Opengear ACM7000 Remote Site Gateway Uporabniški priročnik

Med nevihto ne povezujte ali odklapljajte strežnika konzole. Za zaščito opreme pred prehodnimi pojavi vedno uporabljajte prenapetostno napravo ali UPS.

Opozorilo FCC:

Ta naprava je skladna s 15. delom pravil FCC. Za delovanje te naprave veljajo naslednji pogoji: (1) Ta naprava ne sme povzročati škodljivih motenj in (2) ta naprava mora sprejeti vse motnje, ki lahko povzročijo neželeno delovanje.

pogosta vprašanja

V: Ali lahko uporabljam ACM7000 Remote Site Gateway med nevihto?
- A: Ne, priporočljivo je, da med nevihto ne povežete ali odklopite strežnika konzole, da preprečite škodo.

V: S katero različico pravil FCC je naprava skladna?
- A: Naprava je v skladu s 15. delom pravil FCC.

View Fullscreen

Uporabniški priročnik
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Infrastructure Manager CM7100 Console Servers
Različica 5.0 – 2023-12

Varnost
Pri nameščanju in upravljanju konzolnega strežnika upoštevajte spodnje varnostne ukrepe: · Ne odstranjujte kovinskih pokrovov. V notranjosti ni komponent, ki bi jih lahko servisiral operater. Odpiranje ali odstranjevanje pokrova vas lahko izpostavi nevarni voltage, ki lahko povzroči požar ali električni udar. Za vse storitve se obrnite na usposobljeno osebje Opengear. · Da preprečite električni udar, mora biti zaščitni ozemljitveni vodnik napajalnega kabla povezan z zemljo. · Ko napajalni kabel izključujete iz vtičnice, vedno vlecite za vtič, ne za kabel.
Med nevihto ne povezujte ali odklapljajte strežnika konzole. Za zaščito opreme pred prehodnimi pojavi uporabite tudi prenapetostno napravo ali UPS.
Opozorilo FCC
Ta naprava je skladna s 15. delom pravil FCC. Delovanje te naprave je odvisno od naslednjega
pogoji: (1) Ta naprava ne sme povzročati škodljivih motenj in (2) ta naprava mora sprejeti vse motnje, ki lahko povzročijo neželeno delovanje.
Za zaščito pred poškodbami, smrtjo ali lastninsko škodo zaradi okvare sistema je treba uporabiti ustrezne rezervne sisteme in potrebne varnostne naprave. Za takšno zaščito je odgovoren uporabnik. Ta konzolna strežniška naprava ni odobrena za uporabo kot sistem za vzdrževanje življenja ali medicinski sistem. Kakršne koli spremembe ali modifikacije te konzolne strežniške naprave brez izrecne odobritve ali soglasja družbe Opengear razveljavijo odgovornost ali odgovornost družbe Opengear za poškodbe ali izgube, ki jih povzroči kakršna koli okvara. Ta oprema je za uporabo v zaprtih prostorih in vse komunikacijske napeljave so omejene na notranjost zgradbe.
2

Uporabniški priročnik
Avtorske pravice
©Opengear Inc. 2023. Vse pravice pridržane. Informacije v tem dokumentu se lahko spremenijo brez predhodnega obvestila in ne predstavljajo zaveze s strani Opengear. Opengear zagotavlja ta dokument »takšen, kot je«, brez kakršnega koli jamstva, izrecnega ali implicitnega, vključno z, vendar ne omejeno na, implicitnimi jamstvi o primernosti ali prodaji za določen namen. Opengear lahko kadar koli izboljša in/ali spremeni ta priročnik ali izdelke in/ali programe, opisane v tem priročniku. Ta izdelek lahko vsebuje tehnične netočnosti ali tipografske napake. Informacije v tem dokumentu se občasno spreminjajo; te spremembe so lahko vključene v nove izdaje publikacije.\

1. poglavje

Ta priročnik

TA PRIROČNIK

Ta uporabniški priročnik pojasnjuje namestitev, delovanje in upravljanje strežnikov konzole Opengear. Ta priročnik predvideva, da ste seznanjeni z internetom in omrežji IP, HTTP, FTP, osnovnimi varnostnimi operacijami in notranjim omrežjem vaše organizacije.
1.1 Vrste uporabnikov
Strežnik konzole podpira dva razreda uporabnikov:
· Skrbniki, ki imajo neomejene konfiguracijske in upravljavske pravice nad konzolo
strežnik in povezane naprave ter vse storitve in vrata za nadzor vseh serijsko povezanih naprav in omrežno povezanih naprav (gostiteljev). Skrbniki so nastavljeni kot člani skupine uporabnikov admin. Skrbnik lahko dostopa do konzolnega strežnika in ga nadzira s pomočjo pripomočka za konfiguracijo, ukazne vrstice Linux ali upravljalne konzole v brskalniku.
· Uporabniki, ki jim je skrbnik nastavil omejitve dostopa in pooblastila za nadzor.
Uporabniki imajo omejeno view upravljalne konzole in lahko dostopa samo do pooblaščenih konfiguriranih naprav in review pristaniški dnevniki. Ti uporabniki so nastavljeni kot člani ene ali več vnaprej konfiguriranih uporabniških skupin, kot so PPTPD, dialin, FTP, pmshell, uporabniki ali uporabniške skupine, ki jih je morda ustvaril skrbnik. Pooblaščeni so samo za izvajanje določenih kontrol na določenih povezanih napravah. Uporabniki, če so pooblaščeni, lahko dostopajo in nadzorujejo serijsko ali omrežno povezane naprave z uporabo določenih storitev (npr. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Oddaljeni uporabniki so uporabniki, ki niso v istem segmentu LAN kot strežnik konzole. Oddaljeni uporabnik je lahko na poti in se povezuje z upravljanimi napravami prek javnega interneta, skrbnik v drugi pisarni, ki se povezuje s konzolnim strežnikom prek poslovnega VPN-ja, ali v isti sobi ali isti pisarni, vendar povezan na ločenem VLAN-u s konzolo strežnik.
1.2 Upravljalska konzola
Konzola za upravljanje Opengear vam omogoča konfiguracijo in spremljanje funkcij vašega strežnika konzole Opengear. Upravljalska konzola deluje v brskalniku in nudi a view konzolnega strežnika in vseh povezanih naprav. Skrbniki lahko uporabljajo konzolo za upravljanje za konfiguriranje in upravljanje strežnika konzole, uporabnikov, vrat, gostiteljev, napajalnih naprav ter povezanih dnevnikov in opozoril. Uporabniki, ki niso skrbniki, lahko uporabljajo upravljalno konzolo z omejenim dostopom do menija za nadzor izbranih naprav, nprview njihove dnevnike in do njih dostopajte z vgrajenim Web terminal.
Strežnik konzole poganja vdelan operacijski sistem Linux in ga je mogoče konfigurirati v ukazni vrstici. Dostop do ukazne vrstice lahko dobite prek mobilnega omrežja/klicne povezave, neposredne povezave s serijsko konzolo/modemskimi vrati konzolnega strežnika ali z uporabo SSH ali Telneta za povezavo s konzolnim strežnikom prek LAN (ali povezovanje s PPTP, IPsec ali OpenVPN) .
6

Uporabniški priročnik
Za ukaze vmesnika ukazne vrstice (CLI) in napredna navodila prenesite Opengear CLI and Scripting Reference.pdf s https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Več informacij
Za več informacij se obrnite na: · Izdelki Opengear Web Spletno mesto: glejte https://opengear.com/products. Če želite dobiti najnovejše informacije o tem, kaj je vključeno v vaš konzolni strežnik, obiščite razdelek Kaj je vključeno za vaš določen izdelek. · Priročnik za hiter začetek: Za pridobitev vodnika za hitri začetek za vašo napravo glejte https://opengear.com/support/documentation/. · Baza znanja Opengear: obiščite https://opengear.zendesk.com za dostop do člankov o tehničnih navodilih, tehničnih nasvetov, pogostih vprašanj in pomembnih obvestil. · Referenca za Opengear CLI in skripte: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

2. poglavje:

Konfiguracija sistema

KONFIGURACIJA SISTEMA

V tem poglavju so podana navodila po korakih za začetno konfiguracijo vašega konzolnega strežnika in njegovo povezovanje z upravljavskim ali operativnim LAN. Koraki so:
Aktivirajte konzolo za upravljanje. Spremenite skrbniško geslo. Nastavite glavna vrata LAN strežnika konzole naslova IP. Izberite storitve, ki jih želite omogočiti, in pravice dostopa. To poglavje obravnava tudi komunikacijska programska orodja, ki jih skrbnik lahko uporabi za dostop do konzolnega strežnika, in konfiguracijo dodatnih vrat LAN.
2.1 Povezava z upravljalno konzolo
Vaš konzolni strežnik je konfiguriran s privzetim naslovom IP 192.168.0.1 in podomrežno masko 255.255.255.0 za NET1 (WAN). Za začetno konfiguracijo priporočamo, da računalnik povežete neposredno s konzolo. Če se odločite za povezavo z lokalnim omrežjem, preden dokončate začetne korake namestitve, se prepričajte, da:
· V omrežju LAN ni drugih naprav z naslovom 192.168.0.1. · Konzolni strežnik in računalnik sta v istem segmentu LAN, brez vmesnega usmerjevalnika
aparati.
2.1.1 Nastavitev povezanega računalnika Za konfiguracijo strežnika konzole z brskalnikom mora imeti povezani računalnik naslov IP v istem obsegu kot strežnik konzole (npr.ample, 192.168.0.100):
· Za konfiguracijo naslova IP vašega računalnika Linux ali Unix zaženite ifconfig. · Za računalnike z operacijskim sistemom Windows:
1. Kliknite Start > Nastavitve > Nadzorna plošča in dvokliknite Omrežne povezave. 2. Desni klik na Local Area Connection in izberite Properties. 3. Izberite Internetni protokol (TCP/IP) in kliknite Lastnosti. 4. Izberite Uporabi naslednji naslov IP in vnesite naslednje podrobnosti:
o Naslov IP: 192.168.0.100 o Maska podomrežja: 255.255.255.0 5. Če želite obdržati obstoječe nastavitve IP za to omrežno povezavo, kliknite Napredno in dodajte zgornje kot sekundarno povezavo IP.
2.1.2 Povezava z brskalnikom
Odprite brskalnik na povezanem računalniku/delovni postaji in vnesite https://192.168.0.1.
Prijavi se z:
Uporabniško ime> root geslo> privzeto
8

Uporabniški priročnik
Ko se prvič prijavite, morate spremeniti geslo root. Kliknite Pošlji.
Za dokončanje spremembe znova vnesite novo geslo. Kliknite Pošlji. Prikaže se pozdravni zaslon.
Če ima vaš sistem celični modem, boste prejeli navodila za konfiguracijo funkcij mobilnega usmerjevalnika: · Konfigurirajte povezavo mobilnega modema (Sistem > Stran za klicanje. Glejte 4. poglavje) · Dovolite posredovanje v mobilno ciljno omrežje (Sistem > stran Požarni zid. Glejte 4. poglavje) · Omogočite maskiranje IP za mobilno povezavo (Sistem > stran Požarni zid. Glejte 4. poglavje)
Ko končate vsakega od zgornjih korakov, se lahko vrnete na seznam konfiguracij s klikom na logotip Opengear v zgornjem levem kotu zaslona. OPOMBA Če se ne morete povezati z upravljalno konzolo na 192.168.0.1 ali če je privzeta
Uporabniško ime/geslo nista sprejeta, ponastavite svoj konzolni strežnik (glejte 10. poglavje).
9

Poglavje 2: Konfiguracija sistema
2.2 Skrbniška nastavitev
2.2.1 Spreminjanje privzetega korenskega sistemskega gesla Ko se prvič prijavite v napravo, morate spremeniti korensko geslo. To geslo lahko kadar koli spremenite.
1. Kliknite Serial & Network > Users & Groups ali na pozdravnem zaslonu kliknite Spremeni privzeto skrbniško geslo.
2. Pomaknite se navzdol in poiščite vnos korenskega uporabnika pod Uporabniki in kliknite Uredi. 3. Vnesite novo geslo v polji Geslo in Potrdi.
OPOMBA Če potrdite možnost Shrani geslo med brisanjem vdelane programske opreme, se geslo shrani, tako da se ne izbriše ob ponastavitvi vdelane programske opreme. Če izgubite to geslo, bo treba napravo obnoviti vdelano programsko opremo.
4. Kliknite Uporabi. Prijavite se z novim geslom 2.2.2 Nastavite novega skrbnika Ustvarite novega uporabnika s skrbniškimi pravicami in se prijavite kot ta uporabnik za skrbniške funkcije, namesto da uporabite root.
10

Uporabniški priročnik
1. Kliknite Serial & Network > Users & Groups. Pomaknite se na dno strani in kliknite gumb Dodaj uporabnika.
2. Vnesite uporabniško ime. 3. V razdelku Skupine potrdite skrbniško polje. 4. Vnesite geslo v polji Geslo in Potrdi.
5. Dodate lahko tudi avtorizirane ključe SSH in izberete možnost Onemogoči preverjanje pristnosti gesla za tega uporabnika.
6. Na tej strani lahko nastavite dodatne možnosti za tega uporabnika, vključno z možnostmi klicanja, dostopnimi gostitelji, dostopnimi vrati in dostopnimi izhodi RPC.
7. Kliknite gumb Uporabi na dnu zaslona, da ustvarite tega novega uporabnika.
11

Poglavje 2: Konfiguracija sistema
2.2.3 Dodajte ime sistema, opis sistema in MOTD. 1. Izberite Sistem > Skrbništvo. 2. Vnesite sistemsko ime in sistemski opis za konzolni strežnik, da mu date edinstven ID in olajšate identifikacijo. Ime sistema lahko vsebuje od 1 do 64 alfanumeričnih znakov in posebne znake podčrtaj (_), minus (-) in piko (.). Opis sistema lahko vsebuje do 254 znakov.
3. Pasica MOTD se lahko uporablja za prikaz sporočila dneva uporabnikom. Pojavi se v zgornjem levem kotu zaslona pod logotipom Opengear.
4. Kliknite Uporabi.
12

Poglavje 2: Konfiguracija sistema
5. Izberite Sistem > Skrbništvo. 6. Pasica MOTD se lahko uporablja za prikaz sporočila dneva uporabnikom. Pojavi se na
zgoraj levo na zaslonu pod logotipom Opengear. 7. Kliknite Uporabi.
2.3 Konfiguracija omrežja
Vnesite naslov IP za glavna vrata Ethernet (LAN/Network/Network1) na strežniku konzole ali omogočite njegovemu odjemalcu DHCP, da samodejno pridobi naslov IP od strežnika DHCP. Konzolni strežnik ima privzeto omogočen odjemalec DHCP in samodejno sprejme kateri koli omrežni naslov IP, ki ga dodeli strežnik DHCP v vašem omrežju. V tem začetnem stanju se bo strežnik konzole odzval tako na svoj privzeti statični naslov 192.168.0.1 kot na svoj naslov DHCP.
1. Kliknite Sistem > IP in kliknite zavihek Omrežni vmesnik. 2. Za način konfiguracije izberite DHCP ali Static.
Če izberete Static, vnesite podrobnosti naslova IP, maske podomrežja, prehoda in strežnika DNS. Ta izbira onemogoči odjemalca DHCP.
12

Uporabniški priročnik
3. Vrata LAN strežnika konzole samodejno zaznajo hitrost povezave Ethernet. Uporabite spustni seznam Media, da zaklenete Ethernet na 10 Mb/s ali 100 Mb/s in na Full Duplex ali Half Duplex.
Če naletite na izgubo paketa ali slabo delovanje omrežja z nastavitvijo Auto, spremenite nastavitve Ethernet Media na strežniku konzole in napravi, s katero je povezan. V večini primerov oba spremenite v 100baseTx-FD (100 megabitov, polni dupleks).
4. Če izberete DHCP, bo konzolni strežnik poiskal podrobnosti konfiguracije na strežniku DHCP. Ta izbira onemogoči vse statične naslove. Naslov MAC konzolnega strežnika najdete na nalepki na osnovni plošči.
5. Lahko vnesete sekundarni naslov ali seznam naslovov, ločenih z vejicami, v zapisu CIDR, npr. 192.168.1.1/24 kot vzdevek IP.
6. Kliknite Uporabi. 7. Ponovno povežite brskalnik na računalniku, ki je povezan s strežnikom konzole, tako da vnesete
http://your new IP address.
Če spremenite naslov IP strežnika konzole, morate znova konfigurirati svoj računalnik, da bo imel naslov IP v istem omrežnem območju kot novi naslov strežnika konzole. MTU lahko nastavite na vmesnikih Ethernet. To je napredna možnost, ki jo uporabite, če vaš scenarij uvajanja ne deluje s privzetim MTU 1500 bajtov. Če želite nastaviti MTU, kliknite Sistem > IP in kliknite zavihek Omrežni vmesnik. Pomaknite se navzdol do polja MTU in vnesite želeno vrednost. Veljavne vrednosti so od 1280 do 1500 za 100-megabitne vmesnike in od 1280 do 9100 za gigabitne vmesnike. Če je konfigurirano premoščanje ali povezovanje, bo MTU, nastavljen na strani omrežnega vmesnika, nastavljen na vmesnikih, ki so del mostu ali povezave . OPOMBA V nekaterih primerih uporabniško naveden MTU morda ne bo učinkoval. Nekateri gonilniki NIC lahko zaokrožijo prevelike MTU na največjo dovoljeno vrednost, drugi pa vrnejo kodo napake. Za upravljanje MTU Size: configure lahko uporabite tudi ukaz CLI
# config -s config.interfaces.wan.mtu=1380 preveri
# config -g config.interfaces.wan config.interfaces.wan.address 192.168.2.24 config.interfaces.wan.ddns.provider none config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wan.ipv6.mode stateless config .interfaces.wan.media Auto config.interfaces.wan.mode statični config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Poglavje 2: Konfiguracija sistema
2.3.1 Konfiguracija IPv6 Vmesniki Ethernet strežnika konzole privzeto podpirajo IPv4. Lahko jih konfiguriramo za delovanje IPv6:
1. Kliknite Sistem > IP. Kliknite zavihek Splošne nastavitve in označite Omogoči IPv6. Če želite, kliknite potrditveno polje Onemogoči IPv6 za mobilno omrežje.
2. Konfigurirajte parametre IPv6 na vsaki strani vmesnika. IPv6 je mogoče konfigurirati za samodejni način, ki uporablja SLAAC ali DHCPv6 za konfiguracijo naslovov, poti in DNS, ali statični način, ki omogoča ročni vnos informacij o naslovu.
2.3.2 Konfiguracija dinamičnega DNS (DDNS) Z dinamičnim DNS (DDNS) lahko konzolni strežnik, katerega naslov IP je dinamično dodeljen, poiščete z uporabo fiksnega gostitelja ali imena domene. Ustvarite račun pri podprtem ponudniku storitev DDNS po vaši izbiri. Ko nastavite svoj račun DDNS, izberete uporabniško ime, geslo in ime gostitelja, ki jih boste uporabili kot ime DNS. Ponudniki storitev DDNS vam omogočajo izbiro imena gostitelja URL in nastavite začetni naslov IP, ki ustreza temu imenu gostitelja URL.
14

Uporabniški priročnik
Za omogočanje in konfiguracijo DDNS na kateri koli ethernetni ali mobilni omrežni povezavi na strežniku konzole. 1. Kliknite Sistem > IP in se pomaknite navzdol do razdelka Dinamični DNS. Izberite svojega ponudnika storitev DDNS
s spustnega seznama Dynamic DNS. Podatke DDNS lahko nastavite tudi pod zavihkom Cellular Modem pod System > Dial.
2. V Ime gostitelja DDNS vnesite popolnoma kvalificirano ime gostitelja DNS za vaš konzolni strežnik, npr. yourhostname.dyndns.org.
3. Vnesite uporabniško ime DDNS in geslo DDNS za račun ponudnika storitev DDNS. 4. Določite Največji interval med posodobitvami v dnevih. Posodobitev DDNS bo poslana, tudi če je
naslov se ni spremenil. 5. Podajte Najmanjši interval med preverjanji spremenjenih naslovov v sekundah. Posodobitve bodo
poslati, če se je naslov spremenil. 6. Določite največje število poskusov na posodobitev, kar je število poskusov posodobitve
pred odpovedjo. To je privzeto 3. 7. Kliknite Uporabi.
15

Poglavje 2: Konfiguracija sistema
2.3.3 Način EAPoL za WAN, LAN in OOBFO
(OOBFO velja samo za IM7216-2-24E-DAC)
konecview EAPoL IEEE 802.1X ali PNAC (Port-based Network Access Control) uporablja značilnosti fizičnega dostopa infrastruktur LAN IEEE 802, da zagotovi sredstvo za preverjanje pristnosti in avtorizacijo naprav, priključenih na vrata LAN, ki imajo povezavo od točke do značilnosti povezovalne točke in preprečevanja dostopa do teh vrat v primerih, ko avtentikacija in avtorizacija ne uspeta. Vrata so v tem kontekstu ena sama točka priklopa na infrastrukturo LAN.
Ko novo brezžično ali žično vozlišče (WN) zahteva dostop do vira LAN, dostopna točka (AP) zahteva identiteto WN. Noben drug promet razen EAP ni dovoljen, preden je WN overjen ("vrata" so zaprta ali "neoverjena"). Brezžično vozlišče, ki zahteva avtentikacijo, se pogosto imenuje Supplicant, Supplicant je odgovoren za odziv na podatke Authenticatorja, ki bodo vzpostavili njegove poverilnice. Enako velja za dostopno točko; Authenticator ni dostopna točka. Namesto tega dostopna točka vsebuje Authenticator. Ni treba, da je Authenticator v dostopni točki; lahko je zunanja komponenta. Izvedene so naslednje metode avtentikacije:
· Prosilec EAP-MD5 o Metoda EAP MD5-Challenge uporablja navadno uporabniško ime/geslo
· EAP-PEAP-MD5 o EAP PEAP (zaščiten EAP) Metoda preverjanja pristnosti MD5 uporablja uporabniške poverilnice in potrdilo CA
· EAP-TLS o Metoda preverjanja pristnosti EAP TLS (Transport Layer Security) zahteva potrdilo CA, potrdilo odjemalca in zasebni ključ.
Protokol EAP, ki se uporablja za avtentikacijo, je bil prvotno uporabljen za klicni PPP. Identiteta je bilo uporabniško ime, za preverjanje uporabniškega gesla pa je bila uporabljena avtentikacija PAP ali CHAP. Ker je identiteta poslana v jasnem (nešifriranem) obliki, lahko zlonamerni vohljalec ugotovi identiteto uporabnika. Zato se uporablja »skrivanje identitete«; resnična identiteta se ne pošlje, preden se šifrirani tunel TLS vzpostavi.
16

Uporabniški priročnik
Ko je identiteta poslana, se začne postopek avtentikacije. Protokol, uporabljen med prosilcem in avtentifikatorjem, je EAP (ali EAPoL). Authenticator ponovno enkapsulira sporočila EAP v format RADIUS in jih posreduje strežniku za preverjanje pristnosti. Med preverjanjem pristnosti avtentifikator posreduje pakete med prosilcem in strežnikom za avtentikacijo. Ko je postopek preverjanja pristnosti končan, strežnik za preverjanje pristnosti pošlje sporočilo o uspehu (ali neuspehu, če preverjanje pristnosti ni uspelo). Avtentifikator nato odpre "vrata" za prosilca. Do nastavitev avtentikacije lahko dostopate na strani EAPoL Supplicant Settings. Status trenutnega EAPoL je podrobno prikazan na strani Status Statistics na zavihku EAPoL:
Abstrakcija EAPoL za omrežne VLOGE je prikazana v razdelku »Upravitelj povezav« na vmesniku nadzorne plošče.
17

Poglavje 2: Konfiguracija sistema
Spodaj je prikazan bivšiample uspešne avtentikacije:
Podpora za IEEE 802.1x (EAPOL) na stikalnih vratih IM7216-2-24E-DAC in ACM7004-5: Da bi se izognili zankam, uporabniki ne smejo priključiti več kot enih stikalnih vrat na isto stikalo višje ravni.
18

Uporabniški priročnik
2.4 Dostop do storitve in zaščita zaradi surove sile
Skrbnik lahko dostopa do konzolnega strežnika in povezanih serijskih vrat ter upravljanih naprav z vrsto dostopnih protokolov/storitev. Za vsak dostop
· Storitev mora biti najprej konfigurirana in omogočena za izvajanje na konzolnem strežniku. · Za vsako omrežno povezavo mora biti omogočen dostop prek požarnega zidu. Če želite omogočiti in konfigurirati storitev: 1. Kliknite Sistem > Storitve in kliknite zavihek Nastavitve storitve.

2. Omogočite in konfigurirajte osnovne storitve:

HTTP

Privzeto se storitev HTTP izvaja in je ni mogoče v celoti onemogočiti. Dostop HTTP je privzeto onemogočen na vseh vmesnikih. Priporočamo, da ta dostop ostane onemogočen, če se do strežnika konzole dostopa oddaljeno prek interneta.
Nadomestni HTTP vam omogoča, da konfigurirate nadomestna vrata HTTP za poslušanje. Storitev HTTP bo še naprej poslušala vrata TCP 80 za komunikacijo CMS in priključka, vendar bo nedostopna prek požarnega zidu.

HTTPS

Privzeto se storitev HTTPS izvaja in je omogočena na vseh omrežnih vmesnikih. Priporočljivo je, da se uporablja samo dostop HTTPS, če se konzolni strežnik upravlja prek katerega koli javnega omrežja. To skrbnikom zagotavlja varen dostop brskalnika do vseh menijev na strežniku konzole. Prav tako ustrezno konfiguriranim uporabnikom omogoča varen dostop brskalnika do izbranih menijev za upravljanje.
Storitev HTTPS lahko onemogočite ali znova omogočite tako, da označite HTTPS Web Upravljanje in podana nadomestna vrata (privzeta vrata so 443).

Telnet

Privzeto se storitev Telnet izvaja, vendar je onemogočena na vseh omrežnih vmesnikih.
Telnet lahko uporabite za omogočanje skrbniškemu dostopu do lupine sistemske ukazne vrstice. Ta storitev je lahko uporabna za lokalni skrbnik in uporabniški dostop do izbranih serijskih konzol. Priporočamo, da onemogočite to storitev, če je strežnik konzole upravljan na daljavo.
Potrditveno polje Omogoči ukazno lupino Telnet bo omogočilo ali onemogočilo storitev Telnet. Nadomestna vrata Telnet za poslušanje lahko podate v Alternate Telnet Port (privzeta vrata so 23).

Poglavje 2: Konfiguracija sistema

SSH

Ta storitev zagotavlja varen dostop SSH do konzolnega strežnika in priključenih naprav

in privzeto se storitev SSH izvaja in je omogočena na vseh vmesnikih. je

priporočamo, da izberete SSH kot protokol, s katerim se skrbnik povezuje

strežnik konzole prek interneta ali katerega koli drugega javnega omrežja. To bo zagotovilo

overjene komunikacije med odjemalskim programom SSH na daljavo

računalnik in strežnik SSH v konzolnem strežniku. Za več informacij o SSH

Glejte 8. poglavje – Preverjanje pristnosti.

Potrditveno polje Omogoči ukazno lupino SSH bo omogočilo ali onemogočilo to storitev. Nadomestna vrata SSH za poslušanje lahko določite v vratih ukazne lupine SSH (privzeta vrata so 22).

3. Omogočite in konfigurirajte druge storitve:

TFTP/FTP Če je na strežniku konzole zaznana bliskovna kartica USB ali notranji bliskovni ključ, potrdite možnost Omogoči storitev TFTP (FTP), da omogočite to storitev in nastavite privzeti strežnik tftp in ftp na bliskovnem ključu USB. Ti strežniki se uporabljajo za shranjevanje konfiguracij files, vzdržuje dostop in dnevnike transakcij itd. FilePreneseni s tftp in ftp bodo shranjeni v /var/mnt/storage.usb/tftpboot/ (ali /var/mnt/storage.nvlog/tftpboot/ na napravah serije ACM7000). Če počistite polje Omogoči storitev TFTP (FTP), bo storitev TFTP (FTP) onemogočena.

Preverjanje DNS Relay Enable DNS Server/Relay omogoči funkcijo DNS relay, tako da lahko odjemalce konfigurirate z IP-jem strežnika konzole za svojo nastavitev strežnika DNS, strežnik konzole pa bo posredoval poizvedbe DNS pravemu strežniku DNS.

Web Omogoči preverjanje terminala Web Terminal omogoča web dostop brskalnika do lupine sistemske ukazne vrstice prek Upravljanje > Terminal.

4. Podajte nadomestne številke vrat za neobdelane storitve TCP, neposredne Telnet/SSH in nepreverjene storitve Telnet/SSH. Strežnik konzole uporablja posebne obsege za vrata TCP/IP za različne dostope
storitve, ki jih uporabniki lahko uporabljajo za dostop do naprav, priključenih na serijska vrata (kot je opisano v 3. poglavju Konfiguracija serijskih vrat). Skrbnik lahko nastavi alternativne obsege za te storitve in ta sekundarna vrata bodo uporabljena poleg privzetih.

Privzeti osnovni naslov vrat TCP/IP za dostop Telnet je 2000, obseg za Telnet pa je naslov IP: Vrata (2000 + serijska vrata #), tj. 2001 2048. Če bi skrbnik nastavil 8000 kot sekundarno osnovo za Telnet, serijski do vrat #2 na strežniku konzole je mogoče dostopati prek Telneta prek IP-ja
Naslov: 2002 in IP naslov: 8002. Privzeta osnova za SSH je 3000; za neobdelani TCP je 4000; in za RFC2217 je 5000

5. Druge storitve lahko omogočite in konfigurirate v tem meniju tako, da izberete Kliknite tukaj za konfiguracijo:

Nagios Dostop do nadzornih demonov Nagios NRPE

MATICA

Dostop do nadzornega demona NUT UPS

SNMP Omogoča snmp v konzolnem strežniku. SNMP je privzeto onemogočen

NTP

6. Kliknite Uporabi. Prikaže se potrditveno sporočilo: Sporočilo Spremembe konfiguracije uspele

Nastavitve dostopa do storitev lahko nastavite tako, da omogočite ali blokirate dostop. To določa, katere omogočene storitve lahko skrbniki uporabljajo prek posameznega omrežnega vmesnika za povezavo s konzolnim strežnikom in prek konzolnega strežnika s priključenimi serijskimi in omrežno povezanimi napravami.

Uporabniški priročnik
1. Izberite zavihek Dostop do storitev na strani Sistem > Storitve.
2. To prikaže omogočene storitve za omrežne vmesnike konzolnega strežnika. Odvisno od posameznega modela strežnika konzole lahko prikazani vmesniki vključujejo: · Omrežni vmesnik (za glavno ethernetno povezavo) · Upravljanje LAN / OOB Failover (druge ethernetne povezave) · Dialout/Cellular (V90 in 3G modem) · Dial-in (notranje) ali zunanji modem V90) · VPN (povezava IPsec ali Open VPN prek katerega koli omrežnega vmesnika)
3. Za vsako omrežje označite/odkljukajte, kateri dostop do storitev naj bo omogočen/onemogočen. Možnosti dostopa do storitve Odziv na odmeve ICMP (tj. ping), ki jih je mogoče konfigurirati na temtage. To omogoča strežniku konzole, da se odzove na dohodne zahteve ICMP za odmev. Ping je privzeto omogočen. Za večjo varnost onemogočite to storitev, ko dokončate začetno konfiguracijo. Lahko dovolite dostop do naprav s serijskimi vrati iz nominiranih omrežnih vmesnikov z uporabo Raw TCP, neposrednega Telneta/SSH, nepreverjenih storitev Telnet/SSH itd.
4. Kliknite Uporabi Web Nastavitve upravljanja Potrditveno polje Omogoči HSTS omogoča strogo varnost prenosa HTTP. Način HSTS pomeni, da je treba glavo StrictTransport-Security poslati prek prometa HTTPS. Skladen web brskalnik si zapomni to glavo in ko bo pozvan, da vzpostavi stik z istim gostiteljem prek HTTP (navaden), bo samodejno preklopil na
19

Poglavje 2: Konfiguracija sistema
HTTPS pred poskusom HTTP, če je brskalnik enkrat dostopal do varnega mesta in videl glavo STS.
Brute Force Protection Brute Force Protection (Micro Fail2ban) začasno blokira izvorne IP-je, ki kažejo zlonamerne znake, kot je preveč napačnih gesel. To lahko pomaga, ko so omrežne storitve naprave izpostavljene nezaupljivemu omrežju, kot je javni WAN, in skriptni napadi ali programski črvi poskušajo uganiti (surova sila) uporabniške poverilnice in pridobiti nepooblaščen dostop.

Zaščita s surovo silo je lahko omogočena za navedene storitve. Privzeto, ko je zaščita omogočena, 3 ali več neuspelih poskusov povezave v 60 sekundah z določenega izvornega IP-ja sprožijo prepoved povezovanja za nastavljivo časovno obdobje. Omejitev poskusov in časovna omejitev prepovedi je mogoče prilagoditi. Navedene so tudi aktivne prepovedi, ki jih je mogoče osvežiti s ponovnim nalaganjem strani.

OPOMBA

Ko delujete v nezaupljivem omrežju, razmislite o uporabi različnih strategij za zaklepanje oddaljenega dostopa. To vključuje preverjanje pristnosti javnega ključa SSH, VPN in pravila požarnega zidu
dovoljeni oddaljeni dostop samo iz zaupanja vrednih izvornih omrežij. Za podrobnosti glejte zbirko znanja Opengear.

2.5 Komunikacijska programska oprema
Konfigurirali ste dostopne protokole za skrbniškega odjemalca, ki naj jih uporablja pri povezovanju s strežnikom konzole. Uporabniški odjemalci te protokole uporabljajo tudi pri dostopu do serijsko povezanih naprav konzolnega strežnika in omrežnih gostiteljev. Potrebujete komunikacijska programska orodja, nastavljena na računalniku skrbnika in uporabnika. Za povezavo lahko uporabite orodja, kot sta PuTTY in SSHTerm.

Uporabniški priročnik
Komercialno dostopni priključki združujejo zaupanja vreden protokol tuneliranja SSH s priljubljenimi orodji za dostop, kot so Telnet, SSH, HTTP, HTTPS, VNC, RDP, da zagotovijo varen oddaljeni dostop do vseh sistemov in naprav, ki se upravljajo. Informacije o uporabi konektorjev za dostop brskalnika do konzole za upravljanje konzolnega strežnika, dostop Telnet/SSH do ukazne vrstice konzolnega strežnika in povezovanje TCP/UDP z gostitelji, ki so omrežno povezani s konzolnim strežnikom, najdete v 5. poglavju. nameščen v računalnikih z operacijskim sistemom Windows, Mac OS X in v večini sistemov Linux, UNIX in Solaris.
2.6 Konfiguracija omrežja za upravljanje
Strežniki konzole imajo dodatna omrežna vrata, ki jih je mogoče konfigurirati za zagotavljanje dostopa do LAN za upravljanje in/ali samodejnega preklopa ali dostopa zunaj pasu. 2.6.1 Omogoči konzolo za upravljanje LAN Strežnike je mogoče konfigurirati tako, da druga vrata Ethernet zagotavljajo prehod LAN za upravljanje. Prehod ima funkcije požarnega zidu, usmerjevalnika in strežnika DHCP. Zunanje stikalo LAN morate povezati z omrežjem 2, da priključite gostitelje na ta upravljalni LAN:
OPOMBA Druga ethernetna vrata je mogoče konfigurirati kot vrata prehoda LAN za upravljanje ali kot vrata OOB/Failover. Prepričajte se, da niste dodelili NET2 kot vmesnik za samodejni preklop, ko ste konfigurirali glavno omrežno povezavo v meniju Sistem > IP.
21

Poglavje 2: Konfiguracija sistema
Če želite konfigurirati prehod LAN za upravljanje: 1. Izberite zavihek Vmesnik LAN za upravljanje v meniju Sistem > IP in počistite polje Onemogoči. 2. Konfigurirajte naslov IP in masko podomrežja za LAN za upravljanje. Polja DNS pustite prazna. 3. Kliknite Uporabi.
Funkcija prehoda za upravljanje je omogočena s konfiguriranimi privzetimi pravili požarnega zidu in usmerjevalnika, tako da je LAN za upravljanje dostopen le s posredovanjem vrat SSH. To zagotavlja, da so oddaljene in lokalne povezave z upravljanimi napravami v omrežju za upravljanje varne. Vrata LAN je mogoče konfigurirati tudi v premoščenem ali povezanem načinu ali ročno konfigurirati v ukazni vrstici. 2.6.2 Konfiguracija strežnika DHCP Strežnik DHCP omogoča samodejno razdeljevanje naslovov IP napravam v omrežju za upravljanje, ki izvajajo odjemalce DHCP. Če želite omogočiti strežnik DHCP:
1. Kliknite Sistem > Strežnik DHCP. 2. Na kartici Omrežni vmesnik potrdite polje Omogoči strežnik DHCP.
22

Uporabniški priročnik
3. Vnesite naslov prehoda, ki bo dodan odjemalcem DHCP. Če je to polje prazno, se uporabi naslov IP strežnika konzole.
4. Vnesite naslov Primary DNS in Secondary DNS za izdajo odjemalcev DHCP. Če je to polje prazno, se uporabi naslov IP strežnika konzole.
5. Po želji vnesite pripono imena domene za izdajo odjemalcev DHCP. 6. Vnesite privzeti čas zakupa in največji čas zakupa v sekundah. To je količina časa
da je dinamično dodeljen naslov IP veljaven, preden ga mora odjemalec znova zahtevati. 7. Kliknite Apply (Uporabi). Strežnik DHCP izda naslove IP iz določenih skupin naslovov: 1. Kliknite Add v polju Dynamic Address Allocation Pools. 2. Vnesite začetni in končni naslov skupine DHCP. 3. Kliknite Uporabi.
23

Poglavje 2: Konfiguracija sistema
Strežnik DHCP podpira tudi vnaprejšnjo dodelitev naslovov IP, ki se dodelijo določenim naslovom MAC, in rezervacijo naslovov IP, ki jih uporabljajo povezani gostitelji s fiksnimi naslovi IP. Če želite rezervirati naslov IP za določenega gostitelja:
1. V polju Rezervirani naslovi kliknite Dodaj. 2. Vnesite ime gostitelja, naslov strojne opreme (MAC) in statično rezerviran naslov IP za
odjemalca DHCP in kliknite Uporabi.
Ko je DHCP dodelil naslove gostiteljev, je priporočljivo, da jih kopirate v vnaprej dodeljen seznam, tako da se isti naslov IP ponovno dodeli v primeru ponovnega zagona.
24

Uporabniški priročnik
2.6.3 Izberite samodejni preklop ali širokopasovni OOB Konzolni strežniki nudijo možnost samodejnega preklopa, tako da se v primeru težave pri uporabi glavne povezave LAN za dostop do konzolnega strežnika uporabi alternativna dostopna pot. Če želite omogočiti samodejni preklop:
1. Izberite stran Omrežni vmesnik v meniju Sistem > IP 2. Izberite Preklopni vmesnik, ki bo uporabljen v primeru outage v glavnem omrežju.
3. Kliknite Uporabi. Samodejni preklop postane aktiven, ko določite zunanja mesta, ki naj bodo testirana za sprožitev samodejnega preklopa, in nastavite samodejna vrata.
2.6.4 Združevanje omrežnih vrat Do omrežnih vrat konzolnega strežnika za upravljanje LAN je privzeto mogoče dostopati s tuneliranjem SSH/posredovanjem vrat ali z vzpostavitvijo tunela IPsec VPN do strežnika konzole. Vsa žična omrežna vrata na strežnikih konzole je mogoče združiti tako, da jih premostite ali povežete.
25

Uporabniški priročnik
· Združevanje vmesnikov je privzeto onemogočeno v meniju Sistem > IP > Splošne nastavitve • Izberite Bridge Interfaces ali Bond Interfaces
o Ko je premoščanje omogočeno, se omrežni promet posreduje prek vseh ethernetnih vrat brez omejitev požarnega zidu. Vsa vrata Ethernet so transparentno povezana na plasti podatkovne povezave (plast 2), tako da ohranijo svoje edinstvene naslove MAC
o Pri povezovanju se omrežni promet prenaša med vrati, vendar je prisoten z enim naslovom MAC
Oba načina odstranita vse funkcije vmesnika za upravljanje LAN in vmesnika zunaj pasu/preklopa ter onemogočita strežnik DHCP · V načinu združevanja so vsa vrata Ethernet skupno konfigurirana z uporabo menija omrežnega vmesnika
25

Poglavje 2: Konfiguracija sistema
2.6.5 Statične poti Statične poti omogočajo zelo hiter način za usmerjanje podatkov iz enega podomrežja v drugo podomrežje. Lahko trdo kodirate pot, ki konzolnemu strežniku/usmerjevalniku pove, naj pride do določenega podomrežja po določeni poti. To je lahko uporabno za dostop do različnih podomrežij na oddaljenem mestu, ko uporabljate mobilno OOB povezavo.

Če želite dodati k statični poti v tabelo poti sistema:
1. Izberite zavihek Nastavitve poti v meniju Sistem > Splošne nastavitve IP.
2. Kliknite Nova pot
3. Vnesite ime poti za pot.
4. V polje Ciljno omrežje/gostitelj vnesite naslov IP ciljnega omrežja/gostitelja, do katerega pot omogoča dostop.
5. V polje Destination netmask vnesite vrednost, ki identificira ciljno omrežje ali gostitelja. Katera koli številka med 0 in 32. Maska podomrežja 32 identificira pot gostitelja.
6. Vnesite Route Gateway z naslovom IP usmerjevalnika, ki bo usmerjal pakete v ciljno omrežje. To lahko pustite prazno.
7. Izberite vmesnik, ki ga želite uporabiti za doseganje cilja, lahko pustite nastavljeno na Brez.
8. V polje Metrika vnesite vrednost, ki predstavlja metriko te povezave. Uporabite poljubno število, enako ali večje od 0. To je treba nastaviti samo, če sta dve ali več poti v konfliktu ali če imajo cilji, ki se prekrivajo.
9. Kliknite Uporabi.

OPOMBA

Stran s podrobnostmi o poti nudi seznam omrežnih vmesnikov in modemov, na katere je mogoče povezati pot. V primeru modema bo pot priložena kateri koli klicni seji, vzpostavljeni prek te naprave. Pot je mogoče določiti s prehodom, vmesnikom ali obojim. Če navedeni vmesnik ni aktiven, poti, konfigurirane za ta vmesnik, ne bodo aktivne.

Uporabniški priročnik 3. SERIJSKA VRATA, KONFIGURACIJA GOSTITELJA, NAPRAVE IN UPORABNIKA
Konzolni strežnik omogoča dostop in nadzor serijsko povezanih naprav in omrežnih naprav (gostiteljev). Skrbnik mora konfigurirati pravice dostopa za vsako od teh naprav in določiti storitve, ki se lahko uporabljajo za nadzor naprav. Skrbnik lahko tudi nastavi nove uporabnike in določi posamezne pravice dostopa in nadzora vsakega uporabnika.
To poglavje zajema vse korake pri konfiguriranju omrežno povezanih in serijsko povezanih naprav: · Serijska vrata, nastavitev protokolov, ki uporabljajo serijsko povezane naprave · Uporabniki in skupine, nastavitev uporabnikov in definiranje dovoljenj za dostop za vsakega od teh uporabnikov · Preverjanje pristnosti, to je zajeto v več podrobnosti v poglavju 8 · Omrežni gostitelji, ki konfigurirajo dostop do računalnikov ali naprav, povezanih z lokalnim omrežjem (gostitelji) · Konfiguracija zaupanja vrednih omrežij – določite naslove IP, do katerih dostopajo zaupanja vredni uporabniki · Kaskadno povezovanje in preusmerjanje vrat serijske konzole · Povezovanje z napajanjem (UPS, PDU in IPMI) in naprave za spremljanje okolja (EMD) · Preusmeritev serijskih vrat z uporabo oken PortShare in odjemalcev Linux · Upravljane naprave – predstavlja konsolidirano view vseh povezav · IPSec omogoča povezavo VPN · OpenVPN · PPTP
3.1 Konfigurirajte serijska vrata
Prvi korak pri konfiguraciji serijskih vrat je nastavitev skupnih nastavitev, kot so protokoli in parametri RS232, ki se uporabljajo za podatkovno povezavo s temi vrati (npr. hitrost prenosa). Izberite, v katerem načinu naj delujejo vrata. Vsaka vrata lahko nastavite tako, da podpirajo enega od teh načinov delovanja:
· Onemogočen način je privzet, serijska vrata so neaktivna
27

3. poglavje:

Serijska vrata, gostitelj, naprava in konfiguracija uporabnika

· Način konzolnega strežnika omogoča splošen dostop do vrat serijske konzole na serijsko priključenih napravah
· Način naprave nastavi serijska vrata za komunikacijo z inteligentno serijsko nadzorovano PDU, UPS ali napravami za nadzor okolja (EMD)
· Način terminalskega strežnika nastavi serijska vrata tako, da čakajo na dohodno terminalsko prijavno sejo · Način serijskega mostu omogoča pregledno medsebojno povezavo dveh naprav s serijskimi vrati prek
omrežje.
1. Izberite Serijska in omrežna > Serijska vrata, da prikažete podrobnosti o serijskih vratih. 2. Vsaka serijska vrata so privzeto nastavljena v načinu strežnika konzole. Kliknite Uredi poleg želenih vrat
na novo konfiguriran. Ali pa kliknite Uredi več vrat in izberite, katera vrata želite konfigurirati kot skupino. 3. Ko znova konfigurirate skupne nastavitve in način za posamezna vrata, nastavite kateri koli oddaljeni sistemski dnevnik (za posebne informacije glejte naslednje razdelke). Kliknite Uporabi 4. Če je bil konzolni strežnik konfiguriran z omogočenim porazdeljenim nadzorom Nagios, uporabite možnosti nastavitev Nagios, da omogočite spremljanje imenovanih storitev na gostitelju 3.1.1 Skupne nastavitve Za vsako serijo lahko nastavite številne skupne nastavitve. pristanišče. Ti so neodvisni od načina, v katerem se uporabljajo vrata. Ti parametri zaporednih vrat morajo biti nastavljeni tako, da se ujemajo s parametri zaporednih vrat v napravi, ki jo priključite na ta vrata:
28

Uporabniški priročnik

· Vnesite oznako za vrata · Izberite ustrezno hitrost prenosa podatkov, pariteto, podatkovne bite, zaustavitvene bite in nadzor pretoka za vsaka vrata

· Nastavite Pinout vrat. Ta element menija se prikaže za vrata IM7200, kjer je možno nastavitev zatičev za vsaka serijska vrata RJ45 nastaviti kot X2 (Cisco Straight) ali X1 (Cisco Rolled)

· Nastavite način DTR. To vam omogoča, da izberete, ali se DTR vedno uveljavlja ali samo, ko je aktivna uporabniška seja

· Preden nadaljujete z nadaljnjo konfiguracijo serijskih vrat, morate vrata povezati s serijskimi napravami, ki jih bodo nadzorovali, in zagotoviti, da imajo ustrezne nastavitve

3.1.2

Način konzolnega strežnika
Izberite Console server Mode, da omogočite oddaljeni dostop do serijske konzole, ki je priključena na ta serijska vrata:

Raven beleženja To določa raven informacij, ki se beležijo in spremljajo.
29

Poglavje 3: Serijska vrata, gostitelj, naprava in konfiguracija uporabnika
Raven 0: Onemogoči beleženje (privzeto)
Raven 1: Beležite dogodke LOGIN, LOGOUT in SIGNAL
Raven 2: beleženje dogodkov LOGIN, LOGOUT, SIGNAL, TXDATA in RXDATA
Raven 3: Beležite dogodke LOGIN, LOGOUT, SIGNAL in RXDATA
Raven 4: Beležite dogodke LOGIN, LOGOUT, SIGNAL in TXDATA
Input/RXDATA so podatki, ki jih naprava Opengear prejme od priključene serijske naprave, output/TXDATA pa so podatki, ki jih naprava Opengear pošlje (npr. vtipka jih uporabnik) povezani serijski napravi.
Konzole naprav običajno odmevajo znake, ko so vneseni, tako da je TXDATA, ki ga vtipka uporabnik, pozneje prejet kot RXDATA, prikazan na njihovem terminalu.
OPOMBA: Po pozivu za geslo povezana naprava pošlje znake *, da prepreči prikaz gesla.

Telnet Ko je storitev Telnet omogočena na strežniku konzole, se lahko odjemalec Telnet na uporabnikovem računalniku poveže s serijsko napravo, ki je priključena na ta serijska vrata na strežniku konzole. Ker so komunikacije Telnet nešifrirane, je ta protokol priporočljiv samo za lokalne povezave ali povezave v tunelu VPN.
Če se oddaljena komunikacija tunelira s priključkom, lahko Telnet uporabite za varen dostop do teh priključenih naprav.

OPOMBA

V načinu konzolnega strežnika lahko uporabniki uporabijo konektor za nastavitev varnih povezav Telnet, ki so tunelirane SSH iz njihovih odjemalskih računalnikov v serijska vrata na konzolnem strežniku. Konektorje je mogoče namestiti na osebne računalnike z operacijskim sistemom Windows in večino platform Linux ter omogoča izbiro varnih povezav Telnet s pokaži in klikni.

Če želite uporabiti konektor za dostop do konzol na serijskih vratih strežnika konzole, konfigurirajte konektor s strežnikom konzole kot prehodom in kot gostiteljem ter omogočite storitev Telnet na vratih (2000 + serijska vrata #), tj. 2001.

Za nastavitev neposredne povezave Telnet ali SSH s serijskimi vrati lahko uporabite tudi standardne komunikacijske pakete, kot je PuTTY.

OPOMBA Ko se v načinu konzolnega strežnika povežete s serijskimi vrati, se povežete prek pmshell. Če želite ustvariti BREAK na serijskih vratih, vnesite zaporedje znakov ~b. Če to počnete prek OpenSSH, vnesite ~~b.

SSH

Priporočljivo je, da uporabite SSH kot protokol, ko se uporabniki povežejo s strežnikom konzole

(ali se prek konzolnega strežnika povežite s priloženimi serijskimi konzolami) prek interneta ali katerega koli drugega

drugo javno omrežje.

Za dostop SSH do konzol na napravah, priključenih na serijska vrata strežnika konzole, lahko uporabite konektor. Konfigurirajte konektor s konzolnim strežnikom kot prehodom in kot gostiteljem ter omogočite storitev SSH na vratih (3000 + serijska vrata #), tj. 3001-3048.

Uporabite lahko tudi običajne komunikacijske pakete, kot sta PuTTY ali SSHTerm, da se SSH povežete z naslovom vrat IP Naslov _ Vrata (3000 + številka serijskih vrat), tj. 3001

Povezave SSH je mogoče konfigurirati z uporabo standardnih vrat SSH 22. Serijska vrata, do katerih dostopate, so identificirana z dodajanjem deskriptorja uporabniškemu imenu. Ta sintaksa podpira:

Uporabniški priročnik
: : Za uporabnika z imenom chris za dostop do serijskih vrat 2 pri nastavitvi odjemalca SSHTerm ali PuTTY SSH namesto vnosa uporabniško ime = chris in ssh port = 3002 je alternativa vnos uporabniškega imena = chris:port02 (ali uporabniško ime = chris: ttyS1) in ssh port = 22. Ali če vnesete username=chris:serial in ssh port = 22, se uporabniku prikaže možnost izbire vrat:

Ta sintaksa omogoča uporabnikom, da nastavijo tunele SSH do vseh serijskih vrat, pri čemer je treba v njihovem požarnem zidu/prehodu odpreti ena vrata IP 22
OPOMBA V načinu konzolnega strežnika se povežete s serijskimi vrati prek pmshell. Če želite ustvariti BREAK na serijskih vratih, vnesite zaporedje znakov ~b. Če to počnete prek OpenSSH, vnesite ~~b.

TCP

RAW TCP omogoča povezave z vtičnico TCP. Medtem ko komunikacijski programi, kot je PuTTY

podpira tudi RAW TCP, ta protokol običajno uporablja aplikacija po meri

Za RAW TCP je privzeti naslov vrat naslov IP _ vrata (4000 + številka serijskih vrat), tj. 4001 4048

RAW TCP omogoča tudi tuneliranje serijskih vrat na oddaljeni konzolni strežnik, tako da se lahko dve napravi s serijskimi vrati pregledno povežeta prek omrežja (glejte poglavje 3.1.6 Serial Bridging)

RFC2217 Če izberete RFC2217, omogočite preusmeritev serijskih vrat na ta vrata. Za RFC2217 je privzeti naslov vrat naslov IP _ vrata (5000 + številka serijskih vrat), tj. 5001 5048
Posebna odjemalska programska oprema je na voljo za Windows UNIX in Linux, ki podpira navidezna com vrata RFC2217, tako da lahko oddaljeni gostitelj nadzira in upravlja oddaljene serijsko povezane naprave, kot da so povezane z lokalnimi serijskimi vrati (za podrobnosti glejte poglavje 3.6 Preusmeritev serijskih vrat)
RFC2217 omogoča tudi tuneliranje serijskih vrat na strežnik oddaljene konzole, tako da se lahko dve napravi s serijskimi vrati pregledno povežeta prek omrežja (glejte poglavje 3.1.6 Serijsko premoščanje)

Unauthenticated Telnet To omogoča dostop Telnet do serijskih vrat brez poverilnic za preverjanje pristnosti. Ko uporabnik dostopa do konzolnega strežnika za Telnet prek serijskih vrat, prejme poziv za prijavo. Z nepreverjenim Telnetom se povežejo neposredno prek vrat brez kakršnega koli izziva za prijavo v konzolni strežnik. Če odjemalec Telnet zahteva preverjanje pristnosti, vsi vneseni podatki omogočajo povezavo.

Poglavje 3: Serijska vrata, gostitelj, naprava in konfiguracija uporabnika
Ta način se uporablja z zunanjim sistemom (kot je ohranjevalnik), ki upravlja avtentikacijo uporabnika in privilegije dostopa na ravni serijske naprave.
Prijava v napravo, povezano s strežnikom konzole, bo morda zahtevala preverjanje pristnosti.
Za nepreverjeni Telnet je privzeti naslov vrat naslov IP _ vrata (6000 + serijska vrata #), tj. 6001 6048

Unauthenticated SSH To omogoča dostop SSH do serijskih vrat brez poverilnic za preverjanje pristnosti. Ko uporabnik dostopa do konzolnega strežnika za Telnet prek serijskih vrat, prejme poziv za prijavo. Z nepreverjenim SSH se povežejo neposredno prek vrat brez kakršnega koli izziva za prijavo v konzolni strežnik.
Ta način se uporablja, ko imate drug sistem, ki upravlja avtentikacijo uporabnika in privilegije dostopa na ravni serijske naprave, vendar želite šifrirati sejo v omrežju.
Prijava v napravo, povezano s strežnikom konzole, bo morda zahtevala preverjanje pristnosti.
Za nepreverjeni Telnet je privzeti naslov vrat naslov IP _ vrata (7000 + serijska vrata #), tj. 7001 7048
The : metoda dostopa do vrat (kot je opisano v zgornjem razdelku SSH) vedno zahteva avtentikacijo.

Web Terminal To omogoča web dostop brskalnika do serijskih vrat prek Manage > Devices: Serial z uporabo vgrajenega terminala AJAX upravljalne konzole. Web Terminal se poveže kot trenutno overjen uporabnik upravljalne konzole in se ne avtentifikira znova. Za več podrobnosti glejte razdelek 12.3.

Vzdevek IP

Omogočite dostop do serijskih vrat z uporabo določenega naslova IP, določenega v formatu CIDR. Vsakim serijskim vratom je mogoče dodeliti enega ali več vzdevkov IP, ki so konfigurirani glede na omrežni vmesnik. Serijska vrata lahko nprample, dostopen tako na 192.168.0.148 (kot del notranjega omrežja) kot 10.10.10.148 (kot del LAN za upravljanje). Prav tako je mogoče omogočiti serijska vrata na dveh naslovih IP v istem omrežju (nprample, 192.168.0.148 in 192.168.0.248).

Ti naslovi IP se lahko uporabljajo samo za dostop do določenih serijskih vrat, ki so dostopna s številkami vrat TCP standardnega protokola storitev konzolnega strežnika. Na primerample bi bil SSH na serijskih vratih 3 dostopen na vratih 22 vzdevka IP serijskih vrat (medtem ko je na primarnem naslovu strežnika konzole na voljo na vratih 2003).

To funkcijo je mogoče konfigurirati tudi prek strani za urejanje več vrat. V tem primeru se naslovi IP uporabijo zaporedno, pri čemer prva izbrana vrata dobijo vnesen IP, naslednja pa se povečajo, pri čemer se številke preskočijo za morebitna neizbrana vrata. Na primerample, če so izbrana vrata 2, 3 in 5 in je za omrežni vmesnik vnesen vzdevek IP 10.0.0.1/24, so dodeljeni naslednji naslovi:

Vrata 2: 10.0.0.1/24

Vrata 3: 10.0.0.2/24

Vrata 5: 10.0.0.4/24

Vzdevki IP podpirajo tudi naslove vzdevkov IPv6. Edina razlika je v tem, da so naslovi šestnajstiška števila, tako da lahko vrata 10 ustrezajo naslovu, ki se konča z A, 11 pa naslovu, ki se konča z B, namesto 10 ali 11 po IPv4.

Uporabniški priročnik
Šifriranje prometa/preverjanje pristnosti Omogoči trivialno šifriranje in preverjanje pristnosti serijskih komunikacij RFC2217 z uporabo Portshare (za močno šifriranje uporabite VPN).
Obdobje kopičenja Ko je vzpostavljena povezava za določena serijska vrata (kot je preusmeritev RFC2217 ali povezava Telnet z oddaljenim računalnikom), se vsi dohodni znaki na teh vratih posredujejo po omrežju vsak znak za znakom. Obdobje kopičenja določa časovno obdobje, v katerem se zbirajo dohodni znaki, preden se pošljejo kot paket po omrežju
Ubežni znak Spremenite znak, ki se uporablja za pošiljanje ubežnih znakov. Privzeto je ~. Zamenjaj vračalko Ali želite zamenjati privzeto vrednost vračalke CTRL+? (127) s CTRL+h (8). Meni za napajanje Ukaz za prikaz menija za napajanje je ~p in omogoči ukaz za napajanje lupine, tako da a
uporabnik lahko nadzoruje napajalno povezavo z upravljano napravo iz ukazne vrstice, ko je z napravo povezan prek Telneta ali SSH. Upravljana naprava mora biti nastavljena s konfigurirano povezavo s serijskimi vrati in napajalno povezavo.
Enotna povezava To omejuje vrata na eno samo povezavo, tako da lahko, če ima več uporabnikov pravice dostopa do določenih vrat, do teh vrat dostopa samo en uporabnik (tj. vohljanje po vratih ni dovoljeno).
33

Poglavje 3: Serijska vrata, gostitelj, naprava in konfiguracija uporabnika
3.1.3 Način naprave (RPC, UPS, okoljski) Ta način konfigurira izbrana serijska vrata za komunikacijo s serijsko nadzorovanim neprekinjenim napajalnikom (UPS), daljinskim krmilnikom napajanja/enotami za distribucijo električne energije (RPC) ali napravo za spremljanje okolja (okoljski)

1. Izberite želeno vrsto naprave (UPS, RPC ali okoljska)
2. Nadaljujte na ustrezno stran za konfiguracijo naprave (Serijska in omrežna > Povezave UPS, Povezava RPC ali Okolje), kot je podrobno opisano v 7. poglavju.

3.1.4 ·

Način terminalskega strežnika
Izberite način terminalskega strežnika in vrsto terminala (vt220, vt102, vt100, Linux ali ANSI), da omogočite getty na izbranih serijskih vratih

Getty konfigurira vrata in počaka, da se vzpostavi povezava. Aktivno povezavo na serijski napravi označuje dvignjen zatič za zaznavanje nosilca podatkov (DCD) na serijski napravi. Ko je povezava zaznana, program getty izda poziv za prijavo: in pokliče prijavni program za obdelavo prijave v sistem.
OPOMBA Izbira načina terminalskega strežnika onemogoči upravitelja vrat za ta serijska vrata, zato se podatki ne beležijo več za opozorila itd.

Uporabniški priročnik
3.1.5 Način serijskega premostitve Pri serijskem premoščanju so serijski podatki na imenovanih serijskih vratih na enem konzolnem strežniku enkapsulirani v omrežne pakete in preneseni po omrežju na drugi konzolni strežnik, kjer so predstavljeni kot serijski podatki. Dva konzolna strežnika delujeta kot navidezni serijski kabel prek omrežja IP. En konzolni strežnik je konfiguriran kot strežnik. Serijska vrata strežnika, ki jih je treba premostiti, so nastavljena v načinu strežnika konzole z omogočenim RFC2217 ali RAW. Za strežnik konzole odjemalca morajo biti serijska vrata, ki jih želite premostiti, nastavljena v načinu premostitve:
· Izberite Serial Bridging Mode in določite naslov IP strežnika konzole strežnika in naslov vrat TCP oddaljenih serijskih vrat (za premostitev RFC2217 bo to 5001-5048)
· Premostitveni odjemalec privzeto uporablja RAW TCP. Izberite RFC2217, če je to način strežnika konzole, ki ste ga podali na strežniku konzole strežnika
· Komunikacije prek lokalnega Etherneta lahko zaščitite tako, da omogočite SSH. Ustvarite in naložite ključe.
3.1.6 Sistemski dnevnik Poleg vgrajenega beleženja in spremljanja, ki se lahko uporablja za serijsko povezane in omrežne dostope do upravljanja, kot je zajeto v 6. poglavju, je mogoče konzolni strežnik konfigurirati tudi tako, da podpira oddaljeni protokol sistemskega dnevnika na posameznih serijskih vratih. osnova:
· Izberite polja Syslog Facility/Priority, da omogočite beleženje prometa na izbranih serijskih vratih do strežnika syslog; ter za razvrščanje in ukrepanje v zvezi s temi prijavljenimi sporočili (tj. preusmerjanje/pošljanje opozorilne e-pošte.)
35

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
Na primerample, če računalnik, priključen na serijska vrata 3, ne bi smel nikoli pošiljati ničesar prek svojih serijskih vrat konzole, lahko skrbnik nastavi možnost za ta vrata na local0 (local0 .. local7 so namenjene lokalnim vrednostim mesta) in prednost na kritično . Če strežnik sistemskega dnevnika konzolnega strežnika pri tej prioriteti prejme sporočilo, sproži opozorilo. Glejte poglavje 6. 3.1.7 Pretakanje NMEA ACM7000-L lahko zagotovi pretakanje podatkov GPS NMEA iz notranjega GPS/mobilnega modema. Ta podatkovni tok je predstavljen kot serijski podatkovni tok na vratih 5 na modelih ACM.
Splošne nastavitve (hitrost prenosa itd.) se pri konfiguraciji serijskih vrat NMEA ne upoštevajo. Določite lahko pogostost določitve (tj. ta stopnja določitve GPS določa, kako pogosto so pridobljeni popravki GPS). Za ta vrata lahko uporabite tudi vse nastavitve načina konzolnega strežnika, sistemskega dnevnika in serijskega premoščanja.
Lahko uporabite pmshell, webshell, SSH, RFC2217 ali RawTCP, da pridete do toka:
Na primerample, z uporabo Web terminal:
36

Uporabniški priročnik

3.1.8 Konzole USB
Strežniki konzole z vrati USB podpirajo povezave konzole USB z napravami številnih proizvajalcev, vključno s Cisco, HP, Dell in Brocade. Ta vrata USB lahko delujejo tudi kot navadna serijska vrata RS-232, ko je priključen adapter USB-serial.

Ta vrata USB so na voljo kot običajna vrata za upravljanje vrat in so številčno predstavljena v web UI po vseh serijskih vratih RJ45.

ACM7008-2 ima osem serijskih vrat RJ45 na zadnji strani strežnika konzole in štiri vrata USB na sprednji strani. V Serijska in omrežna > Serijska vrata so ti navedeni kot

Port # priključek

RJ45

USB

10 USB

11 USB

12 USB

Če je določen ACM7008-2 celični model, bodo navedena tudi vrata #13 — za GPS.

7216-24U ima 16 serijskih vrat RJ45 in 24 vrat USB na zadnji strani ter dve sprednji vrati USB in (v mobilnem modelu) GPS.

Serijska vrata RJ45 so predstavljena v Serijska in omrežna > Serijska vrata kot številke vrat 1. 16 vrat USB, obrnjenih nazaj, ima številke vrat 24, vrata USB na sprednji strani pa so navedena pod številkami vrat 17 oziroma 40. In tako kot pri ACM41-42, če je določen 7008-2U celični model, je GPS predstavljen na vratih številka 7216.

Običajne nastavitve (hitrost prenosa itd.) se uporabljajo pri konfiguraciji vrat, vendar nekatere operacije morda ne bodo delovale, odvisno od izvedbe osnovnega serijskega čipa USB.

3.2 Dodajanje in urejanje uporabnikov
Skrbnik uporablja to izbiro menija za ustvarjanje, urejanje in brisanje uporabnikov ter za določanje dovoljenj za dostop za vsakega od teh uporabnikov.

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika

Uporabniki so lahko pooblaščeni za dostop do določenih storitev, serijskih vrat, napajalnih naprav in določenih omrežnih gostiteljev. Ti uporabniki lahko dobijo tudi polni skrbniški status (s popolno konfiguracijo in upravljanjem ter privilegiji dostopa).

Uporabnike lahko dodajate v skupine. Privzeto je nastavljenih šest skupin:

admin

Zagotavlja neomejene konfiguracijske in upravljavske privilegije.

pptpd

Omogoča dostop do strežnika PPTP VPN. Uporabniki v tej skupini imajo geslo shranjeno v čistem besedilu.

dialin

Omogoča klicni dostop prek modemov. Uporabniki v tej skupini imajo geslo shranjeno v čistem besedilu.

ftp

Omogoča dostop do ftp in file dostop do pomnilniških naprav.

pmshell

Nastavi privzeto lupino na pmshell.

uporabniki

Uporabnikom zagotavlja osnovne upravljavske pravice.

Skrbniška skupina zagotavlja članom polne skrbniške pravice. Skrbniški uporabnik lahko dostopa do strežnika konzole s katero koli od storitev, ki so bile omogočene v System > Services. Prav tako lahko dostopa do katerega koli od povezanih gostiteljev ali naprav s serijskimi vrati s katero koli od storitev, ki so bile omogočene za te povezave. Samo zaupanja vredni uporabniki morajo imeti skrbniški dostop
Uporabniška skupina omogoča članom omejen dostop do konzolnega strežnika ter povezanih gostiteljev in serijskih naprav. Ti uporabniki lahko dostopajo samo do odseka za upravljanje v meniju konzole za upravljanje in nimajo dostopa do ukazne vrstice do strežnika konzole. Dostopajo lahko samo do tistih gostiteljev in serijskih naprav, ki so bile zanje preverjene, z uporabo storitev, ki so bile omogočene
Uporabniki v skupinah pptd, dialin, ftp ali pmshell so omejili dostop uporabniške lupine do imenovanih upravljanih naprav, vendar ne bodo imeli neposrednega dostopa do strežnika konzole. Če želite to dodati, morajo biti uporabniki tudi člani skupin uporabnikov ali skrbnikov
Skrbnik lahko nastavi dodatne skupine z določeno napajalno napravo, serijskimi vrati in dovoljenji za dostop do gostitelja. Uporabniki v teh dodatnih skupinah nimajo dostopa do menija konzole za upravljanje niti nimajo dostopa do strežnika konzole prek ukazne vrstice.

Uporabniški priročnik
Skrbnik lahko nastavi uporabnike s posebnimi dovoljenji za dostop do napajalne naprave, serijskih vrat in gostitelja, ki niso člani nobene skupine. Ti uporabniki nimajo dostopa do menija konzole za upravljanje ali dostopa do ukazne vrstice do strežnika konzole. 3.2.1 Nastavitev nove skupine Če želite nastaviti nove skupine in nove uporabnike ter razvrstiti uporabnike kot člane določenih skupin:
1. Izberite Serial & Network > Users & Groups, da prikažete vse skupine in uporabnike. 2. Kliknite Dodaj skupino, da dodate novo skupino.
3. Dodajte ime skupine in opis za vsako novo skupino ter določite dostopne gostitelje, dostopna vrata in dostopna prodajna mesta RPC, do katerih bodo uporabniki v tej novi skupini lahko dostopali
4. Kliknite Uporabi 5. Skrbnik lahko uredi ali izbriše katero koli dodano skupino 3.2.2 Nastavitev novih uporabnikov Če želite nastaviti nove uporabnike in razvrstiti uporabnike kot člane določenih skupin: 1. Za prikaz izberite Serial & Network > Users & Groups vse skupine in uporabnike 2. Kliknite Dodaj uporabnika
39

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
3. Dodajte uporabniško ime za vsakega novega uporabnika. V polje Opis lahko vključite tudi podatke o uporabniku (npr. kontaktne podatke). Uporabniško ime lahko vsebuje od 1 do 127 alfanumeričnih znakov in znake “-”, “_” in “.”.
4. Določite, katerih skupin želite, da je uporabnik član. 5. Dodajte potrjeno geslo za vsakega novega uporabnika. Dovoljeni so vsi znaki. 6. Uporabite lahko avtentikacijo z geslom SSH. Prilepite javne ključe pooblaščenega javnega/zasebnega
pare ključev za tega uporabnika v polju Authorized SSH Keys 7. Označite Onemogoči preverjanje pristnosti gesla, da dovolite samo preverjanje pristnosti javnega ključa za tega uporabnika
pri uporabi SSH 8. Označite Omogoči povratno klicanje v meniju Možnosti klicanja, da omogočite odhodno povratno klicanje
ki se sproži s prijavo v ta vrata. Vnesite telefonsko številko za povratni klic s telefonsko številko za povratni klic, ko se uporabnik prijavi. 9. Označite Dostopne gostitelje in/ali Dostopna vrata, da določite serijska vrata in gostitelje, povezane z omrežjem, za katere želite, da ima uporabnik pravice dostopa do njih 10. Če obstajajo konfigurirani RPC-ji, označite Dostopne RPC Outlets, da določite, katere vtičnice lahko uporabnik nadzoruje (tj. Power On/Off). 11. Kliknite Apply. Novi uporabnik bo lahko dostopal do dostopnih omrežnih naprav, vrat in izhodov RPC. Če je uporabnik član skupine, lahko dostopa tudi do katere koli druge naprave/vrat/vtičnice, ki je dostopna skupini
40

Uporabniški priročnik
Ni omejitev glede števila uporabnikov, ki jih lahko nastavite, ali števila uporabnikov na serijska vrata ali gostitelja. Več uporabnikov lahko nadzoruje/nadzoruje ena vrata ali gostitelja. Število skupin ni omejeno in vsak uporabnik je lahko član več skupin. Uporabniku ni treba biti član nobene skupine, vendar če je uporabnik član privzete uporabniške skupine, ne bo mogel uporabljati upravljalne konzole za upravljanje vrat. Čeprav ni omejitev, se čas za ponovno konfiguracijo povečuje z večanjem števila in kompleksnosti. Priporočamo, da skupno število uporabnikov in skupin ostane pod 250. Skrbnik lahko uredi tudi nastavitve dostopa za vse obstoječe uporabnike:
· Izberite Serial & Network > Users & Groups in kliknite Uredi, da spremenite privilegije dostopa uporabnika · Kliknite Izbriši, da odstranite uporabnika · Kliknite Onemogoči, da začasno blokirate privilegije dostopa
3.3 Avtentikacija
Za podrobnosti o konfiguraciji preverjanja pristnosti glejte 8. poglavje.
3.4 Omrežni gostitelji
Če želite nadzirati in oddaljeno dostopati do računalnika ali naprave v lokalnem omrežju (imenovane gostitelj), morate identificirati gostitelja:
1. Če izberete Serial & Network > Network Hosts, so prikazani vsi gostitelji, povezani v omrežje, ki so bili omogočeni za uporabo.
2. Kliknite Dodaj gostitelja, da omogočite dostop do novega gostitelja (ali izberite Uredi, da posodobite nastavitve za obstoječega gostitelja)
41

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
3. Če je gostitelj napajalna naprava PDU ali UPS ali strežnik z nadzorom napajanja IPMI, določite RPC (za IPMI in PDU) ali UPS in vrsto naprave. Skrbnik lahko konfigurira te naprave in omogoči, kateri uporabniki imajo dovoljenje za daljinski vklop napajanja itd. Glejte 7. poglavje. V nasprotnem primeru pustite Device Type nastavljeno na None.
4. Če je bil strežnik konzole konfiguriran z omogočenim porazdeljenim nadzorom Nagios, boste videli tudi možnosti Nagios Settings, da omogočite nadzor imenovanih storitev na gostitelju.
5. Kliknite Uporabi. S tem ustvarite novega gostitelja in ustvarite tudi novo upravljano napravo z istim imenom.
3.5 Zaupanja vredna omrežja
Pripomoček Trusted Networks vam daje možnost, da predlagate naslove IP, na katerih se morajo uporabniki nahajati, da imajo dostop do serijskih vrat konzolnega strežnika:
42

Uporabniški priročnik
1. Izberite Serial & Network > Trusted Networks. 2. Če želite dodati novo zaupanja vredno omrežje, izberite Add Rule. Če ni pravil, ni dostopa
omejitve glede naslova IP, na katerem se lahko nahajajo uporabniki.

3. Izberite Dostopna vrata, za katera naj bo uporabljeno novo pravilo
4. Vnesite omrežni naslov podomrežja, ki mu želite dovoliti dostop
5. Določite obseg naslovov, ki naj bodo dovoljeni, tako da vnesete omrežno masko za to dovoljeno območje IP, npr.
· Če želite dovoliti vsem uporabnikom, ki se nahajajo z določeno omrežno povezavo razreda C, do imenovanih vrat, dodajte naslednje novo pravilo zaupanja vrednega omrežja:

Omrežni naslov IP

204.15.5.0

Subnet Mask

255.255.255.0

· Če želite dovoliti povezavo samo enemu uporabniku na določenem naslovu IP:

Omrežni naslov IP

204.15.5.13

Subnet Mask

255.255.255.255

· Če želite vsem uporabnikom, ki delujejo znotraj določenega obsega naslovov IP (recimo katerega koli od tridesetih naslovov od 204.15.5.129 do 204.15.5.158), dovoliti povezavo z imenovanimi vrati:

Naslov gostitelja/podomrežja

204.15.5.128

Subnet Mask

255.255.255.224

6. Kliknite Uporabi

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
3.6 Kaskadno povezovanje serijskih vrat
Kaskadna vrata vam omogočajo združevanje porazdeljenih konzolnih strežnikov v gruče, tako da je mogoče konfigurirati veliko število serijskih vrat (do 1000) in do njih dostopati prek enega naslova IP ter jih upravljati prek ene konzole za upravljanje. En konzolni strežnik, primarni, nadzoruje druge konzolne strežnike kot enote vozlišča in vsa serijska vrata na enotah vozlišča so videti, kot da so del primarnega. Opengearjevo združevanje povezuje vsako vozlišče s primarnim s povezavo SSH. To se naredi s preverjanjem pristnosti javnega ključa, tako da lahko primarno dostopa do vsakega vozlišča s parom ključev SSH (namesto z uporabo gesel). To zagotavlja varno overjeno komunikacijo med primarnimi in vozlišči, kar omogoča, da se strežniške enote konzole Node distribuirajo lokalno v LAN ali na daljavo po vsem svetu.
3.6.1 Samodejno ustvarjanje in nalaganje ključev SSH Če želite nastaviti preverjanje pristnosti javnega ključa, morate najprej ustvariti par ključev RSA ali DSA in ju naložiti v primarni strežnik in konzolni strežnik vozlišča. To je mogoče storiti samodejno iz Primarne:
44

Uporabniški priročnik
1. Izberite Sistem > Skrbništvo na glavni upravljalni konzoli
2. Označite Samodejno ustvari ključe SSH. 3. Kliknite Uporabi
Nato morate izbrati, ali želite generirati ključe z uporabo RSA in/ali DSA (če niste prepričani, izberite samo RSA). Generiranje vsakega niza ključev zahteva dve minuti in novi ključi uničijo stare ključe te vrste. Medtem ko je nova generacija v teku, lahko funkcije, ki se zanašajo na ključe SSH (npr. kaskadne), prenehajo delovati, dokler niso posodobljene z novim kompletom ključev. Če želite ustvariti ključe:
1. Potrdite polja za ključe, ki jih želite ustvariti. 2. Kliknite Uporabi
3. Ko so novi ključi ustvarjeni, kliknite povezavo Kliknite tukaj za vrnitev. Ključi so naloženi
do primarnih in povezanih vozlišč.
3.6.2 Ročno ustvarjanje in nalaganje ključev SSH Če imate par ključev RSA ali DSA, jih lahko naložite v primarni in vozliščni konzolni strežnik. Če želite naložiti par javnih in zasebnih ključev na primarni strežnik konzole:
1. Izberite Sistem > Skrbništvo na glavni upravljalni konzoli
2. Prebrskajte do lokacije, kjer ste shranili javni ključ RSA (ali DSA), in ga naložite v javni ključ SSH RSA (DSA).
3. Poiščite shranjeni zasebni ključ RSA (ali DSA) in ga naložite v SSH zasebni ključ RSA (DSA). 4. Kliknite Uporabi
45

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
Nato morate javni ključ registrirati kot pooblaščeni ključ na vozlišču. V primeru enega primarnega z več vozlišči naložite en javni ključ RSA ali DSA za vsako vozlišče.
1. Izberite Sistem > Skrbništvo na upravljalni konzoli vozlišča 2. Poiščite shranjeni javni ključ RSA (ali DSA) in ga naložite v avtorizirani ključ SSH vozlišča
3. Kliknite Uporabi. Naslednji korak je prstni odtis vsake nove povezave Node-Primary. Ta korak potrjuje, da vzpostavljate sejo SSH za osebo, za katero mislite, da ste. Ob prvi povezavi vozlišče prejme prstni odtis od primarnega, ki se uporablja pri vseh prihodnjih povezavah: Za vzpostavitev prstnega odtisa se najprej prijavite v primarni strežnik kot root in vzpostavite povezavo SSH z oddaljenim gostiteljem vozlišča:
# ssh remhost Ko je povezava SSH vzpostavljena, boste morali sprejeti ključ. Odgovorite z da in prstni odtis bo dodan na seznam znanih gostiteljev. Če ste pozvani k vnosu gesla, je prišlo do težave pri nalaganju ključev. 3.6.3 Konfiguracija vozlišč in njihovih serijskih vrat Začnite nastavljati vozlišča in konfigurirati serijska vrata vozlišča iz primarnega konzolnega strežnika:
1. Izberite Serijska in omrežna > Kaskadna vrata na glavni upravljalni konzoli: 2. Če želite dodati podporo za gruče, izberite Dodaj vozlišče
Ne morete dodati vozlišč, dokler ne ustvarite ključev SSH. Če želite definirati in konfigurirati vozlišče:
46

Uporabniški priročnik
1. Vnesite oddaljeni naslov IP ali ime DNS za strežnik konzole vozlišča 2. Vnesite kratek opis in kratko oznako za vozlišče 3. Vnesite celotno število serijskih vrat na enoti vozlišča v Število vrat 4. Kliknite Uporabi. To vzpostavi tunel SSH med primarnim in novim vozliščem
Meni Serijska in omrežna > Kaskadna vrata prikazuje vsa vozlišča in številke vrat, ki so bila dodeljena primarnim. Če ima primarni strežnik konzole 16 lastnih vrat, so vrata 1-16 vnaprej dodeljena primarnemu, tako da se prvemu dodanemu vozlišču dodeli številka vrat 17 naprej. Ko dodate vse strežnike konzole Node, so serijska vrata Node in povezane naprave nastavljive in dostopne iz menija konzole za upravljanje primarnega strežnika ter prek naslova IP primarnega strežnika.
1. Izberite ustrezno Serial & Network > Serial Port in Edit, da konfigurirate serijska vrata na
Vozlišče.
2. Izberite ustrezno Serijsko omrežje in omrežje > Uporabniki in skupine, da dodate nove uporabnike s pravicami dostopa
na serijska vrata Node (ali za razširitev privilegijev dostopa obstoječih uporabnikov).
3. Izberite ustrezno Serial & Network > Trusted Networks, da določite omrežne naslove, ki jih
lahko dostopa do imenovanih serijskih vrat vozlišča. 4. Izberite ustrezna Opozorila in beleženje > Opozorila, da konfigurirate povezavo vrat vozlišča, stanje
Opozorila o ujemanju vzorca Changeor. Spremembe konfiguracije, narejene na primarnem, se razširijo na vsa vozlišča, ko kliknete Uporabi.
3.6.4 Upravljanje vozlišč Primarni nadzoruje serijska vrata vozlišča. Na primerample, če spremenite pravice dostopa uporabnika ali uredite katero koli nastavitev serijskih vrat na primarnem, posodobljena konfiguracija fileso poslani vsakemu vozlišču vzporedno. Vsako vozlišče spremeni svoje lokalne konfiguracije (in naredi samo spremembe, ki se nanašajo na njegova posebna serijska vrata). Lokalno konzolo za upravljanje vozlišča lahko uporabite za spreminjanje nastavitev na katerem koli serijskem pristanišču vozlišča (na primer spreminjanje hitrosti prenosa). Te spremembe se prepišejo naslednjič, ko primarni pošlje konfiguracijo file nadgradnja. Medtem ko primarni nadzoruje vse funkcije, povezane s serijskimi vrati vozlišča, ni primarni nad povezavami gostitelja omrežja vozlišča ali nad sistemom strežnika konzole vozlišča. Funkcije vozlišča, kot so nastavitve IP, SMTP in SNMP, datum in čas, strežnik DHCP, je treba upravljati z neposrednim dostopom do vsakega vozlišča in te funkcije niso prepisane, ko se spremembe konfiguracije prenašajo iz primarnega. Nastavitve omrežnega gostitelja in IPMI vozlišča morajo biti konfigurirane na vsakem vozlišču.
47

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
Primarna konzola za upravljanje zagotavlja konsolidirano view nastavitev za lastna serijska vrata in serijska vrata celotnega vozlišča. Primarni ne zagotavlja popolnoma konsolidiranega view. Na primerample, če želite izvedeti, kdo je prijavljen v kaskadna serijska vrata iz primarnega, boste videli, da Status > Aktivni uporabniki prikazuje samo tiste uporabnike, ki so aktivni na vratih primarnega, zato boste morda morali napisati skripte po meri, da zagotovite to view.
3.7 Preusmeritev serijskih vrat (PortShare)
Programska oprema Port Share podjetja Opengear zagotavlja tehnologijo navideznih serijskih vrat, ki jo vaše aplikacije Windows in Linux potrebujejo za odpiranje oddaljenih serijskih vrat in branje podatkov iz serijskih naprav, ki so povezane z vašim konzolnim strežnikom.
PortShare je brezplačno priložen vsakemu konzolnemu strežniku in imate licenco za namestitev PortShare na enega ali več računalnikov za dostop do katere koli serijske naprave, povezane z vrati konzolnega strežnika. PortShare za Windows Portshare_setup.exe lahko prenesete s strani ftp. Za podrobnosti o namestitvi in delovanju glejte uporabniški priročnik za PortShare in Quick Start. PortShare za Linux Gonilnik PortShare za Linux preslika serijska vrata strežnika konzole v poskusna vrata gostitelja. Opengear je izdal portshare-serial-client kot odprtokodni pripomoček za Linux, AIX, HPUX, SCO, Solaris in UnixWare. Ta pripomoček lahko prenesete s strani ftp. Ta preusmerjevalnik serijskih vrat PortShare vam omogoča uporabo serijske naprave, povezane z oddaljenim strežnikom konzole, kot da bi bila povezana z vašimi lokalnimi serijskimi vrati. Odjemalec portshare-serial-client ustvari psevdo tty vrata, poveže serijsko aplikacijo s psevdo tty vrati, prejme podatke iz psevdo tty vrat, jih prenese na konzolni strežnik prek omrežja in prejme podatke iz konzolnega strežnika prek omrežja in jih posreduje na vrata psevdo-tty. .tar file lahko prenesete s strani ftp. Za podrobnosti o namestitvi in delovanju glejte uporabniški priročnik za PortShare in Quick Start.
48

Uporabniški priročnik
3.8 Upravljane naprave
Stran Upravljane naprave predstavlja konsolidirano view vseh povezav z napravo, do katere je mogoče dostopati in jih spremljati prek konzolnega strežnika. Za view povezave z napravami, izberite Serial & Network > Managed Devices
Na tem zaslonu so prikazane vse upravljane naprave z njihovimi opisi/opombami in seznami vseh konfiguriranih povezav:
· Serijska vrata # (če je serijsko povezana) ali · USB (če je priključena USB) · Naslov IP (če je povezana z omrežjem) · Podrobnosti o PDU/vtičnici (če je na voljo) in morebitnih povezavah UPS Naprave, kot so strežniki, imajo lahko več kot eno napajalno povezavo (npr. dvojno napajanje) in več kot eno omrežno povezavo (npr. za BMC/storitveni procesor). Vsi uporabniki lahko view te upravljane povezave naprav tako, da izberete Upravljanje > Naprave. Skrbniki lahko tudi urejajo in dodajajo/brišejo te upravljane naprave in njihove povezave. Če želite urediti obstoječo napravo in dodati novo povezavo: 1. Izberite Uredi v Serial & Network > Managed Devices in kliknite Add Connection 2. Izberite vrsto povezave za novo povezavo (Serial, Network Host, UPS ali RPC) in izberite
povezavo s predstavljenega seznama konfiguriranih nedodeljenih gostiteljev/vrat/izhodov
49

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
Če želite dodati novo upravljano napravo, povezano z omrežjem: 1. Skrbnik doda novo upravljano napravo, povezano z omrežjem, z možnostjo Dodaj gostitelja v meniju Serijski in omrežni > Omrežni gostitelj. To samodejno ustvari ustrezno novo upravljano napravo. 2. Ko dodate novo omrežno povezano napajalno napravo RPC ali UPS, nastavite omrežnega gostitelja in ga označite kot RPC ali UPS. Pojdite na Povezave RPC ali Povezave UPS, da konfigurirate ustrezno povezavo. Ustrezna nova upravljana naprava z istim imenom/opisom kot gostitelj RPC/UPS ni ustvarjena, dokler ta korak povezave ni dokončan.
OPOMBA Imeni vtičnic na novo ustvarjenem PDU sta Outlet 1 in Outlet 2. Ko povežete določeno upravljano napravo, ki črpa energijo iz vtičnice, vtičnica prevzame ime upravljane naprave z napajanjem.
Če želite dodati novo serijsko povezano upravljano napravo: 1. Konfigurirajte serijska vrata z uporabo menija Serial & Network > Serial Port (glejte razdelek 3.1 Konfiguracija serijskih vrat) 2. Izberite Serial & Network > Managed Devices in kliknite Add Device 3. Vnesite napravo Ime in opis za upravljano napravo

4. Kliknite Dodaj povezavo ter izberite Serial in Vrata, ki se povezujejo z upravljano napravo

5. Če želite dodati napajalno povezavo UPS/RPC ali omrežno povezavo ali drugo serijsko povezavo, kliknite Dodaj povezavo

6. Kliknite Uporabi

OPOMBA

Za nastavitev serijsko povezane naprave RPC UPS ali EMD konfigurirajte serijska vrata, jih označite kot napravo ter vnesite ime in opis za to napravo v Serijske in omrežne > Povezave RPC (ali Povezave UPS ali Okolje). S tem se ustvari ustrezna nova upravljana naprava z istim imenom/opisom kot gostitelj RPC/UPS. Imeni vtičnic na tem novo ustvarjenem PDU sta Outlet 1 in Outlet 2. Ko povežete upravljano napravo, ki črpa energijo iz vtičnice, vtičnica prevzame ime upravljane naprave z napajanjem.

3.9 IPsec VPN
ACM7000, CM7100 in IM7200 vključujejo Openswan, Linux implementacijo protokolov IPsec (IP Security), ki se lahko uporablja za konfiguracijo navideznega zasebnega omrežja (VPN). VPN omogoča več mestom ali oddaljenim skrbnikom varen dostop do strežnika konzole in upravljanih naprav prek interneta.

Uporabniški priročnik
Skrbnik lahko vzpostavi šifrirane preverjene povezave VPN med konzolnimi strežniki, razporejenimi na oddaljenih mestih, in prehodom VPN (kot je usmerjevalnik Cisco, ki izvaja IOS IPsec) v svojem omrežju centralne pisarne:
· Uporabniki v centralni pisarni lahko varno dostopajo do strežnikov oddaljene konzole in povezanih serijskih konzolnih naprav in strojev v podomrežju LAN za upravljanje na oddaljeni lokaciji, kot da bi bili lokalni
· Vse te strežnike oddaljene konzole je mogoče nadzirati s CMS6000 v osrednjem omrežju · S serijskim premostitvijo so lahko serijski podatki iz krmilnika na stroju osrednje pisarne varni
povezan s serijsko nadzorovanimi napravami na oddaljenih mestih Skrbnik cestnega bojevnika lahko uporabi odjemalca programske opreme VPN IPsec za oddaljen dostop do konzolnega strežnika in vsakega stroja v podomrežju LAN za upravljanje na oddaljeni lokaciji
Konfiguracija IPsec je precej zapletena, zato Opengear ponuja GUI vmesnik za osnovno nastavitev, kot je opisano spodaj. Če želite omogočiti prehod VPN:
1. V meniju Serial & Networks izberite IPsec VPN
2. Kliknite Dodaj in izpolnite zaslon Dodaj predor IPsec. 3. Vnesite poljubno opisno ime, ki ga želite identificirati predor IPsec, ki ga dodajate, npr.
WestStOutlet-VPN
51

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
4. Izberite metodo preverjanja pristnosti, ki jo želite uporabiti, digitalne podpise RSA ali skrivnost v skupni rabi (PSK) o Če izberete RSA, morate klikniti tukaj za ustvarjanje ključev. To ustvari javni ključ RSA za strežnik konzole (levi javni ključ). Poiščite ključ, ki ga želite uporabiti na oddaljenem prehodu, ga izrežite in prilepite v desni javni ključ
o Če izberete Shared secret, vnesite Pre-shared secret (PSK). PSK se mora ujemati s PSK, konfiguriranim na drugem koncu tunela
5. V Authentication Protocol izberite protokol za preverjanje pristnosti, ki ga želite uporabiti. Opravite pristnost kot del šifriranja ESP (Encapsulating Security Payload) ali ločeno z uporabo protokola AH (Authentication Header).
52

Uporabniški priročnik
6. Vnesite levi ID in desni ID. To je identifikator, ki ga lokalni gostitelj/prehod in oddaljeni gostitelj/prehod uporabljata za pogajanja in preverjanje pristnosti IPsec. Vsak ID mora vsebovati @ in lahko vključuje popolnoma kvalificirano ime domene (npr. levo@example.com)
7. Vnesite javni naslov IP ali DNS tega prehoda Opengear VPN kot levi naslov. To lahko pustite prazno, če želite uporabiti vmesnik privzete poti
8. V Right Address vnesite javni naslov IP ali DNS oddaljenega konca tunela (samo če ima oddaljeni konec statični naslov ali naslov DynDNS). Sicer pustite to polje prazno
9. Če prehod Opengear VPN služi kot prehod VPN do lokalnega podomrežja (npr. konzolni strežnik ima konfiguriran LAN za upravljanje), vnesite podrobnosti zasebnega podomrežja v Levo podomrežje. Uporabite zapis CIDR (kjer številki naslova IP sledita poševnica in število bitov `ena' v binarnem zapisu omrežne maske). Na primerample, 192.168.0.0/24 označuje naslov IP, kjer se prvih 24 bitov uporablja kot omrežni naslov. To je enako kot 255.255.255.0. Če je dostop VPN samo do konzolnega strežnika in njegovih priključenih serijskih konzolnih naprav, pustite levo podomrežje prazno
10. Če je na oddaljenem koncu prehod VPN, vnesite podrobnosti o zasebnem podomrežju v Right Subnet. Uporabite zapis CIDR in pustite prazno, če obstaja samo oddaljeni gostitelj
11. Izberite Iniciate Tunnel, če naj se povezava tunela sproži s konca strežnika levega konzole. To je mogoče sprožiti samo s prehoda VPN (levo), če je oddaljeni konec konfiguriran s statičnim (ali DynDNS) naslovom IP
12. Kliknite Uporabi, da shranite spremembe
OPOMBA Podrobnosti konfiguracije, nastavljene na strežniku konzole (imenovanem levi ali lokalni gostitelj), se morajo ujemati z nastavitvijo, vneseno pri konfiguraciji oddaljenega (desnega) gostitelja/prehoda ali odjemalca programske opreme. Glejte http://www.opengear.com/faq.html za podrobnosti o konfiguraciji teh oddaljenih koncev
3.10 OpenVPN
ACM7000, CM7100 in IM7200 z vdelano programsko opremo V3.2 in novejšimi vključujejo OpenVPN. OpenVPN uporablja knjižnico OpenSSL za šifriranje, avtentikacijo in certificiranje, kar pomeni, da uporablja SSL/TSL (Secure Socket Layer/Transport Layer Security) za izmenjavo ključev in lahko šifrira tako podatke kot nadzorne kanale. Uporaba OpenVPN omogoča gradnjo večplatformskih VPN-jev od točke do točke z uporabo X.509 PKI (Infrastruktura javnih ključev) ali konfiguracije po meri files. OpenVPN omogoča varno tuneliranje podatkov prek enih vrat TCP/UDP prek nezaščitenega omrežja, s čimer zagotavlja varen dostop do več spletnih mest in varno oddaljeno upravljanje do konzolnega strežnika prek interneta. OpenVPN omogoča tudi uporabo dinamičnih naslovov IP tako na strežniku kot na odjemalcu, kar zagotavlja mobilnost odjemalcev. Na primerample se lahko vzpostavi predor OpenVPN med gostujočim odjemalcem Windows in strežnikom konzole Opengear znotraj podatkovnega centra. Konfiguracija OpenVPN je lahko zapletena, zato Opengear ponuja GUI vmesnik za osnovno nastavitev, kot je opisano spodaj. Podrobnejše informacije so na voljo na http://www.openvpn.net
3.10.1 Omogočanje OpenVPN 1. V meniju Serial & Networks izberite OpenVPN
53

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
2. Kliknite Dodaj in izpolnite zaslon Dodaj predor OpenVPN 3. Vnesite poljubno opisno ime, s katerim želite identificirati predor OpenVPN, ki ga dodajate, npr.ample
NorthStOutlet-VPN
4. Izberite način preverjanja pristnosti, ki ga želite uporabiti. Za preverjanje pristnosti s potrdili izberite PKI (potrdila X.509) ali izberite Konfiguracija po meri, da naložite konfiguracijo po meri files. Konfiguracije po meri morajo biti shranjene v /etc/config.
OPOMBA Če izberete PKI, vzpostavite: Ločeno potrdilo (znano tudi kot javni ključ). To potrdilo File je *.crt file vnesite zasebni ključ za strežnik in vsakega odjemalca. Ta zasebni ključ File je *.ključ file vrsta
Potrdilo in ključ primarnega overitelja potrdil (CA), ki se uporablja za podpis vsakega strežnika
in potrdila strank. To korensko potrdilo CA je *.crt file type Za strežnik boste morda potrebovali tudi dh1024.pem (parametri Diffie Hellman). Glejte http://openvpn.net/easyrsa.html za vodnik za osnovno upravljanje ključev RSA. Za alternativne metode preverjanja pristnosti glejte http://openvpn.net/index.php/documentation/howto.html#auth.
5. Izberite gonilnik naprave, ki ga želite uporabiti, Tun-IP ali Tap-Ethernet. Gonilnika TUN (omrežni tunel) in TAP (omrežni tunel) sta gonilnika za virtualno omrežje, ki podpirata tuneliranje IP oziroma Ethernet tuneliranje. TUN in TAP sta del jedra Linuxa.
6. Za protokol izberite UDP ali TCP. UDP je privzeti in prednostni protokol za OpenVPN. 7. Označite ali počistite polje Stiskanje, da omogočite ali onemogočite stiskanje. 8. V tunelskem načinu določite, ali je to odjemalski ali strežniški konec tunela. Pri teku kot
strežnik, konzolni strežnik podpira več odjemalcev, ki se povezujejo s strežnikom VPN prek istih vrat.
54

Uporabniški priročnik
3.10.2 Konfigurirajte kot strežnik ali odjemalec
1. Izpolnite podrobnosti odjemalca ali podrobnosti strežnika, odvisno od izbranega načina tunela. o Če je bil izbran odjemalec, je naslov primarnega strežnika naslov strežnika OpenVPN. o Če je bil izbran strežnik, vnesite omrežni naslov skupine IP in omrežno masko skupine IP za skupino IP. Omrežje, ki ga določa IP Pool Omrežni naslov/maska se uporablja za zagotavljanje naslovov za povezovanje odjemalcev.
2. Kliknite Uporabi, da shranite spremembe
55

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
3. Za vnos potrdil o pristnosti in files, izberite Upravljanje OpenVPN Filezavihek s. Naložite ali pobrskajte po ustreznih potrdilih za preverjanje pristnosti in files.
4. Uporabi, da shranite spremembe. Shranjeno files so prikazani rdeče na desni strani gumba Naloži.
5. Če želite omogočiti OpenVPN, uredite tunel OpenVPN
56

Uporabniški priročnik
6. Preverite gumb Omogočeno. 7. Uporabi za shranjevanje sprememb. OPOMBA Prepričajte se, da je sistemski čas konzolnega strežnika pravilen, ko delate z OpenVPN, da se izognete
težave s preverjanjem pristnosti.
8. V meniju Status izberite Statistika, da preverite, ali tunel deluje.
57

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
3.10.3 Nastavitev odjemalca in strežnika Windows OpenVPN Ta razdelek opisuje namestitev in konfiguracijo odjemalca Windows OpenVPN ali strežnika Windows OpenVPN ter nastavitev povezave VPN s strežnikom konzole. Konzolni strežniki samodejno ustvarijo konfiguracijo odjemalca Windows iz grafičnega uporabniškega vmesnika za skrivnost v vnaprejšnji skupni rabi (statični ključ File) konfiguracije.
GUI OpenVPN za programsko opremo Windows (ki vključuje standardni paket OpenVPN in GUI Windows) lahko prenesete s spletnega mesta http://openvpn.net. Po namestitvi v računalnik Windows je ikona OpenVPN dodana v območje za obvestila na desni strani opravilne vrstice. Z desnim klikom na to ikono zaženete in zaustavite povezave VPN, uredite konfiguracije in view dnevniki.
Ko se programska oprema OpenVPN začne izvajati, program C:Program FileMapa sOpenVPNconfig je pregledana za .opvn files. Ta mapa je ponovno preverjena za novo konfiguracijo files vsakič, ko z desnim klikom kliknete ikono GUI OpenVPN. Ko je OpenVPN nameščen, ustvarite konfiguracijo file:
58

Uporabniški priročnik

Z urejevalnikom besedil ustvarite xxxx.ovpn file in shranite v C:Program FilesOpenVPNconfig. Na primerample, C: Program FilesOpenVPNconfigclient.ovpn
Bivšiampdatoteke konfiguracije odjemalca OpenVPN Windows file je prikazano spodaj:
# opis: IM4216_client proto udp verb 3 dev tun remote 192.168.250.152 vrata 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt ključ c:\openvpnkeys\client.key nobind persist-key persist- tun comp-lzo
Bivšiampdatoteke konfiguracije OpenVPN Windows Server file je prikazano spodaj:
strežnik 10.100.10.0 255.255.255.0 vrata 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\server.crt ključ c:\openvpnkeys\server. ključ dh c:\openvpnkeys\dh.pem comp-lzo verb 1 syslog IM4216_OpenVPN_Server
Konfiguracija odjemalca/strežnika Windows file možnosti so:

Možnosti #description: Odjemalski strežnik proto udp proto tcp mssfix glagolnik
dev tun dev tap

Opis To je komentar, ki opisuje konfiguracijo. Vrstice komentarjev se začnejo z "#" in jih OpenVPN ignorira. Določite, ali bo to konfiguracija odjemalca ali strežnika file. V konfiguraciji strežnika file, definirajte skupino naslovov IP in omrežno masko. Na primerample, strežnik 10.100.10.0 255.255.255.0 Nastavite protokol na UDP ali TCP. Odjemalec in strežnik morata uporabljati enake nastavitve. Mssfix nastavi največjo velikost paketa. To je uporabno samo za UDP, če pride do težav.
Nastavi dnevnik file raven besednosti. Stopnjo podrobnosti dnevnika lahko nastavite od 0 (najmanj) do 15 (največ). Na primerample, 0 = tiho, razen za usodne napake 3 = srednji izpis, dobro za splošno uporabo 5 = pomaga pri odpravljanju napak pri povezovalnih težavah 9 = podrobno, odlično za odpravljanje težav Izberite `dev tun', da ustvarite usmerjeni predor IP, ali `dev tap', da ustvarite ethernetni tunel. Odjemalec in strežnik morata uporabljati enake nastavitve.

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika

na daljavo Port Keepalive
http-proxy cafile ime>
certfile ime>
ključfile ime>
dhfile ime> Nobind persist-key persist-tun šifra BF-CBC Blowfish (privzeta) šifra AES-128-CBC AES šifra DES-EDE3-CBC Triple-DES comp-lzo syslog

Ime gostitelja/IP strežnika OpenVPN, ko deluje kot odjemalec. Vnesite ime gostitelja DNS ali statični naslov IP strežnika. Vrata UDP/TCP strežnika. Keepalive uporablja ping za vzdrževanje seje OpenVPN. 'Keepalive 10 120' pinga vsakih 10 sekund in domneva, da oddaljeni vrstnik ne deluje, če v 120-sekundnem obdobju ni bil prejet noben ping. Če je za dostop do strežnika potreben proxy, vnesite DNS ime ali IP proxy strežnika in številko vrat. Vnesite potrdilo CA file ime in lokacijo. Isti CA certifikat file lahko uporabljajo strežnik in vsi odjemalci. Opomba: Zagotovite, da je vsak `` v poti do imenika nadomeščen z `\`. Na primerample, c:openvpnkeysca.crt bo postal c:\openvpnkeys\ca.crt Vnesite potrdilo odjemalca ali strežnika file ime in lokacijo. Vsaka stranka naj ima svoj certifikat in ključ files. Opomba: Zagotovite, da je vsak `` v poti do imenika nadomeščen z `\`. Vnesite file ime in lokacijo ključa odjemalca ali strežnika. Vsaka stranka naj ima svoj certifikat in ključ files. Opomba: Zagotovite, da je vsak `` v poti do imenika nadomeščen z `\`. To uporablja samo strežnik. Vnesite pot do ključa z Diffie-Hellmanovimi parametri. `Nobind' se uporablja, ko se odjemalcem ni treba povezati z lokalnim naslovom ali specifično lokalno številko vrat. Tako je v večini konfiguracij odjemalcev. Ta možnost preprečuje ponovno nalaganje ključev med ponovnimi zagoni. Ta možnost preprečuje zapiranje in ponovno odpiranje naprav TUN/TAP ob ponovnem zagonu. Izberite kriptografsko šifro. Odjemalec in strežnik morata uporabljati enake nastavitve.
Omogočite stiskanje na povezavi OpenVPN. To mora biti omogočeno na odjemalcu in strežniku. Privzeto se dnevniki nahajajo v sistemskem dnevniku ali, če se izvajajo kot storitev v sistemu Windows, v programu Program FileImenik sOpenVPNlog.

Za zagon tunela OpenVPN po ustvarjanju konfiguracije odjemalec/strežnik files: 1. Desni klik na ikono OpenVPN v območju za obvestila 2. Izberite novo ustvarjeno konfiguracijo odjemalca ali strežnika. 3. Kliknite Poveži

4. Dnevnik file se prikaže, ko je povezava vzpostavljena
60

Uporabniški priročnik
5. Ko je vzpostavljena, ikona OpenVPN prikaže sporočilo, ki označuje uspešno povezavo in dodeljen IP. Te informacije in čas, ko je bila povezava vzpostavljena, so na voljo tako, da se pomaknete nad ikono OpenVPN.
3.11 PPTP VPN
Konzolni strežniki vključujejo strežnik PPTP (Point-to-Point Tunneling Protocol). PPTP se uporablja za komunikacijo prek fizične ali virtualne serijske povezave. Končne točke PPP same sebi določijo navidezni naslov IP. Poti do omrežij je mogoče definirati s temi naslovi IP kot prehodom, zaradi česar se promet pošilja čez tunel. PPTP vzpostavi tunel med fizičnimi končnimi točkami PPP in varno prenaša podatke po tunelu.
Prednost PPTP je njegova enostavna konfiguracija in integracija v obstoječo Microsoftovo infrastrukturo. Običajno se uporablja za povezovanje posameznih oddaljenih odjemalcev Windows. Če vzamete svoj prenosni računalnik na službeno potovanje, lahko pokličete lokalno številko, da se povežete s svojim ponudnikom storitev dostopa do interneta (ISP) in ustvarite drugo povezavo (tunel) v svoje službeno omrežje prek interneta in imate enak dostop do omrežje podjetja, kot da bi bili povezani neposredno iz svoje pisarne. Delavci na daljavo lahko vzpostavijo tudi tunel VPN preko svojega kabelskega modema ali povezave DSL do lokalnega ponudnika internetnih storitev.
61

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
Za nastavitev povezave PPTP od oddaljenega odjemalca Windows do vaše naprave Opengear in lokalnega omrežja:
1. Omogočite in konfigurirajte strežnik PPTP VPN na vaši napravi Opengear 2. Nastavite uporabniške račune VPN na napravi Opengear in omogočite ustrezne
avtentikacija 3. Konfigurirajte odjemalce VPN na oddaljenih mestih. Odjemalec ne potrebuje posebne programske opreme
strežnik PPTP podpira standardno odjemalsko programsko opremo PPTP, ki je vključena v sistem Windows NT in novejše 4. Povežite se z oddaljenim VPN 3.11.1 Omogočite strežnik PPTP VPN 1. Izberite PPTP VPN v meniju Serial & Networks
2. Izberite potrditveno polje Omogoči, da omogočite strežnik PPTP. 3. Izberite Minimalno zahtevano preverjanje pristnosti. Dostop je zavrnjen oddaljenim uporabnikom, ki to poskušajo
vzpostavite povezavo s shemo preverjanja pristnosti, ki je šibkejša od izbrane sheme. Sheme so opisane spodaj, od najmočnejše do najšibkejše. · Šifrirana avtentikacija (MS-CHAP v2): Najmočnejša vrsta avtentikacije za uporabo; to je
priporočena možnost · Šibko šifrirana avtentikacija (CHAP): To je najšibkejša vrsta šifriranega gesla
avtentikacijo za uporabo. Ni priporočljivo, da se odjemalci povezujejo s tem, saj zagotavlja zelo malo zaščite z geslom. Upoštevajte tudi, da odjemalci, ki se povezujejo s CHAP, ne morejo šifrirati prometa
62

Uporabniški priročnik
· Nešifrirana avtentikacija (PAP): To je avtentikacija z navadnim besedilom z geslom. Pri uporabi te vrste avtentikacije se geslo odjemalca prenaša nešifrirano.
· Brez 4. Izberite zahtevano raven šifriranja. Oddaljenim uporabnikom, ki se poskušajo povezati, je dostop zavrnjen
ki ne uporabljajo te stopnje šifriranja. 5. V Lokalni naslov vnesite naslov IP, ki ga želite dodeliti strežniškemu koncu povezave VPN 6. V Oddaljeni naslovi vnesite skupino naslovov IP, ki jih želite dodeliti VPN dohodnega odjemalca
povezave (npr. 192.168.1.10-20). To mora biti prosti naslov IP ali obseg naslovov iz omrežja, ki so dodeljeni oddaljenim uporabnikom, ko so povezani z napravo Opengear 7. Vnesite želeno vrednost največje enote prenosa (MTU) za vmesnike PPTP v polje MTU (privzeto 1400) 8. V polje DNS Server vnesite IP naslov DNS strežnika, ki dodeljuje IP naslove povezovalnim PPTP odjemalcem 9. V polje WINS Server vnesite IP naslov WINS strežnika, ki dodeljuje IP naslove povezovalnim PPTP odjemalcem. 10. Omogočite podrobno beleženje za pomoč pri odpravljanju napak pri povezovanju 11. Kliknite Uporabi nastavitve 3.11.2 Dodajte uporabnika PPTP 1. Izberite Uporabniki in skupine v meniju Serijska in omrežja in izpolnite polja, kot je opisano v razdelku 3.2. 2. Zagotovite, da je bila skupina pptpd označena, da omogočite dostop do strežnika PPTP VPN. Opomba – uporabniki v tej skupini imajo svoja gesla shranjena v čistem besedilu. 3. Zabeležite si uporabniško ime in geslo, ko se morate povezati s povezavo VPN 4. Kliknite Uporabi
63

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
3.11.3 Nastavitev oddaljenega odjemalca PPTP Zagotovite, da ima oddaljeni odjemalec VPN internetno povezavo. Če želite ustvariti povezavo VPN prek interneta, morate nastaviti dve omrežni povezavi. Ena povezava je za ponudnika internetnih storitev, druga pa za tunel VPN do naprave Opengear. OPOMBA: Ta postopek nastavi odjemalca PPTP v operacijskem sistemu Windows Professional. Koraki
se lahko nekoliko razlikujejo glede na vaš dostop do omrežja ali če uporabljate drugo različico sistema Windows. Podrobnejša navodila so na voljo pri Microsoftu web mesto. 1. Prijavite se v odjemalca Windows s skrbniškimi pravicami 2. V središču za omrežje in skupno rabo na nadzorni plošči izberite Omrežne povezave in ustvarite novo povezavo
64

Uporabniški priročnik
3. Izberite Uporabi mojo internetno povezavo (VPN) in vnesite naslov IP naprave Opengear. Če želite oddaljene odjemalce VPN povezati z lokalnim omrežjem, morate poznati uporabniško ime in geslo za račun PPTP, ki ste ga dodali, ter internetni IP naslov naprave Opengear. Če vam ponudnik internetnih storitev ni dodelil statičnega naslova IP, razmislite o uporabi dinamične storitve DNS. V nasprotnem primeru morate spremeniti konfiguracijo odjemalca PPTP vsakič, ko se spremeni vaš internetni naslov IP.
65

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika

3.12 Pokliči domov
Vsi strežniki konzole vključujejo funkcijo Call Home, ki sproži nastavitev varnega tunela SSH od strežnika konzole do centraliziranega svetilnika Opengear. Konzolni strežnik se registrira kot kandidat na Lighthouse. Ko je tam sprejet, postane strežnik upravljane konzole.
Lighthouse nadzira strežnik upravljane konzole in skrbniki lahko prek Lighthousea dostopajo do oddaljenega strežnika upravljane konzole. Ta dostop je na voljo tudi, če je strežnik oddaljene konzole za požarnim zidom tretje osebe ali ima zasebne naslove IP, ki jih ni mogoče usmerjati.

OPOMBA

Lighthouse vzdržuje povezave SSH s preverjanjem pristnosti javnega ključa do vsakega od svojih strežnikov upravljane konzole. Te povezave se uporabljajo za spremljanje, usmerjanje in dostop do strežnikov upravljane konzole in upravljanih naprav, povezanih s strežnikom upravljane konzole.

Za upravljanje strežnikov lokalne konzole ali strežnikov konzole, ki so dosegljivi iz Lighthousea, povezave SSH sproži Lighthouse.

Za upravljanje strežnikov oddaljene konzole ali strežnikov konzole, ki so zaščiteni s požarnim zidom, jih ni mogoče usmerjati ali kako drugače nedosegljivi iz Lighthousea, povezave SSH sproži upravljani strežnik konzole prek začetne povezave Call Home.

To zagotavlja varno komunikacijo s preverjeno pristnostjo in omogoča, da se enote upravljanih konzolnih strežnikov distribuirajo lokalno v LAN ali na daljavo po vsem svetu.

3.12.1 Nastavitev kandidata za Call Home Če želite strežnik konzole nastaviti kot kandidata za upravljanje Call Home v Lighthouseu:
1. V meniju Serial & Network izberite Call Home

2. Če še niste ustvarili ali naložili para ključev SSH za ta strežnik konzole, to storite, preden nadaljujete
3. Kliknite Dodaj

4. Vnesite IP naslov ali DNS ime (npr. dinamični DNS naslov) Lighthousea.
5. Vnesite geslo, ki ste ga konfigurirali v sistemu CMS kot geslo za klic domov.
66

Uporabniški priročnik
6. Kliknite Uporabi. Ti koraki sprožijo povezavo Call Home s konzolnega strežnika na Lighthouse. To ustvari vrata SSHlistening na Lighthouse in nastavi konzolni strežnik kot kandidata.
Ko je kandidat sprejet v Lighthouse, se tunel SSH do strežnika konzole preusmeri nazaj prek povezave Call Home. Konzolni strežnik je postal upravljani konzolni strežnik in Lighthouse se lahko prek tega tunela poveže z njim in ga nadzira. 3.12.2 Sprejemanje kandidata za Call Home kot strežnik upravljane konzole na Lighthouse Ta razdelek podaja pregledview o konfiguriranju Lighthousea za spremljanje konzolnih strežnikov Lighthouse, ki so povezani prek Call Home. Za več podrobnosti si oglejte uporabniški priročnik Lighthouse:
1. V Lighthouse vnesite novo geslo za klic domov. To geslo se uporablja za sprejemanje
Pokličite Homeconnections iz kandidatnih konzolnih strežnikov
2. S svetilnikom lahko vzpostavite stik s konzolnim strežnikom, ki mora imeti statični IP
naslov ali, če uporabljate DHCP, konfigurirajte za uporabo dinamične storitve DNS
Zaslon Konfiguriraj > Upravljani konzolni strežniki na Lighthouse prikazuje stanje
lokalni in oddaljeni strežniki upravljane konzole in kandidati.
V razdelku Upravljani strežniki konzole so prikazani strežniki konzole, ki jih nadzoruje
Lighthouse. Razdelek zaznanih konzolnih strežnikov vsebuje:
o Spustni meni Strežniki lokalne konzole, kjer so navedeni vsi strežniki konzole, ki so na
isto podomrežje kot Lighthouse in se ne spremljajo
67

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
o Spustni meni Strežniki oddaljene konzole, na katerem so navedeni vsi strežniki konzole, ki so vzpostavili povezavo Call Home in niso nadzorovani (tj. kandidati). Za posodobitev lahko kliknete Osveži
Če želite dodati kandidata za strežnik konzole na seznam strežnika upravljane konzole, ga izberite na spustnem seznamu strežnikov oddaljene konzole in kliknite Dodaj. Vnesite naslov IP in vrata SSH (če ta polja niso bila samodejno izpolnjena) ter vnesite opis in edinstveno ime za strežnik upravljane konzole, ki ga dodajate
Vnesite oddaljeno korensko geslo (tj. sistemsko geslo, ki je bilo nastavljeno na tem strežniku upravljane konzole). To geslo uporablja Lighthouse za širjenje samodejno ustvarjenih ključev SSH in ni shranjeno. Kliknite Uporabi. Lighthouse nastavi varne povezave SSH do in iz strežnika upravljane konzole ter pridobi njegove upravljane naprave, podrobnosti o uporabniškem računu in konfigurirana opozorila 3.12.3 Klicanje domov na generični osrednji strežnik SSH Če se povezujete na generični strežnik SSH (ne Lighthouse) konfigurirate lahko Napredne nastavitve: · Vnesite vrata strežnika SSH in uporabnika SSH. · Vnesite podrobnosti za posredovanje vrat SSH, ki jih želite ustvariti
Če izberete Listening Server, lahko ustvarite oddaljena vrata za posredovanje iz strežnika v to enoto ali lokalna vrata za posredovanje iz te enote v strežnik:
68

Uporabniški priročnik
· Določite vrata poslušanja za posredovanje, pustite to polje prazno, da dodelite neuporabljena vrata · Vnesite ciljni strežnik in ciljna vrata, ki bodo prejemnik posredovanih povezav
3.13 Prehod IP
IP Passthrough se uporablja za to, da modemska povezava (npr. notranji celični modem) izgleda kot običajna ethernetna povezava z usmerjevalnikom tretje osebe navzdol, kar omogoča usmerjevalniku navzdol, da uporablja povezavo modema kot primarni ali rezervni vmesnik WAN.
Naprava Opengear zagotavlja naslov IP modema in podrobnosti o DNS spodnji napravi prek DHCP ter posreduje omrežni promet do in iz modema in usmerjevalnika.
Medtem ko IP Passthrough spremeni Opengear v polovični most modem-ethernet, se lahko nekatere storitve sloja 4 (HTTP/HTTPS/SSH) prekinejo na Opengear (Service Intercepts). Prav tako lahko storitve, ki se izvajajo na Opengearju, sprožijo odhodne celične povezave neodvisno od spodnjega usmerjevalnika.
To omogoča, da se Opengear še naprej uporablja za zunajpasovno upravljanje in opozarjanje ter se upravlja tudi prek Lighthouse, medtem ko je v načinu IP Passthrough.
3.13.1 Nastavitev usmerjevalnika nižjega toka. Če želite uporabiti povezljivost ob samodejnem preklopu na usmerjevalniku nižjega toka (tudi Failover to Cellular ali F2C), mora imeti dva ali več vmesnikov WAN.
OPOMBA Samodejni preklop v kontekstu IP Passthrough izvaja spodnji usmerjevalnik, vgrajena izvenpasovna logika samodejnega preklopa na Opengearju pa ni na voljo v načinu IP Passthrough.
Povežite vmesnik Ethernet WAN na spodnjem usmerjevalniku z omrežnim vmesnikom Opengear ali vrati LAN za upravljanje z ethernetnim kablom.
Konfigurirajte ta vmesnik na spodnjem usmerjevalniku za prejemanje omrežnih nastavitev prek DHCP. Če je potreben samodejni preklop, konfigurirajte spodnji usmerjevalnik za samodejni preklop med njegovim primarnim vmesnikom in vrati Ethernet, povezanimi z Opengear.
3.13.2 Predkonfiguracija IP Passthrough Predpogojni koraki za omogočanje IP Passthrough so:
1. Konfigurirajte omrežni vmesnik in, kjer je primerno, vmesnike LAN za upravljanje s statičnimi omrežnimi nastavitvami. · Kliknite Serial & Network > IP. · Za omrežni vmesnik in, kjer je primerno, LAN za upravljanje izberite Statično za način konfiguracije in vnesite omrežne nastavitve (za podrobna navodila glejte razdelek z naslovom Konfiguracija omrežja). · Za vmesnik, povezan s spodnjim usmerjevalnikom, lahko izberete katero koli namensko zasebno omrežje. To omrežje obstaja samo med Opengearjem in spodnjim usmerjevalnikom in običajno ni dostopno. · Za drugi vmesnik ga konfigurirajte kot običajno v lokalnem omrežju. · Za oba vmesnika pustite Gateway prazno.
2. Konfigurirajte modem v načinu Always On Out-of-band.
69

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
· Za mobilno povezavo kliknite System > Dial: Internal Cellular Modem. · Izberite Omogoči izhodni klic in vnesite podatke o operaterju, kot je APN (glejte razdelek Cellular Modem
Povezava za podrobna navodila). 3.13.3 Konfiguracija IP Passthrough Za konfiguracijo IP Passthrough:
· Kliknite Serial & Network > IP Passthrough in označite Omogoči. · Izberite modem Opengear, ki ga želite uporabiti za povezavo navzgor. · Po želji vnesite naslov MAC povezanega vmesnika spodnjega usmerjevalnika. Če je naslov MAC
ni navedeno, bo Opengear prešel do prve spodnje naprave, ki zahteva naslov DHCP. · Izberite ethernetni vmesnik Opengear, ki ga želite uporabiti za povezljivost s spodnjim usmerjevalnikom.
· Kliknite Uporabi. 3.13.4 Storitveni prestrezniki Ti omogočajo, da Opengear še naprej zagotavlja storitve, nprample, za upravljanje zunaj pasu, ko je v načinu IP Passthrough. Povezave z naslovom modema na določenih prestreznih vratih upravlja Opengear, namesto da bi jih posredoval usmerjevalniku navzdol.
· Za zahtevano storitev HTTP, HTTPS ali SSH označite možnost Omogoči · Po želji spremenite prestrezna vrata na nadomestna vrata (npr. 8443 za HTTPS), to je uporabno, če
želite še naprej dovoliti, da usmerjevalnik nižjega toka ostane dostopen prek običajnih vrat. 3.13.5 Stanje prehoda IP Osvežite stran na view razdelek Status. Prikazuje zunanji naslov IP modema, ki je posredovan, notranji naslov MAC usmerjevalnika nižjega toka (naveden samo, ko usmerjevalnik nižjega toka sprejme zakup DHCP) in splošno stanje delovanja storitve IP Passthrough. Morda boste opozorjeni na status samodejnega preklopa spodnjega usmerjevalnika, tako da konfigurirate preverjanje porabe preusmerjenih podatkov v razdelku Opozorila in beleženje > Samodejni odziv. 3.13.6 Opozorila Nekateri nižji usmerjevalniki morda niso združljivi s prehodno potjo. To se lahko zgodi, ko IP Passthrough premosti mobilno omrežje 3G, kjer je naslov prehoda ciljni naslov od točke do točke in ni na voljo nobenih informacij o podomrežju. Opengear pošlje omrežno masko DHCP 255.255.255.255. Naprave si to običajno predstavljajo kot eno gostiteljsko pot na vmesniku, vendar imajo lahko nekatere starejše naprave na nižji stopnji težave.
70

Uporabniški priročnik
Prestrezanja za lokalne storitve ne bodo delovala, če Opengear uporablja privzeto pot, ki ni modem. Prav tako ne bodo delovale, razen če je storitev omogočena in dostop do storitve omogočen (glejte Sistem > Storitve, pod zavihkom Dostop do storitve poiščite Klicna povezava/Mobilna povezava).
Podprte so odhodne povezave, ki izvirajo iz Opengearja do oddaljenih storitev (npr. pošiljanje e-poštnih opozoril SMTP, pasti SNMP, pridobivanje časa NTP, tuneli IPSec). Obstaja majhno tveganje za okvaro povezave, če tako Opengear kot nadaljnja naprava poskušata istočasno dostopati do istih vrat UDP ali TCP na istem oddaljenem gostitelju, ko sta naključno izbrali isto izvorno številko lokalnih vrat.
3.14 Konfiguracija prek DHCP (ZTP)
Naprave Opengear je mogoče zagotoviti med njihovim začetnim zagonom s strežnika DHCPv4 ali DHCPv6 z uporabo config-over-DHCP. Omogočanje na nezaupnih omrežjih je mogoče olajšati z zagotavljanjem ključev na bliskovnem pogonu USB. Funkcionalnost ZTP je mogoče uporabiti tudi za izvedbo nadgradnje vdelane programske opreme ob začetni povezavi z omrežjem ali za vpis v instanco Lighthouse 5.
Priprava Tipični koraki za konfiguracijo prek zaupanja vrednega omrežja so:
1. Konfigurirajte napravo Opengear istega modela. 2. Shranite njegovo konfiguracijo kot varnostno kopijo Opengear (.opg) file. 3. Izberite Sistem > Varnostno kopiranje konfiguracije > Oddaljeno varnostno kopiranje. 4. Kliknite Shrani varnostno kopijo. Rezervna konfiguracija file — model-name_iso-format-date_config.opg — se prenese iz naprave Opengear v lokalni sistem. Konfiguracijo lahko shranite kot xml file: 1. Izberite Sistem > Varnostna kopija konfiguracije > Konfiguracija XML. Polje, ki ga je mogoče urejati in vsebuje
konfiguracijo file v formatu XML. 2. Kliknite polje, da ga aktivirate. 3. Če uporabljate kateri koli brskalnik v sistemu Windows ali Linux, kliknite z desno miškino tipko in izberite Izberi vse iz
kontekstualni meni ali pritisnite Control-A. Z desno miškino tipko kliknite in izberite Kopiraj v kontekstualnem meniju ali pritisnite Control-C. 4. Če uporabljate kateri koli brskalnik v sistemu macOS, izberite Uredi > Izberi vse ali pritisnite Command-A. Izberite Uredi > Kopiraj ali pritisnite Command-C. 5. V želenem urejevalniku besedil ustvarite nov prazen dokument, prilepite kopirane podatke v prazen dokument in shranite file. Karkoli že file-ime, ki ga izberete, mora vključevati .xml filepripona imena. 6. Kopirajte shranjeno datoteko .opg ali .xml file v javni imenik na a file strežnik, ki služi vsaj enemu od naslednjih protokolov: HTTPS, HTTP, FTP ali TFTP. (Samo HTTPS je mogoče uporabiti, če je povezava med file strežnik in naprava Opengear, ki jo je treba konfigurirati, potuje po nezaupljivem omrežju.). 7. Konfigurirajte svoj strežnik DHCP tako, da vključuje možnost `vendor specific' za naprave Opengear. (To bo izvedeno na način, specifičen za strežnik DHCP.) Možnost, specifična za prodajalca, mora biti nastavljena na niz, ki vsebuje URL objavljenega .opg ali .xml file v zgornjem koraku. Niz možnosti ne sme presegati 250 znakov in se mora končati z .opg ali .xml.
71

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
8. Povežite novo napravo Opengear, bodisi s ponastavitvijo na tovarniške nastavitve ali z izbrisano konfiguracijo, v omrežje in vključite napajanje. Traja lahko do 5 minut, da se naprava znova zažene.
Example konfiguracija strežnika ISC DHCP (dhcpd).
Sledi bivšiample Fragment konfiguracije strežnika DHCP za streženje konfiguracijske slike .opg prek strežnika DHCP ISC, dhcpd:
opcija presledek opengear koda širina 1 dolžina širina 1; možnost opengear.config-url koda 1 = besedilo; razred “opengear-config-over-dhcp-test” {
ujema se, če je možnost vendor-class-identifier ~~ “^Opengear/”; vendor-option-space opengear; možnost opengear.config-url “https://example.com/opg/${razred}.opg”; }
To nastavitev je mogoče spremeniti za nadgradnjo konfiguracijske slike z uporabo opengear.image-url možnost in zagotavljanje URI-ja za sliko vdelane programske opreme.
Nastavitev, ko LAN ni zaupanja vreden Če je povezava med file strežnik in naprava Opengear, ki jo je treba konfigurirati, vključuje nezaupljivo omrežje, lahko dvoročni pristop ublaži težavo.
OPOMBA Ta pristop uvaja dva fizična koraka, kjer je zaupanje težko, če ne nemogoče, popolnoma vzpostaviti. Prvič, skrbniška veriga od izdelave pogona USB za prenos podatkov do njegove uvedbe. Drugič, roke, ki povezujejo bliskovni pogon USB z napravo Opengear.
· Ustvarite potrdilo X.509 za napravo Opengear.
· Združite potrdilo in njegov zasebni ključ v enega samega file z imenom client.pem.
· Kopirajte client.pem na bliskovni pogon USB.
· Nastavite strežnik HTTPS tako, da omogoča dostop do .opg ali .xml file je omejeno na odjemalce, ki lahko zagotovijo zgoraj ustvarjeno potrdilo odjemalca X.509.
· Prenesite kopijo potrdila CA, ki je podpisalo potrdilo strežnika HTTP — ca-bundle.crt — na pogon USB, ki nosi client.pem.
· Vstavite bliskovni pogon USB v napravo Opengear, preden priključite napajanje ali omrežje.
· Nadaljujte postopek od `Kopiraj shranjeno datoteko .opg ali .xml file v javni imenik na a file strežnik' zgoraj z uporabo protokola HTTPS med odjemalcem in strežnikom.
Pripravite pogon USB in ustvarite potrdilo X.509 in zasebni ključ
· Ustvarite potrdilo CA, da bo mogoče podpisati zahteve za podpisovanje potrdil odjemalca in strežnika (CSR).
# cp /etc/ssl/openssl.cnf. # mkdir -p exampleCA/nova potrdila # echo 00 > prampleCA/serial # echo 00 > exampleCA/crlštevilka # dotik prampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ExampleCA # cp demoCA/cacert.pem ca-bundle.crt
Ta postopek ustvari potrdilo, imenovano ExampleCA, vendar je mogoče uporabiti katero koli dovoljeno ime potrdila. Poleg tega ta postopek uporablja openssl ca. Če ima vaša organizacija varen proces generiranja CA za celotno podjetje, ga uporabite namesto tega.
72

Uporabniški priročnik
· Ustvarite potrdilo strežnika.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
-ključfile ca.key -policy policy_anything -batch -notext
OPOMBA Ime gostitelja ali naslov IP mora biti isti niz, uporabljen pri streženju URL. V example zgoraj je ime gostitelja demo.example.com.
· Ustvarite potrdilo odjemalca.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -days 365 -in client.csr -out client.crt
-ključfile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatirajte bliskovni pogon USB kot en nosilec FAT32.
· Premaknite client.pem in ca-bundle.crt files v korenski imenik bliskovnega pogona.
Odpravljanje težav z ZTP Uporabite funkcijo dnevnika ZTP za odpravljanje težav z ZTP. Medtem ko naprava poskuša izvesti operacije ZTP, se informacije dnevnika zapišejo v /tmp/ztp.log v napravi.
Sledi bivšiample iz dnevnika file iz uspešne izvedbe ZTP.
# cat /tmp/ztp.log sreda, 13. december 22:22:17 UTC 2017 [obvestilo 5127] odhcp6c.eth0: obnovitev konfiguracije prek DHCP sreda, 13. december 22:22:17 UTC 2017 [obvestilo 5127] odhcp6c.eth0: čakanje 10 s za poravnavo omrežja sreda, 13. december 22:22:27 UTC 2017 [5127 obvestilo] odhcp6c.eth0: NTP preskočen: ni strežnika sreda, 13. december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.1 = ' http://[fd07:2218:1350:44::1]/tftpboot/config.sh' Sre, 13. december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.2 (n/a) sre 13. december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.3 (n/a) sreda, 13. december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.4 (n/a) ) sreda, 13. december 22:22:27 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.5 (n/a) sreda, 13. december 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: vendorspec.6 (n /a) Sre, 13. december 22:22:28 UTC 2017 [5127 info] odhcp6c.eth0: ni vdelane programske opreme za prenos (vendorspec.2) varnostna kopija-url: poskušam http://[fd07:2218:1350:44::1]/tftpboot/config.sh … backup-url: vsiljevanje konfiguracijskega načina wan v varnostno kopiranje DHCP-url: nastavitev imena gostitelja na acm7004-0013c601ce97 backup-url: nalaganje uspelo sreda, 13. december 22:22:36 UTC 2017 [obvestilo 5127] odhcp6c.eth0: uspešno nalaganje konfiguracije sreda, 13. december 22:22:36 UTC 2017 [5127 info] odhcp6c.eth0: ni konfiguracije svetilnika (vendorspec.3/ 4/5/6) sreda, 13. december 22:22:36 UTC 2017 [5127 obvestilo] odhcp6c.eth0: zagotavljanje končano, brez ponovnega zagona
Napake se beležijo v ta dnevnik.
3.15 Vpis v Svetilnik
Uporabite Vpis v Lighthouse za vpis naprav Opengear v instanco Lighthouse, s čimer zagotovite centraliziran dostop do vrat konzole in omogočite centralno konfiguracijo naprav Opengear.
Za navodila za vpis naprav Opengear v Lighthouse glejte uporabniški priročnik Lighthouse.
73

Poglavje 3: Serijska vrata, konfiguracija naprave in uporabnika
3.16 Omogoči DHCPv4 Relay
Storitev posredovanja DHCP posreduje pakete DHCP med odjemalci in oddaljenimi strežniki DHCP. Storitev posredovanja DHCP je mogoče omogočiti na konzolnem strežniku Opengear, tako da posluša odjemalce DHCP na določenih nižjih vmesnikih, zavije in posreduje njihova sporočila do strežnikov DHCP z uporabo običajnega usmerjanja ali oddajanja neposredno na določene zgornje vmesnike. Relejni agent DHCP tako prejme sporočila DHCP in ustvari novo sporočilo DHCP, ki ga pošlje na drug vmesnik. V spodnjih korakih se lahko strežniki konzole povežejo z ID-ji vezja, Ethernetom ali celičnimi modemi s storitvijo DHCPv4 Relay.
DHCPv4 Relay + DHCP Možnost 82 (circuit-id) Infrastruktura – lokalni strežnik DHCP, ACM7004-5 za rele, vse druge naprave za odjemalce. Vsako napravo z vlogo LAN je mogoče uporabiti kot rele. V tem bivšemample je 192.168.79.242 naslov za odjemalčev posredovani vmesnik (kot je definirano v konfiguraciji strežnika DHCP file zgoraj) in 192.168.79.244 je zgornji naslov vmesnika relejne omarice, enp112s0 pa nižji vmesnik strežnika DHCP.
1 Infrastruktura – DHCPv4 Relay + DHCP možnost 82 (circuit-id)
Koraki na strežniku DHCP 1. Nastavite lokalni strežnik DHCP v4, zlasti mora vsebovati vnos »gostitelj«, kot je spodaj za odjemalca DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; možnost identifikatorja gostitelja agent.circuit-id “relay1”; fiksni naslov 192.168.79.242; } Opomba: vrstica »hardware ethernet« je zakomentirana, tako da bo strežnik DHCP uporabil nastavitev »circuit-id« za dodelitev naslova ustreznemu odjemalcu. 2. Ponovno zaženite strežnik DHCP, da znova naložite njegovo spremenjeno konfiguracijo file. pkill -HUP dhcpd
74

Uporabniški priročnik
3. Ročno dodajte gostiteljsko pot odjemalčevemu »posredovanemu« vmesniku (vmesniku za DHCP-relejem, ne drugim vmesnikom, ki jih lahko ima tudi odjemalec:
sudo ip route add 192.168.79.242/32 via 192.168.79.244 dev enp112s0 To bo pomagalo preprečiti težavo z asimetričnim usmerjanjem, ko želita odjemalec in strežnik DHCP dostopati drug do drugega prek odjemalčevega posredovanega vmesnika, ko ima odjemalec druge vmesnike v istem podomrežje skupine naslovov DHCP.
Opomba: Ta korak je nujen, da lahko strežnik dhcp in odjemalec podpirata dostop drug do drugega.
Koraki na relejski škatli – ACM7004-5
1. Nastavite WAN/eth0 v statičnem ali dhcp načinu (ne v nekonfiguriranem načinu). Če je v statičnem načinu, mora imeti naslov IP v naboru naslovov strežnika DHCP.
2. Uporabite to konfiguracijo prek CLI (kjer je 192.168.79.1 naslov strežnika DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Spodnji vmesnik releja DHCP mora imeti statični naslov IP znotraj skupine naslovov strežnika DHCP. V tem bivšemample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Kratek čas počakajte, da odjemalec prek releja pridobi zakup DHCP.
Koraki na odjemalcu (CM7116-2-dac v tem primeruample ali kateri koli drug OG CS)
1. Priključite odjemalčev LAN/eth1 na relejev LAN/eth1 2. Konfigurirajte odjemalčev LAN za pridobivanje naslova IP prek DHCP kot običajno 3. Ko klie

Dokumenti / Viri

opengear ACM7000 Remote Site Gateway [pdfUporabniški priročnik
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Reference

Uporabniški priročnik

opengear ACM7000 Remote Site Gateway

Informacije o izdelku

Navodila za uporabo izdelka

pogosta vprašanja

Ta priročnik

Konfiguracija sistema

Serijska vrata, gostitelj, naprava in konfiguracija uporabnika

Dokumenti / Viri

Reference

Pustite komentar

Prekliči odgovor