niektoré služby vrstvy 4 (HTTP/HTTPS/SSH) môžu byť ukončené na Opengear (Service Intercepts). Služby bežiace na Opengear môžu tiež iniciovať odchádzajúce mobilné pripojenia nezávisle od smerovača smerom nadol.
To umožňuje, aby sa Opengear naďalej používal na správu a upozorňovanie mimo pásma a tiež ho spravoval cez Lighthouse v režime IP Passthrough.
3.13.1 Nastavenie smerovača smerom nadol Ak chcete na nadväzujúcom smerovači (známy aj ako Failover to Cellular alebo F2C) použiť konektivitu prepnutia pri zlyhaní, musí mať dve alebo viac rozhraní WAN.
POZNÁMKA Prepnutie pri zlyhaní v kontexte IP Passthrough vykonáva downstream router a vstavaná mimopásmová logika zlyhania na Opengear nie je dostupná v režime IP Passthrough.
Ethernetovým káblom pripojte ethernetové WAN rozhranie na downstream routeri k sieťovému rozhraniu Opengear alebo k portu Management LAN.
Nakonfigurujte toto rozhranie na nadväzujúcom smerovači tak, aby prijímalo sieťové nastavenia cez DHCP. Ak sa vyžaduje núdzové prepnutie, nakonfigurujte downstream smerovač na núdzové prepnutie medzi jeho primárnym rozhraním a ethernetovým portom pripojeným k Opengear.
3.13.2 Predkonfigurácia IP Passthrough Nevyhnutnými krokmi na aktiváciu IP Passthrough sú:
1. Nakonfigurujte sieťové rozhranie a prípadne rozhrania Management LAN so statickými sieťovými nastaveniami. · Kliknite na položku Serial & Network > IP. · Pre Network Interface a prípadne Management LAN zvoľte Static pre Configuration Method a zadajte sieťové nastavenia (podrobné pokyny nájdete v časti s názvom Network Configuration). · Pre rozhranie pripojené k downstream routeru si môžete vybrať akúkoľvek vyhradenú súkromnú sieť, táto sieť existuje len medzi Opengear a downstream routerom a nie je bežne dostupná. · Pre druhé rozhranie ho nakonfigurujte ako normálne v lokálnej sieti. · Pre obe rozhrania nechajte Gateway prázdne.
2. Nakonfigurujte modem v režime Always On Out-of-band.
69

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
· Pre mobilné pripojenie kliknite na Systém > Vytočiť: Interný mobilný modem. · Vyberte možnosť Povoliť vytáčanie a zadajte podrobnosti o operátorovi, ako napríklad APN (pozrite si časť Mobilný modem
Pripojenie pre podrobné pokyny). 3.13.3 Konfigurácia IP Passthrough Konfigurácia IP Passthrough:
· Kliknite na Serial & Network > IP Passthrough a zaškrtnite Enable. · Vyberte Opengear Modem, ktorý sa má použiť na upstream pripojenie. · Voliteľne zadajte MAC adresu pripojeného rozhrania smerovača. Ak je adresa MAC
nie je špecifikované, Opengear prejde na prvé downstream zariadenie požadujúce DHCP adresu. · Vyberte rozhranie Opengear Ethernet, ktoré chcete použiť na pripojenie k smerovaču.
· Kliknite na Použiť. 3.13.4 Zachytenia služby Tieto umožňujú Opengear pokračovať v poskytovaní služieb, naprample, pre správu mimo pásma v režime IP Passthrough. Pripojenia na adresu modemu na špecifikovanom zachytávacom porte (portoch) spravuje Opengear, a nie prechádzajú do downstream smerovača.
· Pre požadovanú službu HTTP, HTTPS alebo SSH začiarknite políčko Povoliť · Voliteľne upravte Intercept Port na alternatívny port (napr. 8443 pre HTTPS), je to užitočné, ak
chcete aj naďalej umožniť downstream routeru, aby zostal prístupný cez jeho bežný port. 3.13.5 Stav prechodu IP Obnovte stránku na view sekcia Stav. Zobrazuje prenášanú externú IP adresu modemu, internú MAC adresu smerovača smerom nadol (vyplní sa iba vtedy, keď smerovač prijímania DHCP prijme prenájom) a celkový stav prevádzky služby IP Passthrough. Môžete byť upozornení na stav núdzového prepnutia smerovača po prúde nakonfigurovaním kontroly používania smerovaných dát v časti Upozornenia a protokolovanie > Automatická odpoveď. 3.13.6 Upozornenia Niektoré downstream smerovače môžu byť nekompatibilné s trasou brány. To sa môže stať, keď IP Passthrough premosťuje 3G mobilnú sieť, kde je adresa brány cieľovou adresou bod-bod a nie sú dostupné žiadne informácie o podsieti. Opengear odosiela DHCP masku siete 255.255.255.255. Zariadenia to zvyčajne považujú za jednu hostiteľskú trasu na rozhraní, ale niektoré staršie nadväzujúce zariadenia môžu mať problémy.
70

Používateľská príručka
Zachytenia pre miestne služby nebudú fungovať, ak Opengear používa inú predvolenú cestu ako modem. Nebudú tiež fungovať, pokiaľ nie je povolená služba a povolený prístup k službe (pozri Systém > Služby, na karte Prístup k službe nájdite Dialout/Cellular).
Podporované sú odchádzajúce spojenia pochádzajúce z Opengear so vzdialenými službami (napr. odosielanie SMTP e-mailových upozornení, SNMP trap, získavanie času NTP, IPSec tunely). Existuje malé riziko zlyhania pripojenia, ak by sa Opengear aj následné zariadenie pokúsili o prístup k rovnakému portu UDP alebo TCP na rovnakom vzdialenom hostiteľovi v rovnakom čase, keď náhodne vybrali rovnaké pôvodné číslo lokálneho portu.
3.14 Konfigurácia cez DHCP (ZTP)
Zariadenia Opengear môžu byť poskytované počas ich počiatočného zavádzania zo servera DHCPv4 alebo DHCPv6 pomocou config-over-DHCP. Poskytovanie v nedôveryhodných sieťach môže byť uľahčené poskytnutím kľúčov na USB kľúči. Funkcionalitu ZTP je možné použiť aj na vykonanie aktualizácie firmvéru pri prvom pripojení k sieti alebo na registráciu do inštancie Lighthouse 5.
Príprava Typické kroky na konfiguráciu cez dôveryhodnú sieť sú:
1. Nakonfigurujte zariadenie Opengear rovnakého modelu. 2. Uložte jeho konfiguráciu ako zálohu Opengear (.opg) file. 3. Vyberte Systém > Záloha konfigurácie > Vzdialená záloha. 4. Kliknite na položku Uložiť zálohu. Záložná konfigurácia file — model-name_iso-format-date_config.opg — sa stiahne zo zariadenia Opengear do lokálneho systému. Konfiguráciu môžete uložiť ako xml file: 1. Vyberte Systém > Záloha konfigurácie > Konfigurácia XML. Upraviteľné pole obsahujúce
konfigurácia file vo formáte XML. 2. Kliknutím do poľa ho aktivujte. 3. Ak používate ľubovoľný prehliadač v systéme Windows alebo Linux, kliknite pravým tlačidlom myši a vyberte možnosť Vybrať všetko z ponuky
kontextové menu alebo stlačte Control-A. Kliknite pravým tlačidlom myši a v kontextovej ponuke vyberte možnosť Kopírovať alebo stlačte kombináciu klávesov Control-C. 4. Ak používate ľubovoľný prehliadač v systéme macOS, vyberte Upraviť > Vybrať všetko alebo stlačte Command-A. Vyberte Upraviť > Kopírovať alebo stlačte kombináciu klávesov Command-C. 5. Vo vami preferovanom textovom editore vytvorte nový prázdny dokument, prilepte skopírované údaje do prázdneho dokumentu a uložte file. Čokoľvek file-meno, ktoré si vyberiete, musí obsahovať .xml fileprípona mena. 6. Skopírujte uložený súbor .opg alebo .xml file do verejne prístupného adresára na a file server obsluhujúci aspoň jeden z nasledujúcich protokolov: HTTPS, HTTP, FTP alebo TFTP. (Len HTTPS je možné použiť, ak je spojenie medzi file server a zariadenie Opengear, ktoré sa má nakonfigurovať, cestuje cez nedôveryhodnú sieť.). 7. Nakonfigurujte váš DHCP server tak, aby obsahoval voľbu `vendor specific' pre zariadenia Opengear. (Urobí sa to spôsobom špecifickým pre server DHCP.) Možnosť špecifická pre dodávateľa by mala byť nastavená na reťazec obsahujúci URL zverejneného súboru .opg alebo .xml file v kroku vyššie. Reťazec voľby nesmie presiahnuť 250 znakov a musí končiť príponou .opg alebo .xml.
71

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
8. Pripojte k sieti nové zariadenie Opengear, buď s obnovením z výroby alebo s vymazanou konfiguráciou, a zapnite napájanie. Reštartovanie zariadenia môže trvať až 5 minút.
Example Konfigurácia servera ISC DHCP (dhcpd).
Nasleduje example Konfiguračný fragment servera DHCP na poskytovanie konfiguračného obrazu .opg prostredníctvom servera DHCP ISC, dhcpd:
možnosť priestor opengear kód šírka 1 dĺžka šírka 1; možnosť opengear.config-url kód 1 = text; class “opengear-config-over-dhcp-test” {
match if možnosť vendor-class-identifier ~~ “^Opengear/”; vendor-option-space opengear; možnosť opengear.config-url „https://example.com/opg/${class}.opg”; }
Toto nastavenie je možné upraviť na aktualizáciu konfiguračného obrazu pomocou opengear.image-url a poskytnutie URI k obrazu firmvéru.
Nastavenie, keď je sieť LAN nedôveryhodná Ak je spojenie medzi file server a zariadenie Opengear, ktoré sa má nakonfigurovať, obsahuje nedôveryhodnú sieť, obojstranný prístup môže tento problém zmierniť.
POZNÁMKA: Tento prístup predstavuje dva fyzické kroky, pri ktorých môže byť ťažké, ak nie nemožné, úplne vytvoriť dôveru. Po prvé, reťazec správy od vytvorenia dátového USB flash disku až po jeho nasadenie. Po druhé, ruky spájajúce USB flash disk so zariadením Opengear.
· Vygenerujte certifikát X.509 pre zariadenie Opengear.
· Spojiť certifikát a jeho súkromný kľúč do jedného file pomenovaný klient.pem.
· Skopírujte client.pem na USB flash disk.
· Nastavte HTTPS server tak, aby mal prístup k .opg alebo .xml file je obmedzené na klientov, ktorí môžu poskytnúť klientsky certifikát X.509 vygenerovaný vyššie.
· Vložte kópiu certifikátu CA, ktorý podpísal certifikát HTTP servera – ca-bundle.crt – na USB flash disk s client.pem.
· Pred pripojením napájania alebo siete vložte USB flash disk do zariadenia Opengear.
· Pokračujte v postupe od `Kopírovať uložené súbory .opg alebo .xml file do verejne prístupného adresára na a file server“ vyššie pomocou protokolu HTTPS medzi klientom a serverom.
Pripravte si USB kľúč a vytvorte X.509 certifikát a súkromný kľúč
· Vygenerujte certifikát CA, aby bolo možné podpísať žiadosti o podpis certifikátu klienta a servera (CSR).
# cp /etc/ssl/openssl.cnf . # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/serial # echo 00 > exampleCA/crlnumber # dotyk exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=PrampleCA # cp demoCA/cacert.pem ca-bundle.crt
Tento postup vygeneruje certifikát s názvom ExampleCA, ale možno použiť akýkoľvek povolený názov certifikátu. Tento postup tiež používa openssl cca. Ak má vaša organizácia celopodnikový, bezpečný proces generovania CA, mal by sa použiť namiesto neho.
72

Používateľská príručka
· Vygenerujte certifikát servera.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-kľúčfile ca.key -policy policy_anything -batch -notext
POZNÁMKA Názov hostiteľa alebo adresa IP musí byť rovnaký reťazec, aký sa používa pri poskytovaní URL. V example vyššie, názov hostiteľa je demo.example.com.
· Vygenerovať klientsky certifikát.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-kľúčfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Naformátujte jednotku USB Flash ako jeden zväzok FAT32.
· Presuňte súbor client.pem a ca-bundle.crt files do koreňového adresára jednotky Flash.
Ladenie problémov so ZTP Na ladenie problémov so ZTP použite funkciu denníka ZTP. Kým sa zariadenie pokúša vykonať operácie ZTP, informácie protokolu sa zapíšu do /tmp/ztp.log na zariadení.
Nasleduje example denníka file z úspešného behu ZŤP.
# cat /tmp/ztp.log Stred 13. decembra 22:22:17 UTC 2017 [oznámenie 5127] odhcp6c.eth0: obnovenie konfigurácie cez DHCP Stred 13. decembra 22:22:17 UTC 2017 [oznámenie 5127] odhcp6c.ethe. na vyrovnanie siete Stred 0. decembra 10:13:22 UTC 22 [oznámenie 27] odhcp2017c.eth5127: NTP preskočené: žiadny server Stred 6. decembra 0:13:22 UTC 22 [27 info] odhcp2017c.eth5127 = 'vendorspec http://[fd6:0:1:07::2218]/tftpboot/config.sh' St Dec 1350 44:1:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) St Dec 6 0:2:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) St Dec 6 0:3:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) ) St Dec 6 0:4:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) St Dec 6 0:5:13 UTC 22 [22 info] odhcp28c.eth2017: vendorspec. /a) St Dec 5127 6:0:6 UTC 13 [22 info] odhcp22c.eth28: žiadny firmvér na stiahnutie (vendorspec.2017) záloha-url: skúšam http://[fd07:2218:1350:44::1]/tftpboot/config.sh … záloha-url: vynútenie režimu konfigurácie wan na zálohovanie DHCP-url: nastavenie názvu hostiteľa na acm7004-0013c601ce97 backup-url: načítanie bolo úspešné Stred 13. decembra 22:22:36 UTC 2017 [oznámenie 5127] odhcp6c.eth0: úspešné načítanie konfigurácie Stred 13. decembra 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: žiadna konfigurácia majáku/vendorspec.3 4/5/6) Streda 13. decembra 22:22:36 UTC 2017 [oznámenie 5127] odhcp6c.eth0: poskytovanie dokončené, nereštartuje sa
Chyby sa zaznamenávajú do tohto denníka.
3.15 Registrácia do Lighthouse
Použite Enrollment into Lighthouse na registráciu zariadení Opengear do inštancie Lighthouse, ktorá poskytuje centralizovaný prístup k portom konzoly a umožňuje centrálnu konfiguráciu zariadení Opengear.
Pokyny na registráciu zariadení Opengear do Lighthouse nájdete v používateľskej príručke k Lighthouse.
73

Kapitola 3: Konfigurácia sériového portu, zariadenia a používateľa
3.16 Povoliť prenos DHCPv4
Služba prenosu DHCP preposiela pakety DHCP medzi klientmi a vzdialenými servermi DHCP. Služba prenosu DHCP môže byť povolená na konzolovom serveri Opengear tak, aby počúvala klientov DHCP na určených nižších rozhraniach, zalamovala a posielala ich správy na servery DHCP buď pomocou normálneho smerovania, alebo priamo vysielala na určené horné rozhrania. Agent prenosu DHCP teda prijíma správy DHCP a generuje novú správu DHCP na odoslanie na iné rozhranie. V nižšie uvedených krokoch sa konzolové servery môžu pripojiť k ID okruhov, ethernetovým alebo bunkovým modemom pomocou služby DHCPv4 Relay.
DHCPv4 Relay + DHCP Option 82 (circuit-id) Infrastructure – Lokálny DHCP server, ACM7004-5 pre relé, akékoľvek iné zariadenia pre klientov. Akékoľvek zariadenie s rolou LAN môže byť použité ako relé. V tomto example, 192.168.79.242 je adresa pre prenosové rozhranie klienta (ako je definované v konfigurácii servera DHCP file vyššie) a 192.168.79.244 je horná adresa rozhrania prenosového boxu a enp112s0 je nadväzujúce rozhranie servera DHCP.
1 Infraštruktúra – DHCPv4 Relay + DHCP Option 82 (circuit-id)
Kroky na serveri DHCP 1. Nastavte lokálny server DHCP v4, najmä by mal obsahovať položku „hostiteľ“ pre klienta DHCP, ako je uvedené nižšie: host cm7116-2-dac { # hardvér ethernet 00:13:C6:02:7E :41; voľba identifikátora hostiteľa agent.id-obvodu “relé1”; pevná adresa 192.168.79.242; } Poznámka: riadok „hardvér ethernet“ je zakomentovaný, takže server DHCP použije nastavenie „id okruhu“ na pridelenie adresy príslušnému klientovi. 2. Reštartujte server DHCP, aby sa znova načítala jeho zmenená konfigurácia file. pkill -HUP dhcpd
74

Používateľská príručka
3. Manuálne pridajte hostiteľskú trasu do klientskeho „reléového“ rozhrania (rozhranie za DHCP relay, nie iné rozhrania, ktoré môže mať klient tiež:
sudo ip route add 192.168.79.242/32 cez 192.168.79.244 dev enp112s0 Pomôže to vyhnúť sa problému s asymetrickým smerovaním, keď klient a server DHCP chcú k sebe pristupovať cez reléové rozhranie klienta, keď má klient iné rozhrania v tom istom podsiete oblasti adries DHCP.
Poznámka: Tento krok je nutnosťou pre podporu servera dhcp a klienta, ktorí majú vzájomný prístup.
Kroky na reléovej skrinke – ACM7004-5
1. Nastavte WAN/eth0 v statickom alebo dhcp režime (nie v nekonfigurovanom režime). Ak je v statickom režime, musí mať IP adresu v rámci oblasti adries servera DHCP.
2. Použite túto konfiguráciu cez CLI (kde 192.168.79.1 je adresa servera DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay1.uppers.u .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Spodné rozhranie DHCP relay musí mať statickú IP adresu v rámci oblasti adries servera DHCP. V tomto example, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Chvíľu počkajte, kým klient získa prenájom DHCP cez prenos.
Kroky na klientovi (CM7116-2-dac v tomto príkladeample alebo akékoľvek iné OG CS)
1. Zapojte klientovu LAN/eth1 do LAN/eth1 relé 2. Nakonfigurujte klientovu LAN na získanie IP adresy cez DHCP ako obvykle.

Dokumenty / zdroje

opengear ACM7000 Remote Site Gateway [pdfPoužívateľská príručka
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Referencie

Používateľská príručka

opengear ACM7000 Remote Site Gateway

Informácie o produkte

Návod na použitie produktu

často kladené otázky

Táto príručka

Konfigurácia systému

Konfigurácia sériového portu, hostiteľa, zariadenia a používateľa

Dokumenty / zdroje

Referencie

Zanechajte komentár

Zrušiť odpoveď