Manuali i Përdoruesit Opengear ACM7000 Remote Site Gateway

Mos e lidhni ose shkëputni serverin e konsolës gjatë një stuhie elektrike. Përdorni gjithmonë një shtypës të mbitensionit ose UPS për të mbrojtur pajisjen nga kalimtarët.

Paralajmërim FCC:

Kjo pajisje përputhet me Pjesën 15 të rregullave të FCC. Funksionimi i kësaj pajisjeje i nënshtrohet kushteve të mëposhtme: (1) Kjo pajisje nuk mund të shkaktojë ndërhyrje të dëmshme dhe (2) kjo pajisje duhet të pranojë çdo ndërhyrje që mund të shkaktojë funksionim të padëshiruar.

Pyetjet e shpeshta

Pyetje: A mund ta përdor ACM7000 Remote Site Gateway gjatë një stuhie elektrike?
- A: Jo, këshillohet të mos lidhni ose shkëputni serverin e konsolës gjatë një stuhie elektrike për të parandaluar dëmtimin.

Pyetje: Me cilin version të rregullave të FCC pajisja përputhet?
- A: Pajisja përputhet me Pjesën 15 të rregullave të FCC.

View Fullscreen

Manuali i Përdoruesit
ACM7000 Remote Site Gateway ACM7000-L Resilience Gateway IM7200 Manager Infrastructure CM7100 Serverat e konsolës
Versioni 5.0 – 2023-12

Siguria
Ndiqni masat paraprake të sigurisë më poshtë kur instaloni dhe përdorni serverin e konsolës: · Mos i hiqni kapakët metalikë. Brenda nuk ka asnjë komponent që mund të shërbehet nga operatori. Hapja ose heqja e kapakut mund t'ju ekspozojë ndaj vëllimit të rrezikshëmtage cila mund të shkaktojë zjarr ose goditje elektrike. Referojuni të gjithë shërbimin personelit të kualifikuar të Opengear. · Për të shmangur goditjen elektrike, përçuesi mbrojtës i tokëzimit të kordonit të rrymës duhet të lidhet me tokën. · Tërhiqeni gjithmonë spinën, jo kabllon, kur shkëputni kordonin e rrymës nga priza.
Mos e lidhni ose shkëputni serverin e konsolës gjatë një stuhie elektrike. Përdorni gjithashtu një shtypës të mbitensionit ose UPS për të mbrojtur pajisjet nga kalimtarët.
Deklaratë paralajmëruese e FCC
Kjo pajisje përputhet me Pjesën 15 të rregullave të FCC. Funksionimi i kësaj pajisjeje i nënshtrohet sa më poshtë
kushtet: (1) Kjo pajisje nuk mund të shkaktojë ndërhyrje të dëmshme dhe (2) kjo pajisje duhet të pranojë çdo ndërhyrje që mund të shkaktojë funksionim të padëshiruar.
Sistemet e duhura rezervë dhe pajisjet e nevojshme të sigurisë duhet të përdoren për të mbrojtur kundër lëndimit, vdekjes ose dëmtimit të pronës për shkak të dështimit të sistemit. Një mbrojtje e tillë është përgjegjësi e përdoruesit. Kjo pajisje e serverit të konsolës nuk është miratuar për t'u përdorur si një sistem mbështetës për jetën ose si sistem mjekësor. Çdo ndryshim ose modifikim i bërë në këtë pajisje të serverit të konsolës pa miratimin ose pëlqimin e qartë të Opengear do ta anulojë Opengear çdo përgjegjësi ose përgjegjësi për dëmtim ose humbje të shkaktuar nga ndonjë mosfunksionim. Kjo pajisje është për përdorim të brendshëm dhe të gjitha telat e komunikimit janë të kufizuara në brendësi të ndërtesës.
2

Manuali i Përdoruesit
E drejta e autorit
©Opengear Inc. 2023. Të gjitha të drejtat e rezervuara. Informacioni në këtë dokument mund të ndryshojë pa paralajmërim dhe nuk përfaqëson një angazhim nga ana e Opengear. Opengear e ofron këtë dokument "siç është", pa asnjë lloj garancie, të shprehur ose të nënkuptuar, duke përfshirë, por pa u kufizuar në, garancitë e nënkuptuara të përshtatshmërisë ose tregtueshmërisë për një qëllim të caktuar. Opengear mund të bëjë përmirësime dhe/ose ndryshime në këtë manual ose në produktin(ët) dhe/ose programin(et) e përshkruar në këtë manual në çdo kohë. Ky produkt mund të përfshijë pasaktësi teknike ose gabime tipografike. Ndryshime bëhen periodikisht në informacionin këtu; këto ndryshime mund të përfshihen në botimet e reja të botimit.\

Kapitulli 1

Ky Manual

KY MANUAL

Ky manual përdorimi shpjegon instalimin, funksionimin dhe menaxhimin e serverëve të konsolës Opengear. Ky manual supozon se jeni njohur me internetin dhe rrjetet IP, HTTP, FTP, operacionet bazë të sigurisë dhe rrjetin e brendshëm të organizatës suaj.
1.1 Llojet e përdoruesve
Serveri i konsolës mbështet dy klasa përdoruesish:
· Administratorët që kanë privilegje të pakufizuara të konfigurimit dhe menaxhimit mbi konsolën
serveri dhe pajisjet e lidhura, si dhe të gjitha shërbimet dhe portat për të kontrolluar të gjitha pajisjet e lidhura serike dhe pajisjet e lidhura me rrjetin (host). Administratorët janë vendosur si anëtarë të grupit të përdoruesve të administratorëve. Një administrator mund të hyjë dhe të kontrollojë serverin e konsolës duke përdorur mjetin e konfigurimit, linjën e komandës Linux ose panelin e menaxhimit të bazuar në shfletues.
· Përdoruesit që janë caktuar nga një administrator me kufizime të autoritetit të tyre të aksesit dhe kontrollit.
Përdoruesit kanë një të kufizuar view të Konsolës së Menaxhimit dhe mund të hyjë vetëm në pajisjet e konfiguruara të autorizuara dhe riview regjistrat e porteve. Këta përdorues janë konfiguruar si anëtarë të një ose më shumë grupeve të përdoruesve të parakonfiguruar si PPTPD, dialin, FTP, pmshell, përdoruesit ose grupet e përdoruesve që mund të ketë krijuar administratori. Ata janë të autorizuar vetëm për të kryer kontrolle të specifikuara në pajisje specifike të lidhura. Përdoruesit, kur autorizohen, mund të aksesojnë dhe kontrollojnë pajisjet serike ose të lidhura me rrjetin duke përdorur shërbime të specifikuara (p.sh. Telnet, HHTPS, RDP, IPMI, Serial over LAN, Power Control). Përdoruesit në distancë janë përdorues që nuk janë në të njëjtin segment LAN si serveri i konsolës. Një përdorues i largët mund të jetë në rrugë duke u lidhur me pajisjet e menaxhuara nëpërmjet internetit publik, një administrator në një zyrë tjetër që lidhet me serverin e konsolës përmes VPN-së së ndërmarrjes, ose në të njëjtën dhomë ose të njëjtën zyrë, por i lidhur në një VLAN të veçantë me tastierën server.
1.2 Paneli i Menaxhimit
Opengear Management Console ju lejon të konfiguroni dhe monitoroni veçoritë e serverit tuaj të konsolës Opengear. Paneli i Menaxhimit funksionon në një shfletues dhe ofron një view të serverit të konsolës dhe të gjitha pajisjeve të lidhura. Administratorët mund të përdorin panelin e menaxhimit për të konfiguruar dhe menaxhuar serverin e konsolës, përdoruesit, portet, hostet, pajisjet e energjisë dhe regjistrat dhe sinjalizimet përkatëse. Përdoruesit jo-administratorë mund të përdorin panelin e menaxhimit me qasje të kufizuar në meny për të kontrolluar pajisjet e zgjedhuraview regjistrat e tyre dhe aksesojini ato duke përdorur pajisjen e integruar Web terminal.
Serveri i konsolës drejton një sistem operativ të integruar Linux dhe mund të konfigurohet në vijën e komandës. Mund të merrni akses në linjën e komandës përmes celularit/dial-in, duke u lidhur drejtpërdrejt me portën serike të konsolës/modemit të serverit të konsolës, ose duke përdorur SSH ose Telnet për t'u lidhur me serverin e konsolës përmes LAN (ose duke u lidhur me PPTP, IPsec ose OpenVPN) .
6

Manuali i Përdoruesit
Për komandat e ndërfaqes së linjës së komandës (CLI) dhe udhëzimet e avancuara, shkarkoni Opengear CLI dhe Scripting Reference.pdf nga https://ftp.opengear.com/download/documentation/manual/previous%20versions%20archived/
1.3 Më shumë informacion
Për më shumë informacion, konsultohuni me: · Produktet Opengear Web Faqja: Shiko https://opengear.com/products. Për të marrë informacionin më të përditësuar mbi atë që përfshihet me serverin tuaj të konsolës, vizitoni seksionin Çfarë përfshihet për produktin tuaj të veçantë. · Udhëzues për fillimin e shpejtë: Për të marrë Udhëzuesin e Fillimit të Shpejtë për pajisjen tuaj, shihni https://opengear.com/support/documentation/. · Opengear Knowledge Base: Vizitoni https://opengear.zendesk.com për të hyrë në artikujt teknikë të udhëzimeve, këshilla teknologjike, FAQ dhe njoftime të rëndësishme. · Referenca e Opengear CLI dhe Scripting: https://ftp.opengear.com/download/documentation/manual/current/IM_ACM_and_CM710 0/Opengear%20CLI%20and%20Scripting%20Reference.pdf
7

Kapitulli 2:

Konfigurimi i sistemit

KONFIGURIMI I SISTEMIT

Ky kapitull ofron udhëzime hap pas hapi për konfigurimin fillestar të serverit tuaj të konsolës dhe lidhjen e tij me menaxhimin ose LAN-in operativ. Hapat janë:
Aktivizoni panelin e menaxhimit. Ndryshoni fjalëkalimin e administratorit. Caktoni portën kryesore LAN të serverit të konsolës së adresës IP. Zgjidhni shërbimet që do të aktivizohen dhe aksesoni privilegjet. Ky kapitull diskuton gjithashtu mjetet e softuerit të komunikimit që një administrator mund të përdorë për të hyrë në serverin e konsolës dhe konfigurimin e portave shtesë LAN.
2.1 Lidhja e konsolës së menaxhimit
Serveri juaj i konsolës vjen i konfiguruar me një adresë IP të paracaktuar 192.168.0.1 dhe maskë nënrrjeti 255.255.255.0 për NET1 (WAN). Për konfigurimin fillestar, ju rekomandojmë të lidhni një kompjuter direkt me tastierën. Nëse zgjidhni të lidhni LAN-in tuaj përpara se të përfundoni hapat fillestarë të konfigurimit, sigurohuni që:
· Nuk ka pajisje të tjera në LAN me një adresë 192.168.0.1. · Serveri i konsolës dhe kompjuteri janë në të njëjtin segment LAN, pa ruter të ndërlidhur
aparate.
2.1.1 Konfigurimi i kompjuterit të lidhur Për të konfiguruar serverin e konsolës me një shfletues, kompjuteri i lidhur duhet të ketë një adresë IP në të njëjtin interval si serveri i konsolës (p.sh.ample, 192.168.0.100):
· Për të konfiguruar adresën IP të kompjuterit tuaj Linux ose Unix, ekzekutoni ifconfig. · Për PC me Windows:
1. Klikoni Start > Settings > Control Panel dhe klikoni dy herë Connections Network. 2. Klikoni me të djathtën në Local Area Connection dhe zgjidhni Properties. 3. Zgjidhni Internet Protocol (TCP/IP) dhe klikoni Properties. 4. Zgjidhni Përdor adresën IP të mëposhtme dhe futni detajet e mëposhtme:
o Adresa IP: 192.168.0.100 o Subnet mask: 255.255.255.0 5. Nëse dëshironi të ruani cilësimet ekzistuese IP për këtë lidhje rrjeti, klikoni Advanced dhe Shto sa më sipër si një lidhje IP dytësore.
2.1.2 Lidhja me shfletuesin
Hapni një shfletues në PC / stacionin e punës të lidhur dhe futni https://192.168.0.1.
Identifikohu me:
Emri i përdoruesit> fjalëkalimi rrënjë> i paracaktuar
8

Manuali i Përdoruesit
Herën e parë që hyni, ju kërkohet të ndryshoni fjalëkalimin rrënjë. Klikoni Submit.
Për të përfunduar ndryshimin, futni përsëri fjalëkalimin e ri. Klikoni Submit. Shfaqet ekrani i mirëseardhjes.
Nëse sistemi juaj ka një modem celular, do t'ju jepen hapat për të konfiguruar veçoritë e ruterit celular: · Konfiguro lidhjen e modemit celular (Sistemi > Faqja e telefonimit. Shih kapitullin 4) · Lejo përcjelljen në rrjetin e destinacionit celular (Sistemi > faqja e murit të zjarrit). Shih kapitullin 4) · Aktivizo maskimin e IP-së për lidhjen celulare (Sistemi > faqja e murit të zjarrit. Shih Kapitullin 4)
Pas përfundimit të secilit nga hapat e mësipërm, mund të ktheheni në listën e konfigurimit duke klikuar logon Opengear në këndin e sipërm majtas të ekranit. SHËNIM Nëse nuk jeni në gjendje të lidheni me panelin e menaxhimit në 192.168.0.1 ose nëse është e paracaktuar
Emri i përdoruesit/Fjalëkalimi nuk pranohen, rivendosni serverin tuaj të konsolës (Shihni Kapitullin 10).
9

Kapitulli 2: Konfigurimi i sistemit
2.2 Konfigurimi i administratorit
2.2.1 Ndryshoni fjalëkalimin e parazgjedhur të sistemit rrënjësor Ju duhet të ndryshoni fjalëkalimin rrënjë kur hyni për herë të parë në pajisje. Ju mund ta ndryshoni këtë fjalëkalim në çdo kohë.
1. Klikoni Serial & Network > Users & Grupet ose, në ekranin Mirë se vini, klikoni Change default admin password.
2. Lëvizni poshtë dhe gjeni hyrjen e përdoruesit rrënjë nën Përdoruesit dhe klikoni Edit. 3. Fusni fjalëkalimin e ri në fushat Password dhe Confirm.
SHËNIM Kontrollimi i "Ruaj fjalëkalimin" përgjatë fshirjeve të firmuerit ruan fjalëkalimin në mënyrë që të mos fshihet kur rivendoset firmware. Nëse ky fjalëkalim humbet, pajisja do të duhet të rikuperohet firmware.
4. Klikoni Apliko. Identifikohu me fjalëkalimin e ri 2.2.2 Vendosja e një administratori të ri Krijoni një përdorues të ri me privilegje administrative dhe identifikohuni si ky përdorues për funksionet e administrimit, në vend që të përdorni root.
10

Manuali i Përdoruesit
1. Klikoni Serial & Network > Users & Grupet. Lëvizni në fund të faqes dhe klikoni butonin Shto përdorues.
2. Futni një emër përdoruesi. 3. Në seksionin Grupet, kontrolloni kutinë e administratorit. 4. Futni një fjalëkalim në fushat Password dhe Confirm.
5. Mund të shtoni gjithashtu çelësa të autorizuar SSH dhe të zgjidhni të çaktivizoni vërtetimin e fjalëkalimit për këtë përdorues.
6. Opsionet shtesë për këtë përdorues mund të vendosen në këtë faqe, duke përfshirë opsionet e telefonimit, hostet e aksesueshëm, Portat e aksesueshme dhe daljet RPC të aksesueshme.
7. Klikoni butonin Apliko në fund të ekranit për të krijuar këtë përdorues të ri.
11

Kapitulli 2: Konfigurimi i sistemit
2.2.3 Shto Emrin e Sistemit, Përshkrimin e Sistemit dhe MOTD. 1. Zgjidhni Sistemi > Administrimi. 2. Futni emrin e sistemit dhe përshkrimin e sistemit për serverin e konsolës për t'i dhënë atij një ID unike dhe për ta bërë më të lehtë identifikimin. Emri i Sistemit mund të përmbajë nga 1 deri në 64 karaktere alfanumerike dhe karakteret speciale nënvizojnë (_), minus (-) dhe pikë (.). Përshkrimi i sistemit mund të përmbajë deri në 254 karaktere.
3. Banneri MOTD mund të përdoret për të shfaqur një mesazh të tekstit të ditës për përdoruesit. Shfaqet në pjesën e sipërme të majtë të ekranit poshtë logos së Opengear.
4. Klikoni Apliko.
12

Kapitulli 2: Konfigurimi i sistemit
5. Zgjidhni Sistemi > Administrimi. 6. Banneri MOTD mund të përdoret për të shfaqur një mesazh të tekstit të ditës për përdoruesit. Ajo shfaqet në
majtas sipër të ekranit poshtë logos Opengear. 7. Klikoni Apliko.
2.3 Konfigurimi i Rrjetit
Futni një adresë IP për portën kryesore Ethernet (LAN/Network/Network1) në serverin e konsolës ose mundësoni klientin e tij DHCP të marrë automatikisht një adresë IP nga një server DHCP. Si parazgjedhje, serveri i konsolës ka klientin e tij DHCP të aktivizuar dhe automatikisht pranon çdo adresë IP të rrjetit të caktuar nga një server DHCP në rrjetin tuaj. Në këtë gjendje fillestare, serveri i konsolës do t'i përgjigjet adresës së tij statike të paracaktuar 192.168.0.1 dhe adresës së tij DHCP.
1. Klikoni Sistemi > IP dhe klikoni në skedën Ndërfaqja e rrjetit. 2. Zgjidhni ose DHCP ose Static për metodën e konfigurimit.
Nëse zgjidhni Static, vendosni detajet e adresës IP, maskës së nënrrjetit, portës dhe serverit DNS. Kjo përzgjedhje çaktivizon klientin DHCP.
12

Manuali i Përdoruesit
3. Porta LAN e serverit të konsolës zbulon automatikisht shpejtësinë e lidhjes Ethernet. Përdorni listën rënëse Media për të kyçur Ethernetin në 10 Mb/s ose 100 Mb/s dhe në Full Duplex ose Half Duplex.
Nëse hasni humbje të paketës ose performancë të dobët të rrjetit me cilësimin Auto, ndryshoni cilësimet e Ethernet Media në serverin e konsolës dhe pajisjen me të cilën është lidhur. Në shumicën e rasteve, ndryshoni të dyja në 100baseTx-FD (100 megabit, full duplex).
4. Nëse zgjidhni DHCP, serveri i konsolës do të kërkojë detaje të konfigurimit nga një server DHCP. Kjo përzgjedhje çaktivizon çdo adresë statike. Adresa MAC e serverit të konsolës mund të gjendet në një etiketë në pllakën bazë.
5. Ju mund të vendosni një adresë dytësore ose një listë adresash të ndarë me presje në shënimin CIDR, p.sh. 192.168.1.1/24 si një Alias IP.
6. Klikoni Apliko 7. Rilidhni shfletuesin në kompjuterin që është i lidhur me serverin e konsolës duke hyrë
http://your new IP address.
Nëse ndryshoni adresën IP të serverit të konsolës, duhet të rikonfiguroni kompjuterin tuaj që të ketë një adresë IP në të njëjtin interval rrjeti si adresa e re e serverit të konsolës. Mund të vendosni MTU në ndërfaqet Ethernet. Ky është një opsion i avancuar që do të përdoret nëse skenari juaj i vendosjes nuk funksionon me MTU-në e paracaktuar prej 1500 bajt. Për të vendosur MTU, klikoni Sistemi > IP dhe klikoni në skedën Ndërfaqja e rrjetit. Lëvizni poshtë në fushën MTU dhe futni vlerën e dëshiruar. Vlerat e vlefshme janë nga 1280 në 1500 për ndërfaqet 100 megabit dhe 1280 deri në 9100 për ndërfaqet gigabit Nëse konfigurohet ura ose lidhja, grupi MTU në faqen Ndërfaqja e rrjetit do të vendoset në ndërfaqet që janë pjesë e urës ose lidhjes . SHËNIM Në disa raste, përdoruesi i specifikuar MTU mund të mos hyjë në fuqi. Disa drejtues NIC mund të rrumbullakosin MTU-të e mëdha në vlerën maksimale të lejuar dhe të tjerët do të kthejnë një kod gabimi. Ju gjithashtu mund të përdorni një komandë CLI për të menaxhuar MTU Size: konfigurimin
Kontrollo # config -s config.interfaces.wan.mtu=1380
# config -g config.interfaces.wan config.interfaces.wan.adresa 192.168.2.24 config.interfaces.wan.ddns.provider asnjë config.interfaces.wan.gateway 192.168.2.1 config.interfaces.wande.ipv6. .interfaces.wan.media Config.interfaces.wan.mode statike config.interfaces.wan.mtu 1380 config.interfaces.wan.netmask 255.255.255.0
13

Kapitulli 2: Konfigurimi i sistemit
2.3.1 Konfigurimi IPv6 Ndërfaqet Ethernet të serverit të konsolës suportojnë IPv4 si parazgjedhje. Ato mund të konfigurohen për funksionimin IPv6:
1. Klikoni Sistemi > IP. Klikoni në skedën Cilësimet e përgjithshme dhe kontrolloni Aktivizo IPv6. Nëse dëshironi, klikoni kutinë e kontrollit Çaktivizo IPv6 për celular.
2. Konfiguro parametrat IPv6 në secilën faqe të ndërfaqes. IPv6 mund të konfigurohet për modalitetin automatik, i cili do të përdorë SLAAC ose DHCPv6 për të konfiguruar adresat, rrugët dhe DNS, ose modalitetin statik, i cili lejon që informacioni i adresës të futet manualisht.
2.3.2 Konfigurimi Dynamic DNS (DDNS) Me Dynamic DNS (DDNS), një server konsolë, adresa IP e të cilit është caktuar në mënyrë dinamike mund të vendoset duke përdorur një host fiks ose emër domeni. Krijo një llogari me ofruesin e mbështetur të shërbimit DDNS sipas zgjedhjes suaj. Kur konfiguroni llogarinë tuaj DDNS, ju zgjidhni një emër përdoruesi, fjalëkalim dhe emër hosti që do të përdorni si emër DNS. Ofruesit e shërbimeve DDNS ju lejojnë të zgjidhni një emër hosti URL dhe vendosni një adresë IP fillestare që të korrespondojë me atë emër hosti URL.
14

Manuali i Përdoruesit
Për të aktivizuar dhe konfiguruar DDNS në ndonjë nga lidhjet Ethernet ose të rrjetit celular në serverin e konsolës. 1. Klikoni System > IP dhe lëvizni poshtë seksionit Dynamic DNS. Zgjidhni ofruesin tuaj të shërbimit DDNS
nga lista rënëse Dynamic DNS. Ju gjithashtu mund të vendosni informacionin DDNS nën skedën e Modemit celular nën Sistemi > Telefononi.
2. Në DDNS Hostname, futni emrin e hostit DNS plotësisht të kualifikuar për serverin tuaj të konsolës, p.sh. yourhostname.dyndns.org.
3. Futni emrin e përdoruesit dhe fjalëkalimin DDNS për llogarinë e ofruesit të shërbimit DDNS. 4. Specifikoni intervalin maksimal ndërmjet përditësimeve në ditë. Një përditësim DDNS do të dërgohet edhe nëse
adresa nuk ka ndryshuar. 5. Specifikoni intervalin minimal ndërmjet kontrolleve për adresat e ndryshuara në sekonda. Përditësimet do
të dërgohet nëse adresa ka ndryshuar. 6. Specifikoni përpjekjet maksimale për përditësim që është numri i herëve për të tentuar një përditësim
para se të heqësh dorë. Ky është 3 si parazgjedhje. 7. Klikoni Apliko.
15

Kapitulli 2: Konfigurimi i sistemit
2.3.3 Modaliteti EAPoL për WAN, LAN dhe OOBFO
(OOBFO zbatohet vetëm për IM7216-2-24E-DAC)
Mbiview i EAPoL IEEE 802.1X, ose PNAC (Port-based Network Access Control) përdor karakteristikat fizike të aksesit të infrastrukturave LAN IEEE 802 në mënyrë që të sigurojë një mjet për vërtetimin dhe autorizimin e pajisjeve të bashkangjitura në një port LAN që ka pikë-në- karakteristikat e lidhjes së pikës dhe parandalimi i aksesit në atë port në rastet kur vërtetimi dhe autorizimi dështon. Një port në këtë kontekst është një pikë e vetme e lidhjes me infrastrukturën LAN.
Kur një nyje e re me valë ose me tela (WN) kërkon qasje në një burim LAN, pika e hyrjes (AP) kërkon identitetin e WN. Asnjë trafik tjetër përveç EAP nuk lejohet përpara se WN të vërtetohet ("porti" është i mbyllur ose "i paautentikuar"). Nyja pa tel që kërkon vërtetimin shpesh quhet Supplicant, Kërkuesi është përgjegjës për t'iu përgjigjur të dhënave të Authenticator që do të krijojë kredencialet e tij. E njëjta gjë vlen edhe për pikën e hyrjes; Authenticator nuk është pika e hyrjes. Përkundrazi, pika e hyrjes përmban një Authenticator. Authenticator nuk ka nevojë të jetë në pikën e hyrjes; mund të jetë një komponent i jashtëm. Janë zbatuar metodat e mëposhtme të vërtetimit:
· Aplikuesi EAP-MD5 o Metoda EAP MD5-Sfida përdor emrin/fjalëkalimin e thjeshtë të përdoruesit
· EAP-PEAP-MD5 o EAP PEAP (EAP i mbrojtur) Metoda e vërtetimit MD5 përdor kredencialet e përdoruesit dhe certifikatën CA
· EAP-TLS o Metoda e vërtetimit EAP TLS (Transport Layer Security) kërkon certifikatë CA, certifikatë klienti dhe një çelës privat.
Protokolli EAP, i cili përdoret për autentifikimin, fillimisht u përdor për PPP dial-up. Identiteti ishte emri i përdoruesit dhe vërtetimi PAP ose CHAP u përdor për të kontrolluar fjalëkalimin e përdoruesit. Meqenëse identiteti dërgohet qartë (jo i koduar), një snifer keqdashës mund të mësojë identitetin e përdoruesit. Prandaj përdoret “Fshehja e identitetit”; identiteti i vërtetë nuk dërgohet përpara se tuneli i koduar TLS të jetë i hapur.
16

Manuali i Përdoruesit
Pasi të jetë dërguar identiteti, fillon procesi i vërtetimit. Protokolli i përdorur ndërmjet Aplikuesit dhe Vërtetuesit është EAP, (ose EAPoL). Authenticator rikapsulon mesazhet EAP në formatin RADIUS dhe ia kalon ato Serverit të Autentifikimit. Gjatë vërtetimit, Authenticator transmeton paketat ndërmjet Kërkuesit dhe Serverit të Autentifikimit. Kur procesi i vërtetimit përfundon, Serveri i Autentifikimit dërgon një mesazh suksesi (ose dështim, nëse vërtetimi dështoi). Autentifikuesi më pas hap "portin" për Kërkuesit. Cilësimet e vërtetimit mund të aksesohen nga faqja e Cilësimeve të EAPoL Supplicant. Statusi i EAPoL aktual shfaqet në detaje në faqen Statistikat e Statusit në skedën EAPoL:
Një abstraksion i EAPoL në ROLEt e rrjetit shfaqet në seksionin "Menaxheri i lidhjeve" në ndërfaqen e panelit të kontrollit.
17

Kapitulli 2: Konfigurimi i sistemit
Më poshtë është paraqitur një ishampautentifikimi i suksesshëm:
Mbështetje IEEE 802.1x (EAPOL) në portat e ndërrimit të IM7216-2-24E-DAC dhe ACM7004-5: Për të shmangur unazat, përdoruesit nuk duhet të lidhin më shumë se një portë ndërprerës në të njëjtin çelës të nivelit të sipërm.
18

Manuali i Përdoruesit
2.4 Qasja në shërbim dhe mbrojtja nga forca brutale
Administratori mund të aksesojë serverin e konsolës dhe portet serike të lidhura dhe pajisjet e menaxhuara duke përdorur një sërë protokollesh/shërbimesh aksesi. Për çdo akses
· Shërbimi duhet së pari të konfigurohet dhe aktivizohet për të ekzekutuar në serverin e konsolës. · Qasja përmes murit të zjarrit duhet të aktivizohet për çdo lidhje rrjeti. Për të aktivizuar dhe konfiguruar një shërbim: 1. Klikoni Sistemi > Shërbimet dhe klikoni në skedën Cilësimet e Shërbimit.

2. Aktivizo dhe konfiguro shërbimet bazë:

HTTP

Si parazgjedhje, shërbimi HTTP po funksionon dhe nuk mund të çaktivizohet plotësisht. Si parazgjedhje, qasja HTTP është e çaktivizuar në të gjitha ndërfaqet. Ne rekomandojmë që kjo qasje të mbetet e çaktivizuar nëse serveri i konsolës aksesohet nga distanca përmes internetit.
HTTP alternative ju lejon të konfiguroni një portë alternative HTTP për të dëgjuar. Shërbimi HTTP do të vazhdojë të dëgjojë në portën TCP 80 për CMS dhe komunikimet lidhëse, por do të jetë i paarritshëm përmes murit të zjarrit.

HTTPS

Si parazgjedhje, shërbimi HTTPS funksionon dhe aktivizohet në të gjitha ndërfaqet e rrjetit. Rekomandohet që të përdoret vetëm qasja HTTPS nëse serveri i konsolës do të menaxhohet përmes ndonjë rrjeti publik. Kjo siguron që administratorët të kenë akses të sigurt të shfletuesit në të gjitha menytë në serverin e konsolës. Ai gjithashtu u lejon përdoruesve të konfiguruar siç duhet aksesin e sigurt të shfletuesit në menutë e zgjedhura "Menaxho".
Shërbimi HTTPS mund të çaktivizohet ose riaktivizohet duke kontrolluar HTTPS Web Menaxhimi dhe një port alternativ i specifikuar (porta e parazgjedhur është 443).

Telnet

Si parazgjedhje, shërbimi Telnet funksionon, por është i çaktivizuar në të gjitha ndërfaqet e rrjetit.
Telnet mund të përdoret për t'i dhënë një administratori akses në guaskën e linjës së komandës së sistemit. Ky shërbim mund të jetë i dobishëm për aksesin e administratorit lokal dhe përdoruesit në konzolat serike të përzgjedhura. Ne rekomandojmë që ta çaktivizoni këtë shërbim nëse serveri i konsolës administrohet nga distanca.
Kutia e kontrollit Aktivizo guaskën e komandës Telnet do të aktivizojë ose çaktivizojë shërbimin Telnet. Një port alternativ Telnet për të dëgjuar mund të specifikohet në Portin Alternativ Telnet (porta e parazgjedhur është 23).

Kapitulli 2: Konfigurimi i sistemit

SSH

Ky shërbim ofron qasje të sigurt SSH në serverin e konsolës dhe pajisjet e bashkangjitura

dhe si parazgjedhje shërbimi SSH funksionon dhe aktivizohet në të gjitha ndërfaqet. Eshte

ju rekomandojmë të zgjidhni SSH si protokollin ku lidhet një administrator

serveri i konsolës në internet ose ndonjë rrjet tjetër publik. Kjo do të sigurojë

komunikime të vërtetuara ndërmjet programit të klientit SSH në telekomandë

kompjuteri dhe serveri SSH në serverin e konsolës. Për më shumë informacion mbi SSH

konfigurimi Shih Kapitullin 8 – Autentifikimi.

Kutia e kontrollit Aktivizo guaskën e komandës SSH do ta aktivizojë ose çaktivizojë këtë shërbim. Një port alternativ SSH për të dëgjuar mund të specifikohet në portën e guaskës së komandës SSH (porta e parazgjedhur është 22).

3. Aktivizo dhe konfiguro shërbime të tjera:

TFTP/FTP Nëse një kartë flash USB ose një blic i brendshëm zbulohet në një server konsole, kontrollimi i Aktivizo shërbimin TFTP (FTP) e aktivizon këtë shërbim dhe konfiguron serverin e parazgjedhur tftp dhe ftp në flashin USB. Këta serverë përdoren për të ruajtur konfigurimin files, të mbajë regjistrat e aksesit dhe transaksioneve etj. Files transferuar duke përdorur tftp dhe ftp do të ruhen nën /var/mnt/storage.usb/tftpboot/ (ose /var/mnt/storage.nvlog/tftpboot/ në pajisjet ACM7000series). Zgjedhja e shërbimit Aktivizo TFTP (FTP) do të çaktivizojë shërbimin TFTP (FTP).

Kontrollimi i stafetës DNS Aktivizo Server/Rele DNS mundëson funksionin e transmetimit DNS në mënyrë që klientët të mund të konfigurohen me IP-në e serverit të konsolës për cilësimin e serverit të tyre DNS dhe serveri i konsolës do t'i përcjellë pyetjet DNS te serveri i vërtetë DNS.

Web Aktivizo kontrollin e terminalit Web Terminali lejon web Qasja e shfletuesit në guaskën e linjës së komandës së sistemit përmes Menaxho > Terminal.

4. Specifikoni numrat alternativ të portave për TCP të papërpunuar, Telnet/SSH direkt dhe shërbimet e paautentikuara Telnet/SSH. Serveri i konsolës përdor intervale specifike për portet TCP/IP për akses të ndryshëm
shërbimet që përdoruesit mund të përdorin për të hyrë në pajisjet e bashkangjitura në portet serike (siç trajtohet në kapitullin 3 Konfiguro portat serike). Administratori mund të caktojë intervale alternative për këto shërbime dhe këto porte dytësore do të përdoren përveç standardeve.

Adresa e parazgjedhur e portit bazë TCP/IP për aksesin Telnet është 2000 dhe diapazoni për Telnet është Adresa IP: Port (2000 + porta serike #) dmth 2001 2048. Nëse një administrator do të vendoste 8000 si bazë dytësore për Telnet, seriali porti #2 në serverin e konsolës mund të aksesohet nga Telnet në IP
Adresa:2002 dhe në IP Adresa:8002. Baza e parazgjedhur për SSH është 3000; për Raw TCP është 4000; dhe për RFC2217 është 5000

5. Shërbimet e tjera mund të aktivizohen dhe konfigurohen nga kjo meny duke zgjedhur Kliko këtu për të konfiguruar:

Qasja e Nagios në demonët e monitorimit të Nagios NRPE

NUT

Qasja në demonin e monitorimit të NUT UPS

SNMP Aktivizon snmp në serverin e konsolës. SNMP është i çaktivizuar si parazgjedhje

NTP

6. Klikoni Apliko. Shfaqet një mesazh konfirmimi: Mesazhi Ndryshimet në konfigurim u kryen me sukses

Cilësimet e qasjes në shërbimet mund të vendosen për të lejuar ose bllokuar aksesin. Kjo specifikon se cilat shërbime të aktivizuara mund të përdorin administratorët në çdo ndërfaqe rrjeti për t'u lidhur me serverin e konsolës dhe nëpërmjet serverit të konsolës me pajisjet serike të bashkangjitura dhe të lidhura me rrjetin.

Manuali i Përdoruesit
1. Zgjidhni skedën Access Service në faqen System > Services.
2. Kjo tregon shërbimet e aktivizuara për ndërfaqet e rrjetit të serverit të konsolës. Në varësi të modelit të veçantë të serverit të konsolës, ndërfaqet e shfaqura mund të përfshijnë: · Ndërfaqja e rrjetit (për lidhjen kryesore Ethernet) · Dështimi i menaxhimit të LAN / OOB (lidhjet e dyta Ethernet) · Dialout / Celular (modemi V90 dhe 3G) · Dial-in (i brendshëm ose modem i jashtëm V90) · VPN (lidhje IPsec ose Open VPN mbi çdo ndërfaqe rrjeti)
3. Kontrolloni/zgjidhni për çdo rrjet se cili shërbim duhet të aktivizohet/çaktivizohet. Përgjigja ndaj ICMP i bën jehonë (dmth. ping) opsionet e aksesit të shërbimit që mund të konfigurohen në këtë stage. Kjo lejon që serveri i konsolës t'i përgjigjet kërkesave të hyrjes së ICMP echo. Ping është aktivizuar si parazgjedhje. Për siguri të shtuar, duhet ta çaktivizoni këtë shërbim kur të përfundoni konfigurimin fillestar. Mund të lejoni që pajisjet e porteve serike të aksesohen nga ndërfaqet e nominuara të rrjetit duke përdorur Raw TCP, Telnet/SSH direkt, shërbime Telnet/SSH të paautentikuara, etj.
4. Klikoni Apliko Web Cilësimet e menaxhimit Kutia e kontrollit Aktivizo HSTS mundëson siguri strikte të transportit HTTP. Modaliteti HSTS do të thotë që një titull StrictTransport-Security duhet të dërgohet përmes transportit HTTPS. Një në përputhje web shfletuesi e mban mend këtë kokë dhe kur kërkohet të kontaktojë të njëjtin host përmes HTTP (i thjeshtë) ai automatikisht do të kalojë në
19

Kapitulli 2: Konfigurimi i sistemit
HTTPS përpara se të provoni HTTP, për sa kohë që shfletuesi ka hyrë një herë në faqen e sigurt dhe ka parë titullin STS.
Mbrojtja e forcës brutale Mbrojtja me forcë brutale (Micro Fail2ban) bllokon përkohësisht IP-të e burimit që tregojnë shenja keqdashëse, si p.sh. shumë dështime të fjalëkalimit. Kjo mund të ndihmojë kur shërbimet e rrjetit të pajisjes ekspozohen ndaj një rrjeti të pabesueshëm, si p.sh. WAN-i publik dhe sulmet e skriptuara ose krimbat e softuerit po përpiqen të hamendësojnë kredencialet e përdoruesit (forca brutale) dhe të fitojnë akses të paautorizuar.

Mbrojtja e forcës brutale mund të aktivizohet për shërbimet e listuara. Si parazgjedhje, pasi të aktivizohet mbrojtja, 3 ose më shumë përpjekje për lidhje të dështuara brenda 60 sekondave nga një IP e burimit specifik, shkaktojnë që ajo të ndalohet nga lidhja për një periudhë kohore të konfigurueshme. Kufiri i përpjekjes dhe koha e ndalimit mund të personalizohen. Ndalimet aktive janë gjithashtu të listuara dhe mund të rifreskohen duke ringarkuar faqen.

SHËNIM

Kur punoni në një rrjet të pabesueshëm, merrni parasysh përdorimin e një sërë strategjish që përdoren për të bllokuar aksesin në distancë. Kjo përfshin vërtetimin e çelësit publik SSH, VPN dhe Rregullat e Firewall-it
në listën e lejeve aksesi në distancë vetëm nga rrjetet burimore të besueshme. Shikoni Opengear Knowledge Base për detaje.

2.5 Softueri i komunikimit
Ju keni konfiguruar protokollet e aksesit që klienti i administratorit t'i përdorë kur lidhet me serverin e konsolës. Klientët e përdoruesve përdorin gjithashtu këto protokolle kur aksesojnë pajisjet e bashkangjitura serial të serverit të konsolës dhe hostet e bashkangjitur në rrjet. Ju nevojiten mjetet e softuerit të komunikimit të vendosura në kompjuterin e klientit të administratorit dhe përdoruesit. Për t'u lidhur mund të përdorni mjete të tilla si PuTTY dhe SSHTerm.

Manuali i Përdoruesit
Lidhësit e disponueshëm në treg bashkojnë protokollin e besuar të tunelit SSH me mjetet e aksesit të njohur si Telnet, SSH, HTTP, HTTPS, VNC, RDP për të siguruar akses të sigurt të menaxhimit në distancë me pikë-dhe-klikim në të gjitha sistemet dhe pajisjet që menaxhohen. Informacioni mbi përdorimin e lidhësve për aksesin e shfletuesit në panelin e menaxhimit të serverit të konsolës, aksesin Telnet/SSH në linjën komanduese të serverit të konsolës dhe lidhjen TCP/UDP me hostet që janë të lidhur në rrjet me serverin e konsolës mund të gjenden në Kapitullin 5. Lidhësit mund të instaluar në PC Windows, Mac OS X dhe në shumicën e sistemeve Linux, UNIX dhe Solaris.
2.6 Menaxhimi i konfigurimit të rrjetit
Serverët e konsolës kanë porte shtesë të rrjetit që mund të konfigurohen për të ofruar akses në LAN të menaxhimit dhe/ose akses me dështim ose jashtë brezit. 2.6.1 Aktivizo menaxhimin e LAN Console serverët mund të konfigurohen në mënyrë që porta e dytë Ethernet të sigurojë një portë LAN të menaxhimit. Porta ka veçori të murit të zjarrit, ruterit dhe serverit DHCP. Duhet të lidhni një ndërprerës LAN të jashtëm me Rrjetin 2 për të bashkangjitur hostet në këtë LAN të menaxhimit:
SHËNIM Porta e dytë Ethernet mund të konfigurohet ose si një portë porta e menaxhimit LAN ose si një portë OOB/Failover. Sigurohuni që nuk e keni ndarë NET2 si ndërfaqen e dështimit kur keni konfiguruar lidhjen kryesore të rrjetit në menynë System > IP.
21

Kapitulli 2: Konfigurimi i sistemit
Për të konfiguruar portën e menaxhimit të LAN-it: 1. Zgjidhni skedën Ndërfaqja e menaxhimit të LAN-it në menynë System > IP dhe hiqni zgjedhjen Disable. 2. Konfiguro adresën IP dhe maskën e nënrrjetit për LAN-in e menaxhimit. Lërini bosh fushat DNS. 3. Klikoni Apliko.
Funksioni i portës së menaxhimit është i aktivizuar me rregulla të paracaktuara të murit të zjarrit dhe ruterit të konfiguruara në mënyrë që LAN-i i menaxhimit të jetë i aksesueshëm vetëm nga përcjellja e portit SSH. Kjo siguron që lidhjet në distancë dhe lokale me pajisjet e menaxhuara në LAN të menaxhimit janë të sigurta. Portat LAN gjithashtu mund të konfigurohen në modalitetin e urës ose të lidhur ose të konfigurohen manualisht nga linja e komandës. 2.6.2 Konfiguroni serverin DHCP Serveri DHCP mundëson shpërndarjen automatike të adresave IP në pajisjet në LAN të menaxhimit që përdorin klientë DHCP. Për të aktivizuar serverin DHCP:
1. Klikoni Sistemi > Serveri DHCP. 2. Në skedën Ndërfaqja e rrjetit, kontrolloni Aktivizo serverin DHCP.
22

Manuali i Përdoruesit
3. Futni adresën Gateway që do t'u lëshohet klientëve DHCP. Nëse kjo fushë lihet bosh, përdoret adresa IP e serverit të konsolës.
4. Futni adresën kryesore DNS dhe DNS dytësore për të nxjerrë klientët DHCP. Nëse kjo fushë lihet bosh, përdoret adresa IP e serverit të konsolës.
5. Fusni opsionalisht një prapashtesë Emri Domain për të lëshuar klientë DHCP. 6. Futni kohën e paracaktuar të qirasë dhe kohën maksimale të qirasë në sekonda. Kjo është sasia e kohës
që një adresë IP e caktuar në mënyrë dinamike është e vlefshme përpara se klienti ta kërkojë përsëri. 7. Klikoni Apliko Serveri DHCP lëshon adresa IP nga grupet e adresave të specifikuara: 1. Klikoni Shto në fushën Dynamic Address Alocation Pools. 2. Futni Adresën e Fillimit dhe Adresën e Fundit të DHCP Pool. 3. Klikoni Apliko.
23

Kapitulli 2: Konfigurimi i sistemit
Serveri DHCP gjithashtu mbështet caktimin paraprak të adresave IP që do të ndahen në adresa specifike MAC dhe rezervimin e adresave IP që do të përdoren nga hostet e lidhur me adresa IP fikse. Për të rezervuar një adresë IP për një host të caktuar:
1. Klikoni Shto në fushën Adresat e Rezervuara. 2. Futni emrin e hostit, adresën e harduerit (MAC) dhe adresën IP të rezervuar statikisht për
klienti DHCP dhe klikoni Apliko.
Kur DHCP ka ndarë adresat e hosteve, rekomandohet t'i kopjoni ato në listën e paracaktuar në mënyrë që e njëjta adresë IP të rialokohet në rast të një rindezjeje.
24

Manuali i Përdoruesit
2.6.3 Zgjidh Failover ose serverët e panelit OOB me brez të gjerë ofrojnë një opsion failover, kështu që në rast të një problemi duke përdorur lidhjen kryesore LAN për të hyrë në serverin e konsolës, përdoret një shteg alternativ aksesi. Për të aktivizuar dështimin:
1. Zgjidhni faqen "Ndërfaqja e rrjetit" në menynë "Sistemi" > "IP".tage në rrjetin kryesor.
3. Klikoni Apliko. Failover bëhet aktiv pasi të specifikoni faqet e jashtme që do të hetohen për të aktivizuar dështimin dhe të vendosni portat e dështimit.
2.6.4 Përmbledhja e portave të rrjetit Si parazgjedhje, portat e rrjetit LAN të menaxhimit të serverit të konsolës mund të aksesohen duke përdorur tunelimin SSH / përcjelljen e portit ose duke krijuar një tunel IPsec VPN në serverin e konsolës. Të gjitha portat e rrjetit me tela në serverët e konsolës mund të grumbullohen duke u lidhur ose bashkuar.
25

Manuali i Përdoruesit
· Si parazgjedhje, Agregimi i ndërfaqes është i çaktivizuar në menunë Sistemi > IP > Cilësimet e përgjithshme · Zgjidhni Ndërfaqet e urës ose Ndërfaqet e lidhjes
o Kur është aktivizuar ura, trafiku i rrjetit përcillet nëpër të gjitha portat Ethernet pa kufizime të murit të zjarrit. Të gjitha portat Ethernet janë të gjitha të lidhura në mënyrë transparente në shtresën e lidhjes së të dhënave (shtresa 2) kështu që ato ruajnë adresat e tyre unike MAC
o Me lidhjen, trafiku i rrjetit kryhet ndërmjet porteve, por i pranishëm me një adresë MAC
Të dy modalitetet heqin të gjitha funksionet Ndërfaqja LAN e menaxhimit dhe Ndërfaqja jashtë brezit/ndërfaqja e prishur dhe çaktivizojnë serverin DHCP.
25

Kapitulli 2: Konfigurimi i sistemit
2.6.5 Rrugët statike Rrugët statike ofrojnë një mënyrë shumë të shpejtë për të drejtuar të dhënat nga një nënrrjet në nënrrjet të ndryshëm. Mund të kodoni fort një shteg që i thotë serverit/ruterit të konsolës të shkojë në një nënrrjet të caktuar duke përdorur një shteg të caktuar. Kjo mund të jetë e dobishme për të hyrë në nënrrjeta të ndryshme në një vend të largët kur përdorni lidhjen celulare OOB.

Për t'i shtuar rrugës statike në tabelën e rrugëve të Sistemit:
1. Zgjidhni skedën Cilësimet e rrugës në menynë Sistemi > Cilësimet e përgjithshme IP.
2. Kliko New Route
3. Futni një emër itinerari për itinerarin.
4. Në fushën Rrjeti i destinacionit/Host, futni adresën IP të rrjetit të destinacionit/host ku rruga ofron akses.
5. Futni një vlerë në fushën e maskës së rrjetit Destinacion që identifikon rrjetin ose hostin e destinacionit. Çdo numër midis 0 dhe 32. Një maskë e nënrrjetit prej 32 identifikon një rrugë pritës.
6. Futni Route Gateway me adresën IP të një ruteri që do të drejtojë paketat në rrjetin e destinacionit. Kjo mund të lihet bosh.
7. Zgjidhni Ndërfaqen që do të përdorni për të arritur në destinacion, mund të lihet si Asnjë.
8. Fusni një vlerë në fushën Metric që përfaqëson metrikën e kësaj lidhjeje. Përdorni çdo numër të barabartë ose më të madh se 0. Kjo duhet të vendoset vetëm nëse dy ose më shumë rrugë bien ndesh ose kanë objektiva të mbivendosur.
9. Klikoni Apliko.

SHËNIM

Faqja e detajeve të rrugës ofron një listë të ndërfaqeve të rrjetit dhe modemëve në të cilat mund të lidhet një rrugë. Në rastin e një modemi, itinerari do t'i bashkëngjitet çdo sesioni telefonik të vendosur nëpërmjet asaj pajisjeje. Një rrugë mund të specifikohet me një portë, një ndërfaqe ose të dyja. Nëse ndërfaqja e specifikuar nuk është aktive, rrugët e konfiguruara për atë ndërfaqe nuk do të jenë aktive.

Manuali i Përdoruesit 3. PORTI SERIK, HOST, PAJISJE DHE KONFIGURIMI I PERDORIMIT
Serveri i konsolës mundëson aksesin dhe kontrollin e pajisjeve të lidhura në mënyrë serike dhe pajisjeve të lidhura me rrjetin (host). Administratori duhet të konfigurojë privilegjet e aksesit për secilën prej këtyre pajisjeve dhe të specifikojë shërbimet që mund të përdoren për të kontrolluar pajisjet. Administratori gjithashtu mund të konfigurojë përdorues të rinj dhe të specifikojë privilegjet individuale të aksesit dhe kontrollit të secilit përdorues.
Ky kapitull mbulon secilin nga hapat në konfigurimin e pajisjeve të lidhura në rrjet dhe të lidhura në mënyrë serike: · Portat serike konfigurojnë protokollet e përdorura nga pajisjet e lidhura në mënyrë serike. detaje në Kapitullin 8 · Pritësit e rrjetit që konfigurojnë aksesin në kompjuterët ose pajisjet e lidhura me rrjetin lokal (hostët) · Konfigurimi i Rrjeteve të Besuara – emëroni adresat IP që përdoruesit e besuar kanë akses nga · Kaskadimi dhe ridrejtimi i porteve të konsolës serike · Lidhja me energjinë (UPS, PDU dhe IPMI) dhe pajisjet e monitorimit mjedisor (EMD) · Ridrejtimi i portës serike duke përdorur dritaret PortShare dhe klientët Linux · Pajisjet e menaxhuara - paraqet një të konsoliduar view nga të gjitha lidhjet · IPSec që mundëson lidhjen VPN · OpenVPN · PPTP
3.1 Konfiguro portat serike
Hapi i parë në konfigurimin e një porti serik është vendosja e Cilësimeve të Përbashkëta siç janë protokollet dhe parametrat RS232 që do të përdoren për lidhjen e të dhënave me atë port (p.sh. shpejtësia e baudit). Zgjidh se në cilën modalitet do të funksionojë porti. Çdo port mund të caktohet të mbështesë një nga këto mënyra funksionimi:
· Modaliteti i çaktivizuar është i paracaktuar, porta serike është joaktive
27

Kapitulli 3:

Porta serike, hosti, konfigurimi i pajisjes dhe përdoruesit

· Modaliteti i serverit të konsolës mundëson qasjen e përgjithshme në portën serike të konsolës në pajisjet e bashkangjitura në mënyrë serike
· Modaliteti i pajisjes vendos portën serike për të komunikuar me një PDU, UPS ose pajisje monitoruese mjedisore (EMD) inteligjente të kontrolluara serike.
· Modaliteti i Serverit të Terminalit vendos portën serike që të presë një sesion hyrjeje të hyrjes në terminal · Modaliteti Serial Bridge mundëson ndërlidhjen transparente të dy pajisjeve të porteve serike mbi një
rrjeti.
1. Zgjidhni Serial & Network > Serial Port për të shfaqur detajet e portës serike 2. Si parazgjedhje, çdo portë serike vendoset në modalitetin e serverit të panelit. Kliko Edit pranë portit për të qenë
rikonfiguruar. Ose klikoni Edit Multiple Ports dhe zgjidhni cilat porte dëshironi të konfiguroni si grup. 3. Pasi të keni rikonfiguruar cilësimet e përbashkëta dhe modalitetin për secilën port, konfiguroni çdo sistem në distancë (shih seksionet e mëposhtme për informacion specifik). Klikoni Apliko 4. Nëse serveri i konsolës është konfiguruar me monitorimin e shpërndarë Nagios të aktivizuar, përdorni opsionet e Nagios Settings për të mundësuar që shërbimet e nominuara në Host të monitorohen. port. Këto janë të pavarura nga mënyra në të cilën porti po përdoret. Këto parametra të portës serike duhet të vendosen në mënyrë që të përputhen me parametrat e portës serike në pajisjen që lidhni në atë port:
28

Manuali i Përdoruesit

· Shkruani një etiketë për portin · Zgjidhni shkallën e duhur Baud, Paritetin, Bitet e të Dhënave, Bitet e Ndalimit dhe Kontrollin e Rrjedhës për çdo port

· Vendosni portin e portit. Ky artikull i menysë shfaqet për portat IM7200 ku pin-out për çdo port serik RJ45 mund të caktohet si X2 (Cisco Straight) ose X1 (Cisco Rolled)

· Vendosni modalitetin DTR. Kjo ju lejon të zgjidhni nëse DTR pohohet gjithmonë ose pohohet vetëm kur ka një sesion aktiv përdoruesi

· Përpara se të vazhdoni me konfigurimin e mëtejshëm të portës serike, duhet t'i lidhni portet me pajisjet serike që do të kontrollojnë dhe të siguroheni që ato të kenë cilësime që përputhen

3.1.2

Modaliteti i serverit të konsolës
Zgjidhni modalitetin e serverit të konsolës për të mundësuar aksesin e menaxhimit në distancë në tastierën serike që është bashkangjitur në këtë portë serike:

Niveli i Regjistrimit Ky specifikon nivelin e informacionit që do të regjistrohet dhe monitorohet.
29

Kapitulli 3: Porta serike, hosti, pajisja dhe konfigurimi i përdoruesit
Niveli 0: Çaktivizo regjistrimin (e parazgjedhur)
Niveli 1: Regjistro ngjarjet LOGIN, LOGOUT dhe SIGNAL
Niveli 2: Regjistrohu LOGIN, LOGOUT, SIGNAL, TXDATA dhe ngjarjet RXDATA
Niveli 3: Regjistro LOGIN, LOGOUT, SIGNAL dhe ngjarjet RXDATA
Niveli 4: Regjistro LOGIN, LOGOUT, SIGNAL dhe ngjarjet TXDATA
Input/RXDATA janë të dhëna të marra nga pajisja Opengear nga pajisja serike e lidhur, dhe output/TXDATA janë të dhëna të dërguara nga pajisja Opengear (p.sh. të shtypura nga përdoruesi) në pajisjen serike të lidhur.
Konzolat e pajisjes zakonisht i bëjnë jehonë karaktereve të pasme ndërsa shtypen, kështu që TXDATA e shtypur nga një përdorues merret më pas si RXDATA, e shfaqur në terminalin e tyre.
SHËNIM: Pasi të kërkohet një fjalëkalim, pajisja e lidhur dërgon * karaktere për të parandaluar shfaqjen e fjalëkalimit.

Telnet Kur shërbimi Telnet është i aktivizuar në serverin e konsolës, një klient Telnet në kompjuterin e një përdoruesi mund të lidhet me një pajisje serike të bashkangjitur në këtë portë serike në serverin e konsolës. Për shkak se komunikimet Telnet janë të pakriptuara, ky protokoll rekomandohet vetëm për lidhjet lokale ose me tunel VPN.
Nëse komunikimet në distancë po tunelohen me një lidhës, Telnet mund të përdoret për qasje të sigurt në këto pajisje të bashkangjitura.

SHËNIM

Në modalitetin e serverit të konsolës, përdoruesit mund të përdorin një lidhës për të vendosur lidhje të sigurta Telnet që janë SSH të tunelizuara nga kompjuterët e tyre të klientit në portën serike në serverin e konsolës. Konektorët mund të instalohen në PC-të Windows dhe në shumicën e platformave Linux dhe mundëson zgjedhjen e lidhjeve të sigurta Telnet me pikë-dhe-klikim.

Për të përdorur një lidhës për të hyrë në konzolat në portet serike të serverit të konsolës, konfiguroni lidhësin me serverin e konsolës si një portë dhe si një host dhe aktivizoni shërbimin Telnet në Port (2000 + porta serike #) dmth 2001.

Ju gjithashtu mund të përdorni paketa standarde të komunikimit si PuTTY për të vendosur një lidhje direkte Telnet ose SSH me portet serike.

SHËNIM Në modalitetin e serverit të konsolës, kur lidheni me një port serik, lidheni nëpërmjet pmshell. Për të gjeneruar një BREAK në portën serike, shkruani sekuencën e karaktereve ~b. Nëse po e bëni këtë me OpenSSH, shkruani ~~b.

SSH

Rekomandohet që të përdorni SSH si protokoll kur përdoruesit lidhen me serverin e konsolës

(ose lidheni përmes serverit të konsolës me konzolat serike të bashkangjitura) përmes Internetit ose ndonjë tjetër

rrjet tjetër publik.

Për qasje SSH në konsolat në pajisjet e bashkangjitura në portat serike të serverit të konsolës, mund të përdorni një lidhës. Konfiguro lidhësin me serverin e konsolës si portë dhe si host dhe aktivizo shërbimin SSH në Port (3000 + porta serike #) dmth 3001-3048.

Ju gjithashtu mund të përdorni paketa të zakonshme komunikimi, si PuTTY ose SSHTerm me SSH të lidheni me adresën e portit Adresa IP _ Porti (3000 + porta serike #) dmth 3001

Lidhjet SSH mund të konfigurohen duke përdorur portën standarde SSH 22. Porta serike që aksesohet identifikohet duke shtuar një përshkrues në emrin e përdoruesit. Kjo sintaksë mbështet:

Manuali i Përdoruesit
: : Që një përdorues i quajtur chris të ketë akses në portin serik 2, kur konfiguron klientin SSHTerm ose PuTTY SSH, në vend që të shkruani emrin e përdoruesit = chris dhe ssh port = 3002, alternativa është të shkruani emrin e përdoruesit = chris:port02 (ose emrin e përdoruesit = chris: ttyS1) dhe ssh port = 22. Ose duke shtypur username=chris:serial dhe ssh port = 22, përdoruesit i paraqitet një opsion për zgjedhjen e portit:

Kjo sintaksë u mundëson përdoruesve të konfigurojnë tunele SSH në të gjitha portet serike me një port të vetëm IP 22 që duhet të hapet në murin e tyre të zjarrit/portën e tyre.
SHËNIM Në modalitetin e serverit të konsolës, ju lidheni me një port serik nëpërmjet pmshell. Për të gjeneruar një BREAK në portën serike, shkruani sekuencën e karaktereve ~b. Nëse po e bëni këtë përmes OpenSSH, shkruani ~~b.

TCP

RAW TCP lejon lidhjet me një prizë TCP. Ndërsa programet e komunikimit si PuTTY

gjithashtu mbështet RAW TCP, ky protokoll zakonisht përdoret nga një aplikacion i personalizuar

Për RAW TCP, adresa e parazgjedhur e portit është IP Address _ Port (4000 + porta serike #) dmth 4001 4048

RAW TCP gjithashtu mundëson që porta serike të tunelohet në një server konsol në distancë, kështu që dy pajisje të porteve serike mund të ndërlidhen në mënyrë transparente përmes një rrjeti (shih Kapitullin 3.1.6 Ura Serial)

RFC2217 Zgjedhja e RFC2217 mundëson ridrejtimin e portës serike në atë portë. Për RFC2217, adresa e parazgjedhur e portit është IP Address _ Port (5000 + porta serike #) dmth 5001 5048
Softueri i posaçëm i klientit është i disponueshëm për Windows UNIX dhe Linux që mbështet portat virtuale të komunikimit RFC2217, kështu që një host në distancë mund të monitorojë dhe menaxhojë pajisjet e bashkangjitura në distancë në distancë sikur të jenë të lidhura me portën serike lokale (shih Kapitullin 3.6 Ridrejtimi i portës serike për detaje)
RFC2217 gjithashtu mundëson që porta serike të jetë tuneluar në një server të konsolës së largët, kështu që dy pajisje portash serike mund të ndërlidhen në mënyrë transparente përmes një rrjeti (shih Kapitullin 3.1.6 Ura Serial)

Telnet i paautentikuar Kjo mundëson qasjen Telnet në portën serike pa kredencialet e vërtetimit. Kur një përdorues akseson serverin e konsolës në Telnet në një port serik, atij i jepet një kërkesë për hyrje. Me Telnet të paautentikuar, ata lidhen drejtpërdrejt me portin pa ndonjë sfidë të hyrjes në serverin e konsolës. Nëse një klient Telnet kërkon vërtetim, çdo e dhënë e futur lejon lidhjen.

Kapitulli 3: Porta serike, hosti, pajisja dhe konfigurimi i përdoruesit
Ky modalitet përdoret me një sistem të jashtëm (siç është ruajtësi) që menaxhon vërtetimin e përdoruesit dhe privilegjet e aksesit në nivelin e pajisjes serike.
Hyrja në një pajisje të lidhur me serverin e konsolës mund të kërkojë vërtetim.
Për Telnet të paautentikuar, adresa e parazgjedhur e portit është IP Address _ Port (6000 + porta serike #) dmth 6001 6048

SSH i paautentikuar Kjo mundëson hyrjen e SSH në portën serike pa kredencialet e vërtetimit. Kur një përdorues akseson serverin e konsolës në Telnet në një port serik, atij i jepet një kërkesë për hyrje. Me SSH të paautentikuar ata lidhen drejtpërdrejt me portin pa ndonjë sfidë të hyrjes në serverin e konsolës.
Ky modalitet përdoret kur keni një sistem tjetër që menaxhon vërtetimin e përdoruesit dhe privilegjet e aksesit në nivelin e pajisjes serike, por dëshironi të kriptoni seancën në të gjithë rrjetin.
Hyrja në një pajisje të lidhur me serverin e konsolës mund të kërkojë vërtetim.
Për Telnet të paautentikuar, adresa e parazgjedhur e portit është IP Address _ Port (7000 + porta serike #) dmth 7001 7048
Të : metoda e hyrjes në port (siç përshkruhet në seksionin e mësipërm SSH) kërkon gjithmonë vërtetim.

Web Terminali Kjo mundëson web Qasja e shfletuesit në portën serike nëpërmjet Menaxho > Devices: Serial duke përdorur konsolën e menaxhimit të integruar në terminalin AJAX. Web Terminali lidhet si përdorues i konsolës së menaxhimit aktualisht i vërtetuar dhe nuk ri-autentikohet. Shih seksionin 12.3 për më shumë detaje.

Alias IP

Aktivizo qasjen në portën serike duke përdorur një adresë IP specifike, të specifikuar në formatin CIDR. Çdo port serik mund t'i caktohet një ose më shumë pseudonime IP, të konfiguruara në bazë të ndërfaqes për rrjet. Një port serik mund, për shembullample, të bëhet i aksesueshëm në të dy 192.168.0.148 (si pjesë e rrjetit të brendshëm) dhe 10.10.10.148 (si pjesë e LAN-it të menaxhimit). Është gjithashtu e mundur të vihet në dispozicion një port serik në dy adresa IP në të njëjtin rrjet (p.shample, 192.168.0.148 dhe 192.168.0.248).

Këto adresa IP mund të përdoren vetëm për të hyrë në portën serike specifike, e aksesueshme duke përdorur numrat standard të portit të protokollit TCP të shërbimeve të serverit të konsolës. Për shembullampLe, SSH në portin serik 3 do të ishte i aksesueshëm në portin 22 të një pseudonimi IP të portit serik (ndërsa në adresën kryesore të serverit të konsolës është i disponueshëm në portin 2003).

Kjo veçori mund të konfigurohet gjithashtu nëpërmjet faqes së modifikimit të portave të shumëfishta. Në këtë rast, adresat IP aplikohen në mënyrë sekuenciale, me portin e parë të përzgjedhur që merr IP-në e futur dhe ato pasuese rriten, me numra që anashkalohen për çdo port të pazgjedhur. Për shembullample, nëse zgjidhen portat 2, 3 dhe 5 dhe futet pseudonimi IP 10.0.0.1/24 për ndërfaqen e rrjetit, caktohen adresat e mëposhtme:

Porta 2: 10.0.0.1/24

Porta 3: 10.0.0.2/24

Porta 5: 10.0.0.4/24

Pseudonimet IP gjithashtu mbështesin adresat e pseudonimeve IPv6. Dallimi i vetëm është se adresat janë numra heksadecimal, kështu që porti 10 mund të korrespondojë me një adresë që mbaron me A, dhe 11 me një që përfundon në B, në vend të 10 ose 11 sipas IPv4.

Manuali i Përdoruesit
Encrypt Traffic / Authenticate Aktivizo enkriptimin dhe vërtetimin e parëndësishëm të komunikimeve serike RFC2217 duke përdorur Portshare (për kriptim të fortë përdorni VPN).
Periudha e akumulimit Pasi të jetë krijuar një lidhje për një port të caktuar serik (siç është një ridrejtim RFC2217 ose një lidhje Telnet me një kompjuter në distancë), çdo karakter hyrës në atë portë përcillet përmes rrjetit sipas karaktereve. Periudha e akumulimit specifikon një periudhë kohore që karakteret hyrëse mblidhen përpara se të dërgohen si pako në rrjet
Karakteri i arratisjes Ndryshoni karakterin e përdorur për dërgimin e karaktereve të arratisjes. Parazgjedhja është ~. Replace Backspace Të zëvendësohet vlera e parazgjedhur e hapësirës së pasme të CTRL+? (127) me CTRL+h (8). Menyja e energjisë Komanda për të shfaqur menunë e energjisë është ~p dhe mundëson komandën e fuqisë së guaskës kështu a
përdoruesi mund të kontrollojë lidhjen e energjisë me një pajisje të menaxhuar nga linja e komandës kur ata janë të lidhur Telnet ose SSH me pajisjen. Pajisja e menaxhuar duhet të konfigurohet me lidhjen e saj të portës serike dhe lidhjen e energjisë të konfiguruar.
Single Connection Kjo e kufizon portën në një lidhje të vetme, kështu që nëse përdorues të shumtë kanë privilegje aksesi për një port të caktuar, vetëm një përdorues në të njëjtën kohë mund të hyjë në atë port (dmth. gjurmimi i portit nuk lejohet).
33

Kapitulli 3: Porta serike, hosti, pajisja dhe konfigurimi i përdoruesit
3.1.3 Modaliteti i pajisjes (RPC, UPS, Mjedisor) Ky modalitet konfiguron portën serike të zgjedhur për të komunikuar me një Furnizim me energji të pandërprerë të kontrolluar serik (UPS), Kontrollues në distancë / Njësitë e Shpërndarjes së Energjisë (RPC) ose Pajisje për Monitorimin e Mjedisit (Mjedisor)

1. Zgjidhni llojin e dëshiruar të pajisjes (UPS, RPC ose Mjedisor)
2. Vazhdoni te faqja e duhur e konfigurimit të pajisjes (Seriali dhe Rrjeti > Lidhjet UPS, Lidhja RPC ose Mjedisi) siç detajohet në Kapitullin 7.

3.1.4 ·

Modaliteti i serverit të terminalit
Zgjidhni modalitetin e serverit të terminalit dhe llojin e terminalit (vt220, vt102, vt100, Linux ose ANSI) për të aktivizuar një getty në portën serike të zgjedhur

Getty konfiguron portin dhe pret që të bëhet një lidhje. Një lidhje aktive në një pajisje serike tregohet nga kunja e ngritur e Zbulimit të Transportuesit të të Dhënave (DCD) në pajisjen serike. Kur zbulohet një lidhje, programi getty lëshon një login: prompt dhe thërret programin e hyrjes për të trajtuar hyrjen e sistemit.
SHËNIM Zgjedhja e modalitetit të Serverit të Terminalit çaktivizon Menaxherin e Portit për atë portë serike, kështu që të dhënat nuk regjistrohen më për sinjalizime etj.

Manuali i Përdoruesit
3.1.5 Modaliteti i urës serike Me urën serike, të dhënat serike në një portë serike të nominuar në një server të konsolës inkapsulohen në paketat e rrjetit dhe transportohen përmes një rrjeti në një server të dytë të konsolës ku përfaqësohen si të dhëna serike. Dy serverët e konsolës veprojnë si një kabllo serike virtuale mbi një rrjet IP. Një server konsol është konfiguruar të jetë Server. Porta serike e serverit që do të lidhet është vendosur në modalitetin e serverit të panelit me RFC2217 ose RAW të aktivizuar. Për serverin e tastierës së klientit, porta serike që do të lidhet duhet të vendoset në modalitetin e urës:
· Zgjidhni modalitetin e urës serike dhe specifikoni adresën IP të serverit të konsolës së serverit dhe adresën e portit TCP të portës serike të largët (për urëzim RFC2217 kjo do të jetë 5001-5048)
· Si parazgjedhje, klienti lidhës përdor RAW TCP. Zgjidhni RFC2217 nëse ky është modaliteti i serverit të konsolës që keni specifikuar në serverin e konsolës së serverit
· Mund të siguroni komunikimet përmes Ethernetit lokal duke aktivizuar SSH. Gjeneroni dhe ngarkoni çelësat.
3.1.6 Syslog Përveç regjistrimit dhe monitorimit të integruar që mund të aplikohet për akseset e menaxhimit të bashkangjitur me seri dhe rrjet, siç mbulohet në Kapitullin 6, serveri i konsolës mund të konfigurohet gjithashtu për të mbështetur protokollin e syslogut në distancë në një portë serike bazë:
· Zgjidhni fushat Syslog Facility/Priority për të mundësuar regjistrimin e trafikut në portën serike të zgjedhur në një server syslog; dhe për të renditur dhe për të vepruar sipas atyre mesazheve të regjistruara (dmth. ridrejtuar ato / dërgoni email alarmi.)
35

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
Për shembullampLe, nëse kompjuteri i bashkangjitur në portën serike 3 nuk duhet të dërgojë kurrë asgjë në portin e tij të konsolës serike, administratori mund ta vendosë Facility për atë port në local0 (local0 .. local7 janë menduar për vlerat lokale të sitit) dhe Prioriteti në kritik . Në këtë prioritet, nëse serveri i log-it të serverit të konsolës merr një mesazh, ai ngre një alarm. Shihni kapitullin 6. 3.1.7 Transmetimi NMEA ACM7000-L mund të sigurojë transmetimin e të dhënave GPS NMEA nga modemi i brendshëm GPS/celular. Kjo rrjedhë e të dhënave paraqitet si një rrjedhë e të dhënave serike në portin 5 në modelet ACM.
Cilësimet e zakonshme (shkalla e zhurmës etj.) shpërfillen kur konfiguroni portën serike NMEA. Mund të specifikoni frekuencën e rregullimit (dmth. kjo normë rregullimi GPS përcakton se sa shpesh merren rregullimet GPS). Ju gjithashtu mund të aplikoni të gjitha cilësimet e "Modalitetit të Serverit të Konsolës", "Syslog" dhe "Serial Bridging" në këtë port.
Ju mund të përdorni pmshell, webshell, SSH, RFC2217 ose RawTCP për të marrë në transmetim:
Për shembullample, duke përdorur Web Terminali:
36

Manuali i Përdoruesit

3.1.8 Konzolat USB
Serverët e konsolës me porte USB mbështesin lidhjet e konsolës USB me pajisje nga një gamë e gjerë shitësish, duke përfshirë Cisco, HP, Dell dhe Brocade. Këto porte USB mund të funksionojnë gjithashtu si porte serike të thjeshta RS-232 kur lidhet një përshtatës USB-në-serial.

Këto porte USB janë të disponueshme si porta të rregullta portmanager dhe paraqiten numerikisht në web UI pas të gjitha porteve serike RJ45.

ACM7008-2 ka tetë porte serike RJ45 në pjesën e pasme të serverit të konsolës dhe katër porte USB në pjesën e përparme. Në Serial & Network > Serial Port këto janë renditur si

Lidhësi i portit #

RJ45

USB

10 USB

11 USB

12 USB

Nëse ACM7008-2 i veçantë është një model celular, porti #13 - për GPS - do të listohet gjithashtu.

7216-24U ka 16 porte serike RJ45 dhe 24 porte USB në pjesën e pasme, si dhe dy porte USB në pjesën e përparme dhe (në modelin celular) një GPS.

Portat serike RJ45 paraqiten në Serial & Network > Serial Port si numrat e portit 1. 16 portat USB me pamje të pasme marrin numrat e portës 24 dhe portat USB në pjesën e përparme janë renditur në numrat e portës 17 dhe 40 respektivisht. Dhe, si me ACM41-42, nëse 7008-2U i veçantë është një model celular, GPS paraqitet në portin numër 7216.

Cilësimet e zakonshme (shkalla e zhurmës, etj.) përdoren gjatë konfigurimit të portave, por disa operacione mund të mos funksionojnë në varësi të zbatimit të çipit serial USB.

3.2 Shtoni dhe modifikoni përdoruesit
Administratori përdor këtë përzgjedhje të menysë për të krijuar, modifikuar dhe fshirë përdoruesit dhe për të përcaktuar lejet e hyrjes për secilin prej këtyre përdoruesve.

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit

Përdoruesit mund të autorizohen për të hyrë në shërbimet e specifikuara, portet serike, pajisjet e energjisë dhe hostet e specifikuar të bashkangjitur në rrjet. Këtyre përdoruesve mund t'u jepet gjithashtu statusi i plotë i administratorit (me konfigurim të plotë dhe privilegje të menaxhimit dhe aksesit).

Përdoruesit mund të shtohen në grupe. Gjashtë grupe janë krijuar si parazgjedhje:

admin

Ofron privilegje të pakufizuara të konfigurimit dhe menaxhimit.

pptpd

Lejon qasje në serverin PPTP VPN. Përdoruesit në këtë grup e kanë fjalëkalimin e tyre të ruajtur në tekst të qartë.

dialin

Lejon qasjen në dialin nëpërmjet modemit. Përdoruesit në këtë grup e kanë fjalëkalimin e tyre të ruajtur në tekst të qartë.

ftp

Lejon akses ftp dhe file qasje në pajisjet e ruajtjes.

pmshell

Vendos shellin e paracaktuar në pmshell.

përdoruesit

U ofron përdoruesve privilegje bazë të menaxhimit.

Grupi i administratorit u siguron anëtarëve privilegje të plota administratori. Përdoruesi i administratorit mund të hyjë në serverin e konsolës duke përdorur cilindo nga shërbimet që janë aktivizuar te Sistemi > Shërbimet. Ata gjithashtu mund të kenë akses në cilindo nga hostet e lidhur ose pajisjet e portit serial duke përdorur cilindo nga shërbimet që janë aktivizuar për këto lidhje. Vetëm përdoruesit e besuar duhet të kenë qasje administratori
Grupi i përdoruesve u ofron anëtarëve akses të kufizuar në serverin e konsolës dhe hostet e lidhur dhe pajisjet serike. Këta përdorues mund të hyjnë vetëm në seksionin e Menaxhimit të menysë së Konsolës së Menaxhimit dhe nuk kanë qasje në linjën e komandës në serverin e konsolës. Ata mund të kenë qasje vetëm në ato hoste dhe pajisje serike që janë kontrolluar për ta, duke përdorur shërbimet që janë aktivizuar
Përdoruesit në grupet pptd, dialin, ftp ose pmshell kanë kufizuar aksesin e guaskës së përdoruesit në pajisjet e menaxhuara të nominuara, por ata nuk do të kenë ndonjë qasje të drejtpërdrejtë në serverin e konsolës. Për ta shtuar këtë, përdoruesit duhet të jenë gjithashtu anëtarë të përdoruesve ose grupeve të administratorëve
Administratori mund të konfigurojë grupe shtesë me pajisje specifike të energjisë, portën serike dhe lejet e hyrjes në host. Përdoruesit në këto grupe shtesë nuk kanë asnjë qasje në menynë e panelit të menaxhimit dhe as nuk kanë qasje në linjën e komandës në serverin e konsolës.

Manuali i Përdoruesit
Administratori mund të konfigurojë përdoruesit me pajisje specifike të energjisë, porta serike dhe leje të hyrjes në host, të cilët nuk janë anëtarë të asnjë grupi. Këta përdorues nuk kanë asnjë qasje në menunë e panelit të menaxhimit dhe as qasje në linjën e komandës në serverin e konsolës. 3.2.1 Krijimi i grupit të ri Për të krijuar grupe të reja dhe përdorues të rinj dhe për të klasifikuar përdoruesit si anëtarë të grupeve të veçanta:
1. Zgjidhni Serial & Network > Users & Grupet për të shfaqur të gjitha grupet dhe përdoruesit 2. Kliko Shto grup për të shtuar një grup të ri
3. Shtoni një emër dhe përshkrim grupi për çdo grup të ri dhe emëroni hostet e aksesueshëm, portat e aksesueshme dhe daljet e aksesueshme RPC në të cilat përdoruesit në këtë grup të ri do të mund të kenë qasje
4. Klikoni Apliko 5. Administratori mund të modifikojë ose fshijë çdo grup të shtuar 3.2.2 Konfigurimi i përdoruesve të rinj Për të vendosur përdorues të rinj dhe për t'i klasifikuar përdoruesit si anëtarë të grupeve të veçanta: 1. Zgjidhni Serial & Network > Përdoruesit & Grupet për t'u shfaqur të gjitha grupet dhe përdoruesit 2. Kliko Shto përdorues
39

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
3. Shtoni një emër përdoruesi për çdo përdorues të ri. Ju gjithashtu mund të përfshini informacione në lidhje me përdoruesin (p.sh. detajet e kontaktit) në fushën e Përshkrimi. Emri i përdoruesit mund të përmbajë nga 1 deri në 127 karaktere alfanumerike dhe karakteret "-" "_" dhe ".".
4. Specifikoni grupet që dëshironi që përdoruesi të jetë anëtar 5. Shtoni një fjalëkalim të konfirmuar për çdo përdorues të ri. Të gjitha personazhet janë të lejuara. 6. Mund të përdoret vërtetimi me çelës kalimi SSH. Ngjitni çelësat publikë të autorizuar publik/privat
çiftet e çelësave për këtë përdorues në fushën "Çelësat e autorizuar SSH" 7. Kontrolloni "Çaktivizoni vërtetimin e fjalëkalimit" për të lejuar vërtetimin e çelësit publik vetëm për këtë përdorues
kur përdorni SSH 8. Kontrolloni Aktivizo Dial-Back në menynë Dial-in Options për të lejuar një lidhje dalëse dial-back
të aktivizohet duke hyrë në këtë portë. Futni numrin e telefonit me numrin e telefonit me numrin e telefonit për të thirrur përsëri kur përdoruesi të regjistrohet 9. Kontrolloni Hostët e aksesueshëm dhe/ose portat e aksesueshme për të emëruar portat serike dhe hostet e lidhur me rrjetin që dëshironi që përdoruesi të ketë privilegje aksesi në 10. Nëse ka RPC të konfiguruara, kontrolloni Accessible RPC Outlets për të specifikuar se cilat priza mund të kontrollojë përdoruesi (dmth. Ndezja/Fikja) 11. Klikoni Apliko. Përdoruesi i ri do të jetë në gjendje të hyjë në pajisjet e aksesueshme të rrjetit, portet dhe daljet RPC. Nëse përdoruesi është një anëtar i grupit, ai gjithashtu mund të hyjë në çdo pajisje/port/prizë tjetër të aksesueshme për grupin
40

Manuali i Përdoruesit
Nuk ka kufizime për numrin e përdoruesve që mund të konfiguroni ose numrin e përdoruesve për portin serik ose host. Përdorues të shumtë mund të kontrollojnë/monitorojnë një port ose host. Nuk ka kufizime në numrin e grupeve dhe çdo përdorues mund të jetë anëtar i një numri grupesh. Një përdorues nuk duhet të jetë anëtar i ndonjë grupi, por nëse përdoruesi është anëtar i grupit të parazgjedhur të përdoruesve, ai nuk do të jetë në gjendje të përdorë panelin e menaxhimit për të menaxhuar portet. Ndërsa nuk ka kufizime, koha për të rikonfiguruar rritet me rritjen e numrit dhe kompleksitetit. Ne rekomandojmë që numri i përgjithshëm i përdoruesve dhe grupeve të mbahet nën 250. Administratori mund të modifikojë gjithashtu cilësimet e aksesit për çdo përdorues ekzistues:
· Zgjidhni Serial & Network > Users & Groups dhe klikoni Edit për të modifikuar privilegjet e aksesit të përdoruesit · Klikoni Fshi për të hequr përdoruesin · Kliko Disable për të bllokuar përkohësisht privilegjet e aksesit
3.3 Autentifikimi
Shihni Kapitullin 8 për detajet e konfigurimit të vërtetimit.
3.4 Hostët e rrjetit
Për të monitoruar dhe aksesuar në distancë një kompjuter ose pajisje të rrjetit lokal (i referuar si host) duhet të identifikoni hostin:
1. Përzgjedhja Serial & Network > Network Hosts paraqet të gjithë hostet e lidhur me rrjetin që janë aktivizuar për përdorim.
2. Klikoni Add Host për të mundësuar aksesin në një host të ri (ose zgjidhni Edit për të përditësuar cilësimet për hostin ekzistues)
41

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
3. Nëse hosti është një pajisje me energji PDU ose UPS ose një server me kontroll të energjisë IPMI, specifikoni RPC (për IPMI dhe PDU) ose UPS dhe llojin e pajisjes. Administratori mund t'i konfigurojë këto pajisje dhe të mundësojë se cilët përdorues kanë leje për të cikluar energjinë nga distanca, etj. Shihni Kapitullin 7. Përndryshe, lini llojin e pajisjes të caktuar në Asnjë.
4. Nëse serveri i konsolës është konfiguruar me monitorimin e shpërndarë Nagios të aktivizuar, do të shihni gjithashtu opsionet e cilësimeve të Nagios për të mundësuar monitorimin e shërbimeve të nominuara në Host.
5. Klikoni Apliko. Kjo krijon hostin e ri dhe gjithashtu krijon një pajisje të re të menaxhuar me të njëjtin emër.
3.5 Rrjetet e besuara
Struktura e Rrjeteve të Besuara ju jep një mundësi për të emëruar adresat IP në të cilat duhet të vendosen përdoruesit, për të pasur akses në portet serike të serverit të konsolës:
42

Manuali i Përdoruesit
1. Zgjidhni Serial & Network > Trusted Networks 2. Për të shtuar një rrjet të ri të besuar, zgjidhni Add Rule. Në mungesë të Rregullave, nuk ka qasje
kufizimet në lidhje me adresën IP në të cilën mund të vendosen përdoruesit.

3. Zgjidhni Portat e aksesueshme në të cilat do të zbatohet rregulli i ri
4. Futni adresën e rrjetit të nënrrjetit që do t'ju lejohet qasja
5. Specifikoni gamën e adresave që do të lejohen duke futur një maskë rrjeti për atë gamë të lejuar IP, p.sh.
· Për të lejuar të gjithë përdoruesit e vendosur me një lidhje të veçantë rrjeti të klasës C në portin e emëruar, shtoni rregullin e ri të Rrjetit të Besuar në vijim:

Adresa IP e rrjetit

204.15.5.0

Maska e nënrrjetit

255.255.255.0

· Për të lejuar që të lidhet vetëm një përdorues i vendosur në një adresë IP specifike:

Adresa IP e rrjetit

204.15.5.13

Maska e nënrrjetit

255.255.255.255

· Për t'u lejuar të gjithë përdoruesve që operojnë nga një gamë specifike adresash IP (të themi secila prej tridhjetë adresave nga 204.15.5.129 në 204.15.5.158) që të lejohen të lidhen me portin e emëruar:

Host / Adresa e Nënrrjetit

204.15.5.128

Maska e nënrrjetit

255.255.255.224

6. Klikoni Apliko

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
3.6 Kaskadimi i Portit Serial
Portat Cascaded ju mundësojnë të grumbulloni serverët e konsolës së shpërndarë në mënyrë që një numër i madh portash serike (deri në 1000) të mund të konfigurohen dhe të aksesohen përmes një adrese IP dhe të menaxhohen përmes të vetmes Konzollë Menaxhimi. Një server tastierë, Primary, kontrollon serverët e tjerë të konsolës si njësi Node dhe të gjitha portat serike në njësitë Node duken sikur janë pjesë e Primarit. Grupëzimi i Opengear lidh çdo Nyje me Primarin me një lidhje SSH. Kjo bëhet duke përdorur vërtetimin e çelësit publik, kështu që Primary mund të hyjë në secilën Nyje duke përdorur çiftin e çelësave SSH (në vend që të përdorë fjalëkalime). Kjo siguron komunikime të sigurta të vërtetuara midis Primar dhe Nyjeve duke mundësuar që njësitë e serverit të konsolës Node të shpërndahen në nivel lokal në një LAN ose në distancë në të gjithë botën.
3.6.1 Krijoni dhe ngarkoni automatikisht çelësat SSH Për të konfiguruar vërtetimin e çelësit publik, së pari duhet të gjeneroni një çift çelësash RSA ose DSA dhe t'i ngarkoni ato në serverët e konsolës Primary dhe Node. Kjo mund të bëhet automatikisht nga Primar:
44

Manuali i Përdoruesit
1. Zgjidhni Sistemi > Administrimi në panelin e menaxhimit të Primar
2. Kontrolloni Generate SSH tastes automatikisht. 3. Klikoni Apliko
Më pas duhet të zgjidhni nëse do të gjeneroni çelësa duke përdorur RSA dhe/ose DSA (nëse nuk jeni të sigurt, zgjidhni vetëm RSA). Gjenerimi i çdo grupi çelësash kërkon dy minuta dhe çelësat e rinj shkatërrojnë çelësat e vjetër të atij lloji. Ndërsa gjenerata e re është duke u zhvilluar, funksionet që mbështeten në çelësat SSH (p.sh. kaskada) mund të ndalojnë së funksionuari derisa të përditësohen me grupin e ri të çelësave. Për të gjeneruar çelësa:
1. Kontrolloni kutitë për çelësat që dëshironi të gjeneroni. 2. Klikoni Apliko
3. Pasi të jenë gjeneruar çelësat e rinj, klikoni lidhjen Kliko këtu për t'u kthyer. Çelësat janë ngarkuar
në Nyjet Primare dhe të lidhura.
3.6.2 Krijoni dhe ngarkoni manualisht çelësat SSH. Në mënyrë alternative, nëse keni një çift çelësash RSA ose DSA, mund t'i ngarkoni ato në konsolierët Primary dhe Node. Për të ngarkuar çiftin e çelësave publik dhe privat në serverin e tastierës kryesore:
1. Zgjidhni System > Administration në panelin e menaxhimit të Primar
2. Shfletoni në vendndodhjen ku keni ruajtur çelësin publik RSA (ose DSA) dhe ngarkoni atë në çelësin publik SSH RSA (DSA)
3. Shfletoni te çelësi privat i ruajtur RSA (ose DSA) dhe ngarkoni atë në çelësin privat SSH RSA (DSA) 4. Klikoni Apliko
45

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
Më pas, duhet të regjistroni çelësin publik si një çelës i autorizuar në nyje. Në rastin e një Primar me shumë Nyje, ju ngarkoni një çelës publik RSA ose DSA për secilën Nyje.
1. Zgjidhni Sistemi > Administrimi në panelin e menaxhimit të nyjës 2. Shfletoni te çelësi publik i ruajtur RSA (ose DSA) dhe ngarkoni atë në çelësin e autorizuar SSH të Nyjes
3. Klikoni Apliko Hapi tjetër është marrja e gjurmëve të gishtave çdo lidhje të re Node-Primary. Ky hap vërteton që po krijoni një seancë SSH për atë që mendoni se jeni. Në lidhjen e parë, Nyja merr një gjurmë gishti nga Primari i përdorur në të gjitha lidhjet e ardhshme: Për të vendosur gjurmën e gishtit, fillimisht hyni në serverin Primar si rrënjë dhe krijoni një lidhje SSH me hostin në distancë të Node:
# ssh remhost Pasi të jetë vendosur lidhja SSH, ju kërkohet të pranoni çelësin. Përgjigjuni po dhe shenja e gishtit shtohet në listën e hosteve të njohur. Nëse ju kërkohet të jepni një fjalëkalim, ka pasur probleme me ngarkimin e çelësave. 3.6.3 Konfiguroni Nyjet dhe portat e tyre serike Filloni konfigurimin e Nyjeve dhe konfigurimin e porteve serike të Nyjeve nga serveri kryesor i konsolës:
1. Zgjidhni Serial & Network > Ports Cascaded on Primary's Management Console: 2. Për të shtuar mbështetjen e grupimit, zgjidhni Shto nyjen
Ju nuk mund të shtoni Nyje derisa të keni gjeneruar çelësat SSH. Për të përcaktuar dhe konfiguruar një Nyje:
46

Manuali i Përdoruesit
1. Futni adresën IP të largët ose emrin DNS për serverin e konsolës Node. 2. Futni një përshkrim të shkurtër dhe një emërtim të shkurtër për nyjen 3. Shkruani numrin e plotë të portave serike në njësinë Node në Numri i Porteve 4. Klikoni Apliko. Kjo krijon tunelin SSH midis Nyjes Primar dhe asaj të re
Menyja Serial & Network > Ports Cascaded shfaq të gjitha nyjet dhe numrat e portave që janë ndarë në Primar. Nëse serveri primar i konsolës ka 16 porte të veta, portat 1-16 i paracaktohen Primarit, kështu që nyjes së parë të shtuar i caktohet porta me numër 17 e tutje. Pasi të keni shtuar të gjithë serverët e konsolës së Node, portat serike të Node dhe pajisjet e lidhura janë të konfigurueshme dhe të aksesueshme nga menyja e panelit të menaxhimit të Primarit dhe të aksesueshme përmes adresës IP të Primarit.
1. Zgjidhni Serialin dhe Rrjetin e duhur > Portin Serial dhe Edit për të konfiguruar portat serike në
Nyja.
2. Zgjidhni serialin dhe rrjetin e duhur > Përdoruesit dhe grupet për të shtuar përdorues të rinj me privilegje aksesi
në portet serike Node (ose për të zgjeruar privilegjet e aksesit të përdoruesve ekzistues).
3. Zgjidhni serialin dhe rrjetin e duhur > Rrjetet e besuara për të specifikuar adresat e rrjetit që
mund të hyjë në portet serike të nyjeve të nominuara. 4. Zgjidhni Alerts & Logging përkatës > Alerts për të konfiguruar lidhjen e portës së nyjeve, gjendjen
Sinjalizimet e ndryshimit të përputhjes së modelit. Ndryshimet e konfigurimit të bëra në Primar përhapen në të gjitha nyjet kur klikoni Apliko.
3.6.4 Menaxhimi i Nyjeve Primari ka në kontroll portat serike të Nyjeve. Për shembullample, nëse ndryshoni privilegjet e aksesit të përdoruesit ose ndryshoni çdo cilësim të portit serial në Primar, konfigurimi i përditësuar files janë dërguar në çdo Nyje paralelisht. Çdo nyje bën ndryshime në konfigurimet e tyre lokale (dhe bën vetëm ndryshime që lidhen me portet e tij të veçanta serike). Mund të përdorni konsolën lokale të menaxhimit të nyjeve për të ndryshuar cilësimet në çdo portë serike të nyjeve (si p.sh. ndryshimi i shpejtësisë së baud-it). Këto ndryshime mbishkruhen herën tjetër që Primar dërgon një konfigurim file përditësimi. Ndërsa Primary kontrollon të gjitha funksionet e lidhura me portën serike të nyjeve, ai nuk është parësor mbi lidhjet e hostit të rrjetit të nyjeve ose mbi sistemin e Serverit të Konsolës së Nyjeve. Funksionet e nyjeve si IP, SMTP & SNMP Settings, Data & Time, server DHCP duhet të menaxhohen duke hyrë drejtpërdrejt në secilën nyje dhe këto funksione nuk mbarojnë kur ndryshimet e konfigurimit përhapen nga Primary. Cilësimet e hostit të rrjetit të Nyjes dhe IPMI duhet të konfigurohen në secilën nyje.
47

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
Paneli i Menaxhimit të Primarit ofron një të konsoliduar view të cilësimeve për portet serike të veta dhe të të gjithë Node. Fillore nuk ofron një të konsoliduar plotësisht view. Për shembullample, nëse doni të zbuloni se kush është i kyçur në portet serike të kaskadës nga primar, do të shihni se Statusi > Përdoruesit aktivë shfaq vetëm ata përdorues aktivë në portet e Primarit, kështu që mund t'ju duhet të shkruani skripte të personalizuara për të siguruar këtë view.
3.7 Ridrejtimi i portës serike (PortShare)
Softueri Port Share i Opengear ofron teknologjinë e portave serike virtuale që kanë nevojë për aplikacionet tuaja Windows dhe Linux për të hapur portat serike në distancë dhe për të lexuar të dhënat nga pajisjet serike që janë të lidhura me serverin tuaj të konsolës.
PortShare ofrohet falas me çdo server tastierë dhe ju jeni të licencuar të instaloni PortShare në një ose më shumë kompjuterë për të hyrë në çdo pajisje serike të lidhur me një port të serverit të konsolës. PortShare për Windows Portshare_setup.exe mund të shkarkohet nga faqja ftp. Shikoni Manualin e Përdoruesit të PortShare dhe Fillimin e Shpejtë për detaje mbi instalimin dhe funksionimin. PortShare për Linux Shoferi PortShare për Linux harton portin serial të serverit të konsolës në një portë prove të hostit. Opengear ka lëshuar klientin portshare-serial si një mjet me burim të hapur për Linux, AIX, HPUX, SCO, Solaris dhe UnixWare. Ky mjet mund të shkarkohet nga faqja ftp. Ky ridrejtues i portës serike PortShare ju lejon të përdorni një pajisje serike të lidhur me serverin e telekomandës së telekomandës sikur të ishte lidhur me portën tuaj serike lokale. Portshare-serial-client krijon një portë pseudo tty, lidh aplikacionin serial me portën pseudo tty, merr të dhëna nga porta pseudo tty, i transmeton ato në serverin e konsolës përmes rrjetit dhe merr të dhëna nga serveri i konsolës përmes rrjetit dhe i transmeton ato. në portin pseudo-tty. Katrani file mund të shkarkohet nga faqja ftp. Shikoni Manualin e Përdoruesit të PortShare dhe Fillimin e Shpejtë për detaje mbi instalimin dhe funksionimin.
48

Manuali i Përdoruesit
3.8 Pajisjet e menaxhuara
Faqja Pajisjet e menaxhuara paraqet një të konsoliduar view të të gjitha lidhjeve me një pajisje që mund të aksesohet dhe monitorohet përmes serverit të konsolës. te view lidhjet me pajisjet, zgjidhni Serial & Network > Pajisjet e menaxhuara
Ky ekran shfaq të gjitha pajisjet e menaxhuara me Përshkrimin/Shënimet e tyre dhe listat e të gjitha lidhjeve të konfiguruara:
· Porta serike # (nëse është e lidhur në mënyrë serike) ose · USB (nëse është e lidhur me USB) · Adresa IP (nëse është e lidhur me rrjetin) · Detajet e PDU/prizës së energjisë (nëse është e aplikueshme) dhe çdo lidhje UPS Pajisjet si serverët mund të kenë më shumë se një lidhje energjie (p.sh. furnizimi me energji të dyfishtë) dhe më shumë se një lidhje rrjeti (p.sh. për BMC/procesorin e shërbimit). Të gjithë përdoruesit munden view këto lidhje të menaxhuara të pajisjes duke zgjedhur Menaxho > Pajisjet. Administratorët gjithashtu mund të modifikojnë dhe shtojnë/fshijnë këto pajisje të menaxhuara dhe lidhjet e tyre. Për të modifikuar një pajisje ekzistuese dhe për të shtuar një lidhje të re: 1. Zgjidhni Edit në Serial & Network > Managed Devices dhe klikoni Add Connection 2. Zgjidhni llojin e lidhjes për lidhjen e re (Serial, Network Host, UPS ose RPC) dhe zgjidhni
lidhjen nga lista e paraqitur e hosteve/porteve/prizave të konfiguruara të pacaktuara
49

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
Për të shtuar një pajisje të re të menaxhuar të lidhur me rrjetin: 1. Administratori shton një pajisje të re të menaxhuar të lidhur me rrjetin duke përdorur Add Host në menynë Serial & Network > Network Host. Kjo krijon automatikisht një pajisje të re të menaxhuar përkatëse. 2. Kur shtoni një pajisje të re të lidhur me rrjetin RPC ose UPS, ju konfiguroni një host të rrjetit, duke e caktuar atë si RPC ose UPS. Shkoni te RPC Connections ose UPS Connections për të konfiguruar lidhjen përkatëse. Pajisja përkatëse e re e menaxhuar me të njëjtin Emër/Përshkrim si hosti RPC/UPS nuk krijohet derisa të përfundojë ky hap i lidhjes.
SHËNIM Emrat e prizave në PDU-në e krijuar rishtazi janë Outlet 1 dhe Outlet 2. Kur lidhni një pajisje të veçantë të menaxhuar që merr energji nga priza, priza merr emrin e pajisjes së menaxhuar me energji elektrike.
Për të shtuar një pajisje të re të menaxhuar të lidhur në mënyrë serike: 1. Konfiguro portën serike duke përdorur menynë Serial & Network > Serial Port (Shih seksionin 3.1 Konfiguro portin serik) 2. Zgjidhni Serial & Network > Managed Devices dhe klikoni Shto Device 3. Futni një pajisje Emri dhe përshkrimi për pajisjen e menaxhuar

4. Klikoni Add Connection dhe zgjidhni Serial dhe Portin që lidhet me pajisjen e menaxhuar

5. Për të shtuar një lidhje me rrymë UPS/RPC ose lidhje rrjeti ose një lidhje tjetër serike, klikoni Add Connection

6. Klikoni Apliko

SHËNIM

Për të konfiguruar një pajisje RPC UPS ose EMD të lidhur në mënyrë serike, konfiguroni portën serike, caktoni atë si një pajisje dhe vendosni një Emër dhe Përshkrimi për atë pajisje në Serial & Network > Lidhjet RPC (ose Lidhjet UPS ose Environmental). Kjo krijon një pajisje të re të menaxhuar përkatëse me të njëjtin Emër/Përshkrim si hosti RPC/UPS. Emrat e prizave në këtë PDU të krijuar rishtazi janë Outlet 1 dhe Outlet 2. Kur lidhni një pajisje të menaxhuar që merr energji nga priza, priza merr emrin e pajisjes së menaxhuar me energji.

3.9 IPsec VPN
ACM7000, CM7100 dhe IM7200 përfshijnë Openswan, një implementim Linux i protokolleve IPsec (IP Security), i cili mund të përdoret për të konfiguruar një Rrjet Privat Virtual (VPN). VPN lejon shumë sajte ose administratorë të largët të aksesojnë serverin e konsolës dhe pajisjet e menaxhuara në mënyrë të sigurt përmes Internetit.

Manuali i Përdoruesit
Administratori mund të krijojë lidhje të koduara të vërtetuara VPN midis serverëve të konsolës të shpërndarë në sajte të largëta dhe një porte VPN (siç është ruteri Cisco që ekzekuton IOS IPsec) në rrjetin e tyre qendror të zyrës:
· Përdoruesit në zyrën qendrore mund të kenë qasje të sigurt te serverët e telekomandës së telekomandës dhe pajisjet dhe makinat e lidhura të konsolës serike në nënrrjetin LAN të menaxhimit në vendndodhjen e largët sikur të ishin lokale
· Të gjithë këta serverë të konsolës në distancë mund të monitorohen me një CMS6000 në rrjetin qendror · Me urë serike, të dhënat serike nga kontrolluesi në makinën qendrore të zyrës mund të jenë të sigurta
i lidhur me pajisjet e kontrolluara në mënyrë serike në vendet e largëta Administratori i luftëtarit të rrugës mund të përdorë një klient të softuerit VPN IPsec për të hyrë në distancë në serverin e konsolës dhe çdo makinë në nënrrjetin LAN të menaxhimit në vendndodhjen e largët
Konfigurimi i IPsec është mjaft kompleks, kështu që Opengear ofron një ndërfaqe GUI për konfigurimin bazë siç përshkruhet më poshtë. Për të aktivizuar portën VPN:
1. Zgjidhni IPsec VPN në menynë Serial & Networks
2. Klikoni Shto dhe plotësoni ekranin Shto IPsec Tunnel 3. Futni çdo emër përshkrues që dëshironi për të identifikuar tunelin IPsec që po shtoni si p.sh.
WestStOutlet-VPN
51

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
4. Zgjidhni Metodën e Autentifikimit që do të përdoret, ose nënshkrimet dixhitale RSA ose një sekret i përbashkët (PSK) o Nëse zgjidhni RSA, ju kërkohet të klikoni këtu për të gjeneruar çelësa. Kjo gjeneron një çelës publik RSA për serverin e konsolës (Çelësi publik i majtë). Gjeni çelësin që do të përdoret në portën e largët, prejeni dhe ngjisni atë në Çelësin e Djathtë Publik
o Nëse zgjidhni Sekret të përbashkët, futni një sekret të përbashkët paraprakisht (PSK). PSK duhet të përputhet me PSK të konfiguruar në skajin tjetër të tunelit
5. Në Authentication Protocol zgjidhni protokollin e vërtetimit që do të përdoret. Ose vërtetoni si pjesë e enkriptimit ESP (Encapsulating Security Payload) ose veçmas duke përdorur protokollin AH (Authentication Header).
52

Manuali i Përdoruesit
6. Futni një ID të majtë dhe të djathtë. Ky është identifikuesi që hosti/porta lokale dhe pritësi/porta e largët përdorin për negocimin dhe vërtetimin e IPsec. Çdo ID duhet të përfshijë një @ dhe mund të përfshijë një emër domaini plotësisht të kualifikuar ( p.sh. left@example.com)
7. Futni adresën IP publike ose DNS të kësaj porte Opengear VPN si Adresa e Majtë. Ju mund ta lini këtë bosh për të përdorur ndërfaqen e rrugës së paracaktuar
8. Në Right Address futni adresën IP publike ose DNS të skajit të largët të tunelit (vetëm nëse fundi i largët ka një adresë statike ose DynDNS). Përndryshe, lëreni këtë bosh
9. Nëse porta Opengear VPN po shërben si një portë VPN për një nënrrjet lokal (p.sh. serveri i konsolës ka një LAN të menaxhimit të konfiguruar) futni detajet e nënrrjetit privat në nënrrjetin e majtë. Përdorni shënimin CIDR (ku numri i adresës IP pasohet nga një prerje dhe numri i biteve "një" në shënimin binar të maskës së rrjetit). Për shembullample, 192.168.0.0/24 tregon një adresë IP ku 24 bitët e parë përdoren si adresa e rrjetit. Kjo është e njëjtë me 255.255.255.0. Nëse qasja VPN është vetëm te serveri i tastierës dhe te pajisjet serike të konsolës së tij të bashkangjitur, lini nënrrjetin e majtë bosh
10. Nëse ka një portë VPN në skajin e largët, futni detajet e nënrrjetit privat në Rrjetin djathtas. Përdorni shënimin CIDR dhe lëreni bosh nëse ka vetëm një host në distancë
11. Zgjidhni Initiate Tunnel nëse lidhja e tunelit do të inicohet nga fundi i serverit të konsolës së majtë. Kjo mund të inicohet vetëm nga porta VPN (majtas) nëse fundi i largët është konfiguruar me një adresë IP statike (ose DynDNS).
12. Klikoni Apliko për të ruajtur ndryshimet
SHËNIM Detajet e konfigurimit të konfiguruara në serverin e konsolës (i referuar si hosti majtas ose lokal) duhet të përputhen me konfigurimin e futur kur konfiguroni hostin/portën në distancë (djathtas) ose klientin e softuerit. Shikoni http://www.opengear.com/faq.html për detaje mbi konfigurimin e këtyre skajeve në distancë
3.10 OpenVPN
ACM7000, CM7100 dhe IM7200 me firmware V3.2 dhe më vonë përfshijnë OpenVPN. OpenVPN përdor bibliotekën OpenSSL për kriptim, vërtetim dhe certifikim, që do të thotë se përdor SSL/TSL (Secure Socket Layer/Transport Layer Security) për shkëmbimin e çelësave dhe mund të enkriptojë të dhënat dhe kanalet e kontrollit. Përdorimi i OpenVPN lejon ndërtimin e VPN-ve ndër-platformë, pikë-për-pikë duke përdorur ose X.509 PKI (Infrastruktura e Çelësave Publike) ose konfigurim të personalizuar files. OpenVPN lejon tunelizimin e sigurt të të dhënave përmes një porti të vetëm TCP/UDP mbi një rrjet të pasigurt, duke siguruar kështu akses të sigurt në shumë site dhe administrim të sigurt në distancë në një server konsolë përmes Internetit. OpenVPN gjithashtu lejon përdorimin e adresave IP dinamike si nga serveri ashtu edhe nga klienti duke siguruar kështu lëvizshmërinë e klientit. Për shembullampKështu, një tunel OpenVPN mund të krijohet midis një klienti të Windows në roaming dhe një serveri të konsolës Opengear brenda një qendre të dhënash. Konfigurimi i OpenVPN mund të jetë kompleks, kështu që Opengear ofron një ndërfaqe GUI për konfigurimin bazë siç përshkruhet më poshtë. Informacion më të detajuar është në dispozicion në http://www.openvpn.net
3.10.1 Aktivizo OpenVPN 1. Zgjidhni OpenVPN në menynë Serial & Networks
53

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
2. Klikoni Shto dhe plotësoni ekranin Shto OpenVPN Tunnel 3. Futni çdo emër përshkrues që dëshironi për të identifikuar tunelin OpenVPN që po shtoni, p.sh.ample
NorthStOutlet-VPN
4. Zgjidhni metodën e vërtetimit që do të përdoret. Për të vërtetuar duke përdorur certifikatat, zgjidhni PKI (Certifikatat X.509) ose zgjidhni Konfigurimi i personalizuar për të ngarkuar konfigurimin e personalizuar files. Konfigurimet e personalizuara duhet të ruhen në /etc/config.
SHËNIM Nëse zgjidhni PKI, vendosni: Certifikatë e veçantë (e njohur edhe si çelës publik). Kjo Certifikatë File është një *.crt file shkruani çelësin privat për serverin dhe çdo klient. Ky çelës privat File është një *.çelës file lloji
Certifikata dhe çelësi i Autoritetit Primar të Certifikatës (CA) që përdoret për të nënshkruar secilin prej serverëve
dhe certifikatat e klientit. Kjo Certifikatë Root CA është një *.crt file shkruani Për një server, mund t'ju duhet gjithashtu dh1024.pem (parametrat Diffie Hellman). Shikoni http://openvpn.net/easyrsa.html për një udhëzues për menaxhimin bazë të çelësave RSA. Për metodat alternative të vërtetimit, shihni http://openvpn.net/index.php/documentation/howto.html#auth.
5. Zgjidhni Device Driver që do të përdoret, ose Tun-IP ose Tap-Ethernet. Drejtuesit TUN (tuneli i rrjetit) dhe TAP (trokitje e rrjetit) janë drejtues të rrjetit virtual që mbështesin përkatësisht tunelimin IP dhe tunelimin Ethernet. TUN dhe TAP janë pjesë e kernelit Linux.
6. Zgjidhni UDP ose TCP si Protokoll. UDP është protokolli i parazgjedhur dhe i preferuar për OpenVPN. 7. Kontrolloni ose zgjidhni butonin Compression për të aktivizuar ose çaktivizuar ngjeshjen. 8. Në modalitetin e tunelit, caktoni nëse ky është fundi i klientit ose i serverit të tunelit. Kur vraponi si
një server, serveri i konsolës mbështet klientë të shumtë që lidhen me serverin VPN përmes të njëjtit port.
54

Manuali i Përdoruesit
3.10.2 Konfiguro si Server ose Klient
1. Plotësoni Detajet e Klientit ose Detajet e Serverit në varësi të modalitetit të tunelit të zgjedhur. o Nëse Klienti është zgjedhur, Adresa e Serverit Primar është adresa e Serverit OpenVPN. o Nëse Serveri është zgjedhur, futni adresën e rrjetit IP Pool dhe maskën e rrjetit IP Pool për IP Pool. Rrjeti i përcaktuar nga adresa/maska e rrjetit IP Pool përdoret për të siguruar adresat për lidhjen e klientëve.
2. Klikoni Apliko për të ruajtur ndryshimet
55

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
3. Për të futur certifikatat e vërtetimit dhe files, zgjidhni Menaxho OpenVPN Files tab. Ngarkoni ose shfletoni te certifikatat përkatëse të vërtetimit dhe files.
4. Aplikoni për të ruajtur ndryshimet. U ruajt files shfaqen me të kuqe në anën e djathtë të butonit Ngarko.
5. Për të aktivizuar OpenVPN, modifikoni tunelin OpenVPN
56

Manuali i Përdoruesit
6. Kontrolloni butonin Enabled. 7. Aplikoni për të ruajtur ndryshimet SHËNIM Sigurohuni që koha e sistemit të serverit të konsolës është e saktë kur punoni me OpenVPN për të shmangur
çështjet e vërtetimit.
8. Zgjidhni Statistikat në menynë Status për të verifikuar që tuneli është funksional.
57

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
3.10.3 Konfigurimi i Klientit dhe Serverit të Windows OpenVPN Ky seksion përshkruan instalimin dhe konfigurimin e një klienti Windows OpenVPN ose një server Windows OpenVPN dhe vendosjen e një lidhjeje VPN me një server tastierë. Serverët e konsolës gjenerojnë automatikisht konfigurimin e klientit të Windows nga GUI për Sekretin e Para-Shpërndarë (Çelësi Statik File) konfigurimet.
Në mënyrë alternative OpenVPN GUI për softuerin Windows (i cili përfshin paketën standarde OpenVPN plus një GUI të Windows) mund të shkarkohet nga http://openvpn.net. Pasi të instalohet në makinën Windows, një ikonë OpenVPN shtohet në Zonën e Njoftimeve që ndodhet në anën e djathtë të shiritit të detyrave. Klikoni me të djathtën në këtë ikonë për të filluar dhe ndaluar lidhjet VPN, modifikoni konfigurimet dhe view trungje.
Kur programi OpenVPN fillon të funksionojë, C:Programi FileDosja sOpenVPNconfig skanohet për .opvn files. Kjo dosje kontrollohet sërish për konfigurim të ri files sa herë që kliko me të djathtën mbi ikona OpenVPN GUI. Pasi të instalohet OpenVPN, krijoni një konfigurim file:
58

Manuali i Përdoruesit

Duke përdorur një redaktues teksti, krijoni një xxxx.ovpn file dhe ruani në C:Program FilesOpenVPNconfig. Për shembullample, C: Programi FilesOpenVPNconfigclient.ovpn
Një ishampnga një konfigurim i klientit OpenVPN Windows file tregohet më poshtë:
# përshkrim: IM4216_klienti klient folje proto udp 3 dev tun telekomandë 192.168.250.152 porta 1194 ca c:\openvpnkeys\ca.crt cert c:\openvpnkeys\client.crt çelësi c:\openvpnkeys për c:\openvpnkeys permbids. tun komp-lzo
Një ishampnga një konfigurim OpenVPN Windows Server file tregohet më poshtë:
server 10.100.10.0 255.255.255.0 port 1194 keepalive 10 120 proto udp mssfix 1400 persist-key persist-tun dev tun ca c:\openvpnkeys\ca.crt cert c:\servsop.pserverv. çelësi dh c:\openvpnkeys\dh.pem folja comp-lzo 1 syslog IM4216_OpenVPN_Server
Konfigurimi i klientit/serverit të Windows file opsionet janë:

Opsionet #përshkrim: Serveri klientit proto udp proto tcp mssfix folje
dev tun dev tap

Përshkrimi Ky është një koment që përshkruan konfigurimin. Linjat e komenteve fillojnë me '#' dhe injorohen nga OpenVPN. Specifikoni nëse ky do të jetë një konfigurim klienti ose serveri file. Në konfigurimin e serverit file, përcaktoni grupin e adresave IP dhe maskën e rrjetit. Për shembullample, server 10.100.10.0 255.255.255.0 Vendosni protokollin në UDP ose TCP. Klienti dhe serveri duhet të përdorin të njëjtat cilësime. Mssfix vendos madhësinë maksimale të paketës. Kjo është e dobishme vetëm për UDP nëse shfaqen probleme.
Vendos regjistrin file niveli i fjalës. Niveli i folshmërisë së regjistrit mund të vendoset nga 0 (minimumi) në 15 (maksimumi). Për shembullample, 0 = heshtur me përjashtim të gabimeve fatale 3 = dalje mesatare, e mirë për përdorim të përgjithshëm 5 = ndihmon në korrigjimin e problemeve të lidhjes 9 = e hollësishme, e shkëlqyeshme për zgjidhjen e problemeve Zgjidhni 'dev tun' për të krijuar një tunel IP të drejtuar ose 'dev tap' për të krijuar një tunel Ethernet. Klienti dhe serveri duhet të përdorin të njëjtat cilësime.

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit

në distancë Port Keepalive
http-proxy rrethfile emri>
vërtetimfile emri>
Celësfile emri>
dhfile emri> Nobind persist-key persist-tun shifra BF-CBC Blowfish (e parazgjedhur) Shifra AES-128-CBC Shifra AES DES-EDE3-CBC Triple-DES comp-lzo syslog

Emri i hostit/IP i serverit OpenVPN kur vepron si klient. Futni emrin e hostit DNS ose adresën IP statike të serverit. Porta UDP/TCP e serverit. Keepalive përdor ping për të mbajtur gjallë seancën OpenVPN. 'Keepalive 10 120' ping çdo 10 sekonda dhe supozon se peer-i në distancë është i fikur nëse nuk është marrë asnjë ping gjatë një periudhe kohore prej 120 sekondash. Nëse kërkohet një përfaqësues për të hyrë në server, futni emrin DNS të serverit proxy ose numrin IP dhe portin. Futni certifikatën CA file emrin dhe vendndodhjen. E njëjta certifikatë CA file mund të përdoret nga serveri dhe të gjithë klientët. Shënim: Sigurohuni që secila "" në shtegun e drejtorisë është zëvendësuar me " \". Për shembullample, c:openvpnkeysca.crt do të bëhet c:\openvpnkeys\ca.crt Fut certifikatën e klientit ose të serverit file emrin dhe vendndodhjen. Çdo klient duhet të ketë certifikatën dhe çelësin e vet files. Shënim: Sigurohuni që secila "" në shtegun e drejtorisë është zëvendësuar me " \". Futni file emrin dhe vendndodhjen e çelësit të klientit ose serverit. Çdo klient duhet të ketë certifikatën dhe çelësin e vet files. Shënim: Sigurohuni që secila "" në shtegun e drejtorisë është zëvendësuar me " \". Kjo përdoret vetëm nga serveri. Futni shtegun e çelësit me parametrat Diffie-Hellman. "Nobind" përdoret kur klientët nuk kanë nevojë të lidhen me një adresë lokale ose një numër specifik porti lokal. Ky është rasti në shumicën e konfigurimeve të klientit. Ky opsion parandalon ringarkimin e çelësave gjatë rinisjes. Ky opsion parandalon mbylljen dhe rihapjen e pajisjeve TUN/TAP gjatë rinisjes. Zgjidhni një shifër kriptografike. Klienti dhe serveri duhet të përdorin të njëjtat cilësime.
Aktivizo kompresimin në lidhjen OpenVPN. Kjo duhet të aktivizohet si në klient ashtu edhe në server. Si parazgjedhje, regjistrat ndodhen në syslog ose, nëse funksionojnë si shërbim në Window, në Program Filedrejtoria sOpenVPNlog.

Për të nisur tunelin OpenVPN pas krijimit të konfigurimit të klientit/serverit files: 1. Klikoni me të djathtën në ikonën OpenVPN në Zonën e Njoftimeve 2. Zgjidhni konfigurimin e klientit ose serverit të sapokrijuar. 3. Klikoni Connect

4. Regjistri file shfaqet kur është vendosur lidhja
60

Manuali i Përdoruesit
5. Pasi të vendoset, ikona OpenVPN shfaq një mesazh që tregon një lidhje të suksesshme dhe IP të caktuar. Ky informacion, si dhe koha e krijimit të lidhjes, disponohen duke lëvizur mbi ikonën OpenVPN.
3.11 PPTP VPN
Serverët e konsolës përfshijnë një server PPTP (Point-to-Point Tunneling Protocol). PPTP përdoret për komunikime mbi një lidhje serike fizike ose virtuale. Pikat fundore PPP përcaktojnë një adresë IP virtuale për veten e tyre. Rrugët drejt rrjeteve mund të përcaktohen me këto adresa IP si portë, e cila rezulton në dërgimin e trafikut nëpër tunel. PPTP krijon një tunel midis pikave fundore fizike të PPP dhe transporton në mënyrë të sigurt të dhënat nëpër tunel.
Fuqia e PPTP është lehtësia e konfigurimit dhe integrimit në infrastrukturën ekzistuese të Microsoft. Zakonisht përdoret për lidhjen e klientëve të vetëm të Windows në distancë. Nëse merrni kompjuterin tuaj portativ në një udhëtim pune, mund të telefononi një numër lokal për t'u lidhur me ofruesin tuaj të shërbimit të aksesit në internet (ISP) dhe të krijoni një lidhje të dytë (tunel) në rrjetin tuaj të zyrës përmes internetit dhe të keni të njëjtën qasje në rrjeti i korporatës sikur të jeni lidhur direkt nga zyra juaj. Telekomutarët mund të krijojnë gjithashtu një tunel VPN mbi modemin e tyre kabllor ose lidhjet DSL me ISP-në e tyre lokale.
61

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
Për të konfiguruar një lidhje PPTP nga një klient i largët i Windows në pajisjen tuaj Opengear dhe rrjetin lokal:
1. Aktivizoni dhe konfiguroni serverin PPTP VPN në pajisjen tuaj Opengear 2. Vendosni llogaritë e përdoruesve VPN në pajisjen Opengear dhe aktivizoni të përshtatshmet
vërtetimi 3. Konfiguro klientët VPN në faqet e largëta. Klienti nuk kërkon softuer special si
Serveri PPTP mbështet softuerin standard të klientit PPTP të përfshirë me Windows NT dhe më vonë 4. Lidhu me VPN në distancë 3.11.1 Aktivizo serverin PPTP VPN 1. Zgjidhni PPTP VPN në menynë Serial & Networks
2. Zgjidhni kutinë e kontrollit Aktivizo për të aktivizuar Serverin PPTP. 3. Zgjidhni Autentifikimin minimal të kërkuar. Qasja u mohohet përdoruesve të largët që përpiqen
lidheni duke përdorur një skemë vërtetimi më të dobët se skema e zgjedhur. Skemat përshkruhen më poshtë, nga më e forta tek më e dobëta. · Autentifikimi i koduar (MS-CHAP v2): Lloji më i fortë i vërtetimit për t'u përdorur; kjo është
opsioni i rekomanduar · Autentifikimi i koduar dobët (CHAP): Ky është lloji më i dobët i fjalëkalimit të koduar
vërtetimi për t'u përdorur. Nuk rekomandohet që klientët të lidhen duke përdorur këtë pasi siguron shumë pak mbrojtje me fjalëkalim. Vini re gjithashtu se klientët që lidhen duke përdorur CHAP nuk janë në gjendje të kodojnë trafikun
62

Manuali i Përdoruesit
· Autentifikimi i pakriptuar (PAP): Ky është vërtetimi i fjalëkalimit me tekst të thjeshtë. Kur përdorni këtë lloj vërtetimi, fjalëkalimi i klientit transmetohet i pakriptuar.
· Asnjë 4. Zgjidhni nivelin e kërkuar të enkriptimit. Qasja u mohohet përdoruesve të largët që përpiqen të lidhen
që nuk e përdorin këtë nivel të enkriptimit. 5. Në Adresa Lokale shkruani adresën IP për të caktuar në fund të serverit të lidhjes VPN.
lidhjet (p.sh. 192.168.1.10-20). Kjo duhet të jetë një adresë IP e lirë ose një gamë adresash nga rrjeti që u caktohen përdoruesve në distancë ndërsa janë të lidhur me pajisjen Opengear 7. Futni vlerën e dëshiruar të Njësisë Maksimale të Transmetimit (MTU) për ndërfaqet PPTP në fushën MTU (parazgjedhur në 1400) 8. Në fushën e Serverit DNS, futni adresën IP të serverit DNS që cakton adresa IP për klientët PPTP që lidhin 9. Në fushën e Serverit WINS, vendosni adresën IP të serverit WINS që cakton adresat IP për klientin që lidh PPTP 10. Aktivizo Logging Verbose për të ndihmuar në korrigjimin e problemeve të lidhjes. 11. Klikoni Apliko cilësimet 3.11.2 Shtoni një përdorues PPTP 1. Zgjidhni Përdoruesit & Grupet në menynë Serial & Networks dhe plotësoni fushat siç mbulohen në seksionin 3.2. 2. Sigurohuni që grupi pptpd të jetë kontrolluar, për të lejuar aksesin në serverin PPTP VPN. Shënim – përdoruesit në këtë grup kanë fjalëkalimet e tyre të ruajtura në tekst të qartë. 3. Mbani shënim emrin e përdoruesit dhe fjalëkalimin kur duhet të lidheni me lidhjen VPN 4. Klikoni Apliko
63

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
3.11.3 Konfigurimi i një klienti PPTP në distancë Sigurohuni që PC-ja e klientit VPN në distancë të ketë lidhje interneti. Për të krijuar një lidhje VPN në internet, duhet të konfiguroni dy lidhje rrjeti. Njëra lidhje është për ISP-në dhe lidhja tjetër është për tunelin VPN me pajisjen Opengear. SHËNIM Kjo procedurë konfiguron një klient PPTP në sistemin operativ Windows Professional. Hapat
mund të ndryshojë pak në varësi të aksesit tuaj në rrjet ose nëse jeni duke përdorur një version alternativ të Windows. Udhëzimet më të hollësishme janë në dispozicion nga Microsoft web faqe. 1. Hyni në klientin tuaj Windows me privilegje administratori 2. Nga Qendra e Rrjetit dhe Ndarjes në Panelin e Kontrollit zgjidhni Network Connections dhe krijoni një lidhje të re
64

Manuali i Përdoruesit
3. Zgjidhni Use My Internet Connection (VPN) dhe futni adresën IP të pajisjes Opengear Për të lidhur klientët VPN në distancë me rrjetin lokal, duhet të dini emrin e përdoruesit dhe fjalëkalimin për llogarinë PPTP që keni shtuar, si dhe IP-në e internetit adresa e pajisjes Opengear. Nëse ISP-ja juaj nuk ju ka caktuar një adresë IP statike, merrni parasysh përdorimin e një shërbimi dinamik DNS. Përndryshe, duhet të modifikoni konfigurimin e klientit PPTP sa herë që ndryshon adresa juaj IP e internetit.
65

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit

3.12 Thirrni në shtëpi
Të gjithë serverët e konsolës përfshijnë veçorinë Call Home, e cila fillon konfigurimin e një tuneli të sigurt SSH nga serveri i konsolës në një Opengear Lighthouse të centralizuar. Serveri i konsolës regjistrohet si kandidat në Lighthouse. Pasi të pranohet atje, ai bëhet një Server i Konsolës së Menaxhuar.
Lighthouse monitoron serverin e konsolës së menaxhuar dhe administratorët mund të hyjnë në serverin e konsolës së menaxhuar në distancë përmes Lighthouse. Kjo qasje është e disponueshme edhe kur serveri i konsolës së largët është prapa një muri zjarri të palës së tretë ose ka një adresë IP private jo të kalueshme.

SHËNIM

Lighthouse mban lidhje SSH të vërtetuara me çelës publik për secilin prej serverëve të tij të konsolës së menaxhuar. Këto lidhje përdoren për monitorimin, drejtimin dhe aksesin në serverët e konsolës së menaxhuar dhe pajisjet e menaxhuara të lidhura me serverin e konsolës së menaxhuar.

Për të menaxhuar serverët e konsolës lokale, ose serverët e konsolës që mund të arrihen nga Lighthouse, lidhjet SSH inicohen nga Lighthouse.

Për të menaxhuar serverët e konsolës së largët ose serverët e konsolës që janë me mure zjarri, jo të rrugëzueshëm ose ndryshe të paarritshëm nga Lighthouse, lidhjet SSH inicohen nga ConsoleServer i menaxhuar nëpërmjet një lidhjeje fillestare Call Home.

Kjo siguron komunikime të sigurta, të vërtetuara dhe mundëson që njësitë e serverëve të konsolës së menaxhuar të shpërndahen në nivel lokal në një LAN ose në distancë në të gjithë botën.

3.12.1 Konfiguro kandidatin e Call Home Për të konfiguruar serverin e konsolës si një kandidat për menaxhimin e Call Home në Lighthouse:
1. Zgjidhni Call Home në menynë Serial & Network

2. Nëse nuk keni krijuar ose ngarkuar tashmë një çift çelësash SSH për këtë server tastierë, bëjeni këtë përpara se të vazhdoni
3. Kliko Shto

4. Futni adresën IP ose emrin DNS (p.sh. adresën dinamike DNS) të Lighthouse.
5. Futni fjalëkalimin që keni konfiguruar në CMS si fjalëkalimin Call Home.
66

Manuali i Përdoruesit
6. Klikoni Apliko Këto hapa nisin lidhjen Call Home nga serveri i konsolës në Lighthouse. Kjo krijon një port SSHlistening në Lighthouse dhe vendos serverin e konsolës si kandidat.
Pasi kandidati të jetë pranuar në Lighthouse, një tunel SSH në serverin e konsolës ridrejtohet prapa në lidhjen Call Home. Serveri i konsolës është bërë një Server i Konsolës së Menaxhuar dhe Lighthouse mund të lidhet dhe ta monitorojë atë përmes këtij tuneli. 3.12.2 Prano kandidatin e thirrjes Home si Server i Konsolës së Menaxhuar në Lighthouse Ky seksion jep një mbiview në konfigurimin e Lighthouse për të monitoruar serverët e Lighthouse të konsolës që janë të lidhur përmes Call Home. Për më shumë detaje, shihni Udhëzuesin e Përdoruesit të Lighthouse:
1. Futni një fjalëkalim të ri Call Home në Lighthouse. Ky fjalëkalim përdoret për pranim
Thirrni lidhjet në shtëpi nga serverët e konsolës së kandidatit
2. Lighthouse mund të kontaktohet nga serveri i konsolës ose duhet të ketë një IP statike
adresën ose, duke përdorur DHCP, të konfigurohet për të përdorur një shërbim dinamik DNS
Ekrani Configure > Managed Console Servers në Lighthouse tregon statusin e
Serverët dhe kandidatët e konsolës së menaxhuar lokale dhe në distancë.
Seksioni i serverëve të konsolës së menaxhuar tregon serverët e konsolës që monitorohen nga
Lighthouse.Seksioni i serverëve të konsolës së zbuluar përmban:
o Local Console Servers drop-down i cili liston të gjithë serverët e konsolës që janë në
të njëjtin nënrrjet si Lighthouse, dhe nuk po monitorohen
67

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
o Remote Console Servers me drop-down i cili liston të gjithë serverët e konsolës që kanë krijuar një lidhje Call Home dhe që nuk monitorohen (dmth. kandidatët). Mund të klikoni Rifresko për ta përditësuar
Për të shtuar një kandidat të serverit të konsolës në listën e Serverit të menaxhuar të konsolës, zgjidhni atë nga lista rënëse Serverët e konsolës së largët dhe klikoni Shto. Futni adresën IP dhe portin SSH (nëse këto fusha nuk janë plotësuar automatikisht) dhe vendosni një përshkrim dhe emër unik për serverin e panelit të menaxhuar që po shtoni
Futni fjalëkalimin Remote Root (dmth. Fjalëkalimi i Sistemit që është vendosur në këtë server të Panelit të Menaxhuar). Ky fjalëkalim përdoret nga Lighthouse për të përhapur çelësat SSH të gjeneruar automatikisht dhe nuk ruhet. Klikoni Apliko. Lighthouse konfiguron lidhje të sigurta SSH me dhe nga serveri i konsolës së menaxhuar dhe merr pajisjet e tij të menaxhuara, detajet e llogarisë së përdoruesit dhe sinjalizimet e konfiguruara. ju mund të konfiguroni cilësimet e avancuara: · Futni Portin e Serverit SSH dhe Përdoruesin SSH. · Futni detajet për portin SSH përpara për të krijuar
Duke zgjedhur Serverin e Dëgjimit, mund të krijoni një port të largët përpara nga serveri në këtë njësi ose një port lokal përpara nga kjo njësi te serveri:
68

Manuali i Përdoruesit
· Specifikoni një Port Dëgjimi për të përcjellë, lëreni këtë fushë bosh për të caktuar një port të papërdorur · Futni Serverin e synuar dhe Portin e synuar që do të jetë marrësi i lidhjeve të përcjella
3.13 Kalimi IP
IP Passthrough përdoret për të bërë një lidhje modemi (p.sh. modemi i brendshëm celular) të duket si një lidhje e zakonshme Ethernet me një router të palës së tretë në rrjedhën e poshtme, duke i lejuar ruterit në rrjedhën e poshtme të përdorë lidhjen e modemit si një ndërfaqe WAN parësore ose rezervë.
Pajisja Opengear siguron adresën IP të modemit dhe detajet DNS në pajisjen e poshtme përmes DHCP dhe kalon trafikun e rrjetit drejt dhe nga modemi dhe ruteri.
Ndërsa IP Passthrough e kthen një Opengear në një gjysmë urë modem në Ethernet, disa shërbime të shtresës 4 (HTTP/HTTPS/SSH) mund të mbyllen në Opengear (Përgjimet e Shërbimit). Gjithashtu, shërbimet që funksionojnë në Opengear mund të iniciojnë lidhje celulare dalëse të pavarura nga ruteri në rrjedhën e poshtme.
Kjo lejon që Opengear të vazhdojë të përdoret për menaxhimin dhe sinjalizimin jashtë brezit dhe gjithashtu të menaxhohet përmes Lighthouse, ndërsa është në modalitetin IP Passthrough.
3.13.1 Konfigurimi i ruterit në rrjedhën e poshtme Për të përdorur lidhjen e ndërprerjes në ruterin e rrjedhës së poshtme (aka Failover to Cellular ose F2C), ai duhet të ketë dy ose më shumë ndërfaqe WAN.
SHËNIM Dështimi në kontekstin e kalimit IP kryhet nga ruteri i poshtëm dhe logjika e integruar e dështimit jashtë brezit në Opengear nuk është e disponueshme gjatë modalitetit të kalimit IP.
Lidhni një ndërfaqe Ethernet WAN në ruterin e rrjedhës së poshtme me ndërfaqen e rrjetit të Opengear ose portin LAN të menaxhimit me një kabllo Ethernet.
Konfiguro këtë ndërfaqe në ruterin e poshtëm për të marrë cilësimet e rrjetit të tij nëpërmjet DHCP. Nëse kërkohet dështimi, konfiguroni ruterin e poshtëm për dështim midis ndërfaqes së tij kryesore dhe portës Ethernet të lidhur me Opengear.
3.13.2 Para-konfigurimi i kalimit IP Hapat parakusht për të aktivizuar kalimin IP janë:
1. Konfiguroni ndërfaqen e rrjetit dhe, sipas rastit, ndërfaqet e menaxhimit LAN me cilësimet statike të rrjetit. · Kliko Serial & Network > IP. · Për Ndërfaqen e rrjetit dhe ku është e aplikueshme LAN-in e menaxhimit, zgjidhni Static për Metoda e konfigurimit dhe futni cilësimet e rrjetit (shih seksionin me titull Konfigurimi i rrjetit për udhëzime të hollësishme). · Për ndërfaqen e lidhur me ruterin në rrjedhën e poshtme, mund të zgjidhni çdo rrjet privat të dedikuar, ky rrjet ekziston vetëm ndërmjet ruterit Opengear dhe atij të rrjedhës së poshtme dhe normalisht nuk është i aksesueshëm. · Për ndërfaqen tjetër, konfigurojeni atë si zakonisht në rrjetin lokal. · Për të dy ndërfaqet, lini Gateway bosh.
2. Konfiguro modemin në modalitetin Always On-of-of-band.
69

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
· Për një lidhje celulare, klikoni System > Dial: Internal Cellular Modem. · Zgjidhni Aktivizo Dial-Out dhe futni detajet e operatorit si APN (shih seksionin Modem celular
Lidhja për udhëzime të hollësishme). 3.13.3 Konfigurimi i kalimit IP Për të konfiguruar kalimin IP:
· Klikoni Serial & Network > IP Passthrough dhe kontrolloni Aktivizo. · Zgjidhni modemin Opengear për t'u përdorur për lidhjen në rrjedhën e sipërme. · Opsionale, futni adresën MAC të ndërfaqes së lidhur të routerit në rrjedhën e poshtme. Nëse adresa MAC është
nuk është specifikuar, Opengear do të kalojë në pajisjen e parë në rrjedhën e poshtme që kërkon një adresë DHCP. · Zgjidhni Ndërfaqen Ethernet Opengear për t'u përdorur për lidhjen me ruterin në rrjedhën e poshtme.
· Klikoni Apliko. 3.13.4 Ndërprerjet e Shërbimit Këto lejojnë që Opengear të vazhdojë të ofrojë shërbime, p.shample, për menaxhim jashtë brezit kur jeni në modalitetin e kalimit IP. Lidhjet me adresën e modemit në portat e specifikuara të interceptimit trajtohen nga Opengear në vend që të kalohen në ruterin e rrjedhës së poshtme.
· Për shërbimin e kërkuar të HTTP, HTTPS ose SSH, kontrolloni Aktivizo · Modifikoni opsionalisht portën e ndërprerjes në një port alternativ (p.sh. 8443 për HTTPS), kjo është e dobishme nëse ju
duan të vazhdojnë të lejojnë ruterin e poshtëm të mbetet i aksesueshëm nëpërmjet portit të tij të rregullt. 3.13.5 Statusi i kalimit IP Rifresko faqen në view seksioni i statusit. Ai shfaq adresën e jashtme IP të modemit që kalon, adresën e brendshme MAC të routerit në rrjedhën e poshtme (e mbushur vetëm kur ruteri i rrjedhës së poshtme pranon qiranë DHCP) dhe statusin e përgjithshëm të funksionimit të shërbimit IP Passthrough. Ju mund të njoftoheni për statusin e dështimit të ruterit në rrjedhën e poshtme duke konfiguruar një kontroll të përdorimit të të dhënave të rrugëtuara nën Alerts & Logging > Auto-Response. 3.13.6 Vërejtje Disa ruterë në rrjedhën e poshtme mund të jenë të papajtueshëm me itinerarin e portës. Kjo mund të ndodhë kur IP Passthrough lidh një rrjet celular 3G ku adresa e portës është një adresë destinacioni pikë-për-pikë dhe asnjë informacion nënrrjeti nuk disponohet. Opengear dërgon një maskë rrjeti DHCP prej 255.255.255.255. Pajisjet normalisht e interpretojnë këtë si një rrugë të vetme pritës në ndërfaqe, por disa pajisje të vjetra në rrjedhën e poshtme mund të kenë probleme.
70

Manuali i Përdoruesit
Përgjimet për shërbimet lokale nuk do të funksionojnë nëse Opengear po përdor një rrugë të paracaktuar përveç modemit. Gjithashtu, ato nuk do të funksionojnë nëse shërbimi nuk aktivizohet dhe nuk aktivizohet qasja në shërbim (shihni Sistemi > Shërbimet, nën skedën Akses në shërbim, gjeni Dialout/Cellular).
Mbështeten lidhjet dalëse me origjinë nga Opengear te shërbimet në distancë (p.sh. dërgimi i sinjalizimeve me email SMTP, kurthe SNMP, marrja e kohës NTP, tunelet IPSec). Ekziston një rrezik i vogël i dështimit të lidhjes nëse Opengear dhe pajisja në rrjedhën e poshtme përpiqen të hyjnë në të njëjtën portë UDP ose TCP në të njëjtin host në distancë në të njëjtën kohë kur ata kanë zgjedhur rastësisht të njëjtin numër të portës lokale të origjinës.
3.14 Konfigurimi mbi DHCP (ZTP)
Pajisjet Opengear mund të sigurohen gjatë nisjes së tyre fillestare nga një server DHCPv4 ose DHCPv6 duke përdorur config-over-DHCP. Sigurimi në rrjete të pabesueshme mund të lehtësohet duke ofruar çelësa në një USB flash drive. Funksionaliteti ZTP mund të përdoret gjithashtu për të kryer një përmirësim të firmuerit në lidhjen fillestare me rrjetin, ose për t'u regjistruar në një shembull Lighthouse 5.
Përgatitja Hapat tipikë për konfigurimin mbi një rrjet të besuar janë:
1. Konfiguro një pajisje Opengear të të njëjtit model. 2. Ruaje konfigurimin e tij si një rezervë Opengear (.opg) file. 3. Zgjidhni Sistemi > Rezervimi i konfigurimit > Rezervimi në distancë. 4. Klikoni Save Backup. Një konfigurim rezervë file — model-name_iso-format-date_config.opg — shkarkohet nga pajisja Opengear në sistemin lokal. Ju mund ta ruani konfigurimin si xml file: 1. Zgjidhni Sistemi > Rezervimi i konfigurimit > Konfigurimi XML. Një fushë e redaktueshme që përmban
konfigurimi file në formatin XML shfaqet. 2. Klikoni në fushë për ta bërë atë aktive. 3. Nëse përdorni ndonjë shfletues në Windows ose Linux, kliko me të djathtën dhe zgjidhni Zgjidh të gjitha nga
menynë kontekstuale ose shtypni Control-A. Klikoni me të djathtën dhe zgjidhni Kopjo nga menyja kontekstuale ose shtypni Control-C. 4. Nëse jeni duke përdorur ndonjë shfletues në macOS, zgjidhni Edit > Select All ose shtypni Command-A. Zgjidhni Edit > Kopjo ose shtypni Command-C. 5. Në redaktuesin tuaj të preferuar të tekstit, krijoni një dokument të ri bosh, ngjitni të dhënat e kopjuara në dokumentin bosh dhe ruajeni file. Çfarëdo qoftë file-emri që zgjidhni, ai duhet të përfshijë .xml fileprapashtesë emri. 6. Kopjoni .opg ose .xml të ruajtura file në një drejtori me pamje publike në a file server që shërben të paktën një nga protokollet e mëposhtme: HTTPS, HTTP, FTP ose TFTP. (Vetëm HTTPS mund të përdoret nëse lidhja midis file serveri dhe një pajisje Opengear që do të konfigurohet udhëton mbi një rrjet të pabesueshëm.). 7. Konfiguro serverin tuaj DHCP që të përfshijë një opsion 'specifike për shitësin' për pajisjet Opengear. (Kjo do të bëhet në një mënyrë specifike për serverin DHCP.) Opsioni specifik i shitësit duhet të vendoset në një varg që përmban URL të .opg ose .xml të publikuar file në hapin e mësipërm. Vargu i opsionit nuk duhet të kalojë 250 karaktere dhe duhet të përfundojë në .opg ose .xml.
71

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
8. Lidhni një pajisje të re Opengear, ose të rivendosur nga fabrika ose të fshirë nga konfigurimi, në rrjet dhe aplikoni energjinë. Mund të duhen deri në 5 minuta që pajisja të rindizet vetë.
Exampnë konfigurimin e serverit ISC DHCP (dhcpd).
Më poshtë është një ishampFragmenti i konfigurimit të serverit DHCP për të shërbyer një imazh të konfigurimit .opg nëpërmjet serverit ISC DHCP, dhcpd:
Hapësira opsionale e kodit të veshjes së hapur gjerësia 1 gjatësia gjerësia 1; opsioni opengear.config-url kodi 1 = teksti; klasa "opengear-config-over-dhcp-test" {
përputhje nëse opsioni vendor-class-identifier ~~ “^Opengear/”; shitës-opsion-hapësirë të hapur; opsioni opengear.config-url “https://example.com/opg/${class}.opg”; }
Ky konfigurim mund të modifikohet për të përmirësuar imazhin e konfigurimit duke përdorur opengear.image-url opsionin dhe sigurimin e një URI në imazhin e firmuerit.
Konfigurimi kur LAN-i nuk është i besueshëm Nëse lidhja ndërmjet file serveri dhe një pajisje Opengear që do të konfigurohet përfshin një rrjet të pabesueshëm, një qasje me dy duar mund ta zbusë problemin.
SHËNIM Kjo qasje paraqet dy hapa fizikë ku besimi mund të jetë i vështirë, nëse jo i pamundur, të vendoset plotësisht. Së pari, zinxhiri i kujdestarisë nga krijimi i USB flash drive-it që mbart të dhëna deri në vendosjen e tij. Së dyti, duart që lidhin USB flash drive me pajisjen Opengear.
· Gjeneroni një certifikatë X.509 për pajisjen Opengear.
· Lidhni certifikatën dhe çelësin e saj privat në një të vetme file me emrin klient.pem.
· Kopjoni client.pem në një USB flash drive.
· Vendosni një server HTTPS të tillë që të ketë akses në .opg ose .xml file është i kufizuar për klientët që mund të ofrojnë certifikatën e klientit X.509 të krijuar më sipër.
· Vendosni një kopje të certifikatës CA që nënshkroi certifikatën e serverit HTTP — ca-bundle.crt — në USB flash drive që mban klient.pem.
· Fusni USB flash drive-in në pajisjen Opengear përpara se të lidhni energjinë ose rrjetin.
· Vazhdoni procedurën nga `Kopjo .opg ose .xml të ruajtur file në një drejtori me pamje publike në a file server' më sipër duke përdorur protokollin HTTPS ndërmjet klientit dhe serverit.
Përgatitni një disk USB dhe krijoni certifikatën X.509 dhe çelësin privat
· Gjeneroni certifikatën CA në mënyrë që Kërkesat për Nënshkrimin e Certifikatës (CSR) të klientit dhe serverit të mund të nënshkruhen.
# cp /etc/ssl/openssl.cnf. # mkdir -p exampleCA/newcerts # echo 00 > exampleCA/seriali # echo 00 > p.shampleCA/crlnumber # prek exampleCA/index.txt # openssl genrsa -out ca.key 8192 # openssl req -new -x509 -days 3650 -key ca.key -out demoCA/cacert.pem
-subj /CN=ParampleCA # cp demoCA/cacert.pem ca-bundle.crt
Kjo procedurë gjeneron një certifikatë të quajtur ExampleCA por çdo emër i lejuar i certifikatës mund të përdoret. Gjithashtu, kjo procedurë përdor openssl ca. Nëse organizata juaj ka një proces gjenerimi të sigurt të CA në mbarë ndërmarrjen, ai duhet të përdoret në vend të kësaj.
72

Manuali i Përdoruesit
· Gjeneroni certifikatën e serverit.
# openssl genrsa -out server.key 4096 # openssl req -new -key server.key -out server.csr -subj /CN=demo.example.com # openssl ca -days 365 -in server.csr -out server.crt
- çelësifile ca.key -policy policy_anything -batch -notext
SHËNIM Emri i hostit ose adresa IP duhet të jetë i njëjti varg i përdorur në shërbim URLMe Në ishampMë sipër, emri i hostit është demo.example.com.
· Gjeneroni certifikatën e klientit.
# openssl genrsa -out client.key 4096 # openssl req -new -key client.key -out client.csr -subj /CN=ExampleClient # openssl ca -dita 365 -in client.csr -out client.crt
- çelësifile ca.key -policy policy_anything -batch -notext # cat client.key client.crt > client.pem
· Formatoni një USB flash drive si një vëllim të vetëm FAT32.
· Zhvendos klientin.pem dhe ca-bundle.crt files në direktorinë rrënjë të flash drive.
Korrigjimi i problemeve ZTP Përdorni veçorinë e regjistrit të ZTP për të korrigjuar problemet e ZTP-së. Ndërsa pajisja po përpiqet të kryejë operacione ZTP, informacioni i regjistrit shkruhet në /tmp/ztp.log në pajisje.
Më poshtë është një ishample të log file nga një ekzekutim i suksesshëm i ZTP.
# cat /tmp/ztp.log E Mërkurë Dhjetor 13 22:22:17 UTC 2017 [5127 njoftim] odhcp6c.eth0: rivendosja e konfigurimit nëpërmjet DHCP Mër 13 dhjetor 22:22:17 UTC 2017 [5127p njoftimi6cs] od0h. që rrjeti të rregullohet Mër 10 Dhjetor 13:22:22 UTC 27 [2017 njoftim] odhcp5127c.eth6: NTP u anashkalua: nuk ka server Mër 0 Dhjetor 13:22:22 UTC 27 [2017 info] 'odhcp5127c.eth6. http://[fd0:1:07:2218::1350]/tftpboot/config.sh' e mërkurë dhjetor 44 1:13:22 UTC 22 [27 info] odhcp2017c.eth5127: vendorspec.6 (n/a) Mër Dhjetor 0 2:13:22 UTC 22 [27 info] odhcp2017c.eth5127: vendorspec.6 (n/a) E Mërkurë Dhjetor 0 3:13:22 UTC 22 [27 info] odhcp2017c.eth5127 (vendorspec. ) E mërkurë dhjetor 6 0:4:13 UTC 22 [22 info] odhcp27c.eth2017: vendorspec.5127 (n/a) E mërkurë dhjetor 6 0:5:13 UTC 22 [22 info] odhcp28c.eth2017. /a) E Mërkurë Dhjetor 5127 6:0:6 UTC 13 [22 info] odhcp22c.eth28: nuk ka firmware për t'u shkarkuar (vendorspec.2017) rezervë-url: duke u përpjekur http://[fd07:2218:1350:44::1]/tftpboot/config.sh ... kopje rezervë-url: detyrimi i modalitetit të konfigurimit wan në kopje rezervë të DHCP-url: vendosja e emrit të hostit në kopje rezervë acm7004-0013c601ce97-url: ngarkimi u krye Mër 13 Dhjetor 22:22:36 UTC 2017 [5127 njoftim] odhcp6c.eth0: ngarkimi i suksesshëm i konfigurimit Mër 13 Dhjetor 22:22:36 UTC 2017 [5127 info] odhcp6c.ethcp0c.ethcp3c.eth4: 5/6/13) E Mërkurë Dhjetor 22 22:36:2017 UTC 5127 [6 njoftim] odhcp0c.ethXNUMX: sigurimi përfundoi, nuk rindizet
Gabimet regjistrohen në këtë regjistër.
3.15 Regjistrimi në Lighthouse
Përdorni regjistrimin në Lighthouse për të regjistruar pajisjet Opengear në një shembull Lighthouse, duke siguruar qasje të centralizuar në portet e konsolës dhe duke lejuar konfigurimin qendror të pajisjeve Opengear.
Shihni Udhëzuesin e Përdoruesit të Lighthouse për udhëzime për regjistrimin e pajisjeve Opengear në Lighthouse.
73

Kapitulli 3: Porta serike, konfigurimi i pajisjes dhe përdoruesit
3.16 Aktivizo rele DHCPv4
Një shërbim rele DHCP përcjell paketat DHCP midis klientëve dhe serverëve të largët DHCP. Shërbimi rele DHCP mund të aktivizohet në një server konsol Opengear, në mënyrë që ai të dëgjojë klientët DHCP në ndërfaqet më të ulëta të përcaktuara, t'i mbështjellë dhe përcjell mesazhet e tyre deri te serverët DHCP duke përdorur rrugëzimin normal ose të transmetojë drejtpërdrejt në ndërfaqet e sipërme të përcaktuara. Kështu, agjenti rele DHCP merr mesazhe DHCP dhe gjeneron një mesazh të ri DHCP për ta dërguar në një ndërfaqe tjetër. Në hapat e mëposhtëm, serverët e konsolës mund të lidhen me ID-të e qarkut, Ethernet ose modemet celulare duke përdorur shërbimin DHCPv4 Relay.
Infrastruktura DHCPv4 Relay + DHCP Option 82 (circuit-id) – Server lokal DHCP, ACM7004-5 për stafetën, çdo pajisje tjetër për klientët. Çdo pajisje me rol LAN mund të përdoret si stafetë. Në këtë ishample, 192.168.79.242 është adresa për ndërfaqen e transmetuar të klientit (siç përcaktohet në konfigurimin e serverit DHCP file më lart) dhe 192.168.79.244 është adresa e sipërme e ndërfaqes së kutisë së stafetës dhe enp112s0 është ndërfaqja e poshtme e serverit DHCP.
1 Infrastruktura – Rele DHCPv4 + Opsioni DHCP 82 (qarku-id)
Hapat në serverin DHCP 1. Konfiguro serverin lokal DHCP v4, në veçanti, ai duhet të përmbajë një hyrje "host" si më poshtë për klientin DHCP: host cm7116-2-dac { # hardware ethernet 00:13:C6:02:7E :41; agjenti i opsionit të identifikuesit të hostit. qarku-id "rele1"; fiks-adresa 192.168.79.242; } Shënim: linja “hardware ethernet” komentohet jashtë, kështu që serveri DHCP do të përdorë cilësimin “circuit-id” për të caktuar një adresë për klientin përkatës. 2. Rinisni serverin DHCP për të ringarkuar konfigurimin e tij të ndryshuar file. pkill -HUP dhcpd
74

Manuali i Përdoruesit
3. Shtoni manualisht një rrugë pritës në ndërfaqen e "transmetuar" të klientit (ndërfaqja pas stafetës DHCP, jo ndërfaqe të tjera që klienti mund të ketë gjithashtu:
sudo ip route shto 192.168.79.242/32 nëpërmjet 192.168.79.244 dev enp112s0 Kjo do të ndihmojë në shmangien e problemit asimetrik të rrugëtimit kur klienti dhe serveri DHCP dëshirojnë të hyjnë në njëri-tjetrin nëpërmjet ndërfaqes së transmetuar të klientit, kur klienti ka ndërfaqe të tjera në të njëjtën nënrrjeti i grupit të adresave DHCP.
Shënim: Ky hap është i domosdoshëm për të mbështetur serverin dhcp dhe klientin në gjendje të aksesojnë njëri-tjetrin.
Hapat në kutinë Rele - ACM7004-5
1. Konfiguro WAN/eth0 në modalitetin statik ose dhcp (jo modalitet i pakonfiguruar). Nëse është në modalitetin statik, duhet të ketë një adresë IP brenda grupit të adresave të serverit DHCP.
2. Zbato këtë konfigurim përmes CLI (ku 192.168.79.1 është adresa e serverit DHCP)
config -s config.services.dhcprelay.enabled=on config -s config.services.dhcprelay.lowers.lower1.circuit_id=relay1 config -s config.services.dhcprelay.lowers.lower1.role=lan config -s config.services .dhcprelay.lowers.total=1 config -s config.services.dhcprelay.servers.server1=192.168.79.1 config -s config.services.dhcprelay.servers.total=1 config -s config.services.dhcprelay.uppers.upper1 .role=wan config -s config.services.dhcprelay.uppers.total=1
3. Ndërfaqja e poshtme e stafetës DHCP duhet të ketë një adresë IP statike brenda grupit të adresave të serverit DHCP. Në këtë ishample, giaddr = 192.168.79.245
config -s config.interfaces.lan.address=192.168.79.245 config -s config.interfaces.lan.mode=static config -s config.interfaces.lan.netmask=255.255.255.0 config -d config.interfaces.lan.disabled -r ipconfig
4. Prisni një kohë të shkurtër që klienti të marrë një qira DHCP nëpërmjet stafetës.
Hapat mbi Klientin (CM7116-2-dac në këtë shembullample ose ndonjë OG CS tjetër)
1. Futni LAN/eth1 të klientit në LAN/eth1 të releit 2. Konfiguro LAN-in e klientit për të marrë adresën IP nëpërmjet DHCP si zakonisht 3. Pasi të klikohet

Dokumentet / Burimet

Opengear ACM7000 Remote Site Gateway [pdf] Manuali i Përdoruesit
ACM7000 Remote Site Gateway, ACM7000, Remote Site Gateway, Site Gateway, Gateway

Referencat

Manuali i Përdoruesit

Opengear ACM7000 Remote Site Gateway

Informacioni i produktit

Udhëzimet e përdorimit të produktit

Pyetjet e shpeshta

Ky Manual

Konfigurimi i sistemit

Porta serike, hosti, konfigurimi i pajisjes dhe përdoruesit

Dokumentet / Burimet

Referencat

Lini një koment

Anulo përgjigjen